From sebastian at debianfan.de Tue Aug 1 09:07:57 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 01 Aug 2017 09:07:57 +0200 Subject: "sender delivery status notification" von Postfix ? Message-ID: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> Guten Morgen allerseits, ich habe eine Testmaschine, auf welcher die mx'e von Domains auflaufen, welche keine offizielle Mailadresse haben. Der soll ausschließlich Mails empfangen & in ein lokales "Courier-Imap-Postfach" umleiten. Heute morgen ist mir was aufgefallen - in der Queue stehen Mails wie: 1412E613D7 3382 Tue Aug 1 07:43:06 MAILER-DAEMON (delivery temporarily suspended: connect to brigusseacliff.com[185.140.110.3]:25: Connection refused) willi4fmbg7qhase at brigusseacliff.com Das Setup ist seit 1 Jahr unverändert, die IP ist nicht auf Blacklists drauf, d.h. ich glaube nicht dass ich ein Open-Relay geschafffen habe. Im Maillog steht sowas drin: Aug 1 07:47:14 debian postfix/bounce[25640]: CA76E61647: sender delivery status notification: 0416A61676 Sendet Postfix eigentlich auf jede empfangene Mail eine "sender delivery status notification" ? Ich kenne das nur vom Thunderbird, dass ich sowas anfordern könnte. Wie verhindere ich denn eine "ungewollte Antwort" des Postfix? Oder bin ich hier völlig auf dem Holzweg ? gruß & danke :-) From daniel at oc.yados.de Tue Aug 1 11:35:43 2017 From: daniel at oc.yados.de (Daniel Schulz) Date: Tue, 01 Aug 2017 11:35:43 +0200 Subject: bounce-Mails In-Reply-To: References: Message-ID: <0ed768d0b014d80dea9617997a21a0e1@oc.yados.de> Hallo, Am 2017-07-28 12:00, schrieb daniel: > ich bekomme keine bounce-Mails. Die Mail nimmt folgenden Weg: > > 1. server1 verschickt Mail an nicht existierenden Empfänger direkt, > mit dem Absender "service at example.org" wobei example.org auf server3 > liegt > 2. smtp-Server des Empfängers antwortet "gibts hier nicht", schickt > Antwort an "service at example.org" > 3. Server3 verantwortlich für example.org, ist ein Exchange, leitet > alle Mails an "service at postfach-auf-server1" weiter > 4. Server1 schickt die Mail wieder an Server3 weil er nicht > verantwortlich dafür ist .... > > Normales Verhalten, die Log davon ist weiter unten angehängt. > > Ich hatte es kurz so gelöst, dass ich example.org in mydestinations > auf server1 aufgenommen habe. Leider ist es so, dass Benutzer von > server1 auch Mails an Benutzer von Server3 schicken, diese kommen dann > alle zurück als nicht zustellbar, da es diese Benutzer auf server1 > nicht gibt. > > Gibt es dafür eine Lösung? Ich habe weiter gelesen und habe header_checks eingerichtet. Habe dazu in die main.cf header_checks = regexp:/etc/postfix/header_checks eingetragen und in die Datei: /^To: service at example.org/ REDIRECT service at postfach-auf-server1 Das funktioniert bei normalen Mails die ich vom localhost aus verschicke, aber bounce Mails scheinen davon nicht betroffen zu sein, die landen weiterhin beim falschen Server. Die Option bounce_notice_recipient ist keine Alternative, denn es gibt mehrere Postfächer die jeweils ihre Bounce Mails bekommen sollen. Jemand eine Idee, was noch schief sein könnte? Daniel From postfixbuch at cboltz.de Tue Aug 1 13:20:43 2017 From: postfixbuch at cboltz.de (Christian Boltz) Date: Tue, 01 Aug 2017 13:20:43 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> Message-ID: <2942506.MaqZ4BLlvN@tux.boltz.de.vu> Hallo Sebastian, hallo zusammen, Am Dienstag, 1. August 2017, 09:07:57 CEST schrieb sebastian at debianfan.de: > 1412E613D7 3382 Tue Aug 1 07:43:06 MAILER-DAEMON > (delivery temporarily suspended: connect to > brigusseacliff.com[185.140.110.3]:25: Connection refused) > > willi4fmbg7qhase at brigusseacliff.com > Aug 1 07:47:14 debian postfix/bounce[25640]: CA76E61647: sender > delivery status notification: 0416A61676 > > Sendet Postfix eigentlich auf jede empfangene Mail eine "sender > delivery status notification" ? Was steht denn in der Mail? Ein Blick in die Mail (postcat -q $queueid) hilft ;-) Schuss ins Blaue: Postfach voll? Gruß Christian Boltz -- Die Lösung ist denkbar einfach und naheliegend: Ich bin ein Trottel. Aber das wussten wir ja schon. :-) [Ratti in suse-linux] From sebastian at debianfan.de Tue Aug 1 15:11:02 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 01 Aug 2017 15:11:02 +0200 Subject: "sender delivery status notification" von Postfix ? Message-ID: <4482554feb47c63d52d521eb3133634d@debianfan.de> Es steht drin: Your message was successfully delivered to the destination(s) listed below. If the message was delivered to mailbox you will receive no further notifications. Otherwise you may still receive notifications of mail delivery errors from other systems. Christian Boltz postfixbuch at cboltz.de Di Aug 1 13:20:43 CEST 2017 Hallo Sebastian, hallo zusammen, Am Dienstag, 1. August 2017, 09:07:57 CEST schrieb sebastian at debianfan.de: > 1412E613D7 3382 Tue Aug 1 07:43:06 MAILER-DAEMON > (delivery temporarily suspended: connect to > brigusseacliff.com[185.140.110.3]:25: Connection refused) > > willi4fmbg7qhase at brigusseacliff.com > Aug 1 07:47:14 debian postfix/bounce[25640]: CA76E61647: sender > delivery status notification: 0416A61676 > > Sendet Postfix eigentlich auf jede empfangene Mail eine "sender > delivery status notification" ? Was steht denn in der Mail? Ein Blick in die Mail (postcat -q $queueid) hilft ;-) Schuss ins Blaue: Postfach voll? Gruß Christian Boltz -- Die Lösung ist denkbar einfach und naheliegend: Ich bin ein Trottel. Aber das wussten wir ja schon. :-) [Ratti in suse-linux] From p.heinlein at heinlein-support.de Tue Aug 1 22:40:10 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Tue, 1 Aug 2017 22:40:10 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> Message-ID: <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> Am 01.08.2017 um 09:07 schrieb sebastian at debianfan.de: > Aug 1 07:47:14 debian postfix/bounce[25640]: CA76E61647: sender > delivery status notification: 0416A61676 > > Sendet Postfix eigentlich auf jede empfangene Mail eine "sender delivery > status notification" ? Nein, das macht er, weil Du DSN ins Netz offen hast und der Absender DSN mit NOTIFY=SUCCESS angefordert hat. > Ich kenne das nur vom Thunderbird, dass ich sowas anfordern könnte. DSN ist was anderes. Was "richtiges". > Wie verhindere ich denn eine "ungewollte Antwort" des Postfix? Siehe mein Vortrag zur Einführung von DSN und da die esmtp_discard-Features auf der Mailserver-Konferenz 2007: https://heinlein-support.de/web/akademie/mailserver-konferenz-2007/mk3-postfix-2-3-2-4-was-ist-neu Folie 15ff ist das, was Du suchst. Peer From sebastian at debianfan.de Tue Aug 1 23:20:30 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 1 Aug 2017 23:20:30 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> Message-ID: <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> Danke :-) Ich hatte inzwischen im Netz einen Beitrag zu diesem Thema entdeckt und habe auch smtpd_discard_ehlo_keywords = silent­discard, dsn eingebaut ;-) Danke für die Folien - da hab ich noch ein paar andere Dinge entdeckt (y) Gute Nacht :-) Am 01.08.2017 um 22:40 schrieb Peer Heinlein: > Am 01.08.2017 um 09:07 schrieb sebastian at debianfan.de: > >> Aug 1 07:47:14 debian postfix/bounce[25640]: CA76E61647: sender >> delivery status notification: 0416A61676 >> >> Sendet Postfix eigentlich auf jede empfangene Mail eine "sender delivery >> status notification" ? > > > Nein, das macht er, weil Du DSN ins Netz offen hast und der Absender DSN > mit NOTIFY=SUCCESS angefordert hat. > >> Ich kenne das nur vom Thunderbird, dass ich sowas anfordern könnte. > > DSN ist was anderes. Was "richtiges". > >> Wie verhindere ich denn eine "ungewollte Antwort" des Postfix? > > Siehe mein Vortrag zur Einführung von DSN und da die > esmtp_discard-Features auf der Mailserver-Konferenz 2007: > > https://heinlein-support.de/web/akademie/mailserver-konferenz-2007/mk3-postfix-2-3-2-4-was-ist-neu > > Folie 15ff ist das, was Du suchst. > > > Peer > From w.flamme at web.de Wed Aug 2 07:57:50 2017 From: w.flamme at web.de (Werner Flamme) Date: Wed, 2 Aug 2017 07:57:50 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> Message-ID: <29f2a6aa-c20f-0ded-bb16-7e37ddecaa35@web.de> sebastian at debianfan.de [01.08.2017 23:20]: > Danke :-) > > Ich hatte inzwischen im Netz einen Beitrag zu diesem Thema entdeckt und > habe auch > > smtpd_discard_ehlo_keywords = silent­discard, dsn > > eingebaut ;-) Ja, das ist zwar fast richtig (es heißt silent-discard), erfordert aber das Mitspielen der Gegenseite :). Der Parameter bewirkt nur, dass der Gegenseite nicht mitgeteilt wird, dass Postfiksch DSN unterstützt. Wenn Du aber die "richtige" Gegenseite hast (bei mir: SAP NetWeaver), wird die DSN trotzdem angefordert :\ Bei mir wird mit header_checks = pcre:/etc/postfix/header_checks und dort der Zeile /^Disposition-notification-to:/ IGNORE die entsprechende Header-Zeile entfernt. Sinnvoll, weil das SAP-System mailtechnisch eh nicht bedient wird und die DSNs sonst den Postmaster nerven, der dann mich nervt :) > Danke für die Folien - da hab ich noch ein paar andere Dinge entdeckt (y) Das haben Peers Folien so an sich :D Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From max.grobecker at ml.grobecker.info Thu Aug 3 22:38:53 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 3 Aug 2017 22:38:53 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> Message-ID: Hallo, Am 01.08.2017 um 22:40 schrieb Peer Heinlein: >> Ich kenne das nur vom Thunderbird, dass ich sowas anfordern könnte. > > DSN ist was anderes. Was "richtiges". Und auch das kannst du mit Thunderbird machen ;-) Optionen -> "Übermittlungsstatus (DSN) anfordern" Habe ich bei mir dauerhaft aktiviert und ich freue mich jedes Mal wie Bolle, wenn mir so ein Exchange-Server nach einer E-Mail an die Info-Adresse eine quasi vollständige Liste der Empfänger im Unternehmen zurückschickt ;-) Viele Grüße Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From p.heinlein at heinlein-support.de Thu Aug 3 22:49:26 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 3 Aug 2017 22:49:26 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <29f2a6aa-c20f-0ded-bb16-7e37ddecaa35@web.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> <29f2a6aa-c20f-0ded-bb16-7e37ddecaa35@web.de> Message-ID: <490c61dd-6cf4-87c0-6351-4627aee720c4@heinlein-support.de> Am 02.08.2017 um 07:57 schrieb Werner Flamme: > Ja, das ist zwar fast richtig (es heißt silent-discard), erfordert aber > das Mitspielen der Gegenseite :). Nein, tut es nicht. Das ist ja der Gag daran. Das letzet Relay (von Dir) quittiert die Übertragung an die Gegenseite (die nicht mitspielt oder nicht weiß, was DSN ist) mit einem Notify an den Absender. Das ist ein "Einwurfeinschreiben mit Rückschein". Lustigerweise exakt das, was es bei der klassischen Post als Combo nicht gibt. > Wenn > Du aber die "richtige" Gegenseite hast (bei mir: SAP NetWeaver), wird > die DSN trotzdem angefordert :\ Nee, Du zitierst da Mailheader in den header_checks. Das ist kein DSN, denn das spielt ausschließlich im SMTP-Protokoll. Peer From w.flamme at web.de Fri Aug 4 08:54:33 2017 From: w.flamme at web.de (Werner Flamme) Date: Fri, 4 Aug 2017 08:54:33 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: <490c61dd-6cf4-87c0-6351-4627aee720c4@heinlein-support.de> References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> <29f2a6aa-c20f-0ded-bb16-7e37ddecaa35@web.de> <490c61dd-6cf4-87c0-6351-4627aee720c4@heinlein-support.de> Message-ID: Peer Heinlein [03.08.2017 22:49]: > > > Am 02.08.2017 um 07:57 schrieb Werner Flamme: >> Ja, das ist zwar fast richtig (es heißt silent-discard), erfordert aber >> das Mitspielen der Gegenseite :). > > Nein, tut es nicht. Das ist ja der Gag daran. > > Das letzet Relay (von Dir) quittiert die Übertragung an die Gegenseite > (die nicht mitspielt oder nicht weiß, was DSN ist) mit einem Notify an > den Absender. > > Das ist ein "Einwurfeinschreiben mit Rückschein". Lustigerweise exakt > das, was es bei der klassischen Post als Combo nicht gibt. Wenn ich die Mail annehme, ist es das SAP-System itself, das einliefert, und damit der Verursacher des ganzen Spuks. Das Teil könnte sich die DSN selbst zustellen. Allerdings erzählt mir das System, dass die Übertragung von DSN bei ihm deaktiviert sei. Das allerdings ist ein Feature(!), das bei der benutzten Version noch gar nicht implementiert ist... SAP hat irgendwann eine DSN beim Mailversand eingeführt und sich einige Versionen später entschieden, sie abschaltbar zu machen. Allerdings nur über die Anwendung, die Mails verschickt. Erst in den letzten Jahren (und wer hat schon aktuelle SAP-Versionen im Einsatz?) wurde DSN global abschaltbar. > >> Wenn >> Du aber die "richtige" Gegenseite hast (bei mir: SAP NetWeaver), wird >> die DSN trotzdem angefordert :\ > > Nee, Du zitierst da Mailheader in den header_checks. Das ist kein DSN, > denn das spielt ausschließlich im SMTP-Protokoll. Aha, sorry. Es hat nur dieselbe Wirkung beim Empfänger. Eine Mail vom SAP-System, die über einen so konfigurierten Postfiksch weitergeleitet wird, enthält immer noch den Header. Dank dessen sitzt der Enduser dann vor seinem Client und je nach Konfiguration bekommt er ein Popup, mit dessen Inhalt er nichts anfangen kann, oder die Client sendet von sich aus die Nachricht (oder eben nicht). Auf jeden Fall wird der Header nicht entfernt und landet beim Empfänger. Und jede Antwort ist unzustellbar und nervt deshalb den Postmaster der Firma. Und der nervt deshalb mich. Übrigens rufen dann auch die Empfänger an, weil sie nicht wissen, was die Mail von ihnen will. Wie erkläre ich jemandem in 10-20 Sekunden, was los ist? Mehr Zeit bekomme ich nicht... Und deshalb ist für mich der Header-Check der wichtigere Teil :) Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From p.heinlein at heinlein-support.de Fri Aug 4 08:58:59 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Fri, 4 Aug 2017 08:58:59 +0200 Subject: "sender delivery status notification" von Postfix ? In-Reply-To: References: <0a0a9c986a3e9cae7180cd3b2c146199@debianfan.de> <299c3970-88c4-94bc-e459-8738b040c00d@heinlein-support.de> <3a18f2a4-b10b-ddf4-6477-c5c5f315ff4c@debianfan.de> <29f2a6aa-c20f-0ded-bb16-7e37ddecaa35@web.de> <490c61dd-6cf4-87c0-6351-4627aee720c4@heinlein-support.de> Message-ID: <7de0e11e-9f91-49ae-c86d-144ba825c42c@heinlein-support.de> > Aha, sorry. Es hat nur dieselbe Wirkung beim Empfänger. Nein, hat es genau nicht. DSN ist serverseitig und funktioniert auf jeden Fall, solange Dein Outbound-Relay DSN kann. Einwurfeinschreiben mit Rückschein. Dieses ganze Mailheader-Empfangsbestätigungsgedöns basiert darauf, daß auf Empfängerseite jemand LUST hat das zu unterstützen udn VIELLEICHT eine lese/empfangsbestätigung zurückschickt. Ist quasi auch ein ganz anderes Protokoll-Level: Das eine SMTP, das andere Mail-Content. Und wenn Du keine Bestätigung zurückbekommst heißt das nicht, daß die Mail nicht ankam. Insofern bietet es keine Sicherheit in dem Punkt. Peer From thomas at plant.systems Fri Aug 4 12:12:41 2017 From: thomas at plant.systems (Thomas Plant) Date: Fri, 4 Aug 2017 12:12:41 +0200 Subject: Recipient Address Verification Frage Message-ID: Hallo, bin dabei für unsere Firma einen Mailgateway (nur eingehende Mails) einzurichten. Ich habe die automatische Recipient Verification aktiviert und mit unserem Mailserver funktioniert das tadellos. Jetzt haben wir Kunden für die wir die Mails 'spam'-filtern und an eine IP weiterleiten, die Verifizierung funktioniert auf diesen Gateways leider nicht. Diese Kunden geben uns eine Liste von Mailadressen die wir z.Z. auf unserem alten Mailgateway einpflegen und entsprechend dieser Liste die Mails angenommen, gefiltert und weitergeleitet werden. Kann ich so etwas in Postfix abbilden? Also so dass unsere Kunden auf dem internen Mailserver die Verifzierung nutzen und die 'anderen' per lookup Tabelle weitergeleitet werden? Danke und freundliche Grüße, Thomas From Ralf.Hildebrandt at charite.de Fri Aug 4 13:11:46 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Aug 2017 13:11:46 +0200 Subject: Recipient Address Verification Frage In-Reply-To: References: Message-ID: <20170804111146.be2o7aq4xjgjsjkw@charite.de> * Thomas Plant : > Hallo, > > bin dabei für unsere Firma einen Mailgateway (nur eingehende Mails) > einzurichten. > Ich habe die automatische Recipient Verification aktiviert und mit unserem > Mailserver funktioniert das tadellos. > > Jetzt haben wir Kunden für die wir die Mails 'spam'-filtern und an eine IP > weiterleiten, die Verifizierung funktioniert auf diesen Gateways leider > nicht. Diese Kunden geben uns eine Liste von Mailadressen die wir z.Z. auf > unserem alten Mailgateway einpflegen und entsprechend dieser Liste die Mails > angenommen, gefiltert und weitergeleitet werden. > > Kann ich so etwas in Postfix abbilden? Also so dass unsere Kunden auf dem > internen Mailserver die Verifzierung nutzen und die 'anderen' per lookup > Tabelle weitergeleitet werden? relay_recipient_maps und relay_domains -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From daniel at oc.yados.de Mon Aug 7 07:52:29 2017 From: daniel at oc.yados.de (Daniel Schulz) Date: Mon, 07 Aug 2017 07:52:29 +0200 Subject: bounce-Mails In-Reply-To: <0ed768d0b014d80dea9617997a21a0e1@oc.yados.de> References: <0ed768d0b014d80dea9617997a21a0e1@oc.yados.de> Message-ID: <636533ad81773f747ba9294208104d58@oc.yados.de> Hallo, hat keiner einen Tipp, wie ich die "mail delivery failed returning message to sender"-Mails abgreifen/umleiten kann? Ich finde in google auch keinen Ansatz wie ich das anders/besser konfigurieren könnte. Daniel From news at amaltea.de Mon Aug 7 13:50:55 2017 From: news at amaltea.de (Paul) Date: Mon, 7 Aug 2017 13:50:55 +0200 Subject: bounce-Mails In-Reply-To: References: Message-ID: Am 28.07.2017 um 12:00 schrieb daniel: > Hallo, > > ich bekomme keine bounce-Mails. Die Mail nimmt folgenden Weg: > > 1. server1 verschickt Mail an nicht existierenden Empfänger direkt, mit > dem Absender "service at example.org" wobei example.org auf server3 liegt > 2. smtp-Server des Empfängers antwortet "gibts hier nicht", schickt > Antwort an "service at example.org" Um genau zu sein: Der Empfängerserver antwortet mit einem Reject und dein Server erzeugt einen Bounce. Der Bounce wird an Server 3 geschickt. > 3. Server3 verantwortlich für example.org, ist ein Exchange, leitet alle > Mails an "service at postfach-auf-server1" weiter Verstehe ich das richtig? Auf dem Exchange existiert das Postfach service at example.com und dort ist eine Weiterleitung an eine Mailadresse, die auf Server 1 zeigt? > 4. Server1 schickt die Mail wieder an Server3 weil er nicht > verantwortlich dafür ist .... Das Postfach auf Server 1 existiert aber anscheinend nicht? Hä? > Normales Verhalten, die Log davon ist weiter unten angehängt. > > Ich hatte es kurz so gelöst, dass ich example.org in mydestinations auf > server1 aufgenommen habe. Leider ist es so, dass Benutzer von server1 > auch Mails an Benutzer von Server3 schicken, diese kommen dann alle > zurück als nicht zustellbar, da es diese Benutzer auf server1 nicht gibt. > > Gibt es dafür eine Lösung? In mydestination nur Domains eintragen, für die der Server auch lokal Zuständig ist. example.com ist ja auf Server 3... Für mich sieht das so aus, als ob die Weiterleitung auf dem Exchange das Problem ist. Gruß, Paul From ckubu at so36.net Mon Aug 7 14:44:28 2017 From: ckubu at so36.net (ckubu) Date: Mon, 7 Aug 2017 14:44:28 +0200 Subject: Liste sicherer Mailserver In-Reply-To: <053c4096-3482-3885-a242-bea82a3d6b72@heinlein-support.de> References: <6a4396af-7ab6-1363-cae0-0796ae943d0d@so36.net> <9ecd6786-1e8f-db4f-1b9d-520543df92ca@schnied.net> <053c4096-3482-3885-a242-bea82a3d6b72@heinlein-support.de> Message-ID: <7231459f-e1c0-3db8-1141-62a87ef2c8cc@so36.net> Hallo Peer > [..] > Ich schicke die nächsten Tage den Ansprechpartner dafür auf die Liste, > den habe ich und mit dem kann man normal reden. > > Aus bestimmten Gründen will ich das dieses Wochenende noch nicht machen. > Bitte kurz Geduld. kannst du den Kontakt mal rumschicken? LG Christoph -- e: ckubu at so36.net From bjoern.meier at gmail.com Mon Aug 7 14:47:03 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Mon, 7 Aug 2017 14:47:03 +0200 Subject: Liste sicherer Mailserver In-Reply-To: <7231459f-e1c0-3db8-1141-62a87ef2c8cc@so36.net> References: <6a4396af-7ab6-1363-cae0-0796ae943d0d@so36.net> <9ecd6786-1e8f-db4f-1b9d-520543df92ca@schnied.net> <053c4096-3482-3885-a242-bea82a3d6b72@heinlein-support.de> <7231459f-e1c0-3db8-1141-62a87ef2c8cc@so36.net> Message-ID: Am 7. August 2017 um 14:44 schrieb ckubu : > > > kannst du den Kontakt mal rumschicken? > Keine gute Idee, dann möchte ich nicht in der Haut desjenigen stecken. An mich dann bitte nicht. Ich weiß ja, wenn Peer sagt, er regelt das, dann kann ich das als erledigt betrachten. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at oc.yados.de Tue Aug 8 07:40:02 2017 From: daniel at oc.yados.de (Daniel Schulz) Date: Tue, 08 Aug 2017 07:40:02 +0200 Subject: bounce-Mails In-Reply-To: References: Message-ID: <1dedf4ddffb68442f8ad1602b44360ad@oc.yados.de> Hallo Paul, Am 2017-08-07 13:50, schrieb Paul: >> 1. server1 verschickt Mail an nicht existierenden Empfänger direkt, >> mit >> dem Absender "service at example.org" wobei example.org auf server3 liegt >> 2. smtp-Server des Empfängers antwortet "gibts hier nicht", schickt >> Antwort an "service at example.org" > > Um genau zu sein: > Der Empfängerserver antwortet mit einem Reject und dein Server erzeugt > einen Bounce. > Der Bounce wird an Server 3 geschickt. > >> 3. Server3 verantwortlich für example.org, ist ein Exchange, leitet >> alle >> Mails an "service at postfach-auf-server1" weiter > Verstehe ich das richtig? > Auf dem Exchange existiert das Postfach service at example.com und dort > ist > eine Weiterleitung an eine Mailadresse, die auf Server 1 zeigt? Genau. >> 4. Server1 schickt die Mail wieder an Server3 weil er nicht >> verantwortlich dafür ist .... > > Das Postfach auf Server 1 existiert aber anscheinend nicht? Hä? Die Mail kommt beim Exchange rein und wird von dem weitergeleitet, einmal in ein Postfach auf dem gleichen Exchange (dort landet die Mail im Postfach) und an das externe Postfach auf Server1. Nur das bei Server1 nichts im Postfach liegt. Du hast aber Recht, das war ein Denkfehler von mir. Ich ging davon aus, dass Server1 (Postfix) die Mail löscht weil sie den Absender "service at example.org" hat, um einen Mail loop zu verhindern. Aber die Empfängeradresse wird ja vom Exchange umgeschrieben. Nach meinem Verständnis schickt der die Mail 4D667200417 an den Exchange weiter, das sollte er aber gar nicht tun. Deswegen kam ich dann darauf, alle Mails die auf Server1 an "service at example.org" gehen (das Postfach auf dem Exchange), könnten doch auch gleich umgeleitet werden an das lokale Postfach wo sie eigentlich hin sollen, ohne nochmal über den Exchange zu gehen. Ich vermute nämlich wirklich, dass der Exchange hier irgendwas schluckt und nicht weiterleitet. Deswegen habe ich: header_checks = regexp:/etc/postfix/header_checks in die main.cf eingetragen und /^To: service at example.org/ REDIRECT service at postfach-auf-server1 Das funktioniert bei normalen Mails: Aug 8 07:24:05 example postfix/qmgr[13660]: 27CFF2009B7: from=, size=540, nrcpt=1 (queue active) Aug 8 07:24:05 example postfix/local[15968]: 27CFF2009B7: to=, orig_to=, relay=local, delay=0.37, delays=0.2/0.01/0/0.16, dsn=2.0.0, status=sent (delivered to maildir) Aug 8 07:24:05 example postfix/qmgr[13660]: 27CFF2009B7: removed aber nicht bei den MAILER DAEMON Mails: root at example /etc/postfix # grep 3A7232009B7 /var/log/mail.log Aug 8 07:09:04 example postfix/pickup[9070]: 3A7232009B7: uid=33 from= Aug 8 07:09:04 example postfix/cleanup[848]: 3A7232009B7: message-id= Aug 8 07:09:04 example postfix/qmgr[13660]: 3A7232009B7: from=, size=535, nrcpt=1 (queue active) Aug 8 07:09:04 example postfix/smtp[852]: 3A7232009B7: to=, relay=mx-ha03.web.de[212.227.15.17]:25, delay=0.68, delays=0.35/0.01/0.18/0.14, dsn=5.0.0, status=bounced (host mx-ha03.web.de[212.227.15.17] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command)) Aug 8 07:09:04 example postfix/bounce[862]: 3A7232009B7: sender non-delivery notification: B9BB82009C2 Aug 8 07:09:04 example postfix/qmgr[13660]: 3A7232009B7: removed root at example /etc/postfix # root at example /etc/postfix # grep B9BB82009C2 /var/log/mail.log Aug 8 07:09:04 example postfix/cleanup[848]: B9BB82009C2: message-id=<20170808050904.B9BB82009C2 at server1.example.org> Aug 8 07:09:04 example postfix/bounce[862]: 3A7232009B7: sender non-delivery notification: B9BB82009C2 Aug 8 07:09:04 example postfix/qmgr[13660]: B9BB82009C2: from=<>, size=2612, nrcpt=1 (queue active) Aug 8 07:09:11 example postfix/smtp[852]: B9BB82009C2: to=, relay=exchange.example.org[80.147.000.000]:25, delay=6.9, delays=0.06/0/0.55/6.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 3C868A004F) Aug 8 07:09:11 example postfix/qmgr[13660]: B9BB82009C2: removed root at example /etc/postfix # Warum gilt das nicht auch für diese Mails? Daniel From BHueck at kevag-telekom.de Tue Aug 8 11:04:24 2017 From: BHueck at kevag-telekom.de (=?iso-8859-1?Q?Benjamin_H=FCck?=) Date: Tue, 8 Aug 2017 09:04:24 +0000 Subject: Akzeptanz / Verbreitung RFC 7505 Null MX Records und RFC 6186 SRV Records Records for Locating Email Services Message-ID: <2e1b5b10f44f412497a38eb49f3b05b5@ROD.kevag-telekom.net> Hallo zusammen, wie ist hier die Meinung / Akzeptanz zu den folgenden RFCs · RFC 7505 - A "Null MX" Service Resource Record for Domains That Accept No Mail · RFC 6186 - Use of SRV Records for Locating Email Submission/Access Services Ist euch ein "aktiver" Einsatz der obigen Techniken bekannt? Sind die obigen Techniken zu empfehlen? Wie ist die Akzeptanz / die Verbreitung dieser Techniken aktuell? Unterstützen heutige MUAs RFC 6186 überhaupt? (Gerade mit einem aktuellen Thunderbird getestet; negativ). Über Rückmeldungen wäre ich dankbar! Benjamin -- ________________________________ KEVAG Telekom GmbH Cusanusstr. 7 D 56073 Koblenz Fon: +49 261 20162-0 Fax: +49 261 20162-25100 http://www.kevag-telekom.de/ Geschäftsführer: Bernd Gowitzke, Stefan Dietz Sitz der Gesellschaft: Koblenz, Amtsgericht Koblenz, HRB Nr. 5343 USt.IdNr. DE 18 77 67 843 St-Nr. 22/650/0182/7 -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From hb at mesacom.net Tue Aug 8 11:29:21 2017 From: hb at mesacom.net (Heinrich Boeder) Date: Tue, 8 Aug 2017 11:29:21 +0200 Subject: Greylisting noch sinnvoll? Message-ID: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Hallo liebe Postfix-User, ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach der Einsatz von Greylisting noch sinnvoll ist.Vielleicht kurz zum Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle auch etwas. Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting? LG - heinrich hb at mesacom.net key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8BFB5 2C7A 506E 9BFD 9B5F -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From juergen.gmach at apis.de Tue Aug 8 11:44:53 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Tue, 08 Aug 2017 11:44:53 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: Unabhängig von der Effizienz... Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das Greylisting deaktivieren, weil andere Mailserver damit Probleme haben, und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen. Problematisch ist es auch immer, wenn Kunden am Telefon sind und sagen, sie schicken eben mal eine Datei und dann dauert es je nach Einstellung bei deren Mailserver 10 min, mal nen Tag, manche E-Mails gehen ganz verloren. Ganz witzige Zustände gibt es auch immer wieder, wenn es Dreierkonferenzen gibt und nebenbei Mails verschickt werden, die der eine dann bekommt, der andere nicht. Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails über einen bekannten, manche über unbekannte SMTPs reinkommen. Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig ob Greylising aktiviert oder deaktiviert ist. -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From andre.peters at debinux.de Tue Aug 8 12:01:45 2017 From: andre.peters at debinux.de (=?utf-8?q?Andr=C3=A9?= Peters) Date: Tue, 8 Aug 2017 12:01:45 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: <174AF646-3899-4025-8A28-81DB933820D9@debinux.de> Mit Rspamd kann man es abhängig von der Reputation/dem Score der Mail machen. Super Sache. Beste Grüße André > Am 08.08.2017 um 11:44 schrieb Jürgen Gmach : > > Unabhängig von der Effizienz... > > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das Greylisting deaktivieren, weil andere Mailserver damit Probleme haben, und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen. > > Problematisch ist es auch immer, wenn Kunden am Telefon sind und sagen, sie schicken eben mal eine Datei und dann dauert es je nach Einstellung bei deren Mailserver 10 min, mal nen Tag, manche E-Mails gehen ganz verloren. > > Ganz witzige Zustände gibt es auch immer wieder, wenn es Dreierkonferenzen gibt und nebenbei Mails verschickt werden, die der eine dann bekommt, der andere nicht. > > Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails über einen bekannten, manche über unbekannte SMTPs reinkommen. > > Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig ob Greylising aktiviert oder deaktiviert ist. > > -- > Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 > APIS Informationstechnologien GmbH . http://www.apis.de > Gewerbepark A 13, 93086 Wörth/Donau . Deutschland > Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) > Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From hb at mesacom.net Tue Aug 8 12:23:53 2017 From: hb at mesacom.net (Heinrich Boeder) Date: Tue, 8 Aug 2017 12:23:53 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: <43db0379-6637-4b6d-88f8-ca29e500ed28@Bitbucket> Hi Jürgen, Am 2017-08-08 11:56, Jürgen Gmachschrieb: > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das Greylisting deaktivieren, weil andere Mailserver damit Probleme haben, und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen. Genau das selbe Problem habe ich momentan auch. Natürlich wird der eigene MXer irgendwann eine Menge IPs gelernt haben, doch bis es soweit ist dauert es halt recht lange. Bei uns kommt hinzu, dass unsere Installation sehr klein ist (ca. 15 User). Da ist nicht soooo mega viel Traffic. > Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails über einen bekannten, manche über unbekannte SMTPs reinkommen. Das habe ich auch festgestellt. Ich hatte gerade heute den Fall, das eine E-Mail reingekommen ist, welche bei jedem Zustellversuch von einer anderen IP aus dem Subnetz gesendet wurde. Da die IPs immer rotiert sind und nacheinander "abgearbeitet" wurden, erfolgt die Zustellung mit 4h Verspätung da dann die 1. IP erneut für den Versand benutzt wurde. > Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig ob Greylising aktiviert oder deaktiviert ist. Das ist auch mein Gefühl. Ich habe 2008 bereits meine ersten Erfahrungen mit Greylisting gesammelt. Damals haben die meisten Spammer allerdings nach dem "Fire&Forget" Prinzip gehandelt. Daher war Greylisting damals das Mittel der Wahl. Die Vorteile von Greylisting scheinen heute nicht mehr so gravierend zu sein - ganz im Gegenteil. Ist aber mein persönlicher Eindruck. - heinrich hb at mesacom.net key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8BFB5 2C7A 506E 9BFD 9B5F -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ms at ddnetservice.de Tue Aug 8 14:50:40 2017 From: ms at ddnetservice.de (Michael Seevogel) Date: Tue, 8 Aug 2017 14:50:40 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: <08ec1db1-4933-cd65-d3d2-616e3ecb4b6e@ddnetservice.de> Am 08.08.2017 um 11:29 schrieb Heinrich Boeder: > Hallo liebe Postfix-User, > ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach > der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum > Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das > Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem > mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle > auch etwas. > Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting? Moin, also ich setze Postscreen mit deep protocol tests ein und habe daher ein ähnliches Problem wie beim klassischen Greylisting. In meinem Fall würde es dann nur helfen, die Mailserver zu whitelisten, oder die deep protocol tests zu deaktivieren. Um den Bogen zum Greylisting wieder kriegen: Greylisting ansich finde ich mittlerweile überholt, falls Du es aber dennoch weiterhin benutzen möchtest, dann kann ich Dir noch den Tipp mitgeben Postgrey - sofern Du Postgrey einsetzt - nicht direkt anzusprechen, sondern Postgrey über postfwd2 anzusteuern. Mit postwd2 kannst Du nämlich durch Regelwerke u.a. auch zeitlich basiertes Greylisting fahren. Der Vorteil dabei ist, dass Du Regeln erstellen kannst, die Postgrey z.B. zu den Kernarbeitszeiten deaktiviert und z.B. ab 20:00 bis 06:00 morgens wieder aktiviert. Beste Grüße Michael Seevogel From p.heinlein at heinlein-support.de Wed Aug 9 11:23:42 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 9 Aug 2017 11:23:42 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> Am 08.08.2017 um 11:29 schrieb Heinrich Boeder: Hallo, > ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach > der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum > Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das > Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem > mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle > auch etwas. > > Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting? Greylisting ist total und absolut sinnvoll. a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro Botnetz-server, unterhalb vom Radar) und derzeit sehr stark wieder b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten). RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus hat neue ;echanismen implementiert um neue Daten noch schneller in den Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er durch kann, ist die IP auf der Blacklist. Ich beobachte auch nicht, daß Spammer Greylisting überlegen. Das tun gehackte Accounst etc. naturgemäß, aber keine Botnetze. eben weil es 8siehe auch eben oben dazu) es für den Spammer keinen Sinn macht. Wird seit 15 Jahren behauptet das spammer das ja "nur machen müßten" -- richtig -- ändert sich aber auch seit 15 Jahren nichts dran, daß es für sie viele Nachteile und trotzdem technische Schwierigekeiten gibt. Für mich ist Greylisting im Bereich Spam, vor allem aber auch Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. Peer From hb at mesacom.net Wed Aug 9 13:03:33 2017 From: hb at mesacom.net (Heinrich Boeder) Date: Wed, 9 Aug 2017 13:03:33 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> Message-ID: <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> Hallo Peer, Am 2017-08-09 12:50, Peer Heinleinschrieb: > Für mich ist Greylisting im Bereich Spam, vor allem aber auch Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. EmpfiehlstDu "normales" Greylisting oder eine andere Variante wie Postgrey oder ähnliches? Oder anders ... was setzt Du ein? LG - heinrich hb at mesacom.net key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8BFB5 2C7A 506E 9BFD 9B5F -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Wed Aug 9 14:05:18 2017 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 9 Aug 2017 14:05:18 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> Message-ID: <000a01d31107$c4f10750$4ed315f0$@fblan.de> Im Auftrag von Heinrich Boeder > Hallo Peer, > > > > Am 2017-08-09 12:50, Peer Heinlein > schrieb: > > Für mich ist Greylisting im Bereich Spam, vor allem aber auch > Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. > > Empfiehlst Du "normales" Greylisting oder eine andere Variante wie > Postgrey oder ähnliches? Oder anders ... was setzt Du ein? Selektives Greylisting DE SERVER in der Regel ohne Greylisting Bzw. alle anderen entsprechend ihrer Toplevel oder aufgrund ihrer generischen PTR je nachdem Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From listserv at xtlv.cn Sun Aug 13 22:31:39 2017 From: listserv at xtlv.cn (Mario Arnold) Date: Sun, 13 Aug 2017 22:31:39 +0200 Subject: Probleme mit STARTTLS Message-ID: <5990B72B.3020204@xtlv.cn> Hallo, seit einem Update bekomme ich beim Versenden von eMails von manchen Clients u.a. von roundcube folgende Fehlermeldung: Submission_in/smtpd[7236]: warning: TLS library problem: error:1417D18C:SSL routines:tls_process_client_hello:version too low:../ssl/statem/statem_srvr.c:974: Welche Einstellung muß ich anpassen, um die TLS-Versionen wieder "kompatibel" zu machen. Wurde irgendwo generell TLS1.0 & 1.1 abgeschaltet? Vielen Dank für die Hilfe und einen guten Start in die Woche! Mario -- Persönlich IS0-Zertifiziert in angewandter Kompetenzsimulation. From t.berthel at gmx.net Mon Aug 14 10:24:43 2017 From: t.berthel at gmx.net (t.berthel at gmx.net) Date: Mon, 14 Aug 2017 10:24:43 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: Hallo zusammen, ich hätte da eine Frage zu recipient_access, ich würde gern nur Empfängern in dieser Liste Mails zustellen lassen wollen und alle "nicht" exsistierenden / falschen Empfängeradressen schon am smtp-proxy (postfix) blockieren lassen. Ich habe zum Test die folgende recipient_access in smtpd_recipient_restrictions hinzugefügt: smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_recipient_access hash:/etc/postfix/recipient_access, permit_mynetworks, permit In dieser "check_recipient_access hash:/etc/postfix/recipient_access" habe ich meine Adresse mal mit REJECT hinterlegt, dies hat soweit gut funktioniert: This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: user.name at my.domain.de: SMTP error from remote server for RCPT TO command, host: mail.my.domain.de (yyy.yyy.yyy.yyy) reason: 554 5.7.1 : Recipient address rejected: Access denied Jetzt würde ich gerne alle meine Adressen die im Exchange bereitgestellt wurden in der recipient_access hinterlegen wollen und mit OK zulassen, alles andere würde ich gleich mit einem REJECT abweisen wollen, bevor es den Exchange erreicht. Jedoch wie weise ich alle anderen Empfängeradressen ab die von extern bei mir aufschlagen? Ist das der falsche Weg dafür? Was ich bisher gefunden habe ist dieses Vorgehen, jedoch bin ich mir nicht sicher ob ich das so verwenden kann, oder es eine andere Möglichkeit geben würde um meine withelist zu verwenden. https://vicky2183.wordpress.com/2010/07/09/postfix-per-recipient-sender-restrictions/ VG From jost+lists at dimejo.at Mon Aug 14 12:23:16 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Mon, 14 Aug 2017 12:23:16 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: Am 14.08.2017 um 10:24 schrieb t.berthel at gmx.net: > Hallo zusammen, > > ich hätte da eine Frage zu recipient_access, ich würde gern nur Empfängern in dieser Liste Mails zustellen lassen wollen und alle "nicht" exsistierenden / falschen Empfängeradressen schon am smtp-proxy (postfix) blockieren lassen. > > Ich habe zum Test die folgende recipient_access in smtpd_recipient_restrictions hinzugefügt: > > > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_non_fqdn_hostname, > reject_non_fqdn_recipient, > reject_unknown_recipient_domain, > check_recipient_access hash:/etc/postfix/recipient_access, > permit_mynetworks, > permit > > > In dieser "check_recipient_access hash:/etc/postfix/recipient_access" habe ich meine Adresse mal mit REJECT hinterlegt, dies hat soweit gut funktioniert: > > > This message was created automatically by mail delivery software. > > A message that you sent could not be delivered to one or more of > its recipients. This is a permanent error. The following address(es) > failed: > > user.name at my.domain.de: > SMTP error from remote server for RCPT TO command, host: mail.my.domain.de (yyy.yyy.yyy.yyy) reason: 554 5.7.1 : Recipient address rejected: Access > denied > > > Jetzt würde ich gerne alle meine Adressen die im Exchange bereitgestellt wurden in der recipient_access hinterlegen wollen und mit OK zulassen, alles andere würde ich gleich mit einem REJECT abweisen wollen, bevor es den Exchange erreicht. Jedoch wie weise ich alle anderen Empfängeradressen ab die von extern bei mir aufschlagen? > > Ist das der falsche Weg dafür? Was ich bisher gefunden habe ist dieses Vorgehen, jedoch bin ich mir nicht sicher ob ich das so verwenden kann, oder es eine andere Möglichkeit geben würde um meine withelist zu verwenden. > https://vicky2183.wordpress.com/2010/07/09/postfix-per-recipient-sender-restrictions/ > > VG > Für diesen Fall ist eigentlich 'reject_unverified_recipient' gedacht. Damit wird bei Deinem Exchange nachgefragt, ob der Empfänger existiert, und dementsprechend angenommen oder abgewiesen. Du ersparst Dir damit das Pflegen einer Empfängerliste. http://www.postfix.org/postconf.5.html#reject_unverified_recipient -- Alex JOST From t.berthel at gmx.net Mon Aug 14 13:33:36 2017 From: t.berthel at gmx.net (t.berthel at gmx.net) Date: Mon, 14 Aug 2017 13:33:36 +0200 Subject: postfix recipient_access list References: Message-ID: Hallo, danke für deine schnelle Antwort. >Für diesen Fall ist eigentlich 'reject_unverified_recipient' gedacht. >Damit wird bei Deinem Exchange nachgefragt, ob der Empfänger existiert, >und dementsprechend angenommen oder abgewiesen. Du ersparst Dir damit >das Pflegen einer Empfängerliste. >http://www.postfix.org/postconf.5.html#reject_unverified_recipient Ich habe es mal getestet, jedoch kommt der Bounce dennoch von meinem Exchange? Ist die Position von evtl. falsch platziert? > > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_non_fqdn_hostname, > reject_non_fqdn_recipient, > reject_unknown_recipient_domain, < reject_unverified_recipient,> > check_recipient_access hash:/etc/postfix/recipient_access, > permit_mynetworks, > permit > VG PS: Sonderzeichen sind natürlich nicht hinterlegt ;) From news at amaltea.de Mon Aug 14 14:57:48 2017 From: news at amaltea.de (Paul) Date: Mon, 14 Aug 2017 14:57:48 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: Am 14.08.2017 um 13:33 schrieb t.berthel at gmx.net: > Hallo, > > danke für deine schnelle Antwort. > > >> Für diesen Fall ist eigentlich 'reject_unverified_recipient' gedacht. >> Damit wird bei Deinem Exchange nachgefragt, ob der Empfänger existiert, >> und dementsprechend angenommen oder abgewiesen. Du ersparst Dir damit >> das Pflegen einer Empfängerliste. >> http://www.postfix.org/postconf.5.html#reject_unverified_recipient > > Ich habe es mal getestet, jedoch kommt der Bounce dennoch von meinem Exchange? Ist die Position von evtl. falsch platziert? > >> >> smtpd_recipient_restrictions = >> reject_invalid_hostname, >> reject_non_fqdn_hostname, >> reject_non_fqdn_recipient, >> reject_unknown_recipient_domain, > < reject_unverified_recipient,> >> check_recipient_access hash:/etc/postfix/recipient_access, >> permit_mynetworks, >> permit >> Eventuell muss Exchange auch konfiguriert werden. https://www.heinlein-support.de/blog/mailserver/exchange-2013-dynamische-empfaengerpruefung-fuer-postfix/ Falls du Exchange dazu nicht bringen kannst, dann hast du die Möglichkeit entweder die Liste manuell zu pflegen oder dir die Liste mit Skripten erzeugen zu lassen, je nachdem welche Möglichkeiten du hast. Es soll wohl auch der Direktzugriff auf den Domänecontroller möglich sein, aber das habe ich bzw wollte ich noch nicht umsetzen. > > VG > > PS: Sonderzeichen sind natürlich nicht hinterlegt ;) > From gjn at gjn.priv.at Mon Aug 14 16:46:27 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Mon, 14 Aug 2017 16:46:27 +0200 Subject: letsencrypt postfix Message-ID: <2775958.r8VKEmsIbQ@techz> Hallo Liste, Ich habe ein Problem mit meinen Postfixen ;-) Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun anscheinend im Wald.... ;-) Bevor ich umgestellt hatte, hat alles funktioniert ? welches File braucht postfix von letsencrypt "cert.pem, chain.pem, fullchain.pem" Aber eigentlich habe ich alle durchprobiert Es scheint irgend etwas mit den Zertifikaten zu sein ? 1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde wieder mal nichts darüber im Inet. 2: Jetzt nach der Umstellung bekomme ich solche Mails. Transcript of session follows. Out: 220 mx01.4gjn.com ESMTP Postfix In: EHLO www.example.com Out: 250-mx01.example.com Out: 250-PIPELINING Out: 250-SIZE 20480000 Out: 250-VRFY Out: 250-ETRN Out: 250-STARTTLS Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: STARTTLS Out: 454 4.7.0 TLS not available due to local problem In: MAIL FROM: SIZE=419 Out: 250 2.1.0 Ok In: RCPT TO: ORCPT=rfc822;root at 4gjn.com Out: 450 4.7.1 Session encryption is required In: DATA Out: 554 5.5.1 Error: no valid recipients In: RSET Out: 250 2.0.0 Ok In: QUIT Out: 221 2.0.0 Bye der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!! Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:722: Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c: 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'): Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:140DC002:SSL routines:SSL_CTX_use Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is required (in reply to RCPT TO command) Wo ist da der Wurm auf einmal drin ? ### TLS ###### # ## smtpd_tls_auth_only = yes smtpd_use_tls = yes smtpd_tls_loglevel = 1 smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes #smtpd_tls_CApath = /etc/pki/certs #smtpd_tls_CAfile = /etc/pki/tls/certs.pem #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem smtpd_tls_key_file = /etc/pki/tls/private/example.com.key smtpd_tls_security_level = may #smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem #smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem #smtpd_tls_eecdh_grade = ultra # TLS outgoing smtp_tls_security_level = may smtp_tls_loglevel = 1 #smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem #smtp_tls_key_file = /etc/pki/tls/private/example.com.key Übrigens der normale Mail Empfang funktioniert ?? -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From martin at lichtvoll.de Mon Aug 14 17:20:59 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Mon, 14 Aug 2017 17:20:59 +0200 Subject: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: <7631917.OAqF6qmTWt@merkaba> Hallo Günther. Günther J. Niederwimmer - 14.08.17, 16:46: > Ich habe ein Problem mit meinen Postfixen ;-) > > Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe > nun anscheinend im Wald.... ;-) > > Bevor ich umgestellt hatte, hat alles funktioniert ? > welches File braucht postfix von letsencrypt "cert.pem, chain.pem, > fullchain.pem" Bei mir funktioniert: # TLS smtpd_tls_cert_file = /var/lib/dehydrated/certs/lichtvoll.de/fullchain.pem smtpd_tls_key_file = /var/lib/dehydrated/certs/lichtvoll.de/privkey.pem smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem smtpd_tls_eecdh_grade = strong tls_preempt_cipherlist = yes smtpd_tls_exclude_ciphers = RC4, aNULL smtp_tls_exclude_ciphers = RC4, aNULL Hab jetzt nach der Arbeit keinen Nerv Deine Konfig und Logs detaillierter durchzuschauen. Vielleicht findest Du ja einen Hinweis. Das dh2048.pem musst natürlich erstellen. Wie hab ich auch gerade nicht mehr im Kopf, gibt aber glaub einen Blog-Artikel bei Heinlein dazu. Kannst natürlich erstmal die Standard-Datei da verwenden. Ciao, -- Martin From stefan.schwarz at gmx.com Mon Aug 14 17:24:43 2017 From: stefan.schwarz at gmx.com (Stefan Schwarz) Date: Mon, 14 Aug 2017 17:24:43 +0200 Subject: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: <165fce23-c5bc-c521-4076-03b4a481738a@gmx.com> "smtpd_tls_cert_file" ist falsch, die fullchain enthält nicht den pubkey sondern die intermediates. smtpd_tls_cert_file= /etc/postfix/ZERT.crt smtpd_tls_key_file= /etc/postfix/KEY.key smtpd_tls_CAfile= /etc/postfix/INTERMEDIATES.fullchain Am 14.08.2017 um 16:46 schrieb Günther J. Niederwimmer: > Hallo Liste, > Ich habe ein Problem mit meinen Postfixen ;-) > > Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun > anscheinend im Wald.... ;-) > > Bevor ich umgestellt hatte, hat alles funktioniert ? > welches File braucht postfix von letsencrypt "cert.pem, chain.pem, > fullchain.pem" > > Aber eigentlich habe ich alle durchprobiert > > Es scheint irgend etwas mit den Zertifikaten zu sein ? > 1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde > wieder mal nichts darüber im Inet. > > 2: Jetzt nach der Umstellung bekomme ich solche Mails. > > Transcript of session follows. > > Out: 220 mx01.4gjn.com ESMTP Postfix > In: EHLO www.example.com > Out: 250-mx01.example.com > Out: 250-PIPELINING > Out: 250-SIZE 20480000 > Out: 250-VRFY > Out: 250-ETRN > Out: 250-STARTTLS > Out: 250-ENHANCEDSTATUSCODES > Out: 250-8BITMIME > Out: 250 DSN > In: STARTTLS > Out: 454 4.7.0 TLS not available due to local problem > In: MAIL FROM: SIZE=419 > Out: 250 2.1.0 Ok > In: RCPT TO: ORCPT=rfc822;root at 4gjn.com > Out: 450 4.7.1 Session encryption is required > In: DATA > Out: 554 5.5.1 Error: no valid recipients > In: RSET > Out: 250 2.0.0 Ok > In: QUIT > Out: 221 2.0.0 Bye > > der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!! > > Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: > 4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: > Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: > 4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system > lib:ssl_rsa.c:722: > Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from > file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support > Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: > 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c: > 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'): > Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: > 4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: > Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: > 4003:error:140DC002:SSL routines:SSL_CTX_use > > Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host > mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is > required (in reply to RCPT TO command) > > Wo ist da der Wurm auf einmal drin ? > > ### TLS ###### > # > ## > smtpd_tls_auth_only = yes > smtpd_use_tls = yes > smtpd_tls_loglevel = 1 > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2,!SSLv3 > smtpd_tls_received_header = yes > #smtpd_tls_CApath = /etc/pki/certs > #smtpd_tls_CAfile = /etc/pki/tls/certs.pem > > #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem > smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem > > #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem > smtpd_tls_key_file = /etc/pki/tls/private/example.com.key > > smtpd_tls_security_level = may > #smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem > #smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem > #smtpd_tls_eecdh_grade = ultra > > # TLS outgoing > smtp_tls_security_level = may > smtp_tls_loglevel = 1 > #smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem > #smtp_tls_key_file = /etc/pki/tls/private/example.com.key > > Übrigens der normale Mail Empfang funktioniert ?? > From christian at kohlsted.de Mon Aug 14 17:35:49 2017 From: christian at kohlsted.de (Christian Kohlstedde) Date: Mon, 14 Aug 2017 17:35:49 +0200 Subject: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: Hallo Günther, er kann aus Gründen das Zertifikat erst gar nicht lesen. Ich würde da dann blind entweder auf unzureichende Rechte oder einen Tippfehler im Pfad tippen. Viele Grüße Christian Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer: > Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: > 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From harald.witt at dpfa.de Mon Aug 14 17:46:02 2017 From: harald.witt at dpfa.de (Harald Witt) Date: Mon, 14 Aug 2017 17:46:02 +0200 Subject: AW: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: <000301d31514$6f2bff80$4d83fe80$@dpfa.de> Hallo Günther, vielleicht liegt es ja nur am Neustart des Service (siehe --post-hook unten)? Oder dein Postfix braucht noch eine Datei? Ich hatte da mal ein Problem dem guten alten Courier. Der POP3-Server wollte unbedingt den privaten Schlüssel und die Fullchain in einer Datei haben, wass natürlich ein Risiko ist ;-) Habe dann in der /etc/cron.d/certbot nach "-q renew" die Zeile erweitert: --post-hook /var/xyz/restart_mailservices.sh Und da steht drin: #!/bin/sh cd /etc/letsencrypt/live/my.domain.de/ cat privkey.pem fullchain.pem >/etc/courier/certbot-courier.pem systemctl restart courier-pop-ssl.service systemctl restart postfix.service Und schon funktionierte das hervorragend :-) Muss noch dazu schreiben, dass ich Debian 8.9 habe und nicht das Postfix-Plugin vom certbot benutze. Die Aktualisierung läuft bei mir über eine SSL-Seite des Apache: pop.my.domain.de-le-ssl.conf bzw. mail.my.domain.de-le-ssl.conf HTH Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Günther J. Niederwimmer Gesendet: Montag, 14. August 2017 16:46 An: postfixbuch-users at listi.jpberlin.de Betreff: letsencrypt postfix Hallo Liste, Ich habe ein Problem mit meinen Postfixen ;-) Ich wollte meinen postfix auf ein Letsencrypt Zertifikat umstellen und stehe nun anscheinend im Wald.... ;-) Bevor ich umgestellt hatte, hat alles funktioniert ? welches File braucht postfix von letsencrypt "cert.pem, chain.pem, fullchain.pem" Aber eigentlich habe ich alle durchprobiert Es scheint irgend etwas mit den Zertifikaten zu sein ? 1: Könnt Ihr mir sagen was postfix voraussetzt, bei den Rechten. Ich finde wieder mal nichts darüber im Inet. 2: Jetzt nach der Umstellung bekomme ich solche Mails. Transcript of session follows. Out: 220 mx01.4gjn.com ESMTP Postfix In: EHLO www.example.com Out: 250-mx01.example.com Out: 250-PIPELINING Out: 250-SIZE 20480000 Out: 250-VRFY Out: 250-ETRN Out: 250-STARTTLS Out: 250-ENHANCEDSTATUSCODES Out: 250-8BITMIME Out: 250 DSN In: STARTTLS Out: 454 4.7.0 TLS not available due to local problem In: MAIL FROM: SIZE=419 Out: 250 2.1.0 Ok In: RCPT TO: ORCPT=rfc822;root at 4gjn.com Out: 450 4.7.1 Session encryption is required In: DATA Out: 554 5.5.1 Error: no valid recipients In: RSET Out: 250 2.0.0 Ok In: QUIT Out: 221 2.0.0 Bye der Client von dem die Mail kommt meint auch da fehlt das Zertifikat!! Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 4002:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: Aug 14 16:12:39 bbs postfix/smtp[4002]: warning: TLS library problem: 4002:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:722: Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: cannot get RSA certificate from file /etc/letsencrypt/live/www.4gjn.com/cert.pem: disabling TLS support Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c: 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'): Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: Aug 14 16:12:39 bbs postfix/smtp[4003]: warning: TLS library problem: 4003:error:140DC002:SSL routines:SSL_CTX_use Aug 14 16:12:39 bbs postfix/smtp[4003]: 58BB641676BB: host mx01.example.com[xxx.xxx.xxx.xxx] said: 450 4.7.1 Session encryption is required (in reply to RCPT TO command) Wo ist da der Wurm auf einmal drin ? ### TLS ###### # ## smtpd_tls_auth_only = yes smtpd_use_tls = yes smtpd_tls_loglevel = 1 smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes #smtpd_tls_CApath = /etc/pki/certs #smtpd_tls_CAfile = /etc/pki/tls/certs.pem #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem smtpd_tls_key_file = /etc/pki/tls/private/example.com.key smtpd_tls_security_level = may #smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem #smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem #smtpd_tls_eecdh_grade = ultra # TLS outgoing smtp_tls_security_level = may smtp_tls_loglevel = 1 #smtp_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem #smtp_tls_key_file = /etc/pki/tls/private/example.com.key Übrigens der normale Mail Empfang funktioniert ?? -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From christian at kohlsted.de Mon Aug 14 17:48:41 2017 From: christian at kohlsted.de (Christian Kohlstedde) Date: Mon, 14 Aug 2017 17:48:41 +0200 Subject: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: Nachtrag: Ich würde auf Grund deines Konfigurationsauszugs darauf tippen, dass du zwar das Cert File angepasst hast, aber jedoch nicht das Key File. Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer: > #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem > smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem > > #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem > smtpd_tls_key_file = /etc/pki/tls/private/example.com.key -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: OpenPGP digital signature URL : From gjn at gjn.priv.at Mon Aug 14 18:01:10 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Mon, 14 Aug 2017 18:01:10 +0200 Subject: letsencrypt postfix In-Reply-To: References: <2775958.r8VKEmsIbQ@techz> Message-ID: <5631598.ioUXVfSzFP@techz> Hallo Liste, Am Montag, 14. August 2017, 17:48:41 CEST schrieb Christian Kohlstedde: > Nachtrag: Ich würde auf Grund deines Konfigurationsauszugs darauf > tippen, dass du zwar das Cert File angepasst hast, aber jedoch nicht das > Key File. > > Am 14.08.17 um 16:46 schrieb Günther J. Niederwimmer: > > #smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem > > smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem > > > > #smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem > > smtpd_tls_key_file = /etc/pki/tls/private/example.com.key Danke für Eure Hilfe ! War wieder mal ein copy and paste Fehler :-((. Ich habe es jetzt Tagelang einfach überlesen .......... Sch............. wenn man sich die Fehler selbst einbaut. Und Du hattest Recht war im Key Pfad, da war etwas mehr als hingehörte. :-(( -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From postfixbuch-users at list-post.mks-mail.de Mon Aug 14 17:56:43 2017 From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=c3=b6nhaber?=) Date: Mon, 14 Aug 2017 17:56:43 +0200 Subject: letsencrypt postfix In-Reply-To: <2775958.r8VKEmsIbQ@techz> References: <2775958.r8VKEmsIbQ@techz> Message-ID: 14.08.2017, 16:46 CEST, Günther J. Niederwimmer: > 4003:error:02001002:system library:fopen:No such file or directory:bss_file.c: > 398:fopen('/etc/letsencrypt/live/www.4gjn.com/cert.pem','r'): aber angeblich > smtpd_tls_cert_file = /etc/letsencrypt/live/www.example.com/fullchain.pem Deswegen will man lieber die Ausgabe von postconf -n haben als irgendwelche Konfigurationsschnipsel. Denn dann kann man einigermaßen sicher sein, dass man die tatsächlich verwendete Konfig zu sehen bekommt. -- Gruß mks From toag at izsr.de Mon Aug 14 18:34:48 2017 From: toag at izsr.de (Tim-Ole) Date: Mon, 14 Aug 2017 18:34:48 +0200 Subject: Spams von gehosteten Systemen? Message-ID: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> Moin, Liste, das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand missbraucht wurde. In der Regel haben wir dies schnell erkannt und abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver als Spamschleuder missbraucht werden und auf Blacklists landen. Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von ?localhost?? Oder striktem Verbieten von ?mynetworks?? Gerade Newsletter, Mails von Webformularen o.ä. sollen ja aber gewollt über die Server verschickt werden. Vielen Dank im Voraus für etwas Input! :) Schöne Grüße Tim-Ole From sebastian at debianfan.de Mon Aug 14 18:59:55 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 14 Aug 2017 15:59:55 -0100 Subject: Spams von gehosteten Systemen? In-Reply-To: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> Message-ID: <97F2A4E5-E22C-4157-A512-3776806DF1A9@debianfan.de> Viele große Provider lassen den Versand aus ihren Netzen gar nicht mehr zu sondern verlangen ein relaying über die smtp-Server des Providers. > Am 14.08.2017 um 15:34 schrieb Tim-Ole : > > Moin, Liste, > > das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand missbraucht wurde. In der Regel haben wir dies schnell erkannt und abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver als Spamschleuder missbraucht werden und auf Blacklists landen. > > Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von ?localhost?? Oder striktem Verbieten von ?mynetworks?? Gerade Newsletter, Mails von Webformularen o.ä. sollen ja aber gewollt über die Server verschickt werden. > > Vielen Dank im Voraus für etwas Input! :) > > Schöne Grüße > > Tim-Ole > > From harald.witt at dpfa.de Mon Aug 14 19:25:06 2017 From: harald.witt at dpfa.de (Harald Witt) Date: Mon, 14 Aug 2017 19:25:06 +0200 Subject: AW: Spams von gehosteten Systemen? In-Reply-To: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> Message-ID: <000c01d31522$46386a10$d2a93e30$@dpfa.de> Hallo Tim-Ole, hatte exakt das gleiche Problem. PolicyD V2 (Cluebringer) war die Super-Lösung. Habe mittels Policies und Quotas die Anzahl der Mails von gehosteten Mail-Domains (internal) nach extern auf 200 pro Tag begrenzt. Wenn da ein Account gekackt wird, landet man noch nicht auf einer Blacklist. Der Betroffene meldet sich dann schon, weil er nicht mehr senden kann. Dann folgt das Übliche: Malware entfernen, Passwort ändern und dann evtl. den counter in der Tabelle "quotas_tracking" zurücksetzen. Mir hat das in den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu landen. HTH Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Tim-Ole Gesendet: Montag, 14. August 2017 18:35 An: postfixbuch-users at listen.jpberlin.de Betreff: Spams von gehosteten Systemen? Moin, Liste, das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand missbraucht wurde. In der Regel haben wir dies schnell erkannt und abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver als Spamschleuder missbraucht werden und auf Blacklists landen. Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von „localhost“? Oder striktem Verbieten von „mynetworks“? Gerade Newsletter, Mails von Webformularen o.ä. sollen ja aber gewollt über die Server verschickt werden. Vielen Dank im Voraus für etwas Input! :) Schöne Grüße Tim-Ole From toag at izsr.de Mon Aug 14 20:31:50 2017 From: toag at izsr.de (Tim-Ole) Date: Mon, 14 Aug 2017 20:31:50 +0200 Subject: Spams von gehosteten Systemen? In-Reply-To: <000c01d31522$46386a10$d2a93e30$@dpfa.de> References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> <000c01d31522$46386a10$d2a93e30$@dpfa.de> Message-ID: Hallo, Harald, > hatte exakt das gleiche Problem. > PolicyD V2 (Cluebringer) war die Super-Lösung. > > Mir hat das in > den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu > landen. vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich ;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält? Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus dem ?Nichts? auftauchen - in den Logs kommt die initiale Verbindung dann von 127.0.0.1 zustande :\ Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem Server als prozess, befürchte ich :\ Schöne Grüße Tim-Ole From martin at lichtvoll.de Mon Aug 14 21:18:46 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Mon, 14 Aug 2017 21:18:46 +0200 Subject: Spams von gehosteten Systemen? In-Reply-To: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> Message-ID: <5448581.LhpMq7iLmk@merkaba> Hallo Tim-Ole. Tim-Ole - 14.08.17, 18:34: > das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich > habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer > wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand > missbraucht wurde. In der Regel haben wir dies schnell erkannt und > abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, > aber gelegentlich kommt es leider doch vor, dass unsere Web- oder > Mailserver als Spamschleuder missbraucht werden und auf Blacklists landen. Von mir nur ein Dankeschön, dass Du da Abhilfe schaffen möchtest. Ich hab eine ziemlich Liste solcher VMs in meiner sender-Blacklist. Danke, -- Martin From harald.witt at dpfa.de Mon Aug 14 21:43:50 2017 From: harald.witt at dpfa.de (Harald Witt) Date: Mon, 14 Aug 2017 21:43:50 +0200 Subject: AW: Spams von gehosteten Systemen? In-Reply-To: References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> <000c01d31522$46386a10$d2a93e30$@dpfa.de> Message-ID: <001e01d31535$a77eee80$f67ccb80$@dpfa.de> Hallo Tom-Ole, das Ganze ist schon etwas verwirrend, wenn man da so rumgoogelt. Ich glaube Peer hat mich irgendwann mal auf die richtige Fährte gebracht - Danke Peer! Ein PolicyD (ein policy deamon) nutzt die seit Version 2.1 in Postfix vorhandene Schnittstelle, um externe "Programme" Entscheidungen auf Grund von Regeln (policies) treffen zu lassen, was mit einer E-Mail passieren soll. Der Vater von Postfix (Wietse Venema) hat diese Schnittstelle implementiert, um die komplexen und vor allem über die Zeit sehr dynamischen Sachen aus dem SMTP-Core rauszuhalten. Die Zauberei findet in der main.cf von postfix statt: smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10031, ... Das auf Port 10031 ist Cluebringer. Auf Port 10023 läuft postgray. Und da gibt es ja auch noch policyd-weight um das Filtern von Spam zu wichten :-) Verwirrt? Nein, denn Cluebringer bringt einiges davon zusammen (Access Control, EHLO Checks, SPF Checks, Greylisting, Quotas, ..). Deshelab der Name PolicyD V2 (Cluebringer). Aber Cluebringer ist eben "nur" einer von einigen policyd's! Knie dich da mal richtig rein. Ich bin sicher, dass das dein Problem löst :-) Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Tim-Ole Gesendet: Montag, 14. August 2017 20:32 An: Diskussionen und Support rund um Postfix Betreff: Re: Spams von gehosteten Systemen? Hallo, Harald, > hatte exakt das gleiche Problem. > PolicyD V2 (Cluebringer) war die Super-Lösung. > > Mir hat das in > den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf > Blacklistst zu landen. vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich ;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält? Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus dem „Nichts“ auftauchen - in den Logs kommt die initiale Verbindung dann von 127.0.0.1 zustande :\ Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem Server als prozess, befürchte ich :\ Schöne Grüße Tim-Ole= From andreas.schulze at datev.de Tue Aug 15 07:37:56 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 15 Aug 2017 07:37:56 +0200 Subject: Akzeptanz / Verbreitung RFC 7505 Null MX Records und RFC 6186 SRV Records Records for Locating Email Services In-Reply-To: <2e1b5b10f44f412497a38eb49f3b05b5@ROD.kevag-telekom.net> References: <2e1b5b10f44f412497a38eb49f3b05b5@ROD.kevag-telekom.net> Message-ID: <647e732d-ee6b-b9a8-4313-1efdcc643792@datev.de> Am 08.08.2017 um 11:04 schrieb Benjamin Hück: > wie ist hier die Meinung / Akzeptanz zu den folgenden RFCs > · RFC 7505 - A ?Null MX? Service Resource Record for Domains That Accept No Mail definitiv wertvoll. Wir markieren mittlerweile alle Domains, die wir nicht aktiv für E-Mail nutzen, mit NullMX und mit anderen Flags entsprechend https://www.m3aawg.org/sites/default/files/m3aawg_parked_domains_bp-2015-12.pdf ( der Link geht gerade wegen OCSP-Fehlern nicht, aber der Google-Cache reicht für einen Überblick ) > · RFC 6186 - Use of SRV Records for Locating Email Submission/Access Services ich habe das auch mal probiert. Android -> fail iPad -> fail Thunderbird -> fail aufgegeben ... -- A. Schulze DATEV eG From news at amaltea.de Tue Aug 15 09:38:18 2017 From: news at amaltea.de (Paul) Date: Tue, 15 Aug 2017 09:38:18 +0200 Subject: Spams von gehosteten Systemen? In-Reply-To: References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> <000c01d31522$46386a10$d2a93e30$@dpfa.de> Message-ID: <0948bce3-df7b-cda3-b1c9-359d2f4cbb07@amaltea.de> Am 14.08.2017 um 20:31 schrieb Tim-Ole: > Hallo, Harald, > >> hatte exakt das gleiche Problem. >> PolicyD V2 (Cluebringer) war die Super-Lösung. >> >> Mir hat das in >> den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu >> landen. > > vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich ;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält? > > Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus dem ?Nichts? auftauchen - in den Logs kommt die initiale Verbindung dann von 127.0.0.1 zustande :\ > > Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem Server als prozess, befürchte ich :\ Pass mal den Wert für mail.log in der php.ini an. So solltest du sehen können, welches PHP-Skript die Mail erzeugt. http://php.net/manual/de/mail.configuration.php Gruß, Paul From t.berthel at gmx.net Tue Aug 15 13:56:00 2017 From: t.berthel at gmx.net (Thomas Berthel) Date: Tue, 15 Aug 2017 13:56:00 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> Hallo, danke für den Hinweis mit Exchange. Jedoch ist das nicht ganz mein Ziel, da ich es wie erwähnt gern mit der Liste im postfix verwalten würde/ möchte. Daher würde ich gern wissen wie ich die zugelassen Adressen eben zulassen und alles Weitere einfach reject'en lasse, ähnlich wie: hans at my.domain OK peter at my.doman OK .... OK .... OK *.my.domain REJECT Aber dies wird so nicht funktionieren. Hat jemand noch ein paar Ideen / Gedanken für mich zu diesem Thema? VG From Christian.Hoyer-Reuther at cac-chem.de Tue Aug 15 14:13:35 2017 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Tue, 15 Aug 2017 14:13:35 +0200 Subject: AW: postfix recipient_access list In-Reply-To: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> References: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE827D2E5@ex1> Hallo Thomas, relay_recipient_maps = hash:/etc/postfix/relay_recipients Und dann in smtpd_recipient_restrictions --> reject_unlisted_recipient In relay_recipients stehen dann alle zugelassenen Adressen: hans at my.domain OK peter at my.doman OK .... OK Was dort nicht drinsteht, wird rejected. Viele Grüße, Christian -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Thomas Berthel Gesendet: Dienstag, 15. August 2017 13:56 An: postfixbuch-users at listen.jpberlin.de Betreff: postfix recipient_access list Hallo, danke für den Hinweis mit Exchange. Jedoch ist das nicht ganz mein Ziel, da ich es wie erwähnt gern mit der Liste im postfix verwalten würde/ möchte. Daher würde ich gern wissen wie ich die zugelassen Adressen eben zulassen und alles Weitere einfach reject'en lasse, ähnlich wie: hans at my.domain OK peter at my.doman OK .... OK .... OK *.my.domain REJECT Aber dies wird so nicht funktionieren. Hat jemand noch ein paar Ideen / Gedanken für mich zu diesem Thema? VG From debian at slashproc.org Tue Aug 15 14:25:57 2017 From: debian at slashproc.org (Manfred Schmitt) Date: Tue, 15 Aug 2017 14:25:57 +0200 Subject: Probleme mit STARTTLS In-Reply-To: <5990B72B.3020204@xtlv.cn> References: <5990B72B.3020204@xtlv.cn> Message-ID: <20170815142557.286ac4ef.debian@slashproc.org> Mario Arnold schrieb: > seit einem Update bekomme ich beim Versenden von eMails von manchen Clients > u.a. von roundcube folgende Fehlermeldung: > > Submission_in/smtpd[7236]: warning: TLS library problem: error:1417D18C:SSL > [...] > Wurde irgendwo generell TLS1.0 & 1.1 abgeschaltet? > Ja, in OpenSSL in Debian unstable: https://www.heise.de/security/meldung/Debian-Entwicklungsversion-schaltet-TLS-1-0-und-1-1-ab-3794573.html Ich glaub aber erst einmal nicht das Roundcube kein TLS 1.2 unterstuetzt? Eine kurze google-Suche bestaetigt das auch grundsaetzlich. Man braucht aber wohl php-net-smtp >= 1.7.1, also z.B. min. Debian Stretch. Und wech, Manne From news at amaltea.de Tue Aug 15 15:14:25 2017 From: news at amaltea.de (Paul) Date: Tue, 15 Aug 2017 15:14:25 +0200 Subject: postfix recipient_access list In-Reply-To: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> References: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> Message-ID: <52f8436c-1711-d107-b213-e17fc151fc77@amaltea.de> Am 15.08.2017 um 13:56 schrieb Thomas Berthel: > Hallo, > > danke für den Hinweis mit Exchange. Jedoch ist das nicht ganz mein Ziel, > da ich es wie erwähnt gern mit der Liste im postfix verwalten würde/ > möchte. Dann habe ich dich vermutlich falsch verstanden. Du willst keine dynamische Empfängervalidierung sondern einfach nur eine statische Liste pflegen. In dem Fall: > Daher würde ich gern wissen wie ich die zugelassen Adressen eben > zulassen und alles Weitere einfach reject'en lasse, ähnlich wie: > > > > hans at my.domain OK > peter at my.doman OK > .... OK > .... OK > *.my.domain REJECT 1. Hier NUR die vorhandenen E-Mailadressen mit OK eintragen. relay_recipient_maps = hash:/etc/postfix/erlaubteemailadressen Inhalt von erlaubteemailadressen: ersteadresse at my.domain OK ... letzeadresse at my.doman OK 2. relay_domains = hash:/etc/postfix/relaydomainsgleichtransportmaps transport_maps = hash:/etc/postfix/relaydomainsgleichtransportmaps Inhalt von relaydomainsgleichtransportmaps: my.domain smtp:ip.adresse.des.exchange postmap und postfix reload nicht vergessen... Danach sollte das gewünscht Verhalen eintreten. > Aber dies wird so nicht funktionieren. Hat jemand noch ein paar Ideen / > Gedanken für mich zu diesem Thema? Wenn das nicht klappt, bitte einmal die Ausgabe von postconf -n schicken. Gruß, Paul From gjn at gjn.priv.at Tue Aug 15 16:45:35 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 15 Aug 2017 16:45:35 +0200 Subject: IPv6 Problem Message-ID: <3539522.b73lEgbv5c@techz> Hallo Liste, CentOS 7.3 Postfix 2.11.8 ich habe anscheinend ein IPv6 Problem bei meinem postfix ?? Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert nicht!! telnet: connect to address 2001:470:1f0b:371::203: Connection refused da weicht er auf IPv4 aus ? Ich hänge mal meine postconf -n an Ich hoffe jemand von Euch findet mein Problem oder kann mich in die richtige Richtung schubsen... ;-) Ich suche jetzt schon einige Tage :-(. -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From hb at mesacom.net Tue Aug 15 16:50:13 2017 From: hb at mesacom.net (Heinrich Boeder) Date: Tue, 15 Aug 2017 16:50:13 +0200 Subject: IPv6 Problem In-Reply-To: <3539522.b73lEgbv5c@techz> References: <3539522.b73lEgbv5c@techz> Message-ID: <02971cbb-ffc1-4c19-bbee-a28d57d5bbe5@Bitbucket> Hi Günther, Am 2017-08-15 16:47, Günther J. Niederwimmerschrieb: > Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert nicht!! Probier mal telnet 2001:470:1f0b:371::203 25 ... also telnet. Du hast zwei mal den Port angehängt (587 + 25) LG - heinrich hb at mesacom.net key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8 BFB5 2C7A 506E 9BFD 9B5F -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gjn at gjn.priv.at Tue Aug 15 16:55:27 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 15 Aug 2017 16:55:27 +0200 Subject: IPv6 Problem In-Reply-To: <02971cbb-ffc1-4c19-bbee-a28d57d5bbe5@Bitbucket> References: <3539522.b73lEgbv5c@techz> <02971cbb-ffc1-4c19-bbee-a28d57d5bbe5@Bitbucket> Message-ID: <2009923.ZXLYsOnaZQ@techz> Hallo Heinrich, Am Dienstag, 15. August 2017, 16:50:13 CEST schrieb Heinrich Boeder: > Hi Günther, > > Am 2017-08-15 16:47, Günther J. Niederwimmerschrieb: > > Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203 > > 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert > > nicht!! > Probier mal > telnet 2001:470:1f0b:371::203 25 > ... also telnet. Du hast zwei mal den Port angehängt (587 + 25) Das wrat ein Schreibfehler, ausserdem fehlt die postconf wird hirmit nachgereicht ;-) > LG > > - heinrich > hb at mesacom.net > key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8 BFB5 2C7A 506E 9BFD 9B5F -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer -------------- nächster Teil -------------- alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases amavisd_milter = inet:127.0.0.1:10024 bounce_template_file = /etc/postfix/bounce.de-DE.cf broken_sasl_auth_clients = yes command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 html_directory = no inet_interfaces = all inet_protocols = ipv6, ipv4 lmtp_dns_support_level = dnssec mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 20480000 milter_default_action = tempfail mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain myhostname = mx01.4gjn.com mynetworks = 127.0.0.0/8 192.168.100.0/24 192.168.55.0/24 89.26.108.0/28 [::1]/128 [2001:470:1f0b:371::]/64 myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix non_smtpd_milters = $smtpd_milters opendkim_milter = inet:127.0.0.1:8891 opendmarc_milter = inet:127.0.0.1:8893 postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr postscreen_bare_newline_action = drop postscreen_bare_newline_enable = yes postscreen_blacklist_action = drop postscreen_dnsbl_action = enforce postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3 b.barracudacentral.org*1 bad.psky.me*2 psbl.surriel.com bl.blocklist.de bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de swl.spamhaus.org*-2 list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].[0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 postscreen_dnsbl_threshold = 3 postscreen_dnsbl_ttl = 3h postscreen_dnsbl_whitelist_threshold = -1 postscreen_greet_action = enforce postscreen_non_smtp_command_enable = yes postscreen_pipelining_enable = yes postscreen_whitelist_interfaces = static:all queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES recipient_canonical_maps = hash:/etc/postfix/recipient_canonical_maps recipient_delimiter = + relay_domains = hash:/etc/postfix/relay_domains, sample_directory = /usr/share/doc/postfix-2.11.8/samples sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop smtp_dns_support_level = dnssec smtp_host_lookup = dns smtp_sasl_security_options = noplaintext, noanonymous smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2,!SSLv3 smtp_tls_security_level = dane smtp_tls_session_cache_database = btree:$(data_directory)/smtp_scache smtp_use_tls = yes smtpd_authorized_xforward_hosts = 127.0.0.0/8, 192.168.0.0/16, 89.26.108.7/32, [2001:470:1f0b:371::203]/128 smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname smtpd_milters = ${spf_milter},${opendkim_milter},${opendmarc_milter},${amavisd_milter} smtpd_recipient_restrictions = permit_sasl_authenticated, permit_auth_destination, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, reject smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, smtpd_sasl_tls_security_options = noanonymous, smtpd_sasl_type = dovecot smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/check_sender_access smtpd_tls_CAfile = /etc/pki/tls/cert.pem smtpd_tls_CApath = /etc/pki/tls/certs smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem smtpd_tls_eecdh_grade = ultra smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA. CAMELLIA256-SHA smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA. CAMELLIA256-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:$(data_directory)/smtpd_scache smtpd_use_tls = yes spf_milter = inet:127.0.0.1:8890 tls_preempt_cipherlist = yes tls_random_bytes = 128 transport_maps = hash:/etc/postfix/transport, $relay_domains, unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 virtual_alias_maps = hash:/etc/postfix/virtual virtual_transport = lmtps:inet:mailstore:24 From jra at byte.cx Tue Aug 15 17:01:19 2017 From: jra at byte.cx (Jens Adam) Date: Tue, 15 Aug 2017 17:01:19 +0200 Subject: postfix recipient_access list In-Reply-To: <52f8436c-1711-d107-b213-e17fc151fc77@amaltea.de> References: <45b03ada-ee18-55fc-f08c-b0ba36d03556@gmx.net> <52f8436c-1711-d107-b213-e17fc151fc77@amaltea.de> Message-ID: > >> >> >> hans at my.domain OK >> peter at my.doman OK >> .... OK >> .... OK >> *.my.domain REJECT > Kurze Anmerkung dazu: Man kann fast immer in solchen Fällen auch "permit_auth_destination" statt "OK" benutzen und hat so noch eine zusätzliche Sicherheit, falls aus irgendeinem Grund der Check an der falschen Stelle sitzen sollte, und im schlimmsten Fall mit "OK" ein Open-Relay entstanden wäre; ist bei check_recipient aber eher weniger kritisch. --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP URL : From bbu at mailbox.org Tue Aug 15 17:14:58 2017 From: bbu at mailbox.org (Bjoern Buerger) Date: Tue, 15 Aug 2017 17:14:58 +0200 Subject: IPv6 Problem In-Reply-To: <2009923.ZXLYsOnaZQ@techz> References: <3539522.b73lEgbv5c@techz> <02971cbb-ffc1-4c19-bbee-a28d57d5bbe5@Bitbucket> <2009923.ZXLYsOnaZQ@techz> Message-ID: Moin Moin, On 08/15/2017 04:55 PM, Günther J. Niederwimmer wrote: >> telnet 2001:470:1f0b:371::203 25 > inet_interfaces = all > inet_protocols = ipv6, ipv4 Das sieht schon sinnvoll aus. Du kannst noch ein smtp_bind_address6 mit der richtigen Adresse spendieren, aber das sollte auch so schon funktionieren. Ich vermute Dein Problem eher bei dem von Dir verwendeten Tunnel-Provider: he-net blockt per default port 25, um Missbrauch zu verhindern. Du musst auf https://ipv6.he.net/certification/ gehen und den Test bestehen ("sage"). Danach kannst Du über das Tunnel-Webinterface auch Port 25 für Dich freischalten lassen und alles wird funktionieren. Siehe auch: https://ipv6.he.net/certification/faq.php Bjørn From bjo at nord-west.org Tue Aug 15 17:11:34 2017 From: bjo at nord-west.org (Bjoern Franke) Date: Tue, 15 Aug 2017 17:11:34 +0200 Subject: IPv6 Problem In-Reply-To: <3539522.b73lEgbv5c@techz> References: <3539522.b73lEgbv5c@techz> Message-ID: Moin > CentOS 7.3 > Postfix 2.11.8 > > ich habe anscheinend ein IPv6 Problem bei meinem postfix ?? > > Ich komme einfach nicht per IPv6 auf Port 25 > > telnet 2001:470:1f0b:371::203 587 > funktioniert, > Du musst in den Einstellungen deines HE-IPv6-Tunnels erst SMTP freischalten, damit Verbindungen auf Port 25/TCP möglich sind. Viele Grüße Björn From christian at bricart.de Tue Aug 15 17:13:02 2017 From: christian at bricart.de (Christian Bricart) Date: Tue, 15 Aug 2017 17:13:02 +0200 Subject: IPv6 Problem In-Reply-To: <2009923.ZXLYsOnaZQ@techz> References: <3539522.b73lEgbv5c@techz> <02971cbb-ffc1-4c19-bbee-a28d57d5bbe5@Bitbucket> <2009923.ZXLYsOnaZQ@techz> Message-ID: <2f7ac3e5e66d57f771508e1c85431991@bricart.de> DAS da ist Dein "Problem": https://ipv6.he.net/certification/faq.php ... | *I can't send email via IPv6. What's wrong?* | | Due to a high and persistent amount of abuse, we had to filter SMTP (tcp/25) | connections by default. If you're not providing email service yourself, you | should be able to use port 587 instead to your provider's email server. If | you are providing email services over your tunnel and need port 25 opened, | please send an email to ipv6 at he.net explaining your situation. We will | normally require completion of the Sage level of the IPv6 certification | prior to removing this filter. NOTE: this filtering does not affect the | SMTP-related tests on the IPv6 certification program. Also: Sage-Level Certification bei HE.net erreichen und freischalten lassen ;-) Grüsse Christian Am 2017-08-15 16:55, schrieb Günther J. Niederwimmer: > Hallo Heinrich, > > Am Dienstag, 15. August 2017, 16:50:13 CEST schrieb Heinrich Boeder: >> Hi Günther, >> >> Am 2017-08-15 16:47, Günther J. Niederwimmerschrieb: >> > Ich komme einfach nicht per IPv6 auf Port 25 telnet 2001:470:1f0b:371::203 >> > 587 funktioniert, aber telnet 2001:470:1f0b:371::203 587 25 funktioniert >> > nicht!! >> Probier mal >> telnet 2001:470:1f0b:371::203 25 >> ... also telnet. Du hast zwei mal den Port angehängt (587 + >> 25) > > Das wrat ein Schreibfehler, ausserdem fehlt die postconf wird hirmit > nachgereicht ;-) > >> LG >> >> - heinrich >> hb at mesacom.net >> key: 0x9BFD9B5F -- 13E7 8A3A DDA0 3E75 E0A8 BFB5 2C7A 506E 9BFD 9B5F From lists at localguru.de Wed Aug 16 01:08:01 2017 From: lists at localguru.de (Marcus Schopen) Date: Wed, 16 Aug 2017 01:08:01 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <43db0379-6637-4b6d-88f8-ca29e500ed28@Bitbucket> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <43db0379-6637-4b6d-88f8-ca29e500ed28@Bitbucket> Message-ID: <1502838481.5991.15.camel@cosmo.binux.de> Hi, Am Dienstag, den 08.08.2017, 12:23 +0200 schrieb Heinrich Boeder: > > > Hi Jürgen, > > Am 2017-08-08 11:56, Jürgen Gmach schrieb: > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem das > Greylisting deaktivieren, weil andere Mailserver damit Probleme haben, > und jeder erwartet, dass E-Mails immer sofort zugestellt werden müssen. > Genau das selbe Problem habe ich momentan auch. Natürlich wird der > eigene MXer irgendwann eine Menge IPs gelernt haben, doch bis es > soweit ist dauert es halt recht lange. Bei uns kommt hinzu, dass > unsere Installation sehr klein ist (ca. 15 User). Da ist nicht soooo > mega viel Traffic. Man kann das Greylisting mittels Whitelists je nach Güte/Level der IP aufweichen, z.B. mittels dnswl und mailspike, sowie umgekehrt beim Blacklisting IPs, die einen bestimmten Schwellenwert nicht erreichen, in ein verlängertes Greylisting laufen lassen. Diese Granulierungen sind nach meiner Erfahrung sehr hilfreich in beide Richtungen. > Oder auch wenn größere Firmen mehrere SMTPs haben, und manche E-Mails > über einen bekannten, manche über unbekannte SMTPs reinkommen. > Das habe ich auch festgestellt. Ich hatte gerade heute den Fall, das > eine E-Mail reingekommen ist, welche bei jedem Zustellversuch von > einer anderen IP aus dem Subnetz gesendet wurde. Da die IPs immer > rotiert sind und nacheinander "abgearbeitet" wurden, erfolgt die > Zustellung mit 4h Verspätung da dann die 1. IP erneut für den Versand > benutzt wurde. Häufig konzentrieren sich die wechselnden IPs auf dasselbe Subnetz. Hier hilft es, mit subnetmatches zu arbeiten, so dass z.B. neue IPs aus demselben Class-C Netz wie die ursprüngliche IP behandelt werden. > Vom Gefühl her merke ich keinen Unterschied im Spam-Aufkommen abhängig > ob Greylising aktiviert oder deaktiviert ist. > > Das ist auch mein Gefühl. Ich habe 2008 bereits meine ersten > Erfahrungen mit Greylisting gesammelt. Damals haben die meisten > Spammer allerdings nach dem "Fire & Forget" Prinzip gehandelt. Daher > war Greylisting damals das Mittel der Wahl. Die Vorteile von > Greylisting scheinen heute nicht mehr so gravierend zu sein - ganz im > Gegenteil. > > Ist aber mein persönlicher Eindruck. Ciao! From gjn at gjn.priv.at Wed Aug 16 10:29:45 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Wed, 16 Aug 2017 10:29:45 +0200 Subject: IPv6 Problem In-Reply-To: References: <3539522.b73lEgbv5c@techz> <2009923.ZXLYsOnaZQ@techz> Message-ID: <1757579.5OFS8NaCfQ@techz> Hallo Liste, Am Dienstag, 15. August 2017, 17:14:58 CEST schrieb Bjoern Buerger: > Moin Moin, > > On 08/15/2017 04:55 PM, Günther J. Niederwimmer wrote: > >> telnet 2001:470:1f0b:371::203 25 > > > > inet_interfaces = all > > inet_protocols = ipv6, ipv4 > > Das sieht schon sinnvoll aus. Du kannst noch ein > smtp_bind_address6 mit der richtigen Adresse > spendieren, aber das sollte auch so schon > funktionieren. > > Ich vermute Dein Problem eher bei dem von Dir > verwendeten Tunnel-Provider: he-net blockt > per default port 25, um Missbrauch zu verhindern. > > Du musst auf https://ipv6.he.net/certification/ gehen > und den Test bestehen ("sage"). Danach kannst Du über > das Tunnel-Webinterface auch Port 25 für Dich > freischalten lassen und alles wird funktionieren. Danke für die Antwort, darauf muß man erst mal kommen !!!! Dann muß ich erst mal mein Netzwerk umbaquen, da ich auf der Arbeitsmaschiene kein IPv6 habe :-(.. Sondern nur im "Keller" bei den Servern ;-). Nochmals DANKE! > Siehe auch: > https://ipv6.he.net/certification/faq.php > > Bjørn -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From t.berthel at gmx.net Wed Aug 16 12:49:13 2017 From: t.berthel at gmx.net (t.berthel at gmx.net) Date: Wed, 16 Aug 2017 12:49:13 +0200 Subject: postfix recipient_access list References: Message-ID: Hallo, nochmals Danke für eure Tipps, jedoch funktioniert es irgendwie nicht so wie ich es will. Folgendes habe ich geändert: # Content checks lists and Transport Lists alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases virtual_alias_maps = hash:/etc/postfix/virtual transport_maps = hash:/etc/postfix/transport relay_recipient_maps = hash:/etc/postfix/relay_recipients < - Hier die neue Regel hinterlegt body_checks = pcre:/etc/postfix/body_checks.pcre header_checks = pcre:/etc/postfix/header_checks.pcre mime_header_checks = pcre:/etc/postfix/mime_header_checks.pcre .... .... smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, < - Hier die neue Regel hinterlegt permit_mynetworks, permit In der Liste relay_recipients habe ich ein paar Empfänger hinzugefügt und eine Adresse weg gelassen, jedoch wurde diese auch nach einem "postmap relay_recipients" & "postfix reload" dennoch durchgelassen. Verstehe ich jetzt so nicht ganz. Hier mal meine postconf (interne Inhalte wurde abgeändert): queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/lib/postfix manpage_directory = /usr/share/man sample_directory = /etc/postfix html_directory = no readme_directory = no sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq mail_owner = postfix setgid_group = postdrop inet_interfaces = all # # Edit own Maildomain and Mailhost mynetworks_style = host mynetworks = 127.0.0.0/8, 192.YYY.YYY.YYY/32 myhostname = MY-HOST.DOMAIN.DE relay_domains = MY.DOMAIN.DE mydomain = MY.DOMAIN.DE myorigin = $mydomain # # Content checks lists and Transport Lists alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases virtual_alias_maps = hash:/etc/postfix/virtual transport_maps = hash:/etc/postfix/transport relay_recipient_maps = hash:/etc/postfix/relay_recipients body_checks = pcre:/etc/postfix/body_checks.pcre header_checks = pcre:/etc/postfix/header_checks.pcre mime_header_checks = pcre:/etc/postfix/mime_header_checks.pcre #smtpd_command_filter = pcre:/etc/postfix/command_filter bounce_template_file = /etc/postfix/bounce.cf smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # #SASL config smtpd_sasl_auth_enable = no #Auth type cyrus or dovecot smtpd_sasl_type = cyrus smtpd_sasl_security_options = noanonymous ,noplaintext smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_local_domain = $mydomain smtpd_sasl_path = smtpd # #smtpd_sasl_path = /var/run/saslauthd/mux broken_sasl_auth_clients = no smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd # # DNS support level: disabled / enabled / dnssec smtp_dns_support_level= dnssec # # Max Mailsize 200MB message_size_limit = 209715200 # # Postfix Commom Settings mydestination = MY.EXCHANGE.LOCAL, MY.DOMAIN.DE local_recipient_maps = local_transport = error:local mail delivery is disabled mailbox_size_limit = 0 append_dot_mydomain = no strict_rfc821_envelopes = yes recipient_delimiter = + smtpd_helo_required = yes smtpd_delay_reject = yes smtp_mail_timeout = 60s smtp_helo_timeout = 10s smtp_rcpt_timeout = 60s smtp_rset_timeout = 10s smtp_data_xfer_timeout = 60s smtp_data_done_timeout = 300s smtp_quit_timeout = 60s soft_bounce = no biff = no smtpd_banner = $myhostname ESMTP $mail_name default_rbl_reply = $rbl_code RBLTRAP: $client blocked using $rbl_domain Reason: $rbl_reason unverified_recipient_reject_reason = Recipient address lookup failed inet_protocols = ipv4 bounce_queue_lifetime = 2h maximal_queue_lifetime = 4h delay_warning_time = 1h compatibility_level = 2 smtputf8_enable = yes # # Amavisd connector # content_filter = amavislt:[127.0.0.1]:10024 # smtpd-proxy-filter in master.cf is set! content_filter = amavislt:[127.0.0.1]:10024 # # Reject codes access_map_reject_code = 554 invalid_hostname_reject_code = 501 maps_rbl_reject_code = 550 multi_recipient_bounce_reject_code = 550 non_fqdn_reject_code = 504 plaintext_reject_code = 550 reject_code = 554 relay_domains_reject_code = 550 unknown_address_reject_code = 550 unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_local_recipient_reject_code = 550 unknown_relay_recipient_reject_code = 550 unknown_virtual_alias_reject_code = 550 unknown_virtual_mailbox_reject_code = 550 unverified_recipient_reject_code = 550 unverified_sender_reject_code = 550 # # Tarpit those bots/clients/spammers who send errors or scan for accounts smtpd_error_sleep_time = 10 smtpd_soft_error_limit = 1 smtpd_hard_error_limit = 3 smtpd_junk_command_limit = 2 # # TLS Paramaters # tls_preempt_cipherlist enables server cipher-suite preferences tls_preempt_cipherlist = yes tls_eecdh_strong_curve = prime256v1 tls_eecdh_ultra_curve = secp384r1 tls_high_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!RC4:!DES:!SSLv2:!MD5:!SSLV3:!3DES:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA # # TLS Inbound Settings # Security Level none / may / encrypt smtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1 smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_tls_exclude_ciphers = EXPORT,aNULL ,DES, LOW, MD5, SEED, IDEA, RC2, RC4 smtpd_tls_received_header = yes smtpd_tls_ciphers = high smtpd_tls_eecdh_grade = ultra smtpd_tls_auth_only=no smtpd_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_dh2048_param_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_dh512_param_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_starttls_timeout = 60s # # TLS Send Settings # Security Level none / may / encrypt / dane / dane-only / fingerprint / verify / secure smtp_tls_security_level = may smtp_tls_loglevel = 1 smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtp_tls_exclude_ciphers = EXPORT,aNULL, DES, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2, RC4 smtp_tls_note_starttls_offer = yes smtp_tls_verify_cert_match = hostname, nexthop, dot-nexthop smtp_starttls_timeout = 60s smtp_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem smtp_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem # # LMTP Settings lmtp_tls_protocols = !SSLv2, !SSLv3 lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 # # Transport Restictions smtpd_client_restrictions = permit_mynetworks, reject_invalid_hostname, check_client_access hash:/etc/postfix/smtpd_access, check_client_access hash:/etc/postfix/sld_access, check_client_access hash:/etc/postfix/tld_access, check_client_access hash:/etc/postfix/tld_new_access, regexp:/etc/postfix/ptr.cf, reject_unknown_client_hostname, #reject_unknown_reverse_client_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client dnsbl.inps.de, reject_multi_recipient_bounce, sleep 1, reject_unauth_pipelining, permit # smtpd_helo_restrictions = reject_unauth_pipelining, check_helo_access hash:/etc/postfix/helo_access, reject_unknown_helo_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, permit_mynetworks, check_helo_access hash:/etc/postfix/sld_access, check_helo_access hash:/etc/postfix/tld_access, regexp:/etc/postfix/helo.cf, permit # smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, permit_mynetworks, check_sender_access hash:/etc/postfix/sender_access, check_sender_access hash:/etc/postfix/sld_access, check_sender_access hash:/etc/postfix/tld_access, #check_sender_access hash:/etc/postfix/tld_new_access, # activate sender address verification (care, blocks autoresponder and other addresses) # add the needed addresses to the whitelist (sender_access) #reject_unverified_sender, permit # smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, check_recipient_access hash:/etc/postfix/recipient_access, permit_mynetworks, permit # smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit From max.grobecker at ml.grobecker.info Wed Aug 16 20:21:17 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Wed, 16 Aug 2017 20:21:17 +0200 Subject: IPv6 Problem In-Reply-To: <1757579.5OFS8NaCfQ@techz> References: <3539522.b73lEgbv5c@techz> <2009923.ZXLYsOnaZQ@techz> <1757579.5OFS8NaCfQ@techz> Message-ID: <56a2943e-21e3-8eb5-6244-d5cb7f859e4c@ml.grobecker.info> Hallo Günter, die Ursache ist inzwischen bekannt, der Vollständigeit halber noch das hier hinterher - vielleicht hilft das in ähnlichen Situationen dir oder anderen Leuten weiter ;-) Solche Probleme kannst du sehr leicht mit zwei Tools debuggen: Von der Clientseite aus mit einem TCP-Traceroute auf (in deinem Fall) Port 25: ------------------------- :~# traceroute -T -p 25 -6 -q 1 2001:470:1f0b:371::203 traceroute to 2001:470:1f0b:371::203 (2001:470:1f0b:371::203), 30 hops max, 80 byte packets 1 2003:0:590c:202::1 (2003:0:590c:202::1) 18.281 ms 2 2003:0:590c:220::2 (2003:0:590c:220::2) 18.954 ms 3 2003:0:130b::1 (2003:0:130b::1) 23.614 ms 4 2003:0:130b:2b::2 (2003:0:130b:2b::2) 23.822 ms 5 tserv1.fra1.he.net (2001:470:0:69::2) 28.470 ms 6 tserv1.fra1.he.net (2001:470:0:69::2) 32.182 ms ------------------------- Und zum Vergleich ein anderer (funktionierender) Port: ------------------------- :~# traceroute -T -p 22 -6 -q 1 2001:470:1f0b:371::203 traceroute to 2001:470:1f0b:371::203 (2001:470:1f0b:371::203), 30 hops max, 80 byte packets 1 2003:0:590c:202::1 (2003:0:590c:202::1) 18.446 ms 2 2003:0:590c:220::2 (2003:0:590c:220::2) 19.326 ms 3 2003:0:130b::1 (2003:0:130b::1) 23.488 ms 4 2003:0:130b:2b::2 (2003:0:130b:2b::2) 23.700 ms 5 tserv1.fra1.he.net (2001:470:0:69::2) 27.899 ms 6 HEGJN-1-pt.tunnel.tserv6.fra1.ipv6.he.net (2001:470:1f0a:374::2) 120.848 ms 7 mx01.4gjn.com (2001:470:1f0b:371::203) 121.029 ms !X ------------------------- Da sieht man dann schon recht deutlich, dass der Hop "tserv1.fra1.he.net" offenber die Pakete verschluckt resp. selbst die TCP-RST generiert (das ist auch der Grund, warum der Hop zwei Mal auftaucht: Einmal regulär mit TTL 5 und einmal mit TTL 6, wo der TCP-RST gesendet wurde). Beim zweiten, ungefilterten Traceroute, erkennst du dass erst da dein Tunnel mit auftaucht und offenbar vorher garkeine Pakete zu ihm geroutet wurden - denn sonst hätte er ja antworten können. Auf der Serverseite kann man derweil einfach mit tcpdump auf dem Interface horchen und schauen, ob überhaupt Pakete reinkommen: ------------------------- :~# tcpdump -i he-tunnel -nn "ip6 && port 25" ------------------------- Damit wird auf dem Interface "he-tunnel" gelauscht ob IPv6-Pakete auf Port 25 hereinkommen. Wenn dort nichts zu hören ist, ist klar dass eine vorgelagerte Firewall die Pakete aufisst. Am 16.08.2017 um 10:29 schrieb Günther J. Niederwimmer: > Hallo Liste, > Danke für die Antwort, darauf muß man erst mal kommen !!!! > > Dann muß ich erst mal mein Netzwerk umbaquen, da ich auf der Arbeitsmaschiene > kein IPv6 habe :-(.. Sondern nur im "Keller" bei den Servern ;-). > > Nochmals DANKE! From ml at irmawi.de Wed Aug 16 22:24:40 2017 From: ml at irmawi.de (Markus Winkler) Date: Wed, 16 Aug 2017 22:24:40 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: Hallo Thomas, On 16.08.2017 12:49, t.berthel at gmx.net wrote: > smtpd_recipient_restrictions = [...]> reject_unlisted_recipient, < - Hier die neue Regel hinterlegt eigentlich braucht man den nicht unbedingt, es sei denn, mal will z.B. weitere "teure" Checks gar nicht erst durchführen. Wegen smtpd_reject_unlisted_recipient (default: yes) wird normalerweise alles, was u.a. nicht in relay_recipient_maps matcht, rejected. Bist Du ganz sicher, dass die Adresse, an die die Mails weiterhin durchgelassen werden, nicht noch an anderer Stelle steht, z.B. hier: virtual_alias_maps? > In der Liste relay_recipients habe ich ein paar Empfänger hinzugefügt und eine Adresse > weg gelassen, jedoch wurde diese auch nach einem "postmap relay_recipients" & "postfix > reload" dennoch durchgelassen. Zeig' mal bitte einen Logauszug davon. > Hier mal meine postconf (interne Inhalte wurde abgeändert): > > relay_domains = MY.DOMAIN.DE > mydestination = MY.EXCHANGE.LOCAL, MY.DOMAIN.DE Das würde ich nicht machen. 'MY.DOMAIN.DE' _entweder_ in mydestination _oder_ (was bei Dir ja der Fall ist) in relay_domains. Schicke übrigens mal bitte wirklich postconf -n, denn der smtpd_recipient_restrictions-Block sieht in Deiner Mail einmal so: > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_non_fqdn_hostname, > reject_non_fqdn_recipient, > reject_unknown_recipient_domain, > reject_unlisted_recipient, < - Hier die neue Regel hinterlegt > permit_mynetworks, > permit und einmal so aus: > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_non_fqdn_hostname, > reject_non_fqdn_recipient, > reject_unknown_recipient_domain, > reject_unlisted_recipient, > check_recipient_access hash:/etc/postfix/recipient_access, > permit_mynetworks, > permit Gruß Markus From thomas.schwenski at xanismail.de Wed Aug 16 22:59:27 2017 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Wed, 16 Aug 2017 22:59:27 +0200 Subject: Spams von gehosteten Systemen? In-Reply-To: <0948bce3-df7b-cda3-b1c9-359d2f4cbb07@amaltea.de> References: <47EEBE79-3567-4004-9177-7BB1C2A7285D@izsr.de> <000c01d31522$46386a10$d2a93e30$@dpfa.de> <0948bce3-df7b-cda3-b1c9-359d2f4cbb07@amaltea.de> Message-ID: <0ee6e249-b340-9050-dac7-ace8f3878f45@xanismail.de> Hallo Tim-Ole, Am 15.08.17 um 09:38 schrieb Paul: >> Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt >> auf dem Server als prozess, befürchte ich :\ > > Pass mal den Wert für mail.log in der php.ini an. > So solltest du sehen können, welches PHP-Skript die Mail erzeugt. > > http://php.net/manual/de/mail.configuration.php Ich würde generell den Standard-Mailversand in PHP abschalten und nur authentifizierte Versender (z.B. über PHPMailer) zulassen. Wenn es machbar ist, dann mach auf allen Ports (25, 465, 587) die Vertrauensstellung von localhost raus bzw. lasse localhost maximal an eigene Empfänger zu. (Damit es keine Wechselwirkungen mit irgendwelchen Mail-versendenen Diensten gibt, die wichtig sind.) Der Kunde kann sich auch für seine Newsletter, Foren, Shopsysteme, was-auch-immer authentifizieren. Vorteil ist, dass Du sofort weißt, welche Mailbox kompromittiert ist und dass Kunden auch nur von existierenden Adressen/Aliasen aus Mails versenden (No-Reply etc. lässt sich ja dann über den Mailheader lösen, aber DSN kämen immer an das Absenderpostfach). Viele Grüße -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de From t.berthel at gmx.net Thu Aug 17 08:27:20 2017 From: t.berthel at gmx.net (t.berthel at gmx.net) Date: Thu, 17 Aug 2017 08:27:20 +0200 Subject: postfix recipient_access list References: Message-ID: Guten Morgen, ja ich verstehe es auch noch nicht so recht, aber hier mal die postconf (hatte im ersten Auszug einen Fehler mit copy&paste daher der Unterschied): :postconf -n access_map_reject_code = 554 alias_database = hash:/etc/postfix/aliases alias_maps = hash:/etc/postfix/aliases append_dot_mydomain = no biff = no body_checks = pcre:/etc/postfix/body_checks.pcre bounce_queue_lifetime = 2h bounce_template_file = /etc/postfix/bounce.cf broken_sasl_auth_clients = no command_directory = /usr/sbin compatibility_level = 2 content_filter = amavislt:[127.0.0.1]:10024 daemon_directory = /usr/lib/postfix default_rbl_reply = $rbl_code RBLTRAP: $client blocked using $rbl_domain Reason: $rbl_reason delay_warning_time = 1h header_checks = pcre:/etc/postfix/header_checks.pcre html_directory = no inet_interfaces = all inet_protocols = ipv4 invalid_hostname_reject_code = 501 lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3 lmtp_tls_protocols = !SSLv2, !SSLv3 local_recipient_maps = local_transport = error:local mail delivery is disabled mail_owner = postfix mailbox_size_limit = 0 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man maps_rbl_reject_code = 550 maximal_queue_lifetime = 4h message_size_limit = 209715200 mime_header_checks = pcre:/etc/postfix/mime_header_checks.pcre multi_recipient_bounce_reject_code = 550 mydestination = MY.EXCHANGE.LOCAL, MY.DOMAIN.DE mydomain = MY.DOMAIN.DE myhostname = MY-HOST.DOMAIN.DE mynetworks = 127.0.0.0/8, 192.YYY.YYY.YYY/32 mynetworks_style = host myorigin = $mydomain newaliases_path = /usr/bin/newaliases non_fqdn_reject_code = 504 plaintext_reject_code = 550 queue_directory = /var/spool/postfix readme_directory = no recipient_delimiter = + reject_code = 554 relay_domains = MY.DOMAIN.DE relay_domains_reject_code = 550 relay_recipient_maps = hash:/etc/postfix/relay_recipients sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtp_data_done_timeout = 300s smtp_data_xfer_timeout = 60s smtp_dns_support_level = dnssec smtp_helo_timeout = 10s smtp_mail_timeout = 60s smtp_quit_timeout = 60s smtp_rcpt_timeout = 60s smtp_rset_timeout = 10s smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_starttls_timeout = 60s smtp_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem smtp_tls_exclude_ciphers = EXPORT,aNULL, DES, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2, RC4 smtp_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_tls_verify_cert_match = hostname, nexthop, dot-nexthop smtpd_banner = $myhostname ESMTP $mail_name smtpd_client_restrictions = permit_mynetworks, reject_invalid_hostname, check_client_access hash:/etc/postfix/smtpd_access, check_client_access hash:/etc/postfix/sld_access, check_client_access hash:/etc/postfix/tld_access, check_client_access hash:/etc/postfix/tld_new_access, regexp:/etc/postfix/ptr.cf, reject_unknown_client_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client dnsbl.inps.de, reject_multi_recipient_bounce, sleep 1, reject_unauth_pipelining, permit smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit smtpd_delay_reject = yes smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access smtpd_error_sleep_time = 10 smtpd_hard_error_limit = 3 smtpd_helo_required = yes smtpd_helo_restrictions = reject_unauth_pipelining, check_helo_access hash:/etc/postfix/helo_access, reject_unknown_helo_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, permit_mynetworks, check_helo_access hash:/etc/postfix/sld_access, check_helo_access hash:/etc/postfix/tld_access, regexp:/etc/postfix/helo.cf, permit smtpd_junk_command_limit = 2 smtpd_recipient_restrictions = reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_recipient_domain, permit_mynetworks, permit smtpd_sasl_auth_enable = no smtpd_sasl_local_domain = $mydomain smtpd_sasl_path = smtpd smtpd_sasl_security_options = noanonymous ,noplaintext smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_type = cyrus smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, permit_mynetworks, check_sender_access hash:/etc/postfix/sender_access, check_sender_access hash:/etc/postfix/sld_access, check_sender_access hash:/etc/postfix/tld_access, permit smtpd_soft_error_limit = 1 smtpd_starttls_timeout = 60s smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_ciphers = high smtpd_tls_dh2048_param_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_dh512_param_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_eecdh_grade = ultra smtpd_tls_exclude_ciphers = EXPORT,aNULL ,DES, LOW, MD5, SEED, IDEA, RC2, RC4 smtpd_tls_key_file = /etc/postfix/zerti/KEY-NAME.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1 smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtputf8_enable = yes soft_bounce = no strict_rfc821_envelopes = yes tls_eecdh_strong_curve = prime256v1 tls_eecdh_ultra_curve = secp384r1 tls_high_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!RC4:!DES:!SSLv2:!MD5:!SSLV3:!3DES:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA tls_preempt_cipherlist = yes transport_maps = hash:/etc/postfix/transport unknown_address_reject_code = 550 unknown_client_reject_code = 550 unknown_hostname_reject_code = 550 unknown_local_recipient_reject_code = 550 unknown_relay_recipient_reject_code = 550 unknown_virtual_alias_reject_code = 550 unknown_virtual_mailbox_reject_code = 550 unverified_recipient_reject_code = 550 unverified_recipient_reject_reason = Recipient address lookup failed unverified_sender_reject_code = 550 virtual_alias_maps = hash:/etc/postfix/virtual Dazu noch das Log nach einem "postmap relay_recipients" und "postfix stop/start": Aug 17 08:00:47 MY-HOST postfix/smtpd[16145]: Anonymous TLS connection established from extern.domain.de[212.ZZZ.ZZZ.ZZZ]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) Aug 17 08:00:47 MY-HOST postfix/smtpd[16145]: 25CAE1CA04A: client=extern.domain.de[212.ZZZ.ZZZ.ZZZ] Aug 17 08:00:47 MY-HOST postfix/cleanup[16149]: 25CAE1CA04A: message-id=<8A436E6F-5C71-4D3B-B5A6-44C1B6511CD6 at extern.domain.de> Aug 17 08:00:47 MY-HOST postfix/qmgr[16134]: 25CAE1CA04A: from=, size=3396, nrcpt=1 (queue active) Aug 17 08:00:47 MY-HOST amavis[5137]: (05137-20) LMTP :10024 /var/amavis/tmp/amavis-20170817T033248-05137-3vdv0b8t: -> SIZE=3396 Received: from my.domain.de ([127.0.0.1]) by localhost (aliashostname.my.domain.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for ; Thu, 17 Aug 2017 08:00:47 +0200 (CEST) Aug 17 08:00:47 MY-HOST postfix/smtpd[16145]: disconnect from extern.domain.de[212.ZZZ.ZZZ.ZZZ] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Aug 17 08:00:47 MY-HOST amavis[5137]: (05137-20) Checking: Y2Uw4u53Geq0 [212.ZZZ.ZZZ.ZZZ] -> Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) spam-tag, -> , No, score=-1.919 required=3 tests=[BAYES_00=-1.9, FREEMAIL_FROM=0.001, RCVD_IN_MSPIKE_H3=-0.01, RCVD_IN_MSPIKE_WL=-0.01, RP_MATCHES_RCVD=-0.001, URIBL_BLOCKED=0.001] autolearn=ham autolearn_force=no Aug 17 08:00:48 MY-HOST postfix/smtpd[16152]: connect from localhost[127.0.0.1] Aug 17 08:00:48 MY-HOST postfix/smtpd[16152]: 1EDFE1CA051: client=localhost[127.0.0.1], orig_queue_id=25CAE1CA04A, orig_client=extern.domain.de[212.ZZZ.ZZZ.ZZZ] Aug 17 08:00:48 MY-HOST postfix/cleanup[16149]: 1EDFE1CA051: message-id=<8A436E6F-5C71-4D3B-B5A6-44C1B6511CD6 at extern.domain.de> Aug 17 08:00:48 MY-HOST postfix/smtpd[16152]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6 Aug 17 08:00:48 MY-HOST postfix/qmgr[16134]: 1EDFE1CA051: from=, size=4119, nrcpt=1 (queue active) Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) Y2Uw4u53Geq0 FWD from -> , BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1EDFE1CA051 Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) Passed CLEAN {RelayedInbound}, [212.ZZZ.ZZZ.ZZZ]:63532 [88.134.178.250] -> , Queue-ID: 25CAE1CA04A, Message-ID: <8A436E6F-5C71-4D3B-B5A6-44C1B6511CD6 at extern.domain.de>, mail_id: Y2Uw4u53Geq0, Hits: -1.919, size: 3396, queued_as: 1EDFE1CA051, 892 ms Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) TIMING-SA [total 815 ms, cpu 330 ms] - parse: 1.08 (0.1%), extract_message_metadata: 12 (1.4%), get_uri_detail_list: 4.8 (0.6%), tests_pri_-1000: 19 (2.4%), tests_pri_-950: 0.77 (0.1%), tests_pri_-900: 0.73 (0.1%), tests_pri_-400: 18 (2.2%), check_bayes: 17 (2.1%), b_tokenize: 6 (0.7%), b_tok_get_all: 4.7 (0.6%), b_comp_prob: 4.1 (0.5%), b_tok_touch_all: 0.45 (0.1%), b_finish: 0.51 (0.1%), tests_pri_0: 711 (87.3%), check_spf: 0.20 (0.0%), check_dkim_signature: 0.49 (0.1%), check_dkim_adsp: 2.3 (0.3%), check_razor2: 630 (77.4%), check_pyzor: 0.13 (0.0%), tests_pri_500: 3.8 (0.5%), learn: 35 (4.3%), b_learn: 31 (3.8%), b_count_change: 16 (2.0%), get_report: 1.02 (0.1%) Aug 17 08:00:48 MY-HOST postfix/lmtp[16150]: 25CAE1CA04A: to=, relay=127.0.0.1[127.0.0.1]:10024, delay=1, delays=0.1/0.01/0/0.89, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 1EDFE1CA051) Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) size: 3396, TIMING [total 896 ms, cpu 353 ms, AM-cpu 23 ms, SA-cpu 330 ms] - SMTP greeting: 1.4 (0%)0, SMTP LHLO: 0.6 (0%)0, SMTP pre-MAIL: 0.7 (0%)0, SMTP MAIL: 0.8 (0%)0, SMTP pre-DATA-flush: 1.3 (0%)1, SMTP DATA: 38 (4%)5, check_init: 0.4 (0%)5, digest_hdr: 0.5 (0%)5, digest_body: 0.1 (0%)5, collect_info: 1.9 (0%)5, check_header: 1.0 (0%)5, AV-scan-1: 8 (1%)6, spam-wb-list: 0.5 (0%)6, SA msg read: 0.5 (0%)6, SA parse: 1.4 (0%)6, SA check: 811 (91%)97, decide_mail_destiny: 5 (1%)97, notif-quar: 0.3 (0%)97, fwd-connect: 11 (1%)99, fwd-xforward: 0.5 (0%)99, fwd-mail-pip: 1.6 (0%)99, fwd-rcpt-pip: 0.2 (0%)99, fwd-data-chkpnt: 0.0 (0%)99, write-header: 0.4 (0%)99, fwd-data-contents: 0.1 (0%)99, fwd-end-chkpnt: 1.6 (0%)99, prepare-dsn: 0.5 (0%)99, report: 0.9 (0%)99, main_log_entry: 3.5 (0%)100, update_snmp: 1.8 (0%)100, SMTP pre-response: 0.2 (0%)100, SMTP response: 0.1 (0%)100, unlink-1-files: 0.1 (0%)100, rundown: 0.7 (0%)100 Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) size: 3396, RUSAGE minflt=24+0, majflt=0+0, nswap=0+0, inblock=0+0, oublock=2056+0, msgsnd=0+0, msgrcv=0+0, nsignals=0+0, nvcsw=148+0, nivcsw=6+0, maxrss=97860+0, ixrss=0+0, idrss=0+0, isrss=0+0, utime=0.340+0.000, stime=0.013+0.000 Aug 17 08:00:48 MY-HOST amavis[5137]: (05137-20) Requesting process rundown after 20 tasks (and 20 sessions) Aug 17 08:00:48 MY-HOST postfix/qmgr[16134]: 25CAE1CA04A: removed Aug 17 08:00:48 MY-HOST amavis[23904]: sd_notify (no socket): STATUS=Starting child process(es), ready for work. Aug 17 08:00:48 MY-HOST postfix/smtp[16153]: 1EDFE1CA051: to=, relay=192.YYY.YYY.YYY[192.YYY.YYY.YYY]:25, delay=0.07, delays=0/0.01/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <8A436E6F-5C71-4D3B-B5A6-44C1B6511CD6 at extern.domain.de> Queued mail for delivery) Aug 17 08:00:48 MY-HOST postfix/qmgr[16134]: 1EDFE1CA051: removed In den "virtual" wie auch anderen Listen liegt dieser Empfänger wirklich niergends drin. Der ignoriert die Liste total, habe ich das Gefühl. Oder ist das ein caching Thema, aber nach einem Postfix stop/start sollte dieser doch wieder davon befreit sein, oder? VG & Danke für eure Hilfe :) From w.flamme at web.de Thu Aug 17 09:37:47 2017 From: w.flamme at web.de (Werner Flamme) Date: Thu, 17 Aug 2017 09:37:47 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: <769ef536-9526-f77c-7509-63004b74bca7@web.de> t.berthel at gmx.net [17.08.2017 08:27]: > Guten Morgen, > > ja ich verstehe es auch noch nicht so recht, aber hier mal die postconf (hatte im ersten Auszug einen Fehler mit copy&paste daher der Unterschied): > > :postconf -n [...] > mydestination = MY.EXCHANGE.LOCAL, MY.DOMAIN.DE [...] > relay_domains = MY.DOMAIN.DE Bitte nicht MY.DOMAIN.DE in beiden Einträgen verwenden. Du verwirrst das System damit. Entweder ist Postfiksch selbst zuständig (dann bei mydestination eintragen) oder Postfiksch soll die Mail nur weiterleiten (dann bei relay_domains eintragen). Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Thu Aug 17 09:57:35 2017 From: w.flamme at web.de (Werner Flamme) Date: Thu, 17 Aug 2017 09:57:35 +0200 Subject: Der eigene Mailserver - wie geht das? In-Reply-To: References: <62604d3b-ba57-6221-8925-7c2b1975da00@raspi1> Message-ID: toml at thlu.de [13.07.2017 18:27]: > Moin > > > Am 11.07.2017 um 14:43 schrieb toml at thlu.de: >> Ich würde das sehr gerne irgendwann in den nächsten Tagen in meinem >> Linux-Forum posten. > > Im Moment befinde ich mich einigermaßen auf emotionaler > Achterbahn-Fahrt. Einerseits bin ich froh, meinen Entwurf hier gepostet > zu haben. Andererseits bin ich natürlich auch total gefrustet, dass ich > nun wieder richtig viel Arbeit vor mir habe, die Dokumentation auf > aktuellen Stand zu bringen - wo ich doch geglaubt habe, es wäre fertig. Doku ist nie fertig :) Software ändert sich, das Setup auch. Es muss immer angepasst werden. Ich persönlich benutze als Ausgangspunkt und suche oben rechts in der Box dann nach dovecot ;) Klaus hält die Doku eigentlich recht aktuell und erweitert sie auch, wenn Anlass besteht. Gruß Werner -- Werner Flamme, Abt. WKDV Helmholtz-Zentrum für Umweltforschung GmbH - UFZ Permoserstr. 15 - 04318 Leipzig - http://www.ufz.de Tel.: (0341) 235-1921 - Fax (0341) 235-451921 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From martin at lichtvoll.de Thu Aug 17 10:08:16 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Thu, 17 Aug 2017 10:08:16 +0200 Subject: Der eigene Mailserver - wie geht das? In-Reply-To: References: <62604d3b-ba57-6221-8925-7c2b1975da00@raspi1> Message-ID: <2745726.MC6rGOgyFD@merkaba> Werner Flamme - 17.08.17, 09:57: > toml at thlu.de [13.07.2017 18:27]: [?] > Doku ist nie fertig :) Software ändert sich, das Setup auch. Es muss > immer angepasst werden. > > Ich persönlich benutze als Ausgangspunkt > und suche > oben rechts in der Box dann nach dovecot ;) > > Klaus hält die Doku eigentlich recht aktuell und erweitert sie auch, > wenn Anlass besteht.# Nuja, alleine den Open Relay Test Service von abuse.net gibt es seit mindestens 2015 nicht mehr. -- Martin From klaus at tachtler.net Thu Aug 17 10:29:06 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 17 Aug 2017 10:29:06 +0200 Subject: Der eigene Mailserver - wie geht das? In-Reply-To: <20170817102420.Horde.Tf0W8P4Q_g2XbhuINr1iOzR@buero.tachtler.net> References: <62604d3b-ba57-6221-8925-7c2b1975da00@raspi1> <2745726.MC6rGOgyFD@merkaba> <20170817102420.Horde.Tf0W8P4Q_g2XbhuINr1iOzR@buero.tachtler.net> Message-ID: <20170817102906.Horde.XhU7Hx8NyeneHYLtBz7clik@buero.tachtler.net> Hallo Martin, ich habe die Übersicht vergessen, das ist das aktuellste von mir: https://dokuwiki.tachtler.net/doku.php?id=index#e-mail_mailserver_postfix_amavis_und_postfix_admin Grüße Klaus. > Hallo Martin, > > ich habe auch etwas aktuelleres in meinem DokuWiki, aber die alten > Sachen aus Kompatibilitätsgründen auch noch im Dokuwiki: > > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7 > > Grüße > Klaus. > > >> Werner Flamme - 17.08.17, 09:57: >>> toml at thlu.de [13.07.2017 18:27]: >> [?] >>> Doku ist nie fertig :) Software ändert sich, das Setup auch. Es muss >>> immer angepasst werden. >>> >>> Ich persönlich benutze als Ausgangspunkt >>> und suche >>> oben rechts in der Box dann nach dovecot ;) >>> >>> Klaus hält die Doku eigentlich recht aktuell und erweitert sie auch, >>> wenn Anlass besteht.# >> >> Nuja, alleine den Open Relay Test Service von abuse.net gibt es seit >> mindestens 2015 nicht mehr. >> >> -- >> Martin > > > ----- Ende der Nachricht von Martin Steigerwald ----- ----- Ende der Nachricht von Klaus Tachtler ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From klaus at tachtler.net Thu Aug 17 10:24:20 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 17 Aug 2017 10:24:20 +0200 Subject: Der eigene Mailserver - wie geht das? In-Reply-To: <2745726.MC6rGOgyFD@merkaba> References: <62604d3b-ba57-6221-8925-7c2b1975da00@raspi1> <2745726.MC6rGOgyFD@merkaba> Message-ID: <20170817102420.Horde.Tf0W8P4Q_g2XbhuINr1iOzR@buero.tachtler.net> Hallo Martin, ich habe auch etwas aktuelleres in meinem DokuWiki, aber die alten Sachen aus Kompatibilitätsgründen auch noch im Dokuwiki: https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7 Grüße Klaus. > Werner Flamme - 17.08.17, 09:57: >> toml at thlu.de [13.07.2017 18:27]: > [?] >> Doku ist nie fertig :) Software ändert sich, das Setup auch. Es muss >> immer angepasst werden. >> >> Ich persönlich benutze als Ausgangspunkt >> und suche >> oben rechts in der Box dann nach dovecot ;) >> >> Klaus hält die Doku eigentlich recht aktuell und erweitert sie auch, >> wenn Anlass besteht.# > > Nuja, alleine den Open Relay Test Service von abuse.net gibt es seit > mindestens 2015 nicht mehr. > > -- > Martin ----- Ende der Nachricht von Martin Steigerwald ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From klaus at tachtler.net Thu Aug 17 10:23:26 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 17 Aug 2017 10:23:26 +0200 Subject: Der eigene Mailserver - wie geht das? In-Reply-To: References: <62604d3b-ba57-6221-8925-7c2b1975da00@raspi1> Message-ID: <20170817102326.Horde.i1yUEb0xy_uKggwVwgjaX3l@buero.tachtler.net> Hallo Werner, danke für die Blumen ;-) https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7 Grüße Klaus. > toml at thlu.de [13.07.2017 18:27]: >> Moin >> >> >> Am 11.07.2017 um 14:43 schrieb toml at thlu.de: >>> Ich würde das sehr gerne irgendwann in den nächsten Tagen in meinem >>> Linux-Forum posten. >> >> Im Moment befinde ich mich einigermaßen auf emotionaler >> Achterbahn-Fahrt. Einerseits bin ich froh, meinen Entwurf hier gepostet >> zu haben. Andererseits bin ich natürlich auch total gefrustet, dass ich >> nun wieder richtig viel Arbeit vor mir habe, die Dokumentation auf >> aktuellen Stand zu bringen - wo ich doch geglaubt habe, es wäre fertig. > > Doku ist nie fertig :) Software ändert sich, das Setup auch. Es muss > immer angepasst werden. > > Ich persönlich benutze als Ausgangspunkt > und suche > oben rechts in der Box dann nach dovecot ;) > > Klaus hält die Doku eigentlich recht aktuell und erweitert sie auch, > wenn Anlass besteht. > > Gruß > Werner > -- > Werner Flamme, Abt. WKDV > Helmholtz-Zentrum für Umweltforschung GmbH - UFZ > Permoserstr. 15 - 04318 Leipzig - http://www.ufz.de > Tel.: (0341) 235-1921 - Fax (0341) 235-451921 ----- Ende der Nachricht von Werner Flamme ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From ml at irmawi.de Thu Aug 17 11:35:18 2017 From: ml at irmawi.de (Markus Winkler) Date: Thu, 17 Aug 2017 11:35:18 +0200 Subject: postfix recipient_access list In-Reply-To: References: Message-ID: <20170817093518.GW2118@kermit.home.priv> Hallo Thomas, On Thu, 17 Aug 2017 at 08:27:20AM +0200, t.berthel at gmx.net wrote: > hier mal die postconf danke! > mydestination = MY.EXCHANGE.LOCAL, MY.DOMAIN.DE > relay_domains = MY.DOMAIN.DE Wie ich gestern (und auch Werner vorhin) schon schrieb: Nimm mal bitte 'MY.DOMAIN.DE' aus mydestination raus. Und das 'MY.EXCHANGE.LOCAL' eigentlich auch, denn das ist ja wahrscheinlich der Name Deines Exchange-Servers, oder? Schreib' am besten bei mydestination einfach erst mal nur z.B. 'localhost' rein. Wenn es dann immer noch nicht geht, schicke bitte mal noch die hier: > transport_maps = hash:/etc/postfix/transport einen Auszug der relay_recipients und die master.cf. Gruß Markus From hm0 at gmx.net Thu Aug 17 17:45:08 2017 From: hm0 at gmx.net (Heiner Mueller) Date: Thu, 17 Aug 2017 17:45:08 +0200 Subject: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Fri Aug 18 03:54:11 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 18 Aug 2017 03:54:11 +0200 Subject: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? In-Reply-To: References: Message-ID: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> Im Auftrag von Heiner Mueller > > - Auf einem Mailserver sind diverse Domains gehostet, die zu unterschiedl. > Besitzern/Kunden gehören > - Für manche dieser Domains, soll nun ein externer Anti-Spam/AV-Service > genutzt werden > > d.h. - für die betroffenen Domains, wird der MX-Record auf den Dienstleister > gelegt und dieser schickt die sauberen Mails an den bisherigen Mailserver. > Soweit funktioniert es. > > Ich würde aber nun noch gerne zwei Dinge erreichen: > > 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von o.g. > DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX > einfach umgehen) Ja wo ist denn der MX ? Liegt der MX beim Dienstleister oder bei dir In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird schickt keiner an deinen Mailserver für die Domain Mails > 2. Ausgehende Mails von o.g. Domains, sollen ebenfalls über den DL > verschickt werden (quasi so ne Art Smart Host) Relaymaps Und warum sollen die Mails dann überhaupt noch über deinen Server laufen ? Kann der Kunde dann doch gleich bei seinem "Maildienstleister" abholen und einkippen. Schneller einfacher, weniger Aufwand Und warum will der Kunde das ? kommt zu viel durch ? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From t.berthel at gmx.net Fri Aug 18 08:36:04 2017 From: t.berthel at gmx.net (t.berthel at gmx.net) Date: Fri, 18 Aug 2017 08:36:04 +0200 Subject: postfix recipient_access list References: Message-ID: Hi, > Nimm mal bitte 'MY.DOMAIN.DE' aus mydestination raus. ja das war wohl mein Problem :) Geändert auf: > mydestination = MY.EXCHANGE.LOCAL > relay_domains = MY.DOMAIN.DE mit localhost muss ich es noch testen. Sieht aber jetzt sehr gut aus! Vielen Dank an euch allen & ein schönen Freitag noch! From igor.sverkos at gmail.com Fri Aug 18 14:42:48 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Fri, 18 Aug 2017 14:42:48 +0200 Subject: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? In-Reply-To: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> References: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> Message-ID: >> 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von o.g. >> DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX >> einfach umgehen) > > Ja wo ist denn der MX ? > Liegt der MX beim Dienstleister oder bei dir > In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird schickt keiner an deinen Mailserver für die Domain Mails Im Normalfall. Ein Angreifer der wie auch immer in Erfahrung gebracht hat dass Mails eingekippt bei 1.2.3.4:25 ohne Mailfilterung beim gewünschten Angriffsziel ankommen wird diesen Vektor nutzen. Insofern macht es bei einem ordentlichen Setup schon Sinn sicherzustellen, dass wirklich nur autorisierte Quellen Mails einkippen können. -- Ich Grüße, Igor From driessen at fblan.de Fri Aug 18 23:04:54 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 18 Aug 2017 23:04:54 +0200 Subject: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? In-Reply-To: References: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> Message-ID: <001101d31865$a45fed70$ed1fc850$@fblan.de> Im Auftrag von Igor Sverkos > > >> 1. Für o.g. Domains, sollen nur noch Mails angenommen werden, die von > o.g. > >> DL bzw. dessen Systemen stammen (sonst könnte ja Jemand den MX > >> einfach umgehen) > > > > Ja wo ist denn der MX ? > > Liegt der MX beim Dienstleister oder bei dir > > In dem Moment wo dein Mailserver lt. DNS nicht als MX genannt wird > schickt keiner an deinen Mailserver für die Domain Mails > > Im Normalfall. Ein Angreifer der wie auch immer in Erfahrung gebracht > hat dass Mails eingekippt bei 1.2.3.4:25 ohne Mailfilterung beim > gewünschten Angriffsziel ankommen wird diesen Vektor nutzen. Insofern > macht es bei einem ordentlichen Setup schon Sinn sicherzustellen, dass > wirklich nur autorisierte Quellen Mails einkippen können. > > Relativ unwahrscheinlich Die Frage war auch nicht warum und was sondern wie Eigene IP auf dem Empfänger, die absender IP in mynetworks und dann reject Kann in Master.cf definiert werden. Ich spar mir den Aufwand wenn mailfiltersystem extern dann bitte auch alles andere an Mail dort. Außerdem gäbe es auch die Möglichkeit Mail vom Kunden nach extern über eigene weil die in der Regel nicht so stark gefiltert werden müssen und den Empfang übernimmt der Externe Dienstleister und der Kunde holt die Mails auch dort ab. Weil wenn was nicht ankommt dann stehen die Kunden bei dir wieder auf der Matte und machen mimimi warum ist da eine Mail nicht durchgegangen Bringt nur Ärger, Aufwand den im Zweifel keiner zahlt. Entweder eigenes Setup so das Spam usw. erträglich ist oder wenn Kunde mail extern möchte dann soll er komplett extern Mail machen. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From hm0 at gmx.net Mon Aug 21 14:37:58 2017 From: hm0 at gmx.net (Heiner Mueller) Date: Mon, 21 Aug 2017 14:37:58 +0200 Subject: Aw: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? In-Reply-To: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> References: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch-users at makomi.de Tue Aug 22 14:57:52 2017 From: postfixbuch-users at makomi.de (Michael Koehler) Date: Tue, 22 Aug 2017 14:57:52 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <000a01d31107$c4f10750$4ed315f0$@fblan.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> Message-ID: <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Tue Aug 22 17:15:29 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 22 Aug 2017 17:15:29 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> Message-ID: <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Im Auftrag von Michael Koehler > Hallo Uwe, > > Am 09.08.2017 um 14:05 schrieb Uwe Drießen: > > > > Für mich ist Greylisting im Bereich Spam, vor allem aber auch > Virenschutz, unverzichtbar und indiskutabel, das wegzulassen. Empfiehlst Du > "normales" Greylisting oder eine andere Variante wie Postgrey oder > ähnliches? Oder anders ... was setzt Du ein? > > Selektives Greylisting DE SERVER in der Regel ohne Greylisting Bzw. > alle anderen entsprechend ihrer Toplevel oder aufgrund ihrer generischen > PTR je nachdem > > > Kannst Du kurz (ok, vielleicht nicht zu kurz) beschreiben, wie Du das gelöst > hast? Was ich bisher dazu gefunden habe ist das Einbinden von postgrey via > smtpd_restriction_classes. Aber als Regexp-Nichtexperte fällt es mir schwer > die entsprechende "Nicht-DE"-Regel zu finden. > Sollte auch im Archiv zu finden sein https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-smtpd_restriction_classes/ oder noch kompakter main.cf: ------------------ smtpd_restriction_classes = greylisting ,..... greylisting = check_policy_service inet:127.0.0.1:10023 smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/adress_maps/kuendigt, reject_unknown_recipient_domain, permit_mynetworks, reject_unknown_sender_domain, check_sender_access proxy:mysql:/etc/postfix/sql/mysql-domains.cf, reject_unlisted_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unlisted_sender, reject_unauth_destination, reject_unverified_recipient, ...... check_client_access pcre:/etc/postfix/maps/dialups.grey ........ ============================================================ maps/dialups.grey: -------------------------------- /eu\.blackberry\.com$/ DUNNO /sipgate\.net$/ DUNNO /(\-.+){4}$/ greylisting /(\..+){4}$/ greylisting # everything with 3 or more dots/hyphens in the hostname /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/ greylisting /\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/ greylisting /clients\.your-server\.de$/ greylisting /unknown/ greylisting /agnitas\.de/ greylisting /google\.com/ greylisting /gmail\.com/ greylisting /yahoo\.com/ yahoo.absender Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From postfixbuch-users at makomi.de Tue Aug 22 20:30:18 2017 From: postfixbuch-users at makomi.de (Michael Koehler) Date: Tue, 22 Aug 2017 20:30:18 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Message-ID: Hallo Uwe, > Am 22.08.2017 um 17:15 schrieb Uwe Drießen : > >> Kannst Du kurz (ok, vielleicht nicht zu kurz) beschreiben, wie Du das gelöst >> hast? Was ich bisher dazu gefunden habe ist das Einbinden von postgrey via >> smtpd_restriction_classes. Aber als Regexp-Nichtexperte fällt es mir schwer >> die entsprechende "Nicht-DE"-Regel zu finden. >> > > Sollte auch im Archiv zu finden sein > > https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-smtpd_restriction_classes/ > > > oder noch kompakter > > main.cf: > ????????? > [?] > maps/dialups.grey: > -------------------------------- > /eu\.blackberry\.com$/ DUNNO > /sipgate\.net$/ DUNNO > /(\-.+){4}$/ greylisting > /(\..+){4}$/ greylisting > # everything with 3 or more dots/hyphens in the hostname > > /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/ greylisting > /\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/ greylisting > /clients\.your-server\.de$/ greylisting > /unknown/ greylisting > /agnitas\.de/ greylisting > /google\.com/ greylisting > /gmail\.com/ greylisting > /yahoo\.com/ yahoo.absender Vielen Dank - das hilft mir schon weiter. Nur noch eine kurze Verständnisfrage: Wenn ich Greylisting so einbinde, dann wird Greylisting nur für die Mailserver aktiv, auf die die regex/pcre-Regeln zutreffen, oder? Alle anderen werden nicht ausgebremst, richtig? Viele Grüße, Michael From driessen at fblan.de Wed Aug 23 07:22:32 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 23 Aug 2017 07:22:32 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Message-ID: <008d01d31bcf$d2a252f0$77e6f8d0$@fblan.de> Im Auftrag von Michael Koehler > > Vielen Dank - das hilft mir schon weiter. Nur noch eine kurze > Verständnisfrage: Wenn ich Greylisting so einbinde, dann wird Greylisting > nur für die Mailserver aktiv, auf die die regex/pcre-Regeln zutreffen, oder? > Alle anderen werden nicht ausgebremst, richtig? Genau so > > Viele Grüße, > Michael = Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From igor.sverkos at gmail.com Wed Aug 23 12:11:55 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Wed, 23 Aug 2017 12:11:55 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Message-ID: Hallo Uwe, mehrere Verständnisfrage: 1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder? D.h. wenn einmal ein Tripple durchgekommen ist, steht das zumindest für die nächsten Stunden auf einer Whitelist oder verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender- Domain Greylisting erzwungen hast? 2) Welchen Effekt erhoffst Du Dir durch > /google\.com/ greylisting > /gmail\.com/ greylisting > /yahoo\.com/ yahoo.absender ? Die Mail von Google & Co. werden so oder so ankommen. Wozu also verzögern? -- Ich Grüße, Igor From driessen at fblan.de Wed Aug 23 12:31:29 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 23 Aug 2017 12:31:29 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Message-ID: <00a701d31bfa$fb5a4f10$f20eed30$@fblan.de> Im Auftrag von Igor Sverkos > > Hallo Uwe, > > mehrere Verständnisfrage: > > 1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder? > D.h. wenn einmal ein Tripple durchgekommen ist, steht das > zumindest für die nächsten Stunden auf einer Whitelist oder > verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender- > Domain Greylisting erzwungen hast? > > 2) Welchen Effekt erhoffst Du Dir durch > > > /google\.com/ greylisting > > /gmail\.com/ greylisting > > /yahoo\.com/ yahoo.absender Sogenannte freemailer ist schnell ein konto eingerichtet und mal schnell einige 100 Mails rausgeblasen In der Vergangenheit schon gehabt das plötzlich von einer nicht dagewesen Mail dieser Anbieter nur noch Spam kam Die Verzögerung gibt deren Mechanismen Zeit die faulen Äpfel zu finden und zu eliminieren Und wie immer, wer das nicht möchte der nimmt sowas raus :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Wed Aug 23 12:33:42 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 23 Aug 2017 12:33:42 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <39fe3247-1424-4b0b-ae90-6d5fcd18368b@Bitbucket> <000a01d31107$c4f10750$4ed315f0$@fblan.de> <3c4deb02-6e1b-4ad7-87c4-91a6dd93dd63@makomi.de> <006901d31b59$7e243de0$7a6cb9a0$@fblan.de> Message-ID: <00a801d31bfb$4aa0cdb0$dfe26910$@fblan.de> Im Auftrag von Igor Sverkos > > Hallo Uwe, > > mehrere Verständnisfrage: > > 1) Du nutzt aber schon Auto-Whitelisting von Greylisting, oder? > D.h. wenn einmal ein Tripple durchgekommen ist, steht das > zumindest für die nächsten Stunden auf einer Whitelist oder > verzögerst Du *jede* Mail zwangsweise wenn Du für die Absender- > Domain Greylisting erzwungen hast? Nein Standard wer nach X wiederkommt kommt durch Die Funktion übergibt das Tripple einfach an den Greylistdienst der dann für das richtige vorgehen sorgt > > 2) Welchen Effekt erhoffst Du Dir durch > > > /google\.com/ greylisting > > /gmail\.com/ greylisting > > /yahoo\.com/ yahoo.absender Sogenannte freemailer ist schnell ein konto eingerichtet und mal schnell einige 100 Mails rausgeblasen In der Vergangenheit schon gehabt das plötzlich von einer nicht dagewesen Mail dieser Anbieter nur noch Spam kam Die Verzögerung gibt deren Mechanismen Zeit die faulen Äpfel zu finden und zu eliminieren Und wie immer, wer das nicht möchte der nimmt sowas raus :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From igor.sverkos at gmail.com Wed Aug 23 12:51:30 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Wed, 23 Aug 2017 12:51:30 +0200 Subject: AW: Incoming / Outgoing Server je Domain unterschiedlich hanhaben? In-Reply-To: References: <00fc01d317c4$e3e10480$aba30d80$@fblan.de> Message-ID: Hallo, im Prinzip stimme ich Uwe zu. So etwas will man vermeiden, denn langfristig wird das Ärger geben: Kunde erwartet eine Mail die nicht da ist und wird erst einmal bei Dir nachfragen. Du kannst dann nur mit den Schultern zucken und auf den Anti- SPAM-Dienstleister verweisen... Ansonsten ist das ein traditionelles Backup MX Setup mit dem Unterschied dass nicht jeder für besagte Domain bei Dir einkippen können soll. Habt ihr geklärt ob Ihr weiterhin filtern sollt? Das könnte dann dazu führen, dass Ihr den Anti-SPAM-Dienstleister zum Backscatter macht. ¯\_(?)_/¯ Was ich machen würde: Diese Mails über einen eigenen SMTPd entgegen nehmen (eigener Port). Dann muss euer Haupt-MX nichts von der Domain wissen, d.h. es gibt keine Gefahr dass trotzdem jemand direkt bei Euch versucht Mails vorbei am filternden Dienstleister einzukippen und gleichzeitig kann der dedizierte SMTPd so konfiguriert werden, dass hier nur der Dienstleister rein kann. Bonus: Du hast diese Mails dann automatisch "gekennzeichnet" (durch den Eintrittspunkt in Deinem System) und kannst sie bequem am eigenen SPAM-Filter etc. vorbeischaufeln. -- Ich Grüße, Igor From v.quiering at me.com Thu Aug 24 09:40:09 2017 From: v.quiering at me.com (Vitali Quiering) Date: Thu, 24 Aug 2017 09:40:09 +0200 Subject: fallback transport mit smtp probe Message-ID: <504224D4-01D7-4E9A-A1D8-AD7FFBA95C94@me.com> Moin, ich suche nach einer Möglichkeit Empfänger zuerst lokal und dann an einem weiteren SMTP Host als Fallback zu verifizieren. Wir haben mehrere Standalone Postfix Instanzen und einen aufgebohrten zentralen Mailserver. Es gibt virtual_users auf den Standalone Servern die dann im mysql ein Flag bekommen wenn sie auf dem zentralen Mailserver vorhanden sind. Ich muss die Benutzer dann auf beiden Mailservern pflegen. Gibt es einen Weg, die virtual_users auf den Standalone Servern zu verifizieren und wenn diese dort nicht vorhanden sind, gegen den zentralen Mailserver zu prüfen? Wenn dieser SMTP Probe dann erfolgreich ist, sollte die Mail an diesen gesendet werden. Aus dem README (http://www.postfix.org/ADDRESS_VERIFICATION_README.html ) werde ich nicht wirklich schlau. Es sollte definitiv als Fallback funktionieren. Bisher funktioniert es mit dem Flag mit den folgenden Zeilen in der main.cf. virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf transport_maps = mysql:/etc/postfix/mysql-transport-maps.cf virtual_transport = dovecot Was fehlt? Vielen Dank. Vitali -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From mailinglisten at pothe.de Thu Aug 24 12:32:21 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Thu, 24 Aug 2017 12:32:21 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC Message-ID: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> Hallo in die Runde, Microsofts Maildienst Hotmail mit seinen diversen Inkarnationen wie Outlook.de war schon immer mein Lieblings-Unthema. Man hat sich ja schon fast damit abgefunden, dass die illegalerweise E-Mails annehmen, aber nicht zustellen (also unterdrücken). Aber eben nur fast, denn leider gibt es immer noch Leute, die diesen Dienst ernsthaft verwenden und Antworten haben wollen. Also versucht man alles Mögliche, dass das klappt. Mit DKIM und DMARC bin ich jetzt soweit, dass die E-Mails immerhin nicht nur angenommen werden, sondern auch scheinbar zugestellt werden - leider aber im Junk-E-Mail-Ordner. Danke des Einsatzes von DMARC erhalte ich auch die Reports von Hotmail - und die sagen, dass DKIM einen tempfail hätte. Und damit ist das wohl der Grund, dass die Mail nicht im Posteingang landet. Bei Zustellungen zu anderen Providern ist alles gut, einschließlich z. B. Gmail, die mir bestätigen, dass sowohl SPF als auch DKIM erfolgreich validiert wurden (SPF ist auf der wichtigen Domain bewusst auch auf ?all gesetzt, damit Weiterleitungen funktionieren). Was macht Hotmail anders als z. B. Gmail oder andere DMARC/DKIM auswertende Anbieter, dass es einen Tempfail gibt? Kann ich etwas auf meiner Seite verbessern? Beste Grüße Andreas From me at foxxx0.de Thu Aug 24 13:27:56 2017 From: me at foxxx0.de (Thore Boedecker) Date: Thu, 24 Aug 2017 13:27:56 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> Message-ID: <20170824112756.GA9627@utgard.lan> Huhu, On 24.08.17 - 12:32, Andreas Pothe wrote: > Junk-E-Mail-Ordner. Danke des Einsatzes von DMARC erhalte ich auch die > Reports von Hotmail - und die sagen, dass DKIM einen tempfail hätte. Und > damit ist das wohl der Grund, dass die Mail nicht im Posteingang landet. soweit mir bekannt betreibt Hotmail DNS Lookups nach einer Whitelist-Methode. Mal davon abgesehen, dass diese Vorgehensweise DKIM/DMARC erstmal pauschal kaputt macht, musst du dich nun darum kümmern dass deine Domain auf diese Whitelist kommt. Ich habe die Links gerade nicht zur Hand aber mit etwas Googlen bezüglich Hotmail Postmaster / DKIM / DNS solltest du den Weg zum Kontaktformular finden. Grüße, Thore -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: nicht verfügbar URL : From me at foxxx0.de Thu Aug 24 13:27:56 2017 From: me at foxxx0.de (Thore Boedecker) Date: Thu, 24 Aug 2017 13:27:56 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> Message-ID: <20170824112756.GA9627@utgard.lan> Huhu, On 24.08.17 - 12:32, Andreas Pothe wrote: > Junk-E-Mail-Ordner. Danke des Einsatzes von DMARC erhalte ich auch die > Reports von Hotmail - und die sagen, dass DKIM einen tempfail hätte. Und > damit ist das wohl der Grund, dass die Mail nicht im Posteingang landet. soweit mir bekannt betreibt Hotmail DNS Lookups nach einer Whitelist-Methode. Mal davon abgesehen, dass diese Vorgehensweise DKIM/DMARC erstmal pauschal kaputt macht, musst du dich nun darum kümmern dass deine Domain auf diese Whitelist kommt. Ich habe die Links gerade nicht zur Hand aber mit etwas Googlen bezüglich Hotmail Postmaster / DKIM / DNS solltest du den Weg zum Kontaktformular finden. Grüße, Thore -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: nicht verfügbar URL : From juergen.gmach at apis.de Thu Aug 24 13:51:09 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Thu, 24 Aug 2017 13:51:09 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <20170824112756.GA9627@utgard.lan> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> <20170824112756.GA9627@utgard.lan> Message-ID: <0032251b6df84caa221c8699065e5d32@apis-intern.com> > Ich habe die Links gerade nicht zur Hand aber mit etwas Googlen > bezüglich Hotmail Postmaster / DKIM / DNS solltest du den Weg zum > Kontaktformular finden. Der sollte helfen https://postmaster.live.com/snds/index.aspx -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From driessen at fblan.de Thu Aug 24 15:01:38 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 24 Aug 2017 15:01:38 +0200 Subject: AW: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <0032251b6df84caa221c8699065e5d32@apis-intern.com> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> <20170824112756.GA9627@utgard.lan> <0032251b6df84caa221c8699065e5d32@apis-intern.com> Message-ID: <010e01d31cd9$1ff72d50$5fe587f0$@fblan.de> Im Auftrag von Jürgen Gmach > > > Ich habe die Links gerade nicht zur Hand aber mit etwas Googlen > > bezüglich Hotmail Postmaster / DKIM / DNS solltest du den Weg zum > > Kontaktformular finden. > > Der sollte helfen > https://postmaster.live.com/snds/index.aspx Bei aller Liebe NEIN Wenn MS Mails unterdrück machen die sich strafbar, da sollte mal jemand MS vor den Kadi zerren Ich habe mein 250 OK angenommen Mein Dienst funktioniert Kunde von MS hat sich bitte an MS zu wenden wenn er eine Mail die nicht ankommt suchen möchte. Und da gibt es sogar Kunden von MS die MS richtig feuermachen inkl. dem das MS den Nachweis zu erbringen hat in seinen Logfiles was mit der Mail passiert ist. Dann sind die Kosten und der Aufwand auch genau dort wo die hingehören. Die Auskunft gebe ich mindestens einmal im Monat (wenn ich nachschauen muss nehme ich auch von meinem Kunden bei einer Ordnungsgemäßen Einlieferung 15.-- EUR für die Bestätigung :-). Du kannst JETZT alles mögliche um MS drumherumkonfigurieren und morgen steckt denen was anderes quer und du machst den mist nochmal ? Wer einen Amerikanischen Dienst nutzt bekommt nur das was die in ihren AGB's drin stehen haben. Wer damit einen Vertrag eingeht und das kleingedruckte nicht liest ... Die haben KEINE Deutsche Zuverlässigkeit und Gesetzgebung. Bitte in Amerika die Leistung einklagen. Ist bei allen anderen Amerikanischen/Ausländischen Dienstleistern nicht anders. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From andreas.schulze at datev.de Thu Aug 24 15:59:35 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 24 Aug 2017 15:59:35 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <010e01d31cd9$1ff72d50$5fe587f0$@fblan.de> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> <20170824112756.GA9627@utgard.lan> <0032251b6df84caa221c8699065e5d32@apis-intern.com> <010e01d31cd9$1ff72d50$5fe587f0$@fblan.de> Message-ID: <65618e78-7369-5fe6-87e2-7b636a3c9fcb@datev.de> Am 24.08.2017 um 15:01 schrieb Uwe Drießen: > Wenn MS Mails unterdrück machen die sich strafbar, da sollte mal jemand MS vor den Kadi zerren > > Ich habe mein 250 OK angenommen > Mein Dienst funktioniert yep. einen Microsoft-Spezel habe ich im persönlichen Gespräch mal so verstanden ¹): "ja, Hotmail verwirft Nachrichten. Das ist Sch***, wissen wir. "Aber das ist halt unsere älteste Plattform. Wir arbeiten dran, jedoch eben nicht mit Prio." Auf der anderen Seite: wer für seine Adresse nix bezahlt, kann nicht sonderlich viel Service erwarten. Geschäft und Freemailer sind nicht das Beste Gespann... -- A. Schulze DATEV eG ¹) vielleicht waren das aber auch bedauerliche Übersetzungsfehler ... From mailinglisten at pothe.de Thu Aug 24 16:37:53 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Thu, 24 Aug 2017 16:37:53 +0200 Subject: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <65618e78-7369-5fe6-87e2-7b636a3c9fcb@datev.de> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> <20170824112756.GA9627@utgard.lan> <0032251b6df84caa221c8699065e5d32@apis-intern.com> <010e01d31cd9$1ff72d50$5fe587f0$@fblan.de> <65618e78-7369-5fe6-87e2-7b636a3c9fcb@datev.de> Message-ID: <44eb3c72-fe3c-1d5b-bf52-89d6ed397f03@pothe.de> Am 24.08.2017 um 15:59 schrieb Andreas Schulze: > > wer für seine Adresse nix bezahlt, kann nicht sonderlich viel Service erwarten. > Geschäft und Freemailer sind nicht das Beste Gespann... > > Das Problem ist halt, wenn der (Privat-) Kunde auf diesen Anbieter setzt :-( From driessen at fblan.de Thu Aug 24 17:39:35 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 24 Aug 2017 17:39:35 +0200 Subject: AW: Mal wieder Hotmail, hier konkret DKIM und DMARC In-Reply-To: <44eb3c72-fe3c-1d5b-bf52-89d6ed397f03@pothe.de> References: <8be680aaefed2681e754e76f79fa6c6c@pothe.de> <20170824112756.GA9627@utgard.lan> <0032251b6df84caa221c8699065e5d32@apis-intern.com> <010e01d31cd9$1ff72d50$5fe587f0$@fblan.de> <65618e78-7369-5fe6-87e2-7b636a3c9fcb@datev.de> <44eb3c72-fe3c-1d5b-bf52-89d6ed397f03@pothe.de> Message-ID: <010f01d31cef$3066c7c0$91345740$@fblan.de> Im Auftrag von Andreas Pothe > > > Am 24.08.2017 um 15:59 schrieb Andreas Schulze: > > > > wer für seine Adresse nix bezahlt, kann nicht sonderlich viel Service > erwarten. > > Geschäft und Freemailer sind nicht das Beste Gespann... > > > > > Das Problem ist halt, wenn der (Privat-) Kunde auf diesen Anbieter setzt :-( Denn muss er bei MS anrufen :-) Wo ist das Problem 089/...... irgendwas ist die Deutschlandzentrale Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From ms at ddnetservice.de Thu Aug 24 17:47:31 2017 From: ms at ddnetservice.de (ms at ddnetservice.de) Date: Thu, 24 Aug 2017 17:47:31 +0200 Subject: =?UTF-8?Q?[OT]_EU-DSGVO_-_Recht_auf_Daten=c3=bcbertragbarkeit?= Message-ID: Moin Liste, die Frage ist eher etwas OT, dennoch dreht sich die Frage zumindest indirekt auch um E-Mails. :-) Ich bin heute auf die neue EU-DSGVO (Datenschutz-Grundverordnung) aufmerksam geworden. Dabei sticht vorallem Art. 20 DSGVO hervor, welches wohl besagt dass der Kunde seine persönlichen Daten auf einfachem Weg zu einem anderen Anbieter übertragen kann. Die interessanteste Frage ist wohl: Was fällt alles unter persönliche Daten? Wie immer lässt der Gesetzgeber hier leider sehr viel Interpretationsspielraum. Unter pers. Daten fällt denke ich mal auch das persönliche E-Mail Postfach und falls man noch Groupware-Funktionen anbietet, auch noch Kalender und die pers. Kontakte. Liege ich hier mit meiner Vermutung falsch? Und falls nicht, hat hier schon jemand erste Vorkehrungen (sprich Export/Import Lösungen) bei sich implementiert? Gruß Michael From driessen at fblan.de Thu Aug 24 18:43:59 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 24 Aug 2017 18:43:59 +0200 Subject: =?utf-8?Q?AW:_=5BOT=5D_EU-DSGVO_-_Recht_auf_Da?= =?utf-8?Q?ten=C3=BCbertragbarkeit?= In-Reply-To: References: Message-ID: <011001d31cf8$2f930df0$8eb929d0$@fblan.de> Im Auftrag von ms at ddnetservice.de > Moin Liste, > > die Frage ist eher etwas OT, dennoch dreht sich die Frage zumindest > indirekt auch um E-Mails. :-) > > Ich bin heute auf die neue EU-DSGVO (Datenschutz-Grundverordnung) > aufmerksam geworden. > > Dabei sticht vorallem Art. 20 DSGVO hervor, welches wohl besagt dass der > Kunde seine persönlichen Daten auf einfachem Weg zu einem anderen > Anbieter übertragen kann. Steht da das das der Anbieter machen muss ? > > Die interessanteste Frage ist wohl: Was fällt alles unter persönliche > Daten? Wie immer lässt der Gesetzgeber hier leider sehr viel > Interpretationsspielraum. > > Unter pers. Daten fällt denke ich mal auch das persönliche E-Mail > Postfach und falls man noch Groupware-Funktionen anbietet, auch noch > Kalender und die pers. Kontakte. Der Kunde hat doch seine Daten ? wo ER (der Kunde) seine Daten hin transferiert ist doch nicht das Problem des Anbieters Man darf es nur nicht verhindern Und wenn Daten angefordert werden müssen die zugreifbar sein Wenn der Kunde die in einem anderen Format benötigt obliegt es dem Kunden die Daten entsprechend zu konvertieren Stell dir mal den Aufwand vor wenn du 5897 Konvertierungen bereithalten müsstest :-) > > Liege ich hier mit meiner Vermutung falsch? > Und falls nicht, hat hier schon jemand erste Vorkehrungen (sprich > Export/Import Lösungen) bei sich implementiert? > Alle die der Kunde sonst auch hat um seine Daten lokal bei sich zu bearbeiten zu sichern und zu löschen Es gibt kein Gesetz das vorschreibt das die Daten in einem bestimmten Format sein müssen außer die beim Finanzamt :-( Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Thu Aug 24 22:00:50 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 24 Aug 2017 22:00:50 +0200 Subject: =?utf-8?Q?AW:_=5BOT=5D_EU-DSGVO_-_Recht_auf_Da?= =?utf-8?Q?ten=C3=BCbertragbarkeit?= In-Reply-To: <011001d31cf8$2f930df0$8eb929d0$@fblan.de> References: <011001d31cf8$2f930df0$8eb929d0$@fblan.de> Message-ID: <011101d31d13$b15024c0$13f06e40$@fblan.de> Im Auftrag von Uwe Drießen > Im Auftrag von ms at ddnetservice.de > > Moin Liste, > > > > die Frage ist eher etwas OT, dennoch dreht sich die Frage zumindest > > indirekt auch um E-Mails. :-) > > > > Ich bin heute auf die neue EU-DSGVO (Datenschutz-Grundverordnung) > > aufmerksam geworden. > > > > Dabei sticht vorallem Art. 20 DSGVO hervor, welches wohl besagt dass der > > Kunde seine persönlichen Daten auf einfachem Weg zu einem anderen > > Anbieter übertragen kann. > > Steht da das das der Anbieter machen muss ? > > > > > > Die interessanteste Frage ist wohl: Was fällt alles unter persönliche > > Daten? Wie immer lässt der Gesetzgeber hier leider sehr viel > > Interpretationsspielraum. > > > > Unter pers. Daten fällt denke ich mal auch das persönliche E-Mail > > Postfach und falls man noch Groupware-Funktionen anbietet, auch noch > > Kalender und die pers. Kontakte. Da das gesetz selber so verklausuliert ist das es schon eines Studiums der Hintergründe und der Ziele bedarf was da die schlauen Herren wieder verbrochen haben ... Dabei ist die Deutsche Sprache wirklich so Präzise das man durchaus Ross und Reiter nenn kann .... https://www.datenschutz-notizen.de/das-recht-auf-datenuebertragbarkeit-art-20-dsgvo-3516934/ ein Beitrag der geeignet ist in der 1000 m² Halle ohne Fenster zumindest mal eine kleine Geburtstagskerze scheine zu lassen so ganz weit hinten in der ecke da wird auch gleich darauf hingewiesen das es schwierig wird durchzusetzen zumindest jetzt Eine eindeutige Datenkomptabilität wird nicht gefordert, wie Satz 7 vom Erwägungsgrund 68 klarstellt: ?Das Recht der betroffenen Person [..] sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From thomas.schwenski at xanismail.de Sat Aug 26 23:23:43 2017 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Sat, 26 Aug 2017 23:23:43 +0200 Subject: =?UTF-8?Q?Re:_[OT]_EU-DSGVO_-_Recht_auf_Daten=c3=bcbertragbarkeit?= In-Reply-To: <011101d31d13$b15024c0$13f06e40$@fblan.de> References: <011001d31cf8$2f930df0$8eb929d0$@fblan.de> <011101d31d13$b15024c0$13f06e40$@fblan.de> Message-ID: <4818c2a8-b453-fd11-716a-a567e13e0a60@xanismail.de> Hallo Michael, als Ergänzung zu Uwes Nachrichten mal noch folgende unverbindliche Informationen, die ich aus Gesprächen mit dem ULD Schleswig Holstein habe: Generell ist kein bestimmtes Datenformat vorgeschrieben. Die Daten sollten jedoch in einem üblichen machinenlesbaren Format bereitgestellt werden. Heißt sinngemäß (für mich und auch so "bestätigt" durch meinen damaligen Gesprächspartner): Kundendaten (also Daten zur Person und dem Vertragsverhältnis) können als doc/pdf/xml/csv bereitgestellt werden (andere Formate nicht ausgeschlossen). Aufgrund der Vielfältigkeit der Daten, deren Aufbau etc. sehe ich persönlich XML mit einer entsprechenden Format-Beschreibung als am zweckmäßigsten an. Für andere Daten, wie etwa Mailboxen halt übliche Formate (maildir/mbox, ...). Auch klare Aussage im Gespräch: Der Bereitstellende muss sich nicht nach dem Zielsystem richten, sondern nur in einem üblichen Format die Daten liefern. Letztendlich wird diese Frage sich nach der verbindlichen Gültigkeit der EU-DSGVO ab 25.05.2018 im Prozess präziser klären. (Wie leider so vieles bei Gesetzen.) Peer als Jurist kann da sicher auch noch einige bessere Aussagen machen. Aus dem Thema ergibt sich aber eine andere Problematik: Wird eine Anfrage nach (derzeit noch) §34 BDSG bzw. zukünftig nach Artikel 15 DSGVO / §57 DSAnpUG-EU gestellt und dabei explizit die Auskunft nach allen personenbezogenen Daten verlangt, muss dann der zuständige DSB (in unserem Fall) die Mails der betroffenen Person komplett mitliefern? Damit wären wir dann nämlich auch bei der Formatfrage. Viele Grüße -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de Am 24.08.17 um 22:00 schrieb Uwe Drießen: > Im Auftrag von Uwe Drießen >> Im Auftrag von ms at ddnetservice.de >>> Moin Liste, >>> >>> die Frage ist eher etwas OT, dennoch dreht sich die Frage zumindest >>> indirekt auch um E-Mails. :-) >>> >>> Ich bin heute auf die neue EU-DSGVO (Datenschutz-Grundverordnung) >>> aufmerksam geworden. >>> >>> Dabei sticht vorallem Art. 20 DSGVO hervor, welches wohl besagt dass der >>> Kunde seine persönlichen Daten auf einfachem Weg zu einem anderen >>> Anbieter übertragen kann. >> >> Steht da das das der Anbieter machen muss ? >> >> >>> >>> Die interessanteste Frage ist wohl: Was fällt alles unter persönliche >>> Daten? Wie immer lässt der Gesetzgeber hier leider sehr viel >>> Interpretationsspielraum. >>> >>> Unter pers. Daten fällt denke ich mal auch das persönliche E-Mail >>> Postfach und falls man noch Groupware-Funktionen anbietet, auch noch >>> Kalender und die pers. Kontakte. > > Da das gesetz selber so verklausuliert ist das es schon eines Studiums der Hintergründe und der Ziele bedarf was da die schlauen Herren wieder verbrochen haben ... > Dabei ist die Deutsche Sprache wirklich so Präzise das man durchaus Ross und Reiter nenn kann .... > > https://www.datenschutz-notizen.de/das-recht-auf-datenuebertragbarkeit-art-20-dsgvo-3516934/ > > ein Beitrag der geeignet ist in der 1000 m² Halle ohne Fenster zumindest mal eine kleine Geburtstagskerze scheine zu lassen so ganz weit hinten in der ecke > > da wird auch gleich darauf hingewiesen das es schwierig wird durchzusetzen zumindest jetzt > > Eine eindeutige Datenkomptabilität wird nicht gefordert, wie Satz 7 vom Erwägungsgrund 68 klarstellt: ?Das Recht der betroffenen Person [..] sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.? > > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > From t.schneider at tms-itdienst.at Mon Aug 28 14:48:23 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 28 Aug 2017 14:48:23 +0200 Subject: OT: Mailman backupen Message-ID: Liebe Liste, ich muß meinen Mail und Listendienst auf einen anderen Server umziehen, da ich derzeit so einige Baustellen habe, ist es ein Zeitproblem, vielleicht kann mir jemand hier Tips geben, wie ich mein mailman umziehe. Derzeit gefunden https://www.pug.org/mediawiki/index.php/Mailman:Liste_sichern_und_wiederherstellen Wie macht ihr das in so einem Fall? Das Gleiche mit dem postfix und den ganzen Einstellungen/Passwörter der User. Danke Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL :