From bjoern.meier at gmail.com Fri Dec 1 10:05:31 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 1 Dec 2017 10:05:31 +0100 Subject: =?UTF-8?Q?Emailverschl=C3=BCsselung?= Message-ID: Hi, könnt ihr zum Thema was empfehlen? Ich würde für Geschäftspartner S/MIME nehmen wollen. Allerdings haben wir auch Bedarf, dass für einmalighe Fälle zu machen, wir kein Zertifikat des Gegenüber verlangen können. Was könnt ihr da empfehlen? Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From foobar at web.de Fri Dec 1 14:43:54 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 14:43:54 +0100 Subject: Weiterleitung via snmp Message-ID: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> hi @all, gibt es eine möglichkeit alle eingehenden mail als kopie einfach an einen anderen snmp-server zu schicken ... in meinem fall ein mailarchiv ? always_bcc ist leider keine lösung From listen at kielgas.org Fri Dec 1 15:34:16 2017 From: listen at kielgas.org (Uwe Kielgas) Date: Fri, 1 Dec 2017 15:34:16 +0100 (CET) Subject: Weiterleitung via snmp In-Reply-To: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> Message-ID: <871783192.6336.1512138856936@appsuite.vlf.pdm> Hi, meinst Du smtp-Server? Warum synchronisierst Du die Verzeichnisse nicht per rsync? > Foo Bar hat am 1. Dezember 2017 um 14:43 geschrieben: > > > > hi @all, > > > gibt es eine möglichkeit alle eingehenden mail als kopie > einfach an einen anderen snmp-server zu schicken ... > in meinem fall ein mailarchiv ? > > always_bcc ist leider keine lösung > From kai_postfix at fuerstenberg.ws Fri Dec 1 16:13:52 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Fri, 1 Dec 2017 16:13:52 +0100 Subject: =?UTF-8?Q?Re:_Emailverschl=c3=bcsselung?= In-Reply-To: References: Message-ID: Hi Björn, Am 01.12.2017 um 10:05 schrieb Bjoern Meier: > könnt ihr zum Thema was empfehlen? > Ich würde für Geschäftspartner S/MIME nehmen wollen. Allerdings haben > wir auch Bedarf, dass für einmalighe Fälle zu machen, wir kein > Zertifikat des Gegenüber verlangen können. > > Was könnt ihr da empfehlen? das geht so nicht. Wenn du eine Ende-zu-Ende-Verschlüsselung willst benötigst du immer das öffentliche Zertifikat/Schlüssel des Gegenübers. S/MIME braucht das und PGP/GPG auch. Es muss hierfür immer erst ein Schlüsseltausch erfolgen. Verschlüsselung ohne Tausch von Schlüsseln ist sinnfrei. Wenn das Gegeüber die Mail entschlüsseln könnte, kann es vermutlich auch jeder andere. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From bjoern.meier at gmail.com Fri Dec 1 16:36:17 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 1 Dec 2017 16:36:17 +0100 Subject: =?UTF-8?Q?Re=3A_Emailverschl=C3=BCsselung?= In-Reply-To: References:

Message-ID: hi, > Verschlüsselung ohne Tausch von Schlüsseln ist sinnfrei. Wenn das > Gegeüber die Mail entschlüsseln könnte, kann es vermutlich auch jeder > andere. Es ist möglich, weil wir nicht die einzigen sind die das umsetzen müssen. Es ist schwierig aber nicht unmöglich. Ich werde wohl etwas machen, dass die Telekom auch macht: die Server halten die temporären Schlüssel und entschlüsseln nach authentifizierung. Ein Kompriss zwischen echter End-To-End-Encryption und tatsächlicher Machbarkeit. Mit freundlichem Gruss Bjoern Meier > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From michael.stroehle at arz.at Fri Dec 1 16:42:55 2017 From: michael.stroehle at arz.at (=?ISO-8859-1?Q?Michael_Str=F6hle?=) Date: Fri, 1 Dec 2017 16:42:55 +0100 Subject: =?ISO-8859-1?Q?Antwort=3A_Emailverschl=FCsselung?= In-Reply-To: References: Message-ID: Bjoern Meier wrote on 01.12.2017 10:05:31: > Allerdings haben wir auch Bedarf, dass für einmalighe Fälle > zu machen, wir kein Zertifikat des Gegenüber verlangen können. Zwar keine klassische E2E-Encryption, erfüllt aber Zweck und Anforderung: https://www.seppmail.ch/e-mail-security2/patentierte-gina-technologie/ Grüße Michael Ströhle From bjoern.meier at gmail.com Fri Dec 1 16:56:06 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 1 Dec 2017 16:56:06 +0100 Subject: =?UTF-8?Q?Re=3A_Emailverschl=C3=BCsselung?= In-Reply-To: References:

Message-ID: hi Am 1. Dezember 2017 um 16:42 schrieb Michael Ströhle < michael.stroehle at arz.at>: Zwar keine klassische E2E-Encryption, erfüllt aber Zweck und Anforderung: > https://www.seppmail.ch/e-mail-security2/patentierte-gina-technologie/ > Danke. Ist das eine Empfehlung? Habt Ihr sowas selbst im Einsatz? Ich wollte die Liste nicht als Google-Interface nutzen. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From michael.stroehle at arz.at Fri Dec 1 17:28:05 2017 From: michael.stroehle at arz.at (=?ISO-8859-1?Q?Michael_Str=F6hle?=) Date: Fri, 1 Dec 2017 17:28:05 +0100 Subject: =?ISO-8859-1?Q?Re=3A_Emailverschl=FCsselung?= In-Reply-To: References:

Message-ID: Bjoern Meier wrote on 01.12.2017 16:56:06: > Danke. > Ist das eine Empfehlung? Habt Ihr sowas selbst im Einsatz? Bitte gerne - absolute Empfehlung und seit vielen Jahren erfolgreich im Einsatz. Hinsichtlich DSGVO besteht diesbezüglich bei vielen Unternehmen Handlungsbedarf. Das kann man jetzt aufwendiger oder eben relativ einfach lösen: https://www.seppmail.ch/ab-2018-wird-verschluesselt-sind-sie-vorbereitet/ Passend zum Thema: https://www.heise.de/newsticker/meldung/Kommentar-Weg-mit-PGP-her-mit-alltagstauglicher-Mail-Verschluesselung-3905668.html From philipp.faeustlin at uni-hohenheim.de Fri Dec 1 17:28:41 2017 From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin) Date: Fri, 1 Dec 2017 17:28:41 +0100 Subject: =?UTF-8?Q?Re:_Emailverschl=c3=bcsselung?= In-Reply-To: References:

Message-ID: <2c211437-275d-cbb5-b9c1-5171d6018a38@uni-hohenheim.de> Hi. Ich würde sagen, die Frage bei der Sache ist wem, vertraue ich? Vertraue ich auf ein kryptographisch sicheres Verfahren wie S/Mime oder PGP, das eigentlich jeder nutzen könnte, wo nur der Wille fehlt oder vertraue ich meine Daten einem Drittanbieter an, wo meine vertraulichen Daten dann auf einem Webserver mit Wordpress in einer für mich unbekannten Version liegen. Ich hoffe immer noch darauf, dass sich die sicheren Verfahren irgendwann durchsetzen werden. Grüße Philipp Fäustlin Am 01.12.2017 um 16:56 schrieb Bjoern Meier: > hi > > Am 1. Dezember 2017 um 16:42 schrieb Michael Ströhle > >: > > Zwar keine klassische E2E-Encryption, erfüllt aber Zweck und > Anforderung: > https://www.seppmail.ch/e-mail-security2/patentierte-gina-technologie/ > > > > > Danke. > Ist das eine Empfehlung? Habt Ihr sowas selbst im Einsatz? > > Ich wollte die Liste nicht als Google-Interface nutzen. > > > Mit freundlichem Gruss > Bjoern Meier > > > > > From foobar at web.de Fri Dec 1 17:43:30 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 17:43:30 +0100 Subject: Weiterleitung via snmp In-Reply-To: <871783192.6336.1512138856936@appsuite.vlf.pdm> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <871783192.6336.1512138856936@appsuite.vlf.pdm> Message-ID: <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> On 01.12.2017 15:34, Uwe Kielgas wrote: > Hi, > > meinst Du smtp-Server? ??? wo nach hatte ich gefragt ? | als kopie einfach an einen anderen snmp-server zu schicken > Warum synchronisierst Du die Verzeichnisse nicht per rsync? brr... cu From fstoyan at swapon.de Fri Dec 1 18:05:40 2017 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Fri, 1 Dec 2017 18:05:40 +0100 Subject: Weiterleitung via snmp In-Reply-To: <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <871783192.6336.1512138856936@appsuite.vlf.pdm> <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> Message-ID: <20171201170540.y5ed5ksbyky6nzah@excelsior.lab.swapon.de> On 1.12.17 17:43, Foo Bar wrote: > On 01.12.2017 15:34, Uwe Kielgas wrote: > > Hi, > > > > meinst Du smtp-Server? > > ??? wo nach hatte ich gefragt ? Du fragtest nach einer Mailweiterleitung per Simple Network Managment Protocol SNMP. mfg Friedemann From jc.pfbk15 at cynix.net Fri Dec 1 18:17:06 2017 From: jc.pfbk15 at cynix.net (Juergen Christoffel) Date: Fri, 1 Dec 2017 18:17:06 +0100 Subject: =?iso-8859-15?Q?Emailverschl=FCsselung?= In-Reply-To: References: Message-ID: <20171201171706.GB15189@unser.net> On Fri, Dec 01, 2017 at 10:05:31AM +0100, Bjoern Meier wrote: >Ich würde für Geschäftspartner S/MIME nehmen wollen. Allerdings haben wir >auch Bedarf, dass für einmalighe Fälle zu machen, wir kein Zertifikat des >Gegenüber verlangen können. Mein Arbeitgeber verwendet für Leute, die weder PGP ncoh SMIME haben die Software Cryptshare der Fa. Befine. Funktioniert ganz ordentlich. Unsere PKI kann zwar auch Zertifikate "on the fly" ausstellen, das setzt aber voraus, dass die Gegenseite genug IT-Knowhow hat, um die dann auch in Betrieb zu nehmen. --jc -- Doctorow's Law: Anytime someone puts a lock on something you own, against your wishes, and doesn't give you the key, they're not doing it for your benefit. From foobar at web.de Fri Dec 1 19:10:04 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 19:10:04 +0100 Subject: Weiterleitung via snmp In-Reply-To: <20171201170540.y5ed5ksbyky6nzah@excelsior.lab.swapon.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <871783192.6336.1512138856936@appsuite.vlf.pdm> <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> <20171201170540.y5ed5ksbyky6nzah@excelsior.lab.swapon.de> Message-ID: <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> On 01.12.2017 18:05, Friedemann Stoyan wrote: > On 1.12.17 17:43, Foo Bar wrote: >> On 01.12.2017 15:34, Uwe Kielgas wrote: >>> Hi, >>> >>> meinst Du smtp-Server? >> >> ??? wo nach hatte ich gefragt ? > > Du fragtest nach einer Mailweiterleitung per Simple Network Managment Protocol > SNMP. ich bin ein depp ... smtp natürlich ... eventuell sollte man lesen was man eintippt ... sorry für die verwirrung ;) From listen at kielgas.org Fri Dec 1 19:20:48 2017 From: listen at kielgas.org (Uwe Kielgas) Date: Fri, 01 Dec 2017 19:20:48 +0100 Subject: Weiterleitung via snmp In-Reply-To: <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <871783192.6336.1512138856936@appsuite.vlf.pdm> <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> <20171201170540.y5ed5ksbyky6nzah@excelsior.lab.swapon.de> <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> Message-ID: <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> :-) jetzt musst Du nur noch erklären, was Du an rsync so "brr" findest Am 1. Dezember 2017 19:10:23 schrieb Foo Bar : > On 01.12.2017 18:05, Friedemann Stoyan wrote: >> On 1.12.17 17:43, Foo Bar wrote: >>> On 01.12.2017 15:34, Uwe Kielgas wrote: >>>> Hi, >>>> >>>> meinst Du smtp-Server? >>> >>> ??? wo nach hatte ich gefragt ? >> >> Du fragtest nach einer Mailweiterleitung per Simple Network Managment Protocol >> SNMP. > > > ich bin ein depp ... smtp natürlich ... > eventuell sollte man lesen was man eintippt ... > > sorry für die verwirrung ;) > > From buettnerp at web.de Fri Dec 1 19:38:44 2017 From: buettnerp at web.de (Peter Buettner) Date: Fri, 1 Dec 2017 19:38:44 +0100 Subject: Weiterleitung via snmp In-Reply-To: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> Message-ID: <2d1006b1-ee7e-1dcf-6093-8b4025c32730@web.de> .... das muss man nur richtig konfigurieren. Dann funktioniert das auch: http://www.mailpiler.org/wiki/current:installation Gruß Peter Büttner Am 01.12.2017 um 14:43 schrieb Foo Bar: > > hi @all, > > > gibt es eine möglichkeit alle eingehenden mail als kopie > einfach an einen anderen snmp-server zu schicken ... > in meinem fall ein mailarchiv ? > > always_bcc ist leider keine lösung > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 713 bytes Beschreibung: OpenPGP digital signature URL : From gregor at a-mazing.de Fri Dec 1 19:46:13 2017 From: gregor at a-mazing.de (Gregor Hermens) Date: Fri, 1 Dec 2017 19:46:13 +0100 Subject: Weiterleitung via snmp In-Reply-To: <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> Message-ID: <201712011946.13815@office.a-mazing.net> nAbend, Am Freitag, 1. Dezember 2017 schrieb Uwe Kielgas: > :-) > > jetzt musst Du nur noch erklären, was Du an rsync so "brr" findest ... oder warum always_bcc dir nicht hilft. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From foobar at web.de Fri Dec 1 20:01:40 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 20:01:40 +0100 Subject: Weiterleitung via snmp In-Reply-To: <2d1006b1-ee7e-1dcf-6093-8b4025c32730@web.de> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <2d1006b1-ee7e-1dcf-6093-8b4025c32730@web.de> Message-ID: On 01.12.2017 19:38, Peter Buettner wrote: > .... das muss man nur richtig konfigurieren. Dann funktioniert das auch: > > http://www.mailpiler.org/wiki/current:installation das hab ich mir schon angeschaut und werde ich als alternative zu benno mal testen ... From foobar at web.de Fri Dec 1 20:03:17 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 20:03:17 +0100 Subject: Weiterleitung via snmp In-Reply-To: <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <871783192.6336.1512138856936@appsuite.vlf.pdm> <111c025c-e6ba-5deb-3498-d55b8d8260a4@web.de> <20171201170540.y5ed5ksbyky6nzah@excelsior.lab.swapon.de> <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> Message-ID: <53930737-7b4e-f8d1-1f50-d6525a41356f@web.de> On 01.12.2017 19:20, Uwe Kielgas wrote: > :-) > jetzt musst Du nur noch erklären, was Du an rsync so "brr" findest ich will nicht syncen, dass ist administrativ aufwand und funktioniert nicht in echtzeit ... einfach was reinkommt unverändert weiter und gut is ... From foobar at web.de Fri Dec 1 21:18:50 2017 From: foobar at web.de (Foo Bar) Date: Fri, 1 Dec 2017 21:18:50 +0100 Subject: Weiterleitung via snmp In-Reply-To: <201712011946.13815@office.a-mazing.net> References: <9fccbede-c351-4bc5-a3a5-bd6d3a7435ca@web.de> <1e8fddb3-f4fd-fed2-6641-7d667dcd013c@web.de> <160134f3c00.28c5.8a6919094711b0923b0ca5b160f72fe0@kielgas.org> <201712011946.13815@office.a-mazing.net> Message-ID: On 01.12.2017 19:46, Gregor Hermens wrote: > nAbend, > > Am Freitag, 1. Dezember 2017 schrieb Uwe Kielgas: >> :-) >> >> jetzt musst Du nur noch erklären, was Du an rsync so "brr" findest > > ... oder warum always_bcc dir nicht hilft. weil der bcc-header mit im archiv landet und das nicht gewünscht ist ... jedenfalls wenn ich das so mache always_bcc = lalalu at archiv.local und dann ein transport so in der art archiv.local smtp:[192.168.1.1]:2500 From klaus at tachtler.net Sat Dec 2 07:16:28 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Sat, 02 Dec 2017 07:16:28 +0100 Subject: =?utf-8?b?RW1haWx2ZXJzY2hsw7xzc2VsdW5n?= In-Reply-To: Message-ID: <20171202071628.Horde.NFWS6nLtSVnxNgwdAua8nru@buero.tachtler.net> Hallo Bjoern, sieh Dir das an, das haben wir im Einsatz, hat (meiner Meinung nach) viele Vorteile gegenüber Sepp-Mail aus der Schweiz. https://www.ciphermail.com/ Der Programmierer/die Firma ist super, klasse Support und das Produkt ist extrem flexibel, kann mit AMaViS eingesetzt werden - über eine MILTER-Schnittstelle! Grüße Klaus. > Hi, > > könnt ihr zum Thema was empfehlen? > Ich würde für Geschäftspartner S/MIME nehmen wollen. Allerdings haben wir > auch Bedarf, dass für einmalighe Fälle zu machen, wir kein Zertifikat des > Gegenüber verlangen können. > > Was könnt ihr da empfehlen? > > Mit freundlichem Gruss > Bjoern Meier -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From m.muenz at spam-fetish.org Sat Dec 2 09:55:29 2017 From: m.muenz at spam-fetish.org (Muenz, Michael) Date: Sat, 2 Dec 2017 09:55:29 +0100 Subject: =?UTF-8?Q?Re:_Emailverschl=c3=bcsselung?= In-Reply-To: <20171202071628.Horde.NFWS6nLtSVnxNgwdAua8nru@buero.tachtler.net> References: <20171202071628.Horde.NFWS6nLtSVnxNgwdAua8nru@buero.tachtler.net> Message-ID: <55de1367-2f81-0df6-eaba-46b69e1e61dc@spam-fetish.org> Am 02.12.2017 um 07:16 schrieb Klaus Tachtler: > Hallo Bjoern, > > sieh Dir das an, das haben wir im Einsatz, hat (meiner Meinung nach) > viele Vorteile gegenüber Sepp-Mail aus der Schweiz. > > https://www.ciphermail.com/ > > Der Programmierer/die Firma ist super, klasse Support und das Produkt > ist extrem flexibel, kann mit AMaViS eingesetzt werden - über eine > MILTER-Schnittstelle! Offtopic: Die Entwicklung von SEPPmail findet u.a. auch in Deutschland statt. Der Hauptentwickler programmiert in seiner Freizeit auch bei OPNsense mit (bzw. ist einer der Coredevs). :) LG Michael From bjoern.meier at gmail.com Sun Dec 3 11:51:53 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Sun, 3 Dec 2017 11:51:53 +0100 Subject: =?UTF-8?Q?Re=3A_Emailverschl=C3=BCsselung?= In-Reply-To: <20171202071628.Horde.NFWS6nLtSVnxNgwdAua8nru@buero.tachtler.net> References: <20171202071628.Horde.NFWS6nLtSVnxNgwdAua8nru@buero.tachtler.net> Message-ID: hi, Am 2. Dezember 2017 um 07:16 schrieb Klaus Tachtler : > Hallo Bjoern, > > sieh Dir das an, das haben wir im Einsatz, hat (meiner Meinung nach) viele > Vorteile gegenüber Sepp-Mail aus der Schweiz. > > https://www.ciphermail.com/ > Ciphermail ist jetzt bei uns im Test. Der Tipp war goldwert. Man kann eine VHD herunterladen und Ciphermail direkt zwischen dem internen und dem Mailgateway setzen. Ist keine Mail konfiguriert verhält es sich wie ein gewöhnliches Relay. Kostet für die reine Funktionalität nichts, man kann aber support und Extra-Funktionen zukaufen. Was wir wahrscheinlich auch machen werden. Das z. B. Transport-Konfigration nur in der Enterprise-Variante enthalten sind. Für uns wäre das praktisch, da ich dann den Exchange austricksen kann. Ich werde dann sowas wie "user at encryption.unseredomaene.de" einrichten, damit das über das Ciphermail-Gateway geht und dann ein rewrite wieder zur ürsprünglichen Domäne machen. Das ist - zumindest glaube ich das - für unsere Benutzer am Einfachsten. Zur Funktionalität von Ciphermail kann ich nur sagen, es bietet höchste Flexibilität und genau die Stufen an Konfiort und Sicherheit die wir brauchen. Die Möglichkeit eine gesicherte PDF (inkl. Anhängen) zu versenden ist clever gelöst,. wenn auch gewöhnungsbedürftig. Es bietet außer S/MIME und PGP noch eine eigene PKI (für die meisten Benutzer reichen self-signed, da wir das mit der AD regeln können), Trigger durch bestimmte Wörter im Betreff, Passwort für PDF entweder als OTP oder auch mit SMS-Gatreway (clickatell) ans Handy. Was ich bißchen unnötig finde ist, dass Ciphermail auch anbietet die Mail selbst zu entschlüsseln und dann auszuliefern. Ich zumindest kann mir kein Szenario vorstellen wo das sinnvoll wäre. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Tue Dec 5 23:36:43 2017 From: daniel at mail24.vip (Daniel) Date: Tue, 5 Dec 2017 23:36:43 +0100 Subject: =?utf-8?Q?Viele_Mail-Programme_anf=C3=A4llig_f=C3=BCr_neue_Spam-?= =?utf-8?Q?Tricks?= Message-ID: Durch spezielle Kodierung lassen sich Anti-Spam-Techniken austricksen. Spammer können dem Empfänger damit einen beliebigen, vertrauensfördernden Absender vorgaukeln. Ein Forscher demonstriert das ausgerechnet mit Trumps "potus at whitehouse.gov". Eines der zentralen Probleme von E-Mail ist, dass deren Absenderadressen nicht wirklich vertrauenswürdig sind, sondern sich sogar recht leicht fälschen lassen. Mit Hilfe von Anti-Spam-Techniken wie DMARC (DKIM/SPF) können Mail-Server solche Tricksereien jedoch mittlerweile oft entlarven und die Mails als Spam erkennen oder gleich ganz abweisen. Durch zusätzliche Tricks könnten Spammer das jedoch umgehen... Quelle: https://www.heise.de/security/meldung/Viele-Mail-Programme-anfaellig-fuer-neue-Spam-Tricks-3909230.html -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2346 bytes Beschreibung: nicht verfügbar URL : From p at sys4.de Wed Dec 6 08:22:26 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 6 Dec 2017 08:22:26 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: References: Message-ID: *Wir werden alle sterben!* Am 05.12.2017 um 23:36 schrieb Daniel: > > Durch spezielle Kodierung lassen sich Anti-Spam-Techniken austricksen. > Spammer können dem Empfänger damit einen beliebigen, > vertrauensfördernden Absender vorgaukeln. Ein Forscher demonstriert > das ausgerechnet mit Trumps "potus at whitehouse.gov > ". > > Eines der zentralen Probleme von E-Mail ist, dass deren > Absenderadressen nicht wirklich vertrauenswürdig sind, sondern sich > sogar recht leicht fälschen lassen. Mit Hilfe von Anti-Spam-Techniken > wie DMARC (DKIM/SPF) können > Mail-Server solche Tricksereien jedoch mittlerweile oft entlarven und > die Mails als Spam erkennen oder gleich ganz abweisen. Durch > zusätzliche Tricks könnten Spammer das jedoch umgehen... > > Quelle: https://www.heise.de/security/meldung/Viele-Mail-Programme-anfaellig-fuer-neue-Spam-Tricks-3909230.html > -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4209 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Ralf.Hildebrandt at charite.de Wed Dec 6 09:56:18 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 6 Dec 2017 09:56:18 +0100 Subject: Viele Mail-Programme =?utf-8?Q?anf?= =?utf-8?B?w6RsbGlnIGbDvHI=?= neue Spam-Tricks In-Reply-To: References:

Message-ID: <20171206085618.oy36ooznqb6lippp@charite.de> * Patrick Ben Koetter

: > *Wir werden alle sterben!* Das ist ein ECHTES Problem in Firmen... Microsoft Outlook 2016 MACOS WINDOWS -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From stephan.jacob at ovgu.de Wed Dec 6 10:37:06 2017 From: stephan.jacob at ovgu.de (Stephan Jacob) Date: Wed, 6 Dec 2017 10:37:06 +0100 Subject: Postfwd auf verteilten Servern Message-ID: <007b01d36e75$c7a5fed0$56f1fc70$@ovgu.de> Hallo, ich habe eine "Architektur-Frage" zum Einsatz von Posftwd. Zunächst das Szenario: Ich habe 3 Mail-Relays die identisch konfiguriert sind und von den Clients aus mynetworks Mails entgegen nehmen. Wir haben die 3 Relay-Server unter einem DNS Alias zusammengefasst, so dass Round-Robin erfolgt, bzw. bei Ausfall eines Relays halt von den Clients eines der anderen Relays kontaktiert wird. Auf den Clients geben wir als Relayhost dann immer den DNS Eintrag als Server an. Jetzt möchte ich, zu bestimmten Uhrzeiten die Anzahl der Mails, die ein Client nach extern senden kann, beschränken. Dazu kam mir Postfwd in den Sinn, da ich auf einem Submission Mailserver Postfwd bereits einsetze, um genau solch eine Konfiguration zu fahren. Nun mein Problem/meine Fragen: Wenn ich auf jeden der 3 Server postfwd lokal installiere, dann wissen die Postfd's ja nichts voneinander und synchronisieren auch nicht ihren "counter". D.h. wenn ich den Versand auf 10 (fiktiver Wert in diesem Beispiel) Mails beschränken will und ich bei jeder der 3 lokalen Instanzen von postfwd die 10 konfiguriere, wird der Client irgendwann von Server 1 abgewiesen, weil das Limit erreicht ist und geht dann entsprechend des DNS-Eintrages zu Server 2, wo er ggf. noch Kontingent hat. D.h. im Beispiel würden 3 mal so viele Mails versendet, wie im Limit jeder einzelnen Postfwd Instanz definiert ist. (Ich plane bei Erreichen des Limits die Verbindung mit einem temp. Fehler zu beenden, nicht mit einem permanenten). Kann man irgendwie die "zählstände" der 3 Postfwd Instanzen "synchronisieren"? Ich habe dann überlegt den Posftwd nicht lokal zu installieren, sondern zentral. Da habe ich aber Bauchschmerzen, dass wenn der zentrale Server mal abschmiert (oder die Netzwerkverbindung dorthin), dann liefern die 3 Relays keine Mails aus und antworten mit "Server Confiugration Problem". D.h. ich müsste diese zentrale Postfwd Komponente wieder ausfallsicher machen (also auch auf mind. 2 Server verteilen). Dann habe ich aber wieder das Problem, dass die Posfwd Instanzen wieder die "Zählstände" austauschen müssten. Könnt ihr mein Problem verstehen? Kann man verschiedene Posftwd-Instanzen zum Abgleich ihrer Datenbank der Counts je Client bewegen? Was wäre in meinem Szenario eine clevere Vorgehensweise? Gibt es ggf. eine andere Möglichkeit (außer postfwd) eine Mengenbeschränkung über mehrere Server vorzunehmen? VG Stephan Stephan Jacob Otto-von-Guericke Universität Universitätsrechenzentrum (URZ) Universitätsplatz 2 Gebäude 26 – 035 39106 Magdeburg Tel.: 0391 – 67 58572 Fa: 0391 – 11134 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6340 bytes Beschreibung: nicht verfügbar URL : From pug at felsing.net Wed Dec 6 13:14:50 2017 From: pug at felsing.net (Christian Felsing) Date: Wed, 06 Dec 2017 13:14:50 +0100 Subject: Viele Mail-Programme =?ISO-8859-1?Q?anf=E4llig?= =?ISO-8859-1?Q?_f=FCr?= neue Spam-Tricks In-Reply-To: <20171206085618.oy36ooznqb6lippp@charite.de> References: <20171206085618.oy36ooznqb6lippp@charite.de> Message-ID: <1512562490.4386.4.camel@felsing.net> Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: > Das ist ein ECHTES Problem in Firmen... > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer S/MIME Signatur? Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails weitgehend erledigen, sofern alle Mails von Mitarbeitern und Geschäftsleitung ohne gültige Signatur verworfen werden. Viele Grüße Christian BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5202 bytes Beschreibung: nicht verfügbar URL : From bjoern.meier at gmail.com Wed Dec 6 13:28:24 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 6 Dec 2017 13:28:24 +0100 Subject: =?UTF-8?Q?Re=3A_Viele_Mail=2DProgramme_anf=C3=A4llig_f=C3=BCr_neue_Spam=2DTr?= =?UTF-8?Q?icks?= In-Reply-To: <1512562490.4386.4.camel@felsing.net> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> Message-ID: hi, Am 6. Dezember 2017 um 13:14 schrieb Christian Felsing : > > BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen. > Es würde doch schon genügen, wenn man gegenseitig der Root-CA vertraut. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andreas.schulze at datev.de Wed Dec 6 13:28:56 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 6 Dec 2017 13:28:56 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: <1512562490.4386.4.camel@felsing.net> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> Message-ID: <41d3f0b3-5eec-5e01-2147-314536d72d92@datev.de> Am 06.12.2017 um 13:14 schrieb Christian Felsing: > BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen. zumindest wird schon an den Grundlagen gearbeitet: https://tools.ietf.org/html/draft-ietf-acme-email-smime-01 -- A. Schulze DATEV eG From schonefeld at ids-mannheim.de Wed Dec 6 15:06:16 2017 From: schonefeld at ids-mannheim.de (Oliver Schonefeld) Date: Wed, 6 Dec 2017 15:06:16 +0100 Subject: SpamAssassin Bayes Datenbank auf Mail-Relays verteilen Message-ID: Hallo zusammen, wir betreiben zwei Mail-Relays mit der Combo Postfix/Amavis/SpamAssassin. Ich würde gerne die Bayes-Datenbank zwischen den Servern teilen, allerdings würde ich ungern ein drittes System (z.B. einen Datenbank-Server) ins spiel bringen, da die Mail-Relays bislang relativ wenig "äußere" Abhängigkeiten haben. Hat jemand so etwas ähnliches gebaut oder eine Idee für einen Ansatz? Danke und viele Grüße, Oliver -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de From w.flamme at web.de Wed Dec 6 15:33:01 2017 From: w.flamme at web.de (Werner Flamme) Date: Wed, 6 Dec 2017 15:33:01 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: <1512562490.4386.4.camel@felsing.net> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> Message-ID: <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> Christian Felsing [06.12.2017 13:14]: > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: >> Das ist ein ECHTES Problem in Firmen... >> > > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer > S/MIME Signatur? Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch raus. Aber die Masse will nicht: * man muss alle alten Zertifikate aufbewahren, weil man sonst seine alten Mails selbst nicht mehr entschlüsseln kann. * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die haben für so einen IT-Kram keine Zeit) *haarerauf*. * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME nicht umgehen können und entweder nur garbled content zeigen oder die Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android? Die IT-Abteilung sendet komplett mit S/MIME. Das kleine Flag, das beim Thunderbird dann angezeigt wird, wird von den übrigen Usern aber ignoriert. > Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails > weitgehend erledigen, sofern alle Mails von Mitarbeitern und > Geschäftsleitung ohne gültige Signatur verworfen werden. Ja. Aber auch der GL ist das einmalige Einrichten und der Austausch des Zertifikats alle 3 Jahre zu umständlich. Und CEO Fraud wird hier fast täglich gemeldet. > BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen. Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den Zertifikaten. Aber das wäre schon gut, ja. Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From Ralf.Hildebrandt at charite.de Wed Dec 6 16:44:45 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 6 Dec 2017 16:44:45 +0100 Subject: Viele Mail-Programme =?utf-8?Q?anf?= =?utf-8?B?w6RsbGlnIGbDvHI=?= neue Spam-Tricks In-Reply-To: <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> Message-ID: <20171206154445.6qzi5syxdxykwoq3@charite.de> * Werner Flamme : > Christian Felsing [06.12.2017 13:14]: > > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: > >> Das ist ein ECHTES Problem in Firmen... > >> > > > > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer > > S/MIME Signatur? > > Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch > raus. Aber die Masse will nicht: > * man muss alle alten Zertifikate aufbewahren, weil man sonst seine > alten Mails selbst nicht mehr entschlüsseln kann. Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren etc.) > * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die > haben für so einen IT-Kram keine Zeit) *haarerauf*. Außerdem ist es nichtganz einfach. Wenn es schwerer als Arschabwischen ist, geht die Bereitschaft gegen 0. > * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME > nicht umgehen können und entweder nur garbled content zeigen oder die > Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android? Stimmt, da gibt es einige. > Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den > Zertifikaten. Stimmt. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bjoern.meier at gmail.com Wed Dec 6 16:53:57 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 6 Dec 2017 16:53:57 +0100 Subject: =?UTF-8?Q?Re=3A_Viele_Mail=2DProgramme_anf=C3=A4llig_f=C3=BCr_neue_Spam=2DTr?= =?UTF-8?Q?icks?= In-Reply-To: <20171206154445.6qzi5syxdxykwoq3@charite.de> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: hi, Am 6. Dezember 2017 um 16:44 schrieb Ralf Hildebrandt < Ralf.Hildebrandt at charite.de>: > * Werner Flamme : > > Christian Felsing [06.12.2017 13:14]: > > > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: > > >> Das ist ein ECHTES Problem in Firmen... > > >> > > > > > > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer > > > S/MIME Signatur? > > > > Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch > > raus. Aber die Masse will nicht: > > > * man muss alle alten Zertifikate aufbewahren, weil man sonst seine > > alten Mails selbst nicht mehr entschlüsseln kann. > > Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren > etc.) Darum find ich ciphermail so gut. Kommt mit automatischem Backup der PKI (inklusive keys). auch mit CSR. Kann man Zertifikate hinterlegen. Der ganze Einrichtungsprozess bleibt administrativ. > > * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die > > haben für so einen IT-Kram keine Zeit) *haarerauf*. > > Außerdem ist es nichtganz einfach. Wenn es schwerer als Arschabwischen > ist, geht die Bereitschaft gegen 0. s. o. > > * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME > > nicht umgehen können und entweder nur garbled content zeigen oder die > > Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android? > > Stimmt, da gibt es einige. > Das ist allerdings ein trauriges Thema. > > > Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den > > Zertifikaten. > > Stimmt. Präziser: es krankt an der Einrichtung beim Benutzer. Deswegen wollte ich diesen Prozessteil abkoppeln. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Marc.Grooz at regioit.de Wed Dec 6 18:27:21 2017 From: Marc.Grooz at regioit.de (Grooz, Marc (regio iT)) Date: Wed, 6 Dec 2017 17:27:21 +0000 Subject: AW: SpamAssassin Bayes Datenbank auf Mail-Relays verteilen In-Reply-To: References: Message-ID: <243016E7989B3045AA79AADDA183082586616D03@srv02029.Admin.local> Hi, Wir machen das mit redis und es funktioniert besser als mit berkley db oder MySQL. Man muss aber auf dem System mehr RAM haben z.B. kann die redis db dann auch schon mal 3 GB groß werden. Gruß Marc i. A. Marc Grooz Teamleiter Internet & Web/Stellv. Leiter Operation-Center --------------------------------------------------------------------------------- regio iT gesellschaft für informationstechnologie mbH Lombardenstraße 24, 52070 Aachen tel +49 241 41359-9638 fax +49 241 413540-9638 Marc.Grooz at regioit.de www.regioit.de Aufsichtsratsvorsitzender: Axel Hartmann Geschäftsführung: Dieter Rehfeld (Vors.), Dieter Ludwigs Sitz der Gesellschaft: Aachen Niederlassung: Gütersloh Handelsregister-Nummer: HRB 552, Amtsgericht Aachen ________________________________________ Von: Postfixbuch-users [postfixbuch-users-bounces at listen.jpberlin.de]" im Auftrag von "Oliver Schonefeld [schonefeld at ids-mannheim.de] Gesendet: Mittwoch, 6. Dezember 2017 15:06 An: postfixbuch-users at listen.jpberlin.de Betreff: SpamAssassin Bayes Datenbank auf Mail-Relays verteilen Hallo zusammen, wir betreiben zwei Mail-Relays mit der Combo Postfix/Amavis/SpamAssassin. Ich würde gerne die Bayes-Datenbank zwischen den Servern teilen, allerdings würde ich ungern ein drittes System (z.B. einen Datenbank-Server) ins spiel bringen, da die Mail-Relays bislang relativ wenig "äußere" Abhängigkeiten haben. Hat jemand so etwas ähnliches gebaut oder eine Idee für einen Ansatz? Danke und viele Grüße, Oliver -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From risse at citkomm.de Wed Dec 6 18:53:52 2017 From: risse at citkomm.de (Marc Risse) Date: Wed, 6 Dec 2017 18:53:52 +0100 Subject: SpamAssassin Bayes Datenbank auf Mail-Relays verteilen In-Reply-To: <243016E7989B3045AA79AADDA183082586616D03@srv02029.Admin.local> References: <243016E7989B3045AA79AADDA183082586616D03@srv02029.Admin.local> Message-ID: <2457cc05-f7b4-8ba3-1d6c-3e24167aad3f@citkomm.de> N'abend, ich habe das mit MariaDB/Galera-Cluster direkt auf den beiden MXern am laufen. In einem anderen Setup habe ich SA durch rspamd ersetzt, was ebenfalls Redis für Bayes nutzt. Amavis habe ich nur noch als Schnittstelle zum Virenscanner (KAV). Etwas ot, aber rspamd ist echt einen Blick wert!!! ;-) https://rspamd.com/doc/tutorials/redis_replication.html VG Marc Am 06.12.2017 um 18:27 schrieb Grooz, Marc (regio iT): > Hi, > > Wir machen das mit redis und es funktioniert besser als mit berkley db > oder MySQL. Man muss aber auf dem System mehr RAM haben z.B. kann die > redis db dann auch schon mal 3 GB groß werden. > > Gruß Marc > > *i. A.* Marc Grooz > Teamleiter Internet & Web/Stellv. Leiter Operation-Center > --------------------------------------------------------------------------------- > *regio iT > gesellschaft für informationstechnologie mbH > *Lombardenstraße 24, 52070 Aachen > tel +49 241 41359-9638 > fax +49 241 413540-9638 > Marc.Grooz at regioit.de > www.regioit.de > > Aufsichtsratsvorsitzender: Axel Hartmann > Geschäftsführung: Dieter Rehfeld (Vors.), Dieter Ludwigs > Sitz der Gesellschaft: Aachen > Niederlassung: Gütersloh > Handelsregister-Nummer: HRB 552, Amtsgericht Aachen > > ________________________________________ > Von: Postfixbuch-users > [postfixbuch-users-bounces at listen.jpberlin.de]" im Auftrag von > "Oliver Schonefeld [schonefeld at ids-mannheim.de] > Gesendet: Mittwoch, 6. Dezember 2017 15:06 > An: postfixbuch-users at listen.jpberlin.de > Betreff: SpamAssassin Bayes Datenbank auf Mail-Relays verteilen > > Hallo zusammen, > > wir betreiben zwei Mail-Relays mit der Combo Postfix/Amavis/SpamAssassin. > > Ich würde gerne die Bayes-Datenbank zwischen den Servern teilen, > allerdings würde ich ungern ein drittes System (z.B. einen > Datenbank-Server) ins spiel bringen, da die Mail-Relays bislang relativ > wenig "äußere" Abhängigkeiten haben. > > Hat jemand so etwas ähnliches gebaut oder eine Idee für einen Ansatz? > > Danke und viele Grüße, > Oliver > -- > Oliver Schonefeld > Institut für Deutsche Sprache, Zentrale Forschung > R5, 6-13, D-68161 Mannheim > +49-(0)621-1581-168 | http://www.ids-mannheim.de -- Marc Risse RZ Projekte Telefon: +49 2372 5520-385 Fax: +49 2372 5520-61-385 E-Mail: risse at citkomm.de Internet: http://www.citkomm.de Citkomm services GmbH* KDVZ Citkomm (Kommunaler Zweckverband) Sonnenblumenallee 3, 58675 Hemer Telefon: +49 2372 5520-0 Fax: +49 2372 5520-279 E-Mail: post at citkomm.de * Sitz der Gesellschaft: Iserlohn Handelsregister: AG Iserlohn HRB 26 86 Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bluewind at xinu.at Wed Dec 6 18:55:46 2017 From: bluewind at xinu.at (Florian Pritz) Date: Wed, 6 Dec 2017 18:55:46 +0100 Subject: Postfwd auf verteilten Servern In-Reply-To: <007b01d36e75$c7a5fed0$56f1fc70$@ovgu.de> References: <007b01d36e75$c7a5fed0$56f1fc70$@ovgu.de> Message-ID: On 06.12.2017 10:37, Stephan Jacob wrote: > Wir haben die 3 Relay-Server unter einem DNS Alias zusammengefasst, so dass Round-Robin erfolgt > > im Beispiel würden 3 mal so viele Mails versendet, wie im Limit jeder einzelnen Postfwd Instanz definiert ist Die einfachste und IMHO ausreichende Lösung wäre ja jetzt, dass man die DNS TTL runterdreht, das window vom Limit hoch und dann das Limit auf die 3 Server aufteilt. Also zum Beispiel, für 100 mails pro Stunde dann pro Host ein Limit von 34, eine DNS TTL von 60 Sekunden und natürlich ein Window von einer Stunde. Wenn dein Nutzer jetzt nicht grade alle Mails auf einmal schickt kommt er bei allen Relays halbwegs gleich oft vorbei und fertig. Wenn dein Limit hoch genug ist, dass es da etwas Spielraum gibt solltest du wenige Probleme haben. Oder hast du einen Grund warum es wichtig ist, dass das Limit ganz genau eingehalten wird bzw warum das Limit so niedrig sein muss, dass ein Aufteilen nicht geht? Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 858 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at mailbox.org Wed Dec 6 19:44:34 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Wed, 6 Dec 2017 19:44:34 +0100 Subject: Problem mit IPv6 Message-ID: <20171206194434.48b67c5b.anmeyer@mailbox.org> Hallo! Ich habe reject_unknown_client_hostname angeschaltet und stelle fest, das wehrt eine ganze Menge Spam ab. Folgendes habe ich jetzt aber im logfile: Dec 6 19:16:39 bitmachine1 postfix/smtpd[22710]: connect from smtp.amimanera.de[195.62.121.239] Dec 6 19:16:39 bitmachine1 postfix/smtpd[22710]: Trusted TLS connection established from smtp.amimanera.de[195.62.121.239]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from smtp.amimanera.de[195.62.121.239]: 450 4.2.0 : Recipient address rejected: greylisted for 300 seconds; from= to= proto=ESMTP helo= Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: disconnect from smtp.amimanera.de[195.62.121.239] Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: warning: hostname smtp.amimanera.de does not resolve to address 2a02:248:2:3377:5054:ff:fe80:307: Name or service not known Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: connect from unknown[2a02:248:2:3377:5054:ff:fe80:307] Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: Trusted TLS connection established from unknown[2a02:248:2:3377:5054:ff:fe80:307]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from unknown[2a02:248:2:3377:5054:ff:fe80:307]: 550 5.7.1 Client host rejected: cannot find your hostname, [2a02:248:2:3377:5054:ff:fe80:307]; from= to= proto=ESMTP helo= Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: disconnect from unknown[2a02:248:2:3377:5054:ff:fe80:307] Für smtp.amimanera.de ist kein AAAA-record hinterlegt. Beim zweiten connect nach dem greylisting verbindet sich der client offenbar mittels IPv6 und wird abgelehnt. Hat jemand Rat? Was kann ich tun? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From bluewind at xinu.at Wed Dec 6 20:37:16 2017 From: bluewind at xinu.at (Florian Pritz) Date: Wed, 6 Dec 2017 20:37:16 +0100 Subject: Problem mit IPv6 In-Reply-To: <20171206194434.48b67c5b.anmeyer@mailbox.org> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> Message-ID: <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> On 06.12.2017 19:44, Andreas Meyer wrote: > Für smtp.amimanera.de ist kein AAAA-record hinterlegt. Beim zweiten > connect nach dem greylisting verbindet sich der client offenbar mittels > IPv6 und wird abgelehnt. > > Hat jemand Rat? Was kann ich tun? Du kannst die postmaster von den kaputten Servern anschreiben und ihnen sagen dass sie das fixen sollen (viel Glück) oder den Check wieder aus machen und dafür RDNS_NONE in Spamassassin nutzen. Alternativ kannst du den eventuell in postscreen mit einer score nutzen. Mein Setup ist noch klein genug, dass ich es mir leisten kann alle Mails durch SA zu senden und keine Vorfilterung brauche, deshalb weiß ich nicht sicher ob postscreen das kann. Man sollte auch dazu sagen, dass das bayes autolearn von SA genügend Score braucht. Wenn du alles mit offensichtlichen Problemen schon vorher rausfilterst bleibt nix mehr zum automatischen Lernen übrig. Die Auswirkungen davon siehst du aber wahrscheinlich erst nach ein paar Tagen wenn die alten tokens aus der DB geflogen sind. Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 858 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at mailbox.org Wed Dec 6 20:48:11 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Wed, 6 Dec 2017 20:48:11 +0100 Subject: Problem mit IPv6 In-Reply-To: <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> Message-ID: <20171206204811.583d6d13.anmeyer@mailbox.org> Hallo! Florian Pritz schrieb am 06.12.17 um 20:37:16 Uhr: > On 06.12.2017 19:44, Andreas Meyer wrote: > > Für smtp.amimanera.de ist kein AAAA-record hinterlegt. Beim zweiten > > connect nach dem greylisting verbindet sich der client offenbar mittels > > IPv6 und wird abgelehnt. > > > > Hat jemand Rat? Was kann ich tun? > > Du kannst die postmaster von den kaputten Servern anschreiben und ihnen > sagen dass sie das fixen sollen (viel Glück) oder den Check wieder aus > machen und dafür RDNS_NONE in Spamassassin nutzen. Ich kann ja einen AAAA-record eintragen, aber würde der das Problem lösen? Ist nicht ein rDNS Eintrag auf IPv6 für die Domaine erforderlich (den ich momentan nicht eintragen kann)? > Alternativ kannst du den eventuell in postscreen mit einer score nutzen. > Mein Setup ist noch klein genug, dass ich es mir leisten kann alle Mails > durch SA zu senden und keine Vorfilterung brauche, deshalb weiß ich > nicht sicher ob postscreen das kann. Was es alles gibt. Auf spamassassin und postscreen wäre ich dbzgl. jetzt nicht gekommen. > Man sollte auch dazu sagen, dass das bayes autolearn von SA genügend > Score braucht. Wenn du alles mit offensichtlichen Problemen schon vorher > rausfilterst bleibt nix mehr zum automatischen Lernen übrig. Die > Auswirkungen davon siehst du aber wahrscheinlich erst nach ein paar > Tagen wenn die alten tokens aus der DB geflogen sind. > > Florian Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From daniel at mail24.vip Wed Dec 6 21:00:54 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 6 Dec 2017 21:00:54 +0100 Subject: AW: Problem mit IPv6 In-Reply-To: <20171206194434.48b67c5b.anmeyer@mailbox.org> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> Message-ID: <005701d36ecc$ec5fa030$c51ee090$@mail24.vip> Garnichts tun? Wenn es Spam abwehrt, wieso irgendwas tun, damit Spam durchkommt? Willst Spam sammeln? Wer keinen rDNS verfügt zum einliefern, egal ob IPv4 oder 6 kann sein Mist behalten. Würde also unknown hostname aktiv lassen, lehnt bei mir auch Spam ab, und macht teils sogar DNSBL überflüssig, da es garnicht erst soweit kommt, dass die abgefragt werden. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Meyer Gesendet: Mittwoch, 6. Dezember 2017 19:45 An: postfixbuch-users at listen.jpberlin.de Betreff: Problem mit IPv6 Hallo! Ich habe reject_unknown_client_hostname angeschaltet und stelle fest, das wehrt eine ganze Menge Spam ab. Folgendes habe ich jetzt aber im logfile: Dec 6 19:16:39 bitmachine1 postfix/smtpd[22710]: connect from smtp.amimanera.de[195.62.121.239] Dec 6 19:16:39 bitmachine1 postfix/smtpd[22710]: Trusted TLS connection established from smtp.amimanera.de[195.62.121.239]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from smtp.amimanera.de[195.62.121.239]: 450 4.2.0 : Recipient address rejected: greylisted for 300 seconds; from= to= proto=ESMTP helo= Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: disconnect from smtp.amimanera.de[195.62.121.239] Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: warning: hostname smtp.amimanera.de does not resolve to address 2a02:248:2:3377:5054:ff:fe80:307: Name or service not known Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: connect from unknown[2a02:248:2:3377:5054:ff:fe80:307] Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: Trusted TLS connection established from unknown[2a02:248:2:3377:5054:ff:fe80:307]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from unknown[2a02:248:2:3377:5054:ff:fe80:307]: 550 5.7.1 Client host rejected: cannot find your hostname, [2a02:248:2:3377:5054:ff:fe80:307]; from= to= proto=ESMTP helo= Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: disconnect from unknown[2a02:248:2:3377:5054:ff:fe80:307] Für smtp.amimanera.de ist kein AAAA-record hinterlegt. Beim zweiten connect nach dem greylisting verbindet sich der client offenbar mittels IPv6 und wird abgelehnt. Hat jemand Rat? Was kann ich tun? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From daniel at mail24.vip Wed Dec 6 21:04:28 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 6 Dec 2017 21:04:28 +0100 Subject: =?utf-8?Q?AW:_Viele_Mail-Programme_anf=C3=A4lli?= =?utf-8?Q?g_f=C3=BCr_neue_Spam-Tricks?= In-Reply-To: <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> Message-ID: <006a01d36ecd$6c232530$44696f90$@mail24.vip> Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für jeden einzelnen User ect. Da wäre wohl smimea noch besserer Weg. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Werner Flamme Gesendet: Mittwoch, 6. Dezember 2017 15:33 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Viele Mail-Programme anfällig für neue Spam-Tricks Christian Felsing [06.12.2017 13:14]: > Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: >> Das ist ein ECHTES Problem in Firmen... >> > > Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer > S/MIME Signatur? Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch raus. Aber die Masse will nicht: * man muss alle alten Zertifikate aufbewahren, weil man sonst seine alten Mails selbst nicht mehr entschlüsseln kann. * man hat Einrichtungsaufwand (bei uns arbeiten Wissenschaftler, die haben für so einen IT-Kram keine Zeit) *haarerauf*. * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME nicht umgehen können und entweder nur garbled content zeigen oder die Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android? Die IT-Abteilung sendet komplett mit S/MIME. Das kleine Flag, das beim Thunderbird dann angezeigt wird, wird von den übrigen Usern aber ignoriert. > Das würde übrigens auch das CEO Fraud Thema zumindest bei E-Mails > weitgehend erledigen, sofern alle Mails von Mitarbeitern und > Geschäftsleitung ohne gültige Signatur verworfen werden. Ja. Aber auch der GL ist das einmalige Einrichten und der Austausch des Zertifikats alle 3 Jahre zu umständlich. Und CEO Fraud wird hier fast täglich gemeldet. > BTW: So etwas wie Let's Encrypt müsste auch mal für S/MIME kommen. Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den Zertifikaten. Aber das wäre schon gut, ja. Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From bluewind at xinu.at Wed Dec 6 21:05:28 2017 From: bluewind at xinu.at (Florian Pritz) Date: Wed, 6 Dec 2017 21:05:28 +0100 Subject: Problem mit IPv6 In-Reply-To: <20171206204811.583d6d13.anmeyer@mailbox.org> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> <20171206204811.583d6d13.anmeyer@mailbox.org> Message-ID: On 06.12.2017 20:48, Andreas Meyer wrote: >> On 06.12.2017 19:44, Andreas Meyer wrote: >> > Für smtp.amimanera.de ist kein AAAA-record hinterlegt. Beim zweiten >> > connect nach dem greylisting verbindet sich der client offenbar mittels >> > IPv6 und wird abgelehnt. >> > >> > Hat jemand Rat? Was kann ich tun? >> >> Du kannst die postmaster von den kaputten Servern anschreiben und ihnen >> sagen dass sie das fixen sollen (viel Glück) oder den Check wieder aus >> machen und dafür RDNS_NONE in Spamassassin nutzen. > > Ich kann ja einen AAAA-record eintragen, aber würde der das Problem > lösen? Ist nicht ein rDNS Eintrag auf IPv6 für die Domaine erforderlich > (den ich momentan nicht eintragen kann)? Also ich nehme jetzt an, dass smtp.amimanera.de (bzw 2a02:248:2:3377:5054:ff:fe80:307) nicht dein System ist, sondern jemand der bei dir Mails einliefern will. Du kannst da nichts ändern, sondern der Admin von smtp.amimanera.de muss sein DNS fixen. Die Lösung wäre, dass er sicherstellen muss, dass für jede IP(4/6) mit der er sendet ein passender PTR record existiert und die Domain die in diesem PTR steht dann wieder auf die ursprüngliche IP zurück auflösbar ist. Das ganze nennt sich forward confirmed reverse dns; kannst du googlen. Wenn du jetzt Mails ablehnst wo dieser FcrDNS nicht richtig eingerichtet ist, kannst du nix tun außer den check aus zu machen oder den Admin dazu zu bekommen sein Setup zu fixen. Ich war früher mal naiv und hab das probiert, aber fast immer gibt es entweder keinen postmaster (Inkl. bounce! Hach, tolle Welt), der postmaster reagiert nicht, er versteht nicht was man überhaupt will oder die Mail ist "wichtig" und man hat keine Zeit da mehrere Tage zu warten und whitelisted dann. Dass das Problem gelöst wird kam selten vor. Abgesehen davon ist das natürlich alles ne Menge Aufwand und dann ist da eben noch die Sache mit dem bayes autolearn von SA. Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 858 bytes Beschreibung: OpenPGP digital signature URL : From bjoern.meier at gmail.com Wed Dec 6 21:39:48 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Wed, 6 Dec 2017 21:39:48 +0100 Subject: =?UTF-8?Q?Re=3A_Viele_Mail=2DProgramme_anf=C3=A4llig_f=C3=BCr_neue_Spam=2DTr?= =?UTF-8?Q?icks?= In-Reply-To: <006a01d36ecd$6c232530$44696f90$@mail24.vip> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> Message-ID: hi, Am 6. Dezember 2017 um 21:04 schrieb Daniel : > Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja > CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät > passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für > jeden einzelnen User ect. > > Da wäre wohl smimea noch besserer Weg. > > Gruß Daniel wait what? Du würdest das manuell machen? Okay. Dann habe ich natürlich nichts gesagt, für sowas hätte ich definitiv keine Zeit. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Wed Dec 6 22:25:36 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 6 Dec 2017 22:25:36 +0100 Subject: =?utf-8?Q?AW:_Viele_Mail-Programme_anf=C3=A4lli?= =?utf-8?Q?g_f=C3=BCr_neue_Spam-Tricks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> Message-ID: <008101d36ed8$c2108450$46318cf0$@mail24.vip> Der Client muss ja das selbst signierte Zertifikat verifizieren können, und dazu muss halt an jedem Gerät wo Client verwendet wird dieses installiert werden. Warnmeldungen will der Benutzer erst recht nicht, ist ja eh alles denen schon zu Aufwändig. ;-) Klar man könnte Zertifikate auch teils via Skripte im Windows Profil vom Server laden oder sonst was, aber willst ganzen Aufwand wirklich. Und dass ganze dann für jeden Absender den man verwendet, also für ein persönlich, dann noch eins ggf. fürs team Postfach, oder Vertretung von dessen noch usw. Man muss die Leute teils einfach zu zwingen, beim Benutzer Login verzichtet man doch auch nicht mehr wirklich komplett auf Passwörter weils einfacher ist. Und wenn es wem egal ist, hänge seine Abrechnung an Pinnwand/schwarze Brett, ungeschützt Kommunikation scheinen dem Mitarbeiter ja egal zu sein. ;-) Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. . Schaffen teils ja nicht mal Banken oder so ihre Mails zu signieren geschweige zu verschlüsseln, und erwarten dann halt den Postweg. Beim ursprünglichen Beitrag ging es aber eher um gefälschte Absender durch base64 Codierung, und nicht um Zertifikate. Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Bjoern Meier Gesendet: Mittwoch, 6. Dezember 2017 21:40 An: Diskussionen und Support rund um Postfix Betreff: Re: Viele Mail-Programme anfällig für neue Spam-Tricks hi, Am 6. Dezember 2017 um 21:04 schrieb Daniel : Gebe dir da völlig recht. Wer anders meinte ja, man könne gegenseitig ja CA vertrauen? Ganz sich nicht, zu Aufwändig, denn müsste in jedem Gerät passieren, Desktop, Mobil und dass nach jeder neuen Einrichtung, ggf. für jeden einzelnen User ect. Da wäre wohl smimea noch besserer Weg. Gruß Daniel wait what? Du würdest das manuell machen? Okay. Dann habe ich natürlich nichts gesagt, für sowas hätte ich definitiv keine Zeit. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From wn at neessen.net Wed Dec 6 22:32:45 2017 From: wn at neessen.net (Winfried Neessen) Date: Wed, 6 Dec 2017 22:32:45 +0100 Subject: =?utf-8?Q?Re=3A_Viele_Mail-Programme_anf=C3=A4llig_f=C3=BCr_neue_?= =?utf-8?Q?Spam-Tricks?= In-Reply-To: <008101d36ed8$c2108450$46318cf0$@mail24.vip> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> <008101d36ed8$c2108450$46318cf0$@mail24.vip> Message-ID: Hi, Am 06.12.2017 um 22:25 schrieb Daniel : > Und wenn es wem egal ist, hänge seine Abrechnung an Pinnwand/schwarze Brett, ungeschützt > Kommunikation scheinen dem Mitarbeiter ja egal zu sein. ;-) > Sinnvoller waere es m. E. solche Dokumente nicht ueber ein Protokoll zu verteilen, das aus den 80ern stammt und keine sichere Kommunikation bietet. > Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. . > Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support unter Android hatten wir ja schon... Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1359 bytes Beschreibung: nicht verfügbar URL : From stephan.jacob at ovgu.de Thu Dec 7 07:08:23 2017 From: stephan.jacob at ovgu.de (Stephan Jacob) Date: Thu, 7 Dec 2017 07:08:23 +0100 Subject: AW: Postfwd auf verteilten Servern In-Reply-To: References: <007b01d36e75$c7a5fed0$56f1fc70$@ovgu.de> Message-ID: <006f01d36f21$c9a67690$5cf363b0$@ovgu.de> OK, das ist ein interessanter Ansatz. Also die Limits müssen nicht exakt eingehalten werden. Wenn Quasi durch die Gleichverteilung und die ungünstige Verschiebung des Zeitfensters mal etwas mehr als die im Beispiel 100 Mails pro Stunde gesendet werden ist das nicht so tragisch. Den einzigen Nachteil an der Gleichverteilung des Gesamt-Limits auf 3 einzelne lokale Limits sehe ich nur bei Ausfall eines Servers, da dann das Gesamtkontingent auf 2/3 zusammenschrumpft. Allerdings ist uns so ein Ausfall Fall bei uns zum Glück so selten, dass dieses Risiko sicher tragbar ist. Ich werde das mal einrichten und mal mit warn_if_reject beobachten, ob es bei mir so in Ordnung ist. Danke! Stephan Stephan Jacob Otto-von-Guericke Universität Universitätsrechenzentrum (URZ) Universitätsplatz 2 Gebäude 26 ? 035 39106 Magdeburg Tel.: 0391 ? 67 58572 Fa: 0391 ? 11134 -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Florian Pritz Gesendet: Mittwoch, 6. Dezember 2017 18:56 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Postfwd auf verteilten Servern On 06.12.2017 10:37, Stephan Jacob wrote: > Wir haben die 3 Relay-Server unter einem DNS Alias zusammengefasst, so dass Round-Robin erfolgt > > im Beispiel würden 3 mal so viele Mails versendet, wie im Limit jeder einzelnen Postfwd Instanz definiert ist Die einfachste und IMHO ausreichende Lösung wäre ja jetzt, dass man die DNS TTL runterdreht, das window vom Limit hoch und dann das Limit auf die 3 Server aufteilt. Also zum Beispiel, für 100 mails pro Stunde dann pro Host ein Limit von 34, eine DNS TTL von 60 Sekunden und natürlich ein Window von einer Stunde. Wenn dein Nutzer jetzt nicht grade alle Mails auf einmal schickt kommt er bei allen Relays halbwegs gleich oft vorbei und fertig. Wenn dein Limit hoch genug ist, dass es da etwas Spielraum gibt solltest du wenige Probleme haben. Oder hast du einen Grund warum es wichtig ist, dass das Limit ganz genau eingehalten wird bzw warum das Limit so niedrig sein muss, dass ein Aufteilen nicht geht? Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6340 bytes Beschreibung: nicht verfügbar URL : From cognac at amcs.net Thu Dec 7 07:32:59 2017 From: cognac at amcs.net (Andreas Czerniak) Date: Thu, 7 Dec 2017 07:32:59 +0100 (CET) Subject: =?utf-8?Q?Re:_Viele_Mail-Programme_an?= =?utf-8?Q?f=C3=A4llig_f=C3=BCr_neue_Spam-Tricks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> <008101d36ed8$c2108450$46318cf0$@mail24.vip> Message-ID: <789953593.680798.1512628379977.JavaMail.zimbra@amcs.net> Moin Winni, >> Leider setzen zuwenige smime ein, obwohl es sämtliche Mail Clienten können ohne Plugins ect. . >> >Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces >setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support >unter Android hatten wir ja schon... Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen Kollaborations-Projekten zusammen mit Kunden drauf achte, dass S/MIME von PC/Notebook über Mobile Devices und WebMail-Interfaces Unterstütztung findet. Die Einschränkung findet aktuell in Browsern auf mobilen Devices statt. Hier existiert mir noch keine bekannte Lösung, die dies unterstützt. bis dann Andreas. -- "multihoming is like driving your own car rather than taking the bus" - Iljitsch van Beijnum From wn at neessen.net Thu Dec 7 09:08:20 2017 From: wn at neessen.net (Winfried Neessen) Date: Thu, 7 Dec 2017 09:08:20 +0100 Subject: =?utf-8?Q?Re=3A_Viele_Mail-Programme_anf=C3=A4llig_f=C3=BCr_neue_?= =?utf-8?Q?Spam-Tricks?= In-Reply-To: <789953593.680798.1512628379977.JavaMail.zimbra@amcs.net> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> <008101d36ed8$c2108450$46318cf0$@mail24.vip> <789953593.680798.1512628379977.JavaMail.zimbra@amcs.net> Message-ID: <60CD6581-1D23-48C0-A567-FD5AC5830B31@neessen.net> Hi Andreas, Am 07.12.2017 um 07:32 schrieb Andreas Czerniak : >> Und dann sind da wieder die Firmen, die keine "Clients" nutzen, sondern auf Webmail Interfaces >> setzen und dann wieder keinen S/MIME Support haben. Den Einwand mit dem S/MIME Support >> unter Android hatten wir ja schon... > > Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen Kollaborations-Projekten zusammen > mit Kunden drauf achte, dass S/MIME von PC/Notebook über Mobile Devices und WebMail-Interfaces > Unterstütztung findet. Die Einschränkung findet aktuell in Browsern auf mobilen Devices statt. Hier > existiert mir noch keine bekannte Lösung, die dies unterstützt. > Hier wird z. B. Zimbra eingesetzt. Das unterstuetzt generell auch S/MIME, benoetigt dafuer aber Java 6 oder 7 aktiviert im Browser- was quasi einem Schuss in den Fuss gleichkommt. Ich glaube zusammenfassend kann man sagen, dass S/MIME eine nette Idee ist, aber bei Client Integrationen halt das Ganze nicht wartbar ist und bei Server Integrationen halt der Sicherheitsgedanke kompromittiert wird. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From w.flamme at web.de Thu Dec 7 09:24:16 2017 From: w.flamme at web.de (Werner Flamme) Date: Thu, 7 Dec 2017 09:24:16 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: Bjoern Meier [06.12.2017 16:53]: > hi, > > Am 6. Dezember 2017 um 16:44 schrieb Ralf Hildebrandt < > Ralf.Hildebrandt at charite.de>: > >> * Werner Flamme : >>> Christian Felsing [06.12.2017 13:14]: >>>> Am Mittwoch, den 06.12.2017, 09:56 +0100 schrieb Ralf Hildebrandt: >>>>> Das ist ein ECHTES Problem in Firmen... >>>>> >>>> >>>> Warum versehen Unternehmen dann nicht einfach ihre Mails mit einer >>>> S/MIME Signatur? >>> >>> Meine Firma bietet das jedem User an, meine Dienstmails gehen so auch >>> raus. Aber die Masse will nicht: >> >>> * man muss alle alten Zertifikate aufbewahren, weil man sonst seine >>> alten Mails selbst nicht mehr entschlüsseln kann. >> >> Daran scheitern die meisten schon (Rechner reinstall,Rechner verloren >> etc.) > > > Darum find ich ciphermail so gut. Kommt mit automatischem Backup der PKI > (inklusive keys). > auch mit CSR. Kann man Zertifikate hinterlegen. Der ganze > Einrichtungsprozess bleibt administrativ. Ja. Und die Benutzeroberfläche ein Rätsel. Das ist keine Software für Otto Normaluser. >>> * man hat bei vielen Mailclients das Problem, dass sie mit S/MIME >>> nicht umgehen können und entweder nur garbled content zeigen oder die >>> Anzeige ganz unterlassen. Unter iOS mag es gehen, aber Android? >> >> Stimmt, da gibt es einige. >> > > Das ist allerdings ein trauriges Thema. Das fing schon beim Webclient zur Maillösung an. Oracle Communication Suite kann mit S/MIME umgehen, aber das integrierte Webfrontend konnte es lange nicht. >>> Verschlüsselung krankt hauptsächlich an der Einrichtung, weniger an den >>> Zertifikaten. >> >> Stimmt. > > > Präziser: es krankt an der Einrichtung beim Benutzer. Deswegen wollte ich > diesen Prozessteil abkoppeln. Das geht mit vertretbarem Aufwand maximal bei der Erstinstallation. Es ist aber ein Heidenaufwand, das Ablaufen der Zertifikate zu überwachen und die "administrativ" zu tauschen. Zumal wenn Deine User zwar in der Regel, aber nicht ausschließlich, ein bestimmtes Frontend benutzen (Thunderbird), und das auf Windows (7-10), MacOS, Linux. Es gibt bei uns nur Empfehlungen für alles, keine Vorschriften. Ich bin in solchen Momenten heilfroh, nur für SAP zuständig zu sein und nicht für die Enduserbetreuung ;) Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From w.flamme at web.de Thu Dec 7 09:30:33 2017 From: w.flamme at web.de (Werner Flamme) Date: Thu, 7 Dec 2017 09:30:33 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: <789953593.680798.1512628379977.JavaMail.zimbra@amcs.net> References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <006a01d36ecd$6c232530$44696f90$@mail24.vip> <008101d36ed8$c2108450$46318cf0$@mail24.vip> <789953593.680798.1512628379977.JavaMail.zimbra@amcs.net> Message-ID: <6f73065e-ef45-cfab-db78-dd8ad378676d@web.de> Andreas Czerniak [07.12.2017 07:32]: > Moin Winni, > >>> Leider setzen zuwenige smime ein, obwohl es sämtliche Mail >>> Clienten können ohne Plugins ect. . >>> >> Und dann sind da wieder die Firmen, die keine "Clients" nutzen, >> sondern auf Webmail Interfaces setzen und dann wieder keinen S/MIME >> Support haben. Den Einwand mit dem S/MIME Support unter Android >> hatten wir ja schon... > > Die Aussage kann ich aktuell nicht unterstützen, da ich in etlichen > Kollaborations-Projekten zusammen mit Kunden drauf achte, dass S/MIME > von PC/Notebook über Mobile Devices und WebMail-Interfaces > Unterstütztung findet. Die Einschränkung findet aktuell in Browsern > auf mobilen Devices statt. Hier existiert mir noch keine bekannte > Lösung, die dies unterstützt. Wenn ich von meinem Androiden über einen Browser auf das Webfrontend unserer Mailanwendung (Oracle Communications Suite) zugreife, kann ich die Mails inzwischen sehen. Und wenn sie nur unterschrieben sind, kann ich sie auch lesen. Nur wenn sie verschlüsselt sind... das Webfrontend hat ja zum Glück meinen privaten Schlüssel nicht ;) (und kann m. W. auch nicht damit umgehen). Naja, Android-Handys sind ja auch keine von der Firma vorgegebene Ausstattung, hier gibt es nur eiPhones. Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From bjoern.meier at gmail.com Thu Dec 7 10:01:09 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Thu, 7 Dec 2017 10:01:09 +0100 Subject: =?UTF-8?Q?Re=3A_Viele_Mail=2DProgramme_anf=C3=A4llig_f=C3=BCr_neue_Spam=2DTr?= =?UTF-8?Q?icks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: Hi, bisher finde ich die Argumentionen hier ziemlich traurig. Alles was ich lese ist ein rumgeweine darüber, dass Benutzer sich nicht den Aufwand machen sich mit Verschlüsselung auseinanderzusetzen und zur selben Zeit äußern sich die Mail-Admins hier auf der Liste, dass Sie nicht gewillt sind, selbst den Aufwand zu betreiben. Kein Wunder also, dass Encryption nicht vorrankommt und auf Heise Whatsapp als trauriges, aber positives (Es ist traurig, weil es ein Beispiel ist, dass mit der eigentlich Problematik - der Diversitität - nichts zu tun hat) Beispiel herhalten muss. Ich finde es erschütternd, dass es hier Admins gibt, die ein Problem darin sehen das Ablaufdatum zu überwachen. Mal davon ab, dass das super einfach per Skript zu überwachen wäre, erinnert mich z. B. die PSW Group automatisch daran. Ab einer gewissen Menge würde ich dann die Zertifikate eh 3 Jahre laufen lassen. Wenn man einen effizienten Prozess hat, kann man das alle 3 Jahre schon mal machen. Ich verstehe schon, wer mehr als 500 Benutzer hat, der steht vor einem komplexen - aber lösbaren - Problem. Mir ist klar, dass S/MIME alles andere als elegant ist. Das Problem ist nicht S/MIME, sondern der "Trust-Path". Teures Schlangenöl ohne echten Mehrwert für die Ende-zu-Ende Verschlüsselung. Lediglich meine subjektive Meinung dazu. Was die mobilen Geräte betrifft: funktioniert SCEP mit einer MDM für euch überhaupt nicht? Bisher hatte ich damit nur gute Erfahrung. Mit freundlichem Gruss Bjoern Meier > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From w.flamme at web.de Thu Dec 7 11:43:49 2017 From: w.flamme at web.de (Werner Flamme) Date: Thu, 7 Dec 2017 11:43:49 +0100 Subject: =?UTF-8?Q?Re:_Viele_Mail-Programme_anf=c3=a4llig_f=c3=bcr_neue_Spam?= =?UTF-8?Q?-Tricks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: Bjoern Meier [07.12.2017 10:01]: > Hi, > > bisher finde ich die Argumentionen hier ziemlich traurig. Alles was ich > lese ist ein rumgeweine darüber, dass Benutzer sich nicht den Aufwand > machen sich mit Verschlüsselung auseinanderzusetzen und zur selben Zeit > äußern sich die Mail-Admins hier auf der Liste, dass Sie nicht gewillt > sind, selbst den Aufwand zu betreiben. Kein Wunder also, dass Encryption > nicht vorrankommt und auf Heise Whatsapp als trauriges, aber positives (Es > ist traurig, weil es ein Beispiel ist, dass mit der eigentlich Problematik > - der Diversitität - nichts zu tun hat) Beispiel herhalten muss. Ich bin in dieser Firma kein Mailadmin. > Ich finde es erschütternd, dass es hier Admins gibt, die ein Problem darin > sehen das Ablaufdatum zu überwachen. Mal davon ab, dass das super einfach > per Skript zu überwachen wäre, erinnert mich z. B. die PSW Group > automatisch daran. Ab einer gewissen Menge würde ich dann die Zertifikate > eh 3 Jahre laufen lassen. Wenn man einen effizienten Prozess hat, kann man > das alle 3 Jahre schon mal machen. Ich verstehe schon, wer mehr als 500 > Benutzer hat, der steht vor einem komplexen - aber lösbaren - Problem. Das Ablaufdatum zu überwachen ist trivial. Die darauf folgende nötige Aktion ist es nicht. Das Problem ist sicher technisch lösbar. Ich schrieb von einem vertretbaren Aufwand. Wir haben einen Mailadmin, der nebebei auch Webadmin und LDAP-Verantwortlicher ist. Und Gruppenleiter RZ-Basisdienste. Der hat ganz sicher andere Sorgen, als den Usern den A... abzuwischen. Das ist bei knapp 1500 Personen (= Usern) hier im Haus ohnehin etwas aufwändiger. Wenn die User sich Gedanken über die Problematik machen, finden sie im Intranet Schritt-für-Schritt-Anleitungen und bei den zuständigen Kollegen vom Endpointservice auch erfahrene und geduldige Berater und Unterstützer. Das Zertifikat selbst ist i.d.R. in wenigen Minuten ausgestellt. Wir haben eine CA, die über den DFN von Telekom CA2 zertifiziert ist, die Sache mit selbstsigniert und ähnlichem Kram entfällt also. Aber wir sind nicht dafür da, den Wissenschaftlern hier im Haus das Denken abzunehmen. Service anbieten ja, und die Installation ist in wenigen Minuten erledigt. Aber hinterherrennen und zwangsweise einrichten gibt es hier nicht. Wie soll ich denn administrativ auch herausbekommen, welcher der x installierten Mailclients auf dem Client-Host verwendet wird? Soll ich das Zertifikat bei jedem Client in den jeweiligen Zertifikatsspeicher prügeln? Woher weiß ich überhaupt, an welchem Rechner der User arbeitet? Viele haben einen Laptop mit Linux, was von der aktuellen Arbeitsplatzerfassungssoftware mangels funktionierendem Agent ignoriert wird. Da kann ich gar keine zentralen Befehle abschicken. Aber arbeitet der User überhaupt mit dem Laptop oder verbindet er sich eher mit seiner Windows-VM? Bzw. wo nutzt er überhaupt den Mailclient? Sicher, technisch lösbar. Nur: mit vertretbarem Aufwand nicht. > Mir ist klar, dass S/MIME alles andere als elegant ist. Das Problem ist > nicht S/MIME, sondern der "Trust-Path". Teures Schlangenöl ohne echten > Mehrwert für die Ende-zu-Ende Verschlüsselung. Wer S/MIME macht, ohne eine allgemein anerkannte CA dahinter zu haben, hat andere Probleme... Alternativ gibt es PGP. Wer einen Mailclient hat, der beides kann, sieht keinen Unterschied. Wer nicht... > Lediglich meine subjektive Meinung dazu. > > Was die mobilen Geräte betrifft: funktioniert SCEP mit einer MDM für euch > überhaupt nicht? Bisher hatte ich damit nur gute Erfahrung. Das funktioniert für die eiFons. Mehr interessiert hier in der Firma nicht. Ich bin aber kein Firmeneifonbesitzer, also hatte ich den Spaß, mir das Zertifikat manuell auf Android zu installieren, da ich gelegentlich doch mal unterwegs Firmenmails lesen muss. Der Spaß bestand zunächst darin, erst mal eine Software zu finden, die überhaupt mit S/MIME umgehen kann. Danach musste das Zertifikat in den Zertifikatsspeicher importiert werden. Und das zu einer Zeit, als Ciphermail noch lange nicht Ciphermail hieß... Der Aufwand ist für Otto Normaluser nicht zumutbar. -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From rainer_wiesenfarth at trimble.com Thu Dec 7 11:53:36 2017 From: rainer_wiesenfarth at trimble.com (Rainer Wiesenfarth) Date: Thu, 7 Dec 2017 11:53:36 +0100 Subject: =?UTF-8?Q?Re=3A_Viele_Mail=2DProgramme_anf=C3=A4llig_f=C3=BCr_neue_Spam=2DTr?= =?UTF-8?Q?icks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: Hallo Ihr, da ich (privat) selbst S/MIME einsetze, verfolge ich die Diskussion mit. Allerdings stelle ich fest, dass all die Vorschläge ziemlich nutzlos sind wenn ein Unternehmen - so wie mein Arbeitgeber - beschließt, die Google Dienste zu nutzen. Google will kein S/MIME (und auch nichts anderes), weil die Inhalte dann nicht mehr gefiltert werden können. Selbst eine Unterschrift wird nicht geprüft, sondern als unbekanntes Attachment angezeigt. Andere "Große" verfolgen wohl einen ähnlichen Ansatz. Heißt für mich: Für eine flächendeckende Lösung gibt es keine Lobby, daher ist das vergebene Liebesmüh. Ich lasse mich aber gerne auch vom Gegenteil überzeugen. Grüße Rainer -- Software Engineer | Trimble Imaging Division Rotebühlstraße 81 | 70178 Stuttgart | Germany Office +49 711 22881 0 | Fax +49 711 22881 11 <+49%20711%202288111> http://www.trimble.com/imaging/ | http://www.inpho.de/ Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim Eingetragen beim Amtsgericht Darmstadt unter HRB 83893, Geschäftsführer: Dr. Frank Heimberg, Jürgen Kesper -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Thu Dec 7 12:14:30 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 7 Dec 2017 12:14:30 +0100 Subject: =?utf-8?Q?AW:_Viele_Mail-Programme_anf=C3=A4lli?= =?utf-8?Q?g_f=C3=BCr_neue_Spam-Tricks?= In-Reply-To: References: <20171206085618.oy36ooznqb6lippp@charite.de> <1512562490.4386.4.camel@felsing.net> <02a52f9b-8e42-7aa3-2cf3-10c1564c40ba@web.de> <20171206154445.6qzi5syxdxykwoq3@charite.de> Message-ID: <006d01d36f4c$8d639e30$a82ada90$@mail24.vip> Durch die neue EU Datenschutzrichtlinie wird es früher oder später wohl zu kommen, dass sich manche Firmen mit S/MIME und co beschäftigen müssen ob Sie wollen oder nicht. Sonst drohen halt entsprechende Bußgelder oder Strafverfolgung. Ärzte und Anwälte müssen z.B. verschlüsseln, und die verlangen es dann bestimmt auch entsprechend vom Mandanten/Patienten entsprechend. https://www.datenschutzbeauftragter-info.de/e-mail-verschluesselung-pflicht-fuer-apotheker-aerzte-und-rechtsanwaelte/ https://www.heise.de/newsticker/meldung/Datenschuetzer-Rechtsanwaelte-Aerzte-und-Versandapotheken-muessen-verschluesseln-3876385.html Wenn die es schon müssen, dann wohl auch Steuerberater ect. Komisch, dass es anscheint bei Banken & Telekommunikationsanbieter nichts beanstandet wird, obwohl die Teilweise noch viel schärfere Datenschutz Vorschriften haben. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From andreas.schulze at datev.de Thu Dec 7 12:32:41 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 7 Dec 2017 12:32:41 +0100 Subject: Problem mit IPv6 In-Reply-To: References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> <20171206204811.583d6d13.anmeyer@mailbox.org> Message-ID: <35e3e136-f9ed-2d7b-c75e-c87c0ab2df00@datev.de> Am 06.12.2017 um 21:05 schrieb Florian Pritz: > Die Lösung wäre, dass er sicherstellen muss, dass für jede IP(4/6) mit > der er sendet ein passender PTR record existiert und die Domain die in > diesem PTR steht dann wieder auf die ursprüngliche IP zurück auflösbar > ist. Das ganze nennt sich forward confirmed reverse dns; kannst du googlen. man kann auch auf RFC 1912 verweisen aber es hilft meist wenig https://tools.ietf.org/html/rfc1912#section-2.1 -- A. Schulze DATEV eG From anmeyer at mailbox.org Thu Dec 7 13:17:10 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Thu, 7 Dec 2017 13:17:10 +0100 Subject: Problem mit IPv6 In-Reply-To: <35e3e136-f9ed-2d7b-c75e-c87c0ab2df00@datev.de> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <3dc2a326-4a2e-dce5-8f40-08152d714f1b@xinu.at> <20171206204811.583d6d13.anmeyer@mailbox.org> <35e3e136-f9ed-2d7b-c75e-c87c0ab2df00@datev.de> Message-ID: <20171207131710.5b85a08d.anmeyer@mailbox.org> Hallo! Andreas Schulze schrieb am 07.12.17 um 12:32:41 Uhr: > Am 06.12.2017 um 21:05 schrieb Florian Pritz: > > Die Lösung wäre, dass er sicherstellen muss, dass für jede IP(4/6) mit > > der er sendet ein passender PTR record existiert und die Domain die in > > diesem PTR steht dann wieder auf die ursprüngliche IP zurück auflösbar > > ist. Das ganze nennt sich forward confirmed reverse dns; kannst du googlen. > > man kann auch auf RFC 1912 verweisen aber es hilft meist wenig > > https://tools.ietf.org/html/rfc1912#section-2.1 Der AAAA-record wurde jetzt gesetzt und für die IPv6 Adresse ist der gleiche RDNS Name eingetragen, wie für die IPv4 Adresse. Alles gut und reject_unknown_client_hostname kann bleiben. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From daniel at mail24.vip Sat Dec 9 07:46:03 2017 From: daniel at mail24.vip (Daniel) Date: Sat, 9 Dec 2017 07:46:03 +0100 Subject: AW: weitere sa-update channels? In-Reply-To: <119993464.40.1494420992469@mail.rock-bunker.de> References: <119993464.40.1494420992469@mail.rock-bunker.de> Message-ID: <000e01d370b9$621b18c0$26514a40$@mail24.vip> Hat noch wer weitere aktuelle SA Channels parat? Aktuell hab ich z.B.: sa.schaal-it.net sa.sosdg.org sa.zmi.at sought.rules.yerp.org spamassassin.heinlein-support.de updates.spamassassin.org Die Betreiber haben Ihren Dienst wohl eingestellt: saupdates.openprotect.com sa.khopesh.com sa-update.dostech.net Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Claas Goltz Gesendet: Mittwoch, 10. Mai 2017 14:57 An: postfixbuch-users at listen.jpberlin.de Betreff: weitere sa-update channels? Hallo! Ich bekomme in einem Info Postfach recht viel Spam aus Italien und Frankreich, bzw. in diesen Sprachen. Meine Listen prüfen aber nur deutsche und englische Texte. Zur Zeit frage ich diese sa-update channels ab: sa-update --nogpg --channel spamassassin.heinlein-support.de sa-update --nogpg --channel sa.schaal-it.net sa-update --nogpg --channel sought.rules.yerp.org sa-update --nogpg --channel updates.spamassassin.org Hat jemand noch ein paar ausländische Channels parat? Danke! - Claas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From max.grobecker at ml.grobecker.info Sat Dec 9 14:20:32 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sat, 9 Dec 2017 14:20:32 +0100 Subject: Problem mit IPv6 In-Reply-To: <20171206194434.48b67c5b.anmeyer@mailbox.org> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> Message-ID: <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> Hallo, Am 06.12.2017 um 19:44 schrieb Andreas Meyer: > Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from unknown[2a02:248:2:3377:5054:ff:fe80:307]: 550 5.7.1 Client host rejected: cannot find your hostname, [2a02:248:2:3377:5054:ff:fe80:307]; from= to= proto=ESMTP helo= Aus meiner Sicht ist es eine ganz schlechte Idee, E-Mails wegen DNS-Auflösungsfehlern permanent abzulehnen. Hier ist es sinnvoller mit 4xx-Codes zu arbeiten, denn es hat in der Vergangenheit schon genug Fälle gegeben wo große DNS-Störungen dann zu genau solchen Fehlern führten und E-Mails verloren gegangen sind. Das würde dann auch erstmal vorläufig dein Problem lösen, weil der Server dann irgendwann wieder mit IPv4 um die Ecke kommen wird. Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at mailbox.org Sat Dec 9 20:39:08 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 9 Dec 2017 20:39:08 +0100 Subject: Problem mit IPv6 In-Reply-To: <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> Message-ID: <20171209203908.2258e4dd.anmeyer@mailbox.org> Hallo! Max Grobecker schrieb am 09.12.17 um 14:20:32 Uhr: > > Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from unknown[2a02:248:2:3377:5054:ff:fe80:307]: 550 5.7.1 Client host rejected: cannot find your hostname, [2a02:248:2:3377:5054:ff:fe80:307]; from= to= proto=ESMTP helo= > > Aus meiner Sicht ist es eine ganz schlechte Idee, E-Mails wegen DNS-Auflösungsfehlern permanent abzulehnen. > Hier ist es sinnvoller mit 4xx-Codes zu arbeiten, denn es hat in der Vergangenheit schon genug Fälle gegeben wo große DNS-Störungen dann zu genau > solchen Fehlern führten und E-Mails verloren gegangen sind. > > Das würde dann auch erstmal vorläufig dein Problem lösen, weil der Server dann irgendwann wieder mit IPv4 um die Ecke kommen wird. Das ist eine gute Idee, kann ich mich mit anfreunden. Der default ist ja auch ein 450 reject. Ich hatte das in 550 geändert, weil ich dachte, dann versucht ein Spamer ja immer wieder einzuliefern, also gleich permanent ablehnen, das war mein Gedanke dabei. Im konkreten Fall war es aber kein Spam, sondern der AAAA-record hatte gefehlt, also wäre ein 450er eigentlich besser gewesen. Oder gibt ein nicht ausreichend konfiguriertes System irgendwann mal den Versuch auf, einzuliefern? Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From daniel at mail24.vip Sat Dec 9 20:55:47 2017 From: daniel at mail24.vip (Daniel) Date: Sat, 9 Dec 2017 20:55:47 +0100 Subject: AW: Problem mit IPv6 In-Reply-To: <20171209203908.2258e4dd.anmeyer@mailbox.org> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> <20171209203908.2258e4dd.anmeyer@mailbox.org> Message-ID: <007601d37127$b4d1d4f0$1e757ed0$@mail24.vip> Viele Postmaster scheinen sich nicht um bounces oder sowas wie fehlenden rDNS/PTR zu interessieren bzw. zu überwachen, womit auch temporär ablehnen nicht hilft, außer dass dein Log noch weiter zugemüllt wird. Selbst teilweise Postmaster anschreiben bringt nichts, teilweise gibt es nicht mal nen abuse@ oder postmaster@ Postfach. Ob Spam oder nicht, mir ehrlich gesagt egal, unbekannter Hostname = direkte Ablehnung, meistes ist es nur Spam und fliegt so schon raus, bevor überhaupt ne DNSBL abgefragt wird oder Spamassian seine Wertung macht. Schreib wenn deren Postmaster notfalls Service an, oder setze deren IP in Whitlist, oder lässt es wie es ist also ablehnen. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Meyer Gesendet: Samstag, 9. Dezember 2017 20:39 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Problem mit IPv6 Hallo! Max Grobecker schrieb am 09.12.17 um 14:20:32 Uhr: > > Dec 6 19:16:40 bitmachine1 postfix/smtpd[22710]: NOQUEUE: reject: RCPT from unknown[2a02:248:2:3377:5054:ff:fe80:307]: 550 5.7.1 Client host rejected: cannot find your hostname, [2a02:248:2:3377:5054:ff:fe80:307]; from= to= proto=ESMTP helo= > > Aus meiner Sicht ist es eine ganz schlechte Idee, E-Mails wegen DNS-Auflösungsfehlern permanent abzulehnen. > Hier ist es sinnvoller mit 4xx-Codes zu arbeiten, denn es hat in der Vergangenheit schon genug Fälle gegeben wo große DNS-Störungen dann zu genau > solchen Fehlern führten und E-Mails verloren gegangen sind. > > Das würde dann auch erstmal vorläufig dein Problem lösen, weil der Server dann irgendwann wieder mit IPv4 um die Ecke kommen wird. Das ist eine gute Idee, kann ich mich mit anfreunden. Der default ist ja auch ein 450 reject. Ich hatte das in 550 geändert, weil ich dachte, dann versucht ein Spamer ja immer wieder einzuliefern, also gleich permanent ablehnen, das war mein Gedanke dabei. Im konkreten Fall war es aber kein Spam, sondern der AAAA-record hatte gefehlt, also wäre ein 450er eigentlich besser gewesen. Oder gibt ein nicht ausreichend konfiguriertes System irgendwann mal den Versuch auf, einzuliefern? Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From max.grobecker at ml.grobecker.info Sun Dec 10 09:08:19 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 10 Dec 2017 09:08:19 +0100 Subject: Problem mit IPv6 In-Reply-To: <007601d37127$b4d1d4f0$1e757ed0$@mail24.vip> References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> <20171209203908.2258e4dd.anmeyer@mailbox.org> <007601d37127$b4d1d4f0$1e757ed0$@mail24.vip> Message-ID: Moin, Am 09.12.2017 um 20:55 schrieb Daniel: > Ob Spam oder nicht, mir ehrlich gesagt egal, unbekannter Hostname = direkte Ablehnung, meistes ist es nur Spam und fliegt so schon raus, bevor überhaupt ne DNSBL abgefragt wird oder Spamassian seine Wertung macht. Da ist auch nichts gegen zu sagen - aber ich rate aus Erfahrung dringend davon ab, das mit 5xx-Codes zu machen. Es gab schon öfter Events (und es wird sie in Zukunft geben), wo die Reverse-Delegation von IP-Adressen beim RIPE (oder auch anderen RIRs) kaputt war und dadurch Namen zu IP-Adressen nicht mehr auflösbar waren. Wenn du das hart ablehnst, sind im Zweifel über einen längeren Zeitraum (bis du es halt bemerkst) die E-Mails einfach weg. Lehnst du - wie es die Standardkonfiguration vorsieht - stattdessen mit 4xx ab, bekommst du die E-Mails später nochmal zugestellt wenn die PTR-Auflösung wieder funktioniert. Eine kleine Auswahl dieser Events: * https://www.ripe.net/support/service-announcements/reverse-dns-issue-for-some-delegations-in-the-ripe-ncc-service-region * https://www.ripe.net/support/service-announcements/dns-resolution-issues * https://www.denic.de/aktuelles/news/artikel/partielle-nicht-erreichbarkeit-von-de-domains-1/ @Andreas: > Das ist eine gute Idee, kann ich mich mit anfreunden. Der default ist ja > auch ein 450 reject. Ich hatte das in 550 geändert, weil ich dachte, dann versucht > ein Spamer ja immer wieder einzuliefern, also gleich permanent ablehnen, das > war mein Gedanke dabei. Ein Großteil des Spam wird von irgendeiner Software ohne Mailqueue gesendet - würde also nicht mehrfach auftauchen. Natürlich gibt es aber auch Spam, welcher über irgendwelche krude konfigurierten Mailserver ohne (konsistenten) PTR gesendet wird, den würdest du dann mehrfach im Logfile haben. Allerdings geben die Mailserver normalerweise nach einiger Zeit auf. Wie lange das ist, hängt von der jeweiligen Konfiguration ab - gehe aber mal von so ca. 7 Tagen aus. Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From technoworx at gmx.de Sun Dec 10 12:28:54 2017 From: technoworx at gmx.de (Alexander Stoll) Date: Sun, 10 Dec 2017 12:28:54 +0100 Subject: Problem mit IPv6 In-Reply-To: References: <20171206194434.48b67c5b.anmeyer@mailbox.org> <46f080cb-ee2b-2375-3719-ed7916f6f067@ml.grobecker.info> <20171209203908.2258e4dd.anmeyer@mailbox.org> <007601d37127$b4d1d4f0$1e757ed0$@mail24.vip> Message-ID: <52894dc6-dca4-6388-d398-1bb39781c013@gmx.de> Am 10.12.2017 um 09:08 schrieb Max Grobecker: > Da ist auch nichts gegen zu sagen - aber ich rate aus Erfahrung > dringend davon ab, das mit 5xx-Codes zu machen. Es gab schon öfter > Events (und es wird sie in Zukunft geben), wo die Reverse-Delegation > von IP-Adressen beim RIPE (oder auch anderen RIRs) kaputt war und > dadurch Namen zu IP-Adressen nicht mehr auflösbar waren. Wenn du das > hart ablehnst, sind im Zweifel über einen längeren Zeitraum (bis du > es halt bemerkst) die E-Mails einfach weg. Lehnst du - wie es die > Standardkonfiguration vorsieht - stattdessen mit 4xx ab, bekommst du > die E-Mails später nochmal zugestellt wenn die PTR-Auflösung wieder > funktioniert. Sehr einseitige Darstellung, wenn schon, dann bitte das Gesamtbild beleuchten. Der häufigste Fehler im DNS System ist eine fehlende Antwort durch Serverausfall, etc. und in diesem Fall, wenn bei einem brauchbaren Resolver keine aktive Antwort des zuständigen NS mit NXDOMAIN zurück kommt, wandelt Postfix auch konfigurierte 5xx in temporäre 4xx um. Eingebauter Failsafe. Wenn eine Fehlkonfiguration vorliegt, ist es eine Frage der Policy, wie man dazu steht und ob man das sofort permanent ablehnt. Bei legitimen Systemen mit temporärer Ablehnung bleibt die Mail für die Queue-Laufzeit des sendenden Systems ohne Zustellung beim Empfänger, von der der Absender u.U. nichts mitbekommt. Beim heute üblichen Missbrauch von E-Mail als Echtzeitkommunikation oft keine erstrebenswerte Situation. Der Absender erfährt u.U. erst nach Tagen von der endgültigen gescheiterten Zustellung durch Überschreitung der Queue-Zeit. Bekommt der Absender umgehend einen Bounce durch sofortige permanente Ablehnung, kann er bei zeitkritischen Dingen ggf. zum Telefon greifen und/oder die Behebung des technischen Mangels, der zum Bounce geführt hat, zeitnah abstellen lassen. Und ohje ohje muss die E-Mail eben ggf. erneut versenden. Generell gilt, man sollte eine für die eigene Situation passende Abwägung treffen, wie man auf "suboptimale" Abweichungen vom Protokoll und Infrastrukturfehlern reagiert. Was für den einen sinnvoll ist, muss für den anderen nicht ebenso passen. Die Anforderungen diktieren die passende Konfiguration im Rahmen des technisch Möglichen. Blind ohne Abwägung durch "Übertoleranz" versuchen zu wollen alles irgendwie erdenkliche, was so schief laufen kann abzufangen, funktioniert in den seltensten Fällen gut... -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2596 bytes Beschreibung: S/MIME Cryptographic Signature URL : From bernd at kroenchenstadt.de Thu Dec 14 10:56:55 2017 From: bernd at kroenchenstadt.de (Bernd) Date: Thu, 14 Dec 2017 10:56:55 +0100 Subject: =?UTF-8?Q?Address_Verification_gegen_relay_schl=C3=A4gt_fehl?= Message-ID: <94a128c187817a96673c8707ae41a886@kroenchenstadt.de> Hallo, in einem Kundensetup steht eine Postfix-Maschine als Relay vor einer Phalanx von Webservern. Über diese Maschine sendet die Serverfarm Statusmitteilungen per E-Mail an die Kunden raus. Das Relay ist soweit vernünftig im Netz (reverse record stimmt, SPF etc). Seit ein paar Wochen fällt jedoch ein ISP auf, der E-Mails aufgrund fehlschlagender Address Verification bounced (da liegt eine Änderung dererseits vor, etwa Anfang November fing das an): Dec 13 14:37:29 relay postfix/smtp[26692]: B34CE1073338: to=, relay=mx2.blabla.de[1.2.13.4]:25, delay=0.34, delays=0.01/0/0.17/0.16, dsn=5.0.0, status=bounced (host mx2.blabla.de[1.2.13.4] said: 550-Sender verification is required but failed. (ID:550:0:5 550 (mi028.isp.de)): www-data at relay.kunde.de (in reply to MAIL FROM command)) Am Ende müsste sicherlich "nur" auf dem Relay www-data at relay.kunde.de (als welche die Hosts der Webserver verschicken) als valider Empfänger eingetragen werden. Nur: Wo macht man das am besten? Eine schnelle (und daher sicherlich fahrlässige) Problemumschiffung war, folgendes einzutragen: main.cf: local_recipient_maps = hash:/etc/postfix/local_recipient /etc/postfix/local_recipient: www-data at relay.kunde.de whatever Damit klappt die Address Verification seitens des anfragenden ISP; sollte jemand in die Versuchung kommen, doch mal eine "wirkliche" Mail an relay.kunde.de (www-data at relay.kunde.de) zu versenden, bounced sie (Action: failed Status: 5.1.1 Diagnostic-Code: X-Postfix; unknown user: "www-data"). Sicherlich ist das nicht der beste Weg... wie macht man das "schön"? Besten Dank und viele Grüße Bernd From Ralf.Hildebrandt at charite.de Thu Dec 14 11:07:14 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Dec 2017 11:07:14 +0100 Subject: Address Verification gegen =?utf-8?Q?r?= =?utf-8?Q?elay_schl=C3=A4gt?= fehl In-Reply-To: <94a128c187817a96673c8707ae41a886@kroenchenstadt.de> References: <94a128c187817a96673c8707ae41a886@kroenchenstadt.de> Message-ID: <20171214100714.hyatpyzkgrtmm7y5@charite.de> * Bernd : > Hallo, > > in einem Kundensetup steht eine Postfix-Maschine als Relay vor einer Phalanx > von Webservern. Über diese Maschine sendet die Serverfarm Statusmitteilungen > per E-Mail an die Kunden raus. Das Relay ist soweit vernünftig im Netz > (reverse record stimmt, SPF etc). Seit ein paar Wochen fällt jedoch ein ISP > auf, der E-Mails aufgrund fehlschlagender Address Verification bounced (da > liegt eine Änderung dererseits vor, etwa Anfang November fing das an): > > Dec 13 14:37:29 relay postfix/smtp[26692]: B34CE1073338: > to=, relay=mx2.blabla.de[1.2.13.4]:25, delay=0.34, > delays=0.01/0/0.17/0.16, dsn=5.0.0, status=bounced (host > mx2.blabla.de[1.2.13.4] said: 550-Sender verification is required but > failed. (ID:550:0:5 550 (mi028.isp.de)): www-data at relay.kunde.de (in reply > to MAIL FROM command)) > > Am Ende müsste sicherlich "nur" auf dem Relay www-data at relay.kunde.de (als > welche die Hosts der Webserver verschicken) als valider Empfänger > eingetragen werden. Nur: Wo macht man das am besten? Eine schnelle (und > daher sicherlich fahrlässige) Problemumschiffung war, folgendes einzutragen: > > main.cf: local_recipient_maps = hash:/etc/postfix/local_recipient > > /etc/postfix/local_recipient: www-data at relay.kunde.de whatever > > Damit klappt die Address Verification seitens des anfragenden ISP; sollte > jemand in die Versuchung kommen, doch mal eine "wirkliche" Mail an > relay.kunde.de (www-data at relay.kunde.de) zu versenden, bounced sie (Action: > failed Status: 5.1.1 Diagnostic-Code: X-Postfix; unknown user: "www-data"). > > Sicherlich ist das nicht der beste Weg... wie macht man das "schön"? alias_maps -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bernd at kroenchenstadt.de Thu Dec 14 11:13:36 2017 From: bernd at kroenchenstadt.de (Bernd) Date: Thu, 14 Dec 2017 11:13:36 +0100 Subject: =?UTF-8?Q?Re=3A_Address_Verification_gegen_relay_schl=C3=A4gt_fe?= =?UTF-8?Q?hl?= In-Reply-To: <20171214100714.hyatpyzkgrtmm7y5@charite.de> References: <94a128c187817a96673c8707ae41a886@kroenchenstadt.de> <20171214100714.hyatpyzkgrtmm7y5@charite.de> Message-ID: <2cc47882de3668ae1625eea3fb6efa9d@kroenchenstadt.de> Am 2017-12-14 11:07, schrieb Ralf Hildebrandt: > * Bernd : >> Hallo, >> >> in einem Kundensetup steht eine Postfix-Maschine als Relay vor einer >> Phalanx >> von Webservern. Über diese Maschine sendet die Serverfarm >> Statusmitteilungen >> per E-Mail an die Kunden raus. Das Relay ist soweit vernünftig im Netz >> (reverse record stimmt, SPF etc). Seit ein paar Wochen fällt jedoch >> ein ISP >> auf, der E-Mails aufgrund fehlschlagender Address Verification bounced >> (da >> liegt eine Änderung dererseits vor, etwa Anfang November fing das an): >> >> Dec 13 14:37:29 relay postfix/smtp[26692]: B34CE1073338: >> to=, relay=mx2.blabla.de[1.2.13.4]:25, >> delay=0.34, >> delays=0.01/0/0.17/0.16, dsn=5.0.0, status=bounced (host >> mx2.blabla.de[1.2.13.4] said: 550-Sender verification is required but >> failed. (ID:550:0:5 550 (mi028.isp.de)): www-data at relay.kunde.de (in >> reply >> to MAIL FROM command)) >> >> Am Ende müsste sicherlich "nur" auf dem Relay www-data at relay.kunde.de >> (als >> welche die Hosts der Webserver verschicken) als valider Empfänger >> eingetragen werden. Nur: Wo macht man das am besten? Eine schnelle >> (und >> daher sicherlich fahrlässige) Problemumschiffung war, folgendes >> einzutragen: >> >> main.cf: local_recipient_maps = hash:/etc/postfix/local_recipient >> >> /etc/postfix/local_recipient: www-data at relay.kunde.de whatever >> >> Damit klappt die Address Verification seitens des anfragenden ISP; >> sollte >> jemand in die Versuchung kommen, doch mal eine "wirkliche" Mail an >> relay.kunde.de (www-data at relay.kunde.de) zu versenden, bounced sie >> (Action: >> failed Status: 5.1.1 Diagnostic-Code: X-Postfix; unknown user: >> "www-data"). >> >> Sicherlich ist das nicht der beste Weg... wie macht man das "schön"? > > alias_maps Danke. "Overrides the default_transport parameter setting for address verification probes", prädestiniert... :-) From sebastian at debianfan.de Fri Dec 15 00:11:32 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 15 Dec 2017 00:11:32 +0100 Subject: Auswertung von Logfiles Message-ID: <3c58ca33-a22b-f0fd-29d8-95081c65542b@debianfan.de> Moin, ich brauche ein Tool welches mir ausgibt, wieviele Mails auf jeweils welcher Domain eingegangen sind. Pflogsum kann das leider nicht. gruß & danke für hilfreiche Antworten :-) From daniel at mail24.vip Fri Dec 15 07:58:49 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 15 Dec 2017 07:58:49 +0100 Subject: AW: Auswertung von Logfiles In-Reply-To: <3c58ca33-a22b-f0fd-29d8-95081c65542b@debianfan.de> References: <3c58ca33-a22b-f0fd-29d8-95081c65542b@debianfan.de> Message-ID: <004301d37572$291d8b80$7b58a280$@mail24.vip> Ergänze dein Maillog um nen grep domain, dann hat pflogsum nur für eine Domain die Daten. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Freitag, 15. Dezember 2017 00:12 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Auswertung von Logfiles Moin, ich brauche ein Tool welches mir ausgibt, wieviele Mails auf jeweils welcher Domain eingegangen sind. Pflogsum kann das leider nicht. gruß & danke für hilfreiche Antworten :-) -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5562 bytes Beschreibung: nicht verfügbar URL : From Christian.Hoyer-Reuther at cac-chem.de Fri Dec 15 08:13:29 2017 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Fri, 15 Dec 2017 08:13:29 +0100 Subject: AW: Auswertung von Logfiles In-Reply-To: <3c58ca33-a22b-f0fd-29d8-95081c65542b@debianfan.de> References: <3c58ca33-a22b-f0fd-29d8-95081c65542b@debianfan.de> Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE83FC9CC@ex1> Hallo, pflogsum kann das doch. Wenn Du getrennte Postfix-Instanzen für ein- und ausgehende Mails hast, ist das z.B. so möglich: /usr/sbin/pflogsumm -d yesterday --syslog-name=postfix-inbound /var/log/mail.log.1 /var/log/mail.log | grep -A100 -e 'avg dly' | grep -B100 -e 'Host\/Domain Summary: Messages Received' | grep -v 'Host\/Domain Summary: Messages Received' Bei nur einer Instanz erweiterst Du die Zeile um weiteres grep, um an die gewünschten Domains zu kommen. -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Freitag, 15. Dezember 2017 00:12 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Auswertung von Logfiles Moin, ich brauche ein Tool welches mir ausgibt, wieviele Mails auf jeweils welcher Domain eingegangen sind. Pflogsum kann das leider nicht. gruß & danke für hilfreiche Antworten :-) From Hajo.Locke at gmx.de Fri Dec 22 08:36:14 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Fri, 22 Dec 2017 08:36:14 +0100 Subject: OT postgrey - lookup-by-subnet Message-ID: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> Hallo Liste, habe das Problem, dass alibaba Server nicht das greylisting überwinden können. IP ändert sich permanent im letzten Octet. Hier mal ein zusammen gestauchtes Log, Sender/Empfänger sind in allen Zeilen identisch. Dec 21 09:52:54 NOQUEUE: reject: RCPT from mail134-38.mail.alibaba.com[198.11.134.38]: Greylisted, Dec 21 09:53:02 NOQUEUE: reject: RCPT from mail134-39.mail.alibaba.com[198.11.134.39]: Greylisted, Dec 21 09:53:13 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, Dec 21 09:53:32 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, Dec 21 09:54:09 NOQUEUE: reject: RCPT from mail134-40.mail.alibaba.com[198.11.134.40]: Greylisted, Dec 21 11:04:31 NOQUEUE: reject: RCPT from mail134-30.mail.alibaba.com[198.11.134.30]: Greylisted, Dec 21 11:04:35 NOQUEUE: reject: RCPT from mail134-47.mail.alibaba.com[198.11.134.47]: Greylisted, Dec 21 11:04:43 NOQUEUE: reject: RCPT from mail134-10.mail.alibaba.com[198.11.134.10]: Greylisted, Dec 21 11:04:53 NOQUEUE: reject: RCPT from mail134-1.mail.alibaba.com[198.11.134.1]: Greylisted, Dec 21 11:05:48 NOQUEUE: reject: RCPT from mail134-54.mail.alibaba.com[198.11.134.54]: Greylisted, Dec 21 11:07:11 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, Dec 21 11:07:15 NOQUEUE: reject: RCPT from mail134-18.mail.alibaba.com[198.11.134.18]: Greylisted, Dec 21 11:07:22 NOQUEUE: reject: RCPT from mail134-56.mail.alibaba.com[198.11.134.56]: Greylisted, Dec 21 11:07:32 NOQUEUE: reject: RCPT from mail134-8.mail.alibaba.com[198.11.134.8]: Greylisted, Dec 21 11:08:18 NOQUEUE: reject: RCPT from mail134-11.mail.alibaba.com[198.11.134.11]: Greylisted, Dec 21 11:08:21 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, Dec 21 11:08:28 NOQUEUE: reject: RCPT from mail134-58.mail.alibaba.com[198.11.134.58]: Greylisted, Dec 21 11:08:29 NOQUEUE: reject: RCPT from mail134-9.mail.alibaba.com[198.11.134.9]: Greylisted, Dec 21 11:08:39 NOQUEUE: reject: RCPT from mail134-5.mail.alibaba.com[198.11.134.5]: Greylisted, Dec 21 11:08:58 NOQUEUE: reject: RCPT from mail134-15.mail.alibaba.com[198.11.134.15]: Greylisted, Dec 21 11:09:36 NOQUEUE: reject: RCPT from mail134-53.mail.alibaba.com[198.11.134.53]: Greylisted, Dec 21 13:03:50 NOQUEUE: reject: RCPT from mail134-43.mail.alibaba.com[198.11.134.43]: Greylisted, Dec 21 13:03:55 NOQUEUE: reject: RCPT from mail134-36.mail.alibaba.com[198.11.134.36]: Greylisted, Dec 21 13:04:04 NOQUEUE: reject: RCPT from mail134-57.mail.alibaba.com[198.11.134.57]: Greylisted, Postgrey läuft per default mit der Option --lookup-by-subnet (strip the last 8 bits from IP addresses (default)), wir setzen in der Konfiguration auch keine gegenteilige Option. Sollte das aber nicht dafür sorgen, dass Fälle wie oben vermieden werden oder hab ich das falsch verstanden? Postgrey Version ist 1.3.4, System ist Ubuntu14, perl 5.18.2 Danke für Eure Meinung, Hajo From postfixer99 at gmail.com Tue Dec 26 08:51:27 2017 From: postfixer99 at gmail.com (Carsten) Date: Tue, 26 Dec 2017 08:51:27 +0100 Subject: OT postgrey - lookup-by-subnet In-Reply-To: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> References: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> Message-ID: Am 22.12.2017 um 08:36 schrieb Hajo Locke: > > Postgrey läuft per default mit der Option --lookup-by-subnet (strip > the last 8 bits from IP addresses (default)), wir setzen in der > Konfiguration auch keine gegenteilige Option. > Hallo Hajo, genau die gleiche Frage habe ich mir vor einiger Zeit auch schon gestellt.... Aber was ist schon "default" ? Was sich der Programmierer denkt, bzw. was nach Installation aus den sourcen irgendwo als "default" hinterlegt wird. Debian (dann wohl auch Ubuntu) besitzen die Datei /etc/default/postgrey Versuche doch dort nochmal explizit die Option zu setzen. Das Ergebnis würde mich auch sehr interessieren, ich habe es bisher nicht getestet. Beste Grüße Carsten From Hajo.Locke at gmx.de Wed Dec 27 08:26:49 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 27 Dec 2017 08:26:49 +0100 Subject: OT postgrey - lookup-by-subnet In-Reply-To: References: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> Message-ID: Hallo, Am 26.12.2017 um 08:51 schrieb Carsten: > Am 22.12.2017 um 08:36 schrieb Hajo Locke: >> >> Postgrey läuft per default mit der Option --lookup-by-subnet (strip >> the last 8 bits from IP addresses (default)), wir setzen in der >> Konfiguration auch keine gegenteilige Option. >> > Hallo Hajo, > > genau die gleiche Frage habe ich mir vor einiger Zeit auch schon > gestellt.... > > Aber was ist schon "default" ? Was sich der Programmierer denkt, bzw. > was nach Installation aus den sourcen irgendwo als "default" > hinterlegt wird. > Debian (dann wohl auch Ubuntu) besitzen die Datei > > /etc/default/postgrey > > Versuche doch dort nochmal explizit die Option zu setzen. Das habe ich gemacht, aber es bringt nichts. Im Code des Dienstes steht ebenfalls der Hinweis, dass es default ist und die Option nicht weiter verarbeitet wird. Es hätte vermutlich nur die gegenteilige Wirkung, wenn man --lookup-by-host setzen würde. Ich nehme an aus der Liste kommen demnächst noch paar handfeste Hinweise. > Das Ergebnis würde mich auch sehr interessieren, ich habe es bisher > nicht getestet. > > Beste Grüße > > Carsten > Hajo From andreas.schulze at datev.de Wed Dec 27 09:36:51 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 27 Dec 2017 09:36:51 +0100 Subject: OT postgrey - lookup-by-subnet In-Reply-To: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> References: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> Message-ID: <225bc9bc-cff4-155a-d317-61e19f6ca22d@datev.de> Am 22.12.2017 um 08:36 schrieb Hajo Locke: > Hallo Liste, > > habe das Problem, dass alibaba Server nicht das greylisting überwinden können. IP ändert sich permanent im letzten Octet. > Hier mal ein zusammen gestauchtes Log, Sender/Empfänger sind in allen Zeilen identisch. > > Dec 21 09:52:54 NOQUEUE: reject: RCPT from mail134-38.mail.alibaba.com[198.11.134.38]: Greylisted, > Dec 21 09:53:02 NOQUEUE: reject: RCPT from mail134-39.mail.alibaba.com[198.11.134.39]: Greylisted, > Dec 21 09:53:13 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, > Dec 21 09:53:32 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, > Dec 21 09:54:09 NOQUEUE: reject: RCPT from mail134-40.mail.alibaba.com[198.11.134.40]: Greylisted, > Dec 21 11:04:31 NOQUEUE: reject: RCPT from mail134-30.mail.alibaba.com[198.11.134.30]: Greylisted, > Dec 21 11:04:35 NOQUEUE: reject: RCPT from mail134-47.mail.alibaba.com[198.11.134.47]: Greylisted, > Dec 21 11:04:43 NOQUEUE: reject: RCPT from mail134-10.mail.alibaba.com[198.11.134.10]: Greylisted, > Dec 21 11:04:53 NOQUEUE: reject: RCPT from mail134-1.mail.alibaba.com[198.11.134.1]: Greylisted, > Dec 21 11:05:48 NOQUEUE: reject: RCPT from mail134-54.mail.alibaba.com[198.11.134.54]: Greylisted, > Dec 21 11:07:11 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, > Dec 21 11:07:15 NOQUEUE: reject: RCPT from mail134-18.mail.alibaba.com[198.11.134.18]: Greylisted, > Dec 21 11:07:22 NOQUEUE: reject: RCPT from mail134-56.mail.alibaba.com[198.11.134.56]: Greylisted, > Dec 21 11:07:32 NOQUEUE: reject: RCPT from mail134-8.mail.alibaba.com[198.11.134.8]: Greylisted, > Dec 21 11:08:18 NOQUEUE: reject: RCPT from mail134-11.mail.alibaba.com[198.11.134.11]: Greylisted, > Dec 21 11:08:21 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, > Dec 21 11:08:28 NOQUEUE: reject: RCPT from mail134-58.mail.alibaba.com[198.11.134.58]: Greylisted, > Dec 21 11:08:29 NOQUEUE: reject: RCPT from mail134-9.mail.alibaba.com[198.11.134.9]: Greylisted, > Dec 21 11:08:39 NOQUEUE: reject: RCPT from mail134-5.mail.alibaba.com[198.11.134.5]: Greylisted, > Dec 21 11:08:58 NOQUEUE: reject: RCPT from mail134-15.mail.alibaba.com[198.11.134.15]: Greylisted, > Dec 21 11:09:36 NOQUEUE: reject: RCPT from mail134-53.mail.alibaba.com[198.11.134.53]: Greylisted, > Dec 21 13:03:50 NOQUEUE: reject: RCPT from mail134-43.mail.alibaba.com[198.11.134.43]: Greylisted, > Dec 21 13:03:55 NOQUEUE: reject: RCPT from mail134-36.mail.alibaba.com[198.11.134.36]: Greylisted, > Dec 21 13:04:04 NOQUEUE: reject: RCPT from mail134-57.mail.alibaba.com[198.11.134.57]: Greylisted, > > > Postgrey läuft per default mit der Option --lookup-by-subnet (strip the last 8 bits from IP addresses (default)), wir setzen in der Konfiguration auch keine gegenteilige Option. > Sollte das aber nicht dafür sorgen, dass Fälle wie oben vermieden werden oder hab ich das falsch verstanden? > Postgrey Version ist 1.3.4, System ist Ubuntu14, perl 5.18.2 > > Danke für Eure Meinung, > Hajo > Moin, ich kann mich dunkel entsinnen, dass ich so ein Problem auch schon mal hatte. Mein letzter Eintrag im Changelog lautet nur lapidar "perl-NetAddr-IP wird benötigt" Ich glaube, das Modul ist für die Berechnungen der Subnetzmasken innerhalb von postgrey zuständig und das fehlte mir. übrigens: postgrey ist in Version 1.37 verfügbar (https://postgrey.schweikert.ch/pub/). reden wir vom Gleichen? -- A. Schulze DATEV eG From Hajo.Locke at gmx.de Wed Dec 27 10:41:56 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 27 Dec 2017 10:41:56 +0100 Subject: OT postgrey - lookup-by-subnet In-Reply-To: <225bc9bc-cff4-155a-d317-61e19f6ca22d@datev.de> References: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> <225bc9bc-cff4-155a-d317-61e19f6ca22d@datev.de> Message-ID: <3d5aa445-1aa4-3b98-3644-7fdaa0d49adb@gmx.de> Hallo, Am 27.12.2017 um 09:36 schrieb Andreas Schulze: > Am 22.12.2017 um 08:36 schrieb Hajo Locke: >> Hallo Liste, >> >> habe das Problem, dass alibaba Server nicht das greylisting überwinden können. IP ändert sich permanent im letzten Octet. >> Hier mal ein zusammen gestauchtes Log, Sender/Empfänger sind in allen Zeilen identisch. >> >> Dec 21 09:52:54 NOQUEUE: reject: RCPT from mail134-38.mail.alibaba.com[198.11.134.38]: Greylisted, >> Dec 21 09:53:02 NOQUEUE: reject: RCPT from mail134-39.mail.alibaba.com[198.11.134.39]: Greylisted, >> Dec 21 09:53:13 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, >> Dec 21 09:53:32 NOQUEUE: reject: RCPT from mail134-16.mail.alibaba.com[198.11.134.16]: Greylisted, >> Dec 21 09:54:09 NOQUEUE: reject: RCPT from mail134-40.mail.alibaba.com[198.11.134.40]: Greylisted, >> Dec 21 11:04:31 NOQUEUE: reject: RCPT from mail134-30.mail.alibaba.com[198.11.134.30]: Greylisted, >> Dec 21 11:04:35 NOQUEUE: reject: RCPT from mail134-47.mail.alibaba.com[198.11.134.47]: Greylisted, >> Dec 21 11:04:43 NOQUEUE: reject: RCPT from mail134-10.mail.alibaba.com[198.11.134.10]: Greylisted, >> Dec 21 11:04:53 NOQUEUE: reject: RCPT from mail134-1.mail.alibaba.com[198.11.134.1]: Greylisted, >> Dec 21 11:05:48 NOQUEUE: reject: RCPT from mail134-54.mail.alibaba.com[198.11.134.54]: Greylisted, >> Dec 21 11:07:11 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, >> Dec 21 11:07:15 NOQUEUE: reject: RCPT from mail134-18.mail.alibaba.com[198.11.134.18]: Greylisted, >> Dec 21 11:07:22 NOQUEUE: reject: RCPT from mail134-56.mail.alibaba.com[198.11.134.56]: Greylisted, >> Dec 21 11:07:32 NOQUEUE: reject: RCPT from mail134-8.mail.alibaba.com[198.11.134.8]: Greylisted, >> Dec 21 11:08:18 NOQUEUE: reject: RCPT from mail134-11.mail.alibaba.com[198.11.134.11]: Greylisted, >> Dec 21 11:08:21 NOQUEUE: reject: RCPT from mail134-34.mail.alibaba.com[198.11.134.34]: Greylisted, >> Dec 21 11:08:28 NOQUEUE: reject: RCPT from mail134-58.mail.alibaba.com[198.11.134.58]: Greylisted, >> Dec 21 11:08:29 NOQUEUE: reject: RCPT from mail134-9.mail.alibaba.com[198.11.134.9]: Greylisted, >> Dec 21 11:08:39 NOQUEUE: reject: RCPT from mail134-5.mail.alibaba.com[198.11.134.5]: Greylisted, >> Dec 21 11:08:58 NOQUEUE: reject: RCPT from mail134-15.mail.alibaba.com[198.11.134.15]: Greylisted, >> Dec 21 11:09:36 NOQUEUE: reject: RCPT from mail134-53.mail.alibaba.com[198.11.134.53]: Greylisted, >> Dec 21 13:03:50 NOQUEUE: reject: RCPT from mail134-43.mail.alibaba.com[198.11.134.43]: Greylisted, >> Dec 21 13:03:55 NOQUEUE: reject: RCPT from mail134-36.mail.alibaba.com[198.11.134.36]: Greylisted, >> Dec 21 13:04:04 NOQUEUE: reject: RCPT from mail134-57.mail.alibaba.com[198.11.134.57]: Greylisted, >> >> >> Postgrey läuft per default mit der Option --lookup-by-subnet (strip the last 8 bits from IP addresses (default)), wir setzen in der Konfiguration auch keine gegenteilige Option. >> Sollte das aber nicht dafür sorgen, dass Fälle wie oben vermieden werden oder hab ich das falsch verstanden? >> Postgrey Version ist 1.3.4, System ist Ubuntu14, perl 5.18.2 >> >> Danke für Eure Meinung, >> Hajo >> > Moin, > > ich kann mich dunkel entsinnen, dass ich so ein Problem auch schon mal hatte. Mein letzter Eintrag im Changelog lautet nur lapidar "perl-NetAddr-IP wird benötigt" > Ich glaube, das Modul ist für die Berechnungen der Subnetzmasken innerhalb von postgrey zuständig und das fehlte mir. > > übrigens: postgrey ist in Version 1.37 verfügbar (https://postgrey.schweikert.ch/pub/). reden wir vom Gleichen? perl-NetAddr-IP ist installiert. Ubuntu ist noch nicht bei der 1.37 angekommen. Meist sind mir die etwas älteren Fassungen mit Maintainerpatches lieber als frische Entwicklerversionen. Ich würde die 1.37 gern mal ausprobieren, die Frage ist aber nur wie ich mir paar sample-mails sende. Der Kunde hat sich auf mein Anraten postgrey deaktiviert. Muss mal kucken ob ich mir bei alibaba auch selbst Mails zusenden lassen kann, ohne das ich was kaufen muss. Hajo From andreas.schulze at datev.de Wed Dec 27 10:48:59 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 27 Dec 2017 10:48:59 +0100 Subject: OT postgrey - lookup-by-subnet In-Reply-To: <3d5aa445-1aa4-3b98-3644-7fdaa0d49adb@gmx.de> References: <4fbec151-9566-cd4f-d16f-c1c3d0cf6183@gmx.de> <225bc9bc-cff4-155a-d317-61e19f6ca22d@datev.de> <3d5aa445-1aa4-3b98-3644-7fdaa0d49adb@gmx.de> Message-ID: Am 27.12.2017 um 10:41 schrieb Hajo Locke: Muss mal kucken ob ich mir bei alibaba auch selbst Mails zusenden lassen kann, ohne das ich was kaufen muss. Du kannst im postfix das XCLIENT-Feature nutzen und mit Telnet selber SMTP-Kommunikation von externen IPs simulieren. http://www.postfix.org/XCLIENT_README.html -- A. Schulze DATEV eG