From claas.goltz at rock-bunker.de Wed May 10 14:56:32 2017 From: claas.goltz at rock-bunker.de (Claas Goltz) Date: Wed, 10 May 2017 14:56:32 +0200 (CEST) Subject: weitere sa-update channels? Message-ID: <119993464.40.1494420992469@mail.rock-bunker.de> Hallo! Ich bekomme in einem Info Postfach recht viel Spam aus Italien und Frankreich, bzw. in diesen Sprachen. Meine Listen prüfen aber nur deutsche und englische Texte. Zur Zeit frage ich diese sa-update channels ab: sa-update --nogpg --channel spamassassin.heinlein-support.de sa-update --nogpg --channel sa.schaal-it.net sa-update --nogpg --channel sought.rules.yerp.org sa-update --nogpg --channel updates.spamassassin.org Hat jemand noch ein paar ausländische Channels parat? Danke! - Claas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From admin at bbs1emd.de Thu May 11 10:12:37 2017 From: admin at bbs1emd.de (admin) Date: Thu, 11 May 2017 10:12:37 +0200 Subject: starttls, woher =?ISO-8859-1?Q?wei=DF=20ich=2C=20ob=20verschl=FCsselt=20w?= =?ISO-8859-1?Q?ird=3F?= Message-ID: Hallo, ich habe nach dieser Anleitung (http://www.bekawe-systems.de/howto-postfix-mit-tls-ssl-einrichten/) STARTTLS auf meinem Postfix 2.6.6 auf meinem CentOS 6.8 eingerichtet. In Thunderbird das Mailkonto konfiguriert und im Logfile steht: login: xxxxxxxxx.dip0.t-ipconnect.de [xxx.xxx.xxx.xxx] username at meinedomain.org plain+TLS User logged in Nach allem, was ich verstanden habe, verbindet sich der MUA mit dem MTA auf Port 25 und schaltet dann vor der Authentifizierung auf eine verschlüsselte Verbindung um. Ich bin aber misstrauisch. Werden Benutzername und Kennwort wirklich, wirklich verschlüsselt und woran kann ich das sehen? Wenn ich smtp auth und STARTLS suche, bekomme ich gute Anleitungen, aber ich habe keine gesehen, in der steht, wie man prüfen kann, ob tatsächlich verschlüsselt wird. Vielleicht ist auch meine Frage blöd, aber mir ist das zu heikel und frage deshalb lieber dumm, bevor ich das auf die Menschheit loslasse. über Tipps würde ich mich freuen Malte From wn at neessen.net Thu May 11 10:14:25 2017 From: wn at neessen.net (Winfried Neessen) Date: Thu, 11 May 2017 10:14:25 +0200 Subject: =?utf-8?Q?Re=3A_starttls=2C_woher_wei=C3=9F_ich=2C_ob_verschl?= =?utf-8?Q?=C3=BCsselt_wird=3F?= In-Reply-To: References: Message-ID: <3AB18FA6-0F09-44CA-B9B5-56BD99DFD2C0@neessen.net> Hi, Am 11.05.2017 um 10:12 schrieb admin : > Wenn ich smtp auth und STARTLS suche, bekomme ich gute Anleitungen, aber ich habe keine gesehen, in der steht, wie man prüfen kann, ob tatsächlich verschlüsselt wird. Vielleicht ist auch meine Frage blöd, aber mir ist das zu heikel und frage deshalb lieber dumm, bevor ich das auf die Menschheit loslasse. Lass einfach ein tcpdump mitlaufen, dann kannste genau sehen was uebertragen wird. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From daniel at ist-immer-online.de Thu May 11 11:32:33 2017 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 11 May 2017 11:32:33 +0200 Subject: =?utf-8?Q?AW:_starttls=2C_woher_wei=C3=9F_ich=2C_ob?= =?utf-8?Q?_verschl=C3=BCsselt_wird=3F?= In-Reply-To: <3AB18FA6-0F09-44CA-B9B5-56BD99DFD2C0@neessen.net> References: <3AB18FA6-0F09-44CA-B9B5-56BD99DFD2C0@neessen.net> Message-ID: <001501d2ca39$84a1f980$8de5ec80$@ist-immer-online.de> In der Maillog steht sonst auch erst Verbindung, Verschlüsselung und dann Anmeldung. postfix/smtpd[15425]: connect from unknown[X] postfix/smtpd[15425]: Anonymous TLS connection established from unknown[X]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) postfix/smtpd[15425]: 8F77A1597B009: client=unknown[X], sasl_method=PLAIN, sasl_username=X Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Donnerstag, 11. Mai 2017 10:14 An: Diskussionen und Support rund um Postfix Betreff: Re: starttls, woher weiß ich, ob verschlüsselt wird? Hi, Am 11.05.2017 um 10:12 schrieb admin : > Wenn ich smtp auth und STARTLS suche, bekomme ich gute Anleitungen, aber ich habe keine gesehen, in der steht, wie man prüfen kann, ob tatsächlich verschlüsselt wird. Vielleicht ist auch meine Frage blöd, aber mir ist das zu heikel und frage deshalb lieber dumm, bevor ich das auf die Menschheit loslasse. Lass einfach ein tcpdump mitlaufen, dann kannste genau sehen was uebertragen wird. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From daniel at ist-immer-online.de Thu May 11 12:17:33 2017 From: daniel at ist-immer-online.de (Daniel) Date: Thu, 11 May 2017 12:17:33 +0200 Subject: AW: weitere sa-update channels? In-Reply-To: <119993464.40.1494420992469@mail.rock-bunker.de> References: <119993464.40.1494420992469@mail.rock-bunker.de> Message-ID: <002601d2ca3f$ce3dc230$6ab94690$@ist-immer-online.de> Habe einfach mal bei google geschaut und wild drauf loskopiert aus diversen Quellen. Würde sich wohl ne Channelliste anbieten, so dass sa-update nur einmal ausführen muss. Wie gut/schlecht die sind, kann ich nicht sagen. Gruß Daniel updates.spamassassin.org 70_sare_adult.cf.sare.sa-update.dostech.net 70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net 70_sare_evilnum0.cf.sare.sa-update.dostech.net 70_sare_evilnum1.cf.sare.sa-update.dostech.net 70_sare_evilnum2.cf.sare.sa-update.dostech.net 70_sare_genlsubj_eng.cf.sare.sa-update.dostech.net 70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net 70_sare_genlsubj0.cf.sare.sa-update.dostech.net 70_sare_genlsubj1.cf.sare.sa-update.dostech.net 70_sare_genlsubj2.cf.sare.sa-update.dostech.net 70_sare_genlsubj3.cf.sare.sa-update.dostech.net 70_sare_header_eng.cf.sare.sa-update.dostech.net 70_sare_header0.cf.sare.sa-update.dostech.net 70_sare_header1.cf.sare.sa-update.dostech.net 70_sare_header2.cf.sare.sa-update.dostech.net 70_sare_header3.cf.sare.sa-update.dostech.net 70_sare_html_eng.cf.sare.sa-update.dostech.net 70_sare_html0.cf.sare.sa-update.dostech.net 70_sare_html1.cf.sare.sa-update.dostech.net 70_sare_html2.cf.sare.sa-update.dostech.net 70_sare_html3.cf.sare.sa-update.dostech.net 70_sare_obfu.cf.sare.sa-update.dostech.net 70_sare_obfu0.cf.sare.sa-update.dostech.net 70_sare_obfu1.cf.sare.sa-update.dostech.net 70_sare_obfu2.cf.sare.sa-update.dostech.net 70_sare_oem.cf.sare.sa-update.dostech.net 70_sare_random.cf.sare.sa-update.dostech.net 70_sare_specific.cf.sare.sa-update.dostech.net 70_sare_spoof.cf.sare.sa-update.dostech.net 70_sare_stocks.cf.sare.sa-update.dostech.net 70_sare_unsub.cf.sare.sa-update.dostech.net 70_sare_uri_eng.cf.sare.sa-update.dostech.net 70_sare_uri0.cf.sare.sa-update.dostech.net 70_sare_uri1.cf.sare.sa-update.dostech.net 70_sare_uri2.cf.sare.sa-update.dostech.net 70_sare_uri3.cf.sare.sa-update.dostech.net 70_sare_whitelist_rcvd.cf.sare.sa-update.dostech.net 70_sare_whitelist_spf.cf.sare.sa-update.dostech.net 70_zmi_german.cf.zmi.sa-update.dostech.net 72_sare_bml_post25x.cf.sare.sa-update.dostech.net 72_sare_redirect_post3.0.0.cf.sare.sa-update.dostech.net 88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net 88_FVGT_rawbody.cf.sare.sa-update.dostech.net 88_FVGT_subject.cf.sare.sa-update.dostech.net 88_FVGT_Tripwire.cf.sare.sa-update.dostech.net 90_2tld.cf.sare.sa-update.dostech.net 99_sare_fraud_post25x.cf.sare.sa-update.dostech.net chickenpox.cf.sare.sa-update.dostech.net khop-bl.sa.khopesh.com khop-blessed.sa.khopesh.com khop-dynamic.sa.khopesh.com khop-general.sa.khopesh.com khop-sc-neighbors.sa.khopesh.com sa.schaal-it.net sa.sosdg.org sa.zmi.at saupdates.openprotect.com sought.rules.yerp.org spamassassin.heinlein-support.de ========================== Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Claas Goltz Gesendet: Mittwoch, 10. Mai 2017 14:57 An: postfixbuch-users at listen.jpberlin.de Betreff: weitere sa-update channels? Hallo! Ich bekomme in einem Info Postfach recht viel Spam aus Italien und Frankreich, bzw. in diesen Sprachen. Meine Listen prüfen aber nur deutsche und englische Texte. Zur Zeit frage ich diese sa-update channels ab: sa-update --nogpg --channel spamassassin.heinlein-support.de sa-update --nogpg --channel sa.schaal-it.net sa-update --nogpg --channel sought.rules.yerp.org sa-update --nogpg --channel updates.spamassassin.org Hat jemand noch ein paar ausländische Channels parat? Danke! - Claas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From Ralf.Eichler at dfkdw.org Thu May 11 13:49:26 2017 From: Ralf.Eichler at dfkdw.org (Ralf Eichler) Date: Thu, 11 May 2017 11:49:26 +0000 Subject: =?iso-8859-1?Q?AW:_starttls, _woher_wei=DF_ich, _ob_verschl=FCsselt_wird=3F?= In-Reply-To: References: Message-ID: <17283965eaa74f7daef7985fd74e0c91@dfkdw.org> Hallo, nach meinem Verständnis könntest du: - Thunderbird zwingen, nur TLS zu verwenden [1] - auf Postfix-Seite Submission (Port 587; zur Kommunikation MUA <-> Mailserver) einrichten und dort TLS erzwingen [2] [1] http://kb.mozillazine.org/Secure_connections_-_Thunderbird [2] https://serverfault.com/questions/481477/in-postfix-how-to-enforce-tls-auth-over-587-while-leaving-tls-optional-for-25 Hoffe, das hilft. Grüße, Ralf ________________________________ Von: Postfixbuch-users im Auftrag von admin Gesendet: Donnerstag, 11. Mai 2017 10:12 An: postfixbuch-users at listen.jpberlin.de Betreff: starttls, woher weiß ich, ob verschlüsselt wird? Hallo, ich habe nach dieser Anleitung (http://www.bekawe-systems.de/howto-postfix-mit-tls-ssl-einrichten/) STARTTLS auf meinem Postfix 2.6.6 auf meinem CentOS 6.8 eingerichtet. In Thunderbird das Mailkonto konfiguriert und im Logfile steht: login: xxxxxxxxx.dip0.t-ipconnect.de [xxx.xxx.xxx.xxx] username at meinedomain.org plain+TLS User logged in Nach allem, was ich verstanden habe, verbindet sich der MUA mit dem MTA auf Port 25 und schaltet dann vor der Authentifizierung auf eine verschlüsselte Verbindung um. Ich bin aber misstrauisch. Werden Benutzername und Kennwort wirklich, wirklich verschlüsselt und woran kann ich das sehen? Wenn ich smtp auth und STARTLS suche, bekomme ich gute Anleitungen, aber ich habe keine gesehen, in der steht, wie man prüfen kann, ob tatsächlich verschlüsselt wird. Vielleicht ist auch meine Frage blöd, aber mir ist das zu heikel und frage deshalb lieber dumm, bevor ich das auf die Menschheit loslasse. über Tipps würde ich mich freuen Malte -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From admin at bbs1emd.de Fri May 12 10:13:08 2017 From: admin at bbs1emd.de (admin) Date: Fri, 12 May 2017 10:13:08 +0200 Subject: AW: starttls, woher =?ISO-8859-1?Q?wei=DF=20ich=2C=20=20ob=20verschl?= =?ISO-8859-1?Q?=FCsselt=20wird=3F?= References: <17283965eaa74f7daef7985fd74e0c91@dfkdw.org> Message-ID: Hallo, vielen Dank für die hilfreichen Kommentare, auch an Daniel und Winfried Neessen! Die Option "TLS if available" zeigt meine Version des TB nicht mehr an, sondern nur noch "STARTTLS" (oder eben "SSL/TLS" etc). Das ist in Version 3 geändert worden. Ich habe mir die Kommunikation mit tcpdump angesehen und sehe im Klartext nur noch mehr "EHLO", "STARTTLS" und den Domainnamen. Der Benutzername oder Kennwort tauchen dort nicht mehr auf, auch nicht als Base64 encoded. nach allem, was ich also sehe, gehe ich davon aus, dass STARTTLS eingeschaltet ist und derzeit funktioniert. Nochmals Danke an alle! Viele Grüße Malte Diskussionen und Support rund um Postfix schrieb am Do, 11.05.2017 13:49: > Hallo, > > > nach meinem Verständnis könntest du: > > - Thunderbird zwingen, nur TLS zu verwenden [1] > > - auf Postfix-Seite Submission (Port 587; zur Kommunikation MUA <-> Mailserver) einrichten und dort TLS erzwingen [2] > > > [1] http://kb.mozillazine.org/Secure_connections_-_Thunderbird > > [2] https://serverfault.com/questions/481477/in-postfix-how-to-enforce-tls-auth-over-587-while-leaving-tls-optional-for-25 > > > Hoffe, das hilft. > > > Grüße, > > Ralf > > > ________________________________ > Von: Postfixbuch-users im Auftrag von admin > Gesendet: Donnerstag, 11. Mai 2017 10:12 > An: postfixbuch-users at listen.jpberlin.de > Betreff: starttls, woher weiß ich, ob verschlüsselt wird? > > Hallo, > > ich habe nach dieser Anleitung (http://www.bekawe-systems.de/howto-postfix-mit-tls-ssl-einrichten/) STARTTLS auf meinem Postfix 2.6.6 auf meinem CentOS 6.8 eingerichtet. In Thunderbird das Mailkonto konfiguriert und im Logfile steht: > login: xxxxxxxxx.dip0.t-ipconnect.de [xxx.xxx.xxx.xxx] username at meinedomain.org plain+TLS User logged in > > Nach allem, was ich verstanden habe, verbindet sich der MUA mit dem MTA auf Port 25 und schaltet dann vor der Authentifizierung auf eine verschlüsselte Verbindung um. Ich bin aber misstrauisch. Werden Benutzername und Kennwort wirklich, wirklich verschlüsselt und woran kann ich das sehen? > Wenn ich smtp auth und STARTLS suche, bekomme ich gute Anleitungen, aber ich habe keine gesehen, in der steht, wie man prüfen kann, ob tatsächlich verschlüsselt wird. Vielleicht ist auch meine Frage blöd, aber mir ist das zu heikel und frage deshalb lieber dumm, bevor ich das auf die Menschheit loslasse. > > über Tipps würde ich mich freuen > Malte From ffiene at veka.com Fri May 12 10:17:18 2017 From: ffiene at veka.com (Frank Fiene) Date: Fri, 12 May 2017 10:17:18 +0200 Subject: Training mit sa-learn Message-ID: <7721BE81-6226-42C9-A573-D159BDA5A5F0@veka.com> Moin! Ich habe eine Frage: Ich nutze meinen SPAM-Folder von meinem map-Server als Quelle um mit sa-learn den Bayer-Filter anzulernen. Wie kann ich eine Mailbox einrichten, wo meine User ihren SPAM-Mails hinschicken können so dass sa-learn das auch richtig importiert? Also ohne Forward, Einrücken etc. Wird nur der Body analysiert order auch der Header? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From daniel at ist-immer-online.de Fri May 12 11:54:46 2017 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 12 May 2017 11:54:46 +0200 Subject: AW: Training mit sa-learn In-Reply-To: <7721BE81-6226-42C9-A573-D159BDA5A5F0@veka.com> References: <7721BE81-6226-42C9-A573-D159BDA5A5F0@veka.com> Message-ID: <000801d2cb05$c9a16bc0$5ce44340$@ist-immer-online.de> Hi, gerade der Header wird doch analysiert ob Zeit nicht in Zukunft ist, nen Mailclient angegeben wird, von welchem Server ect. Ich lass den cur Ordner in Junk bzw Junk-E-Mail scannen bei den Usern. Also nicht den new Ordner, müssen also erst als gelesen markiert werden bevor die für Bayes berücksichtigt werden. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Frank Fiene Gesendet: Freitag, 12. Mai 2017 10:17 An: Diskussionen und Support rund um Postfix Betreff: Training mit sa-learn Moin! Ich habe eine Frage: Ich nutze meinen SPAM-Folder von meinem map-Server als Quelle um mit sa-learn den Bayer-Filter anzulernen. Wie kann ich eine Mailbox einrichten, wo meine User ihren SPAM-Mails hinschicken können so dass sa-learn das auch richtig importiert? Also ohne Forward, Einrücken etc. Wird nur der Body analysiert order auch der Header? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From ffiene at veka.com Fri May 12 12:01:14 2017 From: ffiene at veka.com (Frank Fiene) Date: Fri, 12 May 2017 12:01:14 +0200 Subject: Training mit sa-learn In-Reply-To: <000801d2cb05$c9a16bc0$5ce44340$@ist-immer-online.de> References: <7721BE81-6226-42C9-A573-D159BDA5A5F0@veka.com> <000801d2cb05$c9a16bc0$5ce44340$@ist-immer-online.de> Message-ID: <311F48E0-F7B3-47A5-8683-70FE8DAF3C37@veka.com> Hmm, das geht also so nicht. Wir haben ein anderes Mailsystem im Backend. Wie bekomme ich die Daten aus einem IBM Domino-Server da rein? :-D Viele Grüße! Frank > Am 12.05.2017 um 11:54 schrieb Daniel : > > Hi, > > gerade der Header wird doch analysiert ob Zeit nicht in Zukunft ist, nen Mailclient angegeben wird, von welchem Server ect. > > Ich lass den cur Ordner in Junk bzw Junk-E-Mail scannen bei den Usern. Also nicht den new Ordner, müssen also erst als gelesen markiert werden bevor die für Bayes berücksichtigt werden. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Frank Fiene > Gesendet: Freitag, 12. Mai 2017 10:17 > An: Diskussionen und Support rund um Postfix > Betreff: Training mit sa-learn > > Moin! > > Ich habe eine Frage: > > Ich nutze meinen SPAM-Folder von meinem map-Server als Quelle um mit sa-learn den Bayer-Filter anzulernen. > > Wie kann ich eine Mailbox einrichten, wo meine User ihren SPAM-Mails hinschicken können so dass sa-learn das auch richtig importiert? > Also ohne Forward, Einrücken etc. > > Wird nur der Body analysiert order auch der Header? > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From daniel at ist-immer-online.de Fri May 12 12:13:34 2017 From: daniel at ist-immer-online.de (Daniel) Date: Fri, 12 May 2017 12:13:34 +0200 Subject: AW: Training mit sa-learn In-Reply-To: <311F48E0-F7B3-47A5-8683-70FE8DAF3C37@veka.com> References: <7721BE81-6226-42C9-A573-D159BDA5A5F0@veka.com> <000801d2cb05$c9a16bc0$5ce44340$@ist-immer-online.de> <311F48E0-F7B3-47A5-8683-70FE8DAF3C37@veka.com> Message-ID: <001501d2cb08$69e6dc80$3db49580$@ist-immer-online.de> Kenne Domino Server nicht. Über Google gefunden, dürfte wohl sowas sein wie Angefragt. http://www.huschi.net/11_148_de-spamassassin-sa-learn-per-email-fuettern.html Wenns im mbox Format läuft kann sa-learn damit auch umgehen http://faisal.com/docs/salearn.html Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Frank Fiene Gesendet: Freitag, 12. Mai 2017 12:01 An: Diskussionen und Support rund um Postfix Betreff: Re: Training mit sa-learn Hmm, das geht also so nicht. Wir haben ein anderes Mailsystem im Backend. Wie bekomme ich die Daten aus einem IBM Domino-Server da rein? :-D Viele Grüße! Frank > Am 12.05.2017 um 11:54 schrieb Daniel : > > Hi, > > gerade der Header wird doch analysiert ob Zeit nicht in Zukunft ist, nen Mailclient angegeben wird, von welchem Server ect. > > Ich lass den cur Ordner in Junk bzw Junk-E-Mail scannen bei den Usern. Also nicht den new Ordner, müssen also erst als gelesen markiert werden bevor die für Bayes berücksichtigt werden. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Frank Fiene > Gesendet: Freitag, 12. Mai 2017 10:17 > An: Diskussionen und Support rund um Postfix > Betreff: Training mit sa-learn > > Moin! > > Ich habe eine Frage: > > Ich nutze meinen SPAM-Folder von meinem map-Server als Quelle um mit sa-learn den Bayer-Filter anzulernen. > > Wie kann ich eine Mailbox einrichten, wo meine User ihren SPAM-Mails hinschicken können so dass sa-learn das auch richtig importiert? > Also ohne Forward, Einrücken etc. > > Wird nur der Body analysiert order auch der Header? > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From daniel at ist-immer-online.de Sat May 13 23:45:46 2017 From: daniel at ist-immer-online.de (Daniel) Date: Sat, 13 May 2017 23:45:46 +0200 Subject: Kostenlose Anti Spam MX Message-ID: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> Huhu, was haltet ihr von Diensten wie http://www.junkemailfilter.com/spam/free_mx_backup_service.html ? Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die gezielt sich an MX mit niedrigster Prio wendet. Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From p.heinlein at heinlein-support.de Sun May 14 09:36:28 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 14 May 2017 09:36:28 +0200 Subject: Kostenlose Anti Spam MX In-Reply-To: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> Message-ID: <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> Am 13.05.2017 um 23:45 schrieb Daniel: Hi. > Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die gezielt > sich an MX mit niedrigster Prio wendet. Finde ich gut, unterrichten wir in unseren Kursen. Allerdings kann man noch einen Schritt weitergehen und gleich einen DNS-MX-Record nehmen der auf eine IP zeigt, dieGAR NICHT antwortet, idealerweise in der FW auf DROP gesetzt ist und in einen Timeout liefert. Schau Dir mal die MX-Records von mailbox.org an... Ich hatte das mal getrackt wieviele IPs NICHT vom MX-50 auf die höheren MXe hochrutschen. Zahlen habe ich leider vergessen, aber es war deutlich sichtbar, daß man sich damit eine Menge Blödsinn vom Hals hält. -Mit einem Rechner, den es noch nicht mal gibt... > Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen. Gib Deinem postfix eine zweite IP und mache in der master.cf einen smtpd auf, der ein -o smtpd_recipient_restrictions=defer hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar keinen Dienst und offenbart auch nicht Dritten sensible Kommunikationsdaten. Peer From daniel at ist-immer-online.de Sun May 14 09:44:46 2017 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 14 May 2017 09:44:46 +0200 Subject: AW: Kostenlose Anti Spam MX In-Reply-To: <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> Message-ID: <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> Wäre sonst nen MX-50 denkbar mit 127.0.0.1, dass Spammer sich ggf. selbst zumüllen oder deren Recourcen verbraucht werden? Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein Gesendet: Sonntag, 14. Mai 2017 09:36 An: Diskussionen und Support rund um Postfix Betreff: Re: Kostenlose Anti Spam MX Am 13.05.2017 um 23:45 schrieb Daniel: Hi. > Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die gezielt > sich an MX mit niedrigster Prio wendet. Finde ich gut, unterrichten wir in unseren Kursen. Allerdings kann man noch einen Schritt weitergehen und gleich einen DNS-MX-Record nehmen der auf eine IP zeigt, dieGAR NICHT antwortet, idealerweise in der FW auf DROP gesetzt ist und in einen Timeout liefert. Schau Dir mal die MX-Records von mailbox.org an... Ich hatte das mal getrackt wieviele IPs NICHT vom MX-50 auf die höheren MXe hochrutschen. Zahlen habe ich leider vergessen, aber es war deutlich sichtbar, daß man sich damit eine Menge Blödsinn vom Hals hält. -Mit einem Rechner, den es noch nicht mal gibt... > Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen. Gib Deinem postfix eine zweite IP und mache in der master.cf einen smtpd auf, der ein -o smtpd_recipient_restrictions=defer hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar keinen Dienst und offenbart auch nicht Dritten sensible Kommunikationsdaten. Peer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From sebastian at debianfan.de Sun May 14 10:16:07 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 14 May 2017 10:16:07 +0200 Subject: AW: Kostenlose Anti Spam MX In-Reply-To: <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> Message-ID: <4A4CF4DA-79FC-4B72-BAD1-2EA4CC261114@debianfan.de> Ich vermute ja mal dass ein Spammer durchaus auf solche IP-Adressen filtert ;-) > Am 14.05.2017 um 09:44 schrieb Daniel : > > Wäre sonst nen MX-50 denkbar mit 127.0.0.1, dass Spammer sich ggf. selbst zumüllen oder deren Recourcen verbraucht werden? > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein > Gesendet: Sonntag, 14. Mai 2017 09:36 > An: Diskussionen und Support rund um Postfix > Betreff: Re: Kostenlose Anti Spam MX > > Am 13.05.2017 um 23:45 schrieb Daniel: > > Hi. > >> Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die > gezielt >> sich an MX mit niedrigster Prio wendet. > > Finde ich gut, unterrichten wir in unseren Kursen. Allerdings kann man > noch einen Schritt weitergehen und gleich einen DNS-MX-Record nehmen der > auf eine IP zeigt, dieGAR NICHT antwortet, idealerweise in der FW auf > DROP gesetzt ist und in einen Timeout liefert. > > Schau Dir mal die MX-Records von mailbox.org an... > > Ich hatte das mal getrackt wieviele IPs NICHT vom MX-50 auf die höheren > MXe hochrutschen. Zahlen habe ich leider vergessen, aber es war deutlich > sichtbar, daß man sich damit eine Menge Blödsinn vom Hals hält. -Mit > einem Rechner, den es noch nicht mal gibt... > > >> Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen. > > Gib Deinem postfix eine zweite IP und mache in der master.cf einen smtpd > auf, der ein > > -o smtpd_recipient_restrictions=defer > > hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar > keinen Dienst und offenbart auch nicht Dritten sensible Kommunikationsdaten. > > Peer > Böse Adressen für böse Menschen : postfixbuch at cdubitterfeld.de postfixbuch at cdu-wolfen.de postfixbuch at bauer-bier.de From daniel at ist-immer-online.de Sun May 14 10:36:48 2017 From: daniel at ist-immer-online.de (Daniel) Date: Sun, 14 May 2017 10:36:48 +0200 Subject: AW: AW: Kostenlose Anti Spam MX In-Reply-To: <4A4CF4DA-79FC-4B72-BAD1-2EA4CC261114@debianfan.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> <4A4CF4DA-79FC-4B72-BAD1-2EA4CC261114@debianfan.de> Message-ID: <001b01d2cc8d$3a75f630$af61e290$@ist-immer-online.de> Hmm, meinst lieber auf Haupt MX von NSA oder so? xD Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de Gesendet: Sonntag, 14. Mai 2017 10:16 An: Diskussionen und Support rund um Postfix Betreff: Re: AW: Kostenlose Anti Spam MX Ich vermute ja mal dass ein Spammer durchaus auf solche IP-Adressen filtert ;-) > Am 14.05.2017 um 09:44 schrieb Daniel : > > Wäre sonst nen MX-50 denkbar mit 127.0.0.1, dass Spammer sich ggf. selbst zumüllen oder deren Recourcen verbraucht werden? > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer Heinlein > Gesendet: Sonntag, 14. Mai 2017 09:36 > An: Diskussionen und Support rund um Postfix > Betreff: Re: Kostenlose Anti Spam MX > > Am 13.05.2017 um 23:45 schrieb Daniel: > > Hi. > >> Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die > gezielt >> sich an MX mit niedrigster Prio wendet. > > Finde ich gut, unterrichten wir in unseren Kursen. Allerdings kann man > noch einen Schritt weitergehen und gleich einen DNS-MX-Record nehmen der > auf eine IP zeigt, dieGAR NICHT antwortet, idealerweise in der FW auf > DROP gesetzt ist und in einen Timeout liefert. > > Schau Dir mal die MX-Records von mailbox.org an... > > Ich hatte das mal getrackt wieviele IPs NICHT vom MX-50 auf die höheren > MXe hochrutschen. Zahlen habe ich leider vergessen, aber es war deutlich > sichtbar, daß man sich damit eine Menge Blödsinn vom Hals hält. -Mit > einem Rechner, den es noch nicht mal gibt... > > >> Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen. > > Gib Deinem postfix eine zweite IP und mache in der master.cf einen smtpd > auf, der ein > > -o smtpd_recipient_restrictions=defer > > hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar > keinen Dienst und offenbart auch nicht Dritten sensible Kommunikationsdaten. > > Peer > Böse Adressen für böse Menschen : postfixbuch at cdubitterfeld.de postfixbuch at cdu-wolfen.de postfixbuch at bauer-bier.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From p.heinlein at heinlein-support.de Sun May 14 10:38:54 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 14 May 2017 10:38:54 +0200 Subject: Kostenlose Anti Spam MX In-Reply-To: <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> <000e01d2cc85$f595d640$e0c182c0$@ist-immer-online.de> Message-ID: Am 14.05.2017 um 09:44 schrieb Daniel: > Wäre sonst nen MX-50 denkbar mit 127.0.0.1, dass Spammer sich ggf. selbst zumüllen oder deren Recourcen verbraucht werden? Damit haust Du Deine eigene Reputation der von Dir versandten E-Mails defintiv in die Tonne. Das gibt mächtig negativ-Scoring für DEINE Mails wegen "Bogus MX". Peer From max.grobecker at ml.grobecker.info Sun May 14 20:56:57 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 14 May 2017 20:56:57 +0200 Subject: =?UTF-8?Q?Re:_starttls=2c_woher_wei=c3=9f_ich=2c_ob_verschl=c3=bcss?= =?UTF-8?Q?elt_wird=3f?= In-Reply-To: References: <17283965eaa74f7daef7985fd74e0c91@dfkdw.org> Message-ID: Hallo, dennoch die Empfehlung dazu, vom MUA aus *immer* explizit über den Submission-Port einzuliefern. Den kannst du serverseitig zwingen STARTTLS vorauszusetzen und musst dir keine Gedanken darüber machen, was der Client so macht. Denn entweder verschlüsselt der Client und die Verbindung funktioniert, oder der Client verschlüsselt nicht und kann nicht mit dem Server reden. Außerdem läufst du damit weniger Gefahr in den Firewalls irgendwelcher Mobilfunkanbieter hängen zu bleiben... Ich bin in der Hinsicht ja zudem ein großer Freund von SMTPS (Port 465) und IMAPS (Port 993). Das ganze STARTTLS-Geraffel halte ich nämlich für hochgradig fehleranfällig, da erst eine Klartext-Verbindung aufgebaut wird in der der Server anbietet, TLS zu nutzen. Ich als Angreifer würde also als allererstes die Klartext-Verbindung unbemerkt manipulieren und gegenüber dem Client das "STARTTLS" raufiltern - so dass dieser denkt, der Server könnte das garnicht und eine unverschlüsselte Verbindung aufbaut. Das ist übrigens kein ersponnenes Szenario, das gibt es in freier Wildbahn tatsächlich: -> https://www.heise.de/security/meldung/Eingriff-in-E-Mail-Verschluesselung-durch-Mobilfunknetz-von-O2-206233.html Natürlich sollte der Client gezwungen werden können immer verschlüsseln zu wollen und nötigenfalls die Verbindung abzubrechen, aber bei der Vielzahl an Clients ist es schlicht zu unübersichtlich dies auch für möglicherweise unbedarfte Nutzer sicherzustellen. Deshalb bin ich ein Freund der "S"-Protokolle - also SMTPS und IMAPS. Die nutzen einen eigenen Port, bei dem sofort eine verschüsselte Verbindung ausgehandelt wird ("implizite Verschlüsselung") und es sowohl für den Server als auch den Client nur die Möglichkeit gibt, über eine TLS-Verbindung miteinander zu sprechen - Klartext-Daten werden hierüber zu keinem Zeitpunkt ausgetauscht und es ist viel aufwendiger in eine solche Verbindung hineinzugrätschen (zumindest solange, wie der Angreifer keine Zertifikatswarnungen provozieren will). Der Vollständigkeit halber sei erwähnt, dass Port 465 irgendwie unklar vergeben ist. Offiziell ist er seit 1998 kein Standardport mehr, weil man der Meinung war dass STARTTLS ausreicht. Aber letztlich ist es auch egal, welchen Port du dafür nutzt ;-) Viele Grüße aus dem Tal Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From wn at neessen.net Sun May 14 21:33:12 2017 From: wn at neessen.net (Winfried Neessen) Date: Sun, 14 May 2017 21:33:12 +0200 Subject: =?utf-8?Q?Re=3A_starttls=2C_woher_wei=C3=9F_ich=2C_ob_verschl?= =?utf-8?Q?=C3=BCsselt_wird=3F?= In-Reply-To: References: <17283965eaa74f7daef7985fd74e0c91@dfkdw.org>

Message-ID: Hi, Am 14.05.2017 um 20:56 schrieb Max Grobecker : > dennoch die Empfehlung dazu, vom MUA aus *immer* explizit über den Submission-Port einzuliefern. > Den kannst du serverseitig zwingen STARTTLS vorauszusetzen und musst dir keine Gedanken darüber machen, was der Client so macht. Das kann ich genauso gut forcieren, indem ich SMTP AUTH nur via sicheren Verbindungen zulasse. Kein TLS, kein Auth, kein Versand. > Natürlich sollte der Client gezwungen werden können immer verschlüsseln zu wollen und nötigenfalls die Verbindung abzubrechen, > aber bei der Vielzahl an Clients ist es schlicht zu unübersichtlich dies auch für möglicherweise unbedarfte Nutzer sicherzustellen. > Wenn der Benutzer nicht faehig ist, STARTTLS richtig zu konfigurieren, welches in den meisten Clients der Standard fuer sichere Verbindungen ist, dann ist er genauso nicht faehig, den Client so zu konfigurieren, dass er die "Secure"-Ports eingestellt bekommt. Ich finde man sollte die Benutzer nicht immer per se entmuendigen. Unsere User bekommen eine klare Anleitung, was Sie in ihrem Mailprogramm einzustellen haben - und zwar mit den wichtigen Stichworten wie: "STARTTLS (nicht SSL) einstellen", usw - und bisher gab es dabei keine Probleme. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From max.grobecker at ml.grobecker.info Sun May 14 22:05:11 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 14 May 2017 22:05:11 +0200 Subject: =?UTF-8?Q?Re:_starttls=2c_woher_wei=c3=9f_ich=2c_ob_verschl=c3=bcss?= =?UTF-8?Q?elt_wird=3f?= In-Reply-To: References: <17283965eaa74f7daef7985fd74e0c91@dfkdw.org>

Message-ID: Olá! Am 14.05.2017 um 21:33 schrieb Winfried Neessen: >> dennoch die Empfehlung dazu, vom MUA aus *immer* explizit über den Submission-Port einzuliefern. >> [...] > > Das kann ich genauso gut forcieren, indem ich SMTP AUTH nur via sicheren Verbindungen zulasse. Kein TLS, kein Auth, kein Versand. Das streite ich ja garnicht ab. Es macht aber auch meine Aussage nicht unrichtig, dass für genau den Zweck der Submission-Port erfunden wurde ;-) >> Natürlich sollte der Client gezwungen werden können immer verschlüsseln zu wollen und nötigenfalls die Verbindung abzubrechen, >> aber bei der Vielzahl an Clients ist es schlicht zu unübersichtlich dies auch für möglicherweise unbedarfte Nutzer sicherzustellen. >> > Wenn der Benutzer nicht faehig ist, STARTTLS richtig zu konfigurieren, welches in den meisten Clients der Standard fuer sichere > Verbindungen ist, dann ist er genauso nicht faehig, den Client so zu konfigurieren, dass er die "Secure"-Ports eingestellt bekommt. > > [...] Das "entmündigen" habe ich auch nicht vor. Für mich persönlich ist es aber ein besseres Gefühl zu wissen, dass es serverseitig sichergestellt ist, dass zu keinem Zeitpunkt ein Bug im Client oder ein übersehenes Häkchen dazu führen könnten dass ich versehentlich mein Kennwort oder E-Mails unverschlüsselt übertrage. Und das kann eben nur eine implizite TLS-Verbindung über SMTPS oder IMAPS. Bei IMAP bspw. habe ich das Problem, dass der Client auch ohne STARTTLS sein Kennwort unverschlüsselt übermitteln kann. Selbst wenn der Server es daraufhin ablehnt, ist das Kind schon im Brunnen. Vielleicht bin ich da zu sehr paranoider Netzwerker, aber STARTTLS hat mich bisher bei keinem Protokoll wo es eingebaut wurde begeistern können. Ich meine: Bei HTTP/HTTPS, SIP/SIPS u.s.w. halten wir die strikte Trennung ja genauso, wieso nicht bei allen anderen Protokollen auch? Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 819 bytes Beschreibung: OpenPGP digital signature URL : From thomas.schwenski at xanismail.de Mon May 15 00:21:07 2017 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Mon, 15 May 2017 00:21:07 +0200 Subject: Kostenlose Anti Spam MX In-Reply-To: <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> Message-ID: <0541035a-a7e7-20d3-2f03-f58312c7fb15@xanismail.de> Hallo Liste, hallo Peer, Danke allen Beteiligten dieses Threads nochmal den Anstoß gegeben zu haben, das mal endlich umzusetzen. Am 14.05.2017 um 09:36 schrieb Peer Heinlein: > Gib Deinem postfix eine zweite IP und mache in der master.cf einen > smtpd auf, der ein > > -o smtpd_recipient_restrictions=defer > > hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar > keinen Dienst und offenbart auch nicht Dritten sensible > Kommunikationsdaten. Sofern man keine zweite IP aber zwei unterschiedliche Mailserver (mit unterschiedlichen Empfängerkreisen) hat, könnte man das doch wechselseitig einrichten und - basierend auf den Empfängerdomains des jeweils anderen Mailservers - deferren. Oder übersehe ich da gerade was? Thomas From max at freecards.de Mon May 15 09:21:32 2017 From: max at freecards.de (Markus Heinze) Date: Mon, 15 May 2017 09:21:32 +0200 Subject: Postfix TLS Message-ID: Moin moin, ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich für meine private Domain einen vServer aufgesetzt mit letsencrypt Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot mögen das Zertifikat nicht. Das Zertifikat enthält alternative Einträge, sprich es ist für .tld, www..tld und mail..tld ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich folgende Meldungen im Log --> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42, session= May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate:s3_pkt.c:1493:SSL alert number 42: May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after STARTTLS from unknown[1.2.3.4] <-- Starte ich lokal auf dem Server den openssl s_client ist alles gut --> subject=/CN=.tld issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 --- No client certificate CA names sent Client Certificate Types: RSA sign, DSA sign, ECDSA sign Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1 Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1 Peer signing digest: SHA512 Server Temp Key: ECDH, P-256, 256 bits --- SSL handshake has read 4009 bytes and written 466 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: ED5C6CC0A53315F7224724418016A29FE73F378E327D78DFB53E99808ED334CF Session-ID-ctx: Master-Key: 6B4256DACDAE64EE60C3FE95024DE181734EB32F2C7C0EC009A1B82998082446FE7CF65D91FCE62BD19AEE596C097FE6 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 7200 (seconds) TLS session ticket: 0000 - 94 8c 41 d4 ca 0a c7 5f-79 89 87 8b 25 4a 46 71 ..A...._y...%JFq 0010 - 75 c2 98 86 5b 63 a0 4a-08 c2 e7 72 4d ad c4 31 u...[c.J...rM..1 0020 - e6 f6 fd 31 42 01 96 12-4a 92 f8 d5 63 73 38 c5 ...1B...J...cs8. 0030 - d3 23 d6 1e 62 e1 eb 8c-53 6c ad 3c 04 b4 16 c1 .#..b...Sl.<.... 0040 - c5 f5 1d 00 ed e0 81 1f-ee 5b c4 a7 89 28 61 60 .........[...(a` 0050 - 9c ab 8a cd 3e 92 86 d5-3e ae 9f 9c ae 76 13 31 ....>...>....v.1 0060 - fb ff ca 8f 97 fb 33 9b-5c 31 0f e8 82 83 f5 1e ......3.\1...... 0070 - b8 d9 7e 9c 36 79 fc 65-ae 62 5a d6 14 ed 60 52 ..~.6y.e.bZ...`R 0080 - a0 8d 91 54 2d 9f 61 c4-90 41 15 fd 11 57 2e b5 ...T-.a..A...W.. 0090 - 6a e8 0e 2e 22 71 1f bc-86 ff 58 3e b8 cc 1d ee j..."q....X>.... Start Time: 1494832678 Timeout : 300 (sec) Verify return code: 0 (ok) --- 250 SMTPUTF8 <-- Liegt es daran das mail..tld als alternative Name im Cert ist und nicht als CN? Vllt. ist schon mal jemand darüber gestolpert, wäre für jedwede Hinweise dankbar. mfg M.Heinze From daniel at ist-immer-online.de Mon May 15 09:35:09 2017 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 15 May 2017 09:35:09 +0200 Subject: AW: Postfix TLS In-Reply-To: References: Message-ID: <005e01d2cd4d$c7ba7ff0$572f7fd0$@ist-immer-online.de> Nutzt dovecot denn auch dieses Cert und nicht nen anderes? Verwende sonst gern https://de.ssl-tools.net/mailservers und https://www.liveconfig.com/de/sslcheck zum Testen von Cert, DANE und ggf. Erreichbarkeit im Einzelfall. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From max at freecards.de Mon May 15 10:05:47 2017 From: max at freecards.de (Markus Heinze) Date: Mon, 15 May 2017 10:05:47 +0200 Subject: AW: Postfix TLS In-Reply-To: <005e01d2cd4d$c7ba7ff0$572f7fd0$@ist-immer-online.de> References: <005e01d2cd4d$c7ba7ff0$572f7fd0$@ist-immer-online.de> Message-ID: <12f653165d8ff4840cf0d7c023626f18@freecards.de> Moin moin, Ja für www,smtp,imap,pop gilt dies Zertifikat und laut liveconfig ist auch alles gut --> <<< 220 mail..tld ESMTP >>> EHLO sslcheck.liveconfig.com <<< 250-mail..tld <<< 250-PIPELINING <<< 250-SIZE 52428800 <<< 250-ETRN <<< 250-STARTTLS <<< 250-AUTH PLAIN <<< 250-AUTH=PLAIN <<< 250-ENHANCEDSTATUSCODES <<< 250-8BITMIME <<< 250-DSN <<< 250 SMTPUTF8 >>> STARTTLS <<< 220 2.0.0 Ready to start TLS <<< 220 mail..tld ESMTP >>> EHLO sslcheck.liveconfig.com <<< 250-mail..tld <<< 250-PIPELINING <<< 250-SIZE 52428800 <<< 250-ETRN <<< 250-STARTTLS <<< 250-AUTH PLAIN <<< 250-AUTH=PLAIN <<< 250-ENHANCEDSTATUSCODES <<< 250-8BITMIME <<< 250-DSN <<< 250 SMTPUTF8 >>> STARTTLS <<< 220 2.0.0 Ready to start TLS <<< +OK Welcome to ....! >>> CAPA <<< +OK <<< CAPA <<< TOP <<< UIDL <<< RESP-CODES <<< PIPELINING <<< AUTH-RESP-CODE <<< STLS <<< USER <<< SASL PLAIN <<< . >>> STLS <<< +OK Begin TLS negotiation now. <<< +OK Welcome to ....! >>> CAPA <<< +OK <<< CAPA <<< TOP <<< UIDL <<< RESP-CODES <<< PIPELINING <<< AUTH-RESP-CODE <<< STLS <<< USER <<< SASL PLAIN <<< . >>> STLS <<< +OK Begin TLS negotiation now. <<< * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Welcome ....! >>> a001 CAPABILITY <<< * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN <<< a001 OK Pre-login capabilities listed, post-login capabilities have more. >>> a002 STARTTLS <<< a002 OK Begin TLS negotiation now. <<< * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Welcome to ....! >>> a001 CAPABILITY <<< * CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN <<< a001 OK Pre-login capabilities listed, post-login capabilities have more. >>> a002 STARTTLS <<< a002 OK Begin TLS negotiation now. Protocol: TLSv1.2 OCSP Stapling: YES OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 Produced At: May 12 13:05:00 2017 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: 7EE66AE7729AB3FCF8A220646C16A12D6071085D Issuer Key Hash: A84A6A63047DDDBAE6D139B7A64565EFF3A8ECA1 Serial Number: 03AD311E209CBA2942BFD0A549D867C26C20 Cert Status: good This Update: May 12 13:00:00 2017 GMT Next Update: May 19 13:00:00 2017 GMT Signature Algorithm: sha256WithRSAEncryption 51:78:2a:1f:64:38:8f:51:39:2e:d4:86:96:76:b6:08:62:ea: 9f:df:7e:08:94:a2:34:9b:66:02:b8:4a:aa:de:1e:3b:43:78: b3:09:d0:2f:b6:37:39:1e:a4:22:05:ee:68:8d:37:47:ad:03: c9:40:ab:26:24:8d:63:59:b1:15:e9:76:31:23:c7:b0:82:28: 6a:95:eb:e3:81:4b:39:db:f8:8c:14:4a:cb:58:0a:68:d1:e3: f1:8e:cd:d9:c4:6d:13:fa:2b:dd:c2:1f:0c:a5:08:e7:8f:14: 68:c0:a7:d0:d8:ec:65:d4:fd:6d:bb:72:e0:7a:51:78:da:3d: e0:28:a5:84:62:c4:c2:84:e4:11:1d:df:98:c0:22:02:ff:8b: 55:c9:0c:77:7c:c7:1c:e2:a8:84:94:a1:07:1b:6e:9f:58:70: bd:87:45:2a:06:7c:40:2d:db:53:2b:bd:59:f9:4e:00:31:a1: 68:7c:5f:11:1b:74:35:f0:51:64:a0:eb:59:7d:f2:c6:ab:d7: c1:72:84:f3:fe:57:fb:a3:78:1f:85:bd:5a:28:c6:3d:87:ef: 61:0b:fe:c8:47:4e:cb:bc:3b:31:47:43:13:de:0d:ef:43:4b: fe:27:81:0e:7f:9b:2c:19:ec:89:ce:77:2b:bf:5e:f3:ed:69: b3:42:87:cb DHE temporary key type: DH (4096 bits) DH parameters: 4096 bits DH parameters (MD5): dafe80bed54a130961a7dccd3fdb309a <-- Mit folgenden Einstellungen im Thunderbird funktioniert es security.OCSP.GET.enabled: true security.OCSP.enabled: 1 security.OCSP.require: true security.ssl.enable_ocsp_must_staple: false security.ssl.enable_ocsp_stapling: true aber so kompliziert kann es doch nicht sein oder? das muss doch auch out of the box gehen lg M.Heinze Am 2017-05-15 9:35, schrieb Daniel: > Nutzt dovecot denn auch dieses Cert und nicht nen anderes? > > Verwende sonst gern https://de.ssl-tools.net/mailservers und > https://www.liveconfig.com/de/sslcheck zum Testen von Cert, DANE und > ggf. Erreichbarkeit im Einzelfall. > > Gruß Daniel From juri at koschikode.com Mon May 15 10:34:30 2017 From: juri at koschikode.com (Juri Haberland) Date: Mon, 15 May 2017 10:34:30 +0200 Subject: Postfix TLS In-Reply-To: References: Message-ID: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> On 2017-05-15 09:21, Markus Heinze wrote: > Moin moin, > > ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich > für meine private Domain einen vServer aufgesetzt mit letsencrypt > Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot > mögen das Zertifikat nicht. > Das Zertifikat enthält alternative Einträge, sprich es ist für > .tld, www..tld und mail..tld > ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich > folgende Meldungen im Log > > --> > > May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no > auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: > SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 > alert bad certificate: SSL alert number 42, session= > > May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library > problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad > certificate:s3_pkt.c:1493:SSL alert number 42: > May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after > STARTTLS from unknown[1.2.3.4] Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine Rückmeldung des Clients (also Thunderbird) ist, der aus welchen Gründen auch immmer, nicht glücklich mit dem Zertifikat ist. Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen! Grüße, Juri From max at freecards.de Mon May 15 10:48:08 2017 From: max at freecards.de (Markus Heinze) Date: Mon, 15 May 2017 10:48:08 +0200 Subject: Postfix TLS In-Reply-To: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> Message-ID: <839e201add5d178be7974a14dd129f7d@freecards.de> Am 2017-05-15 10:34, schrieb Juri Haberland: > On 2017-05-15 09:21, Markus Heinze wrote: >> Moin moin, >> >> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich >> für meine private Domain einen vServer aufgesetzt mit letsencrypt >> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot >> mögen das Zertifikat nicht. >> Das Zertifikat enthält alternative Einträge, sprich es ist für >> .tld, www..tld und mail..tld >> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich >> folgende Meldungen im Log >> >> --> >> >> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no >> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS: >> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 >> alert bad certificate: SSL alert number 42, session= >> >> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library >> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad >> certificate:s3_pkt.c:1493:SSL alert number 42: >> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after >> STARTTLS from unknown[1.2.3.4] > > Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine Ich habe mehr als kurz gegoogelt. > Rückmeldung des Clients (also Thunderbird) ist, der aus welchen Ja aber warum mag er das nicht, möglicherweise ist der Server nicht korrekt konfiguriert. > Gründen auch immmer, nicht glücklich mit dem Zertifikat ist. > > Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die > benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem > Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen! Ja das ist klar, ist auch so eingestellt. > > Grüße, > Juri lg M.Heinze From juri at koschikode.com Mon May 15 11:19:08 2017 From: juri at koschikode.com (Juri Haberland) Date: Mon, 15 May 2017 11:19:08 +0200 Subject: Postfix TLS In-Reply-To: <839e201add5d178be7974a14dd129f7d@freecards.de> References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> <839e201add5d178be7974a14dd129f7d@freecards.de> Message-ID: On 2017-05-15 10:48, Markus Heinze wrote: > Am 2017-05-15 10:34, schrieb Juri Haberland: >> On 2017-05-15 09:21, Markus Heinze wrote: >> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen > > Ja aber warum mag er das nicht, möglicherweise ist der Server nicht > korrekt konfiguriert. Dann schick doch mal dein postconf -n und dovconf -n... >> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist. >> >> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die >> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem >> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen! > > Ja das ist klar, ist auch so eingestellt. Vielleicht forderst du client-seitige Zertifikate? Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in deiner main.cf stehen). Gruß, Juri From max at freecards.de Mon May 15 11:30:22 2017 From: max at freecards.de (Markus Heinze) Date: Mon, 15 May 2017 11:30:22 +0200 Subject: Postfix TLS In-Reply-To: References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> <839e201add5d178be7974a14dd129f7d@freecards.de> Message-ID: <974b41f38e255962656a9ca8e6dc4a8d@freecards.de> Am 2017-05-15 11:19, schrieb Juri Haberland: > On 2017-05-15 10:48, Markus Heinze wrote: >> Am 2017-05-15 10:34, schrieb Juri Haberland: >>> On 2017-05-15 09:21, Markus Heinze wrote: > >>> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen >> >> Ja aber warum mag er das nicht, möglicherweise ist der Server nicht >> korrekt konfiguriert. ^^^^ > > Dann schick doch mal dein postconf -n und dovconf -n... > >>> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist. >>> >>> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, >>> die >>> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem >>> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem >>> benutzen! >> >> Ja das ist klar, ist auch so eingestellt. > > Vielleicht forderst du client-seitige Zertifikate? > Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in > deiner main.cf stehen). !!! Genau das war es *grml* das hat man nun wenn man Konfigs recycled und pasted, hätte man sich die Mühe gemacht und von Hand konfiguriert dann hätte man was vom Sonntag gehabt > > Gruß, > Juri Vielen Dank für diesen Tipp From daniel at ist-immer-online.de Mon May 15 11:33:45 2017 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 15 May 2017 11:33:45 +0200 Subject: AW: Postfix TLS In-Reply-To: References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> <839e201add5d178be7974a14dd129f7d@freecards.de> Message-ID: <000c01d2cd5e$59aac770$0d005650$@ist-immer-online.de> Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt. Problem ist wohl eher dovecot nicht postfix, da ja pop3 genannt wurde in ersten Mail. Evt. hilft ja auch https://forum.ubuntuusers.de/topic/dovecot-thunderbird-und-ssl-unknown-ca-fehler/ weiter. Gruß Daniel -----Ursprüngliche Nachricht----- Vielleicht forderst du client-seitige Zertifikate? Postfix-Parameter smtpd_tls_ask_ccert (sollte auf off sein/ nicht in deiner main.cf stehen). Gruß, Juri -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From wn at neessen.net Mon May 15 11:37:51 2017 From: wn at neessen.net (Winfried Neessen) Date: Mon, 15 May 2017 11:37:51 +0200 Subject: Postfix TLS In-Reply-To: <000c01d2cd5e$59aac770$0d005650$@ist-immer-online.de> References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> <839e201add5d178be7974a14dd129f7d@freecards.de> <000c01d2cd5e$59aac770$0d005650$@ist-immer-online.de> Message-ID: Am 15.05.2017 um 11:33 schrieb Daniel >: > Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt. > Und warum aktivierst Du es? Nutzt Du Client-Zertifikate zur Authentifizerung z. B. fuer Mailrelaying? Wenn nicht, macht es keinen Sinn so ein Feature zu aktivieren. http://www.postfix.org/postconf.5.html#smtpd_tls_ask_ccert "Some clients such as Netscape will either complain if no certificate is available (for the list of CAs in $smtpd_tls_CAfile ) or will offer multiple client certificates to choose from. This may be annoying, so this option is "off" by default." -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From daniel at ist-immer-online.de Mon May 15 11:54:21 2017 From: daniel at ist-immer-online.de (Daniel) Date: Mon, 15 May 2017 11:54:21 +0200 Subject: AW: Postfix TLS In-Reply-To: References: <3b8d264d72adc5b5b63821eca3144dbc@koschikode.com> <839e201add5d178be7974a14dd129f7d@freecards.de> <000c01d2cd5e$59aac770$0d005650$@ist-immer-online.de> Message-ID: <002101d2cd61$3a3f8990$aebe9cb0$@ist-immer-online.de> Ne nutze ich nicht, so habe ich Teils wenn manche Server eins senden es auch im Log stehen und als verifiziert stehe z.B. von /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2 Hatte bisher weder mit Thunderbird, iOS Mail, Google Mail oder Outlook Probleme geschweige Fehlermeldungen, Warnungen ect. Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Montag, 15. Mai 2017 11:38 An: Diskussionen und Support rund um Postfix Betreff: Re: Postfix TLS Am 15.05.2017 um 11:33 schrieb Daniel : Ich habe mit smtpd_tls_ask_ccert = yes keine Probleme. Evt. ist kein smtpd_tls_CApath = /etc/ssl/certs/ oder so gesetzt. Und warum aktivierst Du es? Nutzt Du Client-Zertifikate zur Authentifizerung z. B. fuer Mailrelaying? Wenn nicht, macht es keinen Sinn so ein Feature zu aktivieren. http://www.postfix.org/postconf.5.html#smtpd_tls_ask_ccert "Some clients such as Netscape will either complain if no certificate is available (for the list of CAs in $smtpd_tls_CAfile) or will offer multiple client certificates to choose from. This may be annoying, so this option is "off" by default." -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From postfixbuch at cboltz.de Tue May 16 01:29:46 2017 From: postfixbuch at cboltz.de (Christian Boltz) Date: Tue, 16 May 2017 01:29:46 +0200 Subject: Kostenlose Anti Spam MX In-Reply-To: <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de> <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de> Message-ID: <11704276.0vltyV1STZ@tux.boltz.de.vu> Hallo Peer, hallo zusammen, Am Sonntag, 14. Mai 2017, 09:36:28 CEST schrieb Peer Heinlein: > Am 13.05.2017 um 23:45 schrieb Daniel: > > Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX > > welcher nur " 421 temporary error" ausliefert, für Spammer die > > gezielt sich an MX mit niedrigster Prio wendet. > > Finde ich gut, unterrichten wir in unseren Kursen. Genau, ist eine erprobte Methode - resourcenschonender als Greylisting und genau so wirkungsvoll. Rein interessehalber: Ich mache das schon seit 2008 [1] - seit wann unterrichtet Ihr das? ;-) > > Also mal von abgesehen, dass man bei dem Dienst in den USA ist und > > nicht wirklich weiß wie die mit Mails umgehen. > Gib Deinem postfix eine zweite IP und mache in der master.cf einen > smtpd auf, der ein > > -o smtpd_recipient_restrictions=defer > > hat und schwupps ist der Dienst selber fertig. Wenn man sich schon die Mühe macht, kann man auch die passende Meldung zurückliefern ;-) https://blog.cboltz.de/archives/45-Faulpelz-MX.html Gruß Christian Boltz [1] vielleicht auch schon etwas länger, aber der Timestamp in meinem Blog ist verlässlicher als der Timestamp der master.cf ;-) -- > Den Anwender als Betatester zu missbrauchen ist doch schon immer > die Sache der Jungs aus Redmond gewesen... sorry, der Hinweis auf die Redmond-Kunden hinkt etwas. Schließlich bezahlen diese kräftig dafür, dass sie testen dürfen. [> Thomas Giese und Christian Meseberg in opensuse-de] From sebastian at debianfan.de Tue May 16 09:49:03 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 16 May 2017 09:49:03 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> Message-ID: <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> Milter & Postscreen gleichzeitig geht aber nicht - oder? > Am 08.09.2016 um 16:25 schrieb Hajo Locke : > > Hallo, > >> Am 08.09.2016 um 15:56 schrieb sebastian at debianfan.de: >> Hi, >> >> >> wie sieht Deine milter-Datei im /etc/default aus ? > Da wird der Socket angelegt, der in der master.cf verwendet wird, da ist nichts überraschendes drin. > OPTIONS="-u spamass-milter -r 6 -m -I -i 127.0.0.1 -- --socket=/var/spool/spamd/spamd.sock" > >> >> wie sieht Deine main.cf Datei bzgl milter aus? > keine Anpassung der main.cf >> >> gruß >> >> Sebastian >> >> >>> Am 08.09.2016 um 13:58 schrieb Hajo Locke: >>> Hallo, >>> >>>> Am 08.09.2016 um 13:35 schrieb sebastian at debianfan.de: >>>> Moin zusammen, >>>> >>>> mit Amavis ist das ja gut zu bauen - wenn ich aber kein Amavis einsetzen will sondern das ganze relativ schlank halten will - gibt es hier überhaupt eine Möglichkeit, Postfix mit Spamassassin so einzusetzen? >>> das geht auch, ich nutze dazu das paket spamass-milter und dann in der master.cf smtpd_milters >>> Spamassassin wird in den options mit einem socketpath gestartet. In der Configuration des milter nutzt man diesen socketpath. Der Milter stellt dann seinen eigenen socket zur Verfügung, der in der master.cf genutzt werden kann. z.B.: >>> >>> smtp inet n - n - 50 smtpd >>> -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock >>> -o milter_default_action=accept >>> >>> Funktioniert auch, amavisd-new wäre aber flexibler, wenn einzelne empfänger unterschiedliche spam/virus einstellungen haben wollen. >>> >>> Testen kannst du das ganze, indem du dir von extern den Gtube String sendest, bei dem Spamassassin immer anschlägt. >>> >>>> >>>> Ich würde den Müll schon gern vor meinen Postfächern ablehnen. >>>> >>>> gruß >>>> Sebastian >>>> >>> >>> Hajo >> >> > From p at sys4.de Tue May 16 09:53:34 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 16 May 2017 09:53:34 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> Message-ID: <20170516075334.2z6hpll6to2o53jf@sys4.de> * sebastian at debianfan.de : > Milter & Postscreen gleichzeitig geht aber nicht - oder? Das geht. Beide Technologien finden nacheinander in unterschiedlichen Filter-Phasen statt: connection filter: postscreen session filter: milter content filter: milter p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From lists at localguru.de Tue May 16 11:21:51 2017 From: lists at localguru.de (Marcus Schopen) Date: Tue, 16 May 2017 11:21:51 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> Message-ID: <1494926511.28152.3.camel@cosmo.binux.de> Am Donnerstag, den 08.09.2016, 13:58 +0200 schrieb Hajo Locke: > das geht auch, ich nutze dazu das paket spamass-milter und dann in der > master.cf smtpd_milters mimedefang als Milter wäre ggf. auch eine Möglichkeit. From Risse at citkomm.de Tue May 16 18:39:02 2017 From: Risse at citkomm.de (Risse Marc) Date: Tue, 16 May 2017 16:39:02 +0000 Subject: Kostenlose Anti Spam MX Message-ID: Hallo Peer, sind solche Tricks und Tipps wie die "toten MXer" in dem aktuellen Postfix-Buch zu finden? Habt ihr wieder Bücher auf der SLAC herum liegen? Bis nächste Woche... Marc Von Unterwegs gesendet Am 16.05.2017 01:30 schrieb Christian Boltz : Hallo Peer, hallo zusammen, Am Sonntag, 14. Mai 2017, 09:36:28 CEST schrieb Peer Heinlein: > Am 13.05.2017 um 23:45 schrieb Daniel: > > Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX > > welcher nur " 421 temporary error" ausliefert, für Spammer die > > gezielt sich an MX mit niedrigster Prio wendet. > > Finde ich gut, unterrichten wir in unseren Kursen. Genau, ist eine erprobte Methode - resourcenschonender als Greylisting und genau so wirkungsvoll. Rein interessehalber: Ich mache das schon seit 2008 [1] - seit wann unterrichtet Ihr das? ;-) > > Also mal von abgesehen, dass man bei dem Dienst in den USA ist und > > nicht wirklich weiß wie die mit Mails umgehen. > Gib Deinem postfix eine zweite IP und mache in der master.cf einen > smtpd auf, der ein > > -o smtpd_recipient_restrictions=defer > > hat und schwupps ist der Dienst selber fertig. Wenn man sich schon die Mühe macht, kann man auch die passende Meldung zurückliefern ;-) https://blog.cboltz.de/archives/45-Faulpelz-MX.html Gruß Christian Boltz [1] vielleicht auch schon etwas länger, aber der Timestamp in meinem Blog ist verlässlicher als der Timestamp der master.cf ;-) -- > Den Anwender als Betatester zu missbrauchen ist doch schon immer > die Sache der Jungs aus Redmond gewesen... sorry, der Hinweis auf die Redmond-Kunden hinkt etwas. Schließlic bezahlen diese kräftig dafür, dass sie testen dürfen. [> Thomas Giese und Christian Meseberg in opensuse-de] -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sebastian at debianfan.de Wed May 17 15:39:16 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 17 May 2017 15:39:16 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <20170516075334.2z6hpll6to2o53jf@sys4.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> <20170516075334.2z6hpll6to2o53jf@sys4.de> Message-ID: <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> Hallo, aktuell sieht die master.cf so aus: smtp inet n - n - 1 postscreen Soll ich dann smtp inet n - n - 50 smtpd -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock -o milter_default_action=accept das einfach dazuschreiben ? Es kann doch eigentlich nur eine "smtp"-Einstellung geben - oder liege ich hier falsch? gruß Sebastian Am 2017-05-16 09:53, schrieb Patrick Ben Koetter: > * sebastian at debianfan.de : >> Milter & Postscreen gleichzeitig geht aber nicht - oder? > > Das geht. Beide Technologien finden nacheinander in unterschiedlichen > Filter-Phasen statt: > > connection filter: > postscreen > session filter: > milter > content filter: > milter > > p at rick From p at sys4.de Wed May 17 15:58:16 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Wed, 17 May 2017 15:58:16 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> <20170516075334.2z6hpll6to2o53jf@sys4.de> <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> Message-ID: <20170517135816.amk6qnjpitnlnsco@sys4.de> * sebastian at debianfan.de : > Hallo, > > aktuell sieht die master.cf so aus: > > smtp inet n - n - 1 postscreen > > > Soll ich dann > > smtp inet n - n - 50 smtpd > -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock > -o milter_default_action=accept > > das einfach dazuschreiben ? > > Es kann doch eigentlich nur eine "smtp"-Einstellung geben - oder liege ich > hier falsch? Du hast recht und liegst mit der dargestellten Lösung falsch. ;) Der postscreen beginnt die eingehende SMTP-Serverkette (Service: smtp -an-> Command: postscreen) und dann gibt der master-Prozess von postscreen an den Service smtpd ab. Wenn Du das alles in der master.cf schreiben willst, sollte es so sein: # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - n - 1 postscreen smtpd pass - - n - 50 smtpd -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock -o milter_default_action=accept p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Wed May 17 16:10:28 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Wed, 17 May 2017 16:10:28 +0200 Subject: postfix - spamassassin before queue In-Reply-To: <20170517135816.amk6qnjpitnlnsco@sys4.de> References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> <20170516075334.2z6hpll6to2o53jf@sys4.de> <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> <20170517135816.amk6qnjpitnlnsco@sys4.de> Message-ID: Danke - funktioniert. Die Dokumentation zu "milter_default_action" ist etwas missverständlich - zumindest für mich. Ich vermute aber mal, dass beim "reject" alle mit "Spam"-Markierten Mails von Spamassassin rejected werden? Am 2017-05-17 15:58, schrieb Patrick Ben Koetter: > * sebastian at debianfan.de : >> Hallo, >> >> aktuell sieht die master.cf so aus: >> >> smtp inet n - n - 1 postscreen >> >> >> Soll ich dann >> >> smtp inet n - n - 50 smtpd >> -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock >> -o milter_default_action=accept >> >> das einfach dazuschreiben ? >> >> Es kann doch eigentlich nur eine "smtp"-Einstellung geben - oder liege >> ich >> hier falsch? > > Du hast recht und liegst mit der dargestellten Lösung falsch. ;) > > Der postscreen beginnt die eingehende SMTP-Serverkette (Service: smtp > -an-> > Command: postscreen) und dann gibt der master-Prozess von postscreen an > den > Service smtpd ab. > > Wenn Du das alles in der master.cf schreiben willst, sollte es so sein: > > # > ========================================================================== > # service type private unpriv chroot wakeup maxproc command + args > # (yes) (yes) (yes) (never) (100) > # > ========================================================================== > smtp inet n - n - 1 postscreen > smtpd pass - - n - 50 smtpd > -o smtpd_milters=unix:/var/spool/postfix/spamass/spamass.sock > -o milter_default_action=accept > > p at rick From sebastian at debianfan.de Thu May 18 08:38:10 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 18 May 2017 08:38:10 +0200 Subject: postfix - spamassassin before queue In-Reply-To: References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> <20170516075334.2z6hpll6to2o53jf@sys4.de> <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> <20170517135816.amk6qnjpitnlnsco@sys4.de> Message-ID: Die Vermutung war falsch. Ich hab das testweise auf reject gesetzt - Spammails werden als SPAM gekennzeichnet aber trotzem zugestellt. Es sollte aber eigentlich einen reject im smtp-Prozess vor der eigentlichen kompletten Annahme geben wenn Spamassassin sagt "SPAM", oder bin ich hier auf dem völlig falschen Weg ? Ich möchte den Schmutz ja gar nicht erst reinlassen. Am 2017-05-17 16:10, schrieb sebastian at debianfan.de: > Danke - funktioniert. > > Die Dokumentation zu "milter_default_action" ist etwas > missverständlich - zumindest für mich. > > Ich vermute aber mal, dass beim "reject" alle mit "Spam"-Markierten > Mails von Spamassassin rejected werden? > > From sebastian at debianfan.de Thu May 18 08:49:42 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 18 May 2017 08:49:42 +0200 Subject: postfix - spamassassin before queue In-Reply-To: References: <44c3653d-d152-cc7a-ead2-4a2b6977d3f0@debianfan.de> <3c4f674a-73e8-fab8-37ac-2998011d07c9@gmx.de> <40e1e1ef-a29f-f2df-268f-2b7887363023@debianfan.de> <9edae7e3-98bc-e416-0dbc-90a964d49984@gmx.de> <21AD7ABC-87BD-492E-AF27-D6FB4292517F@debianfan.de> <20170516075334.2z6hpll6to2o53jf@sys4.de> <6ad88837712863b1e1b06bc2fbb491a0@debianfan.de> <20170517135816.amk6qnjpitnlnsco@sys4.de> Message-ID: <546c46ee85baf49fe8544fa971dd076a@debianfan.de> ...und ich beantworte die Frage gleich selbst - in der spamass-milter Konfiguration war der Reject Wert auf 15 gesetzt - das hat also scheinbar nichts mit dem gesetzten Wert bei Spamassassin zu tun. Aber mich wundert, dass die Mail im Postfix-Log folgendes erzeugt: May 18 08:47:04 debian spamd[1123]: spamd: connection from localhost [::1]:60050 to port 783, fd 6 May 18 08:47:04 debian spamd[1123]: spamd: setuid to spamass-milter succeeded May 18 08:47:04 debian spamd[1123]: spamd: processing message <83d3069310dadb068 at debianfan.de> for spamass-milter:115 May 18 08:47:04 debian spamd[1123]: spamd: identified spam (1000.0/5.0) for spamass-milter:115 in 0.1 seconds, 1302 bytes. May 18 08:47:04 debian spamd[1123]: spamd: result: Y 1000 - GTUBE,UNPARSEABLE_RELAY scantime=0.1,size=1302,user=spamass-milter,uid=115,required_score=5.0,rhost=localhost,raddr=::1,rport=60050,mid=<83d3069310dadb068 at debianfan.de>,autolearn=disabled May 18 08:47:04 debian postfix/cleanup[1264]: 0CA10C0C1E: milter-reject: END-OF-MESSAGE from mf01.wk-serv.net[83.149.68.26]: 5.7.1 Blocked by SpamAssassin; from= to= proto=ESMTP helo= May 18 08:47:04 debian postfix/smtpd[1260]: disconnect from mf01.wk-serv.net[83.149.68.26] May 18 08:47:04 debian spamd[843]: prefork: child states: II Beim Absender kommt aber keine "rejected"-Mail an, d.h. das Teil "verschwindet irgendwo" im Orkus. Scheinbar steckt hier noch ein Fehler in meiner Konfiguration oder meiner Erwartungshaltung :-/ Am 2017-05-18 08:38, schrieb sebastian at debianfan.de: > Die Vermutung war falsch. > > Ich hab das testweise auf reject gesetzt - Spammails werden als SPAM > gekennzeichnet aber trotzem zugestellt. > > Es sollte aber eigentlich einen reject im smtp-Prozess vor der > eigentlichen kompletten Annahme geben wenn Spamassassin sagt "SPAM", > oder bin ich hier auf dem völlig falschen Weg ? > > Ich möchte den Schmutz ja gar nicht erst reinlassen. From pkoch at bgc-jena.mpg.de Fri May 19 14:29:57 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Fri, 19 May 2017 14:29:57 +0200 Subject: Off-topic Log Analyse Message-ID: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> Hallo zusammen, folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von anderen) gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich angemeldet haben. Bisher hatten wir (2 Vorfälle in ~10 Jahren) wenig Probleme, aber das muss/wird ja nicht unbedingt so bleiben. Kennt jemand Templates/Scripte oder sonstige Dinge, das man nicht alles neu erfinden muss ? -- Ciao, Peer p.s. @Peer: Viel Erfolg mit der SLAC 2017 .. ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Fri May 19 14:42:36 2017 From: wn at neessen.net (Winfried Neessen) Date: Fri, 19 May 2017 14:42:36 +0200 Subject: Off-topic Log Analyse In-Reply-To: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> References: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> Message-ID: <206841BC-5AB8-41A8-8F47-469DBDFA7870@neessen.net> Hi, Am 19.05.2017 um 14:29 schrieb Dr. Peer-Joachim Koch : > folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von anderen) > gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich angemeldet haben. > Bisher hatten wir (2 Vorfälle in ~10 Jahren) wenig Probleme, aber das muss/wird ja nicht unbedingt so bleiben. > Keine Ahnung was Du genau suchst, aber sowas laesst sich recht schnell mit Bordmitteln erstellen. Folgenden Einzeiler hab ich gerade kurz zusammengekloeppelt um Username/IP von eingeloggten Dovecot Usern zu bekommen: $ grep "^$(date '+%b %d')" /var/log/dovecot | grep 'Login: user=' | perl -n -le 'm/user=<([^>]+)>.+rip=([^,]+),/ && print "User: $1 / IP: $2"' | sort | uniq -c | sort -n Vielleicht kannste ja auf der Basis was bauen, was Dir weiterhilft. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From karol at babioch.de Fri May 19 14:39:16 2017 From: karol at babioch.de (Karol Babioch) Date: Fri, 19 May 2017 14:39:16 +0200 Subject: Off-topic Log Analyse In-Reply-To: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> References: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> Message-ID: Hallo, Am 19.05.2017 um 14:29 schrieb Dr. Peer-Joachim Koch: > folgende Frage - wir wollen die Logins von unserem SMTP-Server (und > auch von anderen) gezielt danach überprüfen, a) wie häufig und b) von > wo die Accounts sich angemeldet haben. Deine Anforderungen sind relativ unspezifisch. Was genau meinst du mit überprüfen? Grundsätzlich wird das im Log ja festgehalten, z.B.: > Nov 03 14:14:16 mail.xxx.de postfix/smtps/smtpd[20463]: C72BA3984F: > client=xxx.kabel-deutschland.de[xxx.xxx.xxx.xxx], sasl_method=PLAIN, > sasl_username=xxx at xxx.de Auch IMAP-Server, etc. lassen sich i.d.R. dazu bringen, diese Informationen auszuspucken. An der Stelle ist dann halt die Frage, was man mit der Information anstellen möchte. fail2ban [1] ist ein beliebtes und aktiv gepflegtes Framework, um Informationen dieser Art aus Log-Dateien zu extrahieren und basierend darauf Aktionen durchzuführen (z.B. Firewall-Regeln, automatisierte Abuse-Meldungen erstellen, etc.). Vielleicht reicht dir das ja schon, ansonsten müsstest du mal deine Ziele konkretisieren. Mit freundlichen Grüßen, Karol Babioch [1]: https://www.fail2ban.org -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From Ralf.Hildebrandt at charite.de Fri May 19 14:49:58 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 19 May 2017 14:49:58 +0200 Subject: Off-topic Log Analyse In-Reply-To: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> References: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> Message-ID: <20170519124957.fdiayil7is4ignct@charite.de> * Dr. Peer-Joachim Koch : > Hallo zusammen, > > folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von > anderen) > gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich > angemeldet haben. Häufigkeit ist ja einfach. Was heisst "von wo" (Geoip?)? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From juri at koschikode.com Fri May 19 18:23:24 2017 From: juri at koschikode.com (Juri Haberland) Date: Fri, 19 May 2017 18:23:24 +0200 Subject: Off-topic Log Analyse In-Reply-To: <20170519124957.fdiayil7is4ignct@charite.de> References: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> <20170519124957.fdiayil7is4ignct@charite.de> Message-ID: <2af0d5c8-0772-27c2-a376-d507a05902ec@koschikode.com> On 19.05.2017 14:49, Ralf Hildebrandt wrote: > * Dr. Peer-Joachim Koch : >> Hallo zusammen, >> >> folgende Frage - wir wollen die Logins von unserem SMTP-Server (und auch von >> anderen) >> gezielt danach überprüfen, a) wie häufig und b) von wo die Accounts sich >> angemeldet haben. > > Häufigkeit ist ja einfach. > Was heisst "von wo" (Geoip?)? Ich denke, es geht ihm um die gleiche Idee, die ich neulich hatte: Eine Heuristik bauen, mithilfe derer man erkennen kann, ob ein Account (vermutlich) gehackt wurde. Z.B.: Nutzer X loggt sich immer von Vodafone-Mobil-Adressen oder von Telekom-DSL-Adressen, ein - jetzt kommt plötzlich ein Login von einer chinesischen IP -> Alarm... Grüße, Juri From Ralf.Hildebrandt at charite.de Sat May 20 17:50:47 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 20 May 2017 17:50:47 +0200 Subject: Off-topic Log Analyse In-Reply-To: <2af0d5c8-0772-27c2-a376-d507a05902ec@koschikode.com> References: <8acca546-4a67-575a-2fdf-9ee0075ed6ee@bgc-jena.mpg.de> <20170519124957.fdiayil7is4ignct@charite.de> <2af0d5c8-0772-27c2-a376-d507a05902ec@koschikode.com> Message-ID: <20170520155038.neo6oe2er5g7db6k@charite.de> * Juri Haberland : > Ich denke, es geht ihm um die gleiche Idee, die ich neulich hatte: > > Eine Heuristik bauen, mithilfe derer man erkennen kann, ob ein Account > (vermutlich) gehackt wurde. > > Z.B.: > Nutzer X loggt sich immer von Vodafone-Mobil-Adressen oder von > Telekom-DSL-Adressen, ein - jetzt kommt plötzlich ein Login von einer > chinesischen IP -> Alarm... Ja, das hatte ich mal gebaut, vielleicht fliegt das noch irgendwo rum :) (anbei) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- #!/bin/sh fgrep sasl_username= $1 |grep -v charite.de |grep -v ecrc-berlin.com | awk -F"[][]" '{print $4}' | sort | uniq | xargs --replace /usr/local/scripts/resolve_country {} | grep -v Germany -------------- nächster Teil -------------- #!/bin/sh echo -n "$1 " && geoiplookup $1 From anmeyer at mailbox.org Sun May 21 22:53:05 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 21 May 2017 22:53:05 +0200 Subject: Frage zu Message delivery Message-ID: <20170521225305.0ada9bd1@workstation> Hallo! Finde gerade im logfile jede Menge postfix/smtpd[22266]: warning: Message delivery request rate limit exceeded: 95 from ip210.ip-147-135-167.eu[147.135.167.210] for service smtp Kann mir jemand sagen, an welcher Schraube ich drehen muss, um das Message delivery request rate limit einzustellen und was es genau besagt? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From admin at bbs1emd.de Mon May 22 09:25:24 2017 From: admin at bbs1emd.de (admin at bbs1emd.de) Date: Mon, 22 May 2017 09:25:24 +0200 Subject: PHP Mailer und STARTTLS Message-ID: <5b5d2748-800a-353d-94d1-544fe15547f8@bbs1emd.de> Hallo, ich habe STARTTLS mit einem privaten Zertifikat eingerichtet (Postfix 2.6.6 auf CentOS 6.8). Ein Partner möchte Mails mit Hilfe des PHP Mailers zustellen, scheitert aber am Zertifikat: ================schnipp================== postfix/smtpd[10560]: warning: XXX.XXX.XXX.XXX: hostname dingens.nochwas.de verification failed: Name or service not known postfix/smtpd[10560]: connect from unknown[XXX.XXX.XXX.XXX] milter-greylist: smfi_getsymval failed for {daemon_port}, using default smtp port postfix/smtpd[10560]: setting up TLS connection from unknown[XXX.XXX.XXX.XXX] postfix/smtpd[10560]: SSL_accept error from unknown[XXX.XXX.XXX.XXX]: 0 postfix/smtpd[10560]: warning: TLS library problem: 10560:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1275:SSL alert number 48: postfix/smtpd[10560]: lost connection after STARTTLS from unknown[XXX.XXX.XXX.XXX] postfix/smtpd[10560]: disconnect from unknown[XXX.XXX.XXX.XXX] ================schnapp================== Verstehe ich das richtig, dass der client das private Zertifikat nicht akzeptiert? Hat in dem Fall jemand einen Hinweis für mich, wonach ich bei der Suchmaschine meiner Wahl suchen könnte, um die richtigen Schritte zur Behebung einleiten zu können? Danke Malte From wn at neessen.net Mon May 22 09:28:26 2017 From: wn at neessen.net (Winfried Neessen) Date: Mon, 22 May 2017 09:28:26 +0200 Subject: PHP Mailer und STARTTLS In-Reply-To: <5b5d2748-800a-353d-94d1-544fe15547f8@bbs1emd.de> References: <5b5d2748-800a-353d-94d1-544fe15547f8@bbs1emd.de> Message-ID: <5C9F0AB5-A79B-47B4-8E5B-C753E751BAC7@neessen.net> Hi, Am 22.05.2017 um 09:25 schrieb admin at bbs1emd.de: > postfix/smtpd[10560]: warning: TLS library problem: 10560:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1275:SSL alert number 48: SSL Alert 48 heisst "unknown CA". Also ja. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From max at freecards.de Mon May 22 09:27:27 2017 From: max at freecards.de (max at freecards.de) Date: Mon, 22 May 2017 09:27:27 +0200 Subject: Frage zu Message delivery In-Reply-To: <20170521225305.0ada9bd1@workstation> References: <20170521225305.0ada9bd1@workstation> Message-ID: Moin moin, http://www.postfix.org/TUNING_README.html Am 2017-05-21 22:53, schrieb Andreas Meyer: > Hallo! > > Finde gerade im logfile jede Menge > postfix/smtpd[22266]: warning: Message delivery request rate limit > exceeded: 95 from ip210.ip-147-135-167.eu[147.135.167.210] for service > smtp > > Kann mir jemand sagen, an welcher Schraube ich drehen muss, um das > Message delivery request rate limit einzustellen und was es genau > besagt? http://www.postfix.org/TUNING_README.html unter "Tuning the number of simultaneous deliveries" ist es beschrieben. > > Grüße > > Andreas lg M.Heinze From max at freecards.de Mon May 22 09:38:08 2017 From: max at freecards.de (max at freecards.de) Date: Mon, 22 May 2017 09:38:08 +0200 Subject: PHP Mailer und STARTTLS In-Reply-To: <5b5d2748-800a-353d-94d1-544fe15547f8@bbs1emd.de> References: <5b5d2748-800a-353d-94d1-544fe15547f8@bbs1emd.de> Message-ID: <877338684b6ea78d86950bd04680195e@freecards.de> Moin moin Am 2017-05-22 09:25, schrieb admin at bbs1emd.de: > Hallo, > > ich habe STARTTLS mit einem privaten Zertifikat eingerichtet (Postfix > 2.6.6 auf CentOS 6.8). > Ein Partner möchte Mails mit Hilfe des PHP Mailers zustellen, > scheitert aber am Zertifikat: > ================schnipp================== > postfix/smtpd[10560]: warning: XXX.XXX.XXX.XXX: hostname > dingens.nochwas.de verification failed: Name or service not known > postfix/smtpd[10560]: connect from unknown[XXX.XXX.XXX.XXX] > milter-greylist: smfi_getsymval failed for {daemon_port}, using > default smtp port > postfix/smtpd[10560]: setting up TLS connection from > unknown[XXX.XXX.XXX.XXX] > postfix/smtpd[10560]: SSL_accept error from unknown[XXX.XXX.XXX.XXX]: 0 > postfix/smtpd[10560]: warning: TLS library problem: > 10560:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown > ca:s3_pkt.c:1275:SSL alert number 48: > postfix/smtpd[10560]: lost connection after STARTTLS from > unknown[XXX.XXX.XXX.XXX] > postfix/smtpd[10560]: disconnect from unknown[XXX.XXX.XXX.XXX] > ================schnapp================== > > Verstehe ich das richtig, dass der client das private Zertifikat nicht > akzeptiert? Hat in dem Fall jemand einen Hinweis für mich, wonach ich > bei der Suchmaschine meiner Wahl suchen könnte, um die richtigen > Schritte zur Behebung einleiten zu können? Man kann schon noch selbstsignierte nehmen, es ist nur etwas aufwendiger. Man muss die ssl Optionen mit setzen, verschiedene Mailerklassen bieten dies an, ansonsten ist es Handarbeit oder einfach Letsencrypt nehmen. http://php.net/manual/de/context.ssl.php lg M.Heinze > > Danke > Malte From mailinglists at engelbracht.de Tue May 23 09:40:16 2017 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Tue, 23 May 2017 09:40:16 +0200 Subject: Zusammenhang zwischen =?iso-8859-1?Q?MX-Ei?= =?iso-8859-1?Q?ntr=E4gen?= im DNS und der Client-Konfiguration Message-ID: <20170523074016.GA24230@engelbracht.de> Guten Morgen zusammen, ich habe mal eine allgemeine Frage... Mal angenommen, ich möchte für die Domain "beispiel.de" einen Mailserver aufsetzen. Der Mailserver soll sowohl zum Empfang von E-Mails als auch zum Versand von E-Mails verwendet werden (also KEINE getrennten Systeme). Unter anderem würde ich im DNS folgende Einstellungen vornehmen: mx IN A 11.22.33.44 @ IN MX 10 mx.beispiel.de So weit klar. Die User, die meinen Mailserver nutzen, müssten dann in den Mailclients folgendes eintragen: Posteingangsserver (IMAP): mx.beispiel.de Postausgangsserver (SMTP): mx.beispiel.de Auch das ist klar. Wenn ich das nun mit anderen Anbietern vergleiche, dann fällt mir auf, dass die Konfiguration oft so aussieht: 1.) Es gibt einen (oder mehrere) MX-Einträge. Beispiel von mailbox.org: 10 mx1.mailbox.org (80.241.60.212) 10 mx2.mailbox.org (80.241.60.215) 20 mx3.mailbox.org (80.241.60.216) 50 mx-n.mailbox.org (91.198.250.17) Hieraus geht hervor, dass mx1 und mx2 die primären Mailserver sind. Beide haben Priorität 10. 2.) Ich wäre jetzt davon ausgegangen, dass die Kunden von mailbox.org in der Client-Konfiguration folgendes eintragen müssen: Posteingangs-Server: mx1.mailbox.org bzw. mx2.mailbox.org 3.) Statt dessen wird auf der Webseite von mailbox.org erläutert, dass für den Mailempfang bitte folgende Server verwendet werden sollen: imap.mailbox.org (80.241.60.199) pop3.mailbox.org (80.241.60.199) Meine Fragen: - Was ist denn der Hintergrund, extra zwei Hostnamen (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich mx1|mx2.mailbox.org in seinen MUA eintragen, oder? Liebe Grüße Thilo From wn at neessen.net Tue May 23 09:50:18 2017 From: wn at neessen.net (Winfried Neessen) Date: Tue, 23 May 2017 09:50:18 +0200 Subject: =?utf-8?Q?Re=3A_Zusammenhang_zwischen_MX-Eintr=C3=A4gen_im_DNS_un?= =?utf-8?Q?d_der_Client-Konfiguration?= In-Reply-To: <20170523074016.GA24230@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> Message-ID: Hi Thilo, Am 23.05.2017 um 09:40 schrieb Thilo Engelbracht : > Meine Fragen: > - Was ist denn der Hintergrund, extra zwei Hostnamen > (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? > - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich > mx1|mx2.mailbox.org in seinen MUA eintragen, oder? > Ganz einfach: Angenommen Du willst den MX irgendwann mal umziehen auf einen anderen Server, IMAP und POP3 Server sollen auf dem alten System bleiben. Wenn der Kunden jetzt mx.meinedomain.de nutzt, kannst Du die nicht einfach umziehen, weil sonst alle Kunden auf einem anderen Server landen auf dem vermutlich kein IMAP/POP3 angeboten wird. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From gregor at a-mazing.de Tue May 23 10:02:39 2017 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 23 May 2017 10:02:39 +0200 Subject: Zusammenhang zwischen =?iso-8859-15?q?MX-Eintr=E4gen_im_DNS_und_der?= Client-Konfiguration In-Reply-To: References: <20170523074016.GA24230@engelbracht.de> Message-ID: <201705231002.39296@office.a-mazing.net> Hallo Thilo, Am Dienstag, 23. Mai 2017 schrieb Winfried Neessen: > Am 23.05.2017 um 09:40 schrieb Thilo Engelbracht : > > Meine Fragen: > > - Was ist denn der Hintergrund, extra zwei Hostnamen > > > > (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? > > > > - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich > > > > mx1|mx2.mailbox.org in seinen MUA eintragen, oder? > > Ganz einfach: Angenommen Du willst den MX irgendwann mal umziehen auf einen > anderen Server, IMAP und POP3 Server sollen auf dem alten System bleiben. > Wenn der Kunden jetzt mx.meinedomain.de nutzt, > kannst Du die nicht einfach umziehen, weil sonst alle Kunden auf einem > anderen Server landen auf dem vermutlich kein IMAP/POP3 angeboten wird. ich würde sogar von Anfang an MX und Kunden-SMTP trennen, da das auch nicht zwangsweise auf der gleichen Maschine laufen muss. Nur wenn von Anfang an getrennte Hostnamen für jeden einzelnen Dienst verwendet werden lässt sich das später problemlos sauber trennen. DNS wird dadurch erst mal kaum umfangreicher: @ IN A 11.22.33.44 * IN A 11.22.33.44 @ IN MX 10 mx.beispiel.de Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From mailinglists at engelbracht.de Tue May 23 10:28:13 2017 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Tue, 23 May 2017 10:28:13 +0200 Subject: Zusammenhang zwischen =?iso-8859-1?Q?M?= =?iso-8859-1?Q?X-Eintr=E4gen?= im DNS und der Client-Konfiguration In-Reply-To: References: <20170523074016.GA24230@engelbracht.de> Message-ID: <20170523082813.GA25134@engelbracht.de> Hallo Winfried, Am 23.05.2017 um 09:50 schrieb Winfried Neessen : > Hi Thilo, > > Am 23.05.2017 um 09:40 schrieb Thilo Engelbracht : > > > Meine Fragen: > > - Was ist denn der Hintergrund, extra zwei Hostnamen > > (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? > > - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich > > mx1|mx2.mailbox.org in seinen MUA eintragen, oder? > > > > Ganz einfach: Angenommen Du willst den MX irgendwann mal umziehen auf einen anderen Server, > IMAP und POP3 Server sollen auf dem alten System bleiben. Wenn der Kunden jetzt mx.meinedomain.de > nutzt, kannst Du die nicht einfach umziehen, weil sonst alle Kunden auf einem anderen Server landen > auf dem vermutlich kein IMAP/POP3 angeboten wird. Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org zugreifen. Richtig? Oder bin ich auf dem Holzweg? :-) Oder wie würde man ein solches System in der Praxis umsetzen? Vielen Dank für Deine Mühe! > Winni Liebe Grüße Thilo From wn at neessen.net Tue May 23 10:44:18 2017 From: wn at neessen.net (Winfried Neessen) Date: Tue, 23 May 2017 10:44:18 +0200 Subject: =?utf-8?Q?Re=3A_Zusammenhang_zwischen_MX-Eintr=C3=A4gen_im_DNS_un?= =?utf-8?Q?d_der_Client-Konfiguration?= In-Reply-To: <20170523082813.GA25134@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> <20170523082813.GA25134@engelbracht.de> Message-ID: <56F87304-580F-4835-83E1-8490EED8EA66@neessen.net> Hi Thilo, Am 23.05.2017 um 10:28 schrieb Thilo Engelbracht : > Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: > 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. > 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein > dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. > Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org > zugreifen. Richtig? > > Oder bin ich auf dem Holzweg? :-) > Oder wie würde man ein solches System in der Praxis umsetzen? Nicht zwingend. Je nachdem wie das Mailsystem gebaut ist. Der MX koennte auch nur ein Server sein, der die Mails annimmt, Anti-SPAM Checks durchfuehrt, etc. und dann an das Mailstorage durchreicht. Dazu ist nicht zwingend notwendig, dass der MXer und das IMAP System auf die selben Dateisysteme zugreifen koennen. Es gibt ja auch versch. Mail Storages. Man koennte z. B. auch Mails in einer Datenbank speichern um so mehreren IMAP Systemen Zugriff auf die Mails zu geben. Evtl. will der Postmaster sich auch nur alle Moeglichkeiten offen halten und die DNS Eintraege zeigen aufs gleiche System. Das ist im Endeffekt alles eine Frage der Architektur und Skalierbarkeit des Mailsystems. Eine generell gueltige Antwort dafuer gibt es m. E. nicht. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From beat at juckers.ch Tue May 23 10:46:30 2017 From: beat at juckers.ch (Beat Jucker) Date: Tue, 23 May 2017 10:46:30 +0200 Subject: =?UTF-8?Q?Re:_Zusammenhang_zwischen_MX-Eintr=c3=a4gen_im_DNS_und_de?= =?UTF-8?Q?r_Client-Konfiguration?= In-Reply-To: <20170523082813.GA25134@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> <20170523082813.GA25134@engelbracht.de> Message-ID: Hallo Thilo Am 23.05.2017 um 10:28 schrieb Thilo Engelbracht: >>> Meine Fragen: >>> - Was ist denn der Hintergrund, extra zwei Hostnamen >>> (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? >>> - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich >>> mx1|mx2.mailbox.org in seinen MUA eintragen, oder? >>> >> Ganz einfach: Angenommen Du willst den MX irgendwann mal umziehen auf einen anderen Server, >> IMAP und POP3 Server sollen auf dem alten System bleiben. Wenn der Kunden jetzt mx.meinedomain.de >> nutzt, kannst Du die nicht einfach umziehen, weil sonst alle Kunden auf einem anderen Server landen >> auf dem vermutlich kein IMAP/POP3 angeboten wird. > Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: > 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. > 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein > dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. > Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org > zugreifen. Richtig? > > Oder bin ich auf dem Holzweg? :-) > Oder wie würde man ein solches System in der Praxis umsetzen? Um flexibel zu bleiben, sollte jeder angebotene Service eine eigene Bezeichnung haben, wie zB - imap.example.org - smtp.example.org - pop.example.org - mySpecialService.example.org - xyz.example.org wohin diese Bezeichnungen schlussendlich führen, ist abhängig von der Implementation und können auf dem gleichen Rechner oder auf verschiedenen Rechnern liegen. In deinem Fall sind also {imap|smtp}.example.org nur Service Bezeichnungen im DNS und führen auf den gleichen Rechner (zB irgendetwas.example.org). Das "Routing" kannst du mit DNS festlegen. Du solltest möglich nicht den primären Servername für deine Services benutzen, damit du unabhängig bleibst (wie bereits Winni erwähnt hat). Für den IMAP-Service brauchst du also im IMAP-Client (zB Dovecot) die Bezeichnung imap.example.org. Unabhängig wie die Implementation jetzt oder in Zukunft aussieht, diese Bezeichnung bleibt im Client immer gleich! Gruss -- Beat From gregor at a-mazing.de Tue May 23 10:56:29 2017 From: gregor at a-mazing.de (Gregor Hermens) Date: Tue, 23 May 2017 10:56:29 +0200 Subject: Zusammenhang zwischen =?iso-8859-1?q?MX-Eintr=E4gen_im_DNS_und_der?= Client-Konfiguration In-Reply-To: <20170523082813.GA25134@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> <20170523082813.GA25134@engelbracht.de> Message-ID: <201705231056.29624@office.a-mazing.net> Hallo Thilo, Am Dienstag, 23. Mai 2017 schrieb Thilo Engelbracht: > Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: > 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. > 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein > dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. > Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org > zugreifen. Richtig? > > Oder bin ich auf dem Holzweg? :-) > Oder wie würde man ein solches System in der Praxis umsetzen? der MX muß die eingehenden Mails ja nicht selbst speichern, er kann sie auch gleich z.B. per LMTP an einen Dovecot auf einer anderen Maschine weiterreichen. Beides (MX und POP3/IMAP) könnte man dann noch clustern, mit externem Storage versehen, beliebige Zwischenschritte beim Transport einbauen, ... Man kann so ein System sehr komplex gestalten. :-) Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From daniel at ist-immer-online.de Tue May 23 10:56:36 2017 From: daniel at ist-immer-online.de (Daniel) Date: Tue, 23 May 2017 10:56:36 +0200 Subject: =?iso-8859-1?Q?AW:_Zusammenhang_zwischen_MX-Eintr=E4gen_im_DNS_und_der_Cl?= =?iso-8859-1?Q?ient-Konfiguration?= In-Reply-To: <20170523074016.GA24230@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> Message-ID: <001d01d2d3a2$7c4dec90$74e9c5b0$@ist-immer-online.de> Du kannst es mit nur einem Hostnamen machen, hat halt den Vorteil ist dann selbe Hostname für Imap, pop3 und smtp. Und braucht auch nur ein Zertifikat, Nachteil ist halt wie erwähnt wurde ebene die Flexibilität von mehreren Servern, wenn eh nicht vor hast dieses zumachen kann man auch drauf verzichten. Sonst brauchst eben auch mehrere Zertifikate wenn Fehler in Mailclient und so vermeiden möchtest, weil die z.B. imap.beispiel.de verwenden aber Server für alles nur mx.beispiel.de verwendet. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Thilo Engelbracht Gesendet: Dienstag, 23. Mai 2017 09:40 An: postfixbuch-users at listen.jpberlin.de Betreff: Zusammenhang zwischen MX-Einträgen im DNS und der Client-Konfiguration Guten Morgen zusammen, ich habe mal eine allgemeine Frage... Mal angenommen, ich möchte für die Domain "beispiel.de" einen Mailserver aufsetzen. Der Mailserver soll sowohl zum Empfang von E-Mails als auch zum Versand von E-Mails verwendet werden (also KEINE getrennten Systeme). Unter anderem würde ich im DNS folgende Einstellungen vornehmen: mx IN A 11.22.33.44 @ IN MX 10 mx.beispiel.de So weit klar. Die User, die meinen Mailserver nutzen, müssten dann in den Mailclients folgendes eintragen: Posteingangsserver (IMAP): mx.beispiel.de Postausgangsserver (SMTP): mx.beispiel.de Auch das ist klar. Wenn ich das nun mit anderen Anbietern vergleiche, dann fällt mir auf, dass die Konfiguration oft so aussieht: 1.) Es gibt einen (oder mehrere) MX-Einträge. Beispiel von mailbox.org: 10 mx1.mailbox.org (80.241.60.212) 10 mx2.mailbox.org (80.241.60.215) 20 mx3.mailbox.org (80.241.60.216) 50 mx-n.mailbox.org (91.198.250.17) Hieraus geht hervor, dass mx1 und mx2 die primären Mailserver sind. Beide haben Priorität 10. 2.) Ich wäre jetzt davon ausgegangen, dass die Kunden von mailbox.org in der Client-Konfiguration folgendes eintragen müssen: Posteingangs-Server: mx1.mailbox.org bzw. mx2.mailbox.org 3.) Statt dessen wird auf der Webseite von mailbox.org erläutert, dass für den Mailempfang bitte folgende Server verwendet werden sollen: imap.mailbox.org (80.241.60.199) pop3.mailbox.org (80.241.60.199) Meine Fragen: - Was ist denn der Hintergrund, extra zwei Hostnamen (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich mx1|mx2.mailbox.org in seinen MUA eintragen, oder? Liebe Grüße Thilo -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4867 bytes Beschreibung: nicht verfügbar URL : From gjn at gjn.priv.at Tue May 23 12:50:25 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 23 May 2017 12:50:25 +0200 Subject: Zusammenhang zwischen =?UTF-8?B?TVgtRWludHLDpGdlbg==?= im DNS und der Client-Konfiguration In-Reply-To: <20170523074016.GA24230@engelbracht.de> References: <20170523074016.GA24230@engelbracht.de> Message-ID: <5196207.c4IIERACD9@techz> Hallo, Am Dienstag, 23. Mai 2017, 09:40:16 CEST schrieb Thilo Engelbracht: > Guten Morgen zusammen, > > ich habe mal eine allgemeine Frage... > > Mal angenommen, ich möchte für die Domain "beispiel.de" einen Mailserver > aufsetzen. Der Mailserver soll sowohl zum Empfang von E-Mails als auch > zum Versand von E-Mails verwendet werden (also KEINE getrennten Systeme). > > Unter anderem würde ich im DNS folgende Einstellungen vornehmen: > > mx IN A 11.22.33.44 > @ IN MX 10 mx.beispiel.de > > So weit klar. > > Die User, die meinen Mailserver nutzen, müssten dann in den Mailclients > folgendes eintragen: > > Posteingangsserver (IMAP): mx.beispiel.de > Postausgangsserver (SMTP): mx.beispiel.de > > Auch das ist klar. > > Wenn ich das nun mit anderen Anbietern vergleiche, dann fällt mir auf, > dass die Konfiguration oft so aussieht: > 1.) Es gibt einen (oder mehrere) MX-Einträge. > Beispiel von mailbox.org: > > 10 mx1.mailbox.org (80.241.60.212) > 10 mx2.mailbox.org (80.241.60.215) > 20 mx3.mailbox.org (80.241.60.216) > 50 mx-n.mailbox.org (91.198.250.17) > > Hieraus geht hervor, dass mx1 und mx2 die primären Mailserver sind. > Beide haben Priorität 10. Was mir zu den Einträgen einfällt ist, das ganze ist eine spezielle Konfiguration mit Backup MX und eine Spamfalle! Das war vor kurzem in der Liste. > > 2.) Ich wäre jetzt davon ausgegangen, dass die Kunden von mailbox.org > in der Client-Konfiguration folgendes eintragen müssen: > Posteingangs-Server: mx1.mailbox.org bzw. > mx2.mailbox.org > > > 3.) Statt dessen wird auf der Webseite von mailbox.org erläutert, dass > für den Mailempfang bitte folgende Server verwendet werden sollen: > > imap.mailbox.org (80.241.60.199) > pop3.mailbox.org (80.241.60.199) ein smtp wird auch noch da sein ? das wird dann im DNS die "CNAME" config sein für den Endbenutzer, damit der sich was darunter vorstellen kann. > Meine Fragen: > - Was ist denn der Hintergrund, extra zwei Hostnamen > (imap|pop3.mailbox.org) zu definieren, die die User verwenden sollen? > - Man könnte doch auch - wie unter Punkt 2 beschrieben - gleich > mx1|mx2.mailbox.org in seinen MUA eintragen, oder? > > > Liebe Grüße > > Thilo -- mit freundlichen Grüssen / best regards Günther J. Niederwimmer From mailinglists at engelbracht.de Tue May 23 14:46:29 2017 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Tue, 23 May 2017 14:46:29 +0200 Subject: Zusammenhang zwischen =?iso-8859-1?Q?M?= =?iso-8859-1?Q?X-Eintr=E4gen?= im DNS und der Client-Konfiguration In-Reply-To: <201705231056.29624@office.a-mazing.net> References: <20170523074016.GA24230@engelbracht.de> <20170523082813.GA25134@engelbracht.de> <201705231056.29624@office.a-mazing.net> Message-ID: <20170523124629.GA28126@engelbracht.de> Hallo Gregor, Am 23.05.2017 um 10:56 schrieb Gregor Hermens : > Hallo Thilo, > > Am Dienstag, 23. Mai 2017 schrieb Thilo Engelbracht: > > Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: > > 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. > > 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein > > dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. > > Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org > > zugreifen. Richtig? > > > > Oder bin ich auf dem Holzweg? :-) > > Oder wie würde man ein solches System in der Praxis umsetzen? > > der MX muß die eingehenden Mails ja nicht selbst speichern, er kann sie auch > gleich z.B. per LMTP an einen Dovecot auf einer anderen Maschine > weiterreichen. Beides (MX und POP3/IMAP) könnte man dann noch clustern, mit > externem Storage versehen, beliebige Zwischenschritte beim Transport einbauen, > ... Das war wahrscheinlich der Punkt, den ich nicht richtig verstanden habe. Ich dachte, dass ein MX die E-Mails empfängt UND auch speichert! An eine "Weiterreichung" per LMTP an einen anderen Server habe ich nicht gedacht. Vielen Dank an alle, die mir geholfen haben! > Man kann so ein System sehr komplex gestalten. :-) Das glaube ich gerne! :-) > Gruß, > Gregor Liebe Grüße Thilo From mailinglists at engelbracht.de Tue May 23 14:49:11 2017 From: mailinglists at engelbracht.de (Thilo Engelbracht) Date: Tue, 23 May 2017 14:49:11 +0200 Subject: Zusammenhang zwischen =?iso-8859-1?Q?M?= =?iso-8859-1?Q?X-Eintr=E4gen?= im DNS und der Client-Konfiguration In-Reply-To: <56F87304-580F-4835-83E1-8490EED8EA66@neessen.net> References: <20170523074016.GA24230@engelbracht.de> <20170523082813.GA25134@engelbracht.de> <56F87304-580F-4835-83E1-8490EED8EA66@neessen.net> Message-ID: <20170523124911.GB28126@engelbracht.de> Hallo Winfried, Am 23.05.2017 um 10:44 schrieb Winfried Neessen : > Hi Thilo, > > Am 23.05.2017 um 10:28 schrieb Thilo Engelbracht : > > > Wenn ich Dich richtig verstehe, dann bedeutet das also, dass: > > 1.) die empfangenen E-Mails auf mx1.mailbox.org liegen. > > 2.) auf einem separaten Server (z.B. imap.mailbox.org) ein > > dovecot installiert ist, über den die Kunden ihre E-Mails abrufen. > > Der IMAP-Server muss also auf das Dateisystem von mx1.mailbox.org > > zugreifen. Richtig? > > > > Oder bin ich auf dem Holzweg? :-) > > Oder wie würde man ein solches System in der Praxis umsetzen? > > Nicht zwingend. Je nachdem wie das Mailsystem gebaut ist. Der MX koennte auch nur ein Server sein, > der die Mails annimmt, Anti-SPAM Checks durchfuehrt, etc. und dann an das Mailstorage durchreicht. > Dazu ist nicht zwingend notwendig, dass der MXer und das IMAP System auf die selben Dateisysteme > zugreifen koennen. Ah - OK, langsam dämmert's mir. :-) Vielen Dank für Deine "Nachhilfe"! > Es gibt ja auch versch. Mail Storages. Man koennte z. B. auch Mails in einer Datenbank speichern um > so mehreren IMAP Systemen Zugriff auf die Mails zu geben. > > Evtl. will der Postmaster sich auch nur alle Moeglichkeiten offen halten und die DNS Eintraege zeigen > aufs gleiche System. Das ist im Endeffekt alles eine Frage der Architektur und Skalierbarkeit des Mailsystems. > Eine generell gueltige Antwort dafuer gibt es m. E. nicht. > > > Winni Liebe Grüße Thilo From risse at citkomm.de Mon May 29 14:16:48 2017 From: risse at citkomm.de (Marc Risse) Date: Mon, 29 May 2017 14:16:48 +0200 Subject: Blackhole-Lists Message-ID: Hallo Liste, das Thema kommt ja immer wieder mal auf: Wo bekommt man eine (gute) Liste von Blacklists her, mit denen Postfix, Policyd-Weight, SpamAssassin und so weiter gefüttert werden können? Meine persönliche Quellen neben diverser HowTos ist die Liste von MxToolBox. Ich habe mir einen Check (Check_MK) geschrieben, welcher die Antworten der RBLs auswertet, um so z.B. tote Anbieter schneller zu identifizieren. Ja, auch ich war von der "plötzlichen" Abschaltung von rhsbl.ahbl.org und relays.ordb.org betroffen, die plötzlich nur noch Blacklist-Treffer lieferten (und auch weiterhin liefern). Naja, man lernt nie aus ;) Vielleicht könnte man ein paar Konfigurationen zur Verfügung stellen, welche Einträge in welchen Tools Sinn ergeben und welche RBL-Dienste "aktuell" sind. Leider ist es ja so, dass z.B. in der Default-Konfiguration von policyd-weight nicht mehr existente RBLs enthalten sind... für den Anfänger bestimmt eine Hürde, die viel Zeit in Anspruch nehmen kann. Sollte ich von Euch etwas Input bekommen, würde ich dafür eine Domain/Webspace zur Verfügung stellen. Ich bin für Alles offen und hoffe, dass wir vielleicht eine schöne Page betreiben können die der aktuellen Situation entspricht. Auch einige der RBLs im Postfix-Buch sind nicht mehr verfügbar. Da die 4. Auflage laut Peer noch ein wenig dauert, könnte man vielleicht auch in Kooperation mit Peer so etwas aufbauen... Was meint Ihr? VG Marc -- Marc Risse RZ-Projekte Telefon: +49 2372 5520-385 Fax: +49 2372 5520-61-385 E-Mail: risse at citkomm.de Internet: http://www.citkomm.de ===================================== KDVZ Citkomm (Kommunaler Zweckverband) Citkomm services GmbH* Sonnenblumenallee 3, 58675 Hemer Telefon: +49 2372 5520-0 Fax: +49 2372 5520-279 E-Mail: post at citkomm.de *Tochtergesellschaft: Citkomm services GmbH Sitz der Gesellschaft: Hemer Handelsregister: AG Iserlohn, HRB 26 86 Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From gnitzsche at netcologne.de Mon May 29 14:27:26 2017 From: gnitzsche at netcologne.de (Gunther Nitzsche) Date: Mon, 29 May 2017 14:27:26 +0200 Subject: Blackhole-Lists In-Reply-To: References: Message-ID: On 29.05.2017 14:16, Marc Risse wrote: > Hallo Liste, > > das Thema kommt ja immer wieder mal auf: > Wo bekommt man eine (gute) Liste von Blacklists her, mit denen > Postfix, Policyd-Weight, SpamAssassin und so weiter gefüttert werden > können? > Ich verweise mal auf den https://e-mail.eco.de/2015/allgemein/die-kompetenzgruppe-e-mail-des-eco-e-v-gibt-hilfestellung-fuer-mailserveradministratoren-bei-der-auswahl-passender-blacklisten.html und https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf falls noch nicht bekannt. Vielleicht hilft's ja.. > VG > Marc > Schönen Gruß Gunther NetCologne Systemadministration -- NetCologne Gesellschaft für Telekommunikation mbH Am Coloneum 9 ; 50829 Köln Geschäftsführer: Timo von Lepel, Mario Wilhelm Vorsitzender des Aufsichtsrates: Dr. Andreas Cerbe HRB 25580, AG Köln From risse at citkomm.de Mon May 29 14:44:52 2017 From: risse at citkomm.de (Marc Risse) Date: Mon, 29 May 2017 14:44:52 +0200 Subject: Blackhole-Lists In-Reply-To: References:

Message-ID: <3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> Hallo, die Links sind mir bekannt, trotzdem vielen Dank. Jedoch sehe ich genau hier das Problem: der Stand ist von 2015 und wurde nicht mehr aktualisiert. Außerdem wird auf keine der RBLs genauer eingegangen, also für welche Tests sie sich eigenen u.s.w.. Es gab noch ca. 2008/2009 eine wunderbare Website, wo solche Details aufgeführt wurden. Leider kann ich diese Seite nicht mehr finden; in einem Forum las ich mal, dass vermutlich B*rracuda den Betreiber verklagt hätte. ... egal, etwas Neues muss her. ;-) Viele Grüße Marc Marc Risse RZ-Projekte Telefon: +49 2372 5520-385 Fax: +49 2372 5520-61-385 E-Mail: risse at citkomm.de Internet: http://www.citkomm.de ===================================== KDVZ Citkomm (Kommunaler Zweckverband) Citkomm services GmbH* Sonnenblumenallee 3, 58675 Hemer Telefon: +49 2372 5520-0 Fax: +49 2372 5520-279 E-Mail: post at citkomm.de *Tochtergesellschaft: Citkomm services GmbH Sitz der Gesellschaft: Hemer Handelsregister: AG Iserlohn, HRB 26 86 Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett On 29.05.2017 14:27, Gunther Nitzsche wrote: > On 29.05.2017 14:16, Marc Risse wrote: >> Hallo Liste, >> >> das Thema kommt ja immer wieder mal auf: >> Wo bekommt man eine (gute) Liste von Blacklists her, mit denen >> Postfix, Policyd-Weight, SpamAssassin und so weiter gefüttert werden >> können? >> > Ich verweise mal auf den > https://e-mail.eco.de/2015/allgemein/die-kompetenzgruppe-e-mail-des-eco-e-v-gibt-hilfestellung-fuer-mailserveradministratoren-bei-der-auswahl-passender-blacklisten.html > > und > https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf > > falls noch nicht bekannt. Vielleicht hilft's ja.. >> VG >> Marc >> > Schönen Gruß > Gunther > > NetCologne Systemadministration -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3429 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ms at ddnetservice.net Mon May 29 15:39:45 2017 From: ms at ddnetservice.net (ms at ddnetservice.net) Date: Mon, 29 May 2017 15:39:45 +0200 Subject: Blackhole-Lists In-Reply-To: <3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> References:

<3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> Message-ID: <79b36f2c-6986-046c-1f40-b3e7056c8df5@ddnetservice.de> Am 29.05.2017 um 14:44 schrieb Marc Risse: > Hallo, > > die Links sind mir bekannt, trotzdem vielen Dank. Jedoch sehe ich genau > hier das Problem: der Stand ist von 2015 und wurde nicht mehr > aktualisiert. Außerdem wird auf keine der RBLs genauer eingegangen, also > für welche Tests sie sich eigenen u.s.w.. an diesem Stand hat sich m.M.n. aber nicht wirklich etwas geändert. ;-) > Es gab noch ca. 2008/2009 eine wunderbare Website, wo solche Details > aufgeführt wurden. Leider kann ich diese Seite nicht mehr finden; in > einem Forum las ich mal, dass vermutlich B*rracuda den Betreiber > verklagt hätte. ... egal, etwas Neues muss her. ;-) > Eine Übersicht über 232 RBLs gibt es hier: http://multirbl.valli.org/lookup Die meisten der RBLs taugen aber nur bedingt, oder anders ausgedrückt: Ich hatte noch nicht den "Moment/Verlangen" etwas anderes ausprobieren zu müssen. So ein Test diverser RBLs mit Stärken/Schwächen wäre sicherlich eine schöne Smartphone-Lektüre, aber ich würde mir davon keine Wunder erwarten. Einige RBLs "kopieren" sogar von anderen wie z.B. von Spamhaus¹ Persönlich fahre ich mit Spamhaus, Barracuda, Spamcop, NiX und Senderscore im Verbund seit einer Weile ganz gut. Sehe auch keinen Grund da etwas großartig dran zu ändern. Beste Grüße Michael Seevogel [1] https://www.spamhaus.org/organization/statement/015/fraudulent-dnsbl-uncovered-protected-sky-bad.psky.me https://www.spamhaus.org/organization/statement/008/fake-dnsbl-uncovered-nszones.com From lists at localguru.de Tue May 30 07:57:31 2017 From: lists at localguru.de (Marcus Schopen) Date: Tue, 30 May 2017 07:57:31 +0200 Subject: Blackhole-Lists In-Reply-To: <3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> References:

<3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> Message-ID: <1496123851.5758.9.camel@cosmo.binux.de> Hallo Marc, Am Montag, den 29.05.2017, 14:44 +0200 schrieb Marc Risse: > Hallo, > > die Links sind mir bekannt, trotzdem vielen Dank. Jedoch sehe ich genau > hier das Problem: der Stand ist von 2015 und wurde nicht mehr > aktualisiert. Außerdem wird auf keine der RBLs genauer eingegangen, also > für welche Tests sie sich eigenen u.s.w.. > Es gab noch ca. 2008/2009 eine wunderbare Website, wo solche Details > aufgeführt wurden. Leider kann ich diese Seite nicht mehr finden; in > einem Forum las ich mal, dass vermutlich B*rracuda den Betreiber > verklagt hätte. ... egal, etwas Neues muss her. ;-) Schau mal hier. Gerade in Sachen Überschneidungen ist die "Blacklist Monitor" Seite sehr hilfreich: https://www.intra2net.com/en/support/antispam/index.php Ich frage vor der Filterung mit SA u.a. Listen ab, gewichte sie unterschiedlich und rechne whitelists dagegen: "BL_INPS" dnsbl.inps.de 127.0.0.2/32 "ZEN" zen.spamhaus.org 127.0.0.1/8 "NIXSPAM" ix.dnsbl.manitu.net 127.0.0.1/8 "JMF" hostkarma.junkemailfilter.com 127.0.0.2/32 "WPBL" db.wpbl.info 127.0.0.2/32 "BL_BARRACUDA" b.barracudacentral.org 127.0.0.2/32 "BL_SPAMEATINGMONKEY" bl.spameatingmonkey.net 127.0.0.2/32 "BL_SPAMCOP" bl.spamcop.net 127.0.0.2/32 "BL_SORBS" dnsbl.sorbs.net 127.0.0.0/24 "BL_SURRIEL" psbl.surriel.com 127.0.0.0/24 "BL_MAILSPIKE" bl.mailspike.net 127.0.0.0/24 "BL_GBUDB" truncate.gbudb.net 127.0.0.2/32 "BL_IMP" spamrbl.imp.ch 127.0.0.5/32 Lesenswert ist auch "Doppelsieb" (Spam-Filterung mit BLs) aus der iX 03/2014. Viele Grüße Marcus From Ralf.Hildebrandt at charite.de Tue May 30 10:59:23 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 30 May 2017 10:59:23 +0200 Subject: Blackhole-Lists In-Reply-To: <1496123851.5758.9.camel@cosmo.binux.de> References:

<3e97843d-624c-25e1-e401-6a8ff2d1cd1a@citkomm.de> <1496123851.5758.9.camel@cosmo.binux.de> Message-ID: <20170530085923.xl5f25kga7q5ar7z@charite.de> * Marcus Schopen : > Hallo Marc, > > Am Montag, den 29.05.2017, 14:44 +0200 schrieb Marc Risse: > > Hallo, > > > > die Links sind mir bekannt, trotzdem vielen Dank. Jedoch sehe ich genau > > hier das Problem: der Stand ist von 2015 und wurde nicht mehr > > aktualisiert. Außerdem wird auf keine der RBLs genauer eingegangen, also > > für welche Tests sie sich eigenen u.s.w.. > > Es gab noch ca. 2008/2009 eine wunderbare Website, wo solche Details > > aufgeführt wurden. Leider kann ich diese Seite nicht mehr finden; in > > einem Forum las ich mal, dass vermutlich B*rracuda den Betreiber > > verklagt hätte. ... egal, etwas Neues muss her. ;-) > > Schau mal hier. Gerade in Sachen Überschneidungen ist die "Blacklist > Monitor" Seite sehr hilfreich: Ich nutze: postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.mailspike.net*1 bl.spamcop.net*1 swl.spamhaus.org*-2 b.barracudacentral.org*1 postscreen_dnsbl_threshold = 2 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From gjn at gjn.priv.at Tue May 30 11:27:30 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 30 May 2017 11:27:30 +0200 Subject: Backup MX Message-ID: <3993107.xDqs1xfdZB@techz> Hallo, Ich würde meinem Mailserver gerne einen Backup MX spendieren, wo kann man eigentlich etwas dazu finden, wenn man einen Backup MX einrichten möchte? Im postfixbuch finde ich dazu anscheinend nichts,oder ich bin blind ;-), Irgend wie muss man doch postscrenn synchron halten, oder ? Es sind sicherr noch andere Einstellungen nötig, LDAP und dovecot funktionieren anscheinend schon :-) Danke für eine Antwort, -- mit freundlichen Grüssen / best regards Günther J. Niederwimmer From jra at byte.cx Tue May 30 16:48:22 2017 From: jra at byte.cx (Jens Adam) Date: Tue, 30 May 2017 16:48:22 +0200 Subject: Blackhole-Lists In-Reply-To: References: Message-ID: <78E05E49-644F-4A8C-9C37-CE8F91BBF3FE@byte.cx> postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/chk_client.cidr postscreen_blacklist_action = drop postscreen_greet_action = drop postscreen_dnsbl_action = enforce postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2 dnsbl-1.uceprotect.net safe.dnsbl.sorbs.net ix.dnsbl.manitu.net ubl.unsubscore.com psbl.surriel.com bl.spamcop.net dnsbl.inps.de swl.spamhaus.org*-3 list.dnswl.org=127.0.[0..255].2*-2 list.dnswl.org=127.0.[0..255].3*-5 Die Liste ist im Laufe von 2-3 Jahren entstanden und jetzt auch mindestens ein halbes Jahr nicht mehr angefasst (oder analysiert) worden. Ursprünglich hatte ich nur die 'traditionelle' Kombination ZEN + NiXSpam mittels "reject_rbl_client" quasi eins-zu-eins auf postscreen migriert, und dann nach und nach mehr Listen dazugenommen, auf Grundlage von https://www.intra2net.com/de/support/antispam/ und http://analyse.inps.de/?type=monthly&lang=de ... nach und nach flogen dann wieder Listen raus, die zuwenig einzigartige Treffer brachten oder deren Nameserver zu oft Timeouts lieferten. Eigentlich wollte ich da schon länger mal wieder ran, danke für den Thread ;-) --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP URL : From michael at linuxfox.de Tue May 30 18:39:24 2017 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 30 May 2017 18:39:24 +0200 Subject: Backup MX In-Reply-To: <3993107.xDqs1xfdZB@techz> References: <3993107.xDqs1xfdZB@techz> Message-ID: <309a8c72-3161-0ea8-2e83-229452a93e3b@linuxfox.de> Am 30.05.17 um 11:27 schrieb Günther J. Niederwimmer: Hi, hier deutlich beschrieben: http://www.heinlein-support.de/upload/mk4/3-06_Best-Practice-fuer-stressfreie-Mailserver.pdf > Hallo, > Ich würde meinem Mailserver gerne einen Backup MX spendieren, > > wo kann man eigentlich etwas dazu finden, wenn man einen Backup MX einrichten > möchte? > > Im postfixbuch finde ich dazu anscheinend nichts,oder ich bin blind ;-), > > Irgend wie muss man doch postscrenn synchron halten, oder ? > > Es sind sicherr noch andere Einstellungen nötig, LDAP und dovecot > funktionieren anscheinend schon :-) > > Danke für eine Antwort, > -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : 0x790E12D2.asc Dateityp : application/pgp-keys Dateigröße : 3161 bytes Beschreibung: nicht verfügbar URL :