From kai_postfix at fuerstenberg.ws Wed Nov 1 14:28:59 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Wed, 1 Nov 2017 14:28:59 +0100 Subject: poostfix + dovcot sasl In-Reply-To: <1785021.0V0mXlKvmk@techz> References: <2552479.MkLY1DmDWK@techz> <4eaffe10-a82c-018a-203d-7165bfe459e6@fuerstenberg.ws> <1785021.0V0mXlKvmk@techz> Message-ID: Hallo Günther, Am 27.10.2017 um 13:36 schrieb Günther J. Niederwimmer: > Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg: >> moin, >> >> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer: >>> Hallo, >>> kann mir von Euch jemand auf die richtige Spur bringen ? >>> >>> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht! >>> >>> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- >>> 848A220110D0 132700 Tue Oct 24 07:38:35 mail- >>> GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at >>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error >>> occurred. Refer to server log for more information. (in reply to RCPT TO >>> command)) >> >> da steht "refer to server log for more information". Du lieferst es aber >> leider nicht mit. >> >> Im Log solltest du die passende Antwort finden. > Das einzige was ich finde ist noch verwirrender ? > > Laut den logs dürfte da nichts durchkommen!! > Warum da ein PASS OLD steht ist mit schleierhaft... > > da muss irgendwo ein cache sein der nicht gelöscht wird ? > > > Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from [178.77.121.168]: > 52162 to [89.26.108.7]:25 > Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by > domain list.dnswl.org as 127.0.15.0 > Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by > domain wl.mailspike.net as 127.0.0.18 > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by > domain hostkarma.junkemailfilter.com as 127.0.0.1 > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by > domain hostkarma.junkemailfilter.com as 127.0.1.1 > Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD [178.77.121.168]:52162 > Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect from 005.de- > mx.crsend.com[178.77.121.168] > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection established > from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with cipher ECDHE-RSA- > AES256-GCM-SHA384 (256/256 bits) > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de- > mx.crsend.com[178.77.121.168] > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de- > mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 > commands=7 > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate > 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16 > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection count 1 > for (smtpd:178.77.121.168) at Oct 27 09:04:16 > Das Log hat mit der Mail oben nichts zu tun. Du hast offenbar ein Zustellungs-/Übermittlungsproblem bei nicht existenten Usern. Dazu aber später. Deine Restiktionen sind auch nicht unbedingt sinnvoll in Reihenfolge gebracht: > smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname Da dein smtpd_delay_reject per default auf "yes" steht, erfolgen diese Tests erst nach dem RCPT TO. Du kannst die Test somit mit den smtpd_recipient_restrictions kombinieren. > smtpd_recipient_restrictions = permit_sasl_authenticated, > permit_auth_destination, permit_mynetworks, reject_unverified_recipient, > reject_unauth_destination, reject Du gehst hier den umgekehrten Weg, was im Grunde in Ordnung ist. Aber die Reihenfolge ist entscheidend. Die erste Regel, die zutrifft, gewinnt. Durch das permit_auth_destination wird eine Mail angenommen, wenn sie für deine Domain bestimmt ist. Hier wird der Empfänger aber nicht geprüft. Das soll wohl laut deinen Restriktionen im Nachhinein erfolgen, passiert aber letztlich nicht mehr, weil die Mail schon durch das permit_auth_destination akzeptiert wurde. Du müsstest das reject_unverified_recipient _vor_ das permit_auth_destination setzen. Das ist aber nicht sinnvoll, zumindest nicht an dieser Stelle. Auch benutzt du permit_auth_destination und reject_unauth_destination zusammen. Das schließt sich zwar nicht aus, ist aber unnötig. Du kannst das alles vereinfachen: 1. Schmeiß die Helo-Restrictions raus. 2. Sortiere die recipient_restrictions anders: permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination Damit erlaubst du erst mal das eigene Netzwerk und SASL-User. Alle Mails die dann nicht für deine Domains bestimmt sind, werden abgelehnt. Ab hier ist permit_auth_destination unnötig. Danach noch ein: reject_invalid_hostname, reject_unverified_recipient ... und das war's. Was bis hier hin kommt, ist für dich bestimmt und in Ordnung und kann zugestellt werden. Du könntest jetzt noch ein permit setzen, ist aber nicht erforderlich. Das löst das Problem mit den Mails an nicht existente User aber nicht. Es heißt ganz klar: > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <200801241206.33968 at gjn.priv.at> > Internal error occurred. Refer to server log for more information. (in reply > to RCPT TO command)) Der Fehler liegt intern auf deinem Server (127.0.0.1). Welcher Fehler das ist, steht im Log zu dieser Mail. Du müsstest eigentlich die gleiche Fehlermeldung bekommen, wenn du per SASL eine Mail an einen nicht existenten User auf deinem Server sendest. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From gjn at gjn.priv.at Wed Nov 1 15:52:11 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Wed, 01 Nov 2017 15:52:11 +0100 Subject: poostfix + dovcot sasl In-Reply-To: References: <2552479.MkLY1DmDWK@techz> <1785021.0V0mXlKvmk@techz> Message-ID: <2454379.fKnH3ImzoC@techz> Hallo Kai, zuerst ein Dankeschön für Deine Antwort, Am Mittwoch, 1. November 2017, 14:28:59 CET schrieb Kai Fürstenberg: > Hallo Günther, > > Am 27.10.2017 um 13:36 schrieb Günther J. Niederwimmer: > > Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg: > >> moin, > >> > >> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer: > >>> Hallo, > >>> kann mir von Euch jemand auf die richtige Spur bringen ? > >>> > >>> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht! > >>> > >>> -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > >>> 848A220110D0 132700 Tue Oct 24 07:38:35 mail- > >>> GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at > >>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error > >>> occurred. Refer to server log for more information. (in reply to RCPT TO > >>> command)) > >> > >> da steht "refer to server log for more information". Du lieferst es aber > >> leider nicht mit. > >> > >> Im Log solltest du die passende Antwort finden. > > > > Das einzige was ich finde ist noch verwirrender ? > > > > Laut den logs dürfte da nichts durchkommen!! > > Warum da ein PASS OLD steht ist mit schleierhaft... > > > > da muss irgendwo ein cache sein der nicht gelöscht wird ? > > > > > > Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from > > [178.77.121.168]: 52162 to [89.26.108.7]:25 > > Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by > > domain list.dnswl.org as 127.0.15.0 > > Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by > > domain wl.mailspike.net as 127.0.0.18 > > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by > > domain hostkarma.junkemailfilter.com as 127.0.0.1 > > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by > > domain hostkarma.junkemailfilter.com as 127.0.1.1 > > Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD > > [178.77.121.168]:52162 Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect > > from 005.de- > > mx.crsend.com[178.77.121.168] > > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection > > established from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with > > cipher ECDHE-RSA- AES256-GCM-SHA384 (256/256 bits) > > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de- > > mx.crsend.com[178.77.121.168] > > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de- > > mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 > > quit=1 > > commands=7 > > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate > > 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16 > > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection > > count 1 for (smtpd:178.77.121.168) at Oct 27 09:04:16 > > Das Log hat mit der Mail oben nichts zu tun. Du hast offenbar ein > Zustellungs-/Übermittlungsproblem bei nicht existenten Usern. Dazu aber > später. > > Deine Restiktionen sind auch nicht unbedingt sinnvoll in Reihenfolge > > gebracht: > > smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname > > Da dein smtpd_delay_reject per default auf "yes" steht, erfolgen diese > Tests erst nach dem RCPT TO. Du kannst die Test somit mit den > smtpd_recipient_restrictions kombinieren. > > > smtpd_recipient_restrictions = permit_sasl_authenticated, > > permit_auth_destination, permit_mynetworks, reject_unverified_recipient, > > reject_unauth_destination, reject > > Du gehst hier den umgekehrten Weg, was im Grunde in Ordnung ist. Aber > die Reihenfolge ist entscheidend. Die erste Regel, die zutrifft, gewinnt. > > Durch das permit_auth_destination wird eine Mail angenommen, wenn sie > für deine Domain bestimmt ist. Hier wird der Empfänger aber nicht > geprüft. Das soll wohl laut deinen Restriktionen im Nachhinein erfolgen, > passiert aber letztlich nicht mehr, weil die Mail schon durch das > permit_auth_destination akzeptiert wurde. > > Du müsstest das reject_unverified_recipient _vor_ das > permit_auth_destination setzen. Das ist aber nicht sinnvoll, zumindest > nicht an dieser Stelle. > > Auch benutzt du permit_auth_destination und reject_unauth_destination > zusammen. Das schließt sich zwar nicht aus, ist aber unnötig. > > Du kannst das alles vereinfachen: > > 1. Schmeiß die Helo-Restrictions raus. > > 2. Sortiere die recipient_restrictions anders: > permit_mynetworks, > permit_sasl_authenticated, > reject_unauth_destination > > Damit erlaubst du erst mal das eigene Netzwerk und SASL-User. Alle Mails > die dann nicht für deine Domains bestimmt sind, werden abgelehnt. Ab > hier ist permit_auth_destination unnötig. > > Danach noch ein: > reject_invalid_hostname, > reject_unverified_recipient > > ... und das war's. Was bis hier hin kommt, ist für dich bestimmt und in > Ordnung und kann zugestellt werden. Du könntest jetzt noch ein > permit > setzen, ist aber nicht erforderlich. OK , habe ich jetzt nach Deiner Anleitung geändert, Danke > Das löst das Problem mit den Mails an nicht existente User aber nicht. > > Es heißt ganz klar: > > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 > > <200801241206.33968 at gjn.priv.at> > > Internal error occurred. Refer to server log for more information. (in > > reply to RCPT TO command)) Das scheint an dem postscreen Cache gelegen zu sein, habe mir mal den cache angesehen da waren gewisse IP's whitlistet ?? Ich habe jetzt mal den Cache gelöscht und die IP's extra noch blacklisted, da scheint jetzt Ruhe zu sein ?? Warum diese IP's whitelistet waren, kann ich nicht sagen? Jedenfalls wurden diese Mails von Postfix angenommen aber später von dovecot abgelehnt weil kein User dafür da war!! Das dürfte diese eigenartige Fehlermeldung ausgelöst haben. In den Logs stand nichts erhellendes jedenfalls für mich. Seit ich das ganze über PAM laufen lasse, scheint es einige Probleme zu geben (dovecot) ? Am besten hat das direct über LDAP funktioniert, aber Jetzt habe ich FreeIPA installiert für die USER und da müßte es eigentlich einen Weg für FreeIPA -> sssd -> PAM -> dovecot -> postfix geben denn sssd kann ja in der Zwischenzeit sehr viel, nur ich steige anscheinend bei der Konfiguration von sssd nicht durch. > Der Fehler liegt intern auf deinem Server (127.0.0.1). Welcher Fehler > das ist, steht im Log zu dieser Mail. > > Du müsstest eigentlich die gleiche Fehlermeldung bekommen, wenn du per > SASL eine Mail an einen nicht existenten User auf deinem Server sendest. -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From kai_postfix at fuerstenberg.ws Thu Nov 2 14:32:18 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Thu, 2 Nov 2017 14:32:18 +0100 Subject: poostfix + dovcot sasl In-Reply-To: <2454379.fKnH3ImzoC@techz> References: <2552479.MkLY1DmDWK@techz> <1785021.0V0mXlKvmk@techz> <2454379.fKnH3ImzoC@techz> Message-ID: <4a9141eb-4586-a49c-155d-497cae09ee0b@fuerstenberg.ws> Am 01.11.2017 um 15:52 schrieb Günther J. Niederwimmer: >> Das löst das Problem mit den Mails an nicht existente User aber nicht. >> >> Es heißt ganz klar: >>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 >>> <200801241206.33968 at gjn.priv.at> >>> Internal error occurred. Refer to server log for more information. (in >>> reply to RCPT TO command)) > Das scheint an dem postscreen Cache gelegen zu sein, habe mir mal den cache > angesehen da waren gewisse IP's whitlistet ?? Ich habe jetzt mal den Cache > gelöscht und die IP's extra noch blacklisted, da scheint jetzt Ruhe zu sein ?? > Warum diese IP's whitelistet waren, kann ich nicht sagen? Nein, Postscreen hat hiermit nichts zu tun. Postscreen entscheidet nur, ob ein Client versuchen darf, eine Mail einzuliefern. Postscreen entscheidet nicht, ob eine Mail angenommen wird oder nicht. > Jedenfalls wurden diese Mails von Postfix angenommen aber später von dovecot > abgelehnt weil kein User dafür da war!! Das dürfte diese eigenartige > Fehlermeldung ausgelöst haben. In den Logs stand nichts erhellendes jedenfalls > für mich. Die Meldung sieht mir nicht so aus, als hätte Dovecot irgendetwas abgelehnt. Hätte Dovecot die Mail abgelehnt, hätte dein Postfix einen entsprechenden Bounce erzeugen müssen (hat er wahrscheinlich später gemacht, aber dann aus einem anderen Grund). Ich habe die Meldung mal gegoogelt und sie scheint tatsächlich vom Dovecot zu kommen. Das würde vermutlich bedeuten, dass Dovecot die Mail versucht zuzustellen, aber mangels Verzeichnis die Datei nicht schreiben kann und daher diese Meldung zurückliefert. Postfix betrachtet dies als temporäres Problem, die Mail bleibt in der Queue. Das bedeutet aber weiterhin, dass Dovecot die Mail eben nicht ablehnt, sondern weiterhin versucht zuzustellen. Wie gesagt: Du müsstest den gleichen Fehler erhalten, wenn du per SASL eine Mail an einen nicht existenten Empfänger sendet. Dann solltest du auch im Log etwas sehen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From ffiene at veka.com Fri Nov 3 10:18:14 2017 From: ffiene at veka.com (Frank Fiene) Date: Fri, 3 Nov 2017 10:18:14 +0100 Subject: Amavis-new und/oder spamassassin Message-ID: Moin! Mal wieder etwas was ich nicht verstehe: Amavis-new lädt seinen internen SpamAssassin code: ==snip== Nov 3 10:17:42 smtp2 amavis[12513]: Module Mail::SpamAssassin 3.004001 ==snip== Eine Spam-Mail kommt durch. Wenn ich dann die komplette Mail durch spamc schiebe, erscheint (hier ist der Level auf 5.0): ==snip== 11.9/5.0 Spam detection software, running on the system "smtp2.veka.com", has identified this incoming email as possible spam. The original message has been attached to this so you can view it or label similar future email. If you have any questions, see the administrator of that system for details. Content preview: Your email client cannot read this email. To view it online, please go here: http://propertydunia.com/display.php?M=7367604&C=be6308027d831c5e198ca256ed1f0e9e&S=410&L=52&N=34 To stop receiving these emails:http://propertydunia.com/unsubscribe.php?M=7367604&C=be6308027d831c5e198ca256ed1f0e9e&L=52&N=410 [...] Content analysis details: (11.9 points, 5.0 required) pts rule name description ---- ---------------------- -------------------------------------------------- 1.9 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE SURBL blocklist [URIs: propertydunia.com] 1.1 DKIM_ADSP_ALL No valid author signature, domain signs all mail -0.0 RP_MATCHES_RCVD Envelope sender domain matches handover relay domain 2.4 URI_NO_WWW_BIZ_CGI URI: CGI in .biz TLD other than third-level "www" 0.7 MPART_ALT_DIFF BODY: HTML and text parts are different 0.0 HTML_MESSAGE BODY: HTML included in message 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily valid 1.1 DCC_CHECK Detected as bulk mail by DCC (dcc-servers.net) 1.7 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 0.4 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% [cf: 100] 2.4 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level above 50% [cf: 100] 0.0 DIGEST_MULTIPLE Message hits more than one network digest check 0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid ==snip== Ich weise SPAM in amavis ab mit ==snip== $sa_spam_subject_tag = '***SPAM*** '; $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent ==snip== Und ==snip== $final_spam_destiny = D_REJECT; ==snip== Warum verhält sich amavis nicht wie gewünscht und verweigert die Annahme der Mail? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From klaus at tachtler.net Fri Nov 3 10:38:50 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 03 Nov 2017 10:38:50 +0100 Subject: Amavis-new und/oder spamassassin In-Reply-To: Message-ID: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> Hallo Frank, was sagt den das AMaViS-new LOG? Was hast Du unter: $spam_quarantine_to eingestellt? Mach doch mal bei: $sa_tag_level_deflt = '-1000.0'; (Damit werden die Scan-Informationen bei angenommenen E-Mail in der E-Mail-Header geschrieben) Grüße Klaus. > Moin! > > Mal wieder etwas was ich nicht verstehe: > > Amavis-new lädt seinen internen SpamAssassin code: > > ==snip== > Nov 3 10:17:42 smtp2 amavis[12513]: Module Mail::SpamAssassin 3.004001 > ==snip== > > > Eine Spam-Mail kommt durch. Wenn ich dann die komplette Mail durch > spamc schiebe, erscheint (hier ist der Level auf 5.0): > > ==snip== > 11.9/5.0 > Spam detection software, running on the system "smtp2.veka.com", > has identified this incoming email as possible spam. The original > message has been attached to this so you can view it or label > similar future email. If you have any questions, see > the administrator of that system for details. > > Content preview: Your email client cannot read this email. To view > it online, > please go here: > http://propertydunia.com/display.php?M=7367604&C=be6308027d831c5e198ca256ed1f0e9e&S=410&L=52&N=34 > To stop receiving these > emails:http://propertydunia.com/unsubscribe.php?M=7367604&C=be6308027d831c5e198ca256ed1f0e9e&L=52&N=410 > [...] > > Content analysis details: (11.9 points, 5.0 required) > > pts rule name description > ---- ---------------------- > -------------------------------------------------- > 1.9 URIBL_ABUSE_SURBL Contains an URL listed in the ABUSE > SURBL blocklist > [URIs: propertydunia.com] > 1.1 DKIM_ADSP_ALL No valid author signature, domain signs all mail > -0.0 RP_MATCHES_RCVD Envelope sender domain matches handover > relay domain > 2.4 URI_NO_WWW_BIZ_CGI URI: CGI in .biz TLD other than third-level "www" > 0.7 MPART_ALT_DIFF BODY: HTML and text parts are different > 0.0 HTML_MESSAGE BODY: HTML included in message > 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not > necessarily valid > 1.1 DCC_CHECK Detected as bulk mail by DCC (dcc-servers.net) > 1.7 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) > 0.4 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% > [cf: 100] > 2.4 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level > above 50% > [cf: 100] > 0.0 DIGEST_MULTIPLE Message hits more than one network digest check > 0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid > ==snip== > > > Ich weise SPAM in amavis ab mit > > ==snip== > $sa_spam_subject_tag = '***SPAM*** '; > $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above > that level > $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level > $sa_kill_level_deflt = 6.31; # triggers spam evasive actions > $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent > ==snip== > > Und > ==snip== > $final_spam_destiny = D_REJECT; > ==snip== > > > Warum verhält sich amavis nicht wie gewünscht und verweigert die > Annahme der Mail? > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster ----- Ende der Nachricht von Frank Fiene ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From ffiene at veka.com Fri Nov 3 11:02:15 2017 From: ffiene at veka.com (Frank Fiene) Date: Fri, 3 Nov 2017 11:02:15 +0100 Subject: Amavis-new und/oder spamassassin In-Reply-To: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> References: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> Message-ID: > Am 03.11.2017 um 10:38 schrieb Klaus Tachtler : > > Hallo Frank, > > was sagt den das AMaViS-new LOG? Ich habe komischerweise überhaupt keine > Was hast Du unter: $spam_quarantine_to eingestellt? $spam_quarantine_to = undef; > Mach doch mal bei: $sa_tag_level_deflt = '-1000.0?; > (Damit werden die Scan-Informationen bei angenommenen E-Mail in der E-Mail-Header geschrieben) OK, mache ich mal, da stand 0, merkwürdig, dass da nichts im Header stand. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Fri Nov 3 11:10:57 2017 From: ffiene at veka.com (Frank Fiene) Date: Fri, 3 Nov 2017 11:10:57 +0100 Subject: Amavis-new und/oder spamassassin In-Reply-To: References: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> Message-ID: <19722827-831D-4882-9B3E-DEB66F9FAC75@veka.com> Habe ich vl. bei dieser Policy-Bank etwas falsch gemacht? Ich wollte Ausnahmen haben: # This policy will perform virus checks only. read_hash(\%whitelist_sender, '/etc/amavis/whitelist'); @whitelist_sender_maps = (\%whitelist_sender); $interface_policy{'10024'} = 'VIRUSONLY'; $policy_bank{'VIRUSONLY'} = { # mail from the pickup daemon bypass_spam_checks_maps => ['@whitelist_sender_maps'], # don't spam-check this mail bypass_banned_checks_maps => ['@whitelist_sender_maps'], # don't banned-check this mail bypass_header_checks_maps => ['@whitelist_sender_maps'], # don't header-check this mail }; /etc/amavis/whitelist: info at cp-translations.de firstenergycorp.com rwbldgconsultants.com e.aicpa.org argosy.edu bcfymca.org weihaus.com interealty.net ... master.cf: smtpd pass - - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o smtpd_client_connection_count_limit=20 -o smtpd_proxy_options=speed_adjust Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From klaus at tachtler.net Fri Nov 3 12:13:11 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 03 Nov 2017 12:13:11 +0100 Subject: Amavis-new und/oder spamassassin In-Reply-To: <19722827-831D-4882-9B3E-DEB66F9FAC75@veka.com> References: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> <19722827-831D-4882-9B3E-DEB66F9FAC75@veka.com> Message-ID: <20171103121311.Horde.Qd65nS-gvhHU1X9dWGf-Uoh@buero.tachtler.net> Hallo Frank, das habe ich gefunden (aus dem HowTo, aus dem Du diese Konfiguration evtl. her hast): "...maybe the last line of your text file is not terminated with a newline? This happens pretty often..." ... "...Added a newline at the end and that was all it took..." Ist das bei Dir so? Siehe auch: https://forum.iredmail.org/topic4681-iredmail-support-solved-how-to-bypass-amavisd-for-some-senders.html Grüße Klaus. > Habe ich vl. bei dieser Policy-Bank etwas falsch gemacht? Ich wollte > Ausnahmen haben: > > # This policy will perform virus checks only. > read_hash(\%whitelist_sender, '/etc/amavis/whitelist'); > @whitelist_sender_maps = (\%whitelist_sender); > > $interface_policy{'10024'} = 'VIRUSONLY'; > $policy_bank{'VIRUSONLY'} = { # mail from the pickup daemon > bypass_spam_checks_maps => ['@whitelist_sender_maps'], # > don't spam-check this mail > bypass_banned_checks_maps => ['@whitelist_sender_maps'], # > don't banned-check this mail > bypass_header_checks_maps => ['@whitelist_sender_maps'], # > don't header-check this mail > }; > > > /etc/amavis/whitelist: > > info at cp-translations.de > firstenergycorp.com > rwbldgconsultants.com > e.aicpa.org > argosy.edu > bcfymca.org > weihaus.com > interealty.net > ... > > > master.cf: > > smtpd pass - - n - - smtpd > -o smtpd_proxy_filter=127.0.0.1:10024 > -o smtpd_client_connection_count_limit=20 > -o smtpd_proxy_options=speed_adjust > > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster ----- Ende der Nachricht von Frank Fiene ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From ffiene at veka.com Sat Nov 4 12:24:51 2017 From: ffiene at veka.com (Frank Fiene) Date: Sat, 4 Nov 2017 12:24:51 +0100 Subject: Amavis-new und/oder spamassassin In-Reply-To: <20171103121311.Horde.Qd65nS-gvhHU1X9dWGf-Uoh@buero.tachtler.net> References: <20171103103850.Horde.54kya0eT01wOxL5Rz0XmwQd@buero.tachtler.net> <19722827-831D-4882-9B3E-DEB66F9FAC75@veka.com> <20171103121311.Horde.Qd65nS-gvhHU1X9dWGf-Uoh@buero.tachtler.net> Message-ID: <46BD4005-AF23-45F9-8E59-68188E85344A@veka.com> Nein, hatte natürlich ein newline am Ende. Ich habe die PolicyBank jetzt mal komplett deaktiviert, jetzt läuft es. Jemand einen Tipp, wie ich das zum Laufen bekomme? Ich habe Amavis ja als smtp_proxy_filter an den Anfang der Verarbeitung gesetzt, um frühzeitig SPAM während der SMTP-Session abzuweisen. Dann kann ich nicht mehr mit Postfix-Mitteln entscheiden, sondern muss Amaris nutzen, richtig? Nur wie geht das dann, wenn nicht so wie ich es eingerichtet hatte? :-( Also PolicyBank auf dem Standard-Amavis-Port (10024) und dann mit der Whitelist-Datei entscheiden, wer nur auf Viren und wer komplett geprüft wird. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 03.11.2017 um 12:13 schrieb Klaus Tachtler : > > Hallo Frank, > > das habe ich gefunden (aus dem HowTo, aus dem Du diese Konfiguration evtl. her hast): > > "...maybe the last line of your text file is not terminated with a newline? This happens pretty often..." > ... > "...Added a newline at the end and that was all it took..." > > Ist das bei Dir so? > > Siehe auch: https://forum.iredmail.org/topic4681-iredmail-support-solved-how-to-bypass-amavisd-for-some-senders.html > > > Grüße > Klaus. > > >> Habe ich vl. bei dieser Policy-Bank etwas falsch gemacht? Ich wollte Ausnahmen haben: >> >> # This policy will perform virus checks only. >> read_hash(\%whitelist_sender, '/etc/amavis/whitelist'); >> @whitelist_sender_maps = (\%whitelist_sender); >> >> $interface_policy{'10024'} = 'VIRUSONLY'; >> $policy_bank{'VIRUSONLY'} = { # mail from the pickup daemon >> bypass_spam_checks_maps => ['@whitelist_sender_maps'], # don't spam-check this mail >> bypass_banned_checks_maps => ['@whitelist_sender_maps'], # don't banned-check this mail >> bypass_header_checks_maps => ['@whitelist_sender_maps'], # don't header-check this mail >> }; >> >> >> /etc/amavis/whitelist: >> >> info at cp-translations.de >> firstenergycorp.com >> rwbldgconsultants.com >> e.aicpa.org >> argosy.edu >> bcfymca.org >> weihaus.com >> interealty.net > >> ... >> >> >> master.cf: >> >> smtpd pass - - n - - smtpd >> -o smtpd_proxy_filter=127.0.0.1:10024 >> -o smtpd_client_connection_count_limit=20 >> -o smtpd_proxy_options=speed_adjust >> >> >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster > > > ----- Ende der Nachricht von Frank Fiene > ----- > > > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ > > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From s.neukirchner at konabi.de Mon Nov 13 07:54:05 2017 From: s.neukirchner at konabi.de (Sven Neukirchner) Date: Mon, 13 Nov 2017 07:54:05 +0100 Subject: Probleme mit procmail Message-ID: <000001d35c4c$330bd640$992382c0$@konabi.de> Hallo, ich sende Statusmails von einer Datensicherung. Im Subject steht bei einer solchen Mail "NAS-Backup OK" "NAS-Backup error" Ich möchte einen Filter mit procmail erstellen. Welcher diesen Status auswertet und ein externes Programm startet. Procmailrc: -------------------------------------------------------- VERBOSE=yes DEBUG=yes MAILDIR=/var/procmail/mail LOGFILE=/var/log/procmail SUBJECT=`formail -c -xSubject:` STATUS=`echo $SUBJECT | awk '{print$2}'` :0 w * ^Subject: NAS-Backup | /usr/local/bin/zabbix_nasbackup.sh $STATUS ----------------------------------------------------------------------- Leider bleibt beim Eintreffen einer Mail bei der Verarbeiten der procmailrc die Variable $STATUS leer: procmail: Executing "formail,-c,-xSubject:" procmail: Assigning "SUBJECT= NAS-Backup OK" procmail: Executing "echo $SUBJECT | awk '{print$2}'" procmail: Assigning "STATUS=" procmail: Match on "^Subject: NAS-Backup" procmail: Executing "/usr/local/bin/zabbix_nasbackup.sh" procmail: Assigning "LASTFOLDER=/usr/local/bin/zabbix_nasbackup.sh" procmail: Notified comsat: "fetchmail@:/usr/local/bin/zabbix_nasbackup.sh" Subject: NAS-Backup OK Folder: /usr/local/bin/zabbix_nasbackup.sh 1049 Nehme ich aber eine E-Mail welche ich auf dem Server abgelegt habe und übergebe diese an procmail funktioniert das ganze: procmail < /var/procmail/mail/zabbix/msg.JohM procmail: Executing "formail,-c,-xSubject:" procmail: Assigning "SUBJECT= NAS-Backup OK" procmail: Executing "echo $SUBJECT | awk '{print$2}'" procmail: Assigning "STATUS=OK" procmail: Match on "^Subject: NAS-Backup" procmail: Executing "/usr/local/bin/zabbix_nasbackup.sh,OK" procmail: Assigning "LASTFOLDER=/usr/local/bin/zabbix_nasbackup.sh OK" procmail: Notified comsat: "root@:/usr/local/bin/zabbix_nasbackup.sh OK" Subject: NAS-Backup OK Folder: /usr/local/bin/zabbix_nasbackup.sh OK 1051 Woran kann das liegen? From daniel at mail24.vip Wed Nov 15 15:36:52 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 15 Nov 2017 15:36:52 +0100 Subject: AW: AW: AW: Keine Emails von Ebay und Paypal In-Reply-To: <1507459575.4656.5.camel@felsing.net> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> <1507368064.4656.2.camel@felsing.net> <007a01d33f6b$40b57240$c22056c0$@fblan.de> <1507459575.4656.5.camel@felsing.net> Message-ID: <006101d35e1f$2de49ab0$89add010$@mail24.vip> Hallo nochmal, also von Ebay kann man keinerlei Hilfe erwarten, Postmaster/Hostmaster reagiert weiterhin nicht. Von meinen Domains welche Betroffen sind, kommen sogar Emails zurück, weil Hostname angeblich nicht existiert. : host data.ebay.com[216.113.172.68] said: 553 #5.1.8 Domain of sender address does not exist (in reply to MAIL FROM command) Ich gehe einfach hier von fehlerhafter DNS Konfiguration aus, bzw. dass es gewollt ist von deren Dienstleister. Wenn man DNS von data.ebay.com ansieht tauchen da 2 Anbieter auf, verisigndns.com welche wohl nicht mehr existieren bzw. deren Server, und dynect.net welche wohl einfach Sachen pauschal blockieren. C:\>nslookup mail24.vip. 8.8.8.8 Server: google-public-dns-a.google.com Address: 8.8.8.8 Nicht autorisierende Antwort: Name: mail24.vip Addresses: [korrekten IPs] C:\>nslookup mail24.vip. a1.verisigndns.com Server: a13.verisigndns.com Address: 2001:500:7967::2:33 *** mail24.vip. wurde von a13.verisigndns.com nicht gefunden: Server failed. C:\>nslookup mail24.vip. ns1.p47.dynect.net Server: ns1.p47.dynect.net Address: 2001:500:90:1::47 *** mail24.vip. wurde von ns1.p47.dynect.net nicht gefunden: Query refused. Würde also derzeit schuldigen bei dynect.net suchen. Wenn Ebay deren DNS einsetzt, und die einfach keine IPs ausliefern, ist klar, dass Ebay keine Mails versenden kann. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Christian Felsing Gesendet: Sonntag, 8. Oktober 2017 12:46 An: Diskussionen und Support rund um Postfix Betreff: Re: AW: AW: Keine Emails von Ebay und Paypal Die Gegenstelle empfängt ja Deine Mail und prüft auch Reverse-DNS - in diesem Fall also data.ebay.com. Zumindest wurden meine Mails auch schon einmal von denen abgewiesen, der Grund war eine fehlerhafte Reverse-DNS Konfiguration auf meiner Seite. Viele Grüße Christian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From pkoch at bgc-jena.mpg.de Thu Nov 16 09:41:59 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Thu, 16 Nov 2017 09:41:59 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) Message-ID: Hallo, wir hatten mal wieder den Fall das ein gehackter Account (wahrscheinlich schwaches PW) benutzt wurde (werden sollte ;) ) um Phishing Mails über unseren SMTP-Server zu versenden (gültiger Account mit richtigem PW...). Uns ist es aufgefallen, weil wir die mail queue überwachen und so das sehr schnell mitbekommen haben. Das sperren des Accounts etc machen wir alles in Handarbeit. Frage: Wie macht ihr das ? Gibt es verlässliche Automatismen, die die Reaktionszeit verkürzen ? (In so einem Fall macht es ja wenig Sinn die IP oder den Account für eine Zeitspanne zu sperren) Quasi die evergreen Frage: Was kann man automatisieren und was nicht ;) Freue mich auf eure Erfahrungen und Anregungen ... ;) -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From cite at incertum.net Thu Nov 16 09:54:21 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 16 Nov 2017 09:54:21 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) In-Reply-To: References: Message-ID: <20171116085421.n7wzzi72pahuhnbc@physadeia.incertum.net> * "Dr. Peer-Joachim Koch" : >Quasi die evergreen Frage: Was kann man automatisieren und was nicht ;) MSA-Logs mit datenschutzkonformer Anonymisierung in ein Elasticsearch, von da aus dann einfach schauen, wie viele Treffer es pro Zeiteinheit gibt und wenn es zu viele sind, Alarm auslösen (WARN) oder direkt Account sperren (CRIT). Statt ES und kompletten Logs kannst Du natürlich auch ein Graphite/InfluxDB oder eine andere TSDB benutzen und dann nur die Metriken pro Account abgreifen, wir hatten damals nur noch keine solche Lösung. From bluewind at xinu.at Thu Nov 16 10:30:31 2017 From: bluewind at xinu.at (Florian Pritz) Date: Thu, 16 Nov 2017 10:30:31 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) In-Reply-To: References: Message-ID: <653ff814-cc74-db76-3a90-b4f07dbbfc8e@xinu.at> On 16.11.2017 09:41, Dr. Peer-Joachim Koch wrote: > Gibt es verlässliche Automatismen, die die Reaktionszeit > verkürzen ? > (In so einem Fall macht es ja wenig Sinn die IP oder den > Account für eine Zeitspanne zu sperren) Warum macht das wenig Sinn? Die automatische Sperre verhindert, dass mehr passieren kann und du hast weniger Zeitdruck auf das Problem zu reagieren. Du kannst auch, statt den Account zu sperren, die Mails in der queue halten (HOLD), dann dauert eben die Zustellung länger, aber du hast halt eventuell auch unnötigen Aufwand mit Durchschauen/Aufräumen. postfwd config Beispiel wie man sowas machen kann: http://postfix.1071664.n5.nabble.com/ot-monitoring-for-spam-breaches-cleanup-woes-tp71890p72069.html Abgesehen davon kannst du deine ausgehenden Mails durch einen Spamfilter schicken, aber ein Limit würde ich immer zusätzlich einstellen. Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 858 bytes Beschreibung: OpenPGP digital signature URL : From p at sys4.de Thu Nov 16 11:12:04 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Thu, 16 Nov 2017 11:12:04 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) In-Reply-To: References: Message-ID: <20171116101204.wdmobxagpovt62cz@sys4.de> * Dr. Peer-Joachim Koch : > Hallo, > > wir hatten mal wieder den Fall das ein gehackter Account (wahrscheinlich > schwaches PW) benutzt wurde (werden sollte ;) ) > um Phishing Mails über unseren SMTP-Server zu versenden (gültiger Account > mit richtigem PW...). Uns ist es aufgefallen, > weil wir die mail queue überwachen und so das sehr schnell mitbekommen > haben. > Das sperren des Accounts etc machen wir alles in Handarbeit. > > Frage: Wie macht ihr das ? > > Gibt es verlässliche Automatismen, die die Reaktionszeit verkürzen > ? Wir nähern uns dem Thema über Anomalien. Dazu finden wir erst einmal durch Analysen des Mailverkehrs heraus, was normal ist. Erst mal kaufen wir uns dann Zeit und verringern den Impact, indem wir die Kombination Netz, Uhrzeit und Tag zu verschiedenen Rate Limits schmieden. Das verhindert schon mal, dass jemand Sonntag Nacht aus China Vollgas geben kann. Zur selben Zeit dürfte jemand aus der trusted IP Range die Ressourcen der Plattform ungehindert nutzen. Dann haben wir ein Tool, das bei wechselnden Geolocations derselben Identität bei einem Schwellwert den Account zumacht. Zusätzlich sehen wir uns die IP an. Wenn die innerhalb desselben Netzes zu oft wechselt gibt es auch einen Platzverweis. Dann setzen wir ein Flag 'abused' im Backend (LDAP, SQL) des Accounts. Das fragen wir on the fly mit check_sasl_access ab und liefern ein "4.. abused" zurück. Und wir senden eine signierte Notification von abuse at ... an die Mailbox des Identity-Owners. Ausserdem landet der Account auf dem Monitoring Schirm im NOC und bei den Kundenbetreuern. Ein anderes Tool weiß welche Identität (zu dem Zeitpunkt in der DB nur ein Hash) welches typische Sendeverhalten (Zeit, Tag, Volumen) hat. Das hat auch noch mitzureden. Dann beobachten wir die Ablehnungsrate der Zielserver. Wenn die über einen Schwellwert steigt, gehen die E-Mails des Senders auf HOLD, ein Alarm wird ausgelöst und die Nachrichten werden genauer inspiziert. Ggf. sichern wir das Zeug dann mit https://github.com/sys4/postproof raus. Solche Mails laufen bei uns auch noch in pyzor rein und auf den MXen fragen wir unsere eigene DB ab, damit wir uns nicht selbst oder von anderen Plattformen den Kram reinschieben, den wir gerade identifiziert und rausgekratzt haben. Das funktioniert sehr gut, hat so gut wie nie FPs und läßt sich wunderbar automatisieren. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From pkoch at bgc-jena.mpg.de Thu Nov 16 11:46:40 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Thu, 16 Nov 2017 11:46:40 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) In-Reply-To: <20171116101204.wdmobxagpovt62cz@sys4.de> References: <20171116101204.wdmobxagpovt62cz@sys4.de> Message-ID: Hört sich gut an. Allerdings hört sich das auch nach einer Lösung an, die über einige Zeit schrittweise optimiert wurde. Muss ich mal sehen, was ich hier in welcher Zeit umsetzen kann. In vielen Fällen ist es schwierig zu sagen, was eigentlich "normal" ist, wenn man sich schon über einen längeren Zeitpunkt diesen Parameter überwacht hat. Wenn man solche Parameter hat wird vieles leichter. Vielen Dank! Ciao, Peer On 16.11.2017 11:12, Patrick Ben Koetter wrote: > * Dr. Peer-Joachim Koch : >> Hallo, >> >> wir hatten mal wieder den Fall das ein gehackter Account (wahrscheinlich >> schwaches PW) benutzt wurde (werden sollte ;) ) >> um Phishing Mails über unseren SMTP-Server zu versenden (gültiger Account >> mit richtigem PW...). Uns ist es aufgefallen, >> weil wir die mail queue überwachen und so das sehr schnell mitbekommen >> haben. >> Das sperren des Accounts etc machen wir alles in Handarbeit. >> >> Frage: Wie macht ihr das ? >> >> Gibt es verlässliche Automatismen, die die Reaktionszeit verkürzen >> ? > Wir nähern uns dem Thema über Anomalien. > > Dazu finden wir erst einmal durch Analysen des Mailverkehrs heraus, was normal > ist. > > Erst mal kaufen wir uns dann Zeit und verringern den Impact, indem wir die > Kombination Netz, Uhrzeit und Tag zu verschiedenen Rate Limits schmieden. Das > verhindert schon mal, dass jemand Sonntag Nacht aus China Vollgas geben kann. > Zur selben Zeit dürfte jemand aus der trusted IP Range die Ressourcen der > Plattform ungehindert nutzen. > > Dann haben wir ein Tool, das bei wechselnden Geolocations derselben Identität > bei einem Schwellwert den Account zumacht. Zusätzlich sehen wir uns die IP an. > Wenn die innerhalb desselben Netzes zu oft wechselt gibt es auch einen > Platzverweis. Dann setzen wir ein Flag 'abused' im Backend (LDAP, SQL) des > Accounts. > > Das fragen wir on the fly mit check_sasl_access ab und liefern ein "4.. > abused" zurück. Und wir senden eine signierte Notification von abuse at ... an > die Mailbox des Identity-Owners. Ausserdem landet der Account auf dem > Monitoring Schirm im NOC und bei den Kundenbetreuern. > > Ein anderes Tool weiß welche Identität (zu dem Zeitpunkt in der DB nur ein > Hash) welches typische Sendeverhalten (Zeit, Tag, Volumen) hat. Das hat auch > noch mitzureden. > > Dann beobachten wir die Ablehnungsrate der Zielserver. Wenn die über einen > Schwellwert steigt, gehen die E-Mails des Senders auf HOLD, ein Alarm wird > ausgelöst und die Nachrichten werden genauer inspiziert. Ggf. sichern wir das > Zeug dann mit https://github.com/sys4/postproof raus. > > Solche Mails laufen bei uns auch noch in pyzor rein und auf den MXen fragen > wir unsere eigene DB ab, damit wir uns nicht selbst oder von anderen > Plattformen den Kram reinschieben, den wir gerade identifiziert und > rausgekratzt haben. > > Das funktioniert sehr gut, hat so gut wie nie FPs und läßt sich wunderbar > automatisieren. > > p at rick > > -- Mit freundlichen Grüßen, Peer-Joachim Koch ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From gjn at gjn.priv.at Sun Nov 19 13:34:12 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Sun, 19 Nov 2017 13:34:12 +0100 Subject: postfix / postscreen Problem Message-ID: <16428839.loj84v5JXF@techz> Hallo Liste, Ich komme da anscheinend nicht weiter, ich habe einen Fehler in meiner Konfiguration der anscheinend nicht zu finden ist ? Ich benutze postfix 3.2.3 mit Centos 7.4 irgendwie ist das für mich nicht logisch ? laut log ist die Mail ja schon abgeleht (jedefalls für mich), kommt aber trotzdem durch Das ist ein auszug aus dem Log mehr steht nicht drin trotz dem Hinweis auf das Log ? die domain ist meine Hauptdomain, den User gibt es nicht ?? Nov 19 12:59:27 mx01 postfix/postscreen[27782]: CONNECT from [198.2.186.15]: 26200 to [89.26.108.7]:25 Nov 19 12:59:27 mx01 postfix/dnsblog[27786]: addr 198.2.186.15 listed by domain list.dnswl.org as 127.0.15.0 Nov 19 12:59:27 mx01 postfix/dnsblog[27784]: addr 198.2.186.15 listed by domain hostkarma.junkemailfilter.com as 127.0.0.3 Nov 19 12:59:27 mx01 postfix/dnsblog[27784]: addr 198.2.186.15 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1 Nov 19 12:59:29 mx01 postfix/dnsblog[27794]: addr 198.2.186.15 listed by domain wl.mailspike.net as 127.0.0.18 Nov 19 12:59:32 mx01 postfix/postscreen[27782]: PASS OLD [198.2.186.15]:26200 Nov 19 12:59:32 mx01 postfix/smtpd[27801]: connect from mail186-15.suw21.mandrillapp.com[198.2.186.15] Nov 19 12:59:32 mx01 postfix/smtpd[27801]: Anonymous TLS connection established from mail186-15.suw21.mandrillapp.com[198.2.186.15]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Nov 19 12:59:33 mx01 postfix/smtpd[27801]: NOQUEUE: reject: RCPT from mail186-15.suw21.mandrillapp.com[198.2.186.15]: 450 4.1.1 : Recipient address rejected: unverified address: host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error occurred. Refer to server log for more information. (in reply to RCPT TO command); from= to= proto=ESMTP helo= Nov 19 12:59:33 mx01 postfix/smtpd[27801]: disconnect from mail186-15.suw21.mandrillapp.com[198.2.186.15] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max connection rate 1/60s for (smtpd:198.2.186.15) at Nov 19 12:59:32 Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max connection count 1 for (smtpd:198.2.186.15) at Nov 19 12:59:32 Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max cache size 1 at Nov 19 12:59:32 Nov 19 13:14:33 mx01 postfix/postscreen[28606]: CONNECT from [198.2.186.15]: 38242 to [89.26.108.7]:25 Nov 19 13:14:33 mx01 postfix/dnsblog[28608]: addr 198.2.186.15 listed by domain hostkarma.junkemailfilter.com as 127.0.0.3 Nov 19 13:14:33 mx01 postfix/dnsblog[28608]: addr 198.2.186.15 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1 Nov 19 13:14:33 mx01 postfix/dnsblog[28609]: addr 198.2.186.15 listed by domain list.dnswl.org as 127.0.15.0 Nov 19 13:14:34 mx01 postfix/dnsblog[28617]: addr 198.2.186.15 listed by domain wl.mailspike.net as 127.0.0.18 Nov 19 13:14:38 mx01 postfix/postscreen[28606]: PASS OLD [198.2.186.15]:38242 Nov 19 13:14:38 mx01 postfix/smtpd[28624]: connect from mail186-15.suw21.mandrillapp.com[198.2.186.15] Nov 19 13:14:39 mx01 postfix/smtpd[28624]: Anonymous TLS connection established from mail186-15.suw21.mandrillapp.com[198.2.186.15]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Nov 19 13:14:39 mx01 postfix/smtpd[28624]: NOQUEUE: reject: RCPT from mail186-15.suw21.mandrillapp.com[198.2.186.15]: 450 4.1.1 : Recipient address rejected: unverified address: host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error occurred. Refer to server log for more information. (in reply to RCPT TO command); from= to= proto=ESMTP helo= Nov 19 13:14:39 mx01 postfix/smtpd[28624]: disconnect from mail186-15.suw21.mandrillapp.com[198.2.186.15] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6 Nov 19 13:17:59 mx01 postfix/anvil[28626]: statistics: max connection rate 1/60s for (smtpd:198.2.186.15) at Nov 19 13:14:38 Nov 19 13:17:59 mx01 postfix/anvil[28626]: statistics: max connection count 1 for (smtpd:198.2.186.15) at Nov 19 13:14:38 postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases bounce_template_file = /etc/postfix/bounce.de-DE.cf broken_sasl_auth_clients = yes command_directory = /usr/sbin compatibility_level = 2 daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 default_database_type = btree html_directory = no inet_interfaces = all lmtp_dns_support_level = dnssec mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 20480000 meta_directory = /etc/postfix milter_default_action = accept milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen} milter_protocol = 6 milter_rcpt_macros = i {rcpt_addr} mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost myhostname = mx01.4gjn.com mynetworks = 89.26.108.0/28, 127.0.0.0/8, 192.168.100.0/24, [2001:470:1f0b: 371::]/64 myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix postscreen_access_list = permit_mynetworks cidr:/etc/postfix/ postscreen_access.cidr postscreen_bare_newline_action = drop postscreen_bare_newline_enable = yes postscreen_blacklist_action = drop postscreen_cache_map = memcache:/etc/postfix/postscreen_cache postscreen_dnsbl_action = enforce postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3 b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255]. [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0. [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 postscreen_dnsbl_threshold = 3 postscreen_dnsbl_ttl = 1h postscreen_dnsbl_whitelist_threshold = -1 postscreen_greet_action = enforce postscreen_non_smtp_command_enable = yes postscreen_pipelining_enable = yes postscreen_whitelist_interfaces = static:all proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix3-3.2.3/README_FILES recipient_delimiter = + relay_domains = btree:/etc/postfix/relay_domains sample_directory = /usr/share/doc/postfix3-3.2.3/samples sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop shlib_directory = /usr/lib/postfix smtp_dns_support_level = dnssec smtp_sasl_security_options = noplaintext, noanonymous smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2,!SSLv3 smtp_tls_security_level = dane smtp_use_tls = yes smtpd_helo_required = yes smtpd_milters = inet:localhost:11332 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient, reject_invalid_hostname smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous, smtpd_sasl_type = dovecot smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/ check_sender_access smtpd_tls_CAfile = /etc/pki/tls/cert.pem smtpd_tls_CApath = /etc/pki/tls smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_1024.pem smtpd_tls_eecdh_grade = ultra smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, MD5, PSK, aECDH, EDH- DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA. CAMELLIA256-SHA smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128- SHA. CAMELLIA256-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_use_tls = yes tls_preempt_cipherlist = yes tls_random_bytes = 128 transport_maps = btree:/etc/postfix/transport, $relay_domains unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 virtual_alias_maps = btree:/etc/postfix/virtual_alias für jede Hilfe dankbar, -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From max.grobecker at ml.grobecker.info Sun Nov 19 14:12:09 2017 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Sun, 19 Nov 2017 14:12:09 +0100 Subject: Frage zu Vorgehen bei Problemen (gehackter Account) In-Reply-To: References: <20171116101204.wdmobxagpovt62cz@sys4.de> Message-ID: Hallo, wir scannen bei uns ausgehende E-Mails auf verschiedene Auffälligkeiten wie natürlich infizierte Anhänge, URLS in DNSBL, bekannte Phishing-URLs gegen DNSBL und so weiter. Das geschieht über eine eigene Policy-Bank in Amavis - die Mails werden dabei nicht getagged oder abgewiesen. Noja, doch, wenn infizierte Anhänge gefunden werden, aber... Jedenfalls erzeugt das Einträge im Log auf die man dann mit Fail2ban suchen und den Account sperren kann. Das hat in den letzten Jahren lediglich einen False Positive erzeugt, da der Nutzer unbedingt in seiner Signatur eine Short-URL nutzen musste, deren Dienst auf einer Blacklist gelandet war. Zusätzlich verwenden wir in Postfix die smtpd_client_message_rate_limit und smtpd_client_recipient_rate_limit, womit ein massiver Ausbruch wenigstens eingedämmt werden kann. Die Werte sind hier etwa 5x so hoch konfiguriert, wie das normale Peak-Mailvolumen. Diese Limits greifen also nur, wenn jemand den Mailserver ganz übel flutet. Das erzeugt ebenfalls Logeinträge für Fail2ban und hilft zudem, den Mailserver vor Flooding durch einzelne Clients zu schützen. Leider greifen die nicht pro Benutzer sondern pro Client (also IP-Basiert). Wenn da also von hunderten IP-Adressen der Account missbraucht wird, hilft dir das im Zweifel nur wenig. Max -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From ad+lists at uni-x.org Sun Nov 19 14:53:57 2017 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Sun, 19 Nov 2017 14:53:57 +0100 Subject: postfix / postscreen Problem In-Reply-To: <16428839.loj84v5JXF@techz> References: <16428839.loj84v5JXF@techz> Message-ID: <1100aa65-4226-e61c-bd5f-10eaa0ed433b@uni-x.org> Am 19.11.2017 um 13:34 schrieb Günther J. Niederwimmer: > Hallo Liste, > > Ich komme da anscheinend nicht weiter, ich habe einen Fehler in meiner > Konfiguration der anscheinend nicht zu finden ist ? > Ich benutze postfix 3.2.3 > mit Centos 7.4 > > irgendwie ist das für mich nicht logisch ? > > laut log ist die Mail ja schon abgeleht (jedefalls für mich), kommt aber > trotzdem durch Wo siehst Du, dass die Mail durch postscreen abgelehnt sei? > Das ist ein auszug aus dem Log mehr steht nicht drin trotz dem Hinweis auf das > Log ? > > die domain ist meine Hauptdomain, den User gibt es nicht ?? > > Nov 19 12:59:27 mx01 postfix/postscreen[27782]: CONNECT from [198.2.186.15]: > 26200 to [89.26.108.7]:25 > Nov 19 12:59:27 mx01 postfix/dnsblog[27786]: addr 198.2.186.15 listed by domain > list.dnswl.org as 127.0.15.0 > Nov 19 12:59:27 mx01 postfix/dnsblog[27784]: addr 198.2.186.15 listed by domain > hostkarma.junkemailfilter.com as 127.0.0.3 > Nov 19 12:59:27 mx01 postfix/dnsblog[27784]: addr 198.2.186.15 listed by domain > hostkarma.junkemailfilter.com as 127.0.1.1 > Nov 19 12:59:29 mx01 postfix/dnsblog[27794]: addr 198.2.186.15 listed by domain > wl.mailspike.net as 127.0.0.18 4 Listentreffer gemäß Deiner postscreen Konfiguration in main.cf: list.dnswl.org as 127.0.15.0 => -1 hostkarma.junkemailfilter.com as 127.0.0.3 => +1 hostkarma.junkemailfilter.com as 127.0.1.1 => +1 wl.mailspike.net as 127.0.0.18 => -1 In Summe also 0 Punkte. Warum sollte postscreen also die weitere Bearbeitung blockieren? > Nov 19 12:59:32 mx01 postfix/postscreen[27782]: PASS OLD [198.2.186.15]:26200 Und hier siehst Du, dass der Client bereits als PASS gecached wurde. > Nov 19 12:59:32 mx01 postfix/smtpd[27801]: connect from > mail186-15.suw21.mandrillapp.com[198.2.186.15] > Nov 19 12:59:32 mx01 postfix/smtpd[27801]: Anonymous TLS connection established > from mail186-15.suw21.mandrillapp.com[198.2.186.15]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Nov 19 12:59:33 mx01 postfix/smtpd[27801]: NOQUEUE: reject: RCPT from > mail186-15.suw21.mandrillapp.com[198.2.186.15]: 450 4.1.1 : > Recipient address rejected: unverified address: host 127.0.0.1[127.0.0.1] said: > 451 4.3.0 Internal error occurred. Refer to server log for > more information. (in reply to RCPT TO command); from= md_30850198.5a102b70.v1-1d0c1d0322214796898a5b483cceef02 at mandrillapp.com> > to= proto=ESMTP helo= > Nov 19 12:59:33 mx01 postfix/smtpd[27801]: disconnect from > mail186-15.suw21.mandrillapp.com[198.2.186.15] ehlo=2 starttls=1 mail=1 > rcpt=0/1 quit=1 commands=5/6 > Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max connection rate > 1/60s for (smtpd:198.2.186.15) at Nov 19 12:59:32 > Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max connection count 1 > for (smtpd:198.2.186.15) at Nov 19 12:59:32 > Nov 19 13:02:53 mx01 postfix/anvil[27803]: statistics: max cache size 1 at Nov > 19 12:59:32 > Nov 19 13:14:33 mx01 postfix/postscreen[28606]: CONNECT from [198.2.186.15]: > 38242 to [89.26.108.7]:25 > Nov 19 13:14:33 mx01 postfix/dnsblog[28608]: addr 198.2.186.15 listed by domain > hostkarma.junkemailfilter.com as 127.0.0.3 > Nov 19 13:14:33 mx01 postfix/dnsblog[28608]: addr 198.2.186.15 listed by domain > hostkarma.junkemailfilter.com as 127.0.1.1 > Nov 19 13:14:33 mx01 postfix/dnsblog[28609]: addr 198.2.186.15 listed by domain > list.dnswl.org as 127.0.15.0 > Nov 19 13:14:34 mx01 postfix/dnsblog[28617]: addr 198.2.186.15 listed by domain > wl.mailspike.net as 127.0.0.18 > Nov 19 13:14:38 mx01 postfix/postscreen[28606]: PASS OLD [198.2.186.15]:38242 > Nov 19 13:14:38 mx01 postfix/smtpd[28624]: connect from > mail186-15.suw21.mandrillapp.com[198.2.186.15] > Nov 19 13:14:39 mx01 postfix/smtpd[28624]: Anonymous TLS connection established > from mail186-15.suw21.mandrillapp.com[198.2.186.15]: TLSv1.2 with cipher > ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Nov 19 13:14:39 mx01 postfix/smtpd[28624]: NOQUEUE: reject: RCPT from > mail186-15.suw21.mandrillapp.com[198.2.186.15]: 450 4.1.1 : > Recipient address rejected: unverified address: host 127.0.0.1[127.0.0.1] said: > 451 4.3.0 Internal error occurred. Refer to server log for > more information. (in reply to RCPT TO command); from= md_30850198.5a102b70.v1-1d0c1d0322214796898a5b483cceef02 at mandrillapp.com> > to= proto=ESMTP helo= > Nov 19 13:14:39 mx01 postfix/smtpd[28624]: disconnect from > mail186-15.suw21.mandrillapp.com[198.2.186.15] ehlo=2 starttls=1 mail=1 > rcpt=0/1 quit=1 commands=5/6 > Nov 19 13:17:59 mx01 postfix/anvil[28626]: statistics: max connection rate > 1/60s for (smtpd:198.2.186.15) at Nov 19 13:14:38 > Nov 19 13:17:59 mx01 postfix/anvil[28626]: statistics: max connection count 1 > for (smtpd:198.2.186.15) at Nov 19 13:14:38 > > postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > bounce_template_file = /etc/postfix/bounce.de-DE.cf > broken_sasl_auth_clients = yes > command_directory = /usr/sbin > compatibility_level = 2 > daemon_directory = /usr/libexec/postfix > data_directory = /var/lib/postfix > debug_peer_level = 2 > debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd > $daemon_directory/$process_name $process_id & sleep 5 > default_database_type = btree > html_directory = no > inet_interfaces = all > lmtp_dns_support_level = dnssec > mail_owner = postfix > mailq_path = /usr/bin/mailq.postfix > manpage_directory = /usr/share/man > message_size_limit = 20480000 > meta_directory = /etc/postfix > milter_default_action = accept > milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen} > milter_protocol = 6 > milter_rcpt_macros = i {rcpt_addr} > mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost > myhostname = mx01.4gjn.com > mynetworks = 89.26.108.0/28, 127.0.0.0/8, 192.168.100.0/24, [2001:470:1f0b: > 371::]/64 > myorigin = $mydomain > newaliases_path = /usr/bin/newaliases.postfix > postscreen_access_list = permit_mynetworks cidr:/etc/postfix/ > postscreen_access.cidr > postscreen_bare_newline_action = drop > postscreen_bare_newline_enable = yes > postscreen_blacklist_action = drop > postscreen_cache_map = memcache:/etc/postfix/postscreen_cache > postscreen_dnsbl_action = enforce > postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply > postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3 > b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de > bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com > ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de > list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 > list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255]. > [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0. > [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 > postscreen_dnsbl_threshold = 3 > postscreen_dnsbl_ttl = 1h > postscreen_dnsbl_whitelist_threshold = -1 > postscreen_greet_action = enforce > postscreen_non_smtp_command_enable = yes > postscreen_pipelining_enable = yes > postscreen_whitelist_interfaces = static:all > proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache > queue_directory = /var/spool/postfix > readme_directory = /usr/share/doc/postfix3-3.2.3/README_FILES > recipient_delimiter = + > relay_domains = btree:/etc/postfix/relay_domains > sample_directory = /usr/share/doc/postfix3-3.2.3/samples > sendmail_path = /usr/sbin/sendmail.postfix > setgid_group = postdrop > shlib_directory = /usr/lib/postfix > smtp_dns_support_level = dnssec > smtp_sasl_security_options = noplaintext, noanonymous > smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt > smtp_tls_loglevel = 1 > smtp_tls_mandatory_ciphers = high > smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, > aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA > smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtp_tls_note_starttls_offer = yes > smtp_tls_protocols = !SSLv2,!SSLv3 > smtp_tls_security_level = dane > smtp_use_tls = yes Warum dieser Eintrag (smtp_use_tls) in Kombination mit dem Eintrag davor? Lies doch noch mal die manpage. > smtpd_helo_required = yes > smtpd_milters = inet:localhost:11332 > smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, > reject_unauth_destination, reject_unverified_recipient, reject_invalid_hostname > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = no > smtpd_sasl_path = private/auth > smtpd_sasl_security_options = noanonymous, noplaintext > smtpd_sasl_tls_security_options = noanonymous, > smtpd_sasl_type = dovecot > smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/ > check_sender_access > smtpd_tls_CAfile = /etc/pki/tls/cert.pem > smtpd_tls_CApath = /etc/pki/tls > smtpd_tls_ask_ccert = yes > smtpd_tls_auth_only = yes > smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem > smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem > smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_1024.pem > smtpd_tls_eecdh_grade = ultra > smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, MD5, PSK, aECDH, EDH- > DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA. > CAMELLIA256-SHA > smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key > smtpd_tls_loglevel = 1 > smtpd_tls_mandatory_ciphers = high > smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, MD5, PSK, aECDH, > EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128- > SHA. CAMELLIA256-SHA > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2,!SSLv3 > smtpd_tls_received_header = yes > smtpd_tls_security_level = may > smtpd_use_tls = yes Hier ebenso. Entferne smtpd_use_tls > tls_preempt_cipherlist = yes > tls_random_bytes = 128 > transport_maps = btree:/etc/postfix/transport, $relay_domains > unknown_local_recipient_reject_code = 550 > unverified_recipient_reject_code = 577 > virtual_alias_maps = btree:/etc/postfix/virtual_alias > > für jede Hilfe dankbar, > From andreas.schulze at datev.de Mon Nov 20 07:21:54 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 20 Nov 2017 07:21:54 +0100 Subject: postfix / postscreen Problem In-Reply-To: <1100aa65-4226-e61c-bd5f-10eaa0ed433b@uni-x.org> References: <16428839.loj84v5JXF@techz> <1100aa65-4226-e61c-bd5f-10eaa0ed433b@uni-x.org> Message-ID: Am 19.11.2017 um 14:53 schrieb Alexander Dalloz: > Recipient address rejected: unverified address: host 127.0.0.1[127.0.0.1] said: > 451 4.3.0 Internal error occurred. Refer to server log for > more information. das wäre auch einen Blick wert ... -- A. Schulze DATEV eG From t.schneider at tms-itdienst.at Thu Nov 23 14:34:12 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 23 Nov 2017 14:34:12 +0100 Subject: Mailman Einfallstor? Message-ID: <8a68c826-5373-9c4d-6c22-9b22dc4ae8c9@tms-itdienst.at> Hallo, ist das Manipulation, oder verwendet da wirklich jemand mein mailman? Return-Path: X-Original-To: t.schneider at tms-itdienst.at Delivered-To: timm at mail.tms-it.net Received: from web.tms-it.net (localhost [IPv6:::1]) by mail.tms-it.net (Postfix) with ESMTP id 0359C441C31 for ; Thu, 23 Nov 2017 14:07:40 +0100 (CET) X-Original-To: mailman-bounces at listen.tms-it.net Delivered-To: mailman-bounces at listen.tms-it.net Received: from mail.cpa-incloud.biz.ua (mail.cpa-incloud.biz.ua [94.242.206.149]) by mail.tms-it.net (Postfix) with ESMTP id A7307441C2E for ; Thu, 23 Nov 2017 14:07:38 +0100 (CET) Received: from cpa-incloud.biz.ua (mail.cpa-incloud.biz.ua [94.242.206.149]) by mail.cpa-incloud.biz.ua (Postfix) with ESMTPA id DFC4629C29; Thu, 23 Nov 2017 13:49:38 +0200 (EET) Message-ID: From: "Bitcoin" Wenn ja, was habe ich da falsch gemacht? Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfix at linuxmaker.com Fri Nov 24 17:48:56 2017 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Fri, 24 Nov 2017 17:48:56 +0100 Subject: 553 5.7.1 Sender address rejected: not logged in Message-ID: <2867483.XFDkE1Nmjx@stuttgart> Hallo und guten Abend, ich habe einen Gateway-Mailserver mit Postfix 2.11.3 auf Debian Jessie für mehrere Domains laufen. Auf einem Apache-Server mit Postfix 3.1.6 ist ein Smartrelay-Server eingerichtet, damit meine Typo3-Installationen (v8.7.8) per "sendmail -t -i" Formulare versenden können. Dazu habe ich noreply at example.de auf dem Gateway-Mailserver eingerichtet und die LocalConfiguration.php. Der Versand vom Smartrelay-Server zum Gateway-Mailserver klappt auch. Nur Letzterer meldet dann: "553 5.7.1: Sender address rejected: not logged in (in reply to RCPT TO command)" Das habe ich insoweit so verstanden, dass, wenn man als Absender (Envelope From), eine Mail angibt welche auch ein Postfach auf dem Empfängersystem besitzt, Postfix die Mail ablehnt. Wie kann ich das jetzt lösen? Wenn noreply at example.de nicht auf dem Mailserver existiert, dann wird die Mail vom Smartrelay-Server gar nicht akzeptiert. Anbei meine main.cf: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 1d broken_sasl_auth_clients = yes config_directory = /etc/postfix disable_vrfy_command = yes html_directory = /usr/share/doc/postfix/html inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 maximal_backoff_time = 1800s maximal_queue_lifetime = 1d message_size_limit = 26214400 milter_default_action = accept milter_protocol = 6 minimal_backoff_time = 300s mydestination = mail.example.de, localhost.example.de, localhost myhostname = mail.example.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.4/32 myorigin = /etc/mailname non_smtpd_milters = inet:127.0.0.1:10040 postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/ postscreen_access.cidr postscreen_bare_newline_enable = no postscreen_blacklist_action = drop postscreen_cache_cleanup_interval = 24h postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache postscreen_dnsbl_action = enforce postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[10;11]*8 zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.4*1 hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0. [18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2 postscreen_dnsbl_threshold = 8 postscreen_dnsbl_ttl = 5m postscreen_greet_action = enforce postscreen_greet_banner = $smtpd_banner postscreen_greet_ttl = 2d postscreen_greet_wait = 3s postscreen_non_smtp_command_enable = no postscreen_pipelining_enable = no proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps queue_run_delay = 300s readme_directory = /usr/share/doc/postfix recipient_delimiter = + relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf relay_recipient_maps = proxy:mysql:/etc/postfix/sql/ mysql_virtual_alias_maps.cf relayhost = smtp_header_checks = pcre:/etc/postfix/anonymize_headers.pcre smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_cert_file = /etc/ssl/mail/mail.crt smtp_tls_key_file = /etc/ssl/mail/mail.key smtp_tls_loglevel = 1 smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname smtpd_data_restrictions = reject_unauth_pipelining, permit smtpd_delay_reject = yes smtpd_error_sleep_time = 10s smtpd_hard_error_limit = ${stress?1}${stress:5} smtpd_helo_required = yes smtpd_milters = inet:127.0.0.1:10040 smtpd_proxy_timeout = 600s smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_reverse_client_hostname, reject_unauth_destination, check_sender_access hash:/etc/postfix/sender_access smtpd_restriction_classes = z1_greylisting smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_path = private/auth_dovecot smtpd_sasl_type = dovecot smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/ mysql_virtual_sender_acl.cf, proxy:mysql:/etc/postfix/sql/ mysql_virtual_alias_maps.cf smtpd_sender_restrictions = reject_sender_login_mismatch, permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject_unlisted_sender, reject_unknown_sender_domain smtpd_soft_error_limit = 3 smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/ssl/private/mail.example.de.crt smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA smtpd_tls_key_file = /etc/ssl/private/mail.example.de.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA +SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128: +SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:! ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf, proxy:mysql:/ etc/postfix/sql/mysql_virtual_alias_domain_maps.cf, proxy:mysql:/etc/postfix/ sql/mysql_virtual_alias_domain_catchall_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /var/vmail/ virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/ mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/ mysql_virtual_mailbox_maps.cf, proxy:mysql:/etc/postfix/sql/ mysql_virtual_alias_domain_mailbox_maps.cf virtual_minimum_uid = 104 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 z1_greylisting = permit_dnswl_client list.dnswl.org, check_policy_service inet:127.0.0.1:10023 Die master.cf: smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd -o smtpd_helo_restrictions=permit_mynetworks,reject_non_fqdn_helo_hostname -o smtpd_proxy_filter=127.0.0.1:10025 -o smtpd_client_connection_count_limit=10 -o smtpd_proxy_options=speed_adjust smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_proxy_filter=127.0.0.1:10025 -o smtpd_client_connection_count_limit=10 -o smtpd_proxy_options=speed_adjust submission inet n - - - - smtpd -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_proxy_filter=127.0.0.1:10025 -o smtpd_client_connection_count_limit=10 -o smtpd_proxy_options=speed_adjust -o smtpd_enforce_tls=yes -o smtpd_tls_security_level=encrypt -o tls_preempt_cipherlist=yes tlsproxy unix - - n - 0 tlsproxy dnsblog unix - - n - 0 dnsblog pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store $ {nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} 127.0.0.1:10026 inet n - n - - smtpd -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks -o smtpd_milters=inet:127.0.0.1:10040 Das Log auf dem Smartrelay, dem Webserver bei Versenden einer Typo3-Testmail: Nov 24 17:18:03 apache2425 postfix/pickup[13062]: D6D8A6A: uid=33 from= Nov 24 17:18:03 apache2425 postfix/cleanup[13364]: D6D8A6A: message- id= Nov 24 17:18:03 apache2425 postfix/qmgr[12429]: D6D8A6A: from=, size=937, nrcpt=1 (queue active) Nov 24 17:18:04 apache2425 postfix/smtp[13368]: D6D8A6A: to=, relay=mail.example.de[187.54.78.28]:25, delay=0.48, delays=0.13/0.01/0.24/0.1, dsn=5.7.1, status=bounced (host mail.example.de[187.54.78.28] said: 553 5.7.1 : Sender address rejected: not logged in (in reply to RCPT TO command)) Nov 24 17:18:04 apache2425 postfix/cleanup[13364]: 400446B: message- id=<20171124161804.400446B at apache2425.it-example.com> Nov 24 17:18:04 apache2425 postfix/bounce[13369]: D6D8A6A: sender non-delivery notification: 400446B Nov 24 17:18:04 apache2425 postfix/qmgr[12429]: 400446B: from=<>, size=3141, nrcpt=1 (queue active) Nov 24 17:18:04 apache2425 postfix/qmgr[12429]: D6D8A6A: removed Nov 24 17:18:08 apache2425 postfix/smtp[13368]: 400446B: to=, relay=mail.example.de[187.54.78.28]:25, delay=4, delays=0.06/0/0.02/3.9, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 58C3E121253) Nov 24 17:18:08 apache2425 postfix/qmgr[12429]: 400446B: removed Das Log passend auf dem Mailserver: Nov 24 17:18:03 mail postfix/postscreen[4533]: CONNECT from [187.54.78.30]: 60636 to [192.168.1.2]:25 Nov 24 17:18:04 mail postfix/postscreen[4533]: PASS OLD [187.54.78.30]:60636 Nov 24 17:18:04 mail postfix/smtpd[4542]: connect from apache2.it- example.com[187.54.78.30] Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: reject: RCPT from apache2.it-example.com[187.54.78.30]: 553 5.7.1 : Sender address rejected: not logged in; from= to= proto=ESMTP helo= Nov 24 17:18:04 mail postfix/smtpd[4542]: disconnect from apache2.it- example.com[187.54.78.30] Nov 24 17:18:04 mail postfix/postscreen[4533]: CONNECT from [187.54.78.30]: 60638 to [192.168.1.2]:25 Nov 24 17:18:04 mail postfix/postscreen[4533]: PASS OLD [187.54.78.30]:60638 Nov 24 17:18:04 mail postfix/smtpd[4542]: connect from apache2.it- example.com[187.54.78.30] Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: client=apache2.it- example.com[187.54.78.30] Nov 24 17:18:04 mail postfix/smtpd[4543]: connect from localhost[127.0.0.1] Nov 24 17:18:04 mail postfix/smtpd[4543]: 58C3E121253: client=localhost[127.0.0.1], orig_client=apache2.it-example.com[187.54.78.30] Nov 24 17:18:04 mail spamd[2227]: spamd: got connection over /var/run/ spamd.sock Nov 24 17:18:04 mail spamd[2227]: spamd: processing message <20171124161804.400446B at apache2425.it-example.com> for (unknown):113 Nov 24 17:18:08 mail spamd[2227]: spamd: clean message (-1.1/3.0) for (unknown):113 in 3.7 seconds, 3345 bytes. Nov 24 17:18:08 mail spamd[2227]: spamd: result: . -1 - BAYES_00,HTML_MESSAGE,MPART_ALT_DIFF,URIBL_BLOCKED scantime=3.7,size=3345,user=(unknown),uid=113,required_score=3.0,rhost=localhost,raddr=127.0.0.1,rport=/ var/run/spamd.sock,mid=<20171124161804.400446B at apache2425.it- example.com>,bayes=0.000000,autolearn=no autolearn_force=no Nov 24 17:18:08 mail postfix/cleanup[4544]: 58C3E121253: message- id=<20171124161804.400446B at apache2425.it-example.com> Nov 24 17:18:08 mail opendkim[894]: 58C3E121253: no signing table match for 'MAILER-DAEMON at apache2425.it-example.com' Nov 24 17:18:08 mail opendkim[894]: 58C3E121253: no signature data Nov 24 17:18:08 mail postfix/qmgr[3979]: 58C3E121253: from=<>, size=3871, nrcpt=1 (queue active) Nov 24 17:18:08 mail postfix/smtpd[4542]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as 58C3E121253; from=<> to= proto=ESMTP helo= Nov 24 17:18:08 mail postfix/smtpd[4542]: disconnect from apache2.it- example.com[187.54.78.30] Nov 24 17:18:08 mail postfix/smtpd[4543]: disconnect from localhost[127.0.0.1] Nov 24 17:18:08 mail spamd[30677]: prefork: child states: II Nov 24 17:18:08 mail postfix/lmtp[4547]: 58C3E121253: to=, orig_to=, relay=mail.example.de[private/ dovecot-lmtp], delay=4.2, delays=3.9/0.01/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 jxluD0BGGFrEEQAAvAY5HQ Saved) Nov 24 17:18:08 mail postfix/qmgr[3979]: 58C3E121253: removed Ich würde mich über hilfreiche Antworten freuen. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Fri Nov 24 18:33:37 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 24 Nov 2017 18:33:37 +0100 Subject: AW: 553 5.7.1 Sender address rejected: not logged in In-Reply-To: <2867483.XFDkE1Nmjx@stuttgart> References: <2867483.XFDkE1Nmjx@stuttgart> Message-ID: <003301d3654a$5c5620d0$15026270$@mail24.vip> Dann sollte sich dein Smartrelay auch entsprechend einloggen zum einliefern bei deinem Mailserver der die Meldung ausgibt. Oder möchtest sowas wie nen open Relay auf Mailserver und dann alles annimmt? ;-) Oder müsstest halt Host/IP vom Smartrelay direkt akzeptieren. Könntest auch für Forum nen Mailkonto anlegen, und lässt die so direkt an Hauptserver senden oder wenn es mehrere System betrifft direkt in php Konfig. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From jost+lists at dimejo.at Fri Nov 24 18:26:23 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Fri, 24 Nov 2017 18:26:23 +0100 Subject: 553 5.7.1 Sender address rejected: not logged in In-Reply-To: <2867483.XFDkE1Nmjx@stuttgart> References: <2867483.XFDkE1Nmjx@stuttgart> Message-ID: <860558a7-bd47-c205-3b03-6dad3923aca0@dimejo.at> Am 24.11.2017 um 17:48 schrieb Andreas Günther: > Hallo und guten Abend, > > ich habe einen Gateway-Mailserver mit Postfix 2.11.3 auf Debian Jessie für > mehrere Domains laufen. Auf einem Apache-Server mit Postfix 3.1.6 ist ein > Smartrelay-Server eingerichtet, damit meine Typo3-Installationen (v8.7.8) per > "sendmail -t -i" Formulare versenden können. Dazu habe ich noreply at example.de > auf dem Gateway-Mailserver eingerichtet und die LocalConfiguration.php. > > Der Versand vom Smartrelay-Server zum Gateway-Mailserver klappt auch. Nur > Letzterer meldet dann: > > "553 5.7.1: Sender address rejected: not logged in (in > reply to RCPT TO command)" > Das habe ich insoweit so verstanden, dass, wenn man als Absender (Envelope > From), eine Mail angibt welche auch ein Postfach auf dem Empfängersystem > besitzt, Postfix die Mail ablehnt. > > Wie kann ich das jetzt lösen? Wenn noreply at example.de nicht auf dem Mailserver > existiert, dann wird die Mail vom Smartrelay-Server gar nicht akzeptiert. > > Anbei meine main.cf: > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > bounce_queue_lifetime = 1d > broken_sasl_auth_clients = yes > config_directory = /etc/postfix > disable_vrfy_command = yes > html_directory = /usr/share/doc/postfix/html > inet_interfaces = all > inet_protocols = all > mailbox_size_limit = 0 > maximal_backoff_time = 1800s > maximal_queue_lifetime = 1d > message_size_limit = 26214400 > milter_default_action = accept > milter_protocol = 6 > minimal_backoff_time = 300s > mydestination = mail.example.de, localhost.example.de, localhost > myhostname = mail.example.de > mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.1.4/32 > myorigin = /etc/mailname > non_smtpd_milters = inet:127.0.0.1:10040 > postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/ > postscreen_access.cidr > postscreen_bare_newline_enable = no > postscreen_blacklist_action = drop > postscreen_cache_cleanup_interval = 24h > postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache > postscreen_dnsbl_action = enforce > postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 > dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 > bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 > dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 > dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 > dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[10;11]*8 > zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 > zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 > hostkarma.junkemailfilter.com=127.0.0.4*1 > hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0. > [18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2 > postscreen_dnsbl_threshold = 8 > postscreen_dnsbl_ttl = 5m > postscreen_greet_action = enforce > postscreen_greet_banner = $smtpd_banner > postscreen_greet_ttl = 2d > postscreen_greet_wait = 3s > postscreen_non_smtp_command_enable = no > postscreen_pipelining_enable = no > proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps > $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains > $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps > $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks > $smtpd_sender_login_maps > queue_run_delay = 300s > readme_directory = /usr/share/doc/postfix > recipient_delimiter = + > relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf > relay_recipient_maps = proxy:mysql:/etc/postfix/sql/ > mysql_virtual_alias_maps.cf > relayhost = > smtp_header_checks = pcre:/etc/postfix/anonymize_headers.pcre > smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt > smtp_tls_cert_file = /etc/ssl/mail/mail.crt > smtp_tls_key_file = /etc/ssl/mail/mail.key > smtp_tls_loglevel = 1 > smtp_tls_security_level = may > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname > smtpd_data_restrictions = reject_unauth_pipelining, permit > smtpd_delay_reject = yes > smtpd_error_sleep_time = 10s > smtpd_hard_error_limit = ${stress?1}${stress:5} > smtpd_helo_required = yes > smtpd_milters = inet:127.0.0.1:10040 > smtpd_proxy_timeout = 600s > smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, > reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, > reject_unknown_reverse_client_hostname, reject_unauth_destination, > check_sender_access hash:/etc/postfix/sender_access > smtpd_restriction_classes = z1_greylisting > smtpd_sasl_auth_enable = yes > smtpd_sasl_authenticated_header = yes > smtpd_sasl_path = private/auth_dovecot > smtpd_sasl_type = dovecot > smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/ > mysql_virtual_sender_acl.cf, proxy:mysql:/etc/postfix/sql/ > mysql_virtual_alias_maps.cf > smtpd_sender_restrictions = reject_sender_login_mismatch, permit_mynetworks, > reject_sender_login_mismatch, permit_sasl_authenticated, > reject_unlisted_sender, reject_unknown_sender_domain Ist Dein webserver in 'mynetworks' enthalten? Dann dürfte das Problem gelöst sein, wenn Du 'permit_mynetworks' vor 'reject_sender_login_mismatch' setzt. > smtpd_soft_error_limit = 3 > smtpd_tls_auth_only = yes > smtpd_tls_cert_file = /etc/ssl/private/mail.example.de.crt > smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams.pem > smtpd_tls_eecdh_grade = strong > smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA > smtpd_tls_key_file = /etc/ssl/private/mail.example.de.key > smtpd_tls_loglevel = 1 > smtpd_tls_mandatory_ciphers = high > smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA > smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 > smtpd_tls_security_level = may > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA > +SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128: > +SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:! > ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA > virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, > proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf, proxy:mysql:/ > etc/postfix/sql/mysql_virtual_alias_domain_maps.cf, proxy:mysql:/etc/postfix/ > sql/mysql_virtual_alias_domain_catchall_maps.cf > virtual_gid_maps = static:5000 > virtual_mailbox_base = /var/vmail/ > virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/ > mysql_virtual_domains_maps.cf > virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/ > mysql_virtual_mailbox_maps.cf, proxy:mysql:/etc/postfix/sql/ > mysql_virtual_alias_domain_mailbox_maps.cf > virtual_minimum_uid = 104 > virtual_transport = lmtp:unix:private/dovecot-lmtp > virtual_uid_maps = static:5000 > z1_greylisting = permit_dnswl_client list.dnswl.org, check_policy_service > inet:127.0.0.1:10023 > > Die master.cf: > > smtp inet n - n - 1 postscreen > > smtpd pass - - n - - smtpd > -o smtpd_helo_restrictions=permit_mynetworks,reject_non_fqdn_helo_hostname > -o smtpd_proxy_filter=127.0.0.1:10025 > -o smtpd_client_connection_count_limit=10 > -o smtpd_proxy_options=speed_adjust > > smtps inet n - n - - smtpd > -o smtpd_tls_wrappermode=yes > -o > smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject > -o smtpd_proxy_filter=127.0.0.1:10025 > -o smtpd_client_connection_count_limit=10 > -o smtpd_proxy_options=speed_adjust > > submission inet n - - - - smtpd > -o > smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject > -o smtpd_proxy_filter=127.0.0.1:10025 > -o smtpd_client_connection_count_limit=10 > -o smtpd_proxy_options=speed_adjust > -o smtpd_enforce_tls=yes > -o smtpd_tls_security_level=encrypt > -o tls_preempt_cipherlist=yes > > tlsproxy unix - - n - 0 tlsproxy > dnsblog unix - - n - 0 dnsblog > pickup fifo n - - 60 1 pickup > cleanup unix n - - - 0 cleanup > qmgr fifo n - n 300 1 qmgr > tlsmgr unix - - - 1000? 1 tlsmgr > rewrite unix - - - - - trivial-rewrite > bounce unix - - - - 0 bounce > defer unix - - - - 0 bounce > trace unix - - - - 0 bounce > verify unix - - - - 1 verify > flush unix n - - 1000? 0 flush > proxymap unix - - n - - proxymap > proxywrite unix - - n - 1 proxymap > smtp unix - - - - - smtp > relay unix - - - - - smtp > showq unix n - - - - showq > error unix - - - - - error > retry unix - - - - - error > discard unix - - - - - discard > local unix - n n - - local > virtual unix - n n - - virtual > lmtp unix - - - - - lmtp > anvil unix - - - - 1 anvil > scache unix - - - - 1 scache > maildrop unix - n n - - pipe > flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} > uucp unix - n n - - pipe > flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail > ($recipient) > ifmail unix - n n - - pipe > flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) > bsmtp unix - n n - - pipe > flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender > $recipient > scalemail-backend unix - n n - 2 pipe > flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store $ > {nexthop} ${user} ${extension} > mailman unix - n n - - pipe > flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py > ${nexthop} ${user} > 127.0.0.1:10026 inet n - n - - smtpd > -o smtpd_authorized_xforward_hosts=127.0.0.0/8 > -o smtpd_client_restrictions= > -o smtpd_helo_restrictions= > -o smtpd_sender_restrictions= > -o smtpd_recipient_restrictions=permit_mynetworks,reject > -o smtpd_data_restrictions= > -o mynetworks=127.0.0.0/8 > -o receive_override_options=no_unknown_recipient_checks > -o smtpd_milters=inet:127.0.0.1:10040 > > > Das Log auf dem Smartrelay, dem Webserver bei Versenden einer Typo3-Testmail: > Nov 24 17:18:03 apache2425 postfix/pickup[13062]: D6D8A6A: uid=33 > from= > Nov 24 17:18:03 apache2425 postfix/cleanup[13364]: D6D8A6A: message- > id= > Nov 24 17:18:03 apache2425 postfix/qmgr[12429]: D6D8A6A: from= example.com>, size=937, nrcpt=1 (queue active) > Nov 24 17:18:04 apache2425 postfix/smtp[13368]: D6D8A6A: to= example.com>, relay=mail.example.de[187.54.78.28]:25, delay=0.48, > delays=0.13/0.01/0.24/0.1, dsn=5.7.1, status=bounced (host > mail.example.de[187.54.78.28] said: 553 5.7.1 : Sender > address rejected: not logged in (in reply to RCPT TO command)) > Nov 24 17:18:04 apache2425 postfix/cleanup[13364]: 400446B: message- > id=<20171124161804.400446B at apache2425.it-example.com> > Nov 24 17:18:04 apache2425 postfix/bounce[13369]: D6D8A6A: sender non-delivery > notification: 400446B > Nov 24 17:18:04 apache2425 postfix/qmgr[12429]: 400446B: from=<>, size=3141, > nrcpt=1 (queue active) > Nov 24 17:18:04 apache2425 postfix/qmgr[12429]: D6D8A6A: removed > Nov 24 17:18:08 apache2425 postfix/smtp[13368]: 400446B: to= example.com>, relay=mail.example.de[187.54.78.28]:25, delay=4, > delays=0.06/0/0.02/3.9, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as > 58C3E121253) > Nov 24 17:18:08 apache2425 postfix/qmgr[12429]: 400446B: removed > > Das Log passend auf dem Mailserver: > > Nov 24 17:18:03 mail postfix/postscreen[4533]: CONNECT from [187.54.78.30]: > 60636 to [192.168.1.2]:25 > Nov 24 17:18:04 mail postfix/postscreen[4533]: PASS OLD [187.54.78.30]:60636 > Nov 24 17:18:04 mail postfix/smtpd[4542]: connect from apache2.it- > example.com[187.54.78.30] > Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: reject: RCPT from > apache2.it-example.com[187.54.78.30]: 553 5.7.1 : > Sender address rejected: not logged in; from= > to= proto=ESMTP helo= > Nov 24 17:18:04 mail postfix/smtpd[4542]: disconnect from apache2.it- > example.com[187.54.78.30] > Nov 24 17:18:04 mail postfix/postscreen[4533]: CONNECT from [187.54.78.30]: > 60638 to [192.168.1.2]:25 > Nov 24 17:18:04 mail postfix/postscreen[4533]: PASS OLD [187.54.78.30]:60638 > Nov 24 17:18:04 mail postfix/smtpd[4542]: connect from apache2.it- > example.com[187.54.78.30] > Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: client=apache2.it- > example.com[187.54.78.30] > Nov 24 17:18:04 mail postfix/smtpd[4543]: connect from localhost[127.0.0.1] > Nov 24 17:18:04 mail postfix/smtpd[4543]: 58C3E121253: > client=localhost[127.0.0.1], orig_client=apache2.it-example.com[187.54.78.30] > Nov 24 17:18:04 mail spamd[2227]: spamd: got connection over /var/run/ > spamd.sock > Nov 24 17:18:04 mail spamd[2227]: spamd: processing message > <20171124161804.400446B at apache2425.it-example.com> for (unknown):113 > Nov 24 17:18:08 mail spamd[2227]: spamd: clean message (-1.1/3.0) for > (unknown):113 in 3.7 seconds, 3345 bytes. > Nov 24 17:18:08 mail spamd[2227]: spamd: result: . -1 - > BAYES_00,HTML_MESSAGE,MPART_ALT_DIFF,URIBL_BLOCKED > scantime=3.7,size=3345,user=(unknown),uid=113,required_score=3.0,rhost=localhost,raddr=127.0.0.1,rport=/ > var/run/spamd.sock,mid=<20171124161804.400446B at apache2425.it- > example.com>,bayes=0.000000,autolearn=no autolearn_force=no > Nov 24 17:18:08 mail postfix/cleanup[4544]: 58C3E121253: message- > id=<20171124161804.400446B at apache2425.it-example.com> > Nov 24 17:18:08 mail opendkim[894]: 58C3E121253: no signing table match for > 'MAILER-DAEMON at apache2425.it-example.com' > Nov 24 17:18:08 mail opendkim[894]: 58C3E121253: no signature data > Nov 24 17:18:08 mail postfix/qmgr[3979]: 58C3E121253: from=<>, size=3871, > nrcpt=1 (queue active) > Nov 24 17:18:08 mail postfix/smtpd[4542]: proxy-accept: END-OF-MESSAGE: 250 > 2.0.0 Ok: queued as 58C3E121253; from=<> to= > proto=ESMTP helo= > Nov 24 17:18:08 mail postfix/smtpd[4542]: disconnect from apache2.it- > example.com[187.54.78.30] > Nov 24 17:18:08 mail postfix/smtpd[4543]: disconnect from localhost[127.0.0.1] > Nov 24 17:18:08 mail spamd[30677]: prefork: child states: II > Nov 24 17:18:08 mail postfix/lmtp[4547]: 58C3E121253: to= example.com>, orig_to=, relay=mail.example.de[private/ > dovecot-lmtp], delay=4.2, delays=3.9/0.01/0/0.27, dsn=2.0.0, status=sent (250 > 2.0.0 jxluD0BGGFrEEQAAvAY5HQ Saved) > Nov 24 17:18:08 mail postfix/qmgr[3979]: 58C3E121253: removed > > Ich würde mich über hilfreiche Antworten freuen. > > Grüße > > Andreas > -- Alex JOST From postfix at linuxmaker.com Fri Nov 24 19:22:45 2017 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Fri, 24 Nov 2017 19:22:45 +0100 Subject: 553 5.7.1 Sender address rejected: not logged in In-Reply-To: <860558a7-bd47-c205-3b03-6dad3923aca0@dimejo.at> References: <2867483.XFDkE1Nmjx@stuttgart> <860558a7-bd47-c205-3b03-6dad3923aca0@dimejo.at> Message-ID: <1583963.nxrLXJMGZR@stuttgart> Am Freitag, 24. November 2017, 18:26:23 CET schrieb Alex JOST: > Ist Dein webserver in 'mynetworks' enthalten? Dann dürfte das Problem > gelöst sein, wenn Du 'permit_mynetworks' vor > 'reject_sender_login_mismatch' setzt. Danke für die Antwort, mit 192.168.1.4/32 ist der Webserver in "mynetworks" enthalten und das Setzen von 'permit_mynetworks' vor 'reject_sender_login_mismatch' hat leider nicht den gewünschten Erfolg. Die Fehlermeldung bleibt die Gleiche. Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ad+lists at uni-x.org Fri Nov 24 20:42:56 2017 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 24 Nov 2017 20:42:56 +0100 Subject: 553 5.7.1 Sender address rejected: not logged in In-Reply-To: <1583963.nxrLXJMGZR@stuttgart> References: <2867483.XFDkE1Nmjx@stuttgart> <860558a7-bd47-c205-3b03-6dad3923aca0@dimejo.at> <1583963.nxrLXJMGZR@stuttgart> Message-ID: <086b9c53-24fa-8828-ea14-6c83d7c6e2a9@uni-x.org> Am 24.11.2017 um 19:22 schrieb Andreas Günther: > Am Freitag, 24. November 2017, 18:26:23 CET schrieb Alex JOST: >> Ist Dein webserver in 'mynetworks' enthalten? Dann dürfte das Problem >> gelöst sein, wenn Du 'permit_mynetworks' vor >> 'reject_sender_login_mismatch' setzt. > > Danke für die Antwort, mit 192.168.1.4/32 ist der Webserver in "mynetworks" > enthalten und das Setzen von 'permit_mynetworks' vor > 'reject_sender_login_mismatch' hat leider nicht den gewünschten Erfolg. Die > Fehlermeldung bleibt die Gleiche. Die Loginformation lautet: Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: reject: RCPT from apache2.it-example.com[187.54.78.30]: 553 5.7.1 : Sender address rejected: not logged in; from= to= proto=ESMTP helo= Nov 24 17:18:04 mail postfix/smtpd[4542]: disconnect from apache2.it- example.com[187.54.78.30] Die IP Adresse des Clients ist eine andere und nicht RFC 1918. Aber ich würde Dir abraten, per permit_mynetworks auf Port 25 zu arbeiten. Du hast doch submission konfiguriert, dann nutze es auch und auf dem Webserver nicht sendmail, sondern eine Einlieferung per SMTP auf Port 587. Konfiguriere verschiedene Accounts für die verschiedenen VHosts und Du kannst diese selektiv disablen, wenn ein Account mal missbraucht wird. > Andreas Alexander From postfix at linuxmaker.com Sat Nov 25 10:10:09 2017 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Sat, 25 Nov 2017 10:10:09 +0100 Subject: 553 5.7.1 Sender address rejected: not logged in In-Reply-To: <086b9c53-24fa-8828-ea14-6c83d7c6e2a9@uni-x.org> References: <2867483.XFDkE1Nmjx@stuttgart> <1583963.nxrLXJMGZR@stuttgart> <086b9c53-24fa-8828-ea14-6c83d7c6e2a9@uni-x.org> Message-ID: <2137322.IcrZco7IXc@stuttgart> > > Die Loginformation lautet: > > Nov 24 17:18:04 mail postfix/smtpd[4542]: NOQUEUE: reject: RCPT from > apache2.it-example.com[187.54.78.30]: 553 5.7.1 : > Sender address rejected: not logged in; from= > to= proto=ESMTP helo= > Nov 24 17:18:04 mail postfix/smtpd[4542]: disconnect from apache2.it- > example.com[187.54.78.30] Das hast Recht, das hatte ich übersehen, dass die externe IP-Adresse eine Erlaubnis braucht. Somit klappt das jetzt mit Sendmail. > > Die IP Adresse des Clients ist eine andere und nicht RFC 1918. > > Aber ich würde Dir abraten, per permit_mynetworks auf Port 25 zu > arbeiten. Du hast doch submission konfiguriert, dann nutze es auch und > auf dem Webserver nicht sendmail, Es sei denn, wir betrachten mein Lieblingsthema, das mir fast schon den Verstand geraubt hatte > sondern eine Einlieferung per SMTP auf > Port 587. Das war nämlich meine erste Wahl. Nur anstatt zu funktionieren, sehe ich immer einen Verweis auf eine Exception: Swift_TransportException thrown in file /srv/www/typo3cms/typo3_src-8.7.8/vendor/swiftmailer/swiftmailer/lib/classes/ Swift/Transport/StreamBuffer.php in line 269. Das ist jetzt kein Postfix-Thema, sondern gehört in Typo3-Foren, nur dort schweigt man sich aus. Also mein Topic ist mit den Hinweis oben erledigt. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch at cboltz.de Sat Nov 25 13:31:12 2017 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sat, 25 Nov 2017 13:31:12 +0100 Subject: Mailman Einfallstor? In-Reply-To: <8a68c826-5373-9c4d-6c22-9b22dc4ae8c9@tms-itdienst.at> References: <8a68c826-5373-9c4d-6c22-9b22dc4ae8c9@tms-itdienst.at> Message-ID: <2572490.ct4544OoSk@tux.boltz.de.vu> Hallo Timm, hallo zusammen, Am Donnerstag, 23. November 2017, 14:34:12 CET schrieb Timm Schneider: > ist das Manipulation, oder verwendet da wirklich jemand mein mailman? > Received: from mail.cpa-incloud.biz.ua (mail.cpa-incloud.biz.ua > [94.242.206.149]) > by mail.tms-it.net (Postfix) with ESMTP id A7307441C2E > for ; Thu, 23 Nov 2017 14:07:38 > +0100 (CET) Die Mail ging an mailman-bounces@ (nicht an die ML selbst), und Du hast vermutlich die Option, nicht erkannte Bounces an den Owner weiterzuleiten, aktiviert. Dürfte also harmlos sein ;-) Gruß Christian Boltz -- Bill Gates bei einer Privataudienz beim Papst: "Ich biete 100 Millionen Dollar, wenn das "Vater unser" geändert wird." - "Was haben Sie sich vorgestellt?" - "Es soll heißen: Unser tägliches Windows gib uns heute." Der Papst denkt kurz nach, greift zum Haustelefon: "Sofort den Vertrag beim Bäcker kündigen!" From t.schneider at tms-itdienst.at Mon Nov 27 08:25:04 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 27 Nov 2017 08:25:04 +0100 Subject: Mailman Einfallstor? In-Reply-To: <2572490.ct4544OoSk@tux.boltz.de.vu> References: <8a68c826-5373-9c4d-6c22-9b22dc4ae8c9@tms-itdienst.at> <2572490.ct4544OoSk@tux.boltz.de.vu> Message-ID: Hallo Christian, ja danke, das wirds wohl sein. Ciao Timm Am 25.11.2017 um 13:31 schrieb Christian Boltz: > Hallo Timm, hallo zusammen, > > Am Donnerstag, 23. November 2017, 14:34:12 CET schrieb Timm Schneider: >> ist das Manipulation, oder verwendet da wirklich jemand mein mailman? > >> Received: from mail.cpa-incloud.biz.ua (mail.cpa-incloud.biz.ua >> [94.242.206.149]) >> by mail.tms-it.net (Postfix) with ESMTP id A7307441C2E >> for ; Thu, 23 Nov 2017 14:07:38 >> +0100 (CET) > > Die Mail ging an mailman-bounces@ (nicht an die ML selbst), und Du hast > vermutlich die Option, nicht erkannte Bounces an den Owner > weiterzuleiten, aktiviert. > > Dürfte also harmlos sein ;-) > > > Gruß > > Christian Boltz > -- TMS IT-Dienst Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From pkoch at bgc-jena.mpg.de Wed Nov 29 09:13:42 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Wed, 29 Nov 2017 09:13:42 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails Message-ID: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Hallo, in unserer Mailqueue finden sich eine Reihe von Nachrichten die wir nicht los werden. Zum Beispiel: 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON (connect to thairiceinfo.com[185.140.110.3]:25: Connection refused) susanneaxy2tn6 at thairiceinfo.com 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON (lost connection with mail.helptotal.com[151.80.106.240] while receiving the initial server greeting) support at helptotal.com Schaut man sich das ganze mal an dann sieht man das es sich um Müll handelt: postcat -q 982E11A413 | more ** ENVELOPE RECORDS deferred/9/982E11A413 *** message_size: 5580 235 1 0 5580 message_arrival_time: Sat Nov 25 23:39:57 2017 create_time: Sat Nov 25 23:39:57 2017 named_attribute: log_message_origin=local named_attribute: trace_flags=0 sender: original_recipient: susanneaxy2tn6 at thairiceinfo.com recipient: susanneaxy2tn6 at thairiceinfo.com *** MESSAGE CONTENTS deferred/9/982E11A413 *** Received: by altona.bgc-jena.mpg.de (GATE -B2013- / MPI BGC Mail System) id 982E11A413; Sat, 25 Nov 2017 23:39:57 +0100 (CET) Date: Sat, 25 Nov 2017 23:39:57 +0100 (CET) From: MAILER-DAEMON at bgc-jena.mpg.de (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: susanneaxy2tn6 at thairiceinfo.com Auto-Submitted: auto-replied MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="318EA1A2FE.1511649597/altona.bgc-jena.mpg.de" Content-Transfer-Encoding: 8bit Message-Id: <20171125223957.982E11A413 at altona.bgc-jena.mpg.de> This is a MIME-encapsulated message. --318EA1A2FE.1511649597/altona.bgc-jena.mpg.de Content-Description: Notification Content-Type: text/plain; charset=us-ascii This is the mail system at host altona.bgc-jena.mpg.de. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system : host 127.0.0.1[127.0.0.1] said: 554 5.7.0 Reject, id=12525-08 - spam (in reply to end of DATA command) --318EA1A2FE.1511649597/altona.bgc-jena.mpg.de Content-Description: Delivery report Content-Type: message/delivery-status Reporting-MTA: dns; altona.bgc-jena.mpg.de X-GATE--B2013--/-MPI-BGC-Mail-System-Queue-ID: 318EA1A2FE X-GATE--B2013--/-MPI-BGC-Mail-System-Sender: rfc822; susanneaxy2tn6 at thairiceinfo.com Arrival-Date: Sat, 25 Nov 2017 23:39:52 +0100 (CET) Final-Recipient: rfc822; pkoch at bgc-jena.mpg.de Original-Recipient: rfc822;pkoch at bgc-jena.mpg.de Folgende Fragen dazu: Wer sende die Nachricht - amavis oder postfix (postfix, oder) ? Kann/soll/darf man das Senden solcher Nachrichten einschränken ? In vielen Fällen ist es ja hilfreich, wenn die Leute informiert werden, wenn ihre Mails NICHT zugestellt werden konnten. In solchen Fällen wie oben ist das natürlich sinnfrei. Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen .... ? -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From tw at b-a-l-u.de Wed Nov 29 09:24:01 2017 From: tw at b-a-l-u.de (Thomas Walter) Date: Wed, 29 Nov 2017 09:24:01 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: Hallo Peer, Am 29.11.17 um 09:13 schrieb Dr. Peer-Joachim Koch: > in unserer Mailqueue finden sich eine Reihe von Nachrichten die wir > nicht los werden. > > Zum Beispiel: > > 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON > (connect to thairiceinfo.com[185.140.110.3]:25: Connection > refused) > susanneaxy2tn6 at thairiceinfo.com > > 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON > (lost connection with mail.helptotal.com[151.80.106.240] while receiving > the initial server greeting) > support at helptotal.com [...] > Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen .... ? Das sieht für mich nach "Backscatter" (http://www.postfix.org/BACKSCATTER_README.html) aus. Spam-Mails sollten möglichst schon bei der Einlieferung blockiert werden, nicht erst angenommen, verarbeitet werden und dann ggfs eine Bounce-Nachricht erzeugen. Ich würde empfehlen, die Amavis-Integration zu prüfen. Eventuell muss die Konfiguration im Postfix auf einen before-queue Filter umgestellt werden. Der hat dann die Möglichkeit, Mails schon bei der Einlieferung abzuweisen. Grüße, Balu From jra at byte.cx Wed Nov 29 09:47:48 2017 From: jra at byte.cx (Jens Adam) Date: Wed, 29 Nov 2017 09:47:48 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: > Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen .... ? Typischer Fall von nicht gesetztem "$final_spam_destiny = D_DISCARD;" bei amavisd-new, würde ich wetten. --byte From gregor at a-mazing.de Wed Nov 29 10:04:52 2017 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 29 Nov 2017 10:04:52 +0100 Subject: ***SPAM*** Re: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: <201711291004.53118@office.a-mazing.net> Hallo Thomas, Am Mittwoch, 29. November 2017 schrieb Thomas Walter: > Am 29.11.17 um 09:13 schrieb Dr. Peer-Joachim Koch: > > in unserer Mailqueue finden sich eine Reihe von Nachrichten die wir > > nicht los werden. > > > > Zum Beispiel: > > > > 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON > > > > (connect to thairiceinfo.com[185.140.110.3]:25: Connection > > > > refused) > > susanneaxy2tn6 at thairiceinfo.com > > > > 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON > > (lost connection with mail.helptotal.com[151.80.106.240] while receiving > > the initial server greeting) > > support at helptotal.com > > Das sieht für mich nach "Backscatter" > (http://www.postfix.org/BACKSCATTER_README.html) aus. > > Spam-Mails sollten möglichst schon bei der Einlieferung blockiert > werden, nicht erst angenommen, verarbeitet werden und dann ggfs eine > Bounce-Nachricht erzeugen. > > Ich würde empfehlen, die Amavis-Integration zu prüfen. Eventuell muss > die Konfiguration im Postfix auf einen before-queue Filter umgestellt > werden. Der hat dann die Möglichkeit, Mails schon bei der Einlieferung > abzuweisen. das Problem tritt auch gerne auf, wenn es sich beim Empfänger um eine externe Weiterleitung handelt und die Mail dort abgelehnt wird. Das Problem lässt sich imho nicht vollständig vermeiden. Es wird immer Mailserver geben die noch strenger oder auf Grund anderer Kriterien ablehnen. Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From pkoch at bgc-jena.mpg.de Wed Nov 29 10:04:39 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Wed, 29 Nov 2017 10:04:39 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: <8fe9ffeb-1f3b-2040-bda7-1d8790eef78c@bgc-jena.mpg.de> Hallo, On 29.11.2017 09:24, Thomas Walter wrote: > Hallo Peer, > > Am 29.11.17 um 09:13 schrieb Dr. Peer-Joachim Koch: >> in unserer Mailqueue finden sich eine Reihe von Nachrichten die wir >> nicht los werden. >> >> Zum Beispiel: >> >> 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON >> (connect to thairiceinfo.com[185.140.110.3]:25: >> Connection refused) >> susanneaxy2tn6 at thairiceinfo.com >> >> 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON >> (lost connection with mail.helptotal.com[151.80.106.240] while >> receiving the initial server greeting) >> support at helptotal.com > [...] >> Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen >> .... ? > > Das sieht für mich nach "Backscatter" > (http://www.postfix.org/BACKSCATTER_README.html) aus. > > Spam-Mails sollten möglichst schon bei der Einlieferung blockiert > werden, nicht erst angenommen, verarbeitet werden und dann ggfs eine > Bounce-Nachricht erzeugen. > > Ich würde empfehlen, die Amavis-Integration zu prüfen. Eventuell muss > die Konfiguration im Postfix auf einen before-queue Filter umgestellt > werden. Der hat dann die Möglichkeit, Mails schon bei der Einlieferung > abzuweisen. > ja, das ist richtig. Die Integration ist schon etwas älter :(. Es ist wahrscheinlich nicht so einfach den folgenden Eintrag smtp inet n - n - 100 smtpd -o content_filter=amavis:[127.0.0.1]:10024 durch "content_proxy_filter" zu ersetzen, oder ? http://www.postfix.org/SMTPD_PROXY_README.html Hat jemand zufällig entsprechende Beispiele zur Hand ? > Grüße, > Balu -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From gregor at a-mazing.de Wed Nov 29 10:06:52 2017 From: gregor at a-mazing.de (Gregor Hermens) Date: Wed, 29 Nov 2017 10:06:52 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: <201711291006.52567@office.a-mazing.net> Hallo Jens, Am Mittwoch, 29. November 2017 schrieb Jens Adam: > > Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen .... > > ? > > Typischer Fall von nicht gesetztem "$final_spam_destiny = D_DISCARD;" bei > amavisd-new, würde ich wetten. damit riskierst du Mailverlust bei False Positives. Ein absolutes NoGo wenn du Kunden auf dem Server hast... Gruß, Gregor -- @mazing fon +49 8142 6528665 Gregor Hermens fax +49 8142 6528669 Brucker Strasse 12 gregor.hermens at a-mazing.de D-82216 Gernlinden http://www.a-mazing.de/ From jra at byte.cx Wed Nov 29 11:38:18 2017 From: jra at byte.cx (Jens Adam) Date: Wed, 29 Nov 2017 11:38:18 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: <201711291006.52567@office.a-mazing.net> References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> <201711291006.52567@office.a-mazing.net> Message-ID: <126ED89F-A5DC-4979-98C4-C5A7C93E35EA@byte.cx> > Am 29.11.2017 um 10:06 schrieb Gregor Hermens : > > Hallo Jens, > > Am Mittwoch, 29. November 2017 schrieb Jens Adam: >>> Wie kann man das besser machen ? Zeitspanne in der Queue verkürzen .... >>> ? >> >> Typischer Fall von nicht gesetztem "$final_spam_destiny = D_DISCARD;" bei >> amavisd-new, würde ich wetten. > > damit riskierst du Mailverlust bei False Positives. Ein absolutes NoGo wenn du > Kunden auf dem Server hast... Kommt darauf an, was man mit "$spam_quarantine_to" macht, wie das Monitoring aussieht, was das für Kunden sind, ab wann Spam als Spam klassifiziert wird, etc... From me at foxxx0.de Wed Nov 29 19:39:14 2017 From: me at foxxx0.de (Thore =?utf-8?B?QsO2ZGVja2Vy?=) Date: Wed, 29 Nov 2017 19:39:14 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> Message-ID: <20171129183914.GA1728@utgard.lan> Moin, On 29.11.17 - 09:13, Dr. Peer-Joachim Koch wrote: > Zum Beispiel: > > 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON > (connect to xyz.com[1.2.3.4]:25: Connection > refused) > rcpt at xyz.com > > 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON > (lost connection with abc.com[4.3.2.1] while receiving the > initial server greeting) > rcpt at abc.com > kleiner Hinweis für's nächste mal: Bitte die Hostnamen/URLs/IPs maskieren wie hier gezeigt, da sonst die ganzen Regeln anschlagen. Ich durfte ein paar Mails aus der Amavis Quarantäne fischen aufgrund o.g. Problems. On-Topic: Wie bereits mehrfach erwähnt solltest du Mails gar nicht erst annehmen, wenn sie nicht an deinem Spamfilter vorbeikommen. Dazu kannst Amavis am besten per Milter einbinden und REJECT als action nutzen. Dort wird die Email bereits während der SMTP Transaktion abgelehnt, was für den Absender auch wieder transparent ist, da sein Mailserver dann die entsprechende Bounce-Meldung erstellt und ihn darüber informiert, dass seine Mail am Spamfilter des Empfängers abgelehnt wurde. Grüße, Thore -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: nicht verfügbar URL : From pkoch at bgc-jena.mpg.de Thu Nov 30 08:25:55 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Thu, 30 Nov 2017 08:25:55 +0100 Subject: Frage zur Benachrichtigung bei abgelehnten Mails In-Reply-To: <20171129183914.GA1728@utgard.lan> References: <8f70174e-44b7-9108-f8fa-7508945bdb71@bgc-jena.mpg.de> <20171129183914.GA1728@utgard.lan> Message-ID: <0061bcec-181c-46f8-d552-500de663b6ff@bgc-jena.mpg.de> Hallo, sorry, werde ich beim nächsten mal beachten. Ist jetzt soweit umgestellt und funktioniert. Die Mailqueue ist jetzt deutlich leerer. Kann man das gleiche eigentlich auch mit mit unbekannten\ehemaligen Benutzern machen ? In der postfix main.cf haben wir local_recipient_maps = hash:/etc/postfix/user_map Im Augenblick wird auch eine Bounce-Nachricht erzeugt. "rejected: User unknown in local recipient table" Ciao, Peer On 29.11.2017 19:39, Thore Bödecker wrote: > Moin, > > On 29.11.17 - 09:13, Dr. Peer-Joachim Koch wrote: >> Zum Beispiel: >> >> 982E11A413 5580 Sat Nov 25 23:39:57 MAILER-DAEMON >> (connect to xyz.com[1.2.3.4]:25: Connection >> refused) >> rcpt at xyz.com >> >> 951741A405 9563 Sun Nov 26 19:10:10 MAILER-DAEMON >> (lost connection with abc.com[4.3.2.1] while receiving the >> initial server greeting) >> rcpt at abc.com >> > kleiner Hinweis für's nächste mal: > > Bitte die Hostnamen/URLs/IPs maskieren wie hier gezeigt, da sonst die > ganzen Regeln anschlagen. > > Ich durfte ein paar Mails aus der Amavis Quarantäne fischen aufgrund > o.g. Problems. > > > On-Topic: > > Wie bereits mehrfach erwähnt solltest du Mails gar nicht erst > annehmen, wenn sie nicht an deinem Spamfilter vorbeikommen. > Dazu kannst Amavis am besten per Milter einbinden und REJECT als > action nutzen. > Dort wird die Email bereits während der SMTP Transaktion abgelehnt, > was für den Absender auch wieder transparent ist, da sein Mailserver > dann die entsprechende Bounce-Meldung erstellt und ihn darüber > informiert, dass seine Mail am Spamfilter des Empfängers abgelehnt > wurde. > > > Grüße, > Thore > ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL :