From driessen at fblan.de Sun Oct 1 16:26:39 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sun, 1 Oct 2017 16:26:39 +0200 Subject: AW: Greylisting noch sinnvoll? In-Reply-To: <20170930220459.49321dd0@cd> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <20170930220459.49321dd0@cd> Message-ID: <022601d33ac1$4b8c6e70$e2a54b50$@fblan.de> Im Auftrag von Chris (by way of Chris> ) > > On Tue, 08 Aug 2017 11:44:53 +0200 > Jürgen Gmach wrote: > > > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem > > das Greylisting deaktivieren, weil andere Mailserver damit Probleme > > haben, und jeder erwartet, dass E-Mails immer sofort zugestellt > > werden müssen. Da sollen sie Fax nehmen :-) Mail ist kein Echtzeitkommunikationsmittel , war es nie wird es aufgrund des Protokolls nie werden Mailserver die mit Greylisting ein Problem haben gehören eher zu den schlechter konfigurierten Und das ganz besondere die Verzögerung tritt nur beim ersten mal wenn das tripple auftritt auf (5 min) Empfehlung war selektiv einsetzen Nur weil da einige keine Straßenschilder lesen können muss ich nicht auf ein Quäntchen mehr Sicherheit verzichten. Wenn zugestellt wurde gibt es ein 250 OK dann ist der Brief im Briefkasten, solange der auf dem Auto durch die Gegend gefahren wird liegt die Verantwortung noch beim Absender und dem Transporteur das er zugestellt wird. Muss der Absender zur Not einen anderen Transporteur beauftragen, wenn es der eine nicht schafft, dann schafft es der nächste der Umleitung auf dem Weg zu mir zu folgen. Wir sind ja nicht im Saarland :-) > > Das ist auch mein Eindruck von Greylisting. Zur Zeit würde ich es nur > aktivieren, wenn die DNSBLs massiv nachlassen würden. Außerdem müsste > ich es dann wohl wie von Marcus beschrieben anpassen. > > Gruß, > Christian Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at mail24.vip Mon Oct 2 09:58:31 2017 From: daniel at mail24.vip (Daniel) Date: Mon, 2 Oct 2017 09:58:31 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> Message-ID: <006001d33b54$3d622450$b8266cf0$@mail24.vip> Am NullMX lag es wohl nicht, kommen immer noch keine Emails von Ebay direkt oder dass in Ebay via Paypal bezahlt wurde. Anmeldung bei Paypal für neue Testkonto kommt an, Ebay Newsletter auch, und Ebay Kleinanzeigen. Kundenservice macht nichts, können angeblich auch nichts an IT weitergeben oder nach Fehler fragen. Bleibt wohl nur Postmaster zutexten bis er Auskunft gibt, oder Behebt. Habe für betroffene Domain sogar Testweise den MX entfernt und direkt nur IP gelassen, falls Ebay einfach den MX nicht mehr mag, aber auch keine Veränderung. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From daniel at mail24.vip Wed Oct 4 17:30:12 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 4 Oct 2017 17:30:12 +0200 Subject: NS SOA Zeiten Message-ID: <025901d33d25$ab89dea0$029d9be0$@mail24.vip> Huhu, was habt ihr so an Zeiten im SOA bzw Records im NS? Core Network gibt für neue Zone an: Refresh 28800 Retry 7200 Expire 604800 TTL 1800 Mxtoolbox sagt für Google z.B. ns1.google.com reported Expire 1800 : Expire is recommended to be between 1209600 and 2419200. ns1.google.com reported Refresh 900 : Refresh is recommended to be between 1200 and 43200. Und haben für A Records z.B. 5 Min also 300. Wiki (https://de.wikipedia.org/wiki/SOA_Resource_Record) sagt 3600 ; refresh 1800 ; retry 604800 ; expire 600 ) ; ttl Also was sind nun gute Werte für mögliche schnelle Änderungen? Dann wurde wohl im Bind was an TTL geändert dass es nun "negative answers" ist? Bin da nicht so vertieft in Materie. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From lists at localguru.de Wed Oct 4 22:58:09 2017 From: lists at localguru.de (Marcus Schopen) Date: Wed, 04 Oct 2017 22:58:09 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <20170930220459.49321dd0@cd> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <20170930220459.49321dd0@cd> Message-ID: <1507150689.24010.19.camel@cosmo.binux.de> Am Samstag, den 30.09.2017, 22:04 +0200 schrieb Chris: > On Tue, 08 Aug 2017 11:44:53 +0200 > Jürgen Gmach wrote: > > > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem > > das Greylisting deaktivieren, weil andere Mailserver damit Probleme > > haben, und jeder erwartet, dass E-Mails immer sofort zugestellt > > werden müssen. > > Das ist auch mein Eindruck von Greylisting. Zur Zeit würde ich es nur > aktivieren, wenn die DNSBLs massiv nachlassen würden. Außerdem müsste > ich es dann wohl wie von Marcus beschrieben anpassen. Ich habe eben mal in die Logs für die letzten 30 Tage auf meinem kleinen, privaten Mailserver geschaut. Von 10.125 extern eingegangenen Mails sind 948 Mails verzögert zugestellt worden, 2331 Mails haben das Greylisting nicht überwunden. 1579 Mails wurden über RBLs direkt abgewiesen. Lediglich 92 Mails haben sich dann noch im Spamassassin verfangen und wurden ebenfalls direkt abgewiesen. Der ganze Rest ist so durchgelaufen und subjektiv habe ich nicht das Gefühl, auf "richtige" Mails warten zu müssen oder diese nicht zu erhalten, noch dass eine nennenswerte Anzahl von Spam durchkommt. Durch das Whitelisting von dnswl.org und wl.mailspike.net wird ein Großteil der Server gar nicht mit dem Greylisting konfrontiert. Wen in groben Zügen meine Konfiguration interessiert: http://milter-greylist.wikidot.com/white-black-grey (dort: "Greylisting and blacklisting with weighting/scoring") Ich setze auf diesem System milter-greylist und sendmail ;) ein, aber welche BL und WL in das Scoring einfließen, lässt sich auch anhand dieser Konfiguration recht gut erkennen. In der aktuellen Konfiguration werden beispielsweise nur list.dnswl.org "MED" (127.0.x.2) und "HIGH" (127.0.x.3), sowie wl.mailspike.net "H4" (127.0.0.19, very good reputation) und "H5" (127.0.0.20, excellent reputation) direkt durchgelassen. list.dnswl.org "LOW" läuft z.B. ins Greylisting. Ciao! Marcus From andreas.schulze at datev.de Thu Oct 5 07:09:17 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 5 Oct 2017 07:09:17 +0200 Subject: NS SOA Zeiten In-Reply-To: <025901d33d25$ab89dea0$029d9be0$@mail24.vip> References: <025901d33d25$ab89dea0$029d9be0$@mail24.vip> Message-ID: <10916d45-6d14-78bc-9d98-f7274079c73d@datev.de> Am 04.10.2017 um 17:30 schrieb Daniel: > Huhu, > > was habt ihr so an Zeiten im SOA bzw Records im NS? > > Core Network gibt für neue Zone an: > Refresh 28800 > Retry 7200 > Expire 604800 > TTL 1800 > > Mxtoolbox sagt für Google z.B. > ns1.google.com reported Expire 1800 : Expire is recommended to be between 1209600 and 2419200. > ns1.google.com reported Refresh 900 : Refresh is recommended to be between 1200 and 43200. > Und haben für A Records z.B. 5 Min also 300. > > Wiki (https://de.wikipedia.org/wiki/SOA_Resource_Record) sagt > 3600 ; refresh > 1800 ; retry > 604800 ; expire > 600 ) ; ttl > > Also was sind nun gute Werte für mögliche schnelle Änderungen? > > Dann wurde wohl im Bind was an TTL geändert dass es nun "negative answers" ist? Bin da nicht so vertieft in Materie. > > Gruß Daniel > > Moin, zuerst ist entscheidend, wie Du Secondary Nameserver mit Daten versorgst 1. über Zonentransfers vom Master 2. offline über andere Mechanismen Für den Fall 2 kann ich empfehlen, eine TTL festzulegen, die Dir als Änderungsinterval zusagt. Die setzt Du dann als TTL ( cache TTL für existierende Daten ) und als TTL im SOA Record Dort wirkt sie für negative Antworten. Danach benutze ich gern https://zonemaster.net/ um die Konfigurationen zu prüfen. für 1. gilt prinzipiell das Gleiche, aber da muss man die anderen SOA-Parameter zusätzlich auch beachten um Secondary Nameserver zu parametrisieren. Da halte ich mich mit Aussagen gern zurück :-) -- A. Schulze DATEV eG From Ralf.Hildebrandt at charite.de Thu Oct 5 12:11:44 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 5 Oct 2017 12:11:44 +0200 Subject: Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails In-Reply-To: References: Message-ID: <20171005101144.fhbihp3jzcbv5acd@charite.de> * Postmaster : > Hallo liebe Liste, > > Wir haben in Duisburg/Essen seit ca. 2 Wochen massiv Probleme mit gefakten > Rechnungs-Mails von scheinbar validen oder > > auch eigenen User-Adressen, hinter denen sich immer eine andere "Return to" > Adresse verbirgt. > > Diese scheinbar "guten" Mails beinhalten dann einen Download-Link zu einer > Virus Datei. > > > Wir setzen Postfix / Amavis ein und haben schon mit Custom-Rule Set´s > versucht den Mist einzufangen... Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel: https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar Ergebnis: You tried to upload/download a file that contains the virus: YARA.Contains_VBA_macro_code.UNOFFICIAL The Http location is: http://pointbdance.com/OIIDJ148-4542631626/ From Ralf.Hildebrandt at charite.de Thu Oct 5 12:22:44 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 5 Oct 2017 12:22:44 +0200 Subject: Postfix / SA ----Spam-Welle / Rechnungen/ Virus-Mails In-Reply-To: <20171005101144.fhbihp3jzcbv5acd@charite.de> References: <20171005101144.fhbihp3jzcbv5acd@charite.de> Message-ID: <20171005102244.tclj426i5rhmwl6u@charite.de> * Ralf Hildebrandt : > Aktuell blocke ich das auf dem Proxy (!) mit einer YARA Regel: > https://github.com/Yara-Rules/rules/blob/master/Malicious_Documents/Maldoc_VBA_macro_code.yar > > Ergebnis: > > You tried to upload/download a file that contains the virus: > YARA.Contains_VBA_macro_code.UNOFFICIAL > The Http location is: http://pointbdance.com/OIIDJ148-4542631626/ Problem ist, daß ja nur URLs versandt werden, und es kann nicht direkt getestet werden, was sich dahinter verbirgt. From daniel at mail24.vip Thu Oct 5 12:48:30 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 5 Oct 2017 12:48:30 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> Message-ID: <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> Ebay scheint entweder ein Problem mit DNS zuhaben oder mögen einfach keine neuen TDLs. : host data.ebay.com[216.113.172.68] said: 553 #5.1.8 Domain of sender address does not exist (in reply to MAIL FROM command) : host gort.ebay.com[216.113.160.244] said: 553 #5.1.8 Domain of sender address does not exist (in reply to MAIL FROM command) Domain existiert, andere haben ja keine Probleme mit. Aber deswegen selbst kein Empfang auch auf andere meiner Domains obwohl der MX ne .de Subdomain hat? hmm -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From andreas.schulze at datev.de Thu Oct 5 14:46:34 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 5 Oct 2017 14:46:34 +0200 Subject: Keine Emails von Ebay und Paypal In-Reply-To: <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> Message-ID: Am 05.10.2017 um 12:48 schrieb Daniel: > Domain existiert an einer Fehlkonfiguration deiner DNS-Server sollte es wirklich nicht liegen: https://zonemaster.net/test/d38cdcf6a36f141b -- A. Schulze DATEV eG From pug at felsing.net Sat Oct 7 11:21:04 2017 From: pug at felsing.net (Christian Felsing) Date: Sat, 07 Oct 2017 11:21:04 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> Message-ID: <1507368064.4656.2.camel@felsing.net> Könnte auch ein Problem beim Reverse DNS sein, das sollte auch bei zonemaster.net getestet werden, für Unitymedia z.B. 94.78.in-addr.arpa. Am Donnerstag, den 05.10.2017, 12:48 +0200 schrieb Daniel: > Ebay scheint entweder ein Problem mit DNS zuhaben oder mögen einfach > keine neuen TDLs. > From driessen at fblan.de Sat Oct 7 14:53:19 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sat, 7 Oct 2017 14:53:19 +0200 Subject: AW: AW: Keine Emails von Ebay und Paypal In-Reply-To: <1507368064.4656.2.camel@felsing.net> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> <1507368064.4656.2.camel@felsing.net> Message-ID: <007a01d33f6b$40b57240$c22056c0$@fblan.de> Im Auftrag von Christian Felsing > Könnte auch ein Problem beim Reverse DNS sein, das sollte auch bei > zonemaster.net getestet werden, für Unitymedia z.B. 94.78.in-addr.arpa. > > Am Donnerstag, den 05.10.2017, 12:48 +0200 schrieb Daniel: > > Ebay scheint entweder ein Problem mit DNS zuhaben oder mögen einfach > > keine neuen TDLs. > > Der reverse DNS ist ein Problem wenn ich empfange aber nicht wenn ich sende In Senderichtung möchte ich nur loswerden da prüfe ich nicht weiter die DNS Einträge auf Vorwärts oder Rückwärts Empfänger möchte seine Sendungen da oder dort hin dann gehen die einfach da oder dorthin :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at mail24.vip Sat Oct 7 17:48:26 2017 From: daniel at mail24.vip (Daniel) Date: Sat, 7 Oct 2017 17:48:26 +0200 Subject: AW: AW: Keine Emails von Ebay und Paypal In-Reply-To: <007a01d33f6b$40b57240$c22056c0$@fblan.de> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> <1507368064.4656.2.camel@felsing.net> <007a01d33f6b$40b57240$c22056c0$@fblan.de> Message-ID: Genau, zudem gab es bisher zum Empfang nie Probleme mit DSL/Cable IPs von Ebay. Und klar zu Ebay würd ich wegen DNSBL scheitern dann. Gruß Daniel > Am 07.10.2017 um 14:53 schrieb Uwe Drießen : > > Im Auftrag von Christian Felsing >> Könnte auch ein Problem beim Reverse DNS sein, das sollte auch bei >> zonemaster.net getestet werden, für Unitymedia z.B. 94.78.in-addr.arpa. >> >> Am Donnerstag, den 05.10.2017, 12:48 +0200 schrieb Daniel: >>> Ebay scheint entweder ein Problem mit DNS zuhaben oder mögen einfach >>> keine neuen TDLs. >>> > > > Der reverse DNS ist ein Problem wenn ich empfange aber nicht wenn ich sende > In Senderichtung möchte ich nur loswerden da prüfe ich nicht weiter die DNS Einträge auf Vorwärts oder Rückwärts > > Empfänger möchte seine Sendungen da oder dort hin dann gehen die einfach da oder dorthin :-) > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2346 bytes Beschreibung: nicht verfügbar URL : From pug at felsing.net Sun Oct 8 12:46:15 2017 From: pug at felsing.net (Christian Felsing) Date: Sun, 08 Oct 2017 12:46:15 +0200 Subject: AW: AW: Keine Emails von Ebay und Paypal In-Reply-To: <007a01d33f6b$40b57240$c22056c0$@fblan.de> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> <1507368064.4656.2.camel@felsing.net> <007a01d33f6b$40b57240$c22056c0$@fblan.de> Message-ID: <1507459575.4656.5.camel@felsing.net> Die Gegenstelle empfängt ja Deine Mail und prüft auch Reverse-DNS - in diesem Fall also data.ebay.com. Zumindest wurden meine Mails auch schon einmal von denen abgewiesen, der Grund war eine fehlerhafte Reverse-DNS Konfiguration auf meiner Seite. Viele Grüße Christian From driessen at fblan.de Sun Oct 8 17:07:06 2017 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sun, 8 Oct 2017 17:07:06 +0200 Subject: AW: AW: AW: Keine Emails von Ebay und Paypal In-Reply-To: <1507459575.4656.5.camel@felsing.net> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> <00b701d33dc7$7b6d1910$72474b30$@mail24.vip> <1507368064.4656.2.camel@felsing.net> <007a01d33f6b$40b57240$c22056c0$@fblan.de> <1507459575.4656.5.camel@felsing.net> Message-ID: <008e01d34047$1b31f1b0$5195d510$@fblan.de> Im Auftrag von Christian Felsing > > Die Gegenstelle empfängt ja Deine Mail und prüft auch Reverse-DNS - in > diesem Fall also data.ebay.com. Zumindest wurden meine Mails auch schon > einmal von denen abgewiesen, der Grund war eine fehlerhafte Reverse-DNS > Konfiguration auf meiner Seite. Dann warst DU der Versender Seine Mails kommen an Er bekommt KEINE Mails Das ich keine Mails von bestimmten Leuten Empfange weil die die einfach nicht senden liegt nicht an fehlenden RDNS einträgen Die werden wenn Ebay oder sonst jemand versendet in der Regel NICHT überprüft Das wäre ein etwas unnötige Prüfung da diese Verhindert das der ABSENDER seine Mails loswird > > Viele Grüße > Christian Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From bjoern.meier at gmail.com Mon Oct 9 14:07:23 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Mon, 9 Oct 2017 14:07:23 +0200 Subject: DKIM und Gmail Message-ID: Hi, hat es einen spezifisachen Grund, warum ausgerechnet bei GMail der DKIM check failed? Allein bei Gmail? Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Mon Oct 9 15:12:24 2017 From: daniel at mail24.vip (Daniel) Date: Mon, 9 Oct 2017 15:12:24 +0200 Subject: AW: DKIM und Gmail In-Reply-To: References: Message-ID: <001801d34100$3f669810$be33c830$@mail24.vip> Schick doch einfach mal ne leere Mail an check-auth at verifier.port25.com und schau ob dort pass steht bei dkim. Wenn nicht, kannst dich wohl nur an google bzw. postmaster wenden von den. Leider interessieren sich manche große Firmen oder Banken für sowas garnicht und machen nix. Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Bjoern Meier Gesendet: Montag, 9. Oktober 2017 14:07 An: Diskussionen und Support rund um Postfix Betreff: DKIM und Gmail Hi, hat es einen spezifisachen Grund, warum ausgerechnet bei GMail der DKIM check failed? Allein bei Gmail? Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From bjoern.meier at gmail.com Mon Oct 9 15:26:44 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Mon, 9 Oct 2017 15:26:44 +0200 Subject: DKIM und Gmail In-Reply-To: <001801d34100$3f669810$be33c830$@mail24.vip> References: <001801d34100$3f669810$be33c830$@mail24.vip> Message-ID: Hallo, > Schick doch einfach mal ne leere Mail an check-auth at verifier.port25.com und schau ob dort pass steht bei dkim. Mein Fehler. Ich habe mich wohl falsch ausgedrückt. Ich weiß, dass mein DKIM funktioniert. Ich wollte lediglich wissen, ob GMail nur spinnt oder Google wieder einmal spezifische Anforderungen hat. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Mon Oct 9 15:36:37 2017 From: daniel at mail24.vip (Daniel) Date: Mon, 9 Oct 2017 15:36:37 +0200 Subject: AW: DKIM und Gmail In-Reply-To: References: <001801d34100$3f669810$be33c830$@mail24.vip> Message-ID: <004e01d34103$a1a63cd0$e4f2b670$@mail24.vip> Hi, dein DKIM? Du Sendest doch über Gmail. Oder geht es dir um empfangene Emails, dass Google andere DKIM nicht prüft bzw. Fehler macht? Gruß Daniel Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Bjoern Meier Gesendet: Montag, 9. Oktober 2017 15:27 An: Diskussionen und Support rund um Postfix Betreff: Re: DKIM und Gmail Hallo, > Schick doch einfach mal ne leere Mail an check-auth at verifier.port25.com und schau ob dort pass steht bei dkim. Mein Fehler. Ich habe mich wohl falsch ausgedrückt. Ich weiß, dass mein DKIM funktioniert. Ich wollte lediglich wissen, ob GMail nur spinnt oder Google wieder einmal spezifische Anforderungen hat. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From andreas.schulze at datev.de Tue Oct 10 08:12:07 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 10 Oct 2017 08:12:07 +0200 Subject: DKIM und Gmail In-Reply-To: References: Message-ID: <8b3cece0-90ed-6a38-99ee-2113cc258a26@datev.de> Am 09.10.2017 um 14:07 schrieb Bjoern Meier: > Hi, > > hat es einen spezifisachen Grund, warum ausgerechnet bei GMail der DKIM check failed? Allein bei Gmail? > > Gruß, > Björn Kannst Du etwas präzieser sein? Meinst du - Mails von Gmail, die Du nicht validieren kannst oder - Mails von Dir, die Gmail nicht validieren kann? -- A. Schulze DATEV eG From bjoern.meier at gmail.com Tue Oct 10 08:20:26 2017 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Tue, 10 Oct 2017 08:20:26 +0200 Subject: DKIM und Gmail In-Reply-To: <8b3cece0-90ed-6a38-99ee-2113cc258a26@datev.de> References: <8b3cece0-90ed-6a38-99ee-2113cc258a26@datev.de> Message-ID: Hi, Am 10. Oktober 2017 um 08:12 schrieb Andreas Schulze < andreas.schulze at datev.de>: > > Kannst Du etwas präzieser sein? GMail validiert unsere Email nicht. Wenn ich in meinem Gmail-Postfach nach EMails von anderem Absendern mit DKIM-Signaturen suche, ist das Ergebnis dort ebenfalls: FAIL. Ich wollte auch keine Diskussion starten, ich ging davon aus, dass es bekannt sei. Gruß, Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andre.peters at debinux.de Tue Oct 10 08:33:17 2017 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Tue, 10 Oct 2017 08:33:17 +0200 Subject: DKIM und Gmail In-Reply-To: References: <8b3cece0-90ed-6a38-99ee-2113cc258a26@datev.de> Message-ID: <2bd79bf1-67ca-b4c0-2ea9-a05adca59444@debinux.de> Nutzt du eine etwas ältere Rspamd Version? Da gab es mal ein Folding Problem. Am Ende hattest du teils \n teils \r\n Line-Endings, das hat nicht jedem Parser gepasst. Ansonsten die Klassiker ... DNS-Propagation, Filter nach DKIM-Signierung etc. Ich würde den Fehler aber eher nicht bei Google suchen. ;-) Am 10.10.2017 um 08:20 schrieb Bjoern Meier: > Hi, > > Am 10. Oktober 2017 um 08:12 schrieb Andreas Schulze > >: > > > Kannst Du etwas präzieser sein? > > > GMail validiert unsere Email nicht. Wenn ich in meinem Gmail-Postfach > nach EMails von anderem Absendern mit DKIM-Signaturen suche, ist das > Ergebnis dort ebenfalls: FAIL. > Ich wollte auch keine Diskussion starten, ich ging davon aus, dass es > bekannt sei. > > Gruß, > Björn -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From philipp.faeustlin at uni-hohenheim.de Tue Oct 10 11:28:45 2017 From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin) Date: Tue, 10 Oct 2017 11:28:45 +0200 Subject: Spam mit fake From filtern Message-ID: Kennt jemand eine Möglichkeit gefakete From Zeilen zur filtern. Ich sehe aktuell viel Spam die eine From Zeile nach dem Schema: "name1 at abc.de" haben, also bei den als Klartext eine Mailadresse steht, die von der Mailadresse in den spitzen Klammern abweicht. Aus meine Sicht sehe ich keinen Grund wieso bei einer legitimen Mail sich die Domain im Klartext von der in den spitzen Klammern unterscheiden sollte. Könnte man für so etwas nicht eine Amavis/Spamassassin Regel schreiben oder gibt es eventuell so etwas in der Art schon? Grüße Philipp Fäustlin From mittelstaedt-postfixbuch-users-list at monster-box.de Tue Oct 10 13:41:08 2017 From: mittelstaedt-postfixbuch-users-list at monster-box.de (Tom =?ISO-8859-1?Q?Mittelst=E4dt?=) Date: Tue, 10 Oct 2017 13:41:08 +0200 Subject: DKIM und Gmail In-Reply-To: References: <8b3cece0-90ed-6a38-99ee-2113cc258a26@datev.de> Message-ID: <1820277.9UIbHSxjQi@tweety> Hi, Am Dienstag, 10. Oktober 2017, 08:20:26 CEST schrieb Bjoern Meier: > GMail validiert unsere Email nicht. Wenn ich in meinem Gmail-Postfach nach > EMails von anderem Absendern mit DKIM-Signaturen suche, ist das Ergebnis > dort ebenfalls: FAIL. Gerade getestet. Mails an Google werden dort mit folgenden Headern versehen: Received-SPF: pass (google.com: domain of X designates 2a01:4f8:c17:303f::2 as permitted sender) client-ip=2a01:4f8:c17:303f::2; Authentication-Results: mx.google.com; dkim=pass header.i=@monster-box.de header.s=mx header.b=P2biiWUL; spf=pass (google.com: domain of X designates 2a01:4f8:c17:303f::2 as permitted sender) smtp.mailfrom=X; Googles ARC-Test ist ebenfalls erfolgreich und die Nachrichten bekommen ein ARC-Seal eine ARC-Message-Signature verpasst. ARC-Authentication-Results: i=1; mx.google.com; dkim=pass header.i=@monster-box.de header.s=mx header.b=P2biiWUL; spf=pass (google.com: domain of X designates 2a01:4f8:c17:303f::2 as permitted sender) smtp.mailfrom=X; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=monster-box.de Von Google zu mir klappt auch: Authentication-Results: mx.monster-box.de; dkim=pass header.d=googlemail.com; dmarc=pass policy=none header.from=gmail.com; spf=pass smtp.helo=mail-io0- x236.google.com Auch bei den Reports von Google ist alles in Ordnung: 2a01:4f8:c17:303f::2 none pass pass monster-box.de monster-box.de pass mx monster-box.de pass > Ich wollte auch keine Diskussion starten, ich ging davon aus, dass es > bekannt sei. Ne, bisher ist nichts aufgefallen. Tom From sschieke at hans-bredow-institut.de Tue Oct 10 16:23:41 2017 From: sschieke at hans-bredow-institut.de (Sebastian Schieke) Date: Tue, 10 Oct 2017 16:23:41 +0200 (CEST) Subject: Spam mit fake From filtern Message-ID: <1667118027.8564.1507645421765@groupware.hans-bredow-institut.de> Hallo Philipp, wir hatten einmal einen ähnlichen Fall und haben ein Plugin für spamassassin benutzt: https://github.com/extremeshok/spamassassin-extremeshok_fromreplyto Vielleicht hilft es weiter. lG Sebastian From sschieke at hans-bredow-institut.de Tue Oct 10 17:19:41 2017 From: sschieke at hans-bredow-institut.de (Sebastian Schieke) Date: Tue, 10 Oct 2017 17:19:41 +0200 (CEST) Subject: SpamAssassin schweigt sich aus Message-ID: <635833284.8604.1507648781820@groupware.hans-bredow-institut.de> Hallo Allerseits, in unserem Mailrelay-Setup haben wir SpamAssassin über Amavis eingebunden. Allerdings kommt es mir so vor, als ob SpamAssassin nicht (vollständig?) arbeitet. In der Amavis-Konfiguration ist eingestellt, dass Mails in jedem Fall mit entsprechenden Headern versehnen werden: $sa_tag_level_deflt = -1000; Wenn ich es richtig interpretiere, sollten dann aber alle Mails, die es durch das Relay schaffen, entsprechende Header in der Art: ===================8<-------------------------------- X-Spam-Flag: NO X-Spam-Score: -1.9 X-Spam-Level: ===================8<-------------------------------- aufweisen, oder verstehe ich das falsch? Woran lässt sich feststellen, dass SpamAssassin tatsächlich funktioniert? Anbei noch das main/master cf bundle: main.cf ===================8<-------------------------------- address_verify_map = btree:/var/spool/postfix/data/verify alias_maps = hash:/etc/aliases bounce_queue_lifetime = 3d broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_protocols = ipv4 maximal_queue_lifetime = 3d message_size_limit = 20971520 mydestination = mail.mydomain.com, localhost myhostname = mail.mydomain.com mynetworks = 127.0.0.0/8 relay_domains = hash:/etc/postfix/relay_domains smtp_tls_exclude_ciphers = RC4, aNULL smtp_tls_security_level = may smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access_recipient_rfc, check_client_access cidr:/etc/postfix/access_client, check_helo_access hash:/etc/postfix/access_helo, check_sender_access hash:/etc/postfix/access_sender, check_recipient_access hash:/etc/postfix/access_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, permit_sasl_authenticated, permit_mynetworks, check_client_access hash:/etc/postfix/policyd_weight_client_whitelist check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10023, reject_unverified_recipient, permit_mx_backup, reject_unauth_destination, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/myssl/bundle2.pem smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/myssl/hans-bredow-institut_de.pem smtpd_tls_exclude_ciphers = RC4, aNULL smtpd_tls_key_file = /etc/myssl/hans-bredow-institut_de.key smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_security_level = may tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA transport_maps = hash:/etc/postfix/transport, hash:/etc/postfix/relay_domains unverified_recipient_reject_code = 577 ===================8<-------------------------------- master.cf smtp inet n - n - - smtpd -o smtpd_proxy_filter=localhost:10024 pickup unix n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp relay unix - - - - - smtp showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} spf-policy unix - n n - - spawn user=nobody argv=/usr/bin/perl /usr/sbin/postfix-policyd-spf-perl localhost:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= -o smtpd_authorized_xforward_hosts=127.0.0.0/8 -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions= -o mynetworks=127.0.0.0/8 -o receive_override_options=no_unknown_recipient_checks ===================8<-------------------------------- lG Sebastian From Christian.Hoyer-Reuther at cac-chem.de Wed Oct 11 07:37:42 2017 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Wed, 11 Oct 2017 07:37:42 +0200 Subject: AW: SpamAssassin schweigt sich aus In-Reply-To: <635833284.8604.1507648781820@groupware.hans-bredow-institut.de> References: <635833284.8604.1507648781820@groupware.hans-bredow-institut.de> Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE8320FF0@ex1> Hallo Sebastian, ja, so sollte das eigentlich funktionieren. Siehst Du denn im Log solche Zeilen: Oct 9 15:13:33 mail amavis[626]: (00626-03) calling SA parse (0), SA vers 3.4.0, 3.004000, data as STRING_REF, recips_ind [0], user: "amavis" Oct 9 15:13:34 mail amavis[626]: (00626-03) spam_scan: score=-1.9 autolearn=ham autolearn_force=no tests=[BAYES_00=-1.9,HEADER_FROM_DIFFERENT_DOMAINS=0.001,RCVD_IN_DNSWL_NONE=-0.0001,RP_MATCHES_RCVD=-0.001] recips=0 Eventuell musst Du dafür den Amavis-Loglevel etwas hochsetzen: $log_level = 3; Viele Grüße. Christian -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Sebastian Schieke Gesendet: Dienstag, 10. Oktober 2017 17:20 An: postfixbuch-users at listen.jpberlin.de Betreff: SpamAssassin schweigt sich aus Hallo Allerseits, in unserem Mailrelay-Setup haben wir SpamAssassin über Amavis eingebunden. Allerdings kommt es mir so vor, als ob SpamAssassin nicht (vollständig?) arbeitet. In der Amavis-Konfiguration ist eingestellt, dass Mails in jedem Fall mit entsprechenden Headern versehnen werden: $sa_tag_level_deflt = -1000; Wenn ich es richtig interpretiere, sollten dann aber alle Mails, die es durch das Relay schaffen, entsprechende Header in der Art: ===================8<-------------------------------- X-Spam-Flag: NO X-Spam-Score: -1.9 X-Spam-Level: ===================8<-------------------------------- aufweisen, oder verstehe ich das falsch? Woran lässt sich feststellen, dass SpamAssassin tatsächlich funktioniert? From t.schneider at tms-itdienst.at Wed Oct 11 09:15:00 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 09:15:00 +0200 Subject: Apache mailman will nicht Message-ID: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at> Hallo, die admin Seite will nicht, der Browser möchte das admin File downloaden, bzw. bietet es mir zum Download an, statt das es ausgeführt wird. Hier das conf File ServerName listen.tms-it.net DocumentRoot /usr/lib/cgi-bin/mailman ErrorLog /var/log/apache2/listen/error.log CustomLog /var/log/apache2/listen/access.log combined Options FollowSymLinks AllowOverride None AllowOverride none Options ExecCGI AddHandler cgi-script .cgi Require all granted Options FollowSymlinks AllowOverride None Require all granted AllowOverride None Require all granted Alias /pipermail/ /var/lib/mailman/archives/public/ Alias /images/mailman/ /usr/share/images/mailman/ ScriptAlias /admin /usr/lib/cgi-bin/mailman/admin ScriptAlias /admindb /usr/lib/cgi-bin/mailman/admindb ScriptAlias /confirm /usr/lib/cgi-bin/mailman/confirm ScriptAlias /create /usr/lib/cgi-bin/mailman/create ScriptAlias /edithtml /usr/lib/cgi-bin/mailman/edithtml ScriptAlias /listinfo /usr/lib/cgi-bin/mailman/listinfo ScriptAlias /options /usr/lib/cgi-bin/mailman/options ScriptAlias /private /usr/lib/cgi-bin/mailman/private ScriptAlias /rmlist /usr/lib/cgi-bin/mailman/rmlist ScriptAlias /roster /usr/lib/cgi-bin/mailman/roster ScriptAlias /subscribe /usr/lib/cgi-bin/mailman/subscribe ScriptAlias /mailman/ /usr/lib/cgi-bin/mailman/ #ScriptAlias /cgi-bin/mailman/ /usr/lib/cgi-bin/mailman/ Was habe ich übersehen? Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From kai_postfix at fuerstenberg.ws Wed Oct 11 09:22:49 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Wed, 11 Oct 2017 09:22:49 +0200 Subject: Apache mailman will nicht In-Reply-To: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at> References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at> Message-ID: Hallo Timm, Am 11.10.2017 um 09:15 schrieb Timm Schneider: > die admin Seite will nicht, der Browser möchte das admin File > downloaden, bzw. bietet es mir zum Download an, statt das es ausgeführt > wird. > > Hier das conf File > Options ExecCGI > AddHandler cgi-script .cgi wenn ich die Doku (http://httpd.apache.org/docs/current/howto/cgi.html) richtig verstehe, muss es entweder heißen: Options ExecCGI SetHandler cgi-script wenn alle Dateien ausgeführt werden sollen, oder Options +ExecCGI AddHandler cgi-script .cgi dann werden nur die .cgi-Dateien ausgeführt. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From t.schneider at tms-itdienst.at Wed Oct 11 09:50:08 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 09:50:08 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at> Message-ID: Hallo Kai, > > wenn ich die Doku (http://httpd.apache.org/docs/current/howto/cgi.html) > richtig verstehe, muss es entweder heißen: > Options ExecCGI > SetHandler cgi-script > wenn alle Dateien ausgeführt werden sollen, oder > Options +ExecCGI > AddHandler cgi-script .cgi > dann werden nur die .cgi-Dateien ausgeführt. > habe beides ausprobiert, leider ohne Erfolg. Wie kann ich überprüfen ob alle Module richtig installiert sind? Servus Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Wed Oct 11 09:52:45 2017 From: wn at neessen.net (Winfried Neessen) Date: Wed, 11 Oct 2017 09:52:45 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

Message-ID: <090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net> Hi, Am 11.10.2017 um 09:50 schrieb Timm Schneider : > Wie kann ich überprüfen ob alle Module richtig installiert sind? > httpd -L bzw. httpd -l oder httpd -V Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1359 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Wed Oct 11 10:02:38 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 10:02:38 +0200 Subject: Apache mailman will nicht In-Reply-To: <090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net> References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

<090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net> Message-ID: Hallo Winni, Am 11.10.2017 um 09:52 schrieb Winfried Neessen: >> > > httpd -L bzw. httpd -l oder httpd -V Debian Stretch kennt diesen Befehlt nicht. Im Apache2 Verzeichnis unter mods-enabled steht perl php7 python natürlich noch so einige andere Einträge. Sollte doch damit gehen, das er das erkennt und nicht ein index File sucht, so wie es im error.log File steht. Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Wed Oct 11 10:07:18 2017 From: wn at neessen.net (Winfried Neessen) Date: Wed, 11 Oct 2017 10:07:18 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

<090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net> Message-ID: <537BEDFE-C5CA-4451-ABDA-BEAB53F9A06E@neessen.net> Hi, Am 11.10.2017 um 10:02 schrieb Timm Schneider : >> httpd -L bzw. httpd -l oder httpd -V > > Debian Stretch kennt diesen Befehlt nicht. > Debian hat vermutlich wieder sein eigenes Sueppchen gekocht (schreckliche Distribution). Evtl. heisst das Binary da apache2 oder so... Ist aber im Prinzip auch wurscht, da der Apache nicht starten wuerde, wenn Du Konfigurations- direktiven nutzt, die vom Apache nicht unterstuetzt wird. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1359 bytes Beschreibung: nicht verfügbar URL : From mwuttke at beuth-hochschule.de Wed Oct 11 10:19:45 2017 From: mwuttke at beuth-hochschule.de (Michael Wuttke) Date: Wed, 11 Oct 2017 10:19:45 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

Message-ID: apache2ctl -l & apache2ctl -t ;-) Michael Wuttke Am 11.10.2017 um 09:50 schrieb Timm Schneider: > Wie kann ich überprüfen ob alle Module richtig installiert sind? -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5602 bytes Beschreibung: S/MIME Cryptographic Signature URL : From sschieke at hans-bredow-institut.de Wed Oct 11 10:27:14 2017 From: sschieke at hans-bredow-institut.de (Sebastian Schieke) Date: Wed, 11 Oct 2017 10:27:14 +0200 (CEST) Subject: AW: SpamAssassin schweigt sich aus In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4011BE8320FF0@ex1> References: <635833284.8604.1507648781820@groupware.hans-bredow-institut.de> <41E487BC91654544B2B8F31096F2D9D4011BE8320FF0@ex1> Message-ID: <1633782388.8870.1507710434627@groupware.hans-bredow-institut.de> Moin Christian, ja die Zeilen sehe ich im Log. Habe inzwischen entdeckt, dass es an fehlenden @local_domains_acl Einträgen in der in der Amavis Konfiguration lag. Danke und Grüße Sebastian From beat at juckers.ch Wed Oct 11 10:30:15 2017 From: beat at juckers.ch (Beat Jucker) Date: Wed, 11 Oct 2017 10:30:15 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

Message-ID: <8ad2bd99-419a-6119-a09f-a6e4785edb99@juckers.ch> oder als "Otto-Normalanwender" inklusive sbin-Path: /usr/sbin/apache2 -l Gruss -- Beat Am 11.10.2017 um 10:19 schrieb Michael Wuttke: > apache2ctl -l > & > apache2ctl -t > > ;-) > > Michael Wuttke > > Am 11.10.2017 um 09:50 schrieb Timm Schneider: >> Wie kann ich überprüfen ob alle Module richtig installiert sind? From martin at lichtvoll.de Wed Oct 11 10:34:58 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Wed, 11 Oct 2017 10:34:58 +0200 Subject: Postscreen/Greylisting und Office 365 Message-ID: <5166165.AzyEqBtvKy@merkaba> Hallo. Ich sehe hier von einer Mail (immer dieselbe) von einem Office 365-Kunden: mondschein:~> grep learning /var/log/mail.log Oct 10 22:42:22 mondschein postfix/postscreen[14335]: NOQUEUE: reject: RCPT from [104.47.32.94]:58188: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 10 22:57:05 mondschein postfix/postscreen[14815]: NOQUEUE: reject: RCPT from [104.47.36.90]:12856: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 10 23:14:30 mondschein postfix/postscreen[15293]: NOQUEUE: reject: RCPT from [104.47.37.120]:54594: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 00:14:56 mondschein postfix/postscreen[15293]: NOQUEUE: reject: RCPT from [104.47.32.117]:43776: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 01:15:31 mondschein postfix/postscreen[17161]: NOQUEUE: reject: RCPT from [104.47.38.90]:22840: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 02:15:36 mondschein postfix/postscreen[17782]: NOQUEUE: reject: RCPT from [104.47.32.106]:17504: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 03:15:03 mondschein postfix/postscreen[18080]: NOQUEUE: reject: RCPT from [104.47.42.125]:7104: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 04:15:32 mondschein postfix/postscreen[19790]: NOQUEUE: reject: RCPT from [104.47.32.128]:60192: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 05:15:36 mondschein postfix/postscreen[20871]: NOQUEUE: reject: RCPT from [104.47.37.116]:63584: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 06:15:25 mondschein postfix/postscreen[21421]: NOQUEUE: reject: RCPT from [104.47.41.102]:45469: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 07:15:23 mondschein postfix/postscreen[22497]: NOQUEUE: reject: RCPT from [104.47.33.136]:17044: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 08:15:28 mondschein postfix/postscreen[23101]: NOQUEUE: reject: RCPT from [104.47.41.110]:55774: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 09:15:07 mondschein postfix/postscreen[23532]: NOQUEUE: reject: RCPT from [104.47.33.96]:45380: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 10:15:20 mondschein postfix/postscreen[24739]: NOQUEUE: reject: RCPT from [104.47.33.99]:2243: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Und hab da jetzt: mondschein:/etc/postfix> grep 104 postscreen_access.cidr 104.47.32.0/20 permit Irgendeine andere Idee? Finde ich ja jetzt nicht wirklich gut, was Microsoft da macht, aber ob es wirklich irgendwelche Standards verletzt? Es verletzt halt die Annahme von Postscreen oder Greylisting, dass es derselbe MTA nochmal versuchen wird. (Greylisting nutze ich nicht, das dürfte dann aber auch da grandios auf die Schnauze fallen.) Auf das fälschbare HELO möchte ich eigentlich nicht gehen. (Mich nervt das Office 365-Zeug auch aus anderen Gründen wie Safelinks, kaputter Spamfilter, Datenschutz usw. Wir haben das mittlerweile auch der Arbeit leider auch.) Danke, -- Martin From t.schneider at tms-itdienst.at Wed Oct 11 10:36:09 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 10:36:09 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

Message-ID: Hallo Michael, hier die Antworten. root at web:/etc/apache2# apachectl -l Compiled in modules: core.c mod_so.c mod_watchdog.c http_core.c mod_log_config.c mod_logio.c mod_version.c mod_unixd.c root at web:/etc/apache2# apachectl -t Syntax OK Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Christian.Hoyer-Reuther at cac-chem.de Wed Oct 11 10:57:44 2017 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Wed, 11 Oct 2017 10:57:44 +0200 Subject: AW: Postscreen/Greylisting und Office 365 In-Reply-To: <5166165.AzyEqBtvKy@merkaba> References: <5166165.AzyEqBtvKy@merkaba> Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE8321012@ex1> Hallo Martin, im Technet gibt es eine Liste der verwendeten IP's: https://technet.microsoft.com/en-us/library/dn163583%28v=exchg.150%29.aspx Viele Grüße. Christian -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Martin Steigerwald Gesendet: Mittwoch, 11. Oktober 2017 10:35 An: Diskussionen und Support rund um Postfix Betreff: Postscreen/Greylisting und Office 365 Hallo. Ich sehe hier von einer Mail (immer dieselbe) von einem Office 365-Kunden: mondschein:~> grep learning /var/log/mail.log Oct 10 22:42:22 mondschein postfix/postscreen[14335]: NOQUEUE: reject: RCPT from [104.47.32.94]:58188: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 10 22:57:05 mondschein postfix/postscreen[14815]: NOQUEUE: reject: RCPT from [104.47.36.90]:12856: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 10 23:14:30 mondschein postfix/postscreen[15293]: NOQUEUE: reject: RCPT from [104.47.37.120]:54594: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 00:14:56 mondschein postfix/postscreen[15293]: NOQUEUE: reject: RCPT from [104.47.32.117]:43776: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 01:15:31 mondschein postfix/postscreen[17161]: NOQUEUE: reject: RCPT from [104.47.38.90]:22840: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 02:15:36 mondschein postfix/postscreen[17782]: NOQUEUE: reject: RCPT from [104.47.32.106]:17504: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 03:15:03 mondschein postfix/postscreen[18080]: NOQUEUE: reject: RCPT from [104.47.42.125]:7104: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 04:15:32 mondschein postfix/postscreen[19790]: NOQUEUE: reject: RCPT from [104.47.32.128]:60192: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 05:15:36 mondschein postfix/postscreen[20871]: NOQUEUE: reject: RCPT from [104.47.37.116]:63584: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 06:15:25 mondschein postfix/postscreen[21421]: NOQUEUE: reject: RCPT from [104.47.41.102]:45469: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 07:15:23 mondschein postfix/postscreen[22497]: NOQUEUE: reject: RCPT from [104.47.33.136]:17044: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 08:15:28 mondschein postfix/postscreen[23101]: NOQUEUE: reject: RCPT from [104.47.41.110]:55774: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 09:15:07 mondschein postfix/postscreen[23532]: NOQUEUE: reject: RCPT from [104.47.33.96]:45380: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Oct 11 10:15:20 mondschein postfix/postscreen[24739]: NOQUEUE: reject: RCPT from [104.47.33.99]:2243: 450 4.3.2 Service currently unavailable; from=<[?]>, to=, proto=ESMTP, helo= Und hab da jetzt: mondschein:/etc/postfix> grep 104 postscreen_access.cidr 104.47.32.0/20 permit Irgendeine andere Idee? Finde ich ja jetzt nicht wirklich gut, was Microsoft da macht, aber ob es wirklich irgendwelche Standards verletzt? Es verletzt halt die Annahme von Postscreen oder Greylisting, dass es derselbe MTA nochmal versuchen wird. From kai_postfix at fuerstenberg.ws Wed Oct 11 11:09:27 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Wed, 11 Oct 2017 11:09:27 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

<090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net> Message-ID: Am 11.10.2017 um 10:02 schrieb Timm Schneider: > Hallo Winni, > > Am 11.10.2017 um 09:52 schrieb Winfried Neessen: > >>> >> >> httpd -L bzw. httpd -l oder httpd -V > > > Debian Stretch kennt diesen Befehlt nicht. > > Im Apache2 Verzeichnis unter mods-enabled steht > > perl php7 python > > natürlich noch so einige andere Einträge. Sollte doch damit gehen, > das er das erkennt und nicht ein index File sucht, so wie es im > error.log File steht. Das Modul muss selbst auch eingeschaltet sein... $ sudo a2enmod cgi bzw. Symlink des mod_cgid von modules_available nach modules_enabled setzen. Danach Apache neu starten. Ich habe zwar auch Debian, habe den Apache aber selbst kompiliert, daher kann das ein oder andere etwas abweichen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From t.schneider at tms-itdienst.at Wed Oct 11 11:16:13 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 11:16:13 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

<090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net>

Message-ID: <8287caf4-79b9-a3b3-d25c-09616e7d3ba1@tms-itdienst.at> Hallo Kai, aber wenn es in mods_enable steht, ist es doch eingeschalten, oder? Wenn es nur in mods_available stehen würde, dann ist es klar. Servus Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Wed Oct 11 11:25:34 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 11:25:34 +0200 Subject: Apache mailman will nicht In-Reply-To: References: <252cadbd-b98e-24a7-2c87-448ac0693d9d@tms-itdienst.at>

<090207A9-8968-4CAD-87DB-8332138ACA4B@neessen.net>

Message-ID: Hallo Kai, ja klar, ist es so, nur hatte ich wohl übersehen/vergessen das Modul zu aktivieren. Ich wusste es und habs doch übersehen, das cgi eben nicht aktiviert ist. Danke Kai Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Wed Oct 11 11:50:51 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 11:50:51 +0200 Subject: Mailman zeigt keine Listen an Message-ID: Hallo, nun wird die Seite angezeigt, sagt mir aber es wären keine Listen da. Ein list_lists zeigt etwas anders. root at web:/var/lib/mailman/bin# ./list_lists 8 Passende Mailinglisten gefunden: Adl511-Veranstaltungen - [keine Beschreibung verfügbar] Afu-adl511 - Liste der Funkamateure des ADL511 Askozia - Info ?ber Askozia TK-Anlagen Cpbx-kunden - Info f?r CPBX Anwender Mailman - [keine Beschreibung verfügbar] Notfunk-OE5 - Info ?ber Notfunk Aktivit?ten Opendstar - Gemeinschaft f?r offenes D-Star Tms-kunden - Security News Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From andreas.schulze at datev.de Wed Oct 11 12:20:23 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Wed, 11 Oct 2017 12:20:23 +0200 Subject: Mailman zeigt keine Listen an In-Reply-To: References: Message-ID: <14fd9264-310f-d956-83dd-51dcaabde0a2@datev.de> Am 11.10.2017 um 11:50 schrieb Timm Schneider: > Hallo, > > > nun wird die Seite angezeigt, sagt mir aber es wären keine Listen da. > Ein list_lists zeigt etwas anders. > > root at web:/var/lib/mailman/bin# ./list_lists > 8 Passende Mailinglisten gefunden: > Adl511-Veranstaltungen - [keine Beschreibung verfügbar] > Afu-adl511 - Liste der Funkamateure des ADL511 > Askozia - Info ?ber Askozia TK-Anlagen > Cpbx-kunden - Info f?r CPBX Anwender > Mailman - [keine Beschreibung verfügbar] > Notfunk-OE5 - Info ?ber Notfunk Aktivit?ten > Opendstar - Gemeinschaft f?r offenes D-Star > Tms-kunden - Security News > > > > Grüße > Timm Schneider > > "list_lists -h" willst Du lesen .... -- A. Schulze DATEV eG From martin at lichtvoll.de Wed Oct 11 12:53:12 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Wed, 11 Oct 2017 12:53:12 +0200 Subject: Postscreen/Greylisting und Office 365 In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4011BE8321012@ex1> References: <5166165.AzyEqBtvKy@merkaba> <41E487BC91654544B2B8F31096F2D9D4011BE8321012@ex1> Message-ID: <4226075.t9GfJ53FnE@merkaba> Hallo. Hoyer-Reuther, Christian - 11.10.17, 10:57: > Hallo Martin, > > im Technet gibt es eine Liste der verwendeten IP's: > > https://technet.microsoft.com/en-us/library/dn163583%28v=exchg.150%29.aspx Die ham ja ein Rad ab. Danke, -- Martin From Axel.Riedel at x-case.de Wed Oct 11 12:53:27 2017 From: Axel.Riedel at x-case.de (Axel Riedel) Date: Wed, 11 Oct 2017 10:53:27 +0000 Subject: AW: Postscreen/Greylisting und Office 365 Message-ID: <4609417153FBEE48939EB3C464157FF1019D3353@SONNE.x-case.local> Hallo Martin, wir haben das Problem mit Postwhite gelöst. https://github.com/stevejenkins/postwhite Viele Grüße axel From t.schneider at tms-itdienst.at Wed Oct 11 13:42:38 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 13:42:38 +0200 Subject: Mailman zeigt keine Listen an In-Reply-To: <14fd9264-310f-d956-83dd-51dcaabde0a2@datev.de> References: <14fd9264-310f-d956-83dd-51dcaabde0a2@datev.de> Message-ID: Hallo Andreas, >> >> > "list_lists -h" willst Du lesen .... root at web:/usr/lib/mailman/bin# list_lists -a 8 Passende Mailinglisten gefunden: Adl511-Veranstaltungen - [keine Beschreibung verfügbar] Afu-adl511 - Liste der Funkamateure des ADL511 Askozia - Info ?ber Askozia TK-Anlagen Cpbx-kunden - Info f?r CPBX Anwender Mailman - [keine Beschreibung verfügbar] Notfunk-OE5 - Info ?ber Notfunk Aktivit?ten Opendstar - Gemeinschaft f?r offenes D-Star Tms-kunden - Security News wirt auch alle aus, die sind also alle öffentlich. Oder was hattest Du gemeint? Sevus Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Wed Oct 11 14:57:48 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Wed, 11 Oct 2017 14:57:48 +0200 Subject: Mailman zeigt keine Listen an In-Reply-To: <14fd9264-310f-d956-83dd-51dcaabde0a2@datev.de> References: <14fd9264-310f-d956-83dd-51dcaabde0a2@datev.de> Message-ID: Hallo Liste, ich habs gefunden. In der Datei mm_cfg.py hat der Eintrag: VIRTUAL_HOST_OVERVIEW = off gefehlt. Grüße Timm Am 11.10.2017 um 12:20 schrieb Andreas Schulze: > Am 11.10.2017 um 11:50 schrieb Timm Schneider: >> Hallo, >> >> >> nun wird die Seite angezeigt, sagt mir aber es wären keine Listen da. >> Ein list_lists zeigt etwas anders. >> >> root at web:/var/lib/mailman/bin# ./list_lists >> 8 Passende Mailinglisten gefunden: >> Adl511-Veranstaltungen - [keine Beschreibung verfügbar] >> Afu-adl511 - Liste der Funkamateure des ADL511 >> Askozia - Info ?ber Askozia TK-Anlagen >> Cpbx-kunden - Info f?r CPBX Anwender >> Mailman - [keine Beschreibung verfügbar] >> Notfunk-OE5 - Info ?ber Notfunk Aktivit?ten >> Opendstar - Gemeinschaft f?r offenes D-Star >> Tms-kunden - Security News >> >> >> >> Grüße >> Timm Schneider >> >> > "list_lists -h" willst Du lesen .... > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p.heinlein at heinlein-support.de Wed Oct 11 16:51:47 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 11 Oct 2017 16:51:47 +0200 Subject: Postscreen/Greylisting und Office 365 In-Reply-To: <5166165.AzyEqBtvKy@merkaba> References: <5166165.AzyEqBtvKy@merkaba> Message-ID: <4d426086-9e6a-94dc-19da-8e34f44c6b4b@heinlein-support.de> cd /etc/postgrey wget https://raw.githubusercontent.com/schweikert/postgrey/f9bdc5adbe71ce14f5ffa6c8eed5164971dffaf1/postgrey_whitelist_clients mv postgrey_whitelist_clients whitelist_clients From martin at lichtvoll.de Wed Oct 11 17:31:12 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Wed, 11 Oct 2017 17:31:12 +0200 Subject: Postscreen/Greylisting und Office 365 In-Reply-To: <4d426086-9e6a-94dc-19da-8e34f44c6b4b@heinlein-support.de> References: <5166165.AzyEqBtvKy@merkaba> <4d426086-9e6a-94dc-19da-8e34f44c6b4b@heinlein-support.de> Message-ID: <1589862.3fqBg1MkZ4@merkaba> Peer Heinlein - 11.10.17, 16:51: > cd /etc/postgrey > > wget > https://raw.githubusercontent.com/schweikert/postgrey/f9bdc5adbe71ce14f5ffa6 > c8eed5164971dffaf1/postgrey_whitelist_clients > > mv postgrey_whitelist_clients whitelist_clients Okay. Das wäre dann für Postgrey. Postscreen wird das in seiner CIDR-Whitelist nicht in der Form verwenden können. Nun, ist ein privater Server und ich werd das nach Bedarf anpassen, denke ich. Also erst, wenn ich etwas vermisse :). Kam ja bislang erst 2x vor. Das andere Mal mit # mailque2.exigo.com versucht es nicht erneut 208.90.224.33/32 permit # Zur Sicherheit auch mailque1 und mailque3 108.59.34.7/32 permit 208.90.227.9/32 permit Wobei ich mir vielleicht doch nochmal ne vollständige Liste raussuche. Nun mal sehen, vielleicht nehme ich doch das postwhite-Teil, das Axel empfohlen hat. Danke, -- Martin From robert at redo2oo.ch Thu Oct 12 09:57:10 2017 From: robert at redo2oo.ch (robert at redo2oo.ch) Date: Thu, 12 Oct 2017 09:57:10 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? Message-ID: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> Hoi zäme, seite einigen tagen wird (wurde ?) schubweise massenmails über meinen server verschickt. Ich bin am untersuchen, wie das möglich ist. Nun möchte ich als erstes all mails an yahoo.com unterbinden. Wie mache ich das? Folgendes habe ich unternommen, scheint aber noch nicht zu nützen: in main.cf habe ich die Zeile check_client_access hash:/etc/postfix/client_checks eingetragen wie folgt: smtpd_recipient_restrictions = reject_invalid_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, # reject_non_fqdn_hostname, # reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname reject_unauth_destination # robert spf policy check_policy_service unix:private/policy-spf reject_non_fqdn_recipient, reject_unlisted_recipient, reject_rbl_client dnsbl.inps.de, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, # robert check_client_access hash:/etc/postfix/client_checks permit die datei /etc/postfix/client_checks hat folgenden Inhalt: yahoo.com REJECT yahoo.ca REJECT yahoodns.net REJECT anschliessend: postmap client_checks service postfix reload das scheint aber noch nicht zu genügen. mails an xxx at yahoo.com werden immer noch verschickt. Ich bin für tips und pointers zu tutorials oder so sehr dankbar. mit freundlichen Grüssen Robert From wn at neessen.net Thu Oct 12 10:07:03 2017 From: wn at neessen.net (Winfried Neessen) Date: Thu, 12 Oct 2017 10:07:03 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> Message-ID: Hi, Am 12.10.2017 um 09:57 schrieb robert at redo2oo.ch: > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_mynetworks, > permit_sasl_authenticated, > reject_non_fqdn_sender, > # reject_non_fqdn_hostname, > # reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname > reject_unauth_destination > # robert spf policy > check_policy_service unix:private/policy-spf > reject_non_fqdn_recipient, > reject_unlisted_recipient, > reject_rbl_client dnsbl.inps.de, > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > # robert > check_client_access hash:/etc/postfix/client_checks > permit > > die datei /etc/postfix/client_checks hat folgenden Inhalt: > > yahoo.com REJECT > yahoo.ca REJECT > yahoodns.net REJECT > Dein Check wird nie greifen, weil die sendende Instanz entweder schon durch das "permit_mynetworks" oder das "permit_sasl_authenticated" gruenes Licht bekommt. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From daniel at mail24.vip Thu Oct 12 10:16:35 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 12 Oct 2017 10:16:35 +0200 Subject: AW: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> Message-ID: <006901d34332$6b76f420$4264dc60$@mail24.vip> Und wenn man schon bei ist https://de.ssl-tools.net/mailservers/redo2oo.ch sagt Schwache Algorithmen unterstützt ECDHE_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_RC4_128_SHA Wäre in main.cf wohl nicht verkehrt sowas zuhaben: smtp_dns_support_level = dnssec smtp_tls_ciphers = high smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_ciphers= high smtp_tls_security_level = dane smtpd_tls_ciphers = high smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtpd_tls_mandatory_ciphers= high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Winfried Neessen Gesendet: Donnerstag, 12. Oktober 2017 10:07 An: Diskussionen und Support rund um Postfix Betreff: Re: wie kann ich senden an eine domain (yahoo.com) unterbinden? Hi, Am 12.10.2017 um 09:57 schrieb robert at redo2oo.ch: > smtpd_recipient_restrictions = > reject_invalid_hostname, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > permit_mynetworks, > permit_sasl_authenticated, > reject_non_fqdn_sender, > # reject_non_fqdn_hostname, > # reject_non_fqdn_helo_hostname, > reject_invalid_helo_hostname > reject_unauth_destination > # robert spf policy > check_policy_service unix:private/policy-spf > reject_non_fqdn_recipient, > reject_unlisted_recipient, > reject_rbl_client dnsbl.inps.de, > reject_rbl_client zen.spamhaus.org, > reject_rbl_client bl.spamcop.net, > # robert > check_client_access hash:/etc/postfix/client_checks > permit > > die datei /etc/postfix/client_checks hat folgenden Inhalt: > > yahoo.com REJECT > yahoo.ca REJECT > yahoodns.net REJECT > Dein Check wird nie greifen, weil die sendende Instanz entweder schon durch das "permit_mynetworks" oder das "permit_sasl_authenticated" gruenes Licht bekommt. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Thu Oct 12 10:29:59 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 12 Oct 2017 10:29:59 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> Message-ID: <20171012082959.z5igrxwspqxlops6@charite.de> * robert at redo2oo.ch : > Hoi zäme, > > seite einigen tagen wird (wurde ?) schubweise massenmails über meinen server > verschickt. > > Ich bin am untersuchen, wie das möglich ist. > > Nun möchte ich als erstes all mails an yahoo.com unterbinden. > > Wie mache ich das? Logs lesen wäre ein Ansatz. > Folgendes habe ich unternommen, scheint aber noch nicht zu nützen: > > > in main.cf habe ich die Zeile > > check_client_access hash:/etc/postfix/client_checks > > eingetragen wie folgt: Viel zu weit unten. Davor erlauben solche Sachen wie permit_mynetworks, permit_sasl_authenticated, die Mail. Daraus kann man schliessen daß entweder der Versand aus mynetworks erfolgt ODER über einen authentisierten Benutzer. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From robert at redo2oo.ch Thu Oct 12 10:57:19 2017 From: robert at redo2oo.ch (robert at redo2oo.ch) Date: Thu, 12 Oct 2017 10:57:19 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <20171012082959.z5igrxwspqxlops6@charite.de> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <20171012082959.z5igrxwspqxlops6@charite.de> Message-ID: <6e7a7209-dac7-3e62-b8a5-862b43e462c5@redo2oo.ch> besten dank, der sünder wurde ertapt .. er kam aus mynetworks .. gruss robert On 12.10.2017 10:29, Ralf Hildebrandt wrote: > * robert at redo2oo.ch : >> Hoi zäme, >> >> seite einigen tagen wird (wurde ?) schubweise massenmails über meinen server >> verschickt. >> >> Ich bin am untersuchen, wie das möglich ist. >> >> Nun möchte ich als erstes all mails an yahoo.com unterbinden. >> >> Wie mache ich das? > Logs lesen wäre ein Ansatz. > >> Folgendes habe ich unternommen, scheint aber noch nicht zu nützen: >> >> >> in main.cf habe ich die Zeile >> >> check_client_access hash:/etc/postfix/client_checks >> >> eingetragen wie folgt: > Viel zu weit unten. Davor erlauben solche Sachen wie > > permit_mynetworks, > permit_sasl_authenticated, > > die Mail. > > Daraus kann man schliessen daß entweder der Versand aus mynetworks > erfolgt ODER über einen authentisierten Benutzer. > From cite at incertum.net Thu Oct 12 11:37:29 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 12 Oct 2017 11:37:29 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <006901d34332$6b76f420$4264dc60$@mail24.vip> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <006901d34332$6b76f420$4264dc60$@mail24.vip> Message-ID: <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> * Daniel : >smtp_dns_support_level = dnssec Wenn der Rest der Infrastruktur KEIN DNSSEC kann, dann ist das keine gute Idee. >smtp_tls_ciphers = high >smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtp_tls_mandatory_ciphers= high >smtp_tls_security_level = dane >smtpd_tls_ciphers = high >smtpd_tls_eecdh_grade = strong >smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtpd_tls_mandatory_ciphers= high >smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >smtpd_tls_protocols = !SSLv2,!SSLv3 Mailserver sind keine HTTP-Server. Wenn da wegen zu viel Crypto keine TLS-Verbindung zu Stande kommt, dann mach die Gegenseite halt eine Klartext-Verbindung auf, und das war's dann mit der Verschlüsselung. Ich kann nur dringend davon abraten, an den Defaults der noch unterstützten Postfix-Versionen was zu ändern, es sei denn, es handelt sich NICHT um öffentliche MXs sondern nur interne Relays etc., wo man also kontrollieren (und koordinieren) kann, wer drauf zugreift. Ciao, Stefan From daniel at mail24.vip Thu Oct 12 12:16:15 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 12 Oct 2017 12:16:15 +0200 Subject: AW: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <006901d34332$6b76f420$4264dc60$@mail24.vip> <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> Message-ID: <000801d34343$2322f640$6968e2c0$@mail24.vip> Welcher DNS soll den kein DNSsec unterstützen? Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man dort die DNSBL füttern möchte mit Emails. Von was möchtest da also von abraten oder anders machen? Die Ciphers habe ich z.B. von hier https://weakdh.org/sysadmin.html mal übernommen gehabt. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Stefan Förster Gesendet: Donnerstag, 12. Oktober 2017 11:37 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: wie kann ich senden an eine domain (yahoo.com) unterbinden? * Daniel : >smtp_dns_support_level = dnssec Wenn der Rest der Infrastruktur KEIN DNSSEC kann, dann ist das keine gute Idee. >smtp_tls_ciphers = high >smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtp_tls_mandatory_ciphers= high >smtp_tls_security_level = dane >smtpd_tls_ciphers = high >smtpd_tls_eecdh_grade = strong >smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA >smtpd_tls_mandatory_ciphers= high >smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >smtpd_tls_protocols = !SSLv2,!SSLv3 Mailserver sind keine HTTP-Server. Wenn da wegen zu viel Crypto keine TLS-Verbindung zu Stande kommt, dann mach die Gegenseite halt eine Klartext-Verbindung auf, und das war's dann mit der Verschlüsselung. Ich kann nur dringend davon abraten, an den Defaults der noch unterstützten Postfix-Versionen was zu ändern, es sei denn, es handelt sich NICHT um öffentliche MXs sondern nur interne Relays etc., wo man also kontrollieren (und koordinieren) kann, wer drauf zugreift. Ciao, Stefan -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From cite at incertum.net Thu Oct 12 12:26:04 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 12 Oct 2017 12:26:04 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <000801d34343$2322f640$6968e2c0$@mail24.vip> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <006901d34332$6b76f420$4264dc60$@mail24.vip> <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> <000801d34343$2322f640$6968e2c0$@mail24.vip> Message-ID: <20171012102604.fmromwz6y4p3km5n@physadeia.incertum.net> Hallo Daniel, * Daniel : >Welcher DNS soll den kein DNSsec unterstützen? "unterstützen" werden das die meisten, ob es dann auch konfiguriert ist, ist eine andere Sache :-) Zumindest wäre es sinnvoll gewesen darauf hinzuweisen, dass diese Konfiguration einen DNSSEC-fähigen Resolver voraussetzt (und noch dazu einen, dessen Antworten auf dem Transportweg nicht verfälschbar sind, oder wo Du dem Transportweg traust). >Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch >eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass >Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man >dort die DNSBL füttern möchte mit Emails. Wenn ein MTA ein STARTTLS sieht, aber keinen Handshake hinbekommt, dann wird er die Mail unverschlüsselt nochmal senden - das ist zumindest fast überall die Default-Konfiguration, u.a. auch bei Postfix. Im Gegensatz zu HTTP - wo Du dann die Seite nicht zu sehen kriegst - riskierst Du bei Mailservern also ein Downgrade auf eine unverschlüsselte Verbindung, wenn man Cipher erzwingt, die die Gegenstelle nicht kann. Dies ist völlig unnötig, denn Transportwegverschlüsselung ist eh kein Ersatz für Dinge wie S/MIME oder GPG. Auf einem MSA macht es vielleicht Sinn, moderne und starke Cipher zu erzwwingen, weil man dann einfach die Annahme verweigern kann, wenn kein Handshake zu Stande kommt. Auf öffentlichen MXen macht das keinen Sinn. >Von was möchtest da also von abraten oder anders machen? Ich würde alle Einstellunge bzgl. TLS löschen, mit Ausnahme von smtp(d)?_tls_ciphers - villeicht. Einen echten Sicherheitsgewinn gibt es dadurch nicht, und wird es bis zur flächendeckenden Verbreitung von DANE TLSA auch nicht geben (bei letzterem kann man dann ablehnen, wenn der Handshake fehlschlägt). VG, Stefan From wn at neessen.net Thu Oct 12 13:06:30 2017 From: wn at neessen.net (Winfried Neessen) Date: Thu, 12 Oct 2017 13:06:30 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: <20171012102604.fmromwz6y4p3km5n@physadeia.incertum.net> References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <006901d34332$6b76f420$4264dc60$@mail24.vip> <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> <000801d34343$2322f640$6968e2c0$@mail24.vip> <20171012102604.fmromwz6y4p3km5n@physadeia.incertum.net> Message-ID: Hi, Am 12.10.2017 um 12:26 schrieb Stefan Förster : > Dies ist völlig unnötig, denn Transportwegverschlüsselung ist eh kein Ersatz für Dinge wie S/MIME > oder GPG. Das ist m. E. ein ganz wichtiger Punkt der heutzutage immer wieder zu Missverstaendnissen fuehrt. Man muss sich einfach dessen bewusst sein, dass Email ein total veraltetes, unsicheres Protokoll aus den 80ern ist und alles was wir da heute machen in Sachen Transportwegverschluesselung und dergl. sind eben nur "Patches" um Probleme zu beheben, die es damals einfach nicht gab. Problem daran ist aber halt, dass es "Patches" bzw. "Workarounds" sind die nicht zwingend notwendig geschweige denn vorgeschrieben sind um Mails zu versenden und viele Postmaster diese eben nicht nutzen. Wenn TLS Pflicht im Standard waere, waere die opportunistische Verschluesselung voellig unnoetig und ein Downgrade auf unverschluesselten Transport wuerde nicht passieren. Klar unterstuetzen wir aktuelle Verschluesselungstechnologien - das bedeutet aber nicht, dass die Gegenseite es auch macht. Und solang dies noch der Fall bleibt, ist es mir lieber, dass meine Mails mit einem schwachen Cipher verschluesselt werden, als das sie komplett als Klartext ueber den Ether gehen. Ich finde es ja schoen und gut, dass hier starke Cipher empfohlen werden, aber man sollte sich dessen bewusst sein, dass man sich damit gepflegt in den Fuss schiessen kann, wenn man nicht genau weiss was man da macht. Bevor ich einen Cipher bei uns abschalte, fahre ich mehrere Wochen Statistiken um zu sehen, wieviele Mails evtl. nicht mehr ausgeliefert wuerden. Einfach pauschal zu sagen: "Auf Seite XYZ steht, dass diese Cipher toll sind" kann da fatal enden. Just my 2 cent Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From cite at incertum.net Thu Oct 12 14:25:15 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 12 Oct 2017 14:25:15 +0200 Subject: wie kann ich senden an eine domain (yahoo.com) unterbinden? In-Reply-To: References: <44e678ac-9d70-1915-83d6-10332ca30bbc@redo2oo.ch> <006901d34332$6b76f420$4264dc60$@mail24.vip> <20171012093729.m5qmup3tuxwlbitr@physadeia.incertum.net> <000801d34343$2322f640$6968e2c0$@mail24.vip> <20171012102604.fmromwz6y4p3km5n@physadeia.incertum.net> Message-ID: <20171012122515.fsprmjm2h23f6pum@physadeia.incertum.net> * Winfried Neessen : >Klar unterstuetzen wir aktuelle Verschluesselungstechnologien - das bedeutet aber nicht, dass die >Gegenseite es auch macht. Und solang dies noch der Fall bleibt, ist es mir lieber, dass meine Mails >mit einem schwachen Cipher verschluesselt werden, als das sie komplett als Klartext ueber den Ether gehen. Du kannst das offensichtlich viel besser formulieren als ich, danke :-) From pkoch at bgc-jena.mpg.de Fri Oct 13 10:09:14 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Fri, 13 Oct 2017 10:09:14 +0200 Subject: Frage zu amavis und spam score Message-ID: Hallo, folgendes Problem. Ich sehe im Log der Mailgates das die Annahme von Mails als SPAM abgelehnt wird und ich sehe auch den Score. Was ich nicht sehe sind die Bewertungen die zu den Score geführt haben. Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief läuft (im Falle das es sich um eine erwünschte E-Mail handelt) ? -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From wn at neessen.net Fri Oct 13 10:19:01 2017 From: wn at neessen.net (Winfried Neessen) Date: Fri, 13 Oct 2017 10:19:01 +0200 Subject: Frage zu amavis und spam score In-Reply-To: References: Message-ID: Hi, Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch : > Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief läuft (im Falle das es sich um eine > erwünschte E-Mail handelt) ? > Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, wird sie im Quarantaene-Verz. abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die Mail abgelegt hat: ,--- | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] quarantine: spam/y/yMt7sKxLdoUv `--- In der entsprechenden Mail kannst Du dann den entsprechenden X-Spam-Report Header analysieren: ,--- | X-Spam-Report: | * 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source | * [113.201.51.26 listed in dnsbl.sorbs.net] | * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net | * [Blocked - see ] | * 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS | * [113.201.51.26 listed in zen.spamhaus.org] | [...] `--- Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1359 bytes Beschreibung: nicht verfügbar URL : From pkoch at bgc-jena.mpg.de Fri Oct 13 10:24:38 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Fri, 13 Oct 2017 10:24:38 +0200 Subject: Frage zu amavis und spam score In-Reply-To: References:

Message-ID: <0269f8a6-c110-6fe1-59ce-90347f362ae7@bgc-jena.mpg.de> Hi, in diesem Fall wurde nichts abgelegt, da der Score zu hoch war. Ich habe jetzt in der amavisd.conf $log_level = 1; $log_templ = $log_verbose_templ; eingetragen und bekomme ....aus dem log Tests: [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01] --- Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen haben hier gelistet werden ? Das wäre dann in etwa was ich bräuchte ... Danke, Peer On 13.10.2017 10:19, Winfried Neessen wrote: > Hi, > > Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch : > >> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief läuft (im Falle das es sich um eine >> erwünschte E-Mail handelt) ? >> > Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, wird sie im Quarantaene-Verz. > abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die Mail abgelegt hat: > > ,--- > | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] quarantine: spam/y/yMt7sKxLdoUv > `--- > > In der entsprechenden Mail kannst Du dann den entsprechenden X-Spam-Report Header analysieren: > > ,--- > | X-Spam-Report: > | * 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source > | * [113.201.51.26 listed in dnsbl.sorbs.net] > | * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net > | * [Blocked - see ] > | * 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS > | * [113.201.51.26 listed in zen.spamhaus.org] > | [...] > `--- > > > Winni -- Mit freundlichen Grüßen, Peer-Joachim Koch ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Fri Oct 13 10:30:19 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 13 Oct 2017 10:30:19 +0200 Subject: =?UTF-8?Q?Postfix_verchl=c3=bcsselt=3f?= Message-ID: Hallo, wie kann ich feststellen, ob der Transportweg verschlüsselt ist? In meinem alten Postfix auf der alten Maschine wurde das immer im Logfile angezeigt, jetzt allerding ist da nichts mehr zu sehen. root at web:/home/timm# postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no body_checks = pcre:/etc/postfix/body_checks broken_sasl_auth_clients = yes compatibility_level = 2 header_checks = pcre:/etc/postfix/header_checks inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_exceptions = root mydestination = $myhostname, localhost.$mydomain, listen.$mydomain mydomain = tms-it.net myhostname = mail.tms-it.net mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = $myhostname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/relays, reject_rbl_client blacklist.rbl.ispa.at, check_policy_service inet:127.0.0.1:10040 check_sender_access hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_unknown_client_hostname, check_recipient_access hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauthenticated_sender_login_mismatch, reject_rbl_client mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_unverified_recipient, reject_unauth_destination smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = mail smtpd_sasl_security_options = noanonymous smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = hash:/etc/postfix/virtual Grüße Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From jost+lists at dimejo.at Fri Oct 13 10:33:49 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Fri, 13 Oct 2017 10:33:49 +0200 Subject: =?UTF-8?Q?Re:_Postfix_verchl=c3=bcsselt=3f?= In-Reply-To: References: Message-ID: <474027b7-3a43-327c-9933-04ea61293822@dimejo.at> Am 13.10.2017 um 10:30 schrieb Timm Schneider: > Hallo, > > > wie kann ich feststellen, ob der Transportweg verschlüsselt ist? > In meinem alten Postfix auf der alten Maschine wurde das immer im > Logfile angezeigt, jetzt allerding ist da nichts mehr zu sehen. > > > root at web:/home/timm# postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > body_checks = pcre:/etc/postfix/body_checks > broken_sasl_auth_clients = yes > compatibility_level = 2 > header_checks = pcre:/etc/postfix/header_checks > inet_interfaces = all > inet_protocols = all > mailbox_size_limit = 0 > masquerade_classes = envelope_sender, header_sender, header_recipient > masquerade_exceptions = root > mydestination = $myhostname, localhost.$mydomain, listen.$mydomain > mydomain = tms-it.net > myhostname = mail.tms-it.net > mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 > [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = $myhostname > readme_directory = no > recipient_delimiter = + > relayhost = > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > smtpd_recipient_restrictions = check_client_access > hash:/etc/postfix/relays, reject_rbl_client blacklist.rbl.ispa.at, > check_policy_service inet:127.0.0.1:10040 check_sender_access > hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, > permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, > reject_unknown_client_hostname, check_recipient_access > hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, > reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, > reject_non_fqdn_recipient, reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_unauthenticated_sender_login_mismatch, reject_rbl_client > mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, > reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, > reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, > reject_unverified_recipient, reject_unauth_destination > smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated > defer_unauth_destination > smtpd_sasl_auth_enable = yes > smtpd_sasl_local_domain = mail > smtpd_sasl_security_options = noanonymous > smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem > smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > virtual_alias_domains = hash:/etc/postfix/virtual > virtual_alias_maps = hash:/etc/postfix/virtual smtp_tls_loglevel = 1 smtpd_tls_loglevel = 1 -- Alex JOST From klaus at tachtler.net Fri Oct 13 10:44:55 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 10:44:55 +0200 Subject: Frage zu amavis und spam score In-Reply-To: <0269f8a6-c110-6fe1-59ce-90347f362ae7@bgc-jena.mpg.de> References:

<0269f8a6-c110-6fe1-59ce-90347f362ae7@bgc-jena.mpg.de> Message-ID: <20171013104455.Horde.WOQ-JWbX_lBYJv6NlPAuhEH@buero.tachtler.net> Hallo Peer, das Erhöhen des log_level wie nachfolgend log_level = 3; # verbosity 0..5, -d ist das, was wir bei uns durchgeführt haben, um zu sehen warum die E-Mails abgelehnt wurden. Grüße Klaus. > Hi, > > in diesem Fall wurde nichts abgelegt, da der Score zu hoch war. > > Ich habe jetzt in der amavisd.conf > > $log_level = 1; > $log_templ = $log_verbose_templ; > > eingetragen und bekomme > > ....aus dem log > Tests: > [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01] > --- > > Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen > haben hier gelistet werden ? > > Das wäre dann in etwa was ich bräuchte ... > > > Danke, Peer > > On 13.10.2017 10:19, Winfried Neessen wrote: >> Hi, >> >> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch >> : >> >>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was >>> schief läuft (im Falle das es sich um eine >>> erwünschte E-Mail handelt) ? >>> >> Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, >> wird sie im Quarantaene-Verz. >> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die >> Mail abgelegt hat: >> >> ,--- >> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] >> quarantine: spam/y/yMt7sKxLdoUv >> `--- >> >> In der entsprechenden Mail kannst Du dann den entsprechenden >> X-Spam-Report Header analysieren: >> >> ,--- >> | X-Spam-Report: >> | * 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source >> | * [113.201.51.26 listed in dnsbl.sorbs.net] >> | * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net >> | * [Blocked - see ] >> | * 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS >> | * [113.201.51.26 listed in zen.spamhaus.org] >> | [...] >> `--- >> >> >> Winni > > > -- > Mit freundlichen Grüßen, > Peer-Joachim Koch > ________________________________________________________ > > Max-Planck-Institut für Biogeochemie > Dr. Peer-Joachim Koch > Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 > D-07745 Jena Telefax: ++49 3641 57-7705 ----- Ende der Nachricht von "Dr. Peer-Joachim Koch" ----- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 836 bytes Beschreibung: Digitale PGP-Signatur URL : From t.schneider at tms-itdienst.at Fri Oct 13 10:59:28 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Fri, 13 Oct 2017 10:59:28 +0200 Subject: =?UTF-8?Q?Re:_Postfix_verchl=c3=bcsselt=3f?= In-Reply-To: <474027b7-3a43-327c-9933-04ea61293822@dimejo.at> References: <474027b7-3a43-327c-9933-04ea61293822@dimejo.at> Message-ID: <29d9b58c-bfa2-d42d-24fa-60d584e11d5f@tms-itdienst.at> Hallo Alex, ja danke, hat funktioniert. Ciao Timm Am 13.10.2017 um 10:33 schrieb Alex JOST: > Am 13.10.2017 um 10:30 schrieb Timm Schneider: >> Hallo, >> >> >> wie kann ich feststellen, ob der Transportweg verschlüsselt ist? >> In meinem alten Postfix auf der alten Maschine wurde das immer im >> Logfile angezeigt, jetzt allerding ist da nichts mehr zu sehen. >> >> >> root at web:/home/timm# postconf -n >> alias_database = hash:/etc/aliases >> alias_maps = hash:/etc/aliases >> append_dot_mydomain = no >> biff = no >> body_checks = pcre:/etc/postfix/body_checks >> broken_sasl_auth_clients = yes >> compatibility_level = 2 >> header_checks = pcre:/etc/postfix/header_checks >> inet_interfaces = all >> inet_protocols = all >> mailbox_size_limit = 0 >> masquerade_classes = envelope_sender, header_sender, header_recipient >> masquerade_exceptions = root >> mydestination = $myhostname, localhost.$mydomain, listen.$mydomain >> mydomain = tms-it.net >> myhostname = mail.tms-it.net >> mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 >> [::ffff:127.0.0.0]/104 [::1]/128 >> myorigin = $myhostname >> readme_directory = no >> recipient_delimiter = + >> relayhost = >> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache >> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) >> smtpd_recipient_restrictions = check_client_access >> hash:/etc/postfix/relays, reject_rbl_client blacklist.rbl.ispa.at, >> check_policy_service inet:127.0.0.1:10040 check_sender_access >> hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, >> permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, >> reject_unknown_client_hostname, check_recipient_access >> hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, >> reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, >> reject_non_fqdn_recipient, reject_unknown_sender_domain, >> reject_unknown_recipient_domain, >> reject_unauthenticated_sender_login_mismatch, reject_rbl_client >> mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, >> reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, >> reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, >> reject_unverified_recipient, reject_unauth_destination >> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated >> defer_unauth_destination >> smtpd_sasl_auth_enable = yes >> smtpd_sasl_local_domain = mail >> smtpd_sasl_security_options = noanonymous >> smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem >> smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem >> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >> smtpd_use_tls = yes >> virtual_alias_domains = hash:/etc/postfix/virtual >> virtual_alias_maps = hash:/etc/postfix/virtual > > smtp_tls_loglevel = 1 > smtpd_tls_loglevel = 1 > -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From philipp.faeustlin at uni-hohenheim.de Fri Oct 13 11:01:51 2017 From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin) Date: Fri, 13 Oct 2017 11:01:51 +0200 Subject: Frage zu amavis und spam score In-Reply-To: <20171013104455.Horde.WOQ-JWbX_lBYJv6NlPAuhEH@buero.tachtler.net> References:

<0269f8a6-c110-6fe1-59ce-90347f362ae7@bgc-jena.mpg.de> <20171013104455.Horde.WOQ-JWbX_lBYJv6NlPAuhEH@buero.tachtler.net> Message-ID: Hallo Klaus, das hatte ich auch, aber dann wird so viel geloggt, was mich im Betrieb nicht interessiert. Zudem wurden bei mir bei ausgehenden Mails die Test auch bei log_level = 3; nicht zuverlässig geloggt. Gruß Philipp Am 13.10.2017 um 10:44 schrieb Klaus Tachtler: > Hallo Peer, > > das Erhöhen des log_level wie nachfolgend > > log_level = 3; # verbosity 0..5, -d > > ist das, was wir bei uns durchgeführt haben, um zu sehen warum die > E-Mails abgelehnt wurden. > > > Grüße > Klaus. > > >> Hi, >> >> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war. >> >> Ich habe jetzt in der amavisd.conf >> >> $log_level = 1; >> $log_templ = $log_verbose_templ; >> >> eingetragen und bekomme >> >> ....aus dem log >> Tests: >> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01] >> --- >> >> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen haben >> hier gelistet werden ? >> >> Das wäre dann in etwa was ich bräuchte ... >> >> >> Danke, Peer >> >> On 13.10.2017 10:19, Winfried Neessen wrote: >>> Hi, >>> >>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch >>> : >>> >>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was >>>> schief läuft (im Falle das es sich um eine >>>> erwünschte E-Mail handelt) ? >>>> >>> Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, >>> wird sie im Quarantaene-Verz. >>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die >>> Mail abgelegt hat: >>> >>> ,--- >>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] >>> quarantine: spam/y/yMt7sKxLdoUv >>> `--- >>> >>> In der entsprechenden Mail kannst Du dann den entsprechenden >>> X-Spam-Report Header analysieren: >>> >>> ,--- >>> | X-Spam-Report: >>> | * 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source >>> | * [113.201.51.26 listed in dnsbl.sorbs.net] >>> | * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in >>> bl.spamcop.net >>> | * [Blocked - see >>> ] >>> | * 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS >>> | * [113.201.51.26 listed in zen.spamhaus.org] >>> | [...] >>> `--- >>> >>> >>> Winni >> >> >> -- >> Mit freundlichen Grüßen, >> Peer-Joachim Koch >> ________________________________________________________ >> >> Max-Planck-Institut für Biogeochemie >> Dr. Peer-Joachim Koch >> Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 >> D-07745 Jena Telefax: ++49 3641 57-7705 > > > ----- Ende der Nachricht von "Dr. Peer-Joachim Koch" > ----- > > -- Philipp Fäustlin Universität Hohenheim Kommunikations-, Informations- und Medienzentrum (630) IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail Schloss, Westhof Süd | 70599 Stuttgart Tel.: +49 711 459-22838 | Fax: +49 711 459-23449 https://kim.uni-hohenheim.de/ From klaus at tachtler.net Fri Oct 13 11:23:14 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 11:23:14 +0200 Subject: Frage zu amavis und spam score In-Reply-To: References:

<0269f8a6-c110-6fe1-59ce-90347f362ae7@bgc-jena.mpg.de> <20171013104455.Horde.WOQ-JWbX_lBYJv6NlPAuhEH@buero.tachtler.net> Message-ID: <20171013112314.Horde.y55C6Prir3VXytjkdFeK3QL@buero.tachtler.net> Hallo Philipp, ich habe noch etwas gefunden: https://lists.amavis.org/pipermail/amavis-users/2012-January/001157.html --- Auszug aus der E-Mail --- If you are referring to X-Spam-Status, X-Spam-Level, X-Spam-Flag and X-Spam-Score header fields, these should be there like you said: when recipient matches @local_domains_maps and spam score is above $sa_tag_level_deflt, or $sa_tag_level_deflt is undefined. If you are referring to a debug log line "Spam-tag, ...", it is now logged at log level 3 starting with 2.7.0. Previously it was a "SPAM-TAG, ...", logged at level 2. I suggest not to bother with this debug line. If you need SpamAssassin test results in the log, this can be achieved by uncommenting the line, i.e. changing: #[? %#T ||, Tests: \[[%T|,]\]]# into a: [? %#T ||, Tests: \[[%T|,]\]]# in the main log template (twice), or assigning a customized log template to $log_templ, e.g. (in amavisd.conf): $log_templ = <<'EOD'; [?%#D|#|Passed # [? [:ccat|major] |# OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\ UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}# , [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s -> [%D|,]# [? %q ||, quarantine: %q]# [? %Q ||, Queue-ID: %Q]# [? %m ||, Message-ID: %m]# [? %r ||, Resent-Message-ID: %r]# [? %i ||, mail_id: %i]# , Hits: [:SCORE]# , size: %z# [? [:partition_tag] ||, pt: [:partition_tag]]# [~[:remote_mta_smtp_response]|["^$"]||[", queued_as: "]]\ [remote_mta_smtp_response|[~%x|["queued as ([0-9A-Za-z]+)$"]|["%1"]|["%0"]]|/]# #, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]# #, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]# [? %#T ||, Tests: \[[%T|,]\]]# [? [:dkim|sig_sd] ||, dkim_sd=[:dkim|sig_sd]]# [? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]# , %y ms# ] [?%#O|#|Blocked # [? [:ccat|major|blocking] |# OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\ UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}# , [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s -> [%O|,]# [? %q ||, quarantine: %q]# [? %Q ||, Queue-ID: %Q]# [? %m ||, Message-ID: %m]# [? %r ||, Resent-Message-ID: %r]# [? %i ||, mail_id: %i]# , Hits: [:SCORE]# , size: %z# [? [:partition_tag] ||, pt: [:partition_tag]]# #, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]# #, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]# [? %#T ||, Tests: \[[%T|,]\]]# [? [:dkim|sig_sd] ||, dkim_sd=[:dkim|sig_sd]]# [? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]# , %y ms# ] EOD --- Auszug aus der E-Mail --- Grüße Klaus. > Hallo Klaus, > > das hatte ich auch, aber dann wird so viel geloggt, was mich im > Betrieb nicht interessiert. > Zudem wurden bei mir bei ausgehenden Mails die Test auch bei > log_level = 3; nicht zuverlässig geloggt. > > Gruß Philipp > > Am 13.10.2017 um 10:44 schrieb Klaus Tachtler: >> Hallo Peer, >> >> das Erhöhen des log_level wie nachfolgend >> >> log_level = >> 3; # verbosity 0..5, >> -d >> >> ist das, was wir bei uns durchgeführt haben, um zu sehen warum die >> E-Mails abgelehnt wurden. >> >> >> Grüße >> Klaus. >> >> >>> Hi, >>> >>> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war. >>> >>> Ich habe jetzt in der amavisd.conf >>> >>> $log_level = 1; >>> $log_templ = $log_verbose_templ; >>> >>> eingetragen und bekomme >>> >>> ....aus dem log >>> Tests: >>> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01] >>> --- >>> >>> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen >>> haben hier gelistet werden ? >>> >>> Das wäre dann in etwa was ich bräuchte ... >>> >>> >>> Danke, Peer >>> >>> On 13.10.2017 10:19, Winfried Neessen wrote: >>>> Hi, >>>> >>>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch >>>> : >>>> >>>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, >>>>> was schief läuft (im Falle das es sich um eine >>>>> erwünschte E-Mail handelt) ? >>>>> >>>> Wenn die Mail den $sa_quarantine_cutoff_level nicht >>>> ueberschreitet, wird sie im Quarantaene-Verz. >>>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd >>>> die Mail abgelegt hat: >>>> >>>> ,--- >>>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] >>>> quarantine: spam/y/yMt7sKxLdoUv >>>> `--- >>>> >>>> In der entsprechenden Mail kannst Du dann den entsprechenden >>>> X-Spam-Report Header analysieren: >>>> >>>> ,--- >>>> | X-Spam-Report: >>>> | * 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source >>>> | * [113.201.51.26 listed in >>>> dnsbl.sorbs.net] >>>> | * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a >>>> relay in bl.spamcop.net >>>> | * [Blocked - see >>>> ] >>>> | * 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in >>>> Spamhaus SBL-CSS >>>> | * [113.201.51.26 listed in >>>> zen.spamhaus.org] >>>> | [...] >>>> `--- >>>> >>>> >>>> Winni >>> >>> >>> -- >>> Mit freundlichen Grüßen, >>> Peer-Joachim Koch >>> ________________________________________________________ >>> >>> Max-Planck-Institut für Biogeochemie >>> Dr. Peer-Joachim Koch >>> Hans-Knöll >>> Str.10 >>> Telefon: ++49 3641 57-6705 >>> D-07745 >>> Jena Telefax: ++49 3641 >>> 57-7705 >> >> >> ----- Ende der Nachricht von "Dr. Peer-Joachim Koch" >> ----- >> >> > > -- > Philipp Fäustlin > Universität Hohenheim > Kommunikations-, Informations- und Medienzentrum (630) > IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail > > Schloss, Westhof Süd | 70599 Stuttgart > Tel.: +49 711 459-22838 | Fax: +49 711 459-23449 > https://kim.uni-hohenheim.de/ ----- Ende der Nachricht von Philipp Faeustlin ----- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3982 bytes Beschreibung: S/MIME-Signatur URL : From daniel at mail24.vip Fri Oct 13 12:17:01 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 13 Oct 2017 12:17:01 +0200 Subject: testmail Message-ID: <007901d3440c$694481b0$3bcd8510$@mail24.vip> Nur Testmail ob zwecks dkim ein Signatur Problem gibt wenn Mail via Mailman Liste erfolgt. (Kopie an mich ist an) -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From mailinglisten at pothe.de Fri Oct 13 12:21:07 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 13 Oct 2017 12:21:07 +0200 Subject: testmail In-Reply-To: <007901d3440c$694481b0$3bcd8510$@mail24.vip> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> Message-ID: <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> Am 13.10.2017 um 12:17 schrieb Daniel: > Nur Testmail ob zwecks dkim ein Signatur Problem gibt wenn Mail via Mailman Liste erfolgt. (Kopie an mich ist an) Mein DKIM-Plugin markiert dich rot (wie auch z. B. Ralf Hildebrand), also DKIM invalide. Klaus Tachtler als Beispiel ist grün. CU Andreas From klaus at tachtler.net Fri Oct 13 13:07:38 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 13:07:38 +0200 Subject: testmail In-Reply-To: <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> Message-ID: <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> Hallo Zusammen, wir (Daniel und ich) haben da schon ein bisschen E-Mail-Austausch betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von Daniel, der wie folgt aussieht: v=spf1 include:posteo.de ~all ~all bedeutet: SoftFail (Nicht konforme E-Mails werden akzeptiert aber markiert evtl. würde hier (wenn das gewünscht ist) nachfolgende Änderung helfen: ?all bedeutet: Neutral (E-Mails werden voraussichtlich akzeptiert) Siehe auch nachfolgenden Artikel von Peer Heinelein in Bezug auf SPF und zwei große E-Mail-Provider: https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/ Grüße Klaus. > Am 13.10.2017 um 12:17 schrieb Daniel: >> Nur Testmail ob zwecks dkim ein Signatur Problem gibt wenn Mail via >> Mailman Liste erfolgt. (Kopie an mich ist an) > > Mein DKIM-Plugin markiert dich rot (wie auch z. B. Ralf Hildebrand), > also DKIM invalide. Klaus Tachtler als Beispiel ist grün. > > CU > Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3982 bytes Beschreibung: S/MIME-Signatur URL : From mailinglisten at pothe.de Fri Oct 13 13:18:17 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 13 Oct 2017 13:18:17 +0200 Subject: testmail In-Reply-To: <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> Message-ID: <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> Hi, Am 13.10.2017 um 13:07 schrieb Klaus Tachtler: > Hallo Zusammen, > > wir (Daniel und ich) haben da schon ein bisschen E-Mail-Austausch > betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von > Daniel, der wie folgt aussieht: > > v=spf1 include:posteo.de ~all > DKIM != SPF SPF kommt erst bei DMARC wieder ins Spiel, was aber m. W. vom "DKIM Verifier" bei Thunderbird nur hinsichtlich der Frage, ob eine Domain zwingend eine DKIM-Signatur haben muss, ausgewertet wird. Ich meine, ausprobieren schadet nicht, aber so wirklich vorstellen kann ich es mir nicht. Ich denke aber, dass die Lücke entsteht, weil das Addon/Plugin nicht den MAIL FROM: auswertet, sondern den From: - da kann es ja auch Mails geben, die von einer falschen Domain signiert wurden. CU Andreas From mailinglisten at pothe.de Fri Oct 13 13:24:15 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 13 Oct 2017 13:24:15 +0200 Subject: testmail In-Reply-To: <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> Message-ID: <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> Am 13.10.2017 um 13:18 schrieb Andreas Pothe: > betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >> Daniel, der wie folgt aussieht: >> >> v=spf1 include:posteo.de ~all >> > DKIM != SPF > > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel mit seinem simple/simple rot ist (und auch auf dem Mailserver, der eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. From klaus at tachtler.net Fri Oct 13 13:29:39 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 13:29:39 +0200 Subject: testmail In-Reply-To: <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> Message-ID: <20171013132939.Horde.EmXrMMbeCsolpVSIrQ8oPiF@buero.tachtler.net> Hallo Andreas, da ist evtl. was dran - siehe auch: http://dkim.org/specs/rfc4871-dkimbase.html Abschnitt 3.4.1 bis 3.4.4 Grüße Klaus. > Am 13.10.2017 um 13:18 schrieb Andreas Pothe: >> betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >>> Daniel, der wie folgt aussieht: >>> >>> v=spf1 include:posteo.de ~all >>> >> DKIM != SPF >> >> > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. > Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. > deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel > mit seinem simple/simple rot ist (und auch auf dem Mailserver, der > eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. ----- Ende der Nachricht von Andreas Pothe ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From mailinglisten at pothe.de Fri Oct 13 13:35:56 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 13 Oct 2017 13:35:56 +0200 Subject: testmail In-Reply-To: <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> Message-ID: <17c80a33-8039-a9be-279b-f711689206c2@pothe.de> Ich denke aber, dass die Lücke entsteht, weil das Addon/Plugin nicht den > MAIL FROM: auswertet, sondern den From: - da kann es ja auch Mails > geben, die von einer falschen Domain signiert wurden. > > Kaum schrieb ich es, schon kommt eine Mail von NewMotion rein, die ihre "Zusammenarbeit" (aka Übernahme) durch Shell bekanntgeben. Und von einer falschen Domain signiert wurden, die Signatur aber gültig ist. :) Was soll man davon halten? From daniel at mail24.vip Fri Oct 13 17:49:32 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 13 Oct 2017 17:49:32 +0200 Subject: AW: testmail In-Reply-To: <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> Message-ID: <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> Hi, ich habe es geändert sollte normal auch so sein, ist wohl durch irgendein Update wohl wieder auf Standardwert "simple/simple" gelandet. Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Pothe Gesendet: Freitag, 13. Oktober 2017 13:24 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: testmail Am 13.10.2017 um 13:18 schrieb Andreas Pothe: > betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >> Daniel, der wie folgt aussieht: >> >> v=spf1 include:posteo.de ~all >> > DKIM != SPF > > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel mit seinem simple/simple rot ist (und auch auf dem Mailserver, der eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From daniel at mail24.vip Fri Oct 13 17:56:30 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 13 Oct 2017 17:56:30 +0200 Subject: AW: testmail In-Reply-To: <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> Message-ID: <009601d3443b$d5d917d0$818b4770$@mail24.vip> Scheint nun zupassen, also Danke für die welche mich direkt mal angeschrieben haben. dmarc=pass header.from=mail24.vip DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail24.vip Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Daniel Gesendet: Freitag, 13. Oktober 2017 17:50 An: 'Diskussionen und Support rund um Postfix' Betreff: AW: testmail Hi, ich habe es geändert sollte normal auch so sein, ist wohl durch irgendein Update wohl wieder auf Standardwert "simple/simple" gelandet. Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Andreas Pothe Gesendet: Freitag, 13. Oktober 2017 13:24 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: testmail Am 13.10.2017 um 13:18 schrieb Andreas Pothe: > betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >> Daniel, der wie folgt aussieht: >> >> v=spf1 include:posteo.de ~all >> > DKIM != SPF > > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel mit seinem simple/simple rot ist (und auch auf dem Mailserver, der eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From klaus at tachtler.net Fri Oct 13 18:53:15 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 18:53:15 +0200 Subject: AW: testmail In-Reply-To: <009601d3443b$d5d917d0$818b4770$@mail24.vip> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> <009601d3443b$d5d917d0$818b4770$@mail24.vip> Message-ID: <20171013185315.Horde.V13AAruxrm6w-qjIuXaI7dm@buero.tachtler.net> Hallo Daniel, danke Dir, ich bekomme jetzt keine "Fehler-Reports" mehr, wenn Du an die Postfix-Mailingliste schreibst. Grüße Klaus. ----- Nachricht von Daniel --------- Datum: Fri, 13 Oct 2017 17:56:30 +0200 Von: Daniel Antwort an: Diskussionen und Support rund um Postfix Betreff: AW: testmail An: 'Diskussionen und Support rund um Postfix' > Scheint nun zupassen, also Danke für die welche mich direkt mal > angeschrieben haben. > > dmarc=pass header.from=mail24.vip > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail24.vip > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Daniel > Gesendet: Freitag, 13. Oktober 2017 17:50 > An: 'Diskussionen und Support rund um Postfix' > Betreff: AW: testmail > > Hi, > > ich habe es geändert sollte normal auch so sein, ist wohl durch > irgendein Update wohl wieder auf Standardwert "simple/simple" > gelandet. > > Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Andreas Pothe > Gesendet: Freitag, 13. Oktober 2017 13:24 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: testmail > > > > Am 13.10.2017 um 13:18 schrieb Andreas Pothe: >> betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >>> Daniel, der wie folgt aussieht: >>> >>> v=spf1 include:posteo.de ~all >>> >> DKIM != SPF >> >> > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. > Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. > deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel > mit seinem simple/simple rot ist (und auch auf dem Mailserver, der > eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. ----- Ende der Nachricht von Daniel ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From daniel at mail24.vip Fri Oct 13 19:29:17 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 13 Oct 2017 19:29:17 +0200 Subject: AW: AW: testmail In-Reply-To: <20171013185315.Horde.V13AAruxrm6w-qjIuXaI7dm@buero.tachtler.net> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> <009601d3443b$d5d917d0$818b4770$@mail24.vip> <20171013185315.Horde.V13AAruxrm6w-qjIuXaI7dm@buero.tachtler.net> Message-ID: <00ce01d34448$cc35d350$64a179f0$@mail24.vip> Wenn ich über solche Fehler benachrichtigt werden möchte muss ich dann diese forensischen Emails anfordern über rua/ruf im DMARC Record oder in dkim/dmarc Konfig bei ReportAddress/FailureReports on? Tägliche Statistik oder gezipte XML Dateien wollte ich nicht unbedingt. Auch wenn es wohl z.B. via https://dmarcian.com/dmarc-xml/ besser lesbar sein sollte. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Klaus Tachtler Gesendet: Freitag, 13. Oktober 2017 18:53 An: Diskussionen und Support rund um Postfix Betreff: Re: AW: testmail Hallo Daniel, danke Dir, ich bekomme jetzt keine "Fehler-Reports" mehr, wenn Du an die Postfix-Mailingliste schreibst. Grüße Klaus. ----- Nachricht von Daniel --------- Datum: Fri, 13 Oct 2017 17:56:30 +0200 Von: Daniel Antwort an: Diskussionen und Support rund um Postfix Betreff: AW: testmail An: 'Diskussionen und Support rund um Postfix' > Scheint nun zupassen, also Danke für die welche mich direkt mal > angeschrieben haben. > > dmarc=pass header.from=mail24.vip > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail24.vip > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Daniel > Gesendet: Freitag, 13. Oktober 2017 17:50 > An: 'Diskussionen und Support rund um Postfix' > Betreff: AW: testmail > > Hi, > > ich habe es geändert sollte normal auch so sein, ist wohl durch > irgendein Update wohl wieder auf Standardwert "simple/simple" > gelandet. > > Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Andreas Pothe > Gesendet: Freitag, 13. Oktober 2017 13:24 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: testmail > > > > Am 13.10.2017 um 13:18 schrieb Andreas Pothe: >> betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >>> Daniel, der wie folgt aussieht: >>> >>> v=spf1 include:posteo.de ~all >>> >> DKIM != SPF >> >> > Probiert mal eine Signierung relaxed/simple statt simple/simple aus. > Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. > deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel > mit seinem simple/simple rot ist (und auch auf dem Mailserver, der > eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. ----- Ende der Nachricht von Daniel ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From klaus at tachtler.net Fri Oct 13 21:52:41 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 21:52:41 +0200 Subject: AW: AW: testmail In-Reply-To: <00ce01d34448$cc35d350$64a179f0$@mail24.vip> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> <009601d3443b$d5d917d0$818b4770$@mail24.vip> <20171013185315.Horde.V13AAruxrm6w-qjIuXaI7dm@buero.tachtler.net> <00ce01d34448$cc35d350$64a179f0$@mail24.vip> Message-ID: <20171013215241.Horde.rU02ZEXv-FJQv_cgm0QTAUe@buero.tachtler.net> Hallo Daniel, nachfolgende Informationen habe ich mal für mich in meinem DokuWiki zusammengetragen. Evtl. hilft Dir das ein wenig weiter: Allgemein: ========== https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter#postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter Konfiguration: Reports ausgehend: ================================= https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter#konfigurationreports_ausgehend Konfiguration: Reports eingehend: ================================= https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter#konfigurationreports_eingehend Konfiguration: DMARC Reports Web GUI: ===================================== https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter#konfigurationdmarc_reports_web_gui Grüße Klaus. > Wenn ich über solche Fehler benachrichtigt werden möchte muss ich > dann diese forensischen Emails anfordern über rua/ruf im DMARC > Record oder in dkim/dmarc Konfig bei ReportAddress/FailureReports on? > > Tägliche Statistik oder gezipte XML Dateien wollte ich nicht > unbedingt. Auch wenn es wohl z.B. via > https://dmarcian.com/dmarc-xml/ besser lesbar sein sollte. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Klaus Tachtler > Gesendet: Freitag, 13. Oktober 2017 18:53 > An: Diskussionen und Support rund um Postfix > Betreff: Re: AW: testmail > > Hallo Daniel, > > danke Dir, ich bekomme jetzt keine "Fehler-Reports" mehr, wenn Du an > die Postfix-Mailingliste schreibst. > > Grüße > Klaus. > > ----- Nachricht von Daniel --------- > Datum: Fri, 13 Oct 2017 17:56:30 +0200 > Von: Daniel > Antwort an: Diskussionen und Support rund um Postfix > > Betreff: AW: testmail > An: 'Diskussionen und Support rund um Postfix' > > > >> Scheint nun zupassen, also Danke für die welche mich direkt mal >> angeschrieben haben. >> >> dmarc=pass header.from=mail24.vip >> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail24.vip >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users >> [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von >> Daniel >> Gesendet: Freitag, 13. Oktober 2017 17:50 >> An: 'Diskussionen und Support rund um Postfix' >> Betreff: AW: testmail >> >> Hi, >> >> ich habe es geändert sollte normal auch so sein, ist wohl durch >> irgendein Update wohl wieder auf Standardwert "simple/simple" >> gelandet. >> >> Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users >> [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von >> Andreas Pothe >> Gesendet: Freitag, 13. Oktober 2017 13:24 >> An: postfixbuch-users at listen.jpberlin.de >> Betreff: Re: testmail >> >> >> >> Am 13.10.2017 um 13:18 schrieb Andreas Pothe: >>> betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >>>> Daniel, der wie folgt aussieht: >>>> >>>> v=spf1 include:posteo.de ~all >>>> >>> DKIM != SPF >>> >>> >> Probiert mal eine Signierung relaxed/simple statt simple/simple aus. >> Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. >> deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel >> mit seinem simple/simple rot ist (und auch auf dem Mailserver, der >> eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. > > > ----- Ende der Nachricht von Daniel ----- > > > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ ----- Ende der Nachricht von Daniel ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From klaus at tachtler.net Fri Oct 13 22:06:12 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 13 Oct 2017 22:06:12 +0200 Subject: AW: AW: testmail In-Reply-To: <00ce01d34448$cc35d350$64a179f0$@mail24.vip> References: <007901d3440c$694481b0$3bcd8510$@mail24.vip> <1aa7761a-a8b0-fc2d-32bc-d819cf67c028@pothe.de> <20171013130738.Horde.USE7AvU6Bkq4F5qai-d-n6c@buero.tachtler.net> <14c5d2b6-92a6-423c-5721-be409c579054@pothe.de> <0c6c6fa8-d5ac-da69-63c0-89cc7037ca96@pothe.de> <007d01d3443a$dcfebbb0$96fc3310$@mail24.vip> <009601d3443b$d5d917d0$818b4770$@mail24.vip> <20171013185315.Horde.V13AAruxrm6w-qjIuXaI7dm@buero.tachtler.net> <00ce01d34448$cc35d350$64a179f0$@mail24.vip> Message-ID: <20171013220612.Horde.7kUqAUR0c0wX7AUWm2Lb1T-@buero.tachtler.net> Hallo Daniel, wenn Dur "NUR" die Fehlerreports vom OpenDKIM haben möchtest, dann (zumindest unter CentOS 7.x) ist dies in der Konfigurationsdatei: **/ect/opendkim.conf** nachfolgende Stelle: --- Code schnipp --- ## Specifies whether or not the filter should generate report mail back ## to senders when verification fails and an address for such a purpose ## is provided. See opendkim.conf(5) for details. SendReports yes --- Code schnapp --- Grüße Klaus. > Wenn ich über solche Fehler benachrichtigt werden möchte muss ich > dann diese forensischen Emails anfordern über rua/ruf im DMARC > Record oder in dkim/dmarc Konfig bei ReportAddress/FailureReports on? > > Tägliche Statistik oder gezipte XML Dateien wollte ich nicht > unbedingt. Auch wenn es wohl z.B. via > https://dmarcian.com/dmarc-xml/ besser lesbar sein sollte. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users > [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von > Klaus Tachtler > Gesendet: Freitag, 13. Oktober 2017 18:53 > An: Diskussionen und Support rund um Postfix > Betreff: Re: AW: testmail > > Hallo Daniel, > > danke Dir, ich bekomme jetzt keine "Fehler-Reports" mehr, wenn Du an > die Postfix-Mailingliste schreibst. > > Grüße > Klaus. > > ----- Nachricht von Daniel --------- > Datum: Fri, 13 Oct 2017 17:56:30 +0200 > Von: Daniel > Antwort an: Diskussionen und Support rund um Postfix > > Betreff: AW: testmail > An: 'Diskussionen und Support rund um Postfix' > > > >> Scheint nun zupassen, also Danke für die welche mich direkt mal >> angeschrieben haben. >> >> dmarc=pass header.from=mail24.vip >> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail24.vip >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users >> [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von >> Daniel >> Gesendet: Freitag, 13. Oktober 2017 17:50 >> An: 'Diskussionen und Support rund um Postfix' >> Betreff: AW: testmail >> >> Hi, >> >> ich habe es geändert sollte normal auch so sein, ist wohl durch >> irgendein Update wohl wieder auf Standardwert "simple/simple" >> gelandet. >> >> Mal sehen ob es nun passt. (Habe Kopie an und wird es selbst sehen) >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users >> [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von >> Andreas Pothe >> Gesendet: Freitag, 13. Oktober 2017 13:24 >> An: postfixbuch-users at listen.jpberlin.de >> Betreff: Re: testmail >> >> >> >> Am 13.10.2017 um 13:18 schrieb Andreas Pothe: >>> betrieben und was mir dabei aufgefallen ist, wäre der "SPF-Record" von >>>> Daniel, der wie folgt aussieht: >>>> >>>> v=spf1 include:posteo.de ~all >>>> >>> DKIM != SPF >>> >>> >> Probiert mal eine Signierung relaxed/simple statt simple/simple aus. >> Wenn ich mir die hier im Thread vertretenen Schreiber so ansehe (bzw. >> deren DKIM-Signaturen), sind alle relaxed/simple grün, während Daniel >> mit seinem simple/simple rot ist (und auch auf dem Mailserver, der >> eingehend DKIM-Fehler derzeit nur loggt) und bei dem DKIM in den fail geht. > > > ----- Ende der Nachricht von Daniel ----- > > > > > -- > > ------------------------------------------ > e-Mail : klaus at tachtler.net > Homepage: http://www.tachtler.net > DokuWiki: http://www.dokuwiki.tachtler.net > ------------------------------------------ ----- Ende der Nachricht von Daniel ----- -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From robert at redcor.ch Mon Oct 16 18:41:49 2017 From: robert at redcor.ch (robert rottermann) Date: Mon, 16 Oct 2017 18:41:49 +0200 Subject: Mails werden von DKIM nicht signiert Message-ID: Hoi zäme, ich möchte meine mails mit DKIM signieren. Leider werden alle Mails unsigniert verschickt (und leider teilweise abgewiesen). danke für Tipps, wo weiter suchen Robert zur installation habe ich folgende Anleitung abgearbeitet: https://kofler.info/dkim-konfiguration-fuer-postfix/ der test: host -t TXT 201710._domainkey.redo2oo.ch ergibt: 201710._domainkey.redo2oo.ch descriptive text "v=DKIM1; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtRKw2lOYr6DPEIAkQzP4vTiROthgUm/4Lvs+5NQ7Sw3+4qA+au2SIFqUAGcoWqy7epgYpUzdgOaGIgCtQxTMTxk8iwpQ8za5OLj/UzB7MBjXQkylOaagYSKWgRyZ/jobk8AFr12U6tIbjjezWcoCa9w8QwlH2In1mSY/QnWK4pE+VV2gZXm5xMEobC+qwVlzV5jKSpf9HON17A" "wfIGDxLsYXWuyHlj35xbEYrmhv/blMyD3S/6KH34yZjW3oTs0xZuWz9E591K0i04vh2QmWY8ot+ZG3FW2ridRMYZtw7gNqNOBMBaPxMAdhrQHMF1rCCgzSotkkUAaCl7qtY3lfEQIDAQAB" Es scheint also, dass dkim richtig konfiguriert ist. potfix habe ich wie folgt angepasst: in main.cf: # robert dkim stuff milter_default_action = accept milter_protocol = 6 smtpd_milters = inet:localhost:12345 non_smtpd_milters = inet:localhost:12345 der "eigenartige" port 12345 entspricht dem eintrag in /etc/opendkim.conf: # Datei /etc/opendkim.conf # OpenDKIM agiert als Mail Filter (= Milter) in den # Modi signer (s) und verifier (v) und verwendet eine # Socket-Datei zur Kommunikation (alternativ: lokaler Port) Mode sv #Socket local:/var/run/opendkim/opendkim.sock Socket inet:12345 at localhost ... From schonefeld at ids-mannheim.de Fri Oct 20 15:42:26 2017 From: schonefeld at ids-mannheim.de (Oliver Schonefeld) Date: Fri, 20 Oct 2017 15:42:26 +0200 Subject: Sender Rewriting Scheme? Message-ID: <8aaf16fc-454b-f1d6-a0c8-8a1f9d367112@ids-mannheim.de> Hallo zusammen, hat jemand gute Ideen zum Implementieren von SRS? Mir sind postsrsd und auch postforward (weitgehend) bekannt. Bei postsrsd habe ich das Problem, dass es grundsätzlich den Sender umschreibt (erster Punkt in den Known-Issues). Neben dann unschönen Adressen im Vacation-Autoresponder (die man reparieren könnte) fallen dann auch Sieve-Scripte von Usern auf die Nase, da Dovecot nur die umgeschriebenen Sender sieht und das lässt sich nur schwer vermitteln oder erklären. Bei Postfoward verstehe ich nicht so ganz, wie ich es einbinden soll. Auf dem Mail-Server gibt es keine lokalen Accounts oder Alias-Dateien, alles relevante kommt aus dem LDAP (Weiterleitungen sind als mehrere Werte bei "mailRoutingAddress" (bzw. unsere eigenen Reinkarnation des Attributs) implementiert. Mein Ziel ist es, nur den Sender umzuschreiben, wenn die Mail von Extern kommt und nach Extern weiter geschickt wird. Hat jemand da Ideen? Danke und viele Grüße, Oliver -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de From klaus at tachtler.net Fri Oct 20 16:27:42 2017 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 20 Oct 2017 16:27:42 +0200 Subject: Sender Rewriting Scheme? In-Reply-To: <8aaf16fc-454b-f1d6-a0c8-8a1f9d367112@ids-mannheim.de> Message-ID: <20171020162742.Horde.jVcWH-2A0CECQAWArqLHK8X@buero.tachtler.net> Hallo Oliver, > Hallo zusammen, > > hat jemand gute Ideen zum Implementieren von SRS? > > Mir sind postsrsd und auch postforward (weitgehend) bekannt. > > Bei postsrsd habe ich das Problem, dass es grundsätzlich den Sender > umschreibt (erster Punkt in den Known-Issues). Neben dann unschönen > Adressen im Vacation-Autoresponder (die man reparieren könnte) fallen > dann auch Sieve-Scripte von Usern auf die Nase, da Dovecot nur die > umgeschriebenen Sender sieht und das lässt sich nur schwer vermitteln > oder erklären. > > Bei Postfoward verstehe ich nicht so ganz, wie ich es einbinden soll. > Auf dem Mail-Server gibt es keine lokalen Accounts oder Alias-Dateien, > alles relevante kommt aus dem LDAP (Weiterleitungen sind als mehrere > Werte bei "mailRoutingAddress" (bzw. unsere eigenen Reinkarnation des > Attributs) implementiert. > > Mein Ziel ist es, nur den Sender umzuschreiben, wenn die Mail von Extern > kommt und nach Extern weiter geschickt wird. Hat jemand da Ideen? Bei postsrsd gibt es die Möglichkeit mit der Konfigurationsdirektive - SRS_EXCLUDE_DOMAINS= Domänen von SRS auszunehmen. Würde das vielleicht Deinem Vorhaben entsprechen? > Danke und viele Grüße, > Oliver > -- > Oliver Schonefeld > Institut für Deutsche Sprache, Zentrale Forschung > R5, 6-13, D-68161 Mannheim > +49-(0)621-1581-168 | http://www.ids-mannheim.de Grüße Klaus. -- ------------------------------------------ e-Mail : klaus at tachtler.net Homepage: http://www.tachtler.net DokuWiki: http://www.dokuwiki.tachtler.net ------------------------------------------ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3120 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From schonefeld at ids-mannheim.de Mon Oct 23 10:00:12 2017 From: schonefeld at ids-mannheim.de (Oliver Schonefeld) Date: Mon, 23 Oct 2017 10:00:12 +0200 Subject: Sender Rewriting Scheme? In-Reply-To: <20171020162742.Horde.jVcWH-2A0CECQAWArqLHK8X@buero.tachtler.net> References: <20171020162742.Horde.jVcWH-2A0CECQAWArqLHK8X@buero.tachtler.net> Message-ID: Hallo Klaus, Am 20.10.2017 um 16:27 schrieb Klaus Tachtler: >> Hallo zusammen, >> >> hat jemand gute Ideen zum Implementieren von SRS? >> >> Mir sind postsrsd und auch postforward (weitgehend) bekannt. >> >> Bei postsrsd habe ich das Problem, dass es grundsätzlich den Sender >> umschreibt (erster Punkt in den Known-Issues). Neben dann unschönen >> Adressen im Vacation-Autoresponder (die man reparieren könnte) fallen >> dann auch Sieve-Scripte von Usern auf die Nase, da Dovecot nur die >> umgeschriebenen Sender sieht und das lässt sich nur schwer vermitteln >> oder erklären. >> >> Bei Postfoward verstehe ich nicht so ganz, wie ich es einbinden soll. >> Auf dem Mail-Server gibt es keine lokalen Accounts oder Alias-Dateien, >> alles relevante kommt aus dem LDAP (Weiterleitungen sind als mehrere >> Werte bei "mailRoutingAddress" (bzw. unsere eigenen Reinkarnation des >> Attributs) implementiert. >> >> Mein Ziel ist es, nur den Sender umzuschreiben, wenn die Mail von Extern >> kommt und nach Extern weiter geschickt wird. Hat jemand da Ideen? > > Bei postsrsd gibt es die Möglichkeit mit der Konfigurationsdirektive > - SRS_EXCLUDE_DOMAINS= > Domänen von SRS auszunehmen. > > Würde das vielleicht Deinem Vorhaben entsprechen? Danke, aber das hilft leider nicht. Die Sender-Adressen (von fremdem Domains) werden dabei immer noch umgeschrieben und die Sieve-Skripte im Dovecot sehen nur die umgeschriebene Adresse. Viele Grüße, Oliver -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de From Hajo.Locke at gmx.de Mon Oct 23 14:42:53 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 23 Oct 2017 14:42:53 +0200 Subject: postfix - dkim - praxisfragen Message-ID: Hallo Liste, ich möchte dkim bei meinen Mailservern anbieten. Ich habe so weit einen Testbetrieb aufgebaut, welcher funktioniert. Ich habe an die erfahrenen dkim Leute ein paar Praxisfragen, um für den Einsatz gerüstet zu sein. - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen? - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden. - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig? Danke für die Beantwortung, Hajo -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andreas.schulze at datev.de Tue Oct 24 09:21:41 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 24 Oct 2017 09:21:41 +0200 Subject: Sender Rewriting Scheme? In-Reply-To: <8aaf16fc-454b-f1d6-a0c8-8a1f9d367112@ids-mannheim.de> References: <8aaf16fc-454b-f1d6-a0c8-8a1f9d367112@ids-mannheim.de> Message-ID: <97186186-2b7c-b839-a759-e7f535355668@datev.de> Am 20.10.2017 um 15:42 schrieb Oliver Schonefeld: > Mein Ziel ist es, nur den Sender umzuschreiben, wenn die Mail von Extern > kommt und nach Extern weiter geschickt wird. Hat jemand da Ideen? mir ist kein Scenrario bekannt, in dem SRS /nachhaltig/ helfen kann. SRS versucht ein Problem zu lösen, das uns SPF eingebrockt hat. Aber - wir wissen es - auch SPF war nicht so die Erfolgsstory... Ich würde mich darauf konzentrieren, E-Mails beim Transit so wenig wie möglich zu modifizieren. SRS macht irgendwie das Gegenteil. -- A. Schulze DATEV eG From andreas.schulze at datev.de Tue Oct 24 09:32:24 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 24 Oct 2017 09:32:24 +0200 Subject: postfix - dkim - praxisfragen In-Reply-To: References: Message-ID: Am 23.10.2017 um 14:42 schrieb Hajo Locke: > - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen? https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum. Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ... > - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden. persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel. > - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig? nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren. -- A. Schulze DATEV eG From pkoch at bgc-jena.mpg.de Tue Oct 24 12:37:01 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Tue, 24 Oct 2017 12:37:01 +0200 Subject: postfix + cyrus + formail = Problem Message-ID: Hallo, ich habe auf unserem Mailserver (SLES 12SP2, postfix, cyrus) updates eingespielt. Das schien auch Reibungslos zu funktionieren. Mails an USER werden normal zugestellt. Aber für Shared-Mailfolder geht es jetzt nicht mehr (ging vorher) d.h. irgendwo sind Rechte angepasst worden, so dass es jetzt nicht mehr geht. In /etc/aliases steht : NAME: ""|/usr/bin/formail -I \"From \" |/usr/lib/cyrus/bin/deliver -e -a cyrus -m NAME" Postfix schreibt jetzt in Log: temporary failure. Command output: couldn't connect to lmtpd: Permission denied 421 4.3.0 deliver: couldn't connect to lmtpd_) Das normale ausliefern ohne formail nur mit postfix und cyrus läuft Reibungslos. ll /var/lib/imap/socket/lmtp srwxrwxrwx 1 root root 0 24. Okt 12:27 /var/lib/imap/socket/lmtp Stehte da gerade etwas auf dem Schlauch, wo bzw. warum postfix nicht die Rechte hat ... -- Ciao, Peer ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From pkoch at bgc-jena.mpg.de Tue Oct 24 13:29:30 2017 From: pkoch at bgc-jena.mpg.de (Dr. Peer-Joachim Koch) Date: Tue, 24 Oct 2017 13:29:30 +0200 Subject: postfix + cyrus + formail = Problem In-Reply-To: References: Message-ID: OK, gefunden. /var/lib/imap/ und /var/lib/imap/socket/ standen auf 750 (cyrus:mail). Mit 755 geht alles. Frage: Wenn in /etc/aliases die Zeile NAME: "|/usr/bin/formail ..." steht, dann wird doch von postfix "/usr/bin/formail" gestartet ? Oder wie läuft das ab (mit welchen Berechtigungen)? Ciao, Peer On 24.10.2017 12:37, Dr. Peer-Joachim Koch wrote: > Hallo, > > ich habe auf unserem Mailserver (SLES 12SP2, postfix, cyrus) updates > eingespielt. > Das schien auch Reibungslos zu funktionieren. Mails an USER werden > normal zugestellt. > Aber für Shared-Mailfolder geht es jetzt nicht mehr (ging vorher) d.h. > irgendwo sind Rechte angepasst worden, > so dass es jetzt nicht mehr geht. > > In /etc/aliases steht : > > NAME: ""|/usr/bin/formail -I \"From \" |/usr/lib/cyrus/bin/deliver -e > -a cyrus -m NAME" > > > Postfix schreibt jetzt in Log: > > temporary failure. Command output: couldn't connect to lmtpd: > Permission denied 421 4.3.0 deliver: couldn't connect to lmtpd_) > > > Das normale ausliefern ohne formail nur mit postfix und cyrus läuft > Reibungslos. > > ll /var/lib/imap/socket/lmtp > srwxrwxrwx 1 root root 0 24. Okt 12:27 /var/lib/imap/socket/lmtp > > Stehte da gerade etwas auf dem Schlauch, wo bzw. warum postfix nicht > die Rechte hat ... > > -- Mit freundlichen Grüßen, Peer-Joachim Koch ________________________________________________________ Max-Planck-Institut für Biogeochemie Dr. Peer-Joachim Koch Hans-Knöll Str.10 Telefon: ++49 3641 57-6705 D-07745 Jena Telefax: ++49 3641 57-7705 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5224 bytes Beschreibung: S/MIME Cryptographic Signature URL : From gjn at gjn.priv.at Tue Oct 24 14:15:02 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Tue, 24 Oct 2017 14:15:02 +0200 Subject: poostfix + dovcot sasl Message-ID: <2552479.MkLY1DmDWK@techz> Hallo, kann mir von Euch jemand auf die richtige Spur bringen ? Ich habe seit neuestem diese Meldungen die User gibt es aber nicht! -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 848A220110D0 132700 Tue Oct 24 07:38:35 mail- GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error occurred. Refer to server log for more information. (in reply to RCPT TO command)) ghkk at gjn.at CA22420110D9 104097 Mon Oct 23 20:19:23 yjkijwj at altcoine.co.ua (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <200801241206.33968 at gjn.priv.at> Internal error occurred. Refer to server log for more information. (in reply to RCPT TO command)) 200801241206.33968 at gjn.priv.at [root at mx01 dovecot]# postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases bounce_template_file = /etc/postfix/bounce.de-DE.cf broken_sasl_auth_clients = yes command_directory = /usr/sbin compatibility_level = 2 daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 default_database_type = btree html_directory = no inet_interfaces = all lmtp_dns_support_level = dnssec mail_owner = postfix mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 20480000 meta_directory = /etc/postfix mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain myhostname = mx01.4gjn.com mynetworks = 89.26.108.0/28, 127.0.0.0/8, 192.168.100.0/24, [2001:470:1f0b: 371::]/64 myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix postscreen_access_list = permit_mynetworks cidr:/etc/postfix/ postscreen_access.cidr postscreen_bare_newline_action = drop postscreen_bare_newline_enable = yes postscreen_blacklist_action = drop postscreen_dnsbl_action = enforce postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3 b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255]. [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0. [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 postscreen_dnsbl_threshold = 3 postscreen_dnsbl_ttl = 1h postscreen_dnsbl_whitelist_threshold = -1 postscreen_greet_action = enforce postscreen_non_smtp_command_enable = yes postscreen_pipelining_enable = yes postscreen_whitelist_interfaces = static:all queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix3-3.2.3/README_FILES recipient_delimiter = + relay_domains = btree:/etc/postfix/relay_domains sample_directory = /usr/share/doc/postfix3-3.2.3/samples sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop shlib_directory = /usr/lib/postfix smtp_dns_support_level = dnssec smtp_sasl_security_options = noplaintext, noanonymous smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2,!SSLv3 smtp_tls_security_level = dane smtp_use_tls = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname smtpd_recipient_restrictions = permit_sasl_authenticated, permit_auth_destination, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, reject smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous, smtpd_sasl_tls_security_options = noanonymous, smtpd_sasl_type = dovecot smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/ check_sender_access smtpd_tls_CAfile = /etc/pki/tls/cert.pem smtpd_tls_CApath = /etc/pki/tls smtpd_tls_ask_ccert = yes smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_1024.pem smtpd_tls_eecdh_grade = ultra smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, MD5, PSK, aECDH, EDH- DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA. CAMELLIA256-SHA smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128- SHA. CAMELLIA256-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_use_tls = yes tls_preempt_cipherlist = yes tls_random_bytes = 128 transport_maps = btree:/etc/postfix/transport, $relay_domains unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 577 virtual_alias_maps = btree:/etc/postfix/virtual virtual_transport = lmtps:inet:mailstore:24 -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From kai_postfix at fuerstenberg.ws Tue Oct 24 14:51:22 2017 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Tue, 24 Oct 2017 14:51:22 +0200 Subject: poostfix + dovcot sasl In-Reply-To: <2552479.MkLY1DmDWK@techz> References: <2552479.MkLY1DmDWK@techz> Message-ID: <4eaffe10-a82c-018a-203d-7165bfe459e6@fuerstenberg.ws> moin, Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer: > Hallo, > kann mir von Euch jemand auf die richtige Spur bringen ? > > Ich habe seit neuestem diese Meldungen die User gibt es aber nicht! > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > 848A220110D0 132700 Tue Oct 24 07:38:35 mail- > GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error > occurred. Refer to server log for more information. (in reply to RCPT TO > command)) da steht "refer to server log for more information". Du lieferst es aber leider nicht mit. Im Log solltest du die passende Antwort finden. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From mailinglisten at pothe.de Fri Oct 27 07:37:01 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 27 Oct 2017 07:37:01 +0200 Subject: postfix - dkim - praxisfragen In-Reply-To: References:

Message-ID: Am 24.10.2017 um 09:32 schrieb Andreas Schulze: > Am 23.10.2017 um 14:42 schrieb Hajo Locke: >> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen? > https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices > > praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum. > Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ... > Ich selber habe es nicht überprüft, aber irgendwo las ich mal, dass selbst große Provider nur sehr selten bis gar nicht ihre Schlüssel wechseln. Ich glaube es war Google, die angeblich seit Jahren keinen Wechsel vorgenommen haben sollen. (wie gesagt: Nicht überprüft) Ich für mich selbst habe noch nicht überlegt, wie oft ich neue Schlüssel erzeugen werde. Allerdings denke ich, dass es mehr als ein- bis zweimal im Jahr sein wird. CU Andreas From mailinglisten at pothe.de Fri Oct 27 07:40:29 2017 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 27 Oct 2017 07:40:29 +0200 Subject: postfix - dkim - praxisfragen In-Reply-To: References:

Message-ID: <1ca18000-e980-f1a5-dcad-00e8dbbf1715@pothe.de> Am 27.10.2017 um 07:37 schrieb Andreas Pothe: > > Ich für mich selbst habe noch nicht überlegt, wie oft ich neue Schlüssel > erzeugen werde. Allerdings denke ich, dass es mehr als ein- bis zweimal > im Jahr sein wird. > > NICHT mehr als ein- bis zweimal. From gjn at gjn.priv.at Fri Oct 27 13:36:30 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 27 Oct 2017 13:36:30 +0200 Subject: poostfix + dovcot sasl In-Reply-To: <4eaffe10-a82c-018a-203d-7165bfe459e6@fuerstenberg.ws> References: <2552479.MkLY1DmDWK@techz> <4eaffe10-a82c-018a-203d-7165bfe459e6@fuerstenberg.ws> Message-ID: <1785021.0V0mXlKvmk@techz> Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg: > moin, > > Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer: > > Hallo, > > kann mir von Euch jemand auf die richtige Spur bringen ? > > > > Ich habe seit neuestem diese Meldungen die User gibt es aber nicht! > > > > -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- > > 848A220110D0 132700 Tue Oct 24 07:38:35 mail- > > GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at > > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 Internal error > > occurred. Refer to server log for more information. (in reply to RCPT TO > > command)) > > da steht "refer to server log for more information". Du lieferst es aber > leider nicht mit. > > Im Log solltest du die passende Antwort finden. Das einzige was ich finde ist noch verwirrender ? Laut den logs dürfte da nichts durchkommen!! Warum da ein PASS OLD steht ist mit schleierhaft... da muss irgendwo ein cache sein der nicht gelöscht wird ? Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from [178.77.121.168]: 52162 to [89.26.108.7]:25 Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by domain list.dnswl.org as 127.0.15.0 Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by domain wl.mailspike.net as 127.0.0.18 Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by domain hostkarma.junkemailfilter.com as 127.0.0.1 Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1 Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD [178.77.121.168]:52162 Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect from 005.de- mx.crsend.com[178.77.121.168] Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection established from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with cipher ECDHE-RSA- AES256-GCM-SHA384 (256/256 bits) Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de- mx.crsend.com[178.77.121.168] Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de- mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16 Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection count 1 for (smtpd:178.77.121.168) at Oct 27 09:04:16 -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From sebastian at debianfan.de Sun Oct 29 11:02:25 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 29 Oct 2017 11:02:25 +0100 Subject: Best practise Mailserver Message-ID: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> Moin, ich arbeite grade an einem Konzept für den neuen Mailserver auf Basis von Debian 9. Die aktuelle Variante hat Postfix, Dovecot & Spamassassin - die User kommen aus einer MySql-Datenbank. Ich habe aber festgestellt, dass es individuell konfigurierbare Spamfilter geben sollte - mueller at domain1.de möchte andere Spamlisten haben als meier at domain2.de und schmidt at domain3.de möchte annähernd keine Einschränkungen. Gibt es sowas auf Basis von MySql ? Ein Verweis auf ein Tutorial wäre hier super ;-) gruß Sebastian From karol at babioch.de Sun Oct 29 18:49:39 2017 From: karol at babioch.de (Karol Babioch) Date: Sun, 29 Oct 2017 18:49:39 +0100 Subject: Best practise Mailserver In-Reply-To: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> References: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> Message-ID: Hallo, Am 29.10.2017 um 11:02 schrieb sebastian at debianfan.de: > Die aktuelle Variante hat Postfix, Dovecot & Spamassassin - die User > kommen aus einer MySql-Datenbank. Sollen nur die Benutzerdaten (zur Authentifizierung) in der Datenbank landen, oder die Mails selbst? > Gibt es sowas auf Basis von MySql ? Ein Verweis auf ein Tutorial wäre hier super Soll auch das in die Datenbank? Bei einem "typischen" Setup hat man ja trotzdem noch Dateien auf der Platte liegen, so auch die benutzerdefinierte Spam-Datenbanken. Anregungen und Anleitungen gibt es viele, siehe z.B. [1] [2]. Mit freundlichen Grüßen, Karol Babioch [1]: https://www.nesono.com/node/391 [2]: https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From sebastian at debianfan.de Sun Oct 29 19:14:51 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 29 Oct 2017 19:14:51 +0100 Subject: Best practise Mailserver In-Reply-To: References: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> Message-ID: <9BA18A30-C6D0-4F7D-B9A5-C0EDB25D1D61@debianfan.de> Ich hab mich witzigerweise am Tutorial von Thomas orientiert. Die User liegen in der DB - die Dateien auf Platte. Die Konfig soll halt in der DB liegen. > Am 29.10.2017 um 18:49 schrieb Karol Babioch : > > Hallo, > >> Am 29.10.2017 um 11:02 schrieb sebastian at debianfan.de: >> Die aktuelle Variante hat Postfix, Dovecot & Spamassassin - die User >> kommen aus einer MySql-Datenbank. > > Sollen nur die Benutzerdaten (zur Authentifizierung) in der Datenbank > landen, oder die Mails selbst? > >> Gibt es sowas auf Basis von MySql ? Ein Verweis auf ein Tutorial wäre hier super > > Soll auch das in die Datenbank? > > Bei einem "typischen" Setup hat man ja trotzdem noch Dateien auf der > Platte liegen, so auch die benutzerdefinierte Spam-Datenbanken. > Anregungen und Anleitungen gibt es viele, siehe z.B. [1] [2]. > > Mit freundlichen Grüßen, > Karol Babioch > > [1]: https://www.nesono.com/node/391 > [2]: https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ > From sk71 at gmx.de Sun Oct 29 19:27:22 2017 From: sk71 at gmx.de (S. Kremer) Date: Sun, 29 Oct 2017 19:27:22 +0100 Subject: Best practise Mailserver In-Reply-To: <9BA18A30-C6D0-4F7D-B9A5-C0EDB25D1D61@debianfan.de> References: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> <9BA18A30-C6D0-4F7D-B9A5-C0EDB25D1D61@debianfan.de> Message-ID: Hi, vielleicht helfen Dir folgende Links weiter: https://wiki.apache.org/spamassassin/UsingSQL https://sourceforge.net/projects/webuserprefs/ https://github.com/JohnDoh/Roundcube-Plugin-SpamAssassin-User-Prefs-SQL Allgemeine Tutorials für einen Mailserver findest Du unter: https://workaround.org/ispmail Gruß Stefan Am 29.10.2017 um 19:14 schrieb sebastian at debianfan.de: > Ich hab mich witzigerweise am Tutorial von Thomas orientiert. > > Die User liegen in der DB - die Dateien auf Platte. > > Die Konfig soll halt in der DB liegen. > >> Am 29.10.2017 um 18:49 schrieb Karol Babioch : >> >> Hallo, >> >>> Am 29.10.2017 um 11:02 schrieb sebastian at debianfan.de: >>> Die aktuelle Variante hat Postfix, Dovecot & Spamassassin - die User >>> kommen aus einer MySql-Datenbank. >> >> Sollen nur die Benutzerdaten (zur Authentifizierung) in der Datenbank >> landen, oder die Mails selbst? >> >>> Gibt es sowas auf Basis von MySql ? Ein Verweis auf ein Tutorial wäre hier super >> >> Soll auch das in die Datenbank? >> >> Bei einem "typischen" Setup hat man ja trotzdem noch Dateien auf der >> Platte liegen, so auch die benutzerdefinierte Spam-Datenbanken. >> Anregungen und Anleitungen gibt es viele, siehe z.B. [1] [2]. >> >> Mit freundlichen Grüßen, >> Karol Babioch >> >> [1]: https://www.nesono.com/node/391 >> [2]: https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ >> > From Hajo.Locke at gmx.de Mon Oct 30 11:22:53 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 30 Oct 2017 11:22:53 +0100 Subject: postfix - dkim - praxisfragen In-Reply-To: References:

Message-ID: <77ff033e-47d9-c3b7-86fa-08bf2748c35b@gmx.de> Hallo, danke für deine Antworten. Ich habe einiges probiert und denke ich bin gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast. Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization in der opendkim.conf? Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur Fehlervermeidung nicht besser? Woher weiß eigentlich der empfangende Server beim Vergleich, welchen Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal, um beide Möglichkeiten prüfen zu können? Danke, Hajo Am 24.10.2017 um 09:32 schrieb Andreas Schulze: > Am 23.10.2017 um 14:42 schrieb Hajo Locke: >> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr längere Pausen? > https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices > > praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 Monate wäre für mich aber auch ein guter Zeitraum. > Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit nicht mehr aber auch nicht weniger ... > >> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden. > persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein Bedarf dafür. Subdomain signiere ich separat mit einem passenden Schlüssel. > >> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein Kunde Newsletter mit tausenden Empfängern die dann alle signiert würden. Ist dkim da übermäßig cpu hungrig? > nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen erzeugen, ohne zu explodieren. > > > From Hajo.Locke at gmx.de Mon Oct 30 11:27:12 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 30 Oct 2017 11:27:12 +0100 Subject: postfix - dkim - praxisfragen In-Reply-To: <77ff033e-47d9-c3b7-86fa-08bf2748c35b@gmx.de> References:

<77ff033e-47d9-c3b7-86fa-08bf2748c35b@gmx.de> Message-ID: Am 30.10.2017 um 11:22 schrieb Hajo Locke: > Hallo, > > danke für deine Antworten. Ich habe einiges probiert und denke ich bin > gerüstet. Auch Massenmails erzeugen keine signifikante Mehrlast. > Nur eine letzte Frage. Welchen Wert empfiehlst du für Canonicalization > in der opendkim.conf? > Oft lese ich von relaxed/simple, aber wäre ein relaxex/relaxed zur > Fehlervermeidung nicht besser? > Woher weiß eigentlich der empfangende Server beim Vergleich, welchen > Algorithmus ich beim hashen verwendet habe? Oder hashed er zwei mal, > um beide Möglichkeiten prüfen zu können? ahh, steht natürlich im Header der eingegangenen Mail, klar... > > Danke, > Hajo > > Am 24.10.2017 um 09:32 schrieb Andreas Schulze: >> Am 23.10.2017 um 14:42 schrieb Hajo Locke: >>> - Wie oft wechselt Ihr die Schlüssel? ich hatte so 6 Monate bei >>> 2048er Schlüssellänge angepeilt . Ist das ausreichend oder lasst Ihr >>> längere Pausen? >> https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices >> >> >> praktisch rotieren die wenigsten Versender vollautomatisch. 3-6 >> Monate wäre für mich aber auch ein guter Zeitraum. >> Wichtiger ist die Schlüselgröße. Da greife ich auch gern zu 2048 Bit >> nicht mehr aber auch nicht weniger ... >> >>> - Verwendet Ihr "subdomains yes" in der opendkim.conf bzw. >>> --subdomains bei opendkim-genkey? Aus meiner Sicht ist ein Key für >>> Domain/Subdomains ausreichend und muss nicht weiter aufgeteilt werden. >> persönlicher Geschmack / hängt von der Anforderung ab. Ich habe kein >> Bedarf dafür. Subdomain signiere ich separat mit einem passenden >> Schlüssel. >> >>> - Muss man Lastprobleme erwarten? Unter Umständen versendet ein >>> Kunde Newsletter mit tausenden Empfängern die dann alle signiert >>> würden. Ist dkim da übermäßig cpu hungrig? >> nein, Wenn Dein Server Luft hat, plötzlich ein Vielfaches an E-Mails >> zu verarbeiten, dann kann er auch ganz locker DKIM-Signaturen >> erzeugen, ohne zu explodieren. >> >> >> > > From sebastian at debianfan.de Mon Oct 30 17:50:45 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 30 Oct 2017 17:50:45 +0100 Subject: Best practise Mailserver In-Reply-To: References: <66049d63-2f54-858b-a6f8-176cc2380e54@debianfan.de> <9BA18A30-C6D0-4F7D-B9A5-C0EDB25D1D61@debianfan.de> Message-ID: <97251ac6-5026-4f25-f9e3-b4eb758867b3@debianfan.de> Danke - der erste Link ist ok - aber ich suche halt was wie bei Postfix mit den Gruppen - dass Du für verschiedene Domains verschiedene Blacklist-Konfigurationen angeben kannst. Das ganze aber halt aus einer Datenbank. Ich weiss nicht, ob Postfix das auf der Ebene bereits per Datenbankinput dort aussteuern kann? Am 29.10.2017 um 19:27 schrieb S. Kremer: > Hi, > > vielleicht helfen Dir folgende Links weiter: > > https://wiki.apache.org/spamassassin/UsingSQL > https://sourceforge.net/projects/webuserprefs/ > https://github.com/JohnDoh/Roundcube-Plugin-SpamAssassin-User-Prefs-SQL > > Allgemeine Tutorials für einen Mailserver findest Du unter: > https://workaround.org/ispmail > > Gruß > Stefan > > Am 29.10.2017 um 19:14 schrieb sebastian at debianfan.de: >> Ich hab mich witzigerweise am Tutorial von Thomas orientiert. >> >> Die User liegen in der DB - die Dateien auf Platte. >> >> Die Konfig soll halt in der DB liegen. >> >>> Am 29.10.2017 um 18:49 schrieb Karol Babioch : >>> >>> Hallo, >>> >>>> Am 29.10.2017 um 11:02 schrieb sebastian at debianfan.de: >>>> Die aktuelle Variante hat Postfix, Dovecot & Spamassassin - die User >>>> kommen aus einer MySql-Datenbank. >>> >>> Sollen nur die Benutzerdaten (zur Authentifizierung) in der Datenbank >>> landen, oder die Mails selbst? >>> >>>> Gibt es sowas auf Basis von MySql ? Ein Verweis auf ein Tutorial >>>> wäre hier super >>> >>> Soll auch das in die Datenbank? >>> >>> Bei einem "typischen" Setup hat man ja trotzdem noch Dateien auf der >>> Platte liegen, so auch die benutzerdefinierte Spam-Datenbanken. >>> Anregungen und Anleitungen gibt es viele, siehe z.B. [1] [2]. >>> >>> Mit freundlichen Grüßen, >>> Karol Babioch >>> >>> [1]: https://www.nesono.com/node/391 >>> [2]: https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ >>> >>