From hb at mesacom.net Fri Sep 1 11:42:28 2017 From: hb at mesacom.net (Heinrich Boeder) Date: Fri, 1 Sep 2017 11:42:28 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> Message-ID: Hallo Zusammen, ich habe nun seit knapp 3 Wochen selektives Greylisting aktiviert (wie von Uwe beschrieben). Ich habe sogar das von Peer beschriebene Verhalten (beim ersten Connect Greylist und beim zweiten Connect bereits IP auf einer Blacklist) mittlerweile im Logfile erkannt. Vielen Dank an Alle für die wertvollen Tipps! LG - heinrich hb at mesacom.net key: 0x1E487C9B -- 99ED F375 5F2B DA64 54BC  2CCF A2C0 7E62 1E48 7C9B From martin at lichtvoll.de Sun Sep 3 10:53:27 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 03 Sep 2017 10:53:27 +0200 Subject: Postscreen PREGREET-Test: Exigo.com wartet nicht Message-ID: <2638200.gq1SGcltbQ@merkaba> Hallo. Ich hab mich gewundert, warum ich die Newsletter einer Firma, deren Newsletter ich doch tatsächlich abonniert habe, nicht mehr bekomme. Die Antwort ist: Sep 1 09:48:14 mondschein postfix/postscreen[8914]: CONNECT from [208.90.224.33]:3140 to [194.150.191.11]:25 Sep 1 09:48:14 mondschein postfix/dnsblog[8977]: addr 208.90.224.33 listed by domain list.dnswl.org as 127.0.10.0 Sep 1 09:48:14 mondschein postfix/postscreen[8914]: PREGREET 25 after 0.12 from [208.90.224.33]:3140: EHLO mailque2.exigo.com\r\n Sep 1 09:48:14 mondschein postfix/postscreen[8914]: DISCONNECT [208.90.224.33]:3140 Ich habe exigo.com informiert und die Firma, die den Newsletter versendet, informiert, denn offenbar halten die sich hier nicht an RFCs: "The SMTP protocol is a classic example of a protocol where the server speaks before the client." http://www.postfix.org/POSTSCREEN_README.html#before_220 Habt ihr das auch schon gesehen? Ich vermisse keine anderen Mails. Also bekommen das wohl die meisten Newsletter-Dienst-Anbieter besser hin. Falls das öfter passiert, schalte ich den Test wohl global aus. Jetzt versuche ich es erstmal mit einem Whitelist-Eintrag. Denn soweit ich sehe, trifft der PREGREET-Test hier ansonsten schon die Richtigen. Wie z.B. diese Kandidaten hier: Aug 27 19:24:52 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:10557: EHLO ylmf-pc\r\n Aug 27 19:24:52 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:10557 Aug 27 19:24:53 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:25875 to [194.150.191.11]:25 Aug 27 19:24:53 mondschein postfix/dnsblog[1196]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2 Aug 27 19:24:53 mondschein postfix/dnsblog[1133]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2 Aug 27 19:24:53 mondschein postfix/dnsblog[1177]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13 Aug 27 19:24:53 mondschein postfix/dnsblog[1167]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4 Aug 27 19:24:53 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:25875: EHLO ylmf-pc\r\n Aug 27 19:24:53 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:25875 Aug 27 19:24:53 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:6641 to [194.150.191.11]:25 Aug 27 19:24:53 mondschein postfix/dnsblog[1177]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2 Aug 27 19:24:53 mondschein postfix/dnsblog[1133]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2 Aug 27 19:24:53 mondschein postfix/dnsblog[1132]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13 Aug 27 19:24:53 mondschein postfix/dnsblog[1158]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4 Aug 27 19:24:53 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.13 from [70.90.59.237]:6641: EHLO ylmf-pc\r\n Aug 27 19:24:53 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:6641 Aug 27 19:24:54 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:16270 to [194.150.191.11]:25 Aug 27 19:24:54 mondschein postfix/dnsblog[1218]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2 Aug 27 19:24:54 mondschein postfix/dnsblog[1131]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2 Aug 27 19:24:54 mondschein postfix/dnsblog[1135]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13 Aug 27 19:24:54 mondschein postfix/dnsblog[1158]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4 Aug 27 19:24:54 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:16270: EHLO ylmf-pc\r\n Aug 27 19:24:54 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:16270 Aug 27 19:24:54 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:32514 to [194.150.191.11]:25 Die IP ist besonders notorisch. Da wäre gut, gleich einen passenden IPTables-Eintrag mit DROP als Target. Hat das mal jemand gebaut? sshguard schützt in Bezug auf Postfix offenbar nicht. Vielleicht dann doch fail2ban. Mir gefielt sshguard besser, da schlanker. Allerdings sehe ich bei fehlgeschlagenen PREGREET-Tests bei meiner Stichproben-Analyse auch so viele Blacklist-Einträge, dass der PREGREET-Test vielleicht gar nicht erforderlich ist. Naja, es gibt auch welche mit weniger Einträgen: Aug 28 00:14:05 mondschein postfix/postscreen[4977]: CONNECT from [121.237.143.70]:49824 to [194.150.191.11]:25 Aug 28 00:14:05 mondschein postfix/dnsblog[4983]: addr 121.237.143.70 listed by domain zen.spamhaus.org as 127.0.0.11 Aug 28 00:14:05 mondschein postfix/postscreen[4977]: PREGREET 16 after 0.22 from [121.237.143.70]:49824: EHLO em8qRE1gJ\r\n Aug 28 00:14:05 mondschein postfix/postscreen[4977]: DISCONNECT [121.237.143.70]:49824 Den hätte Postscreen aufgrund dnsbl bei mir nicht abgelehnt, da ich den Threshold auf 3 gesetzt hab, zen.spamhaus.org bei mir aber nur 2 Punkte bekommt. Naja, ich belasse es erstmal bei einem Whitelist-Eintrag. Danke, -- Martin From martin at lichtvoll.de Sun Sep 3 11:00:04 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 03 Sep 2017 11:00:04 +0200 Subject: Erfahrungen mit rspamd Message-ID: <1742698.glYZ1nrH2z@merkaba> Hallo. Im Greylisting-Thread erwähnte André rspamd. Ich hab da auch schon mehrmals auf der Webseite geschaut. Das scheint mir auf den ersten Blick eine vielversprechende Alternative zu spamassassin zu sein. Allerdings gibt es rspamd nicht mehr im offiziellen Debian-Repo: https://tracker.debian.org/pkg/rspamd Aufgrund eines Disputs über Javascript-Dateien, die Upstream offenbar nicht im originalen Quelltext ohne irgendeinen Javascript-Kompressor rausgibt: RFP: rspamd - rapid spam filtering system https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=849396#17 Danke -- Martin From martin at lichtvoll.de Sun Sep 3 12:34:10 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 03 Sep 2017 12:34:10 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> Message-ID: <5001596.NEaFyW9nok@merkaba> Peer Heinlein - 09.08.17, 11:23: > > ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach > > der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum > > Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das > > Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem > > mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle > > auch etwas. > > > > Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting? > > Greylisting ist total und absolut sinnvoll. > > a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro > Botnetz-server, unterhalb vom Radar) > und derzeit sehr stark wieder > b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten). > > RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus > hat neue ;echanismen implementiert um neue Daten noch schneller in den > Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er > durch kann, ist die IP auf der Blacklist. Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger? Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2). Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität. Ich hab derzeit - Postscreen - policyd-weight (ohne das, was Postscreen schon macht) - header checks und noch so einige andere Postfix schecks - spampd Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren, um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden. Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag, oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab es was, was sich simpel genug anhörte). Danke, -- Martin From jost+lists at dimejo.at Sun Sep 3 13:53:21 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 3 Sep 2017 13:53:21 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <1742698.glYZ1nrH2z@merkaba> References: <1742698.glYZ1nrH2z@merkaba> Message-ID: <3daea03e-ffd2-b2d1-a877-623f7fecb2e2@dimejo.at> Am 03.09.2017 um 11:00 schrieb Martin Steigerwald: > Hallo. > > Im Greylisting-Thread erwähnte André rspamd. Ich hab da auch schon mehrmals > auf der Webseite geschaut. Das scheint mir auf den ersten Blick eine > vielversprechende Alternative zu spamassassin zu sein. Wir setzen rspamd seit einiger Zeit ein, und sind damit sehr zufrieden. Einer der Vorteile (für manche vielleicht ein Nachteil) ist, dass rspamd sehr viele Funktionen vereint, für die man ansonsten 4-5 verschiedene Programme benötigt. Das ist für uns einfach viel übersichtlicher und besser konfigurierbar. > Allerdings gibt es rspamd nicht mehr im offiziellen Debian-Repo: > > https://tracker.debian.org/pkg/rspamd rspamd bietet selbst aktuelle Pakete an. Bei einem so aktiven und rasch voran schreitendem Projekt ein Vorteil gegenüber langsamen Updates von Distributionen. https://rspamd.com/downloads.html -- Alex JOST From jost+lists at dimejo.at Sun Sep 3 14:02:39 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Sun, 3 Sep 2017 14:02:39 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <5001596.NEaFyW9nok@merkaba> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <5001596.NEaFyW9nok@merkaba> Message-ID: <37e53963-15fe-ed59-853a-05bdfaa502e9@dimejo.at> Am 03.09.2017 um 12:34 schrieb Martin Steigerwald: > Peer Heinlein - 09.08.17, 11:23: >>> ich wollte einmal die Frage in die Runde werfen ob eurer Meinung nach >>> der Einsatz von Greylisting noch sinnvoll ist. Vielleicht kurz zum >>> Hintergrund. Wenn ich mir unser Maillog einmal anschaue, habe ich das >>> Gefühl, dass Spammer die an Postscreen vorbei kommen auch kein Problem >>> mit Greylisting haben. Vielleicht täuscht mich mein Gefühl an der Stelle >>> auch etwas. >>> >>> Wie sieht es bei euch aus? Seid ihr eher pro oder contra Greylisting? >> >> Greylisting ist total und absolut sinnvoll. >> >> a) Es gibt Snowshoe-Spam (lange Zeiträume, wenige Mails pro >> Botnetz-server, unterhalb vom Radar) >> und derzeit sehr stark wieder >> b) mailstorms (Kompletter Spam-Aussand in unter 3 Minuten). >> >> RBLs wie spamhaus blocken das i.d.R. nach 30 Sekunden schon, Spamhaus >> hat neue ;echanismen implementiert um neue Daten noch schneller in den >> Zonen hinzufügen zu können. Greylisting hilft da immens, denn bis er >> durch kann, ist die IP auf der Blacklist. > > Hmmm, ich frage mich hier doch, inwiefern da zu Postscreen durch Greylisting > noch was dazu kommt. Der lehnt neue Sender ja auch erstmal ab und die müssen > wieder kommen. Ist die Mindestzeit fürs Wiederkommen bei Greylisting länger? > Bei Postscreen ließe sich das nur für über die Dauer des Pregreet-Tests > konfigurieren (standardmäßig 6 Sekunden, bei Überlastung 2). Sofern Du keine "deep protocol tests" in Postscreen aktiviert hast (die ohnehin fraglich sind) wird in Postscreen nichts temporär abgewiesen. Selbst mit "deep protocol tests" gibt es im Gegensatz zu Greylisting keine festgelegte Mindestzeit für neue Versuche. Der Client kann es sofort wieder probieren, und wird gleich akzeptiert. > Es ist für mich auch immer ne Abwägung zwischen Effektivität und Komplexität. > > Ich hab derzeit > > - Postscreen > - policyd-weight (ohne das, was Postscreen schon macht) > - header checks und noch so einige andere Postfix schecks > - spampd > > Je mehr ich da dazu stapele, desto fragiler dürfte das Gebilde werden, auch > wenn ich mittlerweile auch darüber nachdenke, auch ClamAV noch zu integrieren, > um den statischen header_check auf Dateiendungen wie zip und doc loszuwerden. > Aber entweder ich würde dann doch amavisd-new verwenden, was ich nicht so mag, > oder ich müsste den wieder auf eine neue Weise in Postfix integrieren (da gab > es was, was sich simpel genug anhörte). Siehe rspamd :) -- Alex JOST From p at sys4.de Sun Sep 3 20:44:31 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Sun, 3 Sep 2017 20:44:31 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <1742698.glYZ1nrH2z@merkaba> References: <1742698.glYZ1nrH2z@merkaba> Message-ID: <20170903184430.s2hef2bmbeqstnbb@sys4.de> * Martin Steigerwald : > Im Greylisting-Thread erwähnte André rspamd. Ich hab da auch schon mehrmals > auf der Webseite geschaut. Das scheint mir auf den ersten Blick eine > vielversprechende Alternative zu spamassassin zu sein. Dem SpamAssassin-Projekt geht es aus verschiedenen Gründen nicht so gut wie es ihm gehen sollte, damit es eine befriedigende Erkennungsleistung hat. Wir sind deshalb vor knapp einem Jahr auf rspamd umgestiegen und seitdem haben wir wieder Ruhe. Weil wir auch Aviras SAVAPI einsetzen, haben wir rspamd auch die Integration zur SAVAPI spendiert sowie eine Quarantäne. Beides hat das rspamd-Projekt übernommen. > Allerdings gibt es rspamd nicht mehr im offiziellen Debian-Repo: > > https://tracker.debian.org/pkg/rspamd > > > Aufgrund eines Disputs über Javascript-Dateien, die Upstream offenbar nicht im > originalen Quelltext ohne irgendeinen Javascript-Kompressor rausgibt: > > RFP: rspamd - rapid spam filtering system > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=849396#17 Ich habe mit Vsevolod Stakhov, dem rspamd-Hauptentwickler, einen richtig netten Abend in Lissabon auf der MAA3WG verbracht. Vsevolod ist ein Speed-Freak. Er wirft bestehende libraries raus und schreibt sich Eigene, wenn er meint sie seien ihm zu langsam und er sei in der Lage das zu ändern. Insofern überrascht es mich nicht, dass das Aufeinandertreffen von Überzeugungstätern nicht ohne Reiberreien vonstatten gegangen ist. Da hat Vsevolod dann den Kürzeren gezogen. Aus meiner - persönlichen - Sicht, hat das Debian-Projekt sich damit einen Bärendienst erwiesen. Wir haben rspamd in 2017 anstatt SpamAssassin bei Kunden deployed. Wir haben bei Kunden auch SpamAssassin gegen rspamd getauscht, um wieder beste AntiSpam-Filterung zu erzielen. rspamd läuft verlässlich, stabil, mit einer hohen Erkennungsrate und es ist signifikant schneller als SpamAssassin. Wenn Du mehr willst, dann musst Du Dich vielleicht immer noch mit amavis beschäftigen und da kann es gut sein, dass Du rspamd noch nicht nutzen kannst. Das wirst Du aber besser wissen als ich. Pakete für rspamd kannst Du auf https://rspamd.com/downloads.html herunterladen. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From andreas.schulze at datev.de Mon Sep 4 07:22:12 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 4 Sep 2017 07:22:12 +0200 Subject: Postscreen PREGREET-Test: Exigo.com wartet nicht In-Reply-To: <2638200.gq1SGcltbQ@merkaba> References: <2638200.gq1SGcltbQ@merkaba> Message-ID: <03799823-399d-dfe7-818d-aa3b30fd8e08@datev.de> Am 03.09.2017 um 10:53 schrieb Martin Steigerwald: > Hallo. > > Ich hab mich gewundert, warum ich die Newsletter einer Firma, deren > Newsletter ich doch tatsächlich abonniert habe, nicht mehr bekomme. > > Die Antwort ist: > > Sep 1 09:48:14 mondschein postfix/postscreen[8914]: CONNECT from [208.90.224.33]:3140 to [194.150.191.11]:25 > Sep 1 09:48:14 mondschein postfix/dnsblog[8977]: addr 208.90.224.33 listed by domain list.dnswl.org as 127.0.10.0 > Sep 1 09:48:14 mondschein postfix/postscreen[8914]: PREGREET 25 after 0.12 from [208.90.224.33]:3140: EHLO mailque2.exigo.com\r\n > Sep 1 09:48:14 mondschein postfix/postscreen[8914]: DISCONNECT [208.90.224.33]:3140 > > Ich habe exigo.com informiert und die Firma, die den Newsletter versendet, > informiert, denn offenbar halten die sich hier nicht an RFCs: > es gibt immer mal wieder Leute, die sich einen ranzigen MTA andrehen lassen. Meist tatsächlich als Bundle mit anderen Funktionen. Hier hilft selektives whitelisten. > Denn soweit ich sehe, trifft der PREGREET-Test hier ansonsten schon die ja, das ist der Normalfall. Deswegen würde ich wegen eines Einzelfalls das nicht global ausschalten. Andreas -- A. Schulze DATEV eG From igor.sverkos at gmail.com Mon Sep 4 13:20:26 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Mon, 4 Sep 2017 13:20:26 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: <37e53963-15fe-ed59-853a-05bdfaa502e9@dimejo.at> References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> <090d452f-46bf-bbea-b701-c88c64ea1ca9@heinlein-support.de> <5001596.NEaFyW9nok@merkaba> <37e53963-15fe-ed59-853a-05bdfaa502e9@dimejo.at> Message-ID: ...außerdem arbeitet postscreen nur auf IP-Ebene. D.h. hat ein Server einmal postscreen überwunden ist er durch, für unbegrenzt viele Empfänger. Greylisting arbeitet in der Regel mit "Triplets", also eine Kombination aus Sender-IP, Absender und Empfänger. Wenn 1.2.3.4 für "foo at example.net" mit dem Absender "bar at example.org" Greylisting überwunden hat kann der gleiche Spammer über 1.2.3.4 noch lange nichts für "foobar at example.net" einkippen. -- Ich Grüße Igor From igor.sverkos at gmail.com Mon Sep 4 13:26:02 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Mon, 4 Sep 2017 13:26:02 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <20170903184430.s2hef2bmbeqstnbb@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> Message-ID: @ Patrick: Ich verstehe den vorletzten Absatz nicht. Habt ihr bei der Umstellung auf rspamd nun auch gleich amavis rausgeworfen oder nutzt ihr noch immer amavis? -- Ich Grüße Igor From p at sys4.de Mon Sep 4 18:47:35 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 4 Sep 2017 18:47:35 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> Message-ID: <20170904164735.elfup5i7v7ugzbcp@sys4.de> * Igor Sverkos : > @ Patrick: > > Ich verstehe den vorletzten Absatz nicht. Habt ihr bei der Umstellung > auf rspamd nun auch gleich amavis rausgeworfen oder nutzt ihr noch > immer amavis? Auf unserer eigenen Plattform haben wir amavis ersatzlos gestrichen. Bei grösseren oder Plattformen mit besonderem Schutzbedarf setzen wir amavis oft und auch gerne noch ein. Es kann nicht 'nur' Malware und Spam erkennen, klassifizieren und gesondert behandeln, sondern auch auch Unerwünschte Anhänge, Mailbomben, Nicht-Klassifizierbare Nachrichten (z.B. ZIP-Archive) und Verschlüsselte Nachrichten. Es ist halt ein richtiges Content Filter Framework. Wer derart ausgefeilte Policies braucht, der kommt an amavis im Moment kaum vorbei. Was amavis fehlt ist eine massive Code-Verschlankung und eine Aufteilung in mehrere, kleine Services. Code muss raus, weil es nicht bis Version 0.1 kompatibel sein muss und die Extra-Layer, die in den Jahren dazu kamen nur für Verwirrung sorgen und zu nahezu unlesbarem Perl geführt haben. Einige Entwickler bei uns verlangen Schmerzensgeld wenn ich mit customization ankomme? ;) Die Aufteilung tut not wenn man amavis auf grösseren Plattformen einsetzen will. Im Innersten ist es ein Software-Monolith, sozusagen das Sendmail der Content Filter Frameworks. Mit einer derartigen Architektur wird es schwierig Performance-Cluster aufzubauen oder mehreren amavis-Instanzen gemeinsam Wissen teilen zu lassen. Es gibt ein paar Ansätze in den letzten Releases, aber in allen Ebenen konsequent richtig durchgezogen ist das nicht. Wir haben eine Weile damit geliebäugelt ein eigenes Content Filter Framework auf die Beine zu stellen - einfach weil wir das drauf hätten und weil wir auch zu wissen glauben was es für so ein Framework heute braucht - aber der Markt für ein Open Source Produkt (!) dieser Art scheint uns aktuell zu klein, um die Investition auf andere Weise wieder zu finanzieren. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From andre.peters at debinux.de Mon Sep 4 19:14:48 2017 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Mon, 4 Sep 2017 19:14:48 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <20170904164735.elfup5i7v7ugzbcp@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> Message-ID: <3d73b5cb-f479-a44f-6093-e262864195e6@debinux.de> Am 04.09.2017 um 18:47 schrieb Patrick Ben Koetter: > Es ist halt ein richtiges Content Filter Framework. Wer derart ausgefeilte > Policies braucht, der kommt an amavis im Moment kaum vorbei. Da bin ich mir gar nicht mal so sicher. Habe mit der LUA API schon jede Menge umsetzen können. :-) From harald.witt at dpfa.de Mon Sep 4 19:37:08 2017 From: harald.witt at dpfa.de (Harald Witt) Date: Mon, 4 Sep 2017 19:37:08 +0200 Subject: AW: Erfahrungen mit rspamd In-Reply-To: <20170904164735.elfup5i7v7ugzbcp@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> Message-ID: <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> Hallo P at trik, danke für die offenen Worte betreffs amavis. Ich setze es auch noch ein, obwohl die Resultate zunehmend schlechter werden. Die rspamd-Geschichte erscheint mir vielversprechend. Danke! Aber ich schreibe das hier jetzt eigentlich, weil mir der Terminus "Monolith" so gefallen hat. Ach ja: MS-DOS und die frühen Windows-Versionen. Da war ja der TCP/IP-Stack monolithisch. Mann ist das lange her :-) Also jetzt wisst ihr, dass ich auf die Rente zugehe :-((( Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Patrick Ben Koetter Gesendet: Montag, 4. September 2017 18:48 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Erfahrungen mit rspamd * Igor Sverkos : > @ Patrick: > > Ich verstehe den vorletzten Absatz nicht. Habt ihr bei der Umstellung > auf rspamd nun auch gleich amavis rausgeworfen oder nutzt ihr noch > immer amavis? Auf unserer eigenen Plattform haben wir amavis ersatzlos gestrichen. Bei grösseren oder Plattformen mit besonderem Schutzbedarf setzen wir amavis oft und auch gerne noch ein. Es kann nicht 'nur' Malware und Spam erkennen, klassifizieren und gesondert behandeln, sondern auch auch Unerwünschte Anhänge, Mailbomben, Nicht-Klassifizierbare Nachrichten (z.B. ZIP-Archive) und Verschlüsselte Nachrichten. Es ist halt ein richtiges Content Filter Framework. Wer derart ausgefeilte Policies braucht, der kommt an amavis im Moment kaum vorbei. Was amavis fehlt ist eine massive Code-Verschlankung und eine Aufteilung in mehrere, kleine Services. Code muss raus, weil es nicht bis Version 0.1 kompatibel sein muss und die Extra-Layer, die in den Jahren dazu kamen nur für Verwirrung sorgen und zu nahezu unlesbarem Perl geführt haben. Einige Entwickler bei uns verlangen Schmerzensgeld wenn ich mit customization ankomme? ;) Die Aufteilung tut not wenn man amavis auf grösseren Plattformen einsetzen will. Im Innersten ist es ein Software-Monolith, sozusagen das Sendmail der Content Filter Frameworks. Mit einer derartigen Architektur wird es schwierig Performance-Cluster aufzubauen oder mehreren amavis-Instanzen gemeinsam Wissen teilen zu lassen. Es gibt ein paar Ansätze in den letzten Releases, aber in allen Ebenen konsequent richtig durchgezogen ist das nicht. Wir haben eine Weile damit geliebäugelt ein eigenes Content Filter Framework auf die Beine zu stellen - einfach weil wir das drauf hätten und weil wir auch zu wissen glauben was es für so ein Framework heute braucht - aber der Markt für ein Open Source Produkt (!) dieser Art scheint uns aktuell zu klein, um die Investition auf andere Weise wieder zu finanzieren. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From p at sys4.de Mon Sep 4 21:55:01 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 4 Sep 2017 21:55:01 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> Message-ID: <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> * Harald Witt : > Hallo P at trik, > > danke für die offenen Worte betreffs amavis. Ich setze es auch noch ein, obwohl die Resultate zunehmend schlechter werden. Die rspamd-Geschichte erscheint mir vielversprechend. Danke! Die "zunehmend schlechteren Ergebnisse" liegen eher am eingebundenen SpamAssassin, oder? > Aber ich schreibe das hier jetzt eigentlich, weil mir der Terminus "Monolith" so gefallen hat. Ach ja: MS-DOS und die frühen Windows-Versionen. Da war ja der TCP/IP-Stack monolithisch. Mann ist das lange her :-) Gell, der Begriff hat was. :) Erinnert mich an die Anfänge von Postfix, als wir erklärt haben, warum Postfix so ist wie es ist: Monolith Sendmail vs. Postfix Multi-Daemon Compartmentalized Architecture Im Alltag werden die Privatanwender und kleine Unternehmen mit "nur" einem Host, auf ewig mit amavis Systemarchitektur glücklich sein. Da schmerzt es dann wohl eher, dass diese Nutzergruppen nicht so häufig über das erforderlichen Perl-KnowHow verfügen, um amavis punktgenau zu konfigurieren. Mit nativem Perl in der Config-Datei muss man auch erst mal umgehen können. Es ist eine Stärke und zugleich einer der größten Schwackpunkte, dass man amavis nativ mit Perl konfiguriert und nicht über eine Konfigurationssprache. Wer amavis auf mehr als einem Mailhost, z.B mit dem Ziel ein Performance-Cluster aufzubauen, einsetzen will, der begegnet den Grenzen seiner Architektur und der seiner Helfer (SpamAssassin, Virenscanner). Bei der Provisionierung und Konfiguration helfen die CM-Tools wie Puppet, ansible, chef und - wie wir es am liebsten machen wenn man uns läßt - SaltStack. (Angefangen habe ich mit cfengine 2 und seitdem sehe ich zu wie die nächste CM-Sau durch das Dorf getrieben wird?. Soviel zum Thema "Alte Säcke"?) Schwierig wird es wenn Du allen Hosts live Daten zur Verfügung stellen willst/musst. Ich denke da z.B. an Bayes Token (für SpamAssassin), die man zwischen Clustern an mehreren Standorten in einem master/master Setup in sync halten will. Been there, done that in 2013 mit einem SQL-Backend. Zum Glück gibt es da mittlerweile mit Redis Backends, die besser für solche Aufgaben geeignet sind - so sehr ich PostgreSQL auch schätze. amavis erstellt Prüfsummen für Nachrichten, die es inspiziert hat, und stellt diese seinen children lokal zur Verfügung. So muss es eine Nachricht, die schon mal geprüft worden war (Massenvirus etc.), nicht nochmal aufwändig analysieren. Liegt die Prüfsumme bereits vor, spart es sich die Analyse und verwendet sofort auch die ebenfalls abgespeicherte Content Class und führt die damit verknüpften Aktionen aus. Das funktioniert gut auf einem Host, teile diese Informationen mal zwischen allen Hosts eines Performance-Clusters, das von einem LoadBalancer angesteuert wurde, der absichtlich keine stickyness für recurring clients vorgegeben hat. Gerade hier - auf grossen Plattformen - wirken sich Maßnahmen zur Einsparung unnötiger Aktivitäten besonders gut aus - weniger und seltener Hardware kaufen, weniger Stromverbrauch etc. pp. Wir haben amavis ein wenig gepimpt als wir vor 2 Jahren einen Patch eingereicht haben mit dem amavis DNSBL-artig DNS-Server fragen kann und in Abhängigkeit von der Antwort Policies anwenden kann. So haben wir z.B. Clients der CSA (Certified Sender Alliance) von teuerer Spam-Prüfung ausgenommen. Erkannt haben wir sie, indem wir die Liste aller CSA-Netze - als CSA-Member hat man Zugriff auf sie - in einen rbldnsd gepackt und diese dem amavis-Cluster zur Verfügung gestellt haben. Jeder amavis aus dem Cluster konnte - mit dem von uns entwickelten DNSBL-Feature in die @client_ipaddr_policy eingebunden - live die IPs im DNS des rbldnsd-Dienstes abfragen. Je nach Antwort wurde die IP dann einer policy_bank zugewiesen, die Spam-Prüfung deaktiviert (und Malware-Scannen anläßt). Das hat damals die Anschaffung von 6 neuen Servern gespart. Die Runde nachdenken und zwei Tage Entwicklung haben sich da echt bezahlt gemacht. Solche Features könnte ich mehr gebrauchen. Ich bin mir aber auch durchaus bewußt, dass meine Requirements bisweilen durchaus den Rahmen des Normalen (lies: Alltäglich) verlassen. :) > Also jetzt wisst ihr, dass ich auf die Rente zugehe :-((( Da kannst Du dann wieder Software erforschen und beim Versuchen und Irren Zeit vertrödeln ohne dass jemand mit der Stechuhr hinter Dir steht. Hat auch was! :) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From t.schneider at tms-itdienst.at Thu Sep 7 09:45:16 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 7 Sep 2017 09:45:16 +0200 Subject: Postfix 3.1.4 kein PCRE mehr(header_checks) Message-ID: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> Hallo, auf meinem neuen Server läuft Postfix 3.1.4 und nun sagt mir Postfix das er das pcre Format für die header und body checks nicht kennt. Wie binde ich nun die beiden ein? Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Ralf.Hildebrandt at charite.de Thu Sep 7 10:03:24 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 7 Sep 2017 10:03:24 +0200 Subject: Postfix 3.1.4 kein PCRE mehr(header_checks) In-Reply-To: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> References: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> Message-ID: <20170907080324.5lg65bbto2b5nicd@charite.de> * Timm Schneider : > Hallo, > > > auf meinem neuen Server läuft Postfix 3.1.4 und nun sagt mir Postfix das > er das pcre Format für die header und body checks nicht kennt. > Wie binde ich nun die beiden ein? Selbst kompiliert? Paket? Welche Distribution? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From t.schneider at tms-itdienst.at Thu Sep 7 10:15:11 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 7 Sep 2017 10:15:11 +0200 Subject: Postfix 3.1.4 kein PCRE mehr(header_checks) In-Reply-To: <20170907080324.5lg65bbto2b5nicd@charite.de> References: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> <20170907080324.5lg65bbto2b5nicd@charite.de> Message-ID: Hallo Ralf, Am 07.09.2017 um 10:03 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo, >> >> >> auf meinem neuen Server läuft Postfix 3.1.4 und nun sagt mir Postfix das >> er das pcre Format für die header und body checks nicht kennt. >> Wie binde ich nun die beiden ein? > > Selbst kompiliert? Nein > Paket? apt-get install postfix > Welche Distribution? Debian 9.1.0 > Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Christian.Hoyer-Reuther at cac-chem.de Thu Sep 7 10:18:29 2017 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Thu, 7 Sep 2017 10:18:29 +0200 Subject: AW: Postfix 3.1.4 kein PCRE mehr(header_checks) In-Reply-To: References: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> <20170907080324.5lg65bbto2b5nicd@charite.de> Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE827DC5C@ex1> Hallo Timm, ist evtl. das Paket postfix-pcre nicht installiert? Viele Grüße. Christian -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Timm Schneider Gesendet: Donnerstag, 7. September 2017 10:15 An: Diskussionen und Support rund um Postfix Betreff: Re: Postfix 3.1.4 kein PCRE mehr(header_checks) Hallo Ralf, Am 07.09.2017 um 10:03 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo, >> >> >> auf meinem neuen Server läuft Postfix 3.1.4 und nun sagt mir Postfix das >> er das pcre Format für die header und body checks nicht kennt. >> Wie binde ich nun die beiden ein? > > Selbst kompiliert? Nein > Paket? apt-get install postfix > Welche Distribution? Debian 9.1.0 > Grüße Timm Schneider -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 From Ralf.Hildebrandt at charite.de Thu Sep 7 10:21:05 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 7 Sep 2017 10:21:05 +0200 Subject: Postfix 3.1.4 kein PCRE mehr(header_checks) In-Reply-To: References: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> <20170907080324.5lg65bbto2b5nicd@charite.de> Message-ID: <20170907082105.cdvkwalcsarz3fjz@charite.de> * Timm Schneider : > Hallo Ralf, > > Am 07.09.2017 um 10:03 schrieb Ralf Hildebrandt: > > * Timm Schneider : > >> Hallo, > >> > >> > >> auf meinem neuen Server läuft Postfix 3.1.4 und nun sagt mir Postfix das > >> er das pcre Format für die header und body checks nicht kennt. > >> Wie binde ich nun die beiden ein? > > > > Selbst kompiliert? > > Nein > > > Paket? > > apt-get install postfix apt-get install postfix-pcre -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From t.schneider at tms-itdienst.at Thu Sep 7 10:31:23 2017 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Thu, 7 Sep 2017 10:31:23 +0200 Subject: Postfix 3.1.4 kein PCRE mehr(header_checks) In-Reply-To: <20170907082105.cdvkwalcsarz3fjz@charite.de> References: <1fd2bb1e-b999-f3cb-f30b-66e99b469a71@tms-itdienst.at> <20170907080324.5lg65bbto2b5nicd@charite.de> <20170907082105.cdvkwalcsarz3fjz@charite.de> Message-ID: Hallo Ralf, Hallo Christian, genau das wars, danke. Timm -- TMS IT-Dienst Hinterstadt 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.721010 77792 T(CH).+41.32.510 9875 F.+43.720.501 078 57 Das Stammzertifikat finden Sie unter www.cacert.org/index.php?id=3 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From igor.sverkos at gmail.com Fri Sep 8 00:23:07 2017 From: igor.sverkos at gmail.com (Igor Sverkos) Date: Fri, 8 Sep 2017 00:23:07 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> Message-ID: Hallo, auch ich möchte mich für die ausführliche Antwort bedanken! Danke! :) -- Ich Grüße Igor From gregor at aeppelbroe.de Fri Sep 8 09:52:18 2017 From: gregor at aeppelbroe.de (Gregor Burck) Date: Fri, 08 Sep 2017 09:52:18 +0200 Subject: Minimale Ressourcen =?utf-8?b?ZsO8cg==?= Mailserver Message-ID: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> Moin, welche minimale Ressourcen würdet Ihr für einen Mailserver ansetzen um erst mal unabhängig vom Emailaufkommen Betriebsfähig zu sein? Notwendige Dienste würde ich jetzt erst mal postfix, postgrey, amavis, clamav, spamassasin und dovecot setzen. Als Nebendienste evtl. noch fail2ban, mysql, apache, kleine Groupware Installation. Hintergrund ist erst mal nur eine Spielerei für kleine Zwecke, ich habe mir zum Spielen das freie Angebot von kamp gesichert. Eckpunkte: 1CPU, 1GB RAM, 25GB HDD. Ein riesen Staat ist da natürlich nicht zu machen, es ging mir jetzt erst mal um's Ob. Bis zum Punkt amavis & clamav lief es auch reibungslos, aber clamav scheint doch etwas viel RAM zu benötigen. Jedenfalls gibt es da regelmäßig ein Problem. Evtl. kann man den Speicherverbrauch des clamav deckeln? Die eigentliche Frage wäre aber, was muss man als Mindestgröße für ein Lauffähiges System inkl. clamav rechnen? Grüße Gregor From lists at xunil.at Sat Sep 9 10:29:44 2017 From: lists at xunil.at (Stefan G. Weichinger) Date: Sat, 9 Sep 2017 10:29:44 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> Message-ID: Am 2017-09-04 um 21:55 schrieb Patrick Ben Koetter: [..] sehr informativ, hat mich gleich neugierig gemacht. Also hab ich das gestern gleich mal ausprobiert, und konnte innerhalb kürzeste Zeit etliche Services abschalten/ersetzen, cool. Weg mit SA und opendkim, beides von rspamd abgedeckt. clamd habe ich eingebunden, postfwd erstmal abgeschaltet. Bei postfwd und postscreen bin ich noch am Abwägen, bzw. Lernen. Habt Ihr das gemeinsam mit rspamd im Einsatz, oder löst Ihr zB die RBL-Abfragen alle in rspamd? Mir ist klar, da gibt es zig Wege, und nicht den einen richtigen, wie so oft. Stefan From jost+lists at dimejo.at Sat Sep 9 11:56:33 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Sat, 9 Sep 2017 11:56:33 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> Message-ID: Am 09.09.2017 um 10:29 schrieb Stefan G. Weichinger: > Am 2017-09-04 um 21:55 schrieb Patrick Ben Koetter: > > [..] > > sehr informativ, hat mich gleich neugierig gemacht. > > Also hab ich das gestern gleich mal ausprobiert, und konnte innerhalb > kürzeste Zeit etliche Services abschalten/ersetzen, cool. > > Weg mit SA und opendkim, beides von rspamd abgedeckt. > clamd habe ich eingebunden, postfwd erstmal abgeschaltet. Die Standard-Regeln von ClamAV finden bei uns zwar nur sehr selten etwas, aber mit den Regeln von SaneSecurity haben wir sehr gute Erkennungsraten. Einige der Regeln fließen auch in das Scoring von rspamd mit ein. > Bei postfwd und postscreen bin ich noch am Abwägen, bzw. Lernen. Habt > Ihr das gemeinsam mit rspamd im Einsatz, oder löst Ihr zB die > RBL-Abfragen alle in rspamd? Postfwd haben wir noch im Einsatz, weil unsere bestehenden Regeln ziemlich umfangreich und nicht einfach zu übertragen sind. Längerfristig ist aber geplant, postfwd durch rspamd zu ersetzen, da postfwd sich nicht für den Einsatz in einem größeren Setup eignet. Postscreen ist bei uns ebenfalls noch im Einsatz, weil es eine einfache und Ressourcen schonende Methode ist Spamwellen abzuwehren. Wenn man eigene DNS-Resolver verwendet ist die doppelte Abfrage von DNSBLs in der Regel auch kein Problem. Wir haben schon überlegt auf Postscreen zu verzichten, und die ganze Arbeit von rspamd erledigen zu lassen. Das würde die Auswertung von Logs in jedem Fall vereinfachen. Das WebUI von rspamd bietet zudem eine gute und Server übergreifende Übersicht von allen Einlieferungsversuchen. Im Großen und Ganzen ist es wohl einfach eine Geschmackssache. Wenn es nach dem Autor von rspamd geht, dann brauchen wir außer rspamd kein anderes Tool zur Spamerkennung. :) -- Alex JOST From p at sys4.de Sat Sep 9 19:50:32 2017 From: p at sys4.de (Patrick Ben Koetter) Date: Sat, 9 Sep 2017 19:50:32 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> Message-ID: <20170909175032.ouwgy5pj5blwvnlt@sys4.de> * Stefan G. Weichinger : > Am 2017-09-04 um 21:55 schrieb Patrick Ben Koetter: > > [..] > > sehr informativ, hat mich gleich neugierig gemacht. > > Also hab ich das gestern gleich mal ausprobiert, und konnte innerhalb > kürzeste Zeit etliche Services abschalten/ersetzen, cool. > > Weg mit SA und opendkim, beides von rspamd abgedeckt. Wir machen DKIM auf User-Ebene. Das kann rspamd nicht. > clamd habe ich eingebunden, postfwd erstmal abgeschaltet. > > Bei postfwd und postscreen bin ich noch am Abwägen, bzw. Lernen. Habt > Ihr das gemeinsam mit rspamd im Einsatz, oder löst Ihr zB die > RBL-Abfragen alle in rspamd? Wir nutzen RBLs in postscreen und in rspamd. > Mir ist klar, da gibt es zig Wege, und nicht den einen richtigen, wie so > oft. ACK. :) p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From sebastian at debianfan.de Sat Sep 9 20:28:21 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 9 Sep 2017 20:28:21 +0200 Subject: =?utf-8?Q?Re:_Minimale_Ressourcen_f=C3=BCr_Mailserver?= In-Reply-To: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> References: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> Message-ID: Clamav ist ne Speichersau SpamAssassin braucht CPU ohne Ende Sonst dürfte das eigentlich reichen > Am 08.09.2017 um 09:52 schrieb Gregor Burck : > > Moin, > > welche minimale Ressourcen würdet Ihr für einen Mailserver ansetzen um erst mal unabhängig vom Emailaufkommen Betriebsfähig zu sein? > > Notwendige Dienste würde ich jetzt erst mal postfix, postgrey, amavis, clamav, spamassasin und dovecot setzen. > Als Nebendienste evtl. noch fail2ban, mysql, apache, kleine Groupware Installation. > > Hintergrund ist erst mal nur eine Spielerei für kleine Zwecke, ich habe mir zum Spielen das freie Angebot von kamp gesichert. Eckpunkte: 1CPU, 1GB RAM, 25GB HDD. > > Ein riesen Staat ist da natürlich nicht zu machen, es ging mir jetzt erst mal um's Ob. > > Bis zum Punkt amavis & clamav lief es auch reibungslos, aber clamav scheint doch etwas viel RAM zu benötigen. Jedenfalls gibt es da regelmäßig ein Problem. > > Evtl. kann man den Speicherverbrauch des clamav deckeln? > > Die eigentliche Frage wäre aber, was muss man als Mindestgröße für ein Lauffähiges System inkl. clamav rechnen? > > Grüße > > Gregor > From sebastian at debianfan.de Sat Sep 9 20:42:32 2017 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 9 Sep 2017 20:42:32 +0200 Subject: =?UTF-8?Q?Re:_Minimale_Ressourcen_f=c3=bcr_Mailserver?= In-Reply-To: References: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> Message-ID: <91eee5bc-7b04-dd84-cff8-46398defe7bc@debianfan.de> Ich habe angefangen mit einem 800 Mhz Rechner mit debian 6 - 2 GB Ram - der hat schon ziemlich gearbeitet wenn spamassassin & clamav angesprungen sind - aber es hat funktioniert - damals noch mit courier-imap. Am 09.09.2017 um 20:28 schrieb sebastian at debianfan.de: > Clamav ist ne Speichersau > > SpamAssassin braucht CPU ohne Ende > > Sonst dürfte das eigentlich reichen > >> Am 08.09.2017 um 09:52 schrieb Gregor Burck : >> >> Moin, >> >> welche minimale Ressourcen würdet Ihr für einen Mailserver ansetzen um erst mal unabhängig vom Emailaufkommen Betriebsfähig zu sein? >> >> Notwendige Dienste würde ich jetzt erst mal postfix, postgrey, amavis, clamav, spamassasin und dovecot setzen. >> Als Nebendienste evtl. noch fail2ban, mysql, apache, kleine Groupware Installation. >> >> Hintergrund ist erst mal nur eine Spielerei für kleine Zwecke, ich habe mir zum Spielen das freie Angebot von kamp gesichert. Eckpunkte: 1CPU, 1GB RAM, 25GB HDD. >> >> Ein riesen Staat ist da natürlich nicht zu machen, es ging mir jetzt erst mal um's Ob. >> >> Bis zum Punkt amavis & clamav lief es auch reibungslos, aber clamav scheint doch etwas viel RAM zu benötigen. Jedenfalls gibt es da regelmäßig ein Problem. >> >> Evtl. kann man den Speicherverbrauch des clamav deckeln? >> >> Die eigentliche Frage wäre aber, was muss man als Mindestgröße für ein Lauffähiges System inkl. clamav rechnen? >> >> Grüße >> >> Gregor >> > From andre.peters at debinux.de Sat Sep 9 22:39:47 2017 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Sat, 9 Sep 2017 22:39:47 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <20170909175032.ouwgy5pj5blwvnlt@sys4.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> <20170909175032.ouwgy5pj5blwvnlt@sys4.de> Message-ID: <0d3fbdeb-99ef-82c8-7068-2798e4efcae7@debinux.de> Hi, Am 09.09.2017 um 19:50 schrieb Patrick Ben Koetter: > * Stefan G. Weichinger : >> Am 2017-09-04 um 21:55 schrieb Patrick Ben Koetter: >> >> [..] >> >> sehr informativ, hat mich gleich neugierig gemacht. >> >> Also hab ich das gestern gleich mal ausprobiert, und konnte innerhalb >> kürzeste Zeit etliche Services abschalten/ersetzen, cool. >> >> Weg mit SA und opendkim, beides von rspamd abgedeckt. > Wir machen DKIM auf User-Ebene. Das kann rspamd nicht. Du kannst mit dem DKIM C-Modul (nicht DKIM-Signing in LUA) eine eigene signing_condition bauen: https://rspamd.com/doc/modules/dkim.html So wäre es umsetzbar. > >> clamd habe ich eingebunden, postfwd erstmal abgeschaltet. >> >> Bei postfwd und postscreen bin ich noch am Abwägen, bzw. Lernen. Habt >> Ihr das gemeinsam mit rspamd im Einsatz, oder löst Ihr zB die >> RBL-Abfragen alle in rspamd? > Wir nutzen RBLs in postscreen und in rspamd. Ich würde ebenfalls die wichtigsten/seriösesten Listen per Postscreen abarbeiten, um den Overhead zu sparen. Nur via Rspamd würde bedeuten, dass erst alles bis zum DATA Command durchrasselt, inklusive der Nachricht, bevor dann entschieden wird, ob der Verbindungsversuch der IP überhaupt i.O. war. :-) Wenn eine WL eine BL in Postscreen neutralisiert (oder so), ist es natürlich gut, wenn Rspamd das noch irgendwie in das Rating inkludiert, daher finde ich die Lösung beides zu verwenden ebenfalls nicht verkehrt. >> Mir ist klar, da gibt es zig Wege, und nicht den einen richtigen, wie so >> oft. > ACK. :) > > p at rick > From ml at andreas-ziegler.de Sat Sep 9 22:57:09 2017 From: ml at andreas-ziegler.de (Andreas Ziegler) Date: Sat, 9 Sep 2017 22:57:09 +0200 Subject: =?UTF-8?Q?Re:_Minimale_Ressourcen_f=c3=bcr_Mailserver?= In-Reply-To: References: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> Message-ID: wir haben auch beobachtet, dass das über die letzten Jahre immer "schlimmer" geworden ist... sebastian at debianfan.de schrieb am 09.09.2017 um 20:28: > Clamav ist ne Speichersau From gregor at aeppelbroe.de Mon Sep 11 12:38:49 2017 From: gregor at aeppelbroe.de (Gregor Burck) Date: Mon, 11 Sep 2017 12:38:49 +0200 Subject: Minimale Ressourcen =?utf-8?b?ZsO8cg==?= Mailserver In-Reply-To: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> References: <20170908095218.EGroupware.owrdlCCFt56yz36G1CyxM2N@heim.aeppelbroe.de> Message-ID: <20170911123849.EGroupware.HRzsxp2ecJOgWaBSUlE0lCj@heim.aeppelbroe.de> > Clamav ist ne Speichersau Die Sau habe ich erst mal abgestochen,.. > SpamAssassin braucht CPU ohne Ende IMHO auf dem Server nicht das Problem. > > Sonst dürfte das eigentlich reichen Yep, sonst rennt es ganz gut mit egroupware als frontend. Grüße Gregor From lists at xunil.at Thu Sep 14 14:11:48 2017 From: lists at xunil.at (Stefan G. Weichinger) Date: Thu, 14 Sep 2017 14:11:48 +0200 Subject: Erfahrungen mit rspamd In-Reply-To: <0d3fbdeb-99ef-82c8-7068-2798e4efcae7@debinux.de> References: <1742698.glYZ1nrH2z@merkaba> <20170903184430.s2hef2bmbeqstnbb@sys4.de> <20170904164735.elfup5i7v7ugzbcp@sys4.de> <000301d325a4$6f3d29e0$4db77da0$@dpfa.de> <20170904195501.7d5wlt4jmuu6ly5s@sys4.de> <20170909175032.ouwgy5pj5blwvnlt@sys4.de> <0d3fbdeb-99ef-82c8-7068-2798e4efcae7@debinux.de> Message-ID: <62dfcdce-607e-ac9d-e582-1584f70825f1@xunil.at> Danke allen in diesem Thread für die informativen Antworten. Bislang sieht rspamd bei mir sehr gut aus .... und wahrscheinlich kommt es kommende Woche gleich auf den nächsten Server ;-) * fragt Ihr weiter SA-rules per sa-update ab und speist die in rspamd ein? Ist wohl auch wieder eine individuelle Entscheidung? * ich hab mir mal was für lokale BLs/WLs nachgebaut (von github gekupfert), klappt auch schon ... Macht Spaß, sich mit neuen Entwicklungen auseinander zu setzen ;-) Stefan From michael.stroehle at arz.at Fri Sep 15 08:57:35 2017 From: michael.stroehle at arz.at (michael.stroehle at arz.at) Date: Fri, 15 Sep 2017 08:57:35 +0200 Subject: Spamhaus DBL und ZRD Message-ID: Hallo, wir verwenden seit jeher Spamhaus ZEN (Kombi aus SBL, XBL, PBL), die wohl effizienteste RBL: https://www.intra2net.com/en/support/antispam/index.php_sort=accuracy_order=desc.html Seit einigen Wochen haben wir auch Domain Reputation DBL und ZRD konfiguriert, eingebunden via Spamassassin local.cf: #Spamhaus Account header __RCVD_IN_ZEN eval:check_rbl('zen', 'key.zen.dq.spamhaus.net.') header RCVD_IN_XBL eval:check_rbl('zen-lastexternal', ' key.zen.dq.spamhaus.net.', '127.0.0.[45678]') header RCVD_IN_PBL eval:check_rbl('zen-lastexternal', ' key.zen.dq.spamhaus.net.', '127.0.0.1[01]') uridnssub URIBL_SBL key.zen.dq.spamhaus.net. A 127.0.0.2 urirhssub URIBL_DBL_SPAM key.dbl.dq.spamhaus.net. A 127.0.1.2 urirhssub URIBL_DBL_ERROR key.dbl.dq.spamhaus.net. A 127.0.1.255 urirhssub URIBL_ZRD key.zrd.dq.spamhaus.net. A 127.0.2.2 Während wir Rejects für ZEN sehr wohl sehen, kam uns bis jetzt kein einziger Reject betreffend DBL oder ZRD unter. Auf Anfrage beim Spamhaus Support ob die Konfiguration denn i.O. wäre, kam bisweilen keine entsprechende Antwort. Verwendet jemand von euch bereits DBL und ZRD und sieht entsprechende Ergebnisse in seinen Logs? Danke und Grüße Ing. Michael Ströhle Systems Engineering / UNIX Systems Allgemeines Rechenzentrum GmbH A-6020 Innsbruck, Tschamler-Straße 2 Tel.: +43 / (0)50 4009-1481 http://www.arz.at -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Sep 15 10:44:13 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 15 Sep 2017 10:44:13 +0200 Subject: Spamhaus DBL und ZRD In-Reply-To: References: Message-ID: <20170915084413.wd3volkybtbk4n6g@charite.de> * michael.stroehle at arz.at : > uridnssub URIBL_SBL key.zen.dq.spamhaus.net. A 127.0.0.2 > urirhssub URIBL_DBL_SPAM key.dbl.dq.spamhaus.net. A 127.0.1.2 > urirhssub URIBL_DBL_ERROR key.dbl.dq.spamhaus.net. A 127.0.1.255 > urirhssub URIBL_ZRD key.zrd.dq.spamhaus.net. A 127.0.2.2 > > Während wir Rejects für ZEN sehr wohl sehen, kam uns bis jetzt kein > einziger Reject betreffend DBL oder ZRD unter. > Auf Anfrage beim Spamhaus Support ob die Konfiguration denn i.O. wäre, kam > bisweilen keine entsprechende Antwort. DBL ist standardmäßig in den SA Regeln drin, ich sehe: /var/log/mail.log-20170908.xz:217 /var/log/mail.log-20170909.xz:82 /var/log/mail.log-20170910.xz:42 /var/log/mail.log-20170911.xz:180 /var/log/mail.log-20170912.xz:266 /var/log/mail.log-20170913.xz:237 /var/log/mail.log-20170914:464 /var/log/mail.log:60 > Verwendet jemand von euch bereits DBL und ZRD und sieht entsprechende > Ergebnisse in seinen Logs? ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt: *** snip *** urirhssub URIBL_ZRD zrd.spamhaus.org. A 127.0.2.2 body URIBL_ZRD eval:check_uridnsbl('URIBL_ZRD') describe URIBL_ZRD Contains a recently registered domain listed in the ZRD blocklist tflags URIBL_ZRD net domains_only score URIBL_ZRD 0 2.5 0 2.5 *** snip *** aus den Fingern gesogen! Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2 habe ich nirgendwo gefunden, Doku ist nicht-existent. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From w.flamme at web.de Fri Sep 15 11:26:57 2017 From: w.flamme at web.de (Werner Flamme) Date: Fri, 15 Sep 2017 11:26:57 +0200 Subject: Spamhaus DBL und ZRD In-Reply-To: <20170915084413.wd3volkybtbk4n6g@charite.de> References: <20170915084413.wd3volkybtbk4n6g@charite.de> Message-ID: <63c6de3e-3967-44a3-a79e-87a2a9791ba9@web.de> Ralf Hildebrandt [15.09.2017 10:44]: > > ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt: > > *** snip *** > urirhssub URIBL_ZRD zrd.spamhaus.org. A 127.0.2.2 > body URIBL_ZRD eval:check_uridnsbl('URIBL_ZRD') > describe URIBL_ZRD Contains a recently registered domain listed in the ZRD blocklist > tflags URIBL_ZRD net domains_only > > score URIBL_ZRD 0 2.5 0 2.5 > *** snip *** > > aus den Fingern gesogen! > > Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2 > habe ich nirgendwo gefunden, Doku ist nicht-existent. > Ich vermute, Du kannst den Support fragen, wenn Du eine Testfreigabe auf beantragst ;) Werner -- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: OpenPGP digital signature URL : From michael.stroehle at arz.at Fri Sep 15 11:29:34 2017 From: michael.stroehle at arz.at (=?ISO-8859-1?Q?Michael_Str=F6hle?=) Date: Fri, 15 Sep 2017 11:29:34 +0200 Subject: Spamhaus DBL und ZRD In-Reply-To: <20170915084413.wd3volkybtbk4n6g@charite.de> References: <20170915084413.wd3volkybtbk4n6g@charite.de> Message-ID: Ralf Hildebrandt wrote on 15.09.2017 10:44:13: > DBL ist standardmäßig in den SA Regeln drin, ich sehe: > > /var/log/mail.log-20170908.xz:217 > /var/log/mail.log-20170909.xz:82 > /var/log/mail.log-20170910.xz:42 > /var/log/mail.log-20170911.xz:180 > /var/log/mail.log-20170912.xz:266 > /var/log/mail.log-20170913.xz:237 > /var/log/mail.log-20170914:464 > /var/log/mail.log:60 Danke, ich checke das nochmal. > ZRD finde ich quasi nix nutzbares im Netz, ich habe mir jetzt: > > *** snip *** > urirhssub URIBL_ZRD zrd.spamhaus.org. A 127.0.2.2 > body URIBL_ZRD eval:check_uridnsbl('URIBL_ZRD') > describe URIBL_ZRD Contains a recently registered domain > listed in the ZRD blocklist > tflags URIBL_ZRD net domains_only > > score URIBL_ZRD 0 2.5 0 2.5 > *** snip *** > > aus den Fingern gesogen! > > Wo findet man Infos, welche Returncodes diese BL liefert? 127.0.2.2 > habe ich nirgendwo gefunden, Doku ist nicht-existent. Ging mir genauso, ZRD als neues Feature angepriesen bekommen, Doku analog ZEN jedoch keine verfügbar. Retourncodes für ZRD: dig zrdtest.com..zrd.dq.spamhaus.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41598 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;zrdtest.com..zrd.dq.spamhaus.net. IN A ;; ANSWER SECTION: zrdtest.com..zrd.dq.spamhaus.net. 60 IN A 127.0.2.2 Die fehlende Doku ist natürlich schwach. Danke Ing. Michael Ströhle Systems Engineering / UNIX Systems Allgemeines Rechenzentrum GmbH A-6020 Innsbruck, Tschamler-Straße 2 Tel.: +43 / (0)50 4009-1481 http://www.arz.at From Ralf.Hildebrandt at charite.de Fri Sep 15 11:34:44 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 15 Sep 2017 11:34:44 +0200 Subject: Spamhaus DBL und ZRD In-Reply-To: References: <20170915084413.wd3volkybtbk4n6g@charite.de> Message-ID: <20170915093444.kitjkbpraoh7dhxt@charite.de> > > *** snip *** > > urirhssub URIBL_ZRD zrd.spamhaus.org. A 127.0.2.2 > > body URIBL_ZRD eval:check_uridnsbl('URIBL_ZRD') > > describe URIBL_ZRD Contains a recently registered domain > > listed in the ZRD blocklist > > tflags URIBL_ZRD net domains_only > > > > score URIBL_ZRD 0 2.5 0 2.5 > > *** snip *** War übrigens falsch: uridnsbl URIBL_ZRD zrd.spamhaus.org. A statt urirhssub URIBL_ZRD zrd.spamhaus.org. A 127.0.2.2 Ich habe jetzt mal bei DFN angefragt, die haben für uns alle (?) Spamhaus Zonen lizensiert... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From juergen.gmach at apis.de Fri Sep 15 11:47:41 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Fri, 15 Sep 2017 11:47:41 +0200 Subject: Command died with status 1 sendet Traceback Message-ID: <21dd804d5e1cd3595262a19159a8b68c@apis-intern.com> Eingehende E-Mails an eine bestimmte E-Mail-Adresse werden per Pipe in der .forward-Datei an ein Python-Script geschickt. Wird bei der Ausführung des Python-Scripts eine unbehandelte Exception geworfen, wird diese dem Sender als bounce geschickt. Welche Möglichkeiten habe ich das zu verhindern? - Postfix umkonfigurieren? Der bounce-Text oberhalb des Tracebacks kommt aus einer bounce.cf, wie der Traceback reinkommt ist mir im Moment noch nicht klar - im Python-Script um die main-Methode einen Try/Except-Block wickeln, der alles abfängt - in der .forward-Datei nach dem Script-Aufruf ein '|command > /dev/null 2>&1 ' den Output nach dev null zu schicken? Ich habe leider im Moment keine E-Mail zur Hand, die die unbehandelte Exception triggert. Vielen Dank für Eure Hilfe! -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From wn at neessen.net Fri Sep 15 11:53:28 2017 From: wn at neessen.net (Winfried Neessen) Date: Fri, 15 Sep 2017 11:53:28 +0200 Subject: Command died with status 1 sendet Traceback In-Reply-To: <21dd804d5e1cd3595262a19159a8b68c@apis-intern.com> References: <21dd804d5e1cd3595262a19159a8b68c@apis-intern.com> Message-ID: <21BF7B19-4321-4172-B1A0-F274F1EE515B@neessen.net> Hi, Am 15.09.2017 um 11:47 schrieb Jürgen Gmach : > Welche Möglichkeiten habe ich das zu verhindern? Das kannst Du ueber die Exit-Codes regeln. Hier mal ein Beispiel aus einem Script: ,--- | ## Variables | EX_TEMPFAIL=75 ## Exit code for temp. fail | EX_UNAVAILABLE=69 ## Exit code for unavailable | [...] | ## Write temporary file | ${CAT} > "${TEMPFILE}" || { | echo "Cannot save mail to temporary file."; exit ${EX_TEMPFAIL}; `--- Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 801 bytes Beschreibung: Message signed with OpenPGP URL : From juergen.gmach at apis.de Fri Sep 15 12:10:23 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Fri, 15 Sep 2017 12:10:23 +0200 Subject: Command died with status 1 sendet Traceback In-Reply-To: <21BF7B19-4321-4172-B1A0-F274F1EE515B@neessen.net> References: <21dd804d5e1cd3595262a19159a8b68c@apis-intern.com> <21BF7B19-4321-4172-B1A0-F274F1EE515B@neessen.net> Message-ID: Hallo Winni, danke schon mal für den Ansatz. Woher weiß ich nun noch bei welchen Fehlercodes Postfix die Fehlermeldung als bounce verschickt? Bei allen außer der 0? Ein Quickfix wäre dann auf jeden Fall schon mal ein sys.exit(0) im Except-Block des Python-Scripts. Gruß, -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From postfix at linuxmaker.com Fri Sep 15 12:50:25 2017 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Fri, 15 Sep 2017 12:50:25 +0200 Subject: Autoresponser mit HTML und Anhang als Reaktion auf Subject-Inhalte Message-ID: <1666040.rq17lsXcEy@stuttgart> Hallo zusammen, mich interessiert wie ich auf Postfix mit Dovecot einen Autoresponser einrichten kann, der nur auf ganz bestimmte Mails eine automatisierte Antwortmail sendet. Als Filterkriterium sollten Begriffe im Subject wie "Projektangebot", "Projekt", "Anfrage" herhalten. Zusätzlich sollte ich die Vorlage so mit Vi vorbereiten, dass die Antwortmail HMTL-Formatierung beinhaltet und eine vorbereitete PDF-Datei als Attachement mitgeschickt wird. Habt Ihr für mich brauchbare Ideen, respektive Erklärung für die Realisation? Beste Grüße Andreas From jost+lists at dimejo.at Fri Sep 15 15:24:08 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Fri, 15 Sep 2017 15:24:08 +0200 Subject: Autoresponser mit HTML und Anhang als Reaktion auf Subject-Inhalte In-Reply-To: <1666040.rq17lsXcEy@stuttgart> References: <1666040.rq17lsXcEy@stuttgart> Message-ID: <5bc13bd2-60f5-5bcc-3e00-767be46e02ad@dimejo.at> Am 15.09.2017 um 12:50 schrieb Andreas Günther: > Hallo zusammen, > > mich interessiert wie ich auf Postfix mit Dovecot einen Autoresponser > einrichten kann, der nur auf ganz bestimmte Mails eine automatisierte > Antwortmail sendet. > Als Filterkriterium sollten Begriffe im Subject wie "Projektangebot", > "Projekt", "Anfrage" herhalten. > Zusätzlich sollte ich die Vorlage so mit Vi vorbereiten, dass die Antwortmail > HMTL-Formatierung beinhaltet und eine vorbereitete PDF-Datei als Attachement > mitgeschickt wird. > > Habt Ihr für mich brauchbare Ideen, respektive Erklärung für die Realisation? Das sollte mit der Vacation-Erweiterung von Sieve machbar sein. Ich weiss nur nicht, wie sich das mit dem MIME Teil verträgt. Das habe ich nie getestet. -- Alex JOST From anmeyer at mailbox.org Fri Sep 15 22:24:54 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 15 Sep 2017 22:24:54 +0200 Subject: Mailzustellung =?UTF-8?B?ZsO8cg==?= einen bestimmten Benutzer unterbinden Message-ID: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> Hallo! Ich möchte die Zustellung von email für einen bestimmten Systembenutzer unterbinden. Dazu habe ich eine forbidden_recipients Datei angelegt und mit postmap gehashed. # cat forbidden_recipients REJECT Eingebunden wie folgt smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/access_sender, check_recipient_access hash:/etc/postfix/forbidden_recipients, permit_mynetworks, #check_recipient_access hash:/etc/postfix/hold, reject_authenticated_sender_login_mismatch, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unknown_sender_domain, check_sender_access pcre:/etc/postfix/umlaute.pcre, check_recipient_access pcre:/etc/postfix/umlaute.pcre, reject_unauth_destination, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client spam.bl.alt-backspace.org, reject_rbl_client spamtrap.bl.alt-backspace.org, reject_rbl_client ix.dnsbl.manitu.net, check_client_access cidr:/etc/postfix/client.cidr, check_policy_service inet:127.0.0.1:10023, Aber die Regel greift nicht, email an den Benutzer wird zugestellt. Warum? Hat jemand einen Tip? Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From anmeyer at mailbox.org Fri Sep 15 23:07:55 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 15 Sep 2017 23:07:55 +0200 Subject: Mailzustellung =?UTF-8?B?ZsO8cg==?= einen bestimmten Benutzer unterbinden In-Reply-To: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> Message-ID: <20170915230755.64cd52ce@workstation.bitcorner.intern> Andreas Meyer schrieb am 15.09.17 um 22:24:54 Uhr: > # cat forbidden_recipients > REJECT muss heißen REJECT dann funktioniert das auch. Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From fstoyan at swapon.de Sun Sep 17 16:37:37 2017 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Sun, 17 Sep 2017 16:37:37 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt Message-ID: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> Liebe Mailserverbetreiber! Ich habe meinen internen Mailserver auf Debian 9.1 geupdatet. Leider ist dabei das zertifikatsbasierende Relaying kaputt gegangen. Folgendes Setup: Ein Client zeigt sein Zertifikat vor und wird anhand des SHA1 Fingerprints für das Relaying erlaubt. Die relevante Konfiguration: # TLS parameters # TLS Server smtpd_tls_fingerprint_digest = sha1 smtpd_tls_loglevel = 2 smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/postfix/certs/mail-smtpd.crt smtpd_tls_key_file = /etc/postfix/certs/mail-smtpd.key smtpd_tls_CApath = /etc/ssl/certs smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem smtpd_tls_ask_ccert = yes smtpd_tls_security_level = may smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls=yes # list of clientcerts for the permit_tls_clientcerts feature relay_clientcerts = btree:/etc/postfix/relay_clientcerts # relay checks smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/discards permit_mynetworks #permit_tls_clientcerts check_ccert_access btree:/etc/postfix/relay_clientcerts reject_unauth_destination ... permit $ cat /etc/postfix/relay_clientcerts 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91 OK E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 OK Im Logfile sieht das dann so aus: Sep 17 15:55:15 intrepid postfix/smtpd[25651]: excelsior.lab.swapon.de[192.168.19.10]: subject_CN=excelsior.lab.swapon.de, issuer=CA, fingerprint=86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91, pkey_fingerprint=E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 Sep 17 15:55:15 intrepid postfix/smtpd[25651]: Trusted TLS connection established from excelsior.lab.swapon.de[192.168.19.10]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Sep 17 15:55:15 intrepid postfix/smtpd[25651]: NOQUEUE: reject: RCPT from excelsior.lab.swapon.de[192.168.19.10]: 454 4.7.1 : Relay access denied; from= to= proto=ESMTP helo= Für mich sieht das so aus, als ob permit_tls_clientcerts oder auch check_ccert_access völlig ohne Wirkung bleiben. Obwohl ja der Fingerprint im Logfile korrekt angezeigt wird. Manuell kann ich diesen auch finden: $ postmap -q E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 /etc/postfix/relay_clientcerts OK $ postmap -q 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91 /etc/postfix/relay_clientcerts OK Vor dem Upgrade klappe alles wunderbar. Irgendwie bin ich jetzt ratlos. Hat jemand eine Idee, oder das selbe Problem? mfg Friedemann From p.heinlein at heinlein-support.de Sun Sep 17 21:12:32 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sun, 17 Sep 2017 21:12:32 +0200 Subject: =?UTF-8?Q?Re:_Mailzustellung_f=c3=bcr_einen_bestimmten_Benutzer_unt?= =?UTF-8?Q?erbinden?= In-Reply-To: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> Message-ID: Am 15.09.2017 um 22:24 schrieb Andreas Meyer: > smtpd_recipient_restrictions = > check_sender_access hash:/etc/postfix/access_sender, > check_recipient_access hash:/etc/postfix/forbidden_recipients, Würde nicht greifen können, wenn die Mail über ein Pipe an /usr/sbin/sendmail eingeliefert wird. Ich fände ein user at example.com error: in /etc/postfix/transport da eleganter. Peer From anmeyer at mailbox.org Sun Sep 17 21:51:43 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 17 Sep 2017 21:51:43 +0200 Subject: Mailzustellung =?UTF-8?B?ZsO8cg==?= einen bestimmten Benutzer unterbinden In-Reply-To: References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> Message-ID: <20170917215143.524437bd@workstation.bitcorner.intern> Peer Heinlein schrieb am 17.09.17 um 21:12:32 Uhr: > Am 15.09.2017 um 22:24 schrieb Andreas Meyer: > > > smtpd_recipient_restrictions = > > check_sender_access hash:/etc/postfix/access_sender, > > check_recipient_access hash:/etc/postfix/forbidden_recipients, > > Würde nicht greifen können, wenn die Mail über ein Pipe an > /usr/sbin/sendmail eingeliefert wird. > > Ich fände ein > > user at example.com error: > > in /etc/postfix/transport da eleganter. Umgesetzt und funktioniert. Gut! Recipient address rejected: Address is undeliverable; Danke und Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From anmeyer at mailbox.org Sun Sep 17 22:33:37 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 17 Sep 2017 22:33:37 +0200 Subject: Frage zur Message-ID Message-ID: <20170917223337.3d46b99d@workstation.bitcorner.intern> Hallo! Weis jemand, in welchem Modul oder Zustellungsabschnitt der empfangende Postfix eine Message-ID erstellt? Wenn ich per header_checks die Message-ID ausblende, erzeugt den empfangende Postfix eine eigene mit dem Hostnamen. Hintergrund ist, ich erreiche damit, dass die vom MUA erzeugte Message-ID, die Hinweise auf das interne LAN gibt, ausgeblendet wird. Dass der MTA dann eine neue erzeugt ist ok. Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From jra at byte.cx Mon Sep 18 00:30:32 2017 From: jra at byte.cx (Jens Adam) Date: Mon, 18 Sep 2017 00:30:32 +0200 Subject: Frage zur Message-ID In-Reply-To: <20170917223337.3d46b99d@workstation.bitcorner.intern> References: <20170917223337.3d46b99d@workstation.bitcorner.intern> Message-ID: <77E25D69-8E35-42FC-9AD2-AA560F3954FA@byte.cx> > Am 17.09.2017 um 22:33 schrieb Andreas Meyer : > > Hallo! > > Weis jemand, in welchem Modul oder Zustellungsabschnitt > der empfangende Postfix eine Message-ID erstellt? http://www.postfix.org/OVERVIEW.html -> cleanup(8) --byte -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 455 bytes Beschreibung: Message signed with OpenPGP URL : From postfixer99 at gmail.com Mon Sep 18 09:11:00 2017 From: postfixer99 at gmail.com (Carsten) Date: Mon, 18 Sep 2017 09:11:00 +0200 Subject: =?UTF-8?Q?Mails_an_Kopie-Empf=c3=a4nger_kommen_bei_submission_2x_an?= =?UTF-8?Q?=2c_von_extern_nur_1x!?= Message-ID: Hallo zusammen, ich habe ein Postfach "postfach at domain.de" und "kopie at domain.de". Alle Mails, die an die "postfach@" Adresse geschickt werden, sollen zusätzlich an kopie at domain.de geschickt werden. Ich habe bei meiner Konfiguration das Problem, dass Mails 1x im postfach@ eintreffen und 2x in kopie@ eintreffen, jedoch nur, wenn die Absendermail per submission über den gleichen Server versandt wird. Bei Mails von extern an postfach at domain.de liegen die mails jeweils nur 1x in den Postfächern. Konfiguration (main.cf): ------------------------ relay_domains = proxy:mysql:/etc/postfix/mysql-transport.cf virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql-transport.cf query = SELECT 'lmtp:unix:private/lmtp-dovecot' FROM domains WHERE domain='%s' mysql-virtual_forwardings.cf query = SELECT destination FROM email_weiterleitung WHERE source='%s' In "destination" der Tabelle "email_weiterleitung" steht "postfach at domain.de,kopie at domain.de" Im Log sieht man auch, wie bei submission aus 2 auf einmal 3 Empfänger werden. Sep 18 08:54:23 mein-mailserver postfix/qmgr[22760]: E5BD29F782: from=, size=2855, nrcpt=2 (queue active) Sep 18 08:54:24 mein-mailserver postfix/qmgr[22760]: BF1BE9F7A5: from=, size=3551, nrcpt=3 (queue active) Die ursprüngliche Mail E5BD29F782 kommt nur 1 x an. Warum wird hier eine weitere Mail BF1BE9F7A5 erzeugt? Habt Ihr eine Idee? Danke und Gruß Carsten postfix 2.9.6-2 dovecot 2.1.7-7+deb7u1 amavis 2.7.1-2 === Mail von extern - alles OK ====== Sep 18 08:53:41 mein-mailserver postfix/smtpd[23498]: connect from localhost[127.0.0.1] Sep 18 08:53:41 mein-mailserver postfix/smtpd[23498]: AE5189F782: client=localhost[127.0.0.1], orig_client=mail-wm0-f50.google.com[74.125.82.50] Sep 18 08:53:41 mein-mailserver postfix/cleanup[23499]: AE5189F782: message-id= Sep 18 08:53:41 mein-mailserver postfix/qmgr[22760]: AE5189F782: from=, size=3717, nrcpt=2 (queue active) Sep 18 08:53:41 mein-mailserver postfix/smtpd[23498]: disconnect from localhost[127.0.0.1] Sep 18 08:53:41 mein-mailserver dovecot: lmtp(23960): Connect from local Sep 18 08:53:41 mein-mailserver dovecot: lmtp(23960, kopie at domain.de): V3vpADVtv1mYXQAANrkHzQ: msgid=: saved mail to INBOX Sep 18 08:53:41 mein-mailserver postfix/lmtp[23500]: AE5189F782: to=, orig_to=, relay=mx.mein-server.de[private/lmtp-dovecot], delay=0.01, delays=0/0/0/0, dsn=2.0.0, status=sent (250 2.0.0 V3vpADVtv1mYXQAANrkHzQ Saved) Sep 18 08:53:41 mein-mailserver dovecot: lmtp(23960, postfach at domain.de): V3vpADVtv1mYXQAANrkHzQ: msgid=: saved mail to INBOX Sep 18 08:53:41 mein-mailserver dovecot: lmtp(23960): Disconnect from local: Successful quit Sep 18 08:53:41 mein-mailserver postfix/lmtp[23500]: AE5189F782: to=, relay=mx.mein-server.de[private/lmtp-dovecot], delay=0.01, delays=0/0/0/0, dsn=2.0.0, status=sent (250 2.0.0 V3vpADVtv1mYXQAANrkHzQ Saved) Sep 18 08:53:41 mein-mailserver postfix/qmgr[22760]: AE5189F782: removed Sep 18 08:53:41 mein-mailserver postfix/smtpd[23074]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as AE5189F782; from= to= proto=ESMTP helo= Sep 18 08:53:41 mein-mailserver postfix/smtpd[23074]: disconnect from mail-wm0-f50.google.com[74.125.82.50] === Mail von intern/submission - Hier kommt die Mail im kopie-Postfach 2x an ====== Sep 18 08:54:22 mein-mailserver postfix/submission/smtpd[24104]: connect from unknown[31.xx.xxx.xxx] Sep 18 08:54:22 mein-mailserver postfix/submission/smtpd[24104]: Anonymous TLS connection established from unknown[31.xx.xxx.xxx]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits) Sep 18 08:54:22 mein-mailserver postfix/submission/smtpd[24104]: E5BD29F782: client=unknown[31.xx.xxx.xxx], sasl_method=DIGEST-MD5, sasl_username=mail at domain.de Sep 18 08:54:23 mein-mailserver postfix/cleanup[23499]: E5BD29F782: message-id=<00a401d3304a$f59c9830$e0d5c890$@domain.de> Sep 18 08:54:23 mein-mailserver postfix/qmgr[22760]: E5BD29F782: from=, size=2855, nrcpt=2 (queue active) Sep 18 08:54:23 mein-mailserver postfix/smtp[23513]: connect to localhost[::1]:10030: Connection refused Sep 18 08:54:24 mein-mailserver postfix/smtpd[23830]: connect from localhost[127.0.0.1] Sep 18 08:54:24 mein-mailserver postfix/smtpd[23830]: BF1BE9F7A5: client=localhost[127.0.0.1] Sep 18 08:54:24 mein-mailserver postfix/cleanup[23499]: BF1BE9F7A5: message-id=<00a401d3304a$f59c9830$e0d5c890$@domain.de> Sep 18 08:54:24 mein-mailserver postfix/qmgr[22760]: BF1BE9F7A5: from=, size=3551, nrcpt=3 (queue active) Sep 18 08:54:24 mein-mailserver dovecot: lmtp(23960): Connect from local Sep 18 08:54:24 mein-mailserver dovecot: lmtp(23960, kopie at domain.de): W3vpADVtv1mYXQAANrkHzQ: msgid=<00a401d3304a$f59c9830$e0d5c890$@domain.de>: saved mail to INBOX Sep 18 08:54:24 mein-mailserver postfix/lmtp[23500]: BF1BE9F7A5: to=, relay=mx.mein-server.de[private/lmtp-dovecot], delay=0.01, delays=0/0/0/0, dsn=2.0.0, status=sent (250 2.0.0 W3vpADVtv1mYXQAANrkHzQ Saved) Sep 18 08:54:24 mein-mailserver postfix/smtp[23513]: E5BD29F782: to=, orig_to=, relay=localhost[127.0.0.1]:10030, delay=1.9, delays=0.13/0/0.01/1.7, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as BF1BE9F7A5) Sep 18 08:54:24 mein-mailserver postfix/smtp[23513]: E5BD29F782: to=, relay=localhost[127.0.0.1]:10030, delay=1.9, delays=0.13/0/0.01/1.7, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as BF1BE9F7A5) Sep 18 08:54:24 mein-mailserver dovecot: lmtp(23960, kopie at domain.de): W3vpADVtv1mYXQAANrkHzQ: msgid=<00a401d3304a$f59c9830$e0d5c890$@domain.de>: saved mail to INBOX Sep 18 08:54:24 mein-mailserver postfix/lmtp[23500]: BF1BE9F7A5: to=, orig_to=, relay=mx.mein-server.de[private/lmtp-dovecot], delay=0.01, delays=0/0/0/0.01, dsn=2.0.0, status=sent (250 2.0.0 W3vpADVtv1mYXQAANrkHzQ Saved) Sep 18 08:54:24 mein-mailserver postfix/qmgr[22760]: E5BD29F782: removed Sep 18 08:54:24 mein-mailserver dovecot: lmtp(23960, postfach at domain.de): W3vpADVtv1mYXQAANrkHzQ: msgid=<00a401d3304a$f59c9830$e0d5c890$@domain.de>: saved mail to INBOX Sep 18 08:54:24 mein-mailserver dovecot: lmtp(23960): Disconnect from local: Successful quit Sep 18 08:54:24 mein-mailserver postfix/lmtp[23500]: BF1BE9F7A5: to=, relay=mx.mein-server.de[private/lmtp-dovecot], delay=0.01, delays=0/0/0/0.01, dsn=2.0.0, status=sent (250 2.0.0 W3vpADVtv1mYXQAANrkHzQ Saved) Sep 18 08:54:24 mein-mailserver postfix/qmgr[22760]: BF1BE9F7A5: removed From andreas.schulze at datev.de Mon Sep 18 09:19:16 2017 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 18 Sep 2017 09:19:16 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> Message-ID: <183a79b8-e533-79da-f219-f80cdb480be7@datev.de> Am 17.09.2017 um 16:37 schrieb Friedemann Stoyan: > Liebe Mailserverbetreiber! > > Ich habe meinen internen Mailserver auf Debian 9.1 geupdatet. Leider ist dabei > das zertifikatsbasierende Relaying kaputt gegangen. > > Folgendes Setup: Ein Client zeigt sein Zertifikat vor und wird anhand des SHA1 > Fingerprints für das Relaying erlaubt. > > Die relevante Konfiguration: > > # TLS parameters > # TLS Server > smtpd_tls_fingerprint_digest = sha1 > smtpd_tls_loglevel = 2 > smtpd_tls_auth_only = yes > smtpd_tls_cert_file = /etc/postfix/certs/mail-smtpd.crt > smtpd_tls_key_file = /etc/postfix/certs/mail-smtpd.key > smtpd_tls_CApath = /etc/ssl/certs > smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem > smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem > smtpd_tls_ask_ccert = yes > smtpd_tls_security_level = may > smtpd_tls_received_header = yes > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache Da Du von Debian 9.1 sprichst, gehe ich von postfix-3.1.4 aus. Und *da* würde ich den Default-Wert (leer) bleiben. siehe http://marc.info/?l=postfix-users&m=143796843615367 > smtpd_tls_session_cache_timeout = 3600s Default-Wert, hat eigentlich nichts in der main.cf zu suchen > smtpd_use_tls=yes löschen, ab postfix 2.3 wird TLS über smtpd_tls_security_level gesteuert > > # list of clientcerts for the permit_tls_clientcerts feature > relay_clientcerts = btree:/etc/postfix/relay_clientcerts > > # relay checks > smtpd_recipient_restrictions = > check_recipient_access btree:/etc/postfix/discards > permit_mynetworks > #permit_tls_clientcerts > check_ccert_access btree:/etc/postfix/relay_clientcerts > reject_unauth_destination > ... > permit > > > $ cat /etc/postfix/relay_clientcerts > 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91 OK > E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 OK Du hast offenbar aus $Verzweiflung? den Fingerprint des Zertifikates und des Öffentlichen Schlüssels in der relay_clientcerts. ( postmap & reload nicht vergessen??? ) > Im Logfile sieht das dann so aus: > > Sep 17 15:55:15 intrepid postfix/smtpd[25651]: excelsior.lab.swapon.de[192.168.19.10]: subject_CN=excelsior.lab.swapon.de, issuer=CA, fingerprint=86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91, pkey_fingerprint=E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 > Sep 17 15:55:15 intrepid postfix/smtpd[25651]: Trusted TLS connection established from excelsior.lab.swapon.de[192.168.19.10]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) > Sep 17 15:55:15 intrepid postfix/smtpd[25651]: NOQUEUE: reject: RCPT from excelsior.lab.swapon.de[192.168.19.10]: 454 4.7.1 : Relay access denied; from= to= proto=ESMTP helo= > > Für mich sieht das so aus, als ob permit_tls_clientcerts oder auch check_ccert_access > völlig ohne Wirkung bleiben. Obwohl ja der Fingerprint im Logfile korrekt > angezeigt wird. Manuell kann ich diesen auch finden: > > $ postmap -q E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 /etc/postfix/relay_clientcerts > OK > $ postmap -q 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91 /etc/postfix/relay_clientcerts > OK > > Vor dem Upgrade klappe alles wunderbar. Irgendwie bin ich jetzt ratlos. Hat > jemand eine Idee, oder das selbe Problem? bis auf die 3 Punkte oben schaut's eigentlich ordentlich aus. Ich habe ein ähnliches Setup (aber halt kein Debian Postfix). Ansonsten kannst Du mal mit # postconf -e "debug_peer_list=192.168.19.10"; postfix reload debugging für den Client anschalten und schauen, mit welchen Parametern Postfix in welche Map reingeht und was da für Ergebnisse kommen. Ansonsten ist die inline-map auch schick zum Probieren: check_ccert_access inline:{E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86=permit_auth_destination} um testweise Probleme mit btree auszuschließen :-) > > mfg Friedemann > Andreas -- A. Schulze DATEV eG From cite at incertum.net Mon Sep 18 09:45:03 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Mon, 18 Sep 2017 09:45:03 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> Message-ID: <20170918074503.nrihpdvxjl77u7ik@physadeia.incertum.net> * Friedemann Stoyan : > Für mich sieht das so aus, als ob permit_tls_clientcerts oder auch check_ccert_access > völlig ohne Wirkung bleiben. Obwohl ja der Fingerprint im Logfile korrekt > angezeigt wird. Manuell kann ich diesen auch finden: Ist da evt. der "compatibility level" hoch gesetzt worden und Du hast jetzt ein nicht-leeres "smtpd_relay_restrictions"-Setting? Ciao, Stefan From Hajo.Locke at gmx.de Mon Sep 18 10:10:56 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 18 Sep 2017 10:10:56 +0200 Subject: =?UTF-8?Q?Re:_Mailzustellung_f=c3=bcr_einen_bestimmten_Benutzer_unt?= =?UTF-8?Q?erbinden?= In-Reply-To: <20170917215143.524437bd@workstation.bitcorner.intern> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> <20170917215143.524437bd@workstation.bitcorner.intern> Message-ID: <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> Hallo, Am 17.09.2017 um 21:51 schrieb Andreas Meyer: > > Peer Heinlein schrieb am 17.09.17 um 21:12:32 Uhr: > >> Am 15.09.2017 um 22:24 schrieb Andreas Meyer: >> >>> smtpd_recipient_restrictions = >>> check_sender_access hash:/etc/postfix/access_sender, >>> check_recipient_access hash:/etc/postfix/forbidden_recipients, >> Würde nicht greifen können, wenn die Mail über ein Pipe an >> /usr/sbin/sendmail eingeliefert wird. >> >> Ich fände ein >> >> user at example.com error: >> >> in /etc/postfix/transport da eleganter. > Umgesetzt und funktioniert. Gut! > > Recipient address rejected: Address is undeliverable; Funktioniert das auch korrekt bei einem Eingang von außen? Ich hatte in Erinnerung, dass da dein Server eine Bouncemail erzeugt, anstatt die Mail wirklich zu rejecten. Stichwort backscatterer. > > Danke und Grüße > > Andreas Hajo From Ralf.Hildebrandt at charite.de Mon Sep 18 10:12:13 2017 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 18 Sep 2017 10:12:13 +0200 Subject: Frage zur Message-ID In-Reply-To: <20170917223337.3d46b99d@workstation.bitcorner.intern> References: <20170917223337.3d46b99d@workstation.bitcorner.intern> Message-ID: <20170918081213.c25io75gb34b6k3j@charite.de> * Andreas Meyer : > Hallo! > > Weis jemand, in welchem Modul oder Zustellungsabschnitt > der empfangende Postfix eine Message-ID erstellt? cleanup > Wenn ich per header_checks die Message-ID ausblende, > erzeugt den empfangende Postfix eine eigene mit dem > Hostnamen. > > Hintergrund ist, ich erreiche damit, dass die vom > MUA erzeugte Message-ID, die Hinweise auf das interne > LAN gibt, ausgeblendet wird. Dass der MTA dann eine > neue erzeugt ist ok. > > Andreas -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From p.heinlein at heinlein-support.de Mon Sep 18 11:05:23 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Mon, 18 Sep 2017 11:05:23 +0200 Subject: =?UTF-8?Q?Re:_Mailzustellung_f=c3=bcr_einen_bestimmten_Benutzer_unt?= =?UTF-8?Q?erbinden?= In-Reply-To: <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> <20170917215143.524437bd@workstation.bitcorner.intern> <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> Message-ID: <687a54d4-5a9a-f673-d9eb-a1481286d439@heinlein-support.de> On 18.09.2017 10:10, Hajo Locke wrote: >> > Funktioniert das auch korrekt bei einem Eingang von außen? Ich hatte in > Erinnerung, dass da dein Server eine Bouncemail erzeugt, anstatt die > Mail wirklich zu rejecten. Stichwort backscatterer. Probier's doch. :-) Ja, das funktioniert auch von außen. Postfix ist einfach zu intelligent für Blödsinn. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From anmeyer at mailbox.org Mon Sep 18 11:47:13 2017 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 18 Sep 2017 11:47:13 +0200 Subject: Mailzustellung =?UTF-8?B?ZsO8cg==?= einen bestimmten Benutzer unterbinden In-Reply-To: <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> <20170917215143.524437bd@workstation.bitcorner.intern> <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> Message-ID: <20170918114713.2ff20909.anmeyer@mailbox.org> Hajo Locke schrieb am 18.09.17 um 10:10:56 Uhr: > >> Ich fände ein > >> > >> user at example.com error: > >> > >> in /etc/postfix/transport da eleganter. > > Umgesetzt und funktioniert. Gut! > > > > Recipient address rejected: Address is undeliverable; > Funktioniert das auch korrekt bei einem Eingang von außen? Ich hatte in > Erinnerung, dass da dein Server eine Bouncemail erzeugt, anstatt die > Mail wirklich zu rejecten. Stichwort backscatterer. Postfix nimmt die mail erst gar nicht an, der MUA wird sie nicht los. dig backscatterer.de ANSWER: 0 :-) Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Hajo.Locke at gmx.de Mon Sep 18 13:14:39 2017 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 18 Sep 2017 13:14:39 +0200 Subject: =?UTF-8?Q?Re:_Mailzustellung_f=c3=bcr_einen_bestimmten_Benutzer_unt?= =?UTF-8?Q?erbinden?= In-Reply-To: <20170918114713.2ff20909.anmeyer@mailbox.org> References: <20170915222454.0b3f1a6e@workstation.bitcorner.intern> <20170917215143.524437bd@workstation.bitcorner.intern> <87a29f14-032f-f9d7-600f-78ecab0326af@gmx.de> <20170918114713.2ff20909.anmeyer@mailbox.org> Message-ID: <14efeafe-f241-b6b2-ce6c-3a2933a652f8@gmx.de> Hallo, Am 18.09.2017 um 11:47 schrieb Andreas Meyer: > Hajo Locke schrieb am 18.09.17 um 10:10:56 Uhr: > >>>> Ich fände ein >>>> >>>> user at example.com error: >>>> >>>> in /etc/postfix/transport da eleganter. >>> Umgesetzt und funktioniert. Gut! >>> >>> Recipient address rejected: Address is undeliverable; >> Funktioniert das auch korrekt bei einem Eingang von außen? Ich hatte in >> Erinnerung, dass da dein Server eine Bouncemail erzeugt, anstatt die >> Mail wirklich zu rejecten. Stichwort backscatterer. > Postfix nimmt die mail erst gar nicht an, der MUA wird sie > nicht los. > > dig backscatterer.de > ANSWER: 0 > > :-) > > Andreas Dann muss ich bei  mir was falsch haben.  Postfix generiert hier selbst die Bouncemail und sendet die nach außen. Ich hab das früher schon mal festgestellt, daher meine Anmerkung. Das ist der externe Eingang meiner Testmail von gmx: Sep 18 10:13:28 myhostname postfix/smtpd[6963]: C4C1033A0189: client=mout.gmx.net[212.227.17.21] Sep 18 10:13:28 myhostname postfix/cleanup[6975]: C4C1033A0189: message-id= Sep 18 10:13:28 myhostname postfix/qmgr[6362]: C4C1033A0189: from=, size=2168, nrcpt=1 (queue active) Sep 18 10:13:28 myhostname postfix/error[6985]: C4C1033A0189: to=, orig_to=, relay=none, delay=0.2, delays=0.17/0/0/0.03, dsn=5.0.0, status=bounced (Address is undeliverable) Sep 18 10:13:29 myhostname postfix/bounce[6986]: C4C1033A0189: sender non-delivery notification: EFBA633AB8BC Sep 18 10:13:29 myhostname postfix/qmgr[6362]: C4C1033A0189: removed Unter EFBA633AB8BC hab ich dann die Bouncemail die leider von mir verschickt wird, weils kein echter reject ist: Sep 18 10:13:28 myhostname postfix/cleanup[6975]: EFBA633AB8BC: message-id=<20170918081328.EFBA633AB8BC at myhostname> Sep 18 10:13:29 myhostname postfix/qmgr[6362]: EFBA633AB8BC: from=<>, size=4093, nrcpt=1 (queue active) Sep 18 10:13:29 myhostname postfix/smtp[6997]: EFBA633AB8BC: to=, relay=mx01.emig.gmx.net[212.227.17.5]:25, delay=0.4, delays=0.03/0/0.22/0.15, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=1Ma2LU-1dxHVV1260-00WbiZ) Sep 18 10:13:29 myhostname postfix/qmgr[6362]: EFBA633AB8BC: removed Dann müsste bei dir ja ein NOQUEUE erscheinen. Ich werd mal bei mir stochern... Danke, Hajo From postfixbuch at cboltz.de Mon Sep 18 17:11:26 2017 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 18 Sep 2017 17:11:26 +0200 Subject: Mails an =?UTF-8?B?S29waWUtRW1wZsOkbmdlcg==?= kommen bei submission 2x an, von extern nur 1x! In-Reply-To: References: Message-ID: <5846603.YLvULffioc@tux.boltz.de.vu> Hallo Carsten, hallo zusammen, Am Montag, 18. September 2017, 09:11:00 CEST schrieb Carsten: > Ich habe bei meiner Konfiguration das Problem, dass Mails 1x im > postfach@ eintreffen und 2x in kopie@ eintreffen, > jedoch nur, wenn die Absendermail per submission über den gleichen > Server versandt wird. > Bei Mails von extern an postfach at domain.de liegen die mails jeweils > nur 1x in den Postfächern. Meine Glaskugel sagt: Guck mal in die master.cf ;-) Ich rate einfach mal, dass Du die Mails durch Amavis schleust und auf Port 25 -o receive_override_options=no_address_mappings gesetzt hast. Für den Submission-Port brauchst Du das wohl auch ;-) Gruß Christian Boltz -- Wenn jemand eine ganz, ganz kurze man page aus dieser Diskussion - also ohne meine schlechten Scherze - baut, dann fügt die Steffen dem Paket in Zukunft sicherlich gerne hinzu. [Lars Müller in opensuse-de] From fstoyan at swapon.de Mon Sep 18 17:28:58 2017 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Mon, 18 Sep 2017 17:28:58 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <183a79b8-e533-79da-f219-f80cdb480be7@datev.de> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> <183a79b8-e533-79da-f219-f80cdb480be7@datev.de> Message-ID: <20170918152858.rrgpeu7omp2q4dui@lab.swapon.de> On 18.09.17 09:19, Andreas Schulze wrote: > Da Du von Debian 9.1 sprichst, gehe ich von postfix-3.1.4 aus. Und *da* würde ich den Default-Wert (leer) bleiben. > siehe http://marc.info/?l=postfix-users&m=143796843615367 > > > smtpd_tls_session_cache_timeout = 3600s > Default-Wert, hat eigentlich nichts in der main.cf zu suchen > > > smtpd_use_tls=yes > löschen, ab postfix 2.3 wird TLS über smtpd_tls_security_level gesteuert OK. Alles angepasst. > > $ cat /etc/postfix/relay_clientcerts > > 86:D8:7D:8E:4F:10:70:43:A1:43:85:F8:E0:A3:5A:34:45:0A:39:91 OK > > E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86 OK > > Du hast offenbar aus $Verzweiflung? den Fingerprint des Zertifikates und des Öffentlichen Schlüssels in der relay_clientcerts. > ( postmap & reload nicht vergessen??? ) Woher weisst Du?? > bis auf die 3 Punkte oben schaut's eigentlich ordentlich aus. Ich habe ein ähnliches Setup (aber halt kein Debian Postfix). > > Ansonsten kannst Du mal mit > # postconf -e "debug_peer_list=192.168.19.10"; postfix reload > debugging für den Client anschalten und schauen, mit welchen Parametern Postfix in welche Map reingeht und was da für Ergebnisse kommen. > > Ansonsten ist die inline-map auch schick zum Probieren: > check_ccert_access inline:{E2:10:FB:E7:4A:CA:8D:A5:B6:95:61:E5:28:B0:FD:33:7E:B3:BD:86=permit_auth_destination} > um testweise Probleme mit btree auszuschließen :-) Ein bisschen rumdebugt. Es entwickelt sich eher in Richtung smtpd_relay_restrictions. mfg Friedemann From fstoyan at swapon.de Mon Sep 18 17:34:17 2017 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Mon, 18 Sep 2017 17:34:17 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <20170918074503.nrihpdvxjl77u7ik@physadeia.incertum.net> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> <20170918074503.nrihpdvxjl77u7ik@physadeia.incertum.net> Message-ID: <20170918153417.4namofaovfpw6eiz@lab.swapon.de> On 18.09.17 09:45, Stefan Förster wrote: > * Friedemann Stoyan : > > Für mich sieht das so aus, als ob permit_tls_clientcerts oder auch check_ccert_access > > völlig ohne Wirkung bleiben. Obwohl ja der Fingerprint im Logfile korrekt > > angezeigt wird. Manuell kann ich diesen auch finden: > > Ist da evt. der "compatibility level" hoch gesetzt worden und Du hast > jetzt ein nicht-leeres "smtpd_relay_restrictions"-Setting? Ja. Genau das scheint es zu sein. Setze ich smtpd_relay_restrictions auf einen leeren Wert, klappt alles wieder wie früher. Ich habe spasseshalber versucht, die Zertifikatschecks in smtpd_relay_restrictions unterzubringen, so: smtpd_relay_restrictions = permit_mynetworks #check_ccert_access btree:/etc/postfix/relay_clientcerts permit_tls_clientcerts permit_sasl_authenticated defer_unauth_destination Leider klappt das nicht (beide Varianten: check_ccert_access als auch permit_tls_clientcerts). Wieso eigentlich nicht? mfg Friedemann From postfix at linuxmaker.com Tue Sep 19 11:12:01 2017 From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=) Date: Tue, 19 Sep 2017 11:12:01 +0200 Subject: Autoresponser mit HTML und Anhang als Reaktion auf Subject-Inhalte In-Reply-To: <5bc13bd2-60f5-5bcc-3e00-767be46e02ad@dimejo.at> References: <1666040.rq17lsXcEy@stuttgart> <5bc13bd2-60f5-5bcc-3e00-767be46e02ad@dimejo.at> Message-ID: <2035577.0k3X30uHOO@stuttgart> Am Freitag, 15. September 2017, 15:24:08 CEST schrieb Alex JOST: > Das sollte mit der Vacation-Erweiterung von Sieve machbar sein. Ich > weiss nur nicht, wie sich das mit dem MIME Teil verträgt. Das habe ich > nie getestet. Ich habe mir einmal die Syntax dazu angesehen; vacation :days :addresses ["Adresse1", "Adresse2"] "Text"; Das ist ja nur einmal eine generelle Benachrichtung, wenn etwas eingeht. Frage: Läßt sich in diese Vacation-Funktion auch noch die Entscheidung und Prüfung nach den Subjekt-Inhalten einbauen? Also in etwa so etwas: if header :contains "subject" "Projektanfrage" { vacation :days :addresses ["Adresse1", "Adresse2"] "Text"; } Dann wäre noch, wie sich MIME bzw. zumindestens HMTL-Code an der Stelle "Text" integrieren liesse, um Dateien wenigstens aber -Tags mit Datei-Links mit senden läßt. Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From jost+lists at dimejo.at Tue Sep 19 11:37:00 2017 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 19 Sep 2017 11:37:00 +0200 Subject: Autoresponser mit HTML und Anhang als Reaktion auf Subject-Inhalte In-Reply-To: <2035577.0k3X30uHOO@stuttgart> References: <1666040.rq17lsXcEy@stuttgart> <5bc13bd2-60f5-5bcc-3e00-767be46e02ad@dimejo.at> <2035577.0k3X30uHOO@stuttgart> Message-ID: Am 19.09.2017 um 11:12 schrieb Andreas Günther: > Am Freitag, 15. September 2017, 15:24:08 CEST schrieb Alex JOST: >> Das sollte mit der Vacation-Erweiterung von Sieve machbar sein. Ich >> weiss nur nicht, wie sich das mit dem MIME Teil verträgt. Das habe ich >> nie getestet. > > Ich habe mir einmal die Syntax dazu angesehen; > > vacation :days :addresses ["Adresse1", "Adresse2"] "Text"; > > Das ist ja nur einmal eine generelle Benachrichtung, wenn etwas eingeht. > Frage: Läßt sich in diese Vacation-Funktion auch noch die Entscheidung und > Prüfung nach den Subjekt-Inhalten einbauen? > > Also in etwa so etwas: > if header :contains "subject" "Projektanfrage" { > vacation :days :addresses ["Adresse1", "Adresse2"] "Text"; > } Ja, das funktioniert wie bei allen anderen Regeln. > Dann wäre noch, wie sich MIME bzw. zumindestens HMTL-Code an der Stelle "Text" > integrieren liesse, um Dateien wenigstens aber -Tags mit Datei-Links mit > senden läßt. https://tools.ietf.org/html/draft-ietf-sieve-vacation-07#section-4.4 -- Alex JOST From cite at incertum.net Tue Sep 19 11:47:51 2017 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Tue, 19 Sep 2017 11:47:51 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <20170918153417.4namofaovfpw6eiz@lab.swapon.de> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> <20170918074503.nrihpdvxjl77u7ik@physadeia.incertum.net> <20170918153417.4namofaovfpw6eiz@lab.swapon.de> Message-ID: <20170919094750.ik2xxuebi3pekypn@physadeia.incertum.net> * Friedemann Stoyan : > smtpd_relay_restrictions = > permit_mynetworks > #check_ccert_access btree:/etc/postfix/relay_clientcerts > permit_tls_clientcerts > permit_sasl_authenticated > defer_unauth_destination Hast Du parallel dazu die für Relaying relevanten Restriktionen aus smtpd_recipient_restrictions entfernt? Ciao, Stefan From fstoyan at swapon.de Tue Sep 19 13:18:02 2017 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Tue, 19 Sep 2017 13:18:02 +0200 Subject: Debian9 postfix 3.1.4-7: Zertifikatsbasierendes Relaying defekt In-Reply-To: <20170919094750.ik2xxuebi3pekypn@physadeia.incertum.net> References: <20170917143737.oltnrknbndrb5ttu@lab.swapon.de> <20170918074503.nrihpdvxjl77u7ik@physadeia.incertum.net> <20170918153417.4namofaovfpw6eiz@lab.swapon.de> <20170919094750.ik2xxuebi3pekypn@physadeia.incertum.net> Message-ID: <20170919111802.wsilr37bvu3ikowb@lab.swapon.de> On 19.09.17 11:47, Stefan Förster wrote: > Hast Du parallel dazu die für Relaying relevanten Restriktionen aus > smtpd_recipient_restrictions entfernt? Das war wohl der Fehler. Ich habe jetzt eine Konfiguration, die zufriedenstellend läuft: # Relay control (Postfix 2.10 and later): local clients and # authenticated clients may specify any destination domain. smtpd_relay_restrictions = permit_mynetworks check_ccert_access btree:/etc/postfix/relay_clientcerts permit_sasl_authenticated defer_unauth_destination # Spam control: exclude local clients and authenticated clients smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/discards permit_mynetworks check_ccert_access btree:/etc/postfix/relay_clientcerts check_recipient_access btree:/etc/postfix/postmaster check_sender_access btree:/etc/postfix/sender_checks check_helo_access btree:/etc/postfix/helo_access reject_unknown_reverse_client_hostname reject_non_fqdn_recipient reject_non_fqdn_sender permit Vielen Dank allen hefenden! mfg Friedemann From postfixer99 at gmail.com Tue Sep 19 22:37:26 2017 From: postfixer99 at gmail.com (Carsten) Date: Tue, 19 Sep 2017 22:37:26 +0200 Subject: =?UTF-8?Q?Re:_Mails_an_Kopie-Empf=c3=a4nger_kommen_bei_submission_2?= =?UTF-8?Q?x_an=2c_von_extern_nur_1x!?= In-Reply-To: <5846603.YLvULffioc@tux.boltz.de.vu> References: <5846603.YLvULffioc@tux.boltz.de.vu> Message-ID: Am 18.09.2017 um 17:11 schrieb Christian Boltz: > Meine Glaskugel sagt: Guck mal in die master.cf ;-) > Ich rate einfach mal, dass Du die Mails durch Amavis schleust und auf > Port 25 -o receive_override_options=no_address_mappings gesetzt > hast. Für den Submission-Port brauchst Du das wohl auch ;-) > > Hey Christian, super! Mit dem Tipp funktioniert es. Ich hatte für die Submission User gar keinen expliziten Rückgabeport für amavis definiert (forward_method). Per default gehen Mails aus dem Internet ja auf Port 25 ein und gehen auf 10024 zu amavis und kommen auf 10025 zurück. Für die Submission-User auf Port 587 gingen die Mails auf Port 10030 an amavis, aber auf welchem Port zurück?? Hmmm. Habe jetzt für die Policy-Bank auf 10030 explizit  gesetzt:     forward_method => 'smtp:[127.0.0.1]:10031' und auch im Postfix einen smtpd auf 10031 lauschen lassen, dort nach Deinem Tipp:    -o receive_override_options=no_address_mappings und es funktioniert ;-) Ich verstehe nur nicht, warum das Problem zuvor beim Empfang auf Port 25 (aus dem Internet) nicht aufgetreten ist, denn dort fehlt ja auch die "no_address_mappings" Direktive. Falls Dir da noch was auffällt, bin ich für eine Erklärung dankbar, ansonsten vielen Dank für die Hilfe!!! Beste Grüße Carsten --- master.cf ---- # Internet MX 1.1.1.1:25      inet  n       -       -       -       -       smtpd    -o smtpd_sasl_auth_enable=no    -o smtpd_proxy_filter=localhost:10024    -o smtpd_proxy_options=speed_adjust    -o smtpd_proxy_timeout=800    -o content_filter= # Rueckgabe der Mail von amavis (wenn sie aus dem Internet kommen) localhost:10025      inet  n       -       -       -       - smtpd    -o smtpd_proxy_filter=    -o content_filter=    -o smtpd_authorized_xforward_hosts=127.0.0.0/8    -o smtpd_client_restrictions=    -o smtpd_helo_restrictions=    -o smtpd_sender_restrictions=    -o smtpd_recipient_restrictions=permit_mynetworks,reject    -o smtpd_data_restrictions=    -o mynetworks=127.0.0.0/8    -o receive_override_options=no_unknown_recipient_checks ---------------------------------------- # submission 1.1.1.2:587      inet  n       -       -       -       -       smtpd   -o syslog_name=postfix/submission   -o smtpd_sasl_auth_enable=yes   -o smtpd_client_restrictions=permit_sasl_authenticated,reject   -o content_filter=smtp:[localhost]:10030   -o smtpd_tls_cert_file=$submission_tls_cert_file   -o smtpd_tls_key_file=$submission_tls_key_file --- neu eingebaut ----- # Rueckgabe der Mail von amavis (wenn sie von submission-users kommen) localhost:10031      inet  n       -       -       -       - smtpd    -o syslog_name=postfix/checked_10031    -o smtpd_proxy_filter=    -o content_filter=    -o smtpd_authorized_xforward_hosts=127.0.0.0/8    -o smtpd_client_restrictions=    -o smtpd_helo_restrictions=    -o smtpd_sender_restrictions=    -o smtpd_recipient_restrictions=permit_mynetworks,reject    -o smtpd_data_restrictions=    -o mynetworks=127.0.0.0/8    -o receive_override_options=no_unknown_recipient_checks,no_address_mappings From admin at bbs1emd.de Wed Sep 20 08:26:59 2017 From: admin at bbs1emd.de (admin at bbs1emd.de) Date: Wed, 20 Sep 2017 08:26:59 +0200 Subject: =?UTF-8?Q?Greylisting_f=c3=bcr_Adressliste_umgehen?= Message-ID: <5d49a8c6-46a1-a52e-b166-230678713109@bbs1emd.de> Hallo, ist es möglich für eine Liste von Absenderadressen (user at domain) das Greylisting abzuschalten/zu umgehen? Ich habe gelesen, dass man domains oder IP-Adressen ausschließen kann aber das wäre mir zu viel. Die privaten E-Mail Adressen der Mitartbeiter sollen jedoch vom Greylisting ausgenommen sein. Geht das? Nach welchem Stichwort müsste ich suchen? Danke Malte Müller From driessen at fblan.de Wed Sep 20 12:07:12 2017 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 20 Sep 2017 12:07:12 +0200 Subject: =?UTF-8?Q?AW:_Greylisting_f=C3=BCr_Adressliste_?= =?UTF-8?Q?umgehen?= In-Reply-To: <5d49a8c6-46a1-a52e-b166-230678713109@bbs1emd.de> References: <5d49a8c6-46a1-a52e-b166-230678713109@bbs1emd.de> Message-ID: <011b01d331f8$3af2fdd0$b0d8f970$@fblan.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von admin at bbs1emd.de > Gesendet: Mittwoch, 20. September 2017 08:27 > An: Diskussionen und Support rund um Postfix > Betreff: Greylisting für Adressliste umgehen > > Hallo, > > ist es möglich für eine Liste von Absenderadressen (user at domain) das > Greylisting abzuschalten/zu umgehen? Ich habe gelesen, dass man domains > oder IP-Adressen ausschließen kann aber das wäre mir zu viel. Die > privaten E-Mail Adressen der Mitartbeiter sollen jedoch vom Greylisting > ausgenommen sein. Geht das? Nach welchem Stichwort müsste ich suchen? > > Danke > Malte Müller Selectives Greylisting Checkrecipient irgendwas Empfänger1 @..... dunno Empfänger2 at .... Dunno ..... * greylisting So in etwa Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From schonefeld at ids-mannheim.de Wed Sep 20 12:19:17 2017 From: schonefeld at ids-mannheim.de (Oliver Schonefeld) Date: Wed, 20 Sep 2017 12:19:17 +0200 Subject: Auto-Responder und Weiterleitungen mit LDAP? Message-ID: Hallo zusammen, wir sind gerade dabei unser altes Mailsystem (Exim/QMail/Dovecot; nicht fragen) zu Postfix/Dovecot zu migrieren. Die Benutzerdaten liegen im LDAP; wir haben ein eigenes Schema. Ich versuche gerade das Problem zu Lösen Auto-Responder (Vacation) und Weiterleitungen (z.B. an externe Adressen, vom Benutzer konfigurierbar) zusammen ans Fliegen zu bekommen. Grundsätzliches Setup: - virtual_alias_maps für virtuelle Mail-Adressen, Mail-Verteiler (= poor-mans List per Aliases) und Auto-Responder - Mails dann per LMTP an Dovecot Vacation ist mit Gnarwl analog zum Postfix-Buch gebaut. Mein Ansatz, Weiterleitungen analog hinzubekommen, also auch per virtual_alias_maps zu machen, funktioniert natürlich nicht, da Postfix nach dem ersten Treffer nicht mehr weiter sucht, und wenn für einen benutzer beides aktiv ist, der Auto-Responder und die Weiterleitungen zusammen dann nicht funktionierten. Je nachdem, was zuerst in der Liste steht, gewinnt. Momentan stehe ich ein bisschen auf dem Schlau, wie ich das am besten implementiere und bin für jeden Tipp dankbar. Unser LDAP-Schema können wir ggf. auch noch verändern. Bonus: Bei Weiterleitungen mit und ohne Kopie in eigene Mailbox. Danke und viele Grüße, Oliver main.cf: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes command_directory = /usr/sbin compatibility_level = 2 daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 disable_vrfy_command = yes html_directory = no imap_smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination check_recipient_access pcre:/etc/postfix/imap_recipient_access.pcre check_client_access cidr:/etc/postfix/allowed_clients.cidr reject inet_interfaces = localhost inet_protocols = ipv4 lmtp_destination_recipient_limit = $local_destination_recipient_limit local_destination_recipient_limit = 1 mail_owner = postfix mailbox_size_limit = 1073741824 mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man message_size_limit = 104857600 meta_directory = /etc/postfix mydestination = $myhostname, localhost.$mydomain, localhost mynetworks = 127.0.0.0/8 mynetworks_style = host newaliases_path = /usr/bin/newaliases.postfix parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/postfix3/README_FILES recipient_delimiter = + relayhost = [smtp.ids-mannheim.de] sample_directory = /usr/share/doc/postfix3/samples sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop shlib_directory = /usr/lib64/postfix smtp_tls_CAfile = $smtpd_tls_CAfile smtp_tls_ciphers = $smtpd_tls_ciphers smtp_tls_fingerprint_digest = sha1 smtp_tls_loglevel = 0 smtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers smtp_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers smtp_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols smtp_tls_note_starttls_offer = yes smtp_tls_protocols = $smtpd_tls_protocols smtp_tls_security_level = may smtpd_client_connection_count_limit = 50 smtpd_client_message_rate_limit = 0 smtpd_client_new_tls_session_rate_limit = 0 smtpd_client_recipient_rate_limit = 0 smtpd_discard_ehlo_keywords = silent-discard, etrn smtpd_error_sleep_time = 0 smtpd_etrn_restrictions = reject smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt smtpd_tls_cert_file = /etc/pki/postfix/certs/imap.ids-mannheim.de.crt smtpd_tls_ciphers = high smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_512.pem smtpd_tls_eecdh_grade = strong smtpd_tls_exclude_ciphers = aNULL,eNULL,EXPORT,DES,RC4,MD5,PSK,aECDH,EDH-DSS-DES-CBC3-SHA,EDH-RSA-DES-CDB3-SHA,KRB5-DES,CBC3-SHA smtpd_tls_key_file = /etc/pki/postfix/private/imap.ids-mannheim.de.key smtpd_tls_loglevel = 0 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL,eNULL,EXPORT,DES,RC4,MD5,PSK,aECDH,EDH-DSS-DES-CBC3-SHA,EDH-RSA-DES-CDB3-SHA,KRB5-DES,CBC3-SHA smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = encrypt tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA tls_preempt_cipherlist = yes tls_random_bytes = 128 tls_ssl_options = NO_COMPRESSION transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 virtual_alias_domains = hash:/etc/postfix/virtual_domains virtual_alias_maps = ldap:/etc/postfix/ids-vacation.ldap ldap:/etc/postfix/ids-accounts.ldap ldap:/etc/postfix/ids-distibutionlists-auto.ldap ldap:/etc/postfix/ids-distibutionlists-manual.ldap virtual_destination_concurrency_limit = 100 virtual_destination_recipient_limit = $local_destination_recipient_limit virtual_initial_destination_concurrency = 20 virtual_mailbox_domains = imap.ids-mannheim.de virtual_transport = lmtp:unix:private/dovecot-lmtp transport: vacation.ids-mannheim.de gnarwl: ids-vacation.ldap: server_host = ldaps://XYZ_REDACTED.ids-mannheim.de search_base = XYZ_REDACTED bind_dn = XYZ_REDACTED bind_pw = XYZ_REDACTED version = 3 query_filter = (&(|(mail=%s)(idsMailAliasAddress=%s))(vacationActive=TRUE)) result_attribute = idsMailRoutingAddress result_format = %s,%s at vacation.ids-mannheim.de domain = hash:/etc/postfix/virtual_domains ids-accounts.ldap: server_host = ldaps://XYZ_REDACTED.ids-mannheim.de search_base = XYZ_BASE_REDACTED bind_dn = XYZ_REDACTED bind_pw = XYZ_REDACTED version = 3 query_filter = (|(mail=%s)(idsMailAliasAddress=%s)) result_attribute = idsMailRoutingAddress domain = hash:/etc/postfix/virtual_domains ids-distibutionlists-auto.ldap: server_host = ldaps://XYZ_REDACTED.ids-mannheim.de search_base = XYZ_BASE_REDACTED bind_dn = XYZ_REDACTED bind_pw = XYZ_REDACTED version = 3 query_filter = (&(objectClass=idsMailDistributionList)(mail=%s)) special_result_attribute = member result_attribute = idsMailRoutingAddress domain = hash:/etc/postfix/virtual_domains ids-distibutionlists-manual.ldap: analog zu ids-distibutionlists-auto.ldap, nur andere search_base -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de From p.heinlein at heinlein-support.de Wed Sep 20 09:01:33 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Wed, 20 Sep 2017 09:01:33 +0200 Subject: =?UTF-8?Q?Re:_Greylisting_f=c3=bcr_Adressliste_umgehen?= In-Reply-To: <5d49a8c6-46a1-a52e-b166-230678713109@bbs1emd.de> References: <5d49a8c6-46a1-a52e-b166-230678713109@bbs1emd.de> Message-ID: <4d28a979-aac7-c653-d590-d66e5aa44200@heinlein-support.de> Am 20.09.2017 um 08:26 schrieb admin at bbs1emd.de: Hallo, > ist es möglich für eine Liste von Absenderadressen (user at domain) das > Greylisting abzuschalten/zu umgehen? Ich habe gelesen, dass man domains > oder IP-Adressen ausschließen kann aber das wäre mir zu viel. Die > privaten E-Mail Adressen der Mitartbeiter sollen jedoch vom Greylisting > ausgenommen sein. Geht das? Nach welchem Stichwort müsste ich suchen? a) Du kannst das über einen guten Aufbau der Recipient-Restrictions lösen. Im Buch wäre das beispielsweise unter dem Stichwort "Restricion Classes" erklärt. b) Du kannst schauen, ob Du das mit /etc/postgrey/whitelist_recipients lösen kannst. Peer From thomas.schwenski at xanismail.de Fri Sep 22 21:58:14 2017 From: thomas.schwenski at xanismail.de (Thomas Schwenski) Date: Fri, 22 Sep 2017 21:58:14 +0200 Subject: Auto-Responder und Weiterleitungen mit LDAP? In-Reply-To: References: Message-ID: <8bd225f0-2b97-7f8d-29f4-aa8891d8ccf8@xanismail.de> Hallo Oliver, > Ich versuche gerade das Problem zu Lösen Auto-Responder (Vacation) und > Weiterleitungen (z.B. an externe Adressen, vom Benutzer > konfigurierbar) zusammen ans Fliegen zu bekommen. > Momentan stehe ich ein bisschen auf dem Schlau, wie ich das am besten > implementiere und bin für jeden Tipp dankbar. Unser LDAP-Schema können > wir ggf. auch noch verändern. Ohne ein Setup mit LDAP und vacation zu haben: Ich lasse das bei mir lösen per always_bcc, dann die dort angegebene generische Adresse an ein Script (Transport, der in der master.cf auf das Script zeigt) weiterleiten lassen, was dann die weitere Verarbeitung übernimmt (prüfen ob Vacation-Flag gesetzt ist, Abwesenheitsmeldung abfragen und Mail generieren). In meinem Setup ist das hinreichend performant (so dass da seit jahrelangem Einsatz keine der mittlerweile performanteren Möglichkeiten etabliert werden musste), bei größeren Setups wäre always_bcc natürlich noch deutlich verbesserungswürdig. Du könntest die Weiterleitungsadresse in einer Tabelle/Datenbank zwischen-cachen und bei Vorhandensein einer Vacation um die generische Vacation-Adresse ergänzen und Postfix fragt nur diesen "Cache" ab. Eine performantere Variante wäre anstelle von always_bcc die Ob-oder-Ob-nicht-Entscheidung an einen eigenen Policy-Daemon zu übergeben, der dann entweder mit BCC oder noch besser mit FILTER antwortet. (http://www.postfix.org/SMTPD_POLICY_README.html#protocol, http://www.postfix.org/access.5.html) Sofern die Abwesenheitsmail keinerlei Inhalte der auslösenden Mail benötigt, könnte der Policy-Daemon auch gleich die Abwesenheitsbenachrichtigung generieren. Sauberer ist es ab, Zumindest im Mail-Header der Abwesenheitsnotiz auf die auslösende Mail zu referenzieren (per "Re:" im Subject oder per "References:"-Header, ...) > Bonus: Bei Weiterleitungen mit und ohne Kopie in eigene Mailbox. Das spricht aus meiner Sicht für einen eigenen Policy-Daemon. :) Aber ich bin gespannt, welche anderen Varianten noch vorgeschlagen werden. Wie gesagt: Mein Setup ist antiquiert. Viele Grüße -- Thomas Schwenski mailto:thomas.schwenski at xanismail.de From p.heinlein at heinlein-support.de Sat Sep 23 22:14:10 2017 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Sat, 23 Sep 2017 22:14:10 +0200 Subject: Auto-Responder und Weiterleitungen mit LDAP? In-Reply-To: References: Message-ID: Am 20.09.2017 um 12:19 schrieb Oliver Schonefeld: Hi, > Vacation ist mit Gnarwl analog zum Postfix-Buch gebaut. Mit recipient_bcc_maps? > Mein Ansatz, Weiterleitungen analog hinzubekommen, also auch per > virtual_alias_maps zu machen, funktioniert natürlich nicht, da > Postfix nach dem ersten Treffer nicht mehr weiter sucht, und wenn für > einen benutzer beides aktiv ist, der Auto-Responder und die > Weiterleitungen zusammen dann nicht funktionierten. Je nachdem, was > zuerst in der Liste steht, gewinnt. Ein bcc-Maps sollte nicht stören. > Bonus: Bei Weiterleitungen mit und ohne Kopie in eigene Mailbox. Kopie in die eigene Mailbox wenn Du die Ursprungsadresse mit \ escaped ebenso aufführst: user at example.org extern at bla.de, huhu at moin.org, \user at example.org Peer From daniel at mail24.vip Sun Sep 24 06:00:02 2017 From: daniel at mail24.vip (Daniel) Date: Sun, 24 Sep 2017 06:00:02 +0200 Subject: OT: Wie sind so eure Erfahrungen von neuen Domainendungen? Message-ID: <002a01d334e9$99806830$cc813890$@mail24.vip> Huhu :-) Wie sind so eure Erfahrungen von neuen Domainendungen? Bisher hatte ich beim testen keine großen Probleme, bis auf 1-2 Chats die meinten es sei eine ungültige Emailadresse. Auch Spam ist mir bisher nicht wirklich aufgefallen so dass man .xyz oder so pauschal blacklisten müsste. Selbst von .xxx oder .hot ect. nicht. Die AOL Zeiten sind ja vorbei wo es ggf. .com .net .org .de üblich waren. ;-) Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Sun Sep 24 07:13:37 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sun, 24 Sep 2017 07:13:37 +0200 Subject: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: <002a01d334e9$99806830$cc813890$@mail24.vip> References: <002a01d334e9$99806830$cc813890$@mail24.vip> Message-ID: Im Auftrag von Daniel > Huhu :-) > > Wie sind so eure Erfahrungen von neuen Domainendungen? > > Auch Spam ist mir bisher nicht wirklich aufgefallen so dass man .xyz oder so > pauschal blacklisten müsste. Selbst von .xxx oder .hot > ect. nicht. > Leider schlagen hier praktisch nur spam von diesen "neuen" toplevel auf Bei vielen ist auch nur über Umwege an die Whois Daten zu kommen Ich hab noch nix gescheites über diese toplevel zu Gesicht bekommen Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at mail24.vip Sun Sep 24 07:44:54 2017 From: daniel at mail24.vip (Daniel) Date: Sun, 24 Sep 2017 07:44:54 +0200 Subject: AW: OT: Wie sind so eure Erfahrungen von neuen Domainendungen? Message-ID: <004101d334f8$3f751d90$be5f58b0$@mail24.vip> Moinsen Uwe und dem Rest hier, ich bin kein Spam. ;-) ^^ Gibt ja inzwischen hunderte neue Endungen von Städten, Brangen ect. Trotz Dieselskandal scheint es Autobrange gut zugehen, wenn ich da mal sehe was .auto .car .cars kostet mit gut fast 2.600,-? Netto pro Jahr, zumindest bei Schlundtech. Nicht vergessen gleich zu Wählen irgendwas neben AfD und CDU, gibt da ja noch etwas Auswahl. Wenn ich im Spam schaue sehe ich dort neben Paypal Fake "service at ppal.de" sonst eher nur Absender meistens mit .com Nagut bei dir kommen bestimmt auch deutlich mehr Emails rein als bei mir. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Uwe Drießen Gesendet: Sonntag, 24. September 2017 07:14 An: 'Diskussionen und Support rund um Postfix' Betreff: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? Im Auftrag von Daniel > Huhu :-) > > Wie sind so eure Erfahrungen von neuen Domainendungen? > > Auch Spam ist mir bisher nicht wirklich aufgefallen so dass man .xyz oder so > pauschal blacklisten müsste. Selbst von .xxx oder .hot > ect. nicht. > Leider schlagen hier praktisch nur spam von diesen "neuen" toplevel auf Bei vielen ist auch nur über Umwege an die Whois Daten zu kommen Ich hab noch nix gescheites über diese toplevel zu Gesicht bekommen Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: nicht verfügbar URL : From martin at lichtvoll.de Sun Sep 24 10:45:32 2017 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 24 Sep 2017 10:45:32 +0200 Subject: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: References: <002a01d334e9$99806830$cc813890$@mail24.vip> Message-ID: <3855391.9P056uPN6L@merkaba> Uwe Drießen - 24.09.17, 07:13: > Im Auftrag von Daniel > > > Huhu :-) > > > > Wie sind so eure Erfahrungen von neuen Domainendungen? > > > > Auch Spam ist mir bisher nicht wirklich aufgefallen so dass man .xyz oder > > so > > > pauschal blacklisten müsste. Selbst von .xxx oder .hot > > ect. nicht. > > Leider schlagen hier praktisch nur spam von diesen "neuen" toplevel auf > Bei vielen ist auch nur über Umwege an die Whois Daten zu kommen > > Ich hab noch nix gescheites über diese toplevel zu Gesicht bekommen Ich spreche nicht für alle neuen Toplevel-Domains, aber ich hab so einige Kombinationen mal irgendwann in die Blacklist aufgenommen, weil von denen wirklich nur Müll kam: /klicken.*\.xyz/ REJECT S2016-06: Repeated source of spam. Blocked. /klicken.*\.accountant/ REJECT S2016-06: Repeated source of spam. Blocked. /mailing.*\.xyz/ REJECT S2016-06: Repeated source of spam. Blocked. /mailing.*\.site/ REJECT S2016-06: Repeated source of spam. Blocked. /server.*\.xyz/ REJECT S2016-06: Repeated source of spam. Blocked. /weiter.*\.top/ REJECT S2016-06: Repeated source of spam. Blocked. /aufmachen.*\.party/ REJECT S2016-06: Repeated source of spam. Blocked. /versand.*\.faith/ REJECT S2016-07: Repeated source of spam. Blocked. /webklick.*\.top/ REJECT S2016-07: Repeated source of spam. Blocked. Hmmm, vielleicht Kommentiere ich die mal wieder aus. Mein neues Setup oder aktualisierte von SpamAssassin heruntergeladene Regeln blocken das ja möglicherweise spezifischer, sofern das noch kommt. Das probier ich mal auf. Ich kann ja die Kommentarzeichen auch schnell wieder entfernen. Von so Domains wie *.cars habe ich bislang keine Mails bekommen. Danke, -- Martin From daniel at mail24.vip Sun Sep 24 16:15:22 2017 From: daniel at mail24.vip (Daniel) Date: Sun, 24 Sep 2017 16:15:22 +0200 Subject: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: <3855391.9P056uPN6L@merkaba> References: <002a01d334e9$99806830$cc813890$@mail24.vip> <3855391.9P056uPN6L@merkaba> Message-ID: <001401d3353f$8f113e00$ad33ba00$@mail24.vip> Bei den Preisen wird es einfach für Spam zu teuer sein mit .car .cars .auto, und sowas wie .hot .sex .sexy .xxx ect. wären wohl zu offensichtlich, zumal Teils noch Beschränkungen vorliegen wer überhaupt manche Endungen bekommen darf. Wie Wertet ihr es den aus? Bei den Usern im Spamordner schauen ist wohl Teils weder Zeitlich drinnen, noch wäre dieses wohl meistens rechtlich nicht zulässig. Schaut im in Maillog z.b. nach dovecot vermerken wie z.B. "stored mail into mailbox 'Mailingliste'" oder lass ihr euch von spamassassin oder so ganze loggen? Harte Ablehnungen kann man ja im Maillog filtern nach reject. Im Log nerven mich eher diese ganzen Verbindungen die eh wieder getrennt werden im Log von den Spammern wie z.B.: connect from unknown[41.212.6.170] disconnect from unknown[41.212.6.170] helo=1 auth=0/1 quit=1 commands=2/3 connect from unknown[213.147.118.56] disconnect from unknown[213.147.118.56] helo=1 auth=0/1 quit=1 commands=2/3 connect from unknown[83.240.191.86] disconnect from unknown[83.240.191.86] helo=1 auth=0/1 quit=1 commands=2/3 warning: hostname DU161-145.fibertel.com.ar does not resolve to address 200.49.145.161: Name or service not known connect from unknown[200.49.145.161] Nur dass es eben teils hunderte bis tausende Zeilen füllt. Find da Hostnamen Überprüfung schon gutes Mittel, was man wohl teils bei GMX und co nicht so hat, und da recht Kulant scheint und quasi alles annehmen. Bei mir wird solcher Spam abgewiesen, zumal Tapatalk es tagelang weiterprobiert, trotz ständiger 450 Ablehnungen. NOQUEUE: reject: RCPT from unknown[40.123.41.152]: 450 4.7.25 Client host rejected: cannot find your hostname, [40.123.41.152]; from= to= proto=ESMTP helo= Gruß Daniel -----Ursprüngliche Nachricht----- Von so Domains wie *.cars habe ich bislang keine Mails bekommen. Danke, -- Martin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5554 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Sun Sep 24 17:12:00 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sun, 24 Sep 2017 17:12:00 +0200 Subject: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: <001401d3353f$8f113e00$ad33ba00$@mail24.vip> References: <002a01d334e9$99806830$cc813890$@mail24.vip> <3855391.9P056uPN6L@merkaba> <001401d3353f$8f113e00$ad33ba00$@mail24.vip> Message-ID: Im Auftrag von Daniel > > Bei den Preisen wird es einfach für Spam zu teuer sein mit .car .cars .auto, > und sowas wie .hot .sex .sexy .xxx ect. wären wohl zu > offensichtlich, zumal Teils noch Beschränkungen vorliegen wer überhaupt > manche Endungen bekommen darf. Das kosten die nicht überall Und manche machen da Preise im Pfennigbereich Manche Spamer sind selber registrare die kaufen solche zu Bruchteilen ein Es geht auch weniger um diese Hochpreisigen Domains (ist zu hinterfragen wer die zu den Preisen kauft und womit diese Preise gerechtfertigt werden ) Automarken gibt es ja nun so viele nicht :-) (es werden auch weniger) > > Wie Wertet ihr es den aus? Bei den Usern im Spamordner schauen ist wohl > Teils weder Zeitlich drinnen, noch wäre dieses wohl meistens > rechtlich nicht zulässig. > Schaut im in Maillog z.b. nach dovecot vermerken wie z.B. "stored mail into > mailbox 'Mailingliste'" oder lass ihr euch von > spamassassin oder so ganze loggen? > Harte Ablehnungen kann man ja im Maillog filtern nach reject. Und wenn da nur von xyz spam mit 8 und mehr Punkten drin steht und die Gegenkontrolle keine vernünftige mail anzeigt gibt es die Rote Karte Solange sind niemand beschwert das legitime Mails abgelehnt wurden bleiben die auf der internen Blacklist Die wird bei bedarf immer wieder erweitert (erst recht wenn die mir unaufgefordert, unbekannterweise auf meine Mailkonten Mails senden) Für was wir neue Toplevel brauchen frag ich mich eh schon die ganze zeit Dient nur dem Mammon Warte noch 2 Jahre dann bekommst du viele noch billiger nachgeworfen > > > Von so Domains wie *.cars habe ich bislang keine Mails bekommen. > Welche Marke hat denn schon cars registriert ? Gab es da nicht auch Auto ? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Sun Sep 24 18:11:19 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sun, 24 Sep 2017 18:11:19 +0200 Subject: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: References: <002a01d334e9$99806830$cc813890$@mail24.vip> <3855391.9P056uPN6L@merkaba> <001401d3353f$8f113e00$ad33ba00$@mail24.vip> Message-ID: <009a01d3354f$c2647b90$472d72b0$@fblan.de> > Im Auftrag von Daniel > > > Für was wir neue Toplevel brauchen frag ich mich eh schon die ganze zeit > Dient nur dem Mammon > Warte noch 2 Jahre dann bekommst du viele noch billiger nachgeworfen > > > > > > > > Von so Domains wie *.cars habe ich bislang keine Mails bekommen. > > Sicherheitsunternehmens Blue Coat hat untersucht, welche Endungen wie stark für unschöne Zwecke genutzt werden. https://www.heise.de/newsticker/meldung/Gefaehrliche-neue-Top-Level-Domains- 2806867.html Das Ergebnis ist eine Top 10 der "zwielichtigsten Nachbarschaften des Netzes". Bis auf Nummer 9, die zweckentfremdete Top Level Domain von Äquatorial-Guinea, handelt es sich in allen Fällen um neue Internetendungen: Auf den ersten beiden Plätzen gelten 100 Prozent der analysierten Domains als zwielichtig: .zip 100 .review 100 .country 99,97 .kim 99,74 .cricket 99,57 .science 99,35 .work 98,2 .party 98,07 .gq 97,68 .link 96,98 > > Welche Marke hat denn schon cars registriert ? > Gab es da nicht auch Auto ? > Konnte keine Finden den ist die Domain wohl auch zu teuer :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From ml at andreas-ziegler.de Mon Sep 25 09:06:42 2017 From: ml at andreas-ziegler.de (Andreas Ziegler) Date: Mon, 25 Sep 2017 09:06:42 +0200 Subject: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: <009a01d3354f$c2647b90$472d72b0$@fblan.de> References: <002a01d334e9$99806830$cc813890$@mail24.vip> <3855391.9P056uPN6L@merkaba> <001401d3353f$8f113e00$ad33ba00$@mail24.vip> <009a01d3354f$c2647b90$472d72b0$@fblan.de> Message-ID: <3e7b5b04-b6ce-6a9e-0ec3-dea5ff6e35dd@andreas-ziegler.de> Uwe Drießen schrieb am 24.09.2017 um 18:11: > .review 100 Glaube keiner Statistik ;-) Einer unserer Kunden benutzt Domains unter dieser TLD für legitime E-Mails. Pauschale Blockaden von TLDs finde ich sehr problematisch und sehe sie eher als dreckigen Workaround an. Gruß Andreas From mail at moritz-hofmann.com Mon Sep 25 10:03:23 2017 From: mail at moritz-hofmann.com (Moritz Hofmann) Date: Mon, 25 Sep 2017 10:03:23 +0200 Subject: Amavis meldet OpenRelayed obwohl Originating gesetzt ist? Message-ID: <9208475ce7926a8e66d7ce84ae1651d3@moritz-hofmann.com> Guten Morgen Liste, ich benutze Postfix und Amavisd auf einem CentOS 7 Server als E-Mail Relay und mir sind unstimmigkeiten in den Logs aufgefallen: (145710-19) Checking: 0ol2VMESohfo ORIGINATING [10.200.0.138] <123 at example.com> -> <456 at extern.com> (145710-19) Open relay? Nonlocal recips but not originating: 456 at extern.com Passed CLEAN {RELAYEDOPENRELAY}, ORIGINATING [10.200.0.138]:62251 <123 at example.com> -> <456 at extern.com>, Queue-ID: E4809180131B, Message-ID: <000001d335cd$f2ef1940$d8cd4bc0$@inprosim.de>, mail_id: T0U1QgrmEOV0, Hits: -0.997, size: 2868, queued_as: 16FB7180131F, 1037 ms Wenn ich von intern nach extern über Port 587 sende wird mir "RelayedOpenRelay" von Amavis gemeldet obwohl originating gesetzt ist. Woran kann das liegen? In der master.cf ist milter_macro_deamon_name gesetzt. submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_milters= -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=inet:imap.proit-services.de:1587 -o smtpd_sasl_security_options=noanonymous -o smtpd_sasl_local_domain=$myhostname -o smtpd_recipient_restrictions= -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o content_filter=smtp-amavis:[::1]:10024 -o milter_macro_daemon_name=ORIGINATING smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o disable_mime_output_conversion=yes -o smtp_generic_maps= Und in amavisd habe ich auch die Policybank auf Port 10024 gesetzt. $interface_policy{'10024'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = { inet_acl => [qw( 127.0.0.1 [::1] )], originating => 1, allow_disclaimers => 1, virus_admin_maps => ["virusalert\@$mydomain"], spam_admin_maps => ["virusalert\@$mydomain"], warnbadhsender => 1, smtpd_discard_ehlo_keywords => ['8BITMIME'], bypass_spam_checks_maps => [0], bypass_banned_checks_maps => [1], terminate_dsn_on_notify_success => 0, notify_method => 'smtp:[::1]:10025', forward_method => 'smtp:[::1]:10025', final_virus_destiny => 'D_BOUNCE', }; Localdomains sind ebenfalls gesetzt. postconf -n address_verify_map = memcache:/etc/postfix/verify_cache address_verify_negative_expire_time = 3d address_verify_negative_refresh_time = 3h address_verify_positive_expire_time = 31d address_verify_positive_refresh_time = 7d address_verify_transport_maps = btree:/etc/postfix/transport_verify,$transport_maps alias_maps = hash:/etc/aliases amavisd_milter = inet:[::1]:8893 biff = no bounce_queue_lifetime = 3d bounce_template_file = /etc/postfix/bounce.de-DE.cf command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debug_peer_list = debugger_command = PATH=/bin:/usr/bin:/usr/local/bin; export PATH; (echo cont; echo where) | gdb $daemon_directory/$process_name $process_id 2>&1 >$config_directory/$process_name.$process_id.log & sleep 5 default_database_type = btree default_privs = nobody delay_warning_time = 30m disable_dns_lookups = no disable_vrfy_command = yes html_directory = no inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_size_limit = 52428800 mailq_path = /usr/bin/mailq.postfix manpage_directory = /usr/share/man maximal_queue_lifetime = 3d message_size_limit = 52428800 mydestination = myhostname = mail.example.com mynetworks = 127.0.0.0/8 [::1]/128 10.200.0.0/24 10.200.1.0/24 mynetworks_style = host myorigin = $mydomain newaliases_path = /usr/bin/newaliases.postfix non_smtpd_milters = ${amavisd_milter} opendkim_milter = inet:[::1]:8891 opendmarc_milter = inet:[::1]:8899 permit_mx_backup_networks = postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_whitelist, cidr:/etc/postfix/postscreen_spf_whitelist.cidr postscreen_bare_newline_action = drop postscreen_bare_newline_enable = no postscreen_blacklist_action = drop postscreen_cache_map = memcache:/etc/postfix/postscreen_cache postscreen_dnsbl_action = enforce postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.spamcop.net*1 b.barracudacentral.org*1 postscreen_dnsbl_threshold = 2 postscreen_greet_action = enforce postscreen_non_smtp_command_enable = no postscreen_pipelining_enable = no postscreen_whitelist_interfaces = static:all proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache, proxy:btree:/var/lib/postfix/verify_cache queue_directory = /var/spool/postfix recipient_delimiter = + relay_domains = mysql:/etc/postfix/mysql_relay_domains.cf relayhost = sample_directory = /usr/share/doc/postfix-2.11.3/samples sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop show_user_unknown_table_name = no smtp_destination_rate_delay = 0s smtp_fallback_relay = smtp_tls_CAfile = /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem smtp_tls_cert_file = /etc/ssl/certs/proitcrt.pem smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, 3DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtp_tls_fingerprint_digest = sha1 smtp_tls_key_file = /etc/ssl/certs/privkey.pem smtp_tls_loglevel = 1 smtp_tls_mandatory_ciphers = high smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_policy_maps = btree:/etc/postfix/tls_outgoing_policy smtp_tls_security_level = may smtp_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_session_cache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name smtpd_client_connection_count_limit = 20 smtpd_client_connection_rate_limit = 20 smtpd_client_message_rate_limit = 50 smtpd_client_restrictions = smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, permit_mynetworks, check_client_access btree:/etc/postfix/client_checks, check_sender_access btree:/etc/postfix/sender_checks, reject_unknown_client_hostname, reject_unauth_destination, reject_unverified_recipient, permit smtpd_reject_footer = \c. Contact your postmaster/admin for technical assistance. He can achieve our postmaster via email: postmaster at proit-services.de. In any case, please provide the following information in your problem report: This error message, time ($localtime), client ($client_address) and server ($server_name). smtpd_sender_restrictions = smtpd_tls_CAfile = /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem smtpd_tls_cert_file = /etc/ssl/certs/crt.pem smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem smtpd_tls_eecdh_grade = ultra smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, 3DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_tls_fingerprint_digest = sha1 smtpd_tls_key_file = /etc/ssl/certs/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_use_tls = yes spf_milter = inet:[::1]:8890 tls_preempt_cipherlist = yes transport_maps = btree:/etc/postfix/transport unverified_recipient_reject_code = 577 unverified_recipient_reject_reason = Recipient address lookup failed unverified_sender_reject_reason = Sender address lookup failed virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf mail_version = 2.10.1 Amavisd-new 2.11.0-1.el7 Ich verstehe nicht ganz was Amavisd da treibt. Kann mir das jemand bitte erklären? Vielen Dank im Voraus -- Mit freundlichen Grüßen Moritz Hofmann -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Mon Sep 25 10:14:58 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Mon, 25 Sep 2017 10:14:58 +0200 Subject: AW: Wie sind so eure Erfahrungen von neuen Domainendungen? In-Reply-To: <3e7b5b04-b6ce-6a9e-0ec3-dea5ff6e35dd@andreas-ziegler.de> References: <002a01d334e9$99806830$cc813890$@mail24.vip> <3855391.9P056uPN6L@merkaba> <001401d3353f$8f113e00$ad33ba00$@mail24.vip> <009a01d3354f$c2647b90$472d72b0$@fblan.de> <3e7b5b04-b6ce-6a9e-0ec3-dea5ff6e35dd@andreas-ziegler.de> Message-ID: <00b201d335d6$60ae5e70$220b1b50$@fblan.de> Im Auftrag von Andreas Ziegler > > > Uwe Drießen schrieb am 24.09.2017 um 18:11: > > .review 100 > > Glaube keiner Statistik ;-) > > Einer unserer Kunden benutzt Domains unter dieser TLD für legitime E-Mails. Einer von ?? > > Pauschale Blockaden von TLDs finde ich sehr problematisch und sehe sie > eher als dreckigen Workaround an. Quick und dirty Keine Last auf meinem Server bei weiteren test's Ist mein Briefkasten und wenn du an meinem Listenhund vorbei willst um was einzuwerfen musst du schon Wurst mitbringen :-) Solange nichts legitimes geblockt wird Deine Kunde hat zu mir scheinbar noch keine Mail gesendet Und wenn sollte der eine unter tausend mit einer Zeile in der regex schnell von der Prüfung ausgenommen werden können > > Gruß > Andreas Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From schonefeld at ids-mannheim.de Mon Sep 25 10:54:03 2017 From: schonefeld at ids-mannheim.de (Oliver Schonefeld) Date: Mon, 25 Sep 2017 10:54:03 +0200 Subject: Auto-Responder und Weiterleitungen mit LDAP? In-Reply-To: References: Message-ID: Hallo zusammen, Am 23.09.2017 um 22:14 schrieb Peer Heinlein: > Am 20.09.2017 um 12:19 schrieb Oliver Schonefeld: >> Vacation ist mit Gnarwl analog zum Postfix-Buch gebaut. > > Mit recipient_bcc_maps? recpient_bcc_maps funktioniert wie erhofft. [..] >> Bonus: Bei Weiterleitungen mit und ohne Kopie in eigene Mailbox. > > Kopie in die eigene Mailbox wenn Du die Ursprungsadresse mit \ escaped > ebenso aufführst: > > user at example.org extern at bla.de, huhu at moin.org, \user at example.org Das Mail-Routing wird komplett durch LDAP Attribute realisiert. Wir verwenden ein eigenes Attribut (idsMailRoutingAddress) und haben es jetzt wie folgt implementiert: idsMailRoutingAddress ist Multi-Valued und es steht halt entweder nur die Dovecot-Mailbox-Adresse drin, die Weiterleitungsadresse(n), oder beides. Als ich meine erste Mail an die Liste schrieb, hatte ich irgendwie noch die Idee, mich zwischen Postfix und Dovecot einzukommen, und dort dann, analog zu den Vacation-Auto-Respondern, das Ganze über zusätzliche Attribute zu machen. Aber warum soll man es komplizierter machen, es unbedingt notwendig, oder? Danke und viele Grüße, Oliver -- Oliver Schonefeld Institut für Deutsche Sprache, Zentrale Forschung R5, 6-13, D-68161 Mannheim +49-(0)621-1581-168 | http://www.ids-mannheim.de From dirk.jakobsmeier at wige.com Tue Sep 26 14:16:51 2017 From: dirk.jakobsmeier at wige.com (Dirk Jakobsmeier) Date: Tue, 26 Sep 2017 14:16:51 +0200 Subject: Nur auf einer IP Message-ID blocken Message-ID: <20170926121650.bsc4mwicbrq4a6g5@wige.com> Hallo, wir bekommen in letzter Zeit (ca. 4 Wochen) häufig e-Mails mit enthaltenem Link ins Internet und ich versuche gerade diese abzufangen. postfix Version 2.9.6 auf Debian wheezy - unterschiedliche aber bekannte Absender - unterschiedliche aber gültige Empfänger - unterschiedliche Sender-IP - Teilweise mit "internem Absender" über From: Vorname.Nachem at internedomain.de - Link verweist meist auf Word-Dokument Wir nutzen in unserem access-sender_blacklisting einen REJECT für Mails von außen mit unserer internen Domain, das funktioniert, aber leider kann der diese Mails nicht abfangen - mir ist klar warum. Einzige Möglichkeit die ich derzeit sehe wäre das Filtern über die Message-ID da diese ebenfalls so tut als wäre sie von unserem internen Mailserver erzeugt. Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden. Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann? -- Mit freundlichem Gruß Dirk From juergen.gmach at apis.de Tue Sep 26 16:06:53 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Tue, 26 Sep 2017 16:06:53 +0200 Subject: Phising-E-Mails mit bekannten Absendern Message-ID: Hi, zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu klicken und dort eine Rechnung runterzuladen. Das Besondere: Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, also echter.kontakt at ... < fake.addresse at ...> Geht im Moment ne größere Spamwelle um? Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw. Lieferantendaten? Ich kann mir da nur drei Sachen vorstellen: - meine Kollegen haben sich was eingefangen - der Kunde und der Vermieter haben sich was eingefangen - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift da E-Mailadressen ab Gibt es dazu Meinungen? Danke! -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From postfixer99 at gmail.com Tue Sep 26 22:07:00 2017 From: postfixer99 at gmail.com (Carsten) Date: Tue, 26 Sep 2017 22:07:00 +0200 Subject: Nur auf einer IP Message-ID blocken In-Reply-To: <20170926121650.bsc4mwicbrq4a6g5@wige.com> References: <20170926121650.bsc4mwicbrq4a6g5@wige.com> Message-ID: <7d466f3b-89e3-8b8d-ba75-67a8e3eee05e@gmail.com> Am 26.09.2017 um 14:16 schrieb Dirk Jakobsmeier: > Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden. > > Hallo Dirk, das Thema wurde schonmal diskutiert. Schau mal hier: https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-June/017358.html Der Ansatz mit der Message-ID ist bei dieser Kampagne in der Tat derzeit ein guter Ansatz. Beste Grüße Carsten From daniel at mail24.vip Tue Sep 26 22:10:50 2017 From: daniel at mail24.vip (Daniel) Date: Tue, 26 Sep 2017 22:10:50 +0200 Subject: =?iso-8859-1?Q?Tool-_bzw._Linksammlung_f=FCr_DANE=2C_DNSsec=2C_TLS=2C_Mai?= =?iso-8859-1?Q?lserver_ect.?= Message-ID: <001b01d33703$8c7c43e0$a574cba0$@mail24.vip> Huhu liebe Liste :-) Ich schreib einfach mal ein paar Links zusammen, evt. ist ja eine oder andere auch für euch dabei. Bei https://www.hardenize.com/ kann man schauen gut zusammengefasst ob DNSSEC, CAA, TLS, DANE, SPF, DMARC oder auf Webseite für XSS anfällig ist ect. Sollte man noch nicht festgelegt hat, welche CA nen Cert ausstellen darf kann man sich CAA Record hier https://sslmate.com/caa/ erstellen lassen. DANE Check https://dane.sys4.de/ Für schnellen SPF Übersicht wer Senden darf und wer nicht inkl. ganzer include´s gelistet http://spf.myisp.ch/ Für Webserver gibt es ja Vorgabe (HSTS und HPKP) an den Browser dass nur bestimmte Hash vom Cert verwendet werden darf (sites pinned), und wenn es nicht stimmt eine Warnung gibt. Dafür kann man sich auf https://report-uri.io/home/pkp_hash die notwendigen HPKP Hash anzeigen lassen, so dass man sich diese direkt in Wordpress ect. einbinden kann oder direkt im nginx/apache. Sollte man dieses in Worpress vorgeben wollen gibt es dort Plugins wie z.B. https://wordpress.org/plugins/security-headers/ oder auch andere. Neben den HASH gibt es auch noch weitere Sicherheitsoptionen für Vorgaben in wie weit Frames aktiv sein können oder XSS. Dieses lässt sich im genannten WP Plugin auch angeben, alternativ würde aber auch einfach ne .htaccess Datei gehen mit: Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options nosniff Header set X-Content-Security-Policy "allow 'self';" Sollten sich aber auch ggf. in nginx/apache setzen lassen bzw. im PHP Header. Zum schnellen prüfen ob Mailserver & Webserver erreichbar ist von außen finde ich https://www.liveconfig.com/de/sslcheck ganz nett. Ebenso würde neben liveconfig und genannten hardenize auch https://de.ssl-tools.net/mailservers/ gehen ob Mailserver erreichbar, aber auch ob PFS unterstützt wird, DANE oder von Heartbleed Schwachstelle betroffen ist. Dort lässt sich auch ausgehende Email prüfen ob die ankommt, von welcher IP und ob verschlüsselt wird mit TLS. Webseite lässt sich auf https://www.ssllabs.com/ssltest/index.html prüfen zwecks Verschlüsselung. Zum Cheken von DKIM kann man eine leere Email senden an check-auth at verifier.port25.com und bekommt eine Antwort wie z.B. SPF check: pass DKIM check: pass SpamAssassin check: ham Im Detail wird dort auch DNS Ausgabe genannt vom DKIM/SPF sowie der originale Mailheader, kann man also auch "missbrauchen" um Mailheader zu checken ob Mailserver auch nur das ausgibt was er soll und nicht z.B. noch interne oder externe IP vom Client der einliefert oder ähnliches. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From postfix at jpkessler.info Wed Sep 27 00:33:08 2017 From: postfix at jpkessler.info (Jan P. Kessler) Date: Wed, 27 Sep 2017 00:33:08 +0200 Subject: Nur auf einer IP Message-ID blocken In-Reply-To: <20170926121650.bsc4mwicbrq4a6g5@wige.com> References: <20170926121650.bsc4mwicbrq4a6g5@wige.com> Message-ID: <3b105018-c9de-c3b9-2db5-66763c74ff98@jpkessler.info> > Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann? Z.B. durch Nutzung unterschiedlicher postfix Instanzen für Incoming und Outgoing. From dirk.jakobsmeier at wige.com Wed Sep 27 05:40:30 2017 From: dirk.jakobsmeier at wige.com (Dirk Jakobsmeier) Date: Wed, 27 Sep 2017 05:40:30 +0200 Subject: Phising-E-Mails mit bekannten Absendern In-Reply-To: References: Message-ID: <20170927034030.igyz2lotw565f7op@wige.com> Guten Morgen, wir haben derzeit das selbe Problem und ich bin auf der Suche nach einer Filtermethode über die Message-ID da diese ebenfalls gefaked aussieht. Eine interne MID kann von extern nicht kommen. Ich habe nur noch keinen Weg gefunden das umzusetzen da der Filter nur auf der externen IP aktiv sein darf. Meine Vermutung zur entstehung sind vor allem "unsichere" Handys auf denen Mitarbeiter und auch Kunden/Lieferanten Mailadressen speichern. Eine endlose Diskussion, gerade auch was den Datenschutz angeht. Einen Kunden haben wir schon mit Mailadressen im Adressbuch und XING-App gefunden und auf einmal kamen etliche Einladungen an unsere internen Mailverteiler. Der Datenschutz und die IT-Sicherheit wird gerade bei Smart-Phones sträflich vernachlässigt. Ich habe einen Thread "Nur auf einer IP Message-ID blocken", mal sehen ob jemand einen Tip für einen Filter hat. On Tue, Sep 26, 2017 at 04:06:53PM +0200, Jürgen Gmach wrote: > Hi, > > zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte > Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut > gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu klicken > und dort eine Rechnung runterzuladen. > > Das Besondere: > Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. die > Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, also > echter.kontakt at ... < fake.addresse at ...> > > Geht im Moment ne größere Spamwelle um? > > Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw. > Lieferantendaten? > > Ich kann mir da nur drei Sachen vorstellen: > - meine Kollegen haben sich was eingefangen > - der Kunde und der Vermieter haben sich was eingefangen > - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift da > E-Mailadressen ab > > Gibt es dazu Meinungen? > > Danke! > > -- > Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 > APIS Informationstechnologien GmbH . http://www.apis.de > Gewerbepark A 13, 93086 Wörth/Donau . Deutschland > Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) > Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck -- Mit freundlichem Gruß Dirk Jakobsmeier Tel.: +49 751 36609-29 Fax: +49 751 36609-66 Mail: Dirk.Jakobsmeier at wige.com WIGE Konstruktionen GmbH & Co. KG Persönlich haftende Gesellschafterin: Sitz Ravensburg WIGE Konstruktionen Verwaltungsgesellschaft mbH Amtsgericht Ravensburg HRA Nr. 1493 Amtsgericht Ravensburg HRB Nr. 2534 Schwanenstrasse 4, 88214 Ravensburg Geschäftsführer: Thomas & Jochen Geschwentner Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of contents of this e-mail is strictly forbidden. Before printing, think about ENVIRONMENTAL responsibility From dirk.jakobsmeier at wige.com Wed Sep 27 05:44:22 2017 From: dirk.jakobsmeier at wige.com (Dirk Jakobsmeier) Date: Wed, 27 Sep 2017 05:44:22 +0200 Subject: Nur auf einer IP Message-ID blocken In-Reply-To: <3b105018-c9de-c3b9-2db5-66763c74ff98@jpkessler.info> References: <20170926121650.bsc4mwicbrq4a6g5@wige.com> <3b105018-c9de-c3b9-2db5-66763c74ff98@jpkessler.info> Message-ID: <20170927034422.hybwe3n5ymfrly3n@wige.com> Guten Morgen Jan, ja, an dem Punkt stand ich gestern gedanklich auch kurz, das würde ich bei vermehrtem Aufkommen tatsächlich umsetzen. Derzeit sind es ca. 2-3 Mails am Tag, wenn dann auch nur einer mal so einen Link anklickt und trotz der anderen Sicherheitsmaßnahmen wie Virenscanner, Proxy-Berechtigungen, kein Systemproxy+Outlook, ... den Download holt ... das will ich mir nicht ausmalen. Danke für den Hinweis. On Wed, Sep 27, 2017 at 12:33:08AM +0200, Jan P. Kessler wrote: > > > Sehe ich das richtig dass ich die gewünschte Filtermethode nicht umsetzen kann? > > Z.B. durch Nutzung unterschiedlicher postfix Instanzen für Incoming und > Outgoing. > -- Mit freundlichem Gruß Dirk Jakobsmeier From daniel at mail24.vip Wed Sep 27 07:13:48 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 27 Sep 2017 07:13:48 +0200 Subject: Phising-E-Mails mit bekannten Absendern In-Reply-To: References: Message-ID: <6DCEC084-1F8D-4ED2-AE05-1BC0875479C4@mail24.vip> Hi, verwendest keine Prüfung von Hostnamen? Also sowas wie: reject_unknown_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain, Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account? Gruß Daniel > Am 26.09.2017 um 16:06 schrieb Jürgen Gmach : > > Hi, > > zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu klicken und dort eine Rechnung runterzuladen. > > Das Besondere: > Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, also echter.kontakt at ... < fake.addresse at ...> > > Geht im Moment ne größere Spamwelle um? > > Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw. Lieferantendaten? > > Ich kann mir da nur drei Sachen vorstellen: > - meine Kollegen haben sich was eingefangen > - der Kunde und der Vermieter haben sich was eingefangen > - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift da E-Mailadressen ab > > Gibt es dazu Meinungen? > > Danke! > > -- > Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 > APIS Informationstechnologien GmbH . http://www.apis.de > Gewerbepark A 13, 93086 Wörth/Donau . Deutschland > Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) > Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2346 bytes Beschreibung: nicht verfügbar URL : From juergen.gmach at apis.de Wed Sep 27 18:53:33 2017 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Wed, 27 Sep 2017 18:53:33 +0200 Subject: Phising-E-Mails mit bekannten Absendern In-Reply-To: <6DCEC084-1F8D-4ED2-AE05-1BC0875479C4@mail24.vip> References: <6DCEC084-1F8D-4ED2-AE05-1BC0875479C4@mail24.vip> Message-ID: <003e3fe2b51ab8f50fb89a581b807fc5@apis-intern.com> > Also sowas wie: > reject_unknown_hostname, > reject_unknown_recipient_domain, > reject_unknown_sender_domain, Den ersten Eintrag haben wir nicht, die beiden anderen schon. > Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt > von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account? Das kann ich grad nicht sagen. Ich habe keine der fraglichen E-Mails im Moment vorliegen. Mir gings erst einmal darum herauszufinden, wie diese passenden Sender/Empfänger-Kombinationen überhaupt zustandekommen können. Der zweite Schritt wäre dann die Spam-E-Mails zu erkennen und zu verhindern. Gruß, -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck From daniel at mail24.vip Wed Sep 27 23:09:45 2017 From: daniel at mail24.vip (Daniel) Date: Wed, 27 Sep 2017 23:09:45 +0200 Subject: AW: Phising-E-Mails mit bekannten Absendern In-Reply-To: <003e3fe2b51ab8f50fb89a581b807fc5@apis-intern.com> References: <6DCEC084-1F8D-4ED2-AE05-1BC0875479C4@mail24.vip> <003e3fe2b51ab8f50fb89a581b807fc5@apis-intern.com> Message-ID: <003f01d337d4$f1f05410$d5d0fc30$@mail24.vip> Hi, ich verwende auch "reject_unknown_hostname", kommt öfters vor, dass IP Adressen keinen Hostnamen haben dann aber Vorgeben Paypal zu sein oder "Bekannte/Freunde" (mit Yahoo, Live oder ähnlichem wo es wohl mal Lücken/Hacks gab ect.), und im helo hast irgendwas ausländischen dsl/calbe Anschluss oder so was absolut nicht passt. Ist ja nicht so, dass große Firmen oder Banken ect. SPF einsetzen und DNSsec samt DANE ect. und lieber nur lapidar warnen, dass mal wieder Spam unterwegs ist, oder sogar noch Schritt weitergehen und man doch bitte deren Absender pauschalt in Whitelist nehmen möchte, damit bloß deren Mails mit ungültigen Hostnamen oder falschen SPF ect. durchkommen oder andere Versender für Newsletter ect. in derem Namen versenden, aber eben nicht berechtigt sind zu. Ne IP Adresse die kein Hostnamen (PTR) hat, wird von mir gnadenlos abgelehnt, und da ich reject täglich im Script Auswerte überfliege ich so mal diese und schreib ggf. mal nen Webmaster an wenn was abgelehnt wird, was nicht so sein sollte. In seltenen Fällen Bedank sich Postmaster sogar, da man bei ner Umstellung einfach nen Eintrag im DNS vergessen hat oder so. Beispiele wären da z.B.: postfix/smtpd[32455]: NOQUEUE: reject: RCPT from unknown[124.150.134.59]: 450 4.7.25 Client host rejected: cannot find your hostname, [124.150.134.59]; from= to= proto=ESMTP helo= postfix/smtpd[26740]: NOQUEUE: reject: RCPT from unknown[1.54.116.178]: 450 4.7.25 Client host rejected: cannot find your hostname, [1.54.116.178]; from= to= proto=ESMTP helo=<[1.54.116.178]> Server postfix/smtpd[16618]: NOQUEUE: reject: RCPT from unknown[115.118.240.252]: 450 4.7.25 Client host rejected: cannot find your hostname, [115.118.240.252]; from= to= proto=ESMTP helo=<115.118.240.252.static-mumbai.vsnl.net.in> Mancher Spam vor dem selbst hier in Liste mal gewarnt wurde, wurde so abgewiesen ohne dass ich noch spezielle reject Regeln schreiben musste. Muss aber jeder selbst wissen, bei mir ist meiste eh Spam was so abgewiesen wird, eher Einzelfall dass Bekannter Server scheitert. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jürgen Gmach Gesendet: Mittwoch, 27. September 2017 18:54 An: Diskussionen und Support rund um Postfix Betreff: Re: Phising-E-Mails mit bekannten Absendern > Also sowas wie: > reject_unknown_hostname, > reject_unknown_recipient_domain, > reject_unknown_sender_domain, Den ersten Eintrag haben wir nicht, die beiden anderen schon. > Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt > von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account? Das kann ich grad nicht sagen. Ich habe keine der fraglichen E-Mails im Moment vorliegen. Mir gings erst einmal darum herauszufinden, wie diese passenden Sender/Empfänger-Kombinationen überhaupt zustandekommen können. Der zweite Schritt wäre dann die Spam-E-Mails zu erkennen und zu verhindern. Gruß, -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . http://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From daniel at mail24.vip Thu Sep 28 22:01:26 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 28 Sep 2017 22:01:26 +0200 Subject: Keine Emails von Ebay und Paypal Message-ID: <004701d33894$9168dc00$b43a9400$@mail24.vip> Huhu, hat wer ne Idee wieso Ebay/Paypal mir seit Tagen keine Emails mehr senden möchte? Erst kamen Emails mit etlichen Stunden Verspätung ein, nun über ne Woche nichts mehr. Weder dass man Email ändern möchte, noch Passwort vergessen oder etwas verkauft oder bezahlt wurde ect. Habe 2-3 Domains probiert vom Server aber nichts im Log, nicht mal ein Verbindungsaufbau. Lustiger weise klappt Ebay Kleinanzeigen noch ohne Probleme. Selbst Testweise neue Paypal Testkonto, nix, nada. Andere Emails kommen ohne Probleme an von Telekom, Trusted Shops ect. auch Toolseiten (https://de.ssl-tools.net/mailservers und http://mxtoolbox.com/ sowie https://www.liveconfig.com/de/sslcheck) keine Beanstandungen und alles ok sowohl IPv4 und IPv6. Vom Ebay kommen nur so tolle Tipps wie "wechseln Sie doch Email einfach zu gmail oder GMX" oder "setzen Sie ebay.de und ebay.com auf die Whitelist" oder man solle sich an den "Domainhersteller" wenden. Ebay/Paypal an Posteo und von dort an Server weiterleiten lassen klappt, aber ist nicht erwünscht als Lösung. Vermute eher nen Routing Problem oder so. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Thu Sep 28 22:18:32 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Thu, 28 Sep 2017 22:18:32 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: <004701d33894$9168dc00$b43a9400$@mail24.vip> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> Message-ID: Im Auftrag von Daniel > Huhu, > > hat wer ne Idee wieso Ebay/Paypal mir seit Tagen keine Emails mehr senden > möchte? Dann setz doch auch mal einen anständigen PTR auf der verwendeten IP Und auch dafür sorgen das die IP nicht wechselt Dynip und Mailserver werden nie wirklich freunde werden > > Erst kamen Emails mit etlichen Stunden Verspätung ein, nun über ne Woche > nichts mehr. Weder dass man Email ändern möchte, noch > Passwort vergessen oder etwas verkauft oder bezahlt wurde ect. > > > Lustiger weise klappt Ebay Kleinanzeigen noch ohne Probleme. Selbst > Testweise neue Paypal Testkonto, nix, nada. > > Andere Emails kommen ohne Probleme an von Telekom, Trusted Shops ect. > auch Toolseiten (https://de.ssl-tools.net/mailservers und > http://mxtoolbox.com/ sowie https://www.liveconfig.com/de/sslcheck) > keine Beanstandungen und alles ok sowohl IPv4 und IPv6. > > Vom Ebay kommen nur so tolle Tipps wie "wechseln Sie doch Email einfach > zu gmail oder GMX" oder "setzen Sie ebay.de und ebay.com auf > die Whitelist" oder man solle sich an den "Domainhersteller" wenden. Da sind "Offizielle" Mailserver dahinter auch wenn nicht unbedingt immer mit der besten Reputation > > > Vermute eher nen Routing Problem oder so. > > Gruß Daniel Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at mail24.vip Thu Sep 28 22:32:38 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 28 Sep 2017 22:32:38 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: References: <004701d33894$9168dc00$b43a9400$@mail24.vip> Message-ID: <006601d33898$eddec360$c99c4a20$@mail24.vip> Hi Uwe, ist nicht möglich in der aktuellen Anbindung inkl. Fallback mit PTR, zudem ist Inhouse Server kein Problem an sich. Bisher gab es nie Probleme trotz dynip ect., ist für den Empfang auch nicht wirklich relevant. Versand erfolgt natürlich über mailrelay also anderen Weg da sonst DNSBL zuschlagen würden. Gruß Daniel -----Ursprüngliche Nachricht----- Im Auftrag von Daniel > Huhu, > > hat wer ne Idee wieso Ebay/Paypal mir seit Tagen keine Emails mehr senden > möchte? Dann setz doch auch mal einen anständigen PTR auf der verwendeten IP Und auch dafür sorgen das die IP nicht wechselt Dynip und Mailserver werden nie wirklich freunde werden > > Erst kamen Emails mit etlichen Stunden Verspätung ein, nun über ne Woche > nichts mehr. Weder dass man Email ändern möchte, noch > Passwort vergessen oder etwas verkauft oder bezahlt wurde ect. > > > Lustiger weise klappt Ebay Kleinanzeigen noch ohne Probleme. Selbst > Testweise neue Paypal Testkonto, nix, nada. > > Andere Emails kommen ohne Probleme an von Telekom, Trusted Shops ect. > auch Toolseiten (https://de.ssl-tools.net/mailservers und > http://mxtoolbox.com/ sowie https://www.liveconfig.com/de/sslcheck) > keine Beanstandungen und alles ok sowohl IPv4 und IPv6. > > Vom Ebay kommen nur so tolle Tipps wie "wechseln Sie doch Email einfach > zu gmail oder GMX" oder "setzen Sie ebay.de und ebay.com auf > die Whitelist" oder man solle sich an den "Domainhersteller" wenden. Da sind "Offizielle" Mailserver dahinter auch wenn nicht unbedingt immer mit der besten Reputation > > > Vermute eher nen Routing Problem oder so. > > Gruß Daniel Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Thu Sep 28 23:18:47 2017 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Thu, 28 Sep 2017 23:18:47 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: <006601d33898$eddec360$c99c4a20$@mail24.vip> References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> Message-ID: Im Auftrag von Daniel > Hi Uwe, > > ist nicht möglich in der aktuellen Anbindung inkl. Fallback mit PTR, zudem ist > Inhouse Server kein Problem an sich. > > Bisher gab es nie Probleme trotz dynip ect., ist für den Empfang auch nicht > wirklich relevant. Versand erfolgt natürlich über > mailrelay also anderen Weg da sonst DNSBL zuschlagen würden. Nun wenn es zum einen funktionier weil dort "offizielle" Mailserver mit allem drum und dran und zu dir nicht Der Unterschied ist die dynamische IP Oder Port 25 auf deinem Dialin weil da evtl. ungewöhnliche Aktivitäten festgestellt wurden ? Andere können senden ? > > Gruß Daniel > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From daniel at mail24.vip Thu Sep 28 23:26:59 2017 From: daniel at mail24.vip (Daniel) Date: Thu, 28 Sep 2017 23:26:59 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> Message-ID: <578746C9-9097-43A4-A795-7CD238189296@mail24.vip> Ja, wie gesagt alles andere kommt an. Selbst Ebay Kleinanzeigen kommt an, nur wirklich Ebay/Paypal nicht auf mehrere Domains. IP habe ich schon gewechselt, brachte auch keine Änderung. Gruß Daniel > Am 28.09.2017 um 23:18 schrieb Uwe Drießen : > > Im Auftrag von Daniel >> Hi Uwe, >> >> ist nicht möglich in der aktuellen Anbindung inkl. Fallback mit PTR, zudem > ist >> Inhouse Server kein Problem an sich. >> >> Bisher gab es nie Probleme trotz dynip ect., ist für den Empfang auch > nicht >> wirklich relevant. Versand erfolgt natürlich über >> mailrelay also anderen Weg da sonst DNSBL zuschlagen würden. > > Nun wenn es zum einen funktionier weil dort "offizielle" Mailserver mit > allem drum und dran und zu dir nicht > > Der Unterschied ist die dynamische IP > Oder Port 25 auf deinem Dialin weil da evtl. ungewöhnliche Aktivitäten > festgestellt wurden ? > > Andere können senden ? > > >> >> Gruß Daniel >> > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2346 bytes Beschreibung: nicht verfügbar URL : From daniel at mail24.vip Fri Sep 29 04:52:47 2017 From: daniel at mail24.vip (Daniel) Date: Fri, 29 Sep 2017 04:52:47 +0200 Subject: AW: Keine Emails von Ebay und Paypal In-Reply-To: References: <004701d33894$9168dc00$b43a9400$@mail24.vip> <006601d33898$eddec360$c99c4a20$@mail24.vip> Message-ID: <001101d338ce$0893f8d0$19bbea70$@mail24.vip> Ich habe gestern doch noch von Paypal eine Email bekommen mit Konto Test Eröffnung, jedoch erst nach etwa 2-3 Stunden. Habe dann nochmal überlegt was ich verändert habe in letzten Tagen, da hier mal Null-MX Thema war, und ich mir ganze angeschaut habe, hat sich da wohl ein Fehler eingeschlichen beim ausprobieren, hab für den Hostnamen (Subdomain) den Mailserver nutzt nen Null-MX gesetzt statt für die Subdomain wo wirklich nur ne Webseite läuft. Jedoch nur für die Subdomain, Hauptdomain war normaler MX gesetzt. Werde später nochmal bei Ebay probieren ob wieder alles passt, wenn Änderungen auch durch sind im DNS. Achten die Mailserver also auf den MX Record vom MX Server? Emails sind ja immer an die Hauptdomain gerichtet und nicht an die MX Subdomain. Zudem kam ja auch alles andere an von Telekom, Twitter, Trusted Shops, hier die Liste, Posteo, gmail,... ect. Auf https://de.ssl-tools.net gab es für Hauptdomain keinen Fehler, beim probieren jedoch mit dem MX Hostnamen kam von Webseite nur nen "syntax error". Ohne den fälschlicherweise hinzugefügten Null-MX macht die Webseite halt Test mit dem A und AAAA da ja kein MX vorhanden ist auf dem MX Host. Nachts neues ausprobieren mit wenig Schlaf ist wohl nicht beste Kombi. ;-) Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5586 bytes Beschreibung: nicht verfügbar URL : From dirk.jakobsmeier at wige.com Fri Sep 29 05:41:38 2017 From: dirk.jakobsmeier at wige.com (Dirk Jakobsmeier) Date: Fri, 29 Sep 2017 05:41:38 +0200 Subject: Nur auf einer IP Message-ID blocken In-Reply-To: <7d466f3b-89e3-8b8d-ba75-67a8e3eee05e@gmail.com> References: <20170926121650.bsc4mwicbrq4a6g5@wige.com> <7d466f3b-89e3-8b8d-ba75-67a8e3eee05e@gmail.com> Message-ID: <20170929034137.xajslhatonszeuvn@wige.com> Hallo Carsten, habe mir die Dokumentation angesehen und prüfe derzeit wie häufig diese e-Mails ankommen "Aufwand - Nutzen"-Betrachtung. Es ist aber tatsächlich die beste Idee und trifft derzeit nahezu alle "Fake"-Mails die bei uns noch durchkommen. Danke für die Info. On Tue, Sep 26, 2017 at 10:07:00PM +0200, Carsten wrote: > Am 26.09.2017 um 14:16 schrieb Dirk Jakobsmeier: > > Die Message-ID kann ich aber nur über die header_checks filter, welche aber auf allen Verbindungen prüfen. Die von intern nach extern laufenden Mails dürfen natürlich nicht gefiltert werden. > > > > > Hallo Dirk, > > das Thema wurde schonmal diskutiert. Schau mal hier: > https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-June/017358.html > > Der Ansatz mit der Message-ID ist bei dieser Kampagne in der Tat derzeit ein > guter Ansatz. > > Beste Grüße Carsten > > -- Mit freundlichem Gruß Dirk Jakobsmeier Tel.: +49 751 36609-29 Fax: +49 751 36609-66 Mail: Dirk.Jakobsmeier at wige.com WIGE Konstruktionen GmbH & Co. KG Persönlich haftende Gesellschafterin: Sitz Ravensburg WIGE Konstruktionen Verwaltungsgesellschaft mbH Amtsgericht Ravensburg HRA Nr. 1493 Amtsgericht Ravensburg HRB Nr. 2534 Schwanenstrasse 4, 88214 Ravensburg Geschäftsführer: Thomas & Jochen Geschwentner Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received this e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of contents of this e-mail is strictly forbidden. Before printing, think about ENVIRONMENTAL responsibility From frank at frank.uvena.de Fri Sep 29 08:09:44 2017 From: frank at frank.uvena.de (Frank Lanitz) Date: Fri, 29 Sep 2017 08:09:44 +0200 Subject: Phising-E-Mails mit bekannten Absendern In-Reply-To: References: Message-ID: On 26.09.2017 16:06, Jürgen Gmach wrote: > Hi, > > zwei meiner Kollegen (an zwei verschiedenen Standorten / getrennte > Netzwerke) haben unabhängig voneinander innerhalb weniger Tage recht gut > gemachte Phising-E-Mails bekommen mit der Aufforderung einen Link zu > klicken und dort eine Rechnung runterzuladen. > > Das Besondere: > Bei beiden E-Mails war die Absendeaddresse eine echte Kundenadresse bzw. > die Adresse unseres Vermieters. Bzw. auf den zweiten Blick nicht mehr, > also echter.kontakt at ... < fake.addresse at ...> > > Geht im Moment ne größere Spamwelle um? > > Wie kommt der Spammer an sowohl unsere, als auch echte Kunden- bzw. > Lieferantendaten? > > Ich kann mir da nur drei Sachen vorstellen: > - meine Kollegen haben sich was eingefangen > - der Kunde und der Vermieter haben sich was eingefangen > - der E-Mailverkehr läuft über "unsaubere" Server und irgendwer greift > da E-Mailadressen ab > > Gibt es dazu Meinungen? Ich hätte da noch eine Idee: Zufall. Unter der Annahme das Spam automatisch durch Permutationen geniert wird, z.B. aus irgendwie abhanden gekommenen Adressbüchern, kann es ja sein, dass die schlechten Spams/Phishingmails bereits in den Schutzmechanismen hängen bleiben und man nur die "guten" sieht. Gruß Frank -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From gjn at gjn.priv.at Fri Sep 29 11:57:26 2017 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 29 Sep 2017 11:57:26 +0200 Subject: auth dovecot postfix Message-ID: <2587948.ebGI2JRv5R@techz> Hallo Liste, CentOS 7.4 postfix 3.2 dovecot 2.31 Ich hätte da eine grundsätzliche Frage an die Profis ;-). Da ja anscheined viele Wege nach Rom führen........... Ist es eine "gute" Idee die Authentivikation über sssd zu machen ? Ich habe es mal mit PAM probiert da scheint es aber Probleme zu geben mit dem Passwort ! Nach vielem Lesen kommt mir sssd-ldap als alternative in den Sinn ! Also was ist da eigentlich Stand der Dinge damit das Postfix System sauber läuft ! Danke für eine Antwort ! -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From chris at postbox.xyz Sat Sep 30 22:04:59 2017 From: chris at postbox.xyz (Chris) Date: Sat, 30 Sep 2017 22:04:59 +0200 Subject: Greylisting noch sinnvoll? In-Reply-To: References: <62ba1f65-9841-4e05-8d07-3585c4c35301@Bitbucket> Message-ID: <20170930220459.49321dd0@cd> On Tue, 08 Aug 2017 11:44:53 +0200 Jürgen Gmach wrote: > Nach und nach musste ich auf Wunsch meiner Kollegen bei fast jedem > das Greylisting deaktivieren, weil andere Mailserver damit Probleme > haben, und jeder erwartet, dass E-Mails immer sofort zugestellt > werden müssen. Das ist auch mein Eindruck von Greylisting. Zur Zeit würde ich es nur aktivieren, wenn die DNSBLs massiv nachlassen würden. Außerdem müsste ich es dann wohl wie von Marcus beschrieben anpassen. Gruß, Christian