From ffiene at veka.com Tue Dec 4 08:32:54 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 08:32:54 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI Message-ID: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Moin, Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? 3.) Gibt es Testversionen ohne Einschränkungen? 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From ffiene at veka.com Tue Dec 4 09:02:21 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 09:02:21 +0100 Subject: SPF Frage Message-ID: Noch was von mir, ich bin verwirrt: Es werden Mails von uns nach Kroatien geblockt wegen SPF. Und zwar meckert der Server auf der anderen Seite: SPF-Result=mail.veka.com: 'SERVFAIL' error on DNS 'TXT' lookup of ?mail.veka.com' In unserem SPF-record sind aber die IP-Ranges enthalten, wo mail.veka.com auch liegt. Muss man jetzt neuerdings auch die Namen der Mailserver in den SPF-Record aufnehmen? Der TXT-String ist ja schon ein wenig limitiert. Oder soll ich mal eine Mail an den postmaster at telekomcloud.hr schicken? Ich wäre ja für die 2! :-) Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From Ralf.Hildebrandt at charite.de Tue Dec 4 09:57:53 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 4 Dec 2018 09:57:53 +0100 Subject: [ext] SPF Frage In-Reply-To: References: Message-ID: <20181204085753.GC14298@charite.de> * Frank Fiene : > Noch was von mir, ich bin verwirrt: > > Es werden Mails von uns nach Kroatien geblockt wegen SPF. > > Und zwar meckert der Server auf der anderen Seite: > SPF-Result=mail.veka.com: 'SERVFAIL' error on DNS 'TXT' lookup of ?mail.veka.com' Man beachte das SERVFAIL. Man sieht jetzt nicht WELCHER Server da ein SERVFAIL geschmissen hat, aber Euer SPF Record sieht OK aus: https://mxtoolbox.com/SuperTool.aspx?action=spf%3aveka.com&run=toolpage Und die DNS Server von Euch schmeissen auch keine Fehler (oft übersieht man ja einen, der z.B. extern steht und "nur" Slave ist) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Tue Dec 4 09:58:44 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 4 Dec 2018 09:58:44 +0100 Subject: [ext] Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Message-ID: <20181204085844.GD14298@charite.de> * Frank Fiene : > Moin, > > Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. > Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. > > > 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? Das reicht. > 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? Ich habe auf jedem Gateway installiert. > 3.) Gibt es Testversionen ohne Einschränkungen? IMHO ja: -rw-r--r-- 1 root root 315091 May 19 2018 savdi-linux-64bit.tar.gz -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue Dec 4 10:01:09 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 10:01:09 +0100 Subject: [ext] Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <20181204085844.GD14298@charite.de> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> <20181204085844.GD14298@charite.de> Message-ID: Danke Ralf, rspamd scheint auch über SAVDI mit dem AV scanner zu reden. Ich wollte die alten amavisd-new/Spamassassin Instanzen eh durch rspamd ersetzen, dann fange ich mal mit dem System an. Viele Grüße! Frank > Am 04.12.2018 um 09:58 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Moin, >> >> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >> >> >> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? > > Das reicht. > >> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? > > Ich habe auf jedem Gateway installiert. > >> 3.) Gibt es Testversionen ohne Einschränkungen? > > IMHO ja: > -rw-r--r-- 1 root root 315091 May 19 2018 savdi-linux-64bit.tar.gz > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From mwuttke at beuth-hochschule.de Tue Dec 4 10:19:49 2018 From: mwuttke at beuth-hochschule.de (Michael Wuttke) Date: Tue, 4 Dec 2018 10:19:49 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Message-ID: Hallo, sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf folgende Einstellung hinzuzufügen, die zum einen aus der DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account Executive von sophos bestätigt wurde: / / /CXMail is our context based detection/ / / /This particular detection is fired on Microsoft office attachments(often compressed) that have macros inside. These macros work as a file dropper/downloader and access the internet to download a malware payload. The URL's accessed by these attachments change on a regular basis and will automatically switch to a new one if the existing one is blocked. / scanner { ... contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 ... } Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach oben gegangen. ;-) Danke & Gruß, Michael Am 04.12.18 um 08:32 schrieb Frank Fiene: > Moin, > > Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. > Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. > > > 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? > > 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? > > 3.) Gibt es Testversionen ohne Einschränkungen? > > 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? > > > > Viele Grüße! > Frank > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5602 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Tue Dec 4 14:52:09 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 14:52:09 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Message-ID: <8BADED61-C5B2-4FF3-9FB5-4EA386DB0DA8@veka.com> Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will. Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd. Im SAVDI Log erscheint: 181204:144538 [5C067F4F] 00038402 New session 181204:144538 [5C067F4F] 00038403 Session ended 181204:144538 [5C067F4F] 00038401 Connection ended To: /var/run/savdid/savdid.sock From User (112, 117), process 20693 Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen ?New session? und ?Session ended?. Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt. Der läuft natürlich. Kann ich das irgendwie testen? Viele Grüße! Frank > Am 04.12.2018 um 10:19 schrieb Michael Wuttke : > > Hallo, > > sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf > folgende Einstellung hinzuzufügen, die zum einen aus der > DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account > Executive von sophos bestätigt wurde: > > / / > /CXMail is our context based detection/ > / / > > /This particular detection is fired on Microsoft office > attachments(often compressed) that have macros inside. These macros > work as a file dropper/downloader and access the internet to download > a malware payload. The URL's accessed by these attachments change on a > regular basis and will automatically switch to a new one if the > existing one is blocked. / > > scanner { > > ... > contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 > ... > } > > Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach > oben gegangen. ;-) > > Danke & Gruß, > Michael > > Am 04.12.18 um 08:32 schrieb Frank Fiene: >> Moin, >> >> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >> >> >> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >> >> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >> >> 3.) Gibt es Testversionen ohne Einschränkungen? >> >> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >> >> >> >> Viele Grüße! >> Frank >> > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Tue Dec 4 15:08:28 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 15:08:28 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <8BADED61-C5B2-4FF3-9FB5-4EA386DB0DA8@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> <8BADED61-C5B2-4FF3-9FB5-4EA386DB0DA8@veka.com> Message-ID: <5D9D36A5-D4F5-4E8D-8C7D-E0293B0ED036@veka.com> Wenn ich clamav auf dem System ausschalte, kommt der EICAR durch. :-( Also irgendwas funktioniert nicht. Google hilft auch nicht. > Am 04.12.2018 um 14:52 schrieb Frank Fiene : > > Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will. > > Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd. > > Im SAVDI Log erscheint: > 181204:144538 [5C067F4F] 00038402 New session > 181204:144538 [5C067F4F] 00038403 Session ended > 181204:144538 [5C067F4F] 00038401 Connection ended > To: /var/run/savdid/savdid.sock From User (112, 117), process 20693 > > > Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen ?New session? und ?Session ended?. > > Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt. > > Der läuft natürlich. > > Kann ich das irgendwie testen? > > > > Viele Grüße! Frank > > > >> Am 04.12.2018 um 10:19 schrieb Michael Wuttke >: >> >> Hallo, >> >> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >> folgende Einstellung hinzuzufügen, die zum einen aus der >> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >> Executive von sophos bestätigt wurde: >> >> / / >> /CXMail is our context based detection/ >> / / >> >> /This particular detection is fired on Microsoft office >> attachments(often compressed) that have macros inside. These macros >> work as a file dropper/downloader and access the internet to download >> a malware payload. The URL's accessed by these attachments change on a >> regular basis and will automatically switch to a new one if the >> existing one is blocked. / >> >> scanner { >> >> ... >> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >> ... >> } >> >> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >> oben gegangen. ;-) >> >> Danke & Gruß, >> Michael >> >> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>> Moin, >>> >>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >>> >>> >>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >>> >>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >>> >>> 3.) Gibt es Testversionen ohne Einschränkungen? >>> >>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >>> >>> >>> >>> Viele Grüße! >>> Frank >>> >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From mwuttke at beuth-hochschule.de Tue Dec 4 16:17:21 2018 From: mwuttke at beuth-hochschule.de (Michael Wuttke) Date: Tue, 4 Dec 2018 16:17:21 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Message-ID: Hallo, noch mal als Nachtrag, da es Nachfragen gab: Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den channel for SSSP konfiguriert. Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP channel for SSSP hinzufügen. Danke & Gruß, Michael Wuttke Am 04.12.18 um 10:19 schrieb Michael Wuttke: > Hallo, > > sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf > folgende Einstellung hinzuzufügen, die zum einen aus der > DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account > Executive von sophos bestätigt wurde: > > / / > /CXMail is our context based detection/ > / / > > /This particular detection is fired on Microsoft office > attachments(often compressed) that have macros inside. These macros > work as a file dropper/downloader and access the internet to download > a malware payload. The URL's accessed by these attachments change on a > regular basis and will automatically switch to a new one if the > existing one is blocked. / > > scanner { > > ... > contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 > ... > } > > Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach > oben gegangen. ;-) > > Danke & Gruß, > Michael > > Am 04.12.18 um 08:32 schrieb Frank Fiene: >> Moin, >> >> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >> >> >> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >> >> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >> >> 3.) Gibt es Testversionen ohne Einschränkungen? >> >> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >> >> >> >> Viele Grüße! >> Frank >> > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5602 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Tue Dec 4 17:52:43 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 17:52:43 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

Message-ID: <973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 04.12.2018 um 16:17 schrieb Michael Wuttke : > > Hallo, > > noch mal als Nachtrag, da es Nachfragen gab: > > Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port > 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den > channel for SSSP konfiguriert. > > Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte > einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP > channel for SSSP hinzufügen. > > Danke & Gruß, > Michael Wuttke > >> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >> Hallo, >> >> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >> folgende Einstellung hinzuzufügen, die zum einen aus der >> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >> Executive von sophos bestätigt wurde: >> >> / / >> /CXMail is our context based detection/ >> / / >> >> /This particular detection is fired on Microsoft office >> attachments(often compressed) that have macros inside. These macros >> work as a file dropper/downloader and access the internet to download >> a malware payload. The URL's accessed by these attachments change on a >> regular basis and will automatically switch to a new one if the >> existing one is blocked. / >> >> scanner { >> >> ... >> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >> ... >> } >> >> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >> oben gegangen. ;-) >> >> Danke & Gruß, >> Michael >> >>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>> Moin, >>> >>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >>> >>> >>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >>> >>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >>> >>> 3.) Gibt es Testversionen ohne Einschränkungen? >>> >>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >>> >>> >>> >>> Viele Grüße! >>> Frank >>> >> > From ffiene at veka.com Tue Dec 4 19:22:20 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 19:22:20 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> Message-ID: Ich meinte natürlich SSSP. Ich habe mal die Requests mitgelogt. 181204:192035 [5C06A00C] 00038402 New session 181204:192035 [5C06A00C/1] 00030406 Client request SSSP/1.0 181204:192035 [5C06A00C/2] 00030406 Client request SCANDATA 9585 181204:192035 [5C06A00C/3] 00030406 Client request BYE 181204:192035 [5C06A00C] 00038403 Session ended 181204:192035 [5C06A00C] 00038401 Connection ended Das sieht doch eigentlich gut aus, oder? Muss nochmal den EICAR durchjagen. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 04.12.2018 um 17:52 schrieb Frank Fiene : > > Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. > > Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. > > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > >> Am 04.12.2018 um 16:17 schrieb Michael Wuttke : >> >> Hallo, >> >> noch mal als Nachtrag, da es Nachfragen gab: >> >> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port >> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den >> channel for SSSP konfiguriert. >> >> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte >> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP >> channel for SSSP hinzufügen. >> >> Danke & Gruß, >> Michael Wuttke >> >>> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >>> Hallo, >>> >>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >>> folgende Einstellung hinzuzufügen, die zum einen aus der >>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >>> Executive von sophos bestätigt wurde: >>> >>> / / >>> /CXMail is our context based detection/ >>> / / >>> >>> /This particular detection is fired on Microsoft office >>> attachments(often compressed) that have macros inside. These macros >>> work as a file dropper/downloader and access the internet to download >>> a malware payload. The URL's accessed by these attachments change on a >>> regular basis and will automatically switch to a new one if the >>> existing one is blocked. / >>> >>> scanner { >>> >>> ... >>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >>> ... >>> } >>> >>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >>> oben gegangen. ;-) >>> >>> Danke & Gruß, >>> Michael >>> >>>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>>> Moin, >>>> >>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >>>> >>>> >>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >>>> >>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >>>> >>>> 3.) Gibt es Testversionen ohne Einschränkungen? >>>> >>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >>>> >>>> >>>> >>>> Viele Grüße! >>>> Frank >>>> >>> >> > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Tue Dec 4 19:28:35 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 4 Dec 2018 19:28:35 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> Message-ID: <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> Na also: 554 5.7.1 sophos: virus found: "EICAR-AV-Test" Also vielen Dank an alle! Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod Stakhov mal an. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 04.12.2018 um 19:22 schrieb Frank Fiene : > > Ich meinte natürlich SSSP. > > Ich habe mal die Requests mitgelogt. > > 181204:192035 [5C06A00C] 00038402 New session > 181204:192035 [5C06A00C/1] 00030406 Client request > SSSP/1.0 > 181204:192035 [5C06A00C/2] 00030406 Client request > SCANDATA 9585 > 181204:192035 [5C06A00C/3] 00030406 Client request > BYE > 181204:192035 [5C06A00C] 00038403 Session ended > 181204:192035 [5C06A00C] 00038401 Connection ended > > > Das sieht doch eigentlich gut aus, oder? > > Muss nochmal den EICAR durchjagen. > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > >> Am 04.12.2018 um 17:52 schrieb Frank Fiene >: >> >> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. >> >> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. >> >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> >>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke : >>> >>> Hallo, >>> >>> noch mal als Nachtrag, da es Nachfragen gab: >>> >>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port >>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den >>> channel for SSSP konfiguriert. >>> >>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte >>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP >>> channel for SSSP hinzufügen. >>> >>> Danke & Gruß, >>> Michael Wuttke >>> >>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >>>> Hallo, >>>> >>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >>>> folgende Einstellung hinzuzufügen, die zum einen aus der >>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >>>> Executive von sophos bestätigt wurde: >>>> >>>> / / >>>> /CXMail is our context based detection/ >>>> / / >>>> >>>> /This particular detection is fired on Microsoft office >>>> attachments(often compressed) that have macros inside. These macros >>>> work as a file dropper/downloader and access the internet to download >>>> a malware payload. The URL's accessed by these attachments change on a >>>> regular basis and will automatically switch to a new one if the >>>> existing one is blocked. / >>>> >>>> scanner { >>>> >>>> ... >>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >>>> ... >>>> } >>>> >>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >>>> oben gegangen. ;-) >>>> >>>> Danke & Gruß, >>>> Michael >>>> >>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>>>> Moin, >>>>> >>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen. >>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere. >>>>> >>>>> >>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new? >>>>> >>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway? >>>>> >>>>> 3.) Gibt es Testversionen ohne Einschränkungen? >>>>> >>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind? >>>>> >>>>> >>>>> >>>>> Viele Grüße! >>>>> Frank >>>>> >>>> >>> >> > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Daniel.Stellwagen at brunata-muenchen.de Wed Dec 5 10:52:22 2018 From: Daniel.Stellwagen at brunata-muenchen.de (Stellwagen Daniel) Date: Wed, 5 Dec 2018 09:52:22 +0000 Subject: AW: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com> Message-ID: <882845291d504735a67ae5064b095a90@server103.brunata-muenchen.de> > Am 04.12.18 um 10:19 schrieb Michael Wuttke: > > sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf > folgende Einstellung hinzuzufügen, die zum einen aus der > DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account > Executive von sophos bestätigt wurde: > > / / > /CXMail is our context based detection/ > / / > > /This particular detection is fired on Microsoft office > attachments(often compressed) that have macros inside. These macros > work as a file dropper/downloader and access the internet to download > a malware payload. The URL's accessed by these attachments change on a > regular basis and will automatically switch to a new one if the > existing one is blocked. / > > scanner { > > ... > contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 > ... > } Hallo, sehr vielen Dank für diesen Hinweis!!! Habe die Zeile eingebunden und die Erkennungsrate steigerte sich beachtlich. Mit freundlichen Grüßen Daniel Stellwagen -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2585 bytes Beschreibung: nicht verfügbar URL : From cr at ncxs.de Wed Dec 5 11:28:47 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 5 Dec 2018 11:28:47 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> Message-ID: https://github.com/rspamd/rspamd.com/pull/369 Ich hab die SAVDI Doku für den Rspamd mal präzisiert. Viele Grüße Carsten On 04.12.18 19:28, Frank Fiene wrote: > Na also: > > 554 5.7.1 sophos: virus found: "EICAR-AV-Test" > > > > Also vielen Dank an alle! > > Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod > Stakhov mal an. > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > >> Am 04.12.2018 um 19:22 schrieb Frank Fiene > >: >> >> Ich meinte natürlich SSSP. >> >> Ich habe mal die Requests mitgelogt. >> >> 181204:192035 [5C06A00C] 00038402 New session >> 181204:192035 [5C06A00C/1] 00030406 Client request >> SSSP/1.0 >> 181204:192035 [5C06A00C/2] 00030406 Client request >> SCANDATA 9585 >> 181204:192035 [5C06A00C/3] 00030406 Client request >> BYE >> 181204:192035 [5C06A00C] 00038403 Session ended >> 181204:192035 [5C06A00C] 00038401 Connection ended >> >> >> Das sieht doch eigentlich gut aus, oder? >> >> Muss nochmal den EICAR durchjagen. >> >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >> Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >> Weimer >> HRB 8282 AG Münster/District Court of Münster >> >>> Am 04.12.2018 um 17:52 schrieb Frank Fiene >> >: >>> >>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. >>> >>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. >>> >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>> Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>> Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> >>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke >>>> >: >>>> >>>> Hallo, >>>> >>>> noch mal als Nachtrag, da es Nachfragen gab: >>>> >>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port >>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den >>>> channel for SSSP konfiguriert. >>>> >>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte >>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP >>>> channel for SSSP hinzufügen. >>>> >>>> Danke & Gruß, >>>> Michael Wuttke >>>> >>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >>>>> Hallo, >>>>> >>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >>>>> folgende Einstellung hinzuzufügen, die zum einen aus der >>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >>>>> Executive von sophos bestätigt wurde: >>>>> >>>>> / / >>>>> /CXMail is our context based detection/ >>>>> / / >>>>> >>>>> /This particular detection is fired on Microsoft office >>>>> attachments(often compressed) that have macros inside. These macros >>>>> work as a file dropper/downloader and access the internet to download >>>>> a malware payload. The URL's accessed by these attachments change on a >>>>> regular basis and will automatically switch to a new one if the >>>>> existing one is blocked. / >>>>> >>>>> scanner { >>>>> >>>>> ... >>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >>>>> ... >>>>> } >>>>> >>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >>>>> oben gegangen. ;-) >>>>> >>>>> Danke & Gruß, >>>>> Michael >>>>> >>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>>>>> Moin, >>>>>> >>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen >>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein >>>>>> Sinn gekommen. >>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav >>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere. >>>>>> >>>>>> >>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und >>>>>> amavisd-new? >>>>>> >>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen >>>>>> Maschine oder auf jedem Gateway? >>>>>> >>>>>> 3.) Gibt es Testversionen ohne Einschränkungen? >>>>>> >>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag >>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen >>>>>> durchgekommen sind? >>>>>> >>>>>> >>>>>> >>>>>> Viele Grüße! >>>>>> Frank >>>>>> >>>>> >>>> >>> >> > From ffiene at veka.com Wed Dec 5 13:06:13 2018 From: ffiene at veka.com (Frank Fiene) Date: Wed, 5 Dec 2018 13:06:13 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> Message-ID: <9575FC7D-EB42-49FE-A12F-4BF8501D22A9@veka.com> Sehr schön, da fallen mir die ganzen Optionen am Ende auf! Sind das die Default, oder sollte man die so setzen? BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? Viele Grüße! Frank > Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg : > > https://github.com/rspamd/rspamd.com/pull/369 > > Ich hab die SAVDI Doku für den Rspamd mal präzisiert. > > Viele Grüße > > Carsten > > On 04.12.18 19:28, Frank Fiene wrote: >> Na also: >> >> 554 5.7.1 sophos: virus found: "EICAR-AV-Test" >> >> >> >> Also vielen Dank an alle! >> >> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod >> Stakhov mal an. >> >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com > >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >> Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> >>> Am 04.12.2018 um 19:22 schrieb Frank Fiene >>> >>: >>> >>> Ich meinte natürlich SSSP. >>> >>> Ich habe mal die Requests mitgelogt. >>> >>> 181204:192035 [5C06A00C] 00038402 New session >>> 181204:192035 [5C06A00C/1] 00030406 Client request >>> SSSP/1.0 >>> 181204:192035 [5C06A00C/2] 00030406 Client request >>> SCANDATA 9585 >>> 181204:192035 [5C06A00C/3] 00030406 Client request >>> BYE >>> 181204:192035 [5C06A00C] 00038403 Session ended >>> 181204:192035 [5C06A00C] 00038401 Connection ended >>> >>> >>> Das sieht doch eigentlich gut aus, oder? >>> >>> Muss nochmal den EICAR durchjagen. >>> >>> >>> Viele Grüße! >>> Frank >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com > >>> http://www.veka.com > >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>> Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>> Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> >>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene >>>> >>: >>>> >>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. >>>> >>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. >>>> >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com > >>>> http://www.veka.com > >>>> >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> >>>> VEKA AG >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>>> Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>>> Weimer >>>> HRB 8282 AG Münster/District Court of Münster >>>> >>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke >>>>> >>: >>>>> >>>>> Hallo, >>>>> >>>>> noch mal als Nachtrag, da es Nachfragen gab: >>>>> >>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port >>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den >>>>> channel for SSSP konfiguriert. >>>>> >>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte >>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP >>>>> channel for SSSP hinzufügen. >>>>> >>>>> Danke & Gruß, >>>>> Michael Wuttke >>>>> >>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >>>>>> Hallo, >>>>>> >>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der >>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account >>>>>> Executive von sophos bestätigt wurde: >>>>>> >>>>>> / / >>>>>> /CXMail is our context based detection/ >>>>>> / / >>>>>> >>>>>> /This particular detection is fired on Microsoft office >>>>>> attachments(often compressed) that have macros inside. These macros >>>>>> work as a file dropper/downloader and access the internet to download >>>>>> a malware payload. The URL's accessed by these attachments change on a >>>>>> regular basis and will automatically switch to a new one if the >>>>>> existing one is blocked. / >>>>>> >>>>>> scanner { >>>>>> >>>>>> ... >>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >>>>>> ... >>>>>> } >>>>>> >>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >>>>>> oben gegangen. ;-) >>>>>> >>>>>> Danke & Gruß, >>>>>> Michael >>>>>> >>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>>>>>> Moin, >>>>>>> >>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen >>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein >>>>>>> Sinn gekommen. >>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav >>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere. >>>>>>> >>>>>>> >>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und >>>>>>> amavisd-new? >>>>>>> >>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen >>>>>>> Maschine oder auf jedem Gateway? >>>>>>> >>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen? >>>>>>> >>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag >>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen >>>>>>> durchgekommen sind? >>>>>>> >>>>>>> >>>>>>> >>>>>>> Viele Grüße! >>>>>>> Frank Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From cr at ncxs.de Wed Dec 5 20:52:45 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 5 Dec 2018 20:52:45 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: <9575FC7D-EB42-49FE-A12F-4BF8501D22A9@veka.com> References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> <9575FC7D-EB42-49FE-A12F-4BF8501D22A9@veka.com> Message-ID: Hey, per default sind viele von denen ausgeschaltet. Ich habe leider keinen Vergleich ob es hilft diese explizit zu aktivieren. Ich suche bei Gelegenheit die Dokus dazu mal raus. Von dem Cxmail war da leider keine Rede. > BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? So 80/20 oder 70/30 + den allgemein gültigen Teil. Beim Rspamd gibts halt viel mehr zu bestaunen und auch zu erklären. Viele Grüße Carsten On 05.12.18 13:06, Frank Fiene wrote: > Sehr schön, da fallen mir die ganzen Optionen am Ende auf! > > Sind das die Default, oder sollte man die so setzen? > > > > BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? > > > Viele Grüße! Frank > > >> Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg > >: >> >> https://github.com/rspamd/rspamd.com/pull/369 >> >> Ich hab die SAVDI Doku für den Rspamd mal präzisiert. >> >> Viele Grüße >> >> Carsten >> >> On 04.12.18 19:28, Frank Fiene wrote: >>> Na also: >>> >>> 554 5.7.1 sophos: virus found: "EICAR-AV-Test" >>> >>> >>> >>> Also vielen Dank an alle! >>> >>> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod >>> Stakhov mal an. >>> >>> >>> Viele Grüße! >>> Frank >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>> Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>> Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> >>>> Am 04.12.2018 um 19:22 schrieb Frank Fiene >>> >>>> >: >>>> >>>> Ich meinte natürlich SSSP. >>>> >>>> Ich habe mal die Requests mitgelogt. >>>> >>>> 181204:192035 [5C06A00C] 00038402 New session >>>> 181204:192035 [5C06A00C/1] 00030406 Client request >>>> SSSP/1.0 >>>> 181204:192035 [5C06A00C/2] 00030406 Client request >>>> SCANDATA 9585 >>>> 181204:192035 [5C06A00C/3] 00030406 Client request >>>> BYE >>>> 181204:192035 [5C06A00C] 00038403 Session ended >>>> 181204:192035 [5C06A00C] 00038401 Connection ended >>>> >>>> >>>> Das sieht doch eigentlich gut aus, oder? >>>> >>>> Muss nochmal den EICAR durchjagen. >>>> >>>> >>>> Viele Grüße! >>>> Frank >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> >>>> http://www.veka.com >>>> >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> >>>> VEKA AG >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>>> Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>>> Weimer >>>> HRB 8282 AG Münster/District Court of Münster >>>> >>>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene >>>> >>>>> >: >>>>> >>>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt. >>>>> >>>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird. >>>>> >>>>> -- >>>>> Frank Fiene >>>>> IT-Security Manager VEKA Group >>>>> >>>>> Fon: +49 2526 29-6200 >>>>> Fax: +49 2526 29-16-6200 >>>>> mailto: ffiene at veka.com >>>>> >>>>> http://www.veka.com >>>>> >>>>> PGP-ID: 62112A51 >>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>>> >>>>> VEKA AG >>>>> Dieselstr. 8 >>>>> 48324 Sendenhorst >>>>> Deutschland/Germany >>>>> >>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>>>> Werner Schuler, >>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>>>> Weimer >>>>> HRB 8282 AG Münster/District Court of Münster >>>>> >>>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke >>>>>> >>>>> >: >>>>>> >>>>>> Hallo, >>>>>> >>>>>> noch mal als Nachtrag, da es Nachfragen gab: >>>>>> >>>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port >>>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den >>>>>> channel for SSSP konfiguriert. >>>>>> >>>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte >>>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block >>>>>> vom IP >>>>>> channel for SSSP hinzufügen. >>>>>> >>>>>> Danke & Gruß, >>>>>> Michael Wuttke >>>>>> >>>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke: >>>>>>> Hallo, >>>>>>> >>>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf >>>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der >>>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise >>>>>>> Account >>>>>>> Executive von sophos bestätigt wurde: >>>>>>> >>>>>>> / / >>>>>>> /CXMail is our context based detection/ >>>>>>> / / >>>>>>> >>>>>>> /This particular detection is fired on Microsoft office >>>>>>> attachments(often compressed) that have macros inside. These macros >>>>>>> work as a file dropper/downloader and access the internet to download >>>>>>> a malware payload. The URL's accessed by these attachments change >>>>>>> on a >>>>>>> regular basis and will automatically switch to a new one if the >>>>>>> existing one is blocked. / >>>>>>> >>>>>>> scanner { >>>>>>> >>>>>>> ... >>>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0 >>>>>>> ... >>>>>>> } >>>>>>> >>>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach >>>>>>> oben gegangen. ;-) >>>>>>> >>>>>>> Danke & Gruß, >>>>>>> Michael >>>>>>> >>>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene: >>>>>>>> Moin, >>>>>>>> >>>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen >>>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein >>>>>>>> Sinn gekommen. >>>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav >>>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere. >>>>>>>> >>>>>>>> >>>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und >>>>>>>> amavisd-new? >>>>>>>> >>>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen >>>>>>>> Maschine oder auf jedem Gateway? >>>>>>>> >>>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen? >>>>>>>> >>>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag >>>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen >>>>>>>> durchgekommen sind? >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> Viele Grüße! >>>>>>>> Frank > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > From sebastian at debianfan.de Fri Dec 7 08:27:57 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 7 Dec 2018 08:27:57 +0100 Subject: Problem mit tosa@rx.t-online.de Message-ID: <8aad6c45-5d19-5666-3ae0-67c939e8fd64@debianfan.de> Guten Morgen, wenn eine IP welche bislang noch nie zum Mailversand benutzt bei T-Online gelistet ist und man sich an tosa at rx.t-online.de wenden soll - hat das schonmal jemand gemacht ? Die IP steht auf keiner bekannten Sperrliste - hat die Telekom noch was eigenes? gruss Sebastian From ralph at schosemail.de Fri Dec 7 08:44:21 2018 From: ralph at schosemail.de (Ralph Meyer) Date: Fri, 7 Dec 2018 08:44:21 +0100 (CET) Subject: Problem mit tosa@rx.t-online.de Message-ID: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> Hallo, Schreib ne Mail hin und warte. T-Systems ist eigentlich scheiße, aber da sind sie schnell. Ist zumindest meine Erfahrung Ralph -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Hajo.Locke at gmx.de Fri Dec 7 09:04:50 2018 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Fri, 7 Dec 2018 09:04:50 +0100 Subject: Problem mit tosa@rx.t-online.de In-Reply-To: <8aad6c45-5d19-5666-3ae0-67c939e8fd64@debianfan.de> References: <8aad6c45-5d19-5666-3ae0-67c939e8fd64@debianfan.de> Message-ID: <556ffe78-c0ff-4277-9344-5b7ca5b9836d@gmx.de> Hallo, ja, die bewerten auch nicht nur den Inhalt sondern die Ratio zwischen gültigen und ungültigen Empfängern. t-online ist hier recht giftig geworden in letzter Zeit. Professionelles Newsletter+Bouncemanagment ist hier anzuraten. Adressen die vielleicht länger nicht angeschrieben wurden lieber meiden. Großartige Unterstützung darf man da seitens t-online nicht erwarten, im Gegenzug verlangen die aber gern ein Whitelisting für Ihre eigenen Server. Am 07.12.2018 um 08:27 schrieb sebastian at debianfan.de: > Guten Morgen, > > wenn eine IP welche bislang noch nie zum Mailversand benutzt bei > T-Online gelistet ist und man sich an > > tosa at rx.t-online.de > > wenden soll - hat das schonmal jemand gemacht ? > > Die IP steht auf keiner bekannten Sperrliste - hat die Telekom noch > was eigenes? > > gruss > > Sebastian > Hajo From driessen at fblan.de Fri Dec 7 09:20:09 2018 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 7 Dec 2018 09:20:09 +0100 Subject: AW: Problem mit tosa@rx.t-online.de In-Reply-To: <556ffe78-c0ff-4277-9344-5b7ca5b9836d@gmx.de> References: <8aad6c45-5d19-5666-3ae0-67c939e8fd64@debianfan.de> <556ffe78-c0ff-4277-9344-5b7ca5b9836d@gmx.de> Message-ID: <008301d48e05$ab7e7880$027b6980$@fblan.de> Im Auftrag von Hajo Locke > > Hallo, > > ja, die bewerten auch nicht nur den Inhalt sondern die Ratio zwischen > gültigen und ungültigen Empfängern. > t-online ist hier recht giftig geworden in letzter Zeit. > Professionelles Newsletter+Bouncemanagment ist hier anzuraten. Adressen > die vielleicht länger nicht angeschrieben wurden lieber meiden. > Großartige Unterstützung darf man da seitens t-online nicht erwarten, im > Gegenzug verlangen die aber gern ein Whitelisting für Ihre eigenen Server. > Da ist eher der Verdacht einer Sippenhaftung, es werden gerne mal ganze IP-Bereich gesperrt wenn zu viel spam usw. von mehreren IP aus einem Bereich kommt. Das freischalten unbescholtener IP geht recht schnell (meist unter 48 Stunden) In der Regel ohne das was verlangt wird (sind unterschiedliche Abteilungen) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Ralf.Hildebrandt at charite.de Fri Dec 7 10:30:25 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 7 Dec 2018 10:30:25 +0100 Subject: [ext] Re: Problem mit tosa@rx.t-online.de In-Reply-To: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> References: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> Message-ID: <20181207093025.GA5482@charite.de> * Ralph Meyer : > Hallo, > > Schreib ne Mail hin und warte. T-Systems ist eigentlich scheiße, aber da sind sie schnell. Ist zumindest meine Erfahrung Das kann ich bestätigen! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From lists at localguru.de Fri Dec 7 19:05:50 2018 From: lists at localguru.de (Marcus Schopen) Date: Fri, 07 Dec 2018 19:05:50 +0100 Subject: [ext] Re: Problem mit tosa@rx.t-online.de In-Reply-To: <20181207093025.GA5482@charite.de> References: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> <20181207093025.GA5482@charite.de> Message-ID: <81259299c19917867a9512f4ca1f3d86c06c4619.camel@localguru.de> Am Freitag, den 07.12.2018, 10:30 +0100 schrieb Ralf Hildebrandt: > * Ralph Meyer : > > Hallo, > > > > Schreib ne Mail hin und warte. T-Systems ist eigentlich scheiße, > > aber da sind sie schnell. Ist zumindest meine Erfahrung > > Das kann ich bestätigen! Die antworten recht schnell, das stimmt. Ich hatte heute vor einigen Stunden ein Ticket aufgemacht, da Statusmeldungen eines Zertificon Gateways an eine t-online.de Adresse blockiert wurden. Die Rückmeldung von kam nach 90 Minuten. Grund für die Blockierung waren E-Mails mit Zertifikatsketten im Anhang als ".der" files und die nehmen sie nicht an. Steht auch auf der Postmaster Website; hätte ich vorher schauen sollen. ;) Das vor ca. einem Monat hier beschriebene Problem "Maximum parallel connections for your IP-Address reached" mit der Telekom besteht weiterhin in unterschiedlichen Ausprägungen. Auch ein Punkt, der in der Vergangenheit nicht aufgetreten ist und wahrscheinlich auf ein straffer gezogenes Scanning bei T-Online zurückzuführen ist. Müssen T-Online Kunden eben etwas länger auf Ihre E-Mails warten. ;) Ciao! From ml at andreas-ziegler.de Fri Dec 7 21:26:14 2018 From: ml at andreas-ziegler.de (Andreas Ziegler) Date: Fri, 7 Dec 2018 21:26:14 +0100 Subject: [ext] Re: Problem mit tosa@rx.t-online.de In-Reply-To: <20181207093025.GA5482@charite.de> References: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> <20181207093025.GA5482@charite.de> Message-ID: <76589ab3-21b0-4eec-20d4-bd306eaaa7c7@andreas-ziegler.de> Ralf Hildebrandt schrieb am 07.12.18 um 10:30: > * Ralph Meyer : >> Hallo, >> >> Schreib ne Mail hin und warte. T-Systems ist eigentlich scheiße, aber da sind sie schnell. Ist zumindest meine Erfahrung > > Das kann ich bestätigen! > ich ebenso. sehr lobenswert! From sebastian at debianfan.de Fri Dec 7 22:01:40 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 7 Dec 2018 22:01:40 +0100 Subject: [ext] Re: Problem mit tosa@rx.t-online.de In-Reply-To: <76589ab3-21b0-4eec-20d4-bd306eaaa7c7@andreas-ziegler.de> References: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> <20181207093025.GA5482@charite.de> <76589ab3-21b0-4eec-20d4-bd306eaaa7c7@andreas-ziegler.de> Message-ID: yep - ich habe vorhin eine Mail bekommen - die IP's sind bereits jetzt entsperrt Ich bin ja echt begeistert von der Telekom Am 07.12.2018 um 21:26 schrieb Andreas Ziegler: > Ralf Hildebrandt schrieb am 07.12.18 um 10:30: >> * Ralph Meyer : >>> Hallo, >>> >>> Schreib ne Mail hin und warte. T-Systems ist eigentlich scheiße, aber da sind sie schnell. Ist zumindest meine Erfahrung >> Das kann ich bestätigen! >> > ich ebenso. sehr lobenswert! friss Bösewicht postfixbuchliste at cdubitterfeld.de postfixbuchliste at anwebhosting.de postfixbuchliste at cdu-wolfen.de From stickybit at myhm.de Fri Dec 7 22:22:54 2018 From: stickybit at myhm.de (Andre) Date: Fri, 7 Dec 2018 22:22:54 +0100 Subject: [ext] Re: Problem mit tosa@rx.t-online.de In-Reply-To: References: <8d863216-cfc8-4791-b449-ed7e7d4a2215@schosemail.de> <20181207093025.GA5482@charite.de> <76589ab3-21b0-4eec-20d4-bd306eaaa7c7@andreas-ziegler.de> Message-ID: <4ae4a5ec-503c-604e-9cd8-ab2a1b6406d2@myhm.de> > yep - ich habe vorhin eine Mail bekommen - die IP's sind bereits jetzt > entsperrt > > Ich bin ja echt begeistert von der Telekom Auch wir hatten nur gute Erfahrungen mit dem "tosa at team" :-) -- LG Andre From ffiene at veka.com Tue Dec 11 10:59:26 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 11 Dec 2018 10:59:26 +0100 Subject: [ext] SPF Frage In-Reply-To: <20181204085753.GC14298@charite.de> References: <20181204085753.GC14298@charite.de> Message-ID: <2B6F8F97-90CC-4D69-983C-2EE8E033AB40@veka.com> Wir lassen den DNS hosten, damit sollte eigentlich alles i.O. sein. Zweiter Fehler: Mail von mir an postmaster at telekomcloud.hr wird ebenfalls blockiert. War das nicht so gedacht, dass Mails an postmaster nicht blockiert werden sollten? :-) Wie komme ich jetzt an den Admin, um den mal den Kopf zu waschen? Whois rückt ja keine Daten mehr raus! Viele Grüße! Frank > Am 04.12.2018 um 09:57 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Noch was von mir, ich bin verwirrt: >> >> Es werden Mails von uns nach Kroatien geblockt wegen SPF. >> >> Und zwar meckert der Server auf der anderen Seite: >> SPF-Result=mail.veka.com: 'SERVFAIL' error on DNS 'TXT' lookup of ?mail.veka.com' > > Man beachte das SERVFAIL. > > Man sieht jetzt nicht WELCHER Server da ein SERVFAIL geschmissen hat, > aber Euer SPF Record sieht OK aus: > https://mxtoolbox.com/SuperTool.aspx?action=spf%3aveka.com&run=toolpage > > Und die DNS Server von Euch schmeissen auch keine Fehler (oft > übersieht man ja einen, der z.B. extern steht und "nur" Slave ist) > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From klaus at tachtler.net Thu Dec 13 05:52:02 2018 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 13 Dec 2018 05:52:02 +0100 Subject: [ext] SPF Frage In-Reply-To: <2B6F8F97-90CC-4D69-983C-2EE8E033AB40@veka.com> References: <20181204085753.GC14298@charite.de> <2B6F8F97-90CC-4D69-983C-2EE8E033AB40@veka.com> Message-ID: <20181213055202.Horde.Fye51fNWO28ngWhAy-Chjea@buero.tachtler.net> Hallo Frank, > Wir lassen den DNS hosten, damit sollte eigentlich alles i.O. sein. > > Zweiter Fehler: > > Mail von mir an postmaster at telekomcloud.hr > wird ebenfalls blockiert. > > War das nicht so gedacht, dass Mails an postmaster nicht blockiert > werden sollten? > > > :-) > > > Wie komme ich jetzt an den Admin, um den mal den Kopf zu waschen? > Whois rückt ja keine Daten mehr raus! > Was gibt den ein whois gegen die IP-Adresse zurück? Grüße Klaus. > Viele Grüße! Frank > >> Am 04.12.2018 um 09:57 schrieb Ralf Hildebrandt >> : >> >> * Frank Fiene : >>> Noch was von mir, ich bin verwirrt: >>> >>> Es werden Mails von uns nach Kroatien geblockt wegen SPF. >>> >>> Und zwar meckert der Server auf der anderen Seite: >>> SPF-Result=mail.veka.com: 'SERVFAIL' error on DNS 'TXT' lookup of >>> ?mail.veka.com' >> >> Man beachte das SERVFAIL. >> >> Man sieht jetzt nicht WELCHER Server da ein SERVFAIL geschmissen hat, >> aber Euer SPF Record sieht OK aus: >> https://mxtoolbox.com/SuperTool.aspx?action=spf%3aveka.com&run=toolpage >> >> Und die DNS Server von Euch schmeissen auch keine Fehler (oft >> übersieht man ja einen, der z.B. extern steht und "nur" Slave ist) >> >> -- >> Ralf Hildebrandt >> Geschäftsbereich IT | Abteilung Netzwerk >> Charité - Universitätsmedizin Berlin >> Campus Benjamin Franklin >> Hindenburgdamm 30 | D-12203 Berlin >> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >> ralf.hildebrandt at charite.de | https://www.charite.de >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster ----- Ende der Nachricht von Frank Fiene ----- -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From ffiene at veka.com Thu Dec 13 07:40:46 2018 From: ffiene at veka.com (Frank Fiene) Date: Thu, 13 Dec 2018 07:40:46 +0100 Subject: [ext] SPF Frage In-Reply-To: <20181213055202.Horde.Fye51fNWO28ngWhAy-Chjea@buero.tachtler.net> References: <20181204085753.GC14298@charite.de> <2B6F8F97-90CC-4D69-983C-2EE8E033AB40@veka.com> <20181213055202.Horde.Fye51fNWO28ngWhAy-Chjea@buero.tachtler.net> Message-ID: <2969E8C9-470D-47DD-B3C2-1FC0D4E1BB76@veka.com> Croatian Telecom Inc. Da habe ich auch eine Mail hingeschickt. Keine Antwort. Ich kann mir schon denken, was die dazu sagen: Wir sind der größte Telekomanbieter in Kroatien und hatten noch nie Probleme mit SPF. :-D Mich wundert, dass der Kunde überhaupt Mails empfangen kann! Ich habe das jetzt zu unserem Kunden geschickt, der soll mal bei seinem Provider fragen. Viele Grüße! Frank > Am 13.12.2018 um 05:52 schrieb Klaus Tachtler : > > Hallo Frank, > >> Wir lassen den DNS hosten, damit sollte eigentlich alles i.O. sein. >> >> Zweiter Fehler: >> >> Mail von mir an postmaster at telekomcloud.hr >> > wird ebenfalls blockiert. >> >> War das nicht so gedacht, dass Mails an postmaster nicht blockiert >> werden sollten? >> >> >> :-) >> >> >> Wie komme ich jetzt an den Admin, um den mal den Kopf zu waschen? >> Whois rückt ja keine Daten mehr raus! >> > > Was gibt den ein whois gegen die IP-Adresse zurück? > > > Grüße > Klaus. > >> Viele Grüße! Frank >> >>> Am 04.12.2018 um 09:57 schrieb Ralf Hildebrandt >>> : >>> >>> * Frank Fiene : >>>> Noch was von mir, ich bin verwirrt: >>>> >>>> Es werden Mails von uns nach Kroatien geblockt wegen SPF. >>>> >>>> Und zwar meckert der Server auf der anderen Seite: >>>> SPF-Result=mail.veka.com: 'SERVFAIL' error on DNS 'TXT' lookup of >>>> ?mail.veka.com' >>> >>> Man beachte das SERVFAIL. >>> >>> Man sieht jetzt nicht WELCHER Server da ein SERVFAIL geschmissen hat, >>> aber Euer SPF Record sieht OK aus: >>> https://mxtoolbox.com/SuperTool.aspx?action=spf%3aveka.com&run=toolpage >>> >>> Und die DNS Server von Euch schmeissen auch keine Fehler (oft >>> übersieht man ja einen, der z.B. extern steht und "nur" Slave ist) >>> >>> -- >>> Ralf Hildebrandt >>> Geschäftsbereich IT | Abteilung Netzwerk >>> Charité - Universitätsmedizin Berlin >>> Campus Benjamin Franklin >>> Hindenburgdamm 30 | D-12203 Berlin >>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>> ralf.hildebrandt at charite.de | https://www.charite.de >>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >> Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster > > > ----- Ende der Nachricht von Frank Fiene > ----- > > > > -- > > -------------------------------------------- > e-Mail : klaus at tachtler.net > Homepage: https://www.tachtler.net > DokuWiki: https://dokuwiki.tachtler.net > -------------------------------------------- > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From beat at juckers.ch Fri Dec 14 07:00:46 2018 From: beat at juckers.ch (Beat Jucker) Date: Fri, 14 Dec 2018 07:00:46 +0100 Subject: Quota Problematik Message-ID: <204b8b51-3c06-7394-d0db-f36846677590@juckers.ch> Hallo Postfix & Linux Spezis Bei der Migration von SUSE Linux Enterprise Server 11 auf SUSE Linux Enterprise Server 12 und Postfix Version 3.2 ist mit der bestehenden Postfix Konfiguration ein Problem im Zusammenhang mit User Quota aufgetreten. Ich gehe davon aus, dass dieses Problem OS spezifisch ist, aber hoffe trotzdem auf einen entsprechenden Hinweis ... Es handelt sich um eine Fachanwendung. Alle Emails werden archiviert mit dem Postfix Parameter "always_bcc". Die Auslieferung erfolgt durch den Postfix virtual domain MDA und die Dateien sind im Mdir Format. Sobald das Archiv Verzeichnis ca 56MB belegt, erscheint die Meldung "/Sorry, the user's maildir has overdrawn his diskspace quota, please try again later/". Diese Logmeldung entspricht dem virtual_maildir_filter_maps Parameter: $ /usr/sbin/postconf | grep virtual_maildir virtual_maildir_extended = no virtual_maildir_filter = no virtual_maildir_filter_maps = virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn his diskspace quota, please try again later. virtual_maildir_limit_message_maps = virtual_maildir_suffix = und dürfte angezeigt werden, wenn das OS (Filesystem) ein Problem beim Schreiben der Mail hat. Für den User selber sind keine Quotas definiert. Die Befehle "quota" und "repquota" liefern keinen Output. Interessanterweise liegt das Archiv-Verzeichnis im gleichen Filesystem, in dem der User beliebig viele und grosse andere archivierte Dateien hat. Sobald ich manuell die archivierten Dateien aus dem Archivverzeichnis in ein anderes Verzeichnis verschiebe (im gleichen Filesystem /data), werden die nächsten gequeueten Mails ausgeliefert bis wieder ca 56MB (entspricht etwas mehr als 3000 Dateien) belegt sind ... !? Ich weiss nicht, auf was für einen Disk die Daten geschrieben werden (evtl SAN). Wie kann ich herausfinden, von wo die Begrenzung im Postfix Archiv Verzeichnis (und nur in diesem Verzeichnis) kommt? Postfix Logmeldung: 2018-12-12T14:51:01.963206+01:00 LA postfix/virtual[106647]: C2BF0E0006B: to=, relay=virtual, delay=0.17, delays=0.01/0.01/0/0.15, dsn=4.2.2, status=deferred (maildir delivery failed: Sorry, the user's maildir has overdrawn his diskspace quota, please try again later.) appl at LA:/home/appl$ quota appl at LA:/home/appl$ df -h /data/postfix/spool Filesystem Size Used Avail Use% Mounted on /dev/mapper/vgroot-lv_data 16G 2.0G 15G 13% /data appl at LA:/home/appl# repquota -av appl at LA:/home/appl# grep -i 'data' /proc/mounts /dev/mapper/vgroot-lv_data /data xfs rw,relatime,attr2,inode64,noquota 0 0 appl at LA:/home/appl# ls -ld /data /data/postfix /data/postfix/spool drwxr-xr-x 16 appl st2 201 Dec 7 17:46 /data drwxr-xr-x 4 root root 30 Sep 28 09:40 /data/postfix drwxr-xr-x 17 root root 216 Sep 28 09:40 /data/postfix/spool appl at LA:/home/appl# du -sh /data 4.0G /data appl at LA:/home/appl# repquota -av appl at LA:/home/appl# repquota -v /dev/mapper/vgroot-lv_data quota: Cannot find mountpoint for device /dev/mapper/vgroot-lv_data quota: No correct mountpoint specified. quota: Cannot initialize mountpoint scan. Bin froh um alle Hinweise. Besten Dank -- Beat From herbert at gojira.at Fri Dec 14 07:44:35 2018 From: herbert at gojira.at (Herbert J. Skuhra) Date: Fri, 14 Dec 2018 07:44:35 +0100 Subject: Quota Problematik In-Reply-To: <204b8b51-3c06-7394-d0db-f36846677590@juckers.ch> References: <204b8b51-3c06-7394-d0db-f36846677590@juckers.ch> Message-ID: <20181214064435.2sliqz6ngagapcaz@mail.bsd4all.net> On Fri, Dec 14, 2018 at 07:00:46AM +0100, Beat Jucker wrote: > Hallo Postfix & Linux Spezis > > > Bei der Migration von SUSE Linux Enterprise Server 11 auf SUSE Linux > Enterprise Server 12 und Postfix Version 3.2 ist mit der bestehenden Postfix > Konfiguration ein Problem im Zusammenhang mit User Quota aufgetreten. Ich > gehe davon aus, dass dieses Problem OS spezifisch ist, aber hoffe trotzdem > auf einen entsprechenden Hinweis ... > > > Es handelt sich um eine Fachanwendung. Alle Emails werden archiviert mit dem > Postfix Parameter "always_bcc". Die Auslieferung erfolgt durch den Postfix > virtual domain MDA und die Dateien sind im Mdir Format. Sobald das Archiv > Verzeichnis ca 56MB belegt, erscheint die Meldung "/Sorry, the user's > maildir has overdrawn his diskspace quota, please try again later/". > > > Diese Logmeldung entspricht dem virtual_maildir_filter_maps Parameter: > > $ /usr/sbin/postconf | grep virtual_maildir > virtual_maildir_extended = no > virtual_maildir_filter = no > virtual_maildir_filter_maps = > virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn his > diskspace quota, please try again later. > virtual_maildir_limit_message_maps = > virtual_maildir_suffix = virtual_mailbox_limit ? -- Herbert From beat at juckers.ch Fri Dec 14 08:08:28 2018 From: beat at juckers.ch (Beat Jucker) Date: Fri, 14 Dec 2018 08:08:28 +0100 Subject: Quota Problematik In-Reply-To: <20181214064435.2sliqz6ngagapcaz@mail.bsd4all.net> References: <204b8b51-3c06-7394-d0db-f36846677590@juckers.ch> <20181214064435.2sliqz6ngagapcaz@mail.bsd4all.net> Message-ID: Danke für die schnelle Antwort virtual_mailbox_limit habe ich nicht verifiziert, da ich der Meinung war, dass die Parameter virtual_mailbox_* nur für das MBox Format gelten ... Da per Default virtual_mailbox_limit = 51200000 definiert ist (und damit grosso modo im Bereich von 56MB liegt), werde ich diesen Wert entfernen und schauen was geschieht ... Gruss -- Beat Am 14.12.2018 um 07:44 schrieb Herbert J. Skuhra: > On Fri, Dec 14, 2018 at 07:00:46AM +0100, Beat Jucker wrote: >> Hallo Postfix & Linux Spezis >> >> >> Bei der Migration von SUSE Linux Enterprise Server 11 auf SUSE Linux >> Enterprise Server 12 und Postfix Version 3.2 ist mit der bestehenden Postfix >> Konfiguration ein Problem im Zusammenhang mit User Quota aufgetreten. Ich >> gehe davon aus, dass dieses Problem OS spezifisch ist, aber hoffe trotzdem >> auf einen entsprechenden Hinweis ... >> >> >> Es handelt sich um eine Fachanwendung. Alle Emails werden archiviert mit dem >> Postfix Parameter "always_bcc". Die Auslieferung erfolgt durch den Postfix >> virtual domain MDA und die Dateien sind im Mdir Format. Sobald das Archiv >> Verzeichnis ca 56MB belegt, erscheint die Meldung "/Sorry, the user's >> maildir has overdrawn his diskspace quota, please try again later/". >> >> >> Diese Logmeldung entspricht dem virtual_maildir_filter_maps Parameter: >> >> $ /usr/sbin/postconf | grep virtual_maildir >> virtual_maildir_extended = no >> virtual_maildir_filter = no >> virtual_maildir_filter_maps = >> virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn his >> diskspace quota, please try again later. >> virtual_maildir_limit_message_maps = >> virtual_maildir_suffix = > virtual_mailbox_limit ? > From ffiene at veka.com Fri Dec 14 10:57:18 2018 From: ffiene at veka.com (Frank Fiene) Date: Fri, 14 Dec 2018 10:57:18 +0100 Subject: rspamd antivirus module whitelist Message-ID: <0D6FD4E1-5345-44A4-AA6F-351A039D4470@veka.com> Moin! Wie funktioniert genau der Parameter whitelist in dem Antivirus Module? Gibt es das nur für Clamav oder ist das ein global verfügbarer Parameter. Ich habe einfach zwei IP-Adressen eingetragen IPv4 und IPv6 (habe es mit und ohne eckige Klammern versucht), trotzdem scannt der Sophos die Mail und blockiert die verschlüsselte Mail. Kann ich da gar keine Ausnahmen nutzen? Schon wäre es natürlich, wenn ich nur eine Ausnahme für verschlüsselte Anhänge definieren könnte. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From cr at ncxs.de Fri Dec 14 12:30:42 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 14 Dec 2018 12:30:42 +0100 Subject: rspamd antivirus module whitelist In-Reply-To: <0D6FD4E1-5345-44A4-AA6F-351A039D4470@veka.com> References: <0D6FD4E1-5345-44A4-AA6F-351A039D4470@veka.com> Message-ID: <3BA4FF99-3F47-4AE6-BFE1-12B808C30B39@ncxs.de> Hi, Die whitelist im anti-virus ist für Virennamen gedacht. Wenn du für bestimmte IPs den Clamav abschalten möchtest, nutz am Besten die settings. Viele Grüße Carsten Am 14. Dezember 2018 10:57:18 MEZ schrieb Frank Fiene : >Moin! > > >Wie funktioniert genau der Parameter whitelist in dem Antivirus Module? > >Gibt es das nur für Clamav oder ist das ein global verfügbarer >Parameter. > >Ich habe einfach zwei IP-Adressen eingetragen IPv4 und IPv6 (habe es >mit und ohne eckige Klammern versucht), trotzdem scannt der Sophos die >Mail und blockiert die verschlüsselte Mail. > > >Kann ich da gar keine Ausnahmen nutzen? > >Schon wäre es natürlich, wenn ich nur eine Ausnahme für verschlüsselte >Anhänge definieren könnte. > > > >Viele Grüße! >Frank From cr at ncxs.de Fri Dec 14 12:39:22 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 14 Dec 2018 12:39:22 +0100 Subject: rspamd antivirus module whitelist In-Reply-To: <3BA4FF99-3F47-4AE6-BFE1-12B808C30B39@ncxs.de> References: <0D6FD4E1-5345-44A4-AA6F-351A039D4470@veka.com> <3BA4FF99-3F47-4AE6-BFE1-12B808C30B39@ncxs.de> Message-ID: <5ade5876-8a28-7e45-398c-39669e2c0046@ncxs.de> Wenn du entsprechend der Anleitung savdi_report_encrypted = true; hast, könntest du die 2 IPs so freischalten: ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "xxx.xxx.xxx.xxx"; # IP 1 ip = "xxx.xxx.xxx.xxx"; # IP 2 apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } On 14.12.18 12:30, Carsten Rosenberg wrote: > Hi, > > Die whitelist im anti-virus ist für Virennamen gedacht. Wenn du für bestimmte IPs den Clamav abschalten möchtest, nutz am Besten die settings. > > Viele Grüße > > Carsten > > Am 14. Dezember 2018 10:57:18 MEZ schrieb Frank Fiene : >> Moin! >> >> >> Wie funktioniert genau der Parameter whitelist in dem Antivirus Module? >> >> Gibt es das nur für Clamav oder ist das ein global verfügbarer >> Parameter. >> >> Ich habe einfach zwei IP-Adressen eingetragen IPv4 und IPv6 (habe es >> mit und ohne eckige Klammern versucht), trotzdem scannt der Sophos die >> Mail und blockiert die verschlüsselte Mail. >> >> >> Kann ich da gar keine Ausnahmen nutzen? >> >> Schon wäre es natürlich, wenn ich nur eine Ausnahme für verschlüsselte >> Anhänge definieren könnte. >> >> >> >> Viele Grüße! >> Frank From ffiene at veka.com Fri Dec 14 12:46:19 2018 From: ffiene at veka.com (Frank Fiene) Date: Fri, 14 Dec 2018 12:46:19 +0100 Subject: rspamd antivirus module whitelist In-Reply-To: <3BA4FF99-3F47-4AE6-BFE1-12B808C30B39@ncxs.de> References: <0D6FD4E1-5345-44A4-AA6F-351A039D4470@veka.com> <3BA4FF99-3F47-4AE6-BFE1-12B808C30B39@ncxs.de> Message-ID: <34017928-24B3-4040-8015-0BA39E4F2494@veka.com> Das Problem ist nicht Clamav sondern Sophos! ;-) Schaue ich mir an, danke! -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 14.12.2018 um 12:30 schrieb Carsten Rosenberg : > > Hi, > > Die whitelist im anti-virus ist für Virennamen gedacht. Wenn du für bestimmte IPs den Clamav abschalten möchtest, nutz am Besten die settings. > > Viele Grüße > > Carsten > > Am 14. Dezember 2018 10:57:18 MEZ schrieb Frank Fiene : >> Moin! >> >> >> Wie funktioniert genau der Parameter whitelist in dem Antivirus Module? >> >> Gibt es das nur für Clamav oder ist das ein global verfügbarer >> Parameter. >> >> Ich habe einfach zwei IP-Adressen eingetragen IPv4 und IPv6 (habe es >> mit und ohne eckige Klammern versucht), trotzdem scannt der Sophos die >> Mail und blockiert die verschlüsselte Mail. >> >> >> Kann ich da gar keine Ausnahmen nutzen? >> >> Schon wäre es natürlich, wenn ich nur eine Ausnahme für verschlüsselte >> Anhänge definieren könnte. >> >> >> >> Viele Grüße! >> Frank From beat at juckers.ch Fri Dec 14 13:46:08 2018 From: beat at juckers.ch (Beat Jucker) Date: Fri, 14 Dec 2018 13:46:08 +0100 Subject: Quota Problematik In-Reply-To: References: <204b8b51-3c06-7394-d0db-f36846677590@juckers.ch> <20181214064435.2sliqz6ngagapcaz@mail.bsd4all.net> Message-ID: Danke Herbert, Problem mit virtual_mailbox_limit = 0 gelöst. RTFM (man virtual): virtual_mailbox_limit (51200000) The maximal size in bytes of an individual virtual(8) mailbox or maildir file, or zero(no limit). Ich war irritiert mit den virtual_maildir_* Parametern. Interessanterweise hatten wir mit SLES-11 und Postfix 2.9 keine Quota Probleme. Daher hatte ich an anderer Stelle gesucht. Gruss & schönes Wochenende -- Beat Am 14.12.2018 um 08:08 schrieb Beat Jucker: > Danke für die schnelle Antwort > > virtual_mailbox_limit habe ich nicht verifiziert, da ich der Meinung > war, dass die Parameter virtual_mailbox_* nur für das MBox Format > gelten ... > > Da per Default virtual_mailbox_limit = 51200000 definiert ist (und > damit grosso modo im Bereich von 56MB liegt), werde ich diesen Wert > entfernen und schauen was geschieht ... > > Gruss > -- Beat > > > > Am 14.12.2018 um 07:44 schrieb Herbert J. Skuhra: >> On Fri, Dec 14, 2018 at 07:00:46AM +0100, Beat Jucker wrote: >>> Hallo Postfix & Linux Spezis >>> >>> >>> Bei der Migration von SUSE Linux Enterprise Server 11 auf SUSE Linux >>> Enterprise Server 12 und Postfix Version 3.2 ist mit der bestehenden >>> Postfix >>> Konfiguration ein Problem im Zusammenhang mit User Quota >>> aufgetreten. Ich >>> gehe davon aus, dass dieses Problem OS spezifisch ist, aber hoffe >>> trotzdem >>> auf einen entsprechenden Hinweis ... >>> >>> >>> Es handelt sich um eine Fachanwendung. Alle Emails werden archiviert >>> mit dem >>> Postfix Parameter "always_bcc". Die Auslieferung erfolgt durch den >>> Postfix >>> virtual domain MDA und die Dateien sind im Mdir Format. Sobald das >>> Archiv >>> Verzeichnis ca 56MB belegt, erscheint die Meldung "/Sorry, the user's >>> maildir has overdrawn his diskspace quota, please try again later/". >>> >>> >>> Diese Logmeldung entspricht dem virtual_maildir_filter_maps Parameter: >>> >>> $ /usr/sbin/postconf | grep virtual_maildir >>> virtual_maildir_extended = no >>> virtual_maildir_filter = no >>> virtual_maildir_filter_maps = >>> virtual_maildir_limit_message = Sorry, the user's maildir has >>> overdrawn his >>> diskspace quota, please try again later. >>> virtual_maildir_limit_message_maps = >>> virtual_maildir_suffix = >> virtual_mailbox_limit ? >> > From anmeyer at mailbox.org Sun Dec 16 14:15:27 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sun, 16 Dec 2018 14:15:27 +0100 Subject: Server blocken, die im DNS nicht richtig =?UTF-8?B?YXVmbMO2c2Vu?= Message-ID: <20181216141527.4e7d8b91@localhost> Hallo! Ist der Parameter reject_non_fqdn_sender die richtige Wahl um bei Meldungen im logfile wie z.B. does not resolve to address 190.64.84.98: Name or service not known den einliefernden Server zu blocken und macht es Sinn, ihn zu setzen oder gibt es da zuviele false positives? Das logfile ist voll davon. Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Ralf.Hildebrandt at charite.de Sun Dec 16 18:36:02 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 16 Dec 2018 18:36:02 +0100 Subject: [ext] Server blocken, die =?utf-8?Q?im?= =?utf-8?Q?_DNS_nicht_richtig_aufl=C3=B6sen?= In-Reply-To: <20181216141527.4e7d8b91@localhost> References: <20181216141527.4e7d8b91@localhost> Message-ID: <20181216173601.GA26582@charite.de> * Andreas Meyer : > Hallo! > > Ist der Parameter reject_non_fqdn_sender die richtige Wahl um bei Meldungen > im logfile wie z.B. > does not resolve to address 190.64.84.98: Name or service not known sender = envelope sender > den einliefernden Server zu blocken client = einliefernden Server > und macht es Sinn, ihn zu setzen oder gibt es da zuviele false > positives? Man sollte schon forward und reverse DNS bei einem Mailserver korrekt eingestellt haben. reject_unknown_client. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Sun Dec 16 20:58:46 2018 From: ffiene at veka.com (Frank fiene) Date: Sun, 16 Dec 2018 20:58:46 +0100 Subject: =?utf-8?Q?Re:_[ext]_Server_blocken,_die_im_DNS_nicht_richtig_auf?= =?utf-8?Q?l=C3=B6sen?= In-Reply-To: <20181216173601.GA26582@charite.de> References: <20181216141527.4e7d8b91@localhost> <20181216173601.GA26582@charite.de> Message-ID: <647F9126-F15F-42A0-B5E1-28ACBED349FD@veka.com> Am 16.12.2018 um 18:36 schrieb Ralf Hildebrandt : > > * Andreas Meyer : >> Hallo! >> >> Ist der Parameter reject_non_fqdn_sender die richtige Wahl um bei Meldungen >> im logfile wie z.B. >> does not resolve to address 190.64.84.98: Name or service not known > > sender = envelope sender > >> den einliefernden Server zu blocken > > client = einliefernden Server > >> und macht es Sinn, ihn zu setzen oder gibt es da zuviele false >> positives? > > Man sollte schon forward und reverse DNS bei einem Mailserver korrekt > eingestellt haben. reject_unknown_client. FcrDNS macht aber auch manchmal etwas mehr Arbeit, vor allem bei ignoranten Mailserveradministratoren in Südamerika. From anmeyer at mailbox.org Mon Dec 17 00:56:20 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Mon, 17 Dec 2018 00:56:20 +0100 Subject: [ext] Server blocken, die im DNS nicht richtig =?UTF-8?B?YXVm?= =?UTF-8?B?bMO2c2Vu?= In-Reply-To: <20181216173601.GA26582@charite.de> References: <20181216141527.4e7d8b91@localhost> <20181216173601.GA26582@charite.de> Message-ID: <20181217005620.65a9544e@localhost> Ralf Hildebrandt schrieb am 16.12.18 um 18:36:02 Uhr: > Man sollte schon forward und reverse DNS bei einem Mailserver korrekt > eingestellt haben. reject_unknown_client. Ich habe reject_unknown_client_hostname gesetzt. Einlieferungsversuche finden anscheinend gar nicht statt. Nur connects und disconnects. Dec 16 22:58:17 bitmachine1 nimmini/smtpd[30722]: warning: hostname 179-41-26-133.speedy.com.ar does not resolve to address 179.41.26.133: Name or service not known Dec 16 23:06:35 bitmachine1 nimmini/smtpd[30814]: warning: hostname 197-248-39-202.safaricombusiness.co.ke does not resolve to address 197.248.39.202: Name or service not known Dec 16 23:12:39 bitmachine1 nimmini/smtpd[30858]: warning: hostname 88.249.20.212.static.ttnet.com.tr does not resolve to address 88.249.20.212: Name or service not known Dec 16 23:17:44 bitmachine1 nimmini/smtpd[30912]: warning: hostname static-46-120-40-181.telecel.com.py does not resolve to address 181.40.120.46: Name or service not known Dec 16 23:21:54 bitmachine1 nimmini/smtpd[31064]: warning: hostname static-ip-1815102123.cable.net.co does not resolve to address 181.51.212.3: Name or service not known Dann sind diese warnings einfach nur Rauschen? Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Ralf.Hildebrandt at charite.de Mon Dec 17 10:26:50 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 17 Dec 2018 10:26:50 +0100 Subject: [ext] Server blocken, die =?utf-8?Q?im?= =?utf-8?Q?_DNS_nicht_richtig_aufl=C3=B6sen?= In-Reply-To: <20181217005620.65a9544e@localhost> References: <20181216141527.4e7d8b91@localhost> <20181216173601.GA26582@charite.de> <20181217005620.65a9544e@localhost> Message-ID: <20181217092650.GA7482@charite.de> * Andreas Meyer : > Ralf Hildebrandt schrieb am 16.12.18 um 18:36:02 Uhr: > > > Man sollte schon forward und reverse DNS bei einem Mailserver korrekt > > eingestellt haben. reject_unknown_client. > > Ich habe reject_unknown_client_hostname gesetzt. Einlieferungsversuche > finden anscheinend gar nicht statt. Nur connects und disconnects. > > Dec 16 22:58:17 bitmachine1 nimmini/smtpd[30722]: warning: hostname 179-41-26-133.speedy.com.ar does not resolve to address 179.41.26.133: Name or service not known > Dec 16 23:06:35 bitmachine1 nimmini/smtpd[30814]: warning: hostname 197-248-39-202.safaricombusiness.co.ke does not resolve to address 197.248.39.202: Name or service not known > Dec 16 23:12:39 bitmachine1 nimmini/smtpd[30858]: warning: hostname 88.249.20.212.static.ttnet.com.tr does not resolve to address 88.249.20.212: Name or service not known > Dec 16 23:17:44 bitmachine1 nimmini/smtpd[30912]: warning: hostname static-46-120-40-181.telecel.com.py does not resolve to address 181.40.120.46: Name or service not known > Dec 16 23:21:54 bitmachine1 nimmini/smtpd[31064]: warning: hostname static-ip-1815102123.cable.net.co does not resolve to address 181.51.212.3: Name or service not known > > Dann sind diese warnings einfach nur Rauschen? Das sind alles DSL dialups mit Trojanern -> postscreen Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From it-newsletter at bsi-data.de Mon Dec 17 11:03:09 2018 From: it-newsletter at bsi-data.de (IT Newsletter) Date: Mon, 17 Dec 2018 11:03:09 +0100 Subject: Absender bei bestimmten Dateitypen benachrichtigen Message-ID: Hallo Liste, gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen zu benachrichtigen? So soll der Absender z.B. informiert werden, wenn er uns Office Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung gesendet werden wenn z.B. eine .exe Datei im Anhang ist. Gibt es eine Möglichkeit dies mit Amavis, Postfix, Postfix Addons oder RSpamD zu konfigurieren? Grüße, Martin. From Ralf.Hildebrandt at charite.de Mon Dec 17 11:16:48 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 17 Dec 2018 11:16:48 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: References: Message-ID: <20181217101648.GN7482@charite.de> * IT Newsletter : > Hallo Liste, > > gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen > zu benachrichtigen? > > So soll der Absender z.B. informiert werden, wenn er uns Office > Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies > als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung > gesendet werden wenn z.B. eine .exe Datei im Anhang ist. Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und einige Bildtypen sind. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From it-newsletter at bsi-data.de Mon Dec 17 11:25:37 2018 From: it-newsletter at bsi-data.de (IT Newsletter) Date: Mon, 17 Dec 2018 11:25:37 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <20181217101648.GN7482@charite.de> References: <20181217101648.GN7482@charite.de> Message-ID: <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Hallo Ralf, derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente senden, informieren dass die Mail geblockt wurde. Allerdings nur bei Office Dokumenten und nicht generell bei allen Dateitypen. Grüße, Martin. Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt: > * IT Newsletter : >> Hallo Liste, >> >> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen >> zu benachrichtigen? >> >> So soll der Absender z.B. informiert werden, wenn er uns Office >> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies >> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung >> gesendet werden wenn z.B. eine .exe Datei im Anhang ist. > > Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) > alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und > einige Bildtypen sind. > From wn at neessen.net Mon Dec 17 11:27:48 2018 From: wn at neessen.net (Winfried Neessen) Date: Mon, 17 Dec 2018 11:27:48 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: Hi, Am 17.12.2018 um 11:25 schrieb IT Newsletter : > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei > Office Dokumenten und nicht generell bei allen Dateitypen. Das geht ebenfalls mit AMaViSd Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Mon Dec 17 11:44:00 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 17 Dec 2018 11:44:00 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: <20181217104400.GP7482@charite.de> * IT Newsletter : > Hallo Ralf, > > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei > Office Dokumenten und nicht generell bei allen Dateitypen. Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der dann die Absender informiert. Wäre bei uns auch besser, weil die oft gar nicht wissen, was sie falsch machen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From it-newsletter at bsi-data.de Mon Dec 17 11:52:05 2018 From: it-newsletter at bsi-data.de (IT Newsletter) Date: Mon, 17 Dec 2018 11:52:05 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: Hallo Winni, kannst du mir auch sagen wie das funktioniert oder zumindest einen Hinweis geben wonach ich suchen kann? Danke, Martin. Am 17.12.2018 um 11:27 schrieb Winfried Neessen: > Hi, > > Am 17.12.2018 um 11:25 schrieb IT Newsletter : > >> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der >> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente >> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei >> Office Dokumenten und nicht generell bei allen Dateitypen. > > Das geht ebenfalls mit AMaViSd > > > Winni > From wn at neessen.net Mon Dec 17 11:59:51 2018 From: wn at neessen.net (Winfried Neessen) Date: Mon, 17 Dec 2018 11:59:51 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de>

Message-ID: <694D1168-6203-4BD2-BD14-0DD27CB55A80@neessen.net> Hi, Am 17.12.2018 um 11:52 schrieb IT Newsletter : > kannst du mir auch sagen wie das funktioniert oder zumindest einen > Hinweis geben wonach ich suchen kann? $warnvirussender und $warnbannedsender koennen Dir da helfen. Wenn Du explizit nur auf einen bestmmten Virus btw. ein bestimmtes Gebanntes File eingehen willst, dann ist die Logparser Loesung von Ralf vermutlich besser. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From spam-postfixbuch at discworld.dascon.de Mon Dec 17 12:02:36 2018 From: spam-postfixbuch at discworld.dascon.de (Michael Schwingen) Date: Mon, 17 Dec 2018 12:02:36 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <20181217104400.GP7482@charite.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> <20181217104400.GP7482@charite.de> Message-ID: <7bafb49f-06b6-ff28-b221-1d54b5376894@discworld.dascon.de> On 12/17/18 11:44 AM, Ralf Hildebrandt wrote: > * IT Newsletter : >> Hallo Ralf, >> >> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der >> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente >> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei >> Office Dokumenten und nicht generell bei allen Dateitypen. > > Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der > dann die Absender informiert. Wäre bei uns auch besser, weil die oft > gar nicht wissen, was sie falsch machen. Woher bekommst Du zu dem Zeitpunkt den echten Absender? Wenn Du nicht schon beim Annehmen der Mail rejectest, klingt das nach reichlich backscatter an unbeteiligte Absender bei der nächsten Welle mit infizierten Office-Dokumenten ... cu Michael From cr at ncxs.de Mon Dec 17 12:38:45 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 17 Dec 2018 12:38:45 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: Hi, wir haben das mit policy banks und dann als Content-Filter umgesetzt. Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder alle Mails nochmal durch einen Content-Filter schicken. In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man kann ein Custom Template verwenden in dem man explizit auf das Verbot von Office Dokumenten eingeht. Viele Grüße Carsten On 17.12.18 11:25, IT Newsletter wrote: > Hallo Ralf, > > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei > Office Dokumenten und nicht generell bei allen Dateitypen. > > Grüße, Martin. > > Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt: >> * IT Newsletter : >>> Hallo Liste, >>> >>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen >>> zu benachrichtigen? >>> >>> So soll der Absender z.B. informiert werden, wenn er uns Office >>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies >>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung >>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist. >> >> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) >> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und >> einige Bildtypen sind. >> From michael at linuxfox.de Mon Dec 17 10:04:23 2018 From: michael at linuxfox.de (Michael Grundmann) Date: Mon, 17 Dec 2018 10:04:23 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Server_blocken=2c_die_im_DNS_nicht_richti?= =?UTF-8?Q?g_aufl=c3=b6sen?= In-Reply-To: <20181217005620.65a9544e@localhost> References: <20181216141527.4e7d8b91@localhost> <20181216173601.GA26582@charite.de> <20181217005620.65a9544e@localhost> Message-ID: Am 17.12.18 um 00:56 schrieb Andreas Meyer: > Ralf Hildebrandt schrieb am 16.12.18 um 18:36:02 Uhr: > > Dann sind diese warnings einfach nur Rauschen? > > Grüße > > Andreas > Jupp - dein Rechner sagt dir nur, dass er von diesem Server keine Mail annimmt -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From it-newsletter at bsi-data.de Mon Dec 17 15:57:09 2018 From: it-newsletter at bsi-data.de (IT Newsletter) Date: Mon, 17 Dec 2018 15:57:09 +0100 Subject: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: <220932d8-0705-1aaf-8f39-6ca5909bbcf1@bsi-data.de> Hi Carsten, danke für deine Antwort. Ich habe jetzt ein bischen damit herumgespielt. Sieht soweit alles gut aus und funktioniert wie gewünscht. Damit wir aber nicht Gott und die Welt benachrichtigen, wollen wir die Absender Adresse/Domain mit unserer Kundendatenbank abgleichen. Dazu senden wir die Banned Benachrichtigung in ein gesondertes Konto, lesen dort die X-Envelope-From Adresse per Skript aus, vergleichen die Adresse mit der Kundendatenbank und informieren dann per sendmail. Grüße, Martin Am 17.12.2018 um 12:38 schrieb Carsten Rosenberg: > Hi, > > wir haben das mit policy banks und dann als Content-Filter umgesetzt. > > Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den > entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder > alle Mails nochmal durch einen Content-Filter schicken. > > In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man > kann ein Custom Template verwenden in dem man explizit auf das Verbot > von Office Dokumenten eingeht. > > Viele Grüße > > Carsten > > On 17.12.18 11:25, IT Newsletter wrote: >> Hallo Ralf, >> >> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der >> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente >> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei >> Office Dokumenten und nicht generell bei allen Dateitypen. >> >> Grüße, Martin. >> >> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt: >>> * IT Newsletter : >>>> Hallo Liste, >>>> >>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen >>>> zu benachrichtigen? >>>> >>>> So soll der Absender z.B. informiert werden, wenn er uns Office >>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies >>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung >>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist. >>> >>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) >>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und >>> einige Bildtypen sind. >>> From helge.wiethoff at thga.de Mon Dec 17 16:08:54 2018 From: helge.wiethoff at thga.de (Wiethoff, Helge) Date: Mon, 17 Dec 2018 15:08:54 +0000 Subject: AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> Message-ID: <194290040642FB4D952083D79F7F7D1D41A44F33@BOHEMSX2010.rbbk.de> Hallo zusammen, vielleicht etwas Off-Topic: Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit können Office-Makros ganz okay erkannt werden: /var/lib/clamav# cat yara_officemacros.yar rule office_macro { meta: description = "M$ Office document containing a macro" thread_level = 1 in_the_wild = true strings: $a = {d0 cf 11 e0} $b = {00 41 74 74 72 69 62 75 74 00} condition: $a at 0 and $b } Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt. Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich. Viele Grüße Helge -- Helge Wiethoff Rechenzentrum +49 (234) 968 8717 > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im > Auftrag von Carsten Rosenberg > Gesendet: Montag, 17. Dezember 2018 12:39 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen > > Hi, > > wir haben das mit policy banks und dann als Content-Filter umgesetzt. > > Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den > entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder > alle Mails nochmal durch einen Content-Filter schicken. > > In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man > kann ein Custom Template verwenden in dem man explizit auf das Verbot > von Office Dokumenten eingeht. > > Viele Grüße > > Carsten > > On 17.12.18 11:25, IT Newsletter wrote: > > Hallo Ralf, > > > > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der > > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente > > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei > > Office Dokumenten und nicht generell bei allen Dateitypen. > > > > Grüße, Martin. > > > > Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt: > >> * IT Newsletter : > >>> Hallo Liste, > >>> > >>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen > >>> zu benachrichtigen? > >>> > >>> So soll der Absender z.B. informiert werden, wenn er uns Office > >>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies > >>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung > >>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist. > >> > >> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) > >> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und > >> einige Bildtypen sind. > >> -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 7735 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Mon Dec 17 17:47:57 2018 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Mon, 17 Dec 2018 17:47:57 +0100 Subject: AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <20181217104400.GP7482@charite.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> <20181217104400.GP7482@charite.de> Message-ID: <003c01d49628$44067880$cc136980$@fblan.de> Im Auftrag von Ralf Hildebrandt > > * IT Newsletter : > > Hallo Ralf, > > > > derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der > > Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente > > senden, informieren dass die Mail geblockt wurde. Allerdings nur bei > > Office Dokumenten und nicht generell bei allen Dateitypen. > > Hm, in dem Fall würde ich vielleicht einen Logparser schreiben, der > dann die Absender informiert. Wäre bei uns auch besser, weil die oft > gar nicht wissen, was sie falsch machen. > -- Bei reject wird er Absender doch informiert :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From cr at ncxs.de Mon Dec 17 20:50:36 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 17 Dec 2018 20:50:36 +0100 Subject: Office Macros / AW: [ext] Absender bei bestimmten Dateitypen benachrichtigen In-Reply-To: <194290040642FB4D952083D79F7F7D1D41A44F33@BOHEMSX2010.rbbk.de> References: <20181217101648.GN7482@charite.de> <425f0df4-5289-d034-8ca5-dd789391fd69@bsi-data.de> <194290040642FB4D952083D79F7F7D1D41A44F33@BOHEMSX2010.rbbk.de> Message-ID: Die OLE Erkennung im ClamAV selbst arbeitet auch sehr ordentlich. # /etc/clamd.conf ScanOLE2 true OLE2BlockMacros true Dann gibt der ClamAV Heuristics.OLE2.ContainsMacros als Virusnamen aus, was man dann entsprechend im Amavis und Rspamd abfangen kann. Das Problem ist ja meistens, dass man Macros nicht per se blocken möchte. Beim Spamassassin kann man OLEMacro empfehlen, dass ein einfaches matching auf autoexec Funktionen macht. Für den Rspamd haben wir gerade einen Prototypen mit oletools gebaut und bei uns und ersten Kunden schon im Einsatz. Also ähnlich dem Macromilter nur direkt im Rspamd. Damit lassen sich ziemlich granular böse Funktionsgruppen (automatische Ausführung, Schreiben ins Dateisystem, Shellaufrufe) oder einzelne Funktionen mit Aktionen belegen. Das Plugin muss nur noch n bisl aufgeräumt werden. VG Carsten On 17.12.18 16:08, Wiethoff, Helge wrote: > Hallo zusammen, > > vielleicht etwas Off-Topic: > > Wir hatten das Problem größtenteils mit doc-Dateien, die Schadsoftware > nachgeladen haben. Mit ClamAV lassen sich auch yara-Regeln einbinden und damit > können Office-Makros ganz okay erkannt werden: > /var/lib/clamav# cat yara_officemacros.yar > rule office_macro > { > meta: > description = "M$ Office document containing a macro" > thread_level = 1 > in_the_wild = true > strings: > $a = {d0 cf 11 e0} > $b = {00 41 74 74 72 69 62 75 74 00} > condition: > $a at 0 and $b > } > > Jetzt haben wir rspamd so konfiguriert, dass Mails die auf das pattern matchen > einen positiven score nahe der Ablehnung erhalten (+15). Wenn keine "positiven > Eigenschaften" noch hinzukommen (IP-reputation, etc.) wird die Mail abgelehnt. > > Das funktioniert bei uns jetzt seit einem guten Monat ganz ordentlich. > > > Viele Grüße > Helge > > > -- > Helge Wiethoff > Rechenzentrum > +49 (234) 968 8717 > > >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users Im >> Auftrag von Carsten Rosenberg >> Gesendet: Montag, 17. Dezember 2018 12:39 >> An: postfixbuch-users at listen.jpberlin.de >> Betreff: Re: [ext] Absender bei bestimmten Dateitypen benachrichtigen >> >> Hi, >> >> wir haben das mit policy banks und dann als Content-Filter umgesetzt. >> >> Also .exe & Co wird Pre-Queue abgelehnt. Dann kannst du mit den >> entsprechenden Postfix Funktionen bestimmte Mails (z.B. mit Doc) oder >> alle Mails nochmal durch einen Content-Filter schicken. >> >> In der Policy Bank wird das Doc geblockt (und ja gebounced). Aber man >> kann ein Custom Template verwenden in dem man explizit auf das Verbot >> von Office Dokumenten eingeht. >> >> Viele Grüße >> >> Carsten >> >> On 17.12.18 11:25, IT Newsletter wrote: >>> Hallo Ralf, >>> >>> derzeit landen bei uns alle Mails mit unerwünschten Anhängen in der >>> Quarantäne. Wir wollen aber die Absender, die uns Office Dokumente >>> senden, informieren dass die Mail geblockt wurde. Allerdings nur bei >>> Office Dokumenten und nicht generell bei allen Dateitypen. >>> >>> Grüße, Martin. >>> >>> Am 17.12.2018 um 11:16 schrieb Ralf Hildebrandt: >>>> * IT Newsletter : >>>>> Hallo Liste, >>>>> >>>>> gibt es eine Möglichkeit den Absender nur bei bestimmten Dateianhängen >>>>> zu benachrichtigen? >>>>> >>>>> So soll der Absender z.B. informiert werden, wenn er uns Office >>>>> Dokumente sendet, dass wir keine Office Dokumente annehmen und er dies >>>>> als PDF erneut senden soll. Andererseits sollte keine Benachrichtigung >>>>> gesendet werden wenn z.B. eine .exe Datei im Anhang ist. >>>> >>>> Also, wir machen das mit Amavis, der einfach (an den Rechnungseingang) >>>> alle Mails abweist, deren Anhänge nicht PDF, HTML, plain/text und >>>> einige Bildtypen sind. >>>> From anmeyer at mailbox.org Tue Dec 18 15:22:48 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 15:22:48 +0100 Subject: Problem mit Einlieferung von email Message-ID: <20181218152248.56dd0465@localhost> Hallo! Einer meiner Mailserver ist für verschiedene Domains zuständig. In der master.cf habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und smtp_bind_address angelegt. Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern. Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09: to=, relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6, delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1 : Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: mail.nimmini.de, MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001] (helo/hostname mismatch) (in reply to RCPT TO command)) Welcher check bei mailbox.org wird da so streng angewendet und wie kann ich das Problem lösen? Unverständlich für mich ist, dass auf MTA hostname gecheckt wird, den ich bei Postfix ja nur einmal angeben kann, oder? Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From wn at neessen.net Tue Dec 18 15:49:57 2018 From: wn at neessen.net (Winfried Neessen) Date: Tue, 18 Dec 2018 15:49:57 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218152248.56dd0465@localhost> References: <20181218152248.56dd0465@localhost> Message-ID: Hi, Am 18.12.2018 um 15:22 schrieb Andreas Meyer : > Welcher check bei mailbox.org wird da so streng angewendet und wie kann ich das Problem > lösen? > helo/hostname mismatch Der Mailserver hat einen anderen Hostnamen als der unter dem er sich im HELO beim empfangenden Server meldet. Wenn Du das korrigierst, sollte es wieder funktionieren. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From anmeyer at mailbox.org Tue Dec 18 16:05:40 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 16:05:40 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> Message-ID: <20181218160540.75dfeb94@localhost> Winfried Neessen schrieb am 18.12.18 um 15:49:57 Uhr: > Hi, > > Am 18.12.2018 um 15:22 schrieb Andreas Meyer : > > > Welcher check bei mailbox.org wird da so streng angewendet und wie kann ich das Problem > > lösen? > > > helo/hostname mismatch > > Der Mailserver hat einen anderen Hostnamen als der unter dem er sich im HELO beim empfangenden > Server meldet. Wenn Du das korrigierst, sollte es wieder funktionieren. Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname angeben, obwohl er für verschiedene Domains zuständig ist. Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From wn at neessen.net Tue Dec 18 16:07:35 2018 From: wn at neessen.net (Winfried Neessen) Date: Tue, 18 Dec 2018 16:07:35 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218160540.75dfeb94@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> Message-ID: Hi, Am 18.12.2018 um 16:05 schrieb Andreas Meyer : > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > angeben, obwohl er für verschiedene Domains zuständig ist. > Es ist egal fuer wieviele Domains Postfix zustaendig ist. Es geht hier um die "Indentifikation" anderen Servern gegenueber. Der Parameter "myhostname" hilft Dir dabei. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From technoworx at gmx.de Tue Dec 18 16:13:47 2018 From: technoworx at gmx.de (Alexander Stoll) Date: Tue, 18 Dec 2018 16:13:47 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218160540.75dfeb94@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> Message-ID: <386f3a38-189a-2c00-2743-d23540299fb9@gmx.de> Am 18.12.2018 um 16:05 schrieb Andreas Meyer: > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > angeben, obwohl er für verschiedene Domains zuständig ist. Grundsätzliches nicht verstanden... Dein System hat einen Hostname, der in absolut keinerlei Beziehung zu den Domains steht, für den E-Mail empfangen wird. Dieses Mapping hat konsistent zu sein. Die Domains, für die E-Mail empfangen werden sollen, setzen einen MX-Pointer auf das System... Für den Versand gilt ähnliches bzgl. DKIM/SPF/... --> es reicht eine Domain (die nichts mit den anderen zu tun haben muss) völlig aus... From anmeyer at mailbox.org Tue Dec 18 16:25:21 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 16:25:21 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> Message-ID: <20181218162521.1164a2ce@localhost> Winfried Neessen schrieb am 18.12.18 um 16:07:35 Uhr: > Am 18.12.2018 um 16:05 schrieb Andreas Meyer : > > > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > > angeben, obwohl er für verschiedene Domains zuständig ist. > > > > Es ist egal fuer wieviele Domains Postfix zustaendig ist. Es geht hier um die "Indentifikation" anderen > Servern gegenueber. Der Parameter "myhostname" hilft Dir dabei. Wenn ich mit smtp_helo_hostname=second.de einliefere und der check auf dem empfangenden server liefert ein helo/hostname mismatch, weil der hostname auf first.de lautet, dann weis ich nicht, wie ich das korrigieren sollte. > Winni > Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Dec 18 16:27:58 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 18 Dec 2018 16:27:58 +0100 Subject: [ext] Re: Problem mit Einlieferung von email In-Reply-To: <20181218162521.1164a2ce@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <20181218162521.1164a2ce@localhost> Message-ID: <20181218152758.GE22610@charite.de> * Andreas Meyer : > Winfried Neessen schrieb am 18.12.18 um 16:07:35 Uhr: > > > Am 18.12.2018 um 16:05 schrieb Andreas Meyer : > > > > > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > > > angeben, obwohl er für verschiedene Domains zuständig ist. > > > > > > > Es ist egal fuer wieviele Domains Postfix zustaendig ist. Es geht hier um die "Indentifikation" anderen > > Servern gegenueber. Der Parameter "myhostname" hilft Dir dabei. > > Wenn ich mit smtp_helo_hostname=second.de einliefere und der check auf dem empfangenden > server liefert ein helo/hostname mismatch, weil der hostname auf first.de lautet, dann weis ich > nicht, wie ich das korrigieren sollte. smtp_helo_hostname=first.de nutzen From buettnerp at web.de Tue Dec 18 16:31:21 2018 From: buettnerp at web.de (Peter Buettner) Date: Tue, 18 Dec 2018 16:31:21 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218152248.56dd0465@localhost> References: <20181218152248.56dd0465@localhost> Message-ID: .. das ist der Klassiker: dig mail.bitcorner.de ;; ANSWER SECTION: mail.bitcorner.de. 86400 IN A 37.120.166.21 dig -x 37.120.166.21 ;; ANSWER SECTION: 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. Vorwärts- und Rückwärtsauflösung sind die Minimalanforderungen und hier OK. Wenn Du jetzt hingehst und den Helonamen änderst, passt das nicht mehr zusammen und jeder Mailserver bounced. Lösung: Entweder den Spökes mit den Helonamen sein lassen oder für jeden helonamen im DNS eine Rückwärtsauflösung einricheten. Gruß Peter Büttner Am 18.12.18 um 15:22 schrieb Andreas Meyer: > Hallo! > > Einer meiner Mailserver ist für verschiedene Domains zuständig. In der master.cf > habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und smtp_bind_address > angelegt. > > Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern. > > Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09: to=, relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6, delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1 : Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: mail.nimmini.de, MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001] (helo/hostname mismatch) (in reply to RCPT TO command)) > > Welcher check bei mailbox.org wird da so streng angewendet und wie kann ich das Problem > lösen? > > Unverständlich für mich ist, dass auf MTA hostname gecheckt wird, den ich bei Postfix > ja nur einmal angeben kann, oder? > > Grüße > > Andreas > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From anmeyer at mailbox.org Tue Dec 18 16:34:12 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 16:34:12 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <386f3a38-189a-2c00-2743-d23540299fb9@gmx.de> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <386f3a38-189a-2c00-2743-d23540299fb9@gmx.de> Message-ID: <20181218163412.42c8e256@localhost> Alexander Stoll schrieb am 18.12.18 um 16:13:47 Uhr: > Am 18.12.2018 um 16:05 schrieb Andreas Meyer: > > > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > > angeben, obwohl er für verschiedene Domains zuständig ist. > > Grundsätzliches nicht verstanden... Und warum führt dann ein empfangendes System einen check auf ehlo_name UND hostname durch. > > Dein System hat einen Hostname, der in absolut keinerlei Beziehung zu > den Domains steht, für den E-Mail empfangen wird. Dieses Mapping hat > konsistent zu sein. > > Die Domains, für die E-Mail empfangen werden sollen, setzen einen > MX-Pointer auf das System... Auf das System, nicht auf die Domain? Du zerstörst mein Weltbild. > Für den Versand gilt ähnliches bzgl. DKIM/SPF/... > > --> es reicht eine Domain (die nichts mit den anderen zu tun haben muss) > völlig aus... > -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From anmeyer at mailbox.org Tue Dec 18 16:35:22 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 16:35:22 +0100 Subject: [ext] Re: Problem mit Einlieferung von email In-Reply-To: <20181218152758.GE22610@charite.de> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <20181218162521.1164a2ce@localhost> <20181218152758.GE22610@charite.de> Message-ID: <20181218163522.0858cd89@localhost> Ralf Hildebrandt schrieb am 18.12.18 um 16:27:58 Uhr: > * Andreas Meyer : > > Winfried Neessen schrieb am 18.12.18 um 16:07:35 Uhr: > > > > > Am 18.12.2018 um 16:05 schrieb Andreas Meyer : > > > > > > > Ja, aber das kann ich nicht korrigieren, ich wüsste nicht wie. Bei postfix kann ich nur einen hostname > > > > angeben, obwohl er für verschiedene Domains zuständig ist. > > > > > > > > > > Es ist egal fuer wieviele Domains Postfix zustaendig ist. Es geht hier um die "Indentifikation" anderen > > > Servern gegenueber. Der Parameter "myhostname" hilft Dir dabei. > > > > Wenn ich mit smtp_helo_hostname=second.de einliefere und der check auf dem empfangenden > > server liefert ein helo/hostname mismatch, weil der hostname auf first.de lautet, dann weis ich > > nicht, wie ich das korrigieren sollte. > > smtp_helo_hostname=first.de nutzen Ich wollte, dass smtp_helo_hostname konsistent zur domain ist. Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From r.sander at heinlein-support.de Tue Dec 18 16:40:59 2018 From: r.sander at heinlein-support.de (Robert Sander) Date: Tue, 18 Dec 2018 16:40:59 +0100 Subject: [ext] Re: Problem mit Einlieferung von email In-Reply-To: <20181218163522.0858cd89@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <20181218162521.1164a2ce@localhost> <20181218152758.GE22610@charite.de> <20181218163522.0858cd89@localhost> Message-ID: <077d9b9e-e980-b450-cd73-cc67a1c7058e@heinlein-support.de> On 18.12.18 16:35, Andreas Meyer wrote: > Ich wollte, dass smtp_helo_hostname konsistent zur domain ist. Und das ist die falsche Prämisse. Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin https://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Amtsgericht Berlin-Charlottenburg - HRB 93818 B Geschäftsführer: Peer Heinlein - Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From wn at neessen.net Tue Dec 18 16:46:22 2018 From: wn at neessen.net (Winfried Neessen) Date: Tue, 18 Dec 2018 16:46:22 +0100 Subject: [ext] Re: Problem mit Einlieferung von email In-Reply-To: <20181218163522.0858cd89@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <20181218162521.1164a2ce@localhost> <20181218152758.GE22610@charite.de> <20181218163522.0858cd89@localhost> Message-ID: Hi, Am 18.12.2018 um 16:35 schrieb Andreas Meyer : >> smtp_helo_hostname=first.de nutzen > > Ich wollte, dass smtp_helo_hostname konsistent zur domain ist. Das ist der falsche Ansatz. Du versuchst da irgendwelche kosmetischen Dinge hinzubiegen, die im Endeffekt eh niemand sieht - ausser man schaut in die Mailheader oder die Serverlogs. Und gerade im letzten Fall ist es viel hilfreicher, wenn dort der Hostname des einliefernden Servers steht und nicht ein Name einer virtuellen Domain. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From ralph at schosemail.de Tue Dec 18 16:48:23 2018 From: ralph at schosemail.de (Ralph Meyer) Date: Tue, 18 Dec 2018 16:48:23 +0100 (CET) Subject: [ext] Re: Problem mit Einlieferung von email In-Reply-To: <20181218163522.0858cd89@localhost> References: <20181218152248.56dd0465@localhost> <20181218160540.75dfeb94@localhost> <20181218162521.1164a2ce@localhost> <20181218152758.GE22610@charite.de> <20181218163522.0858cd89@localhost> Message-ID: <1197101043.2863.1545148102985.JavaMail.zimbra@schosemail.de> > Ich wollte, dass smtp_helo_hostname konsistent zur domain ist. Das dürfte dir um die Ohren fliegen. Wie willst du bei mehreren PTR sicherstellen, das genau der vom aktuell benutzen helo vom DNS zurückgegeben wird ? Ralph From driessen at fblan.de Tue Dec 18 16:52:03 2018 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 18 Dec 2018 16:52:03 +0100 Subject: AW: Problem mit Einlieferung von email In-Reply-To: <20181218152248.56dd0465@localhost> References: <20181218152248.56dd0465@localhost> Message-ID: <000001d496e9$9f0b95f0$dd22c1d0$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von Andreas Meyer > Hallo! > > Einer meiner Mailserver ist für verschiedene Domains zuständig. In der > master.cf > habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und > smtp_bind_address > angelegt. Und die HELO stehen alle sauber vorwärts und Rückwärts im DNS ? Zudem warum soll sich dein Mailserver mit 2 unterschiedlichen Namen melden (hat er er einen Künstlernamen?) Due Beötigts nur 1 eindeutiges HELO 1 eindeutigen PTR UND A/AAA ( UND BITTE KEINE 2 PTR auf EINER IP dann gibt es den nächsten Fehler) Alles im DNS eingetragen und vorwärts und Rückwärts auflösbar eingetragen Hostabfrage : IP = A/AAA = IP Dein Mailserver heißt wie er heißt und das wird im "Pass" eingetragen und den hat er den anderen Mailservern vorzuzeigen. Ob dein Mailserver nun 1 oder 2 oder 1000 Domains verwaltet und betreut ist für den "Pass" unwichtig :-) > > Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern. > > Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09: > to=, > relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6, > delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host > mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1 > : Recipient address rejected: Mail appeared to be > SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS > MX settings or to get removed from DNSBLs; MTA helo: mail.nimmini.de, > MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001] > (helo/hostname mismatch) (in reply to RCPT TO command)) > > Welcher check bei mailbox.org wird da so streng angewendet und wie kann > ich das Problem > lösen? s.o. eindeutig und mit dem Namen melden der im DNS zu finden ist. > > Unverständlich für mich ist, dass auf MTA hostname gecheckt wird, den ich > bei Postfix > ja nur einmal angeben kann, oder? Du kannst bei Postfix eintragen was immer du auch lustig bist. Wer erwischt wird ist selber schuld wenn er den falschen Namen angibt :-) Außerdem wird nicht dein Mailserver sondern DNS geprüft. > > Grüße > > Andreas Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEE1ctPFXEQNnJpmcx+RRXxh+CCgPQFAlwZBoMACgkQRRXxh+CC gPTHEQf/S5nTBrRoXb2dRyOFHPkXntIQFoINz0MVhBRyTlrD5tUir1rTbcaty2lp DfmlFxgSinTF1H0eQlqT0cvg5uscskhtdzPHaFYLlbzo/2S2LBSaCuzdR3mNiUOj eAXX6eP59tP2sSXnCB/AWWQOXHmt3u8uhNjzCrv+NzjZgLCa2zAvqan5FVvIxJdL Lr9O0FSVjY2/gPOCSQXjHfDDYptZtDNTtR/EcSHe1rR4vEQrdcWSMFhH4WTFZNQH Oc1goEZnHHdvhvi2CiR9JyeHXEaFJCJaQZDoAJ1BnFm//qmwM+4VeZC2XKXW0a+a 9S6d/oignlivc9dBuwG952so6RgFaQ== =0MW/ -----END PGP SIGNATURE----- From anmeyer at mailbox.org Tue Dec 18 17:35:03 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 17:35:03 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> Message-ID: <20181218173503.6a1a5782@localhost> Peter Buettner schrieb am 18.12.18 um 16:31:21 Uhr: > .. das ist der Klassiker: > > dig mail.bitcorner.de > ;; ANSWER SECTION: > mail.bitcorner.de. 86400 IN A 37.120.166.21 > > dig -x 37.120.166.21 > ;; ANSWER SECTION: > 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. > > Vorwärts- und Rückwärtsauflösung sind die Minimalanforderungen und hier OK. > > Wenn Du jetzt hingehst und den Helonamen änderst, passt das nicht mehr > zusammen und jeder Mailserver bounced. > > Lösung: > > Entweder den Spökes mit den Helonamen sein lassen oder für jeden > helonamen im DNS eine Rückwärtsauflösung einricheten. Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen passen auf jeden helonamen und für jede Domain. Selbst wenn ich mich jetzt blamieren sollte, behaupte ich, dass ein check nicht auf den helonamen und gleichtzeitig den hostnamen matchen darf, weil es dann einen mismatch geben MUSS. Die Problematik ist vor meinem Rumspielen mit postscreen gar nicht aufgetreten. Ich hatte dann für second.de einen falschen Parameter in der master.cf gesetztz und plötzlich war das Problem da. Muss mich mit postscreen noch näher beschäftigen. > Gruß > Peter Büttner Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From wn at neessen.net Tue Dec 18 17:45:34 2018 From: wn at neessen.net (Winfried Neessen) Date: Tue, 18 Dec 2018 17:45:34 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218173503.6a1a5782@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> Message-ID: <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> Hi, Am 18.12.2018 um 17:35 schrieb Andreas Meyer : >> dig -x 37.120.166.21 >> ;; ANSWER SECTION: >> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. >> > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen > passen auf jeden helonamen und für jede Domain. > Wie willst Du denn bitte sicherstellen, dass beim Round-Robin DNS immer das passende Paar vom DNS zurueck kommt? Was soll der ganze Spoekes mit der Namensaufloesung und den virtuellen Domains? Es funktioniert einfach nicht. Du hast hier von min. 6-7 Personen gesagt bekommen, dass das, was Du machst falsch ist. Warum vertraust Du nicht einfach deren Aussage/Erfahrung? Lass einfach einen normalen Hostname fuer den Mailserver fest konfiguriert, der zum entsprechenden DNS-Eintrag des Server (DNS und rDNS) passt - ganz egal welche virtuellen Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 1379 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Tue Dec 18 17:51:26 2018 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 18 Dec 2018 17:51:26 +0100 Subject: AW: Problem mit Einlieferung von email In-Reply-To: <20181218173503.6a1a5782@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> Message-ID: <002a01d496f1$ebff7860$c3fe6920$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von Andreas Meyer > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen > passen auf jeden helonamen und für jede Domain. Welche Domainnamen ? > > Selbst wenn ich mich jetzt blamieren sollte, behaupte ich, dass ein check > nicht auf den helonamen und gleichtzeitig den hostnamen matchen darf, > weil es dann einen mismatch geben MUSS. Doch klar darf es meine Mailserver ist GENAUSO aufgebaut und sicherlich KEINE Ausnahme > > Die Problematik ist vor meinem Rumspielen mit postscreen gar nicht > aufgetreten. > Ich hatte dann für second.de einen falschen Parameter in der master.cf > gesetztz > und plötzlich war das Problem da. Muss mich mit postscreen noch näher > beschäftigen. Dös hedd nix mit dem Postscreen to donn > Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlwZJX4ACgkQur3LxV3c LvxfCwf9H6PJbzo4zSL7VQq+1EJDXVaxb+BtZdnFzIkjUdhWCVv55E+nBJesv86w rek/5R/zuXgutX5LD+A0+G1la5FSMb0HjczyyKEaimjRsZiKFqKSPMNAfZ47hz+A 0zD4FA+dErN5vbs7vw7tamvxrK5BNzY6iFhuFqbXIxw2xxnr063SHzjL9RuzbBv2 34L/X5HX7ZV/6Irl5nRA5NDfe7AFlwBWtF4C6p4f9ddNCA4i57eZC3Qykt8sEBKZ recUOUR48iHaWaIanLk5R44+QqYuw1O4SjD3+1rsMlv01zIYFynGwNNl+tbxager n9huAnMlzNqA33XF9Tp43U0Anqp00A== =+Y8m -----END PGP SIGNATURE----- From ralph at schosemail.de Tue Dec 18 18:14:27 2018 From: ralph at schosemail.de (Ralph Meyer) Date: Tue, 18 Dec 2018 18:14:27 +0100 (CET) Subject: Problem mit Einlieferung von email In-Reply-To: <20181218173503.6a1a5782@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> Message-ID: <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen > passen auf jeden helonamen und für jede Domain. > Also entweder, wir reden alle komplett aneinander vorbei, oder du hast was unnötig kompliziertes mit "IP pro Domain" oder sowas vor. > Die Problematik ist vor meinem Rumspielen mit postscreen gar nicht aufgetreten. postscreen ist da völlig außen vor. Komplett andere Baustelle. Ralph From technoworx at gmx.de Tue Dec 18 18:36:01 2018 From: technoworx at gmx.de (Alexander Stoll) Date: Tue, 18 Dec 2018 18:36:01 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218173503.6a1a5782@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> Message-ID: Am 18.12.2018 um 17:35 schrieb Andreas Meyer: > Selbst wenn ich mich jetzt blamieren sollte, behaupte ich, dass ein check > nicht auf den helonamen und gleichtzeitig den hostnamen matchen darf, > weil es dann einen mismatch geben MUSS. RFCs regeln die Interoperabilität der Systeme und DIE verlangen genau dieses Verhalten als korrektes Protokoll. Die richtigen Lösungsansätze wurden genannt, Du kannst die annehmen und aufhören weiter in die falsche Richtung zu rennen oder mit einer unzuverlässigen Zustellung leben... Zur Sinnfrage: Dein System verhält sich nicht konform zum verpflichtenden Protokoll, andere Systeme nutzen dieses Kriterium, um mit wenig Ressourcenverschwendung, in einer frühen Phase legitime Verbindungen vom Grundrauschen durch Botnetze zu trennen und Du wirst eben (zurecht) aussortiert. Nicht mehr, nicht weniger. Dies zu beheben ist, wie mehrfach schon erklärt wurde, extrem einfach. Das Archiv dieser Liste ist prall gefüllt zu dieser Thematik - mit immer gleichem Ergebnis... From anmeyer at mailbox.org Tue Dec 18 18:44:16 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 18:44:16 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> Message-ID: <20181218184416.4b9eb79f@localhost> Winfried Neessen schrieb am 18.12.18 um 17:45:34 Uhr: > Hi, > > Am 18.12.2018 um 17:35 schrieb Andreas Meyer : > > >> dig -x 37.120.166.21 > >> ;; ANSWER SECTION: > >> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. > >> > > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen > > passen auf jeden helonamen und für jede Domain. > > > > Wie willst Du denn bitte sicherstellen, dass beim Round-Robin DNS immer das passende > Paar vom DNS zurueck kommt? Was soll der ganze Spoekes mit der Namensaufloesung > und den virtuellen Domains? Es funktioniert einfach nicht. Du hast hier von min. 6-7 > Personen gesagt bekommen, dass das, was Du machst falsch ist. Warum vertraust Du > nicht einfach deren Aussage/Erfahrung? > > Lass einfach einen normalen Hostname fuer den Mailserver fest konfiguriert, der zum > entsprechenden DNS-Eintrag des Server (DNS und rDNS) passt - ganz egal welche virtuellen > Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll. Genau das ist der Fall, seit der MTA online ist. > > > Winni Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From michael at linuxfox.de Tue Dec 18 18:48:12 2018 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 18 Dec 2018 18:48:12 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> Message-ID: <86fbc0f0-6e1d-b133-a789-b3f108b23a43@linuxfox.de> Am 18.12.18 um 17:45 schrieb Winfried Neessen: >>> dig -x 37.120.166.21 >>> ;; ANSWER SECTION: >>> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. btw wird der mx explizit abgefragt - vllt. hilft das für das Verständnisproblem dig bitcorner.de mx > Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll. und ja, wenn Winne hier was lostritt, hat das schon Hand und Fuß Achte einfach darauf welcher MX im DNS steht - ist echt simple -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen BTW: Produktionsbremsen sind immer die Bürokraten From anmeyer at mailbox.org Tue Dec 18 18:49:24 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 18:49:24 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> Message-ID: <20181218184924.342742b8@localhost> Ralph Meyer schrieb am 18.12.18 um 18:14:27 Uhr: > > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen > > passen auf jeden helonamen und für jede Domain. > > > > Also entweder, wir reden alle komplett aneinander vorbei, oder du hast was unnötig kompliziertes mit "IP pro Domain" oder sowas vor. Ich habe den Eindruck, als ob ich hier komplett missverstanden werde, denn der MTA läuft seit Jahren mit ständigen Verbesserungen einwandfrei ohne dass ihn irgendjemand irgendwann einmal geblockt hätte. Und ja, ich habe zu jeder IP eine Domaine online. > > Die Problematik ist vor meinem Rumspielen mit postscreen gar nicht aufgetreten. > > postscreen ist da völlig außen vor. Komplett andere Baustelle. Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA geblockt hätte. > > Ralph Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From ffiene at veka.com Tue Dec 18 18:50:31 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 18 Dec 2018 18:50:31 +0100 Subject: Sophos AV mit Amavisd-new und SAVDI In-Reply-To: References: <0B841909-C944-4A6C-B3C2-0D1D27E30329@veka.com>

<973AE6E3-A5FC-4640-93EF-356E61629A7B@veka.com> <625086F2-363C-460F-8949-10ABA589EFF5@veka.com> <9575FC7D-EB42-49FE-A12F-4BF8501D22A9@veka.com> Message-ID: > Am 05.12.2018 um 20:52 schrieb Carsten Rosenberg : > > Hey, > > per default sind viele von denen ausgeschaltet. Ich habe leider keinen > Vergleich ob es hilft diese explizit zu aktivieren. Ich suche bei > Gelegenheit die Dokus dazu mal raus. Von dem Cxmail war da leider keine > Rede. > >> BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? > > So 80/20 oder 70/30 + den allgemein gültigen Teil. Beim Rspamd gibts > halt viel mehr zu bestaunen und auch zu erklären. Sehr schön, ist im März gebucht! :-) -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From technoworx at gmx.de Tue Dec 18 19:00:44 2018 From: technoworx at gmx.de (Alexander Stoll) Date: Tue, 18 Dec 2018 19:00:44 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181218184924.342742b8@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> Message-ID: Am 18.12.2018 um 18:49 schrieb Andreas Meyer: > Ralph Meyer schrieb am 18.12.18 um 18:14:27 Uhr: > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet > hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA > geblockt hätte. Dann wurde die konsistente Konfiguration bei diesem Versuch offensichtlich verändert. Du hast eine Fehlermeldung eines fremden Systems von einer gescheiterten Zustellung präsentiert, die Ursache wurde erklärt und die Lösung ebenso. Korrelation ist nicht gleich Ursache... ;-)))) So fern Du nichts handfestes für einen überaus exotischen Bug präsentierst, würde ich die Ursache erst mal vor der Tastatur suchen... ;-) From anmeyer at mailbox.org Tue Dec 18 19:12:33 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 19:12:33 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <86fbc0f0-6e1d-b133-a789-b3f108b23a43@linuxfox.de> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <7A84D89E-B3F1-4DCA-83A5-6EF352135EB7@neessen.net> <86fbc0f0-6e1d-b133-a789-b3f108b23a43@linuxfox.de> Message-ID: <20181218191233.36675d60@localhost> Michael Grundmann schrieb am 18.12.18 um 18:48:12 Uhr: > Am 18.12.18 um 17:45 schrieb Winfried Neessen: > > >>> dig -x 37.120.166.21 > >>> ;; ANSWER SECTION: > >>> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de. > > btw wird der mx explizit abgefragt - vllt. hilft das für das > Verständnisproblem > > dig bitcorner.de mx > > > > Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll. > > und ja, wenn Winne hier was lostritt, hat das schon Hand und Fuß > > Achte einfach darauf welcher MX im DNS steht - ist echt simple Aber das passt doch alles. Der MTA hat eben nur einen hostnamen und die virtuellen Domains empfangen und senden alle unter ihrer eigenen Kennung. Und es gibt keine Probleme mit dem DNS, nur eines mit einem MTA, der auf hostname und ehloname checkt. Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From anmeyer at mailbox.org Tue Dec 18 19:15:10 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Tue, 18 Dec 2018 19:15:10 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> Message-ID: <20181218191510.494496ec@localhost> Alexander Stoll schrieb am 18.12.18 um 19:00:44 Uhr: > Am 18.12.2018 um 18:49 schrieb Andreas Meyer: > > Ralph Meyer schrieb am 18.12.18 um 18:14:27 Uhr: > > > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet > > hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA > > geblockt hätte. > > Dann wurde die konsistente Konfiguration bei diesem Versuch > offensichtlich verändert. > > Du hast eine Fehlermeldung eines fremden Systems von einer gescheiterten > Zustellung präsentiert, die Ursache wurde erklärt und die Lösung ebenso. > > Korrelation ist nicht gleich Ursache... ;-)))) > > So fern Du nichts handfestes für einen überaus exotischen Bug > präsentierst, würde ich die Ursache erst mal vor der Tastatur suchen... ;-) Es gibt keinen Bug. Und hör' auf, dich auf meine Kosten zu profilieren. Ansonsten schätze ich deine Ratschläge sehr. Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From driessen at fblan.de Tue Dec 18 22:46:00 2018 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 18 Dec 2018 22:46:00 +0100 Subject: AW: Problem mit Einlieferung von email In-Reply-To: <20181218191510.494496ec@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> <20181218191510.494496ec@localhost> Message-ID: <004201d4971b$11809e60$3481db20$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von Andreas Meyer > > Am 18.12.2018 um 18:49 schrieb Andreas Meyer: > > > Ralph Meyer schrieb am 18.12.18 um 18:14:27 > Uhr: > > > > > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf > geschaltet > Einer meiner Mailserver ist für verschiedene Domains zuständig. In der > master.cf > habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und > smtp_bind_address > angelegt. Wie hast du denn Postscreen für eine virtuelle Domain scharf geschaltet? > Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern. > > Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09: > to=, > relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6, > delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host > mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1 > : Recipient address rejected: Mail appeared to be > SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS > MX settings or to get removed from DNSBLs; MTA >>> helo: mail.nimmini.de, Wohin löst der Name mail.nimmini.de denn auf ? mail.nimmini.de has address 46.38.231.143 143.231.38.46.in-addr.arpa domain name pointer mail.nimmini.de IPv6 eintrag fehlt Und der ist eine ganz andere IP und NETZWERK als die unter der sich der Mailserver gemeldet hat > MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001] > (helo/hostname mismatch) (in reply to RCPT TO command)) == der obige Fehler host mail.bitcorner.de mail.bitcorner.de has address 37.120.166.21 mail.bitcorner.de has IPv6 address 2a03:4000:6:4123::1 der stimmt ! - ------- Die Meldung kommt doch vom Policyd-weight wenn mich nicht alles täuscht :-) if(($helo_ok != 1) && ($helo_untrusted_ok != 1)) { my $EREJECTMSG = $my_REJECTMSG . '; MTA helo: '.$helo.', MTA hostname: ' . $client_name.'['.$ip.'] (helo/hostname mismatch)'; return($EREJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG); } return($my_REJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG); } Else Die grauen funzen noch. Bei der Prüfung geht es darum zu schauen ob die Absenderadresse auch nur ungefähr in den Netzbereich passt aus dem gerade gesendet wird ... Ich mach das mal mit Fragezeichen ich hab den code nicht studiert (ich muss ihn ja nicht schreiben nur wissen das es sowas gibt ) :-)) Also gar nicht so exotisch die Prüfung. Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlwZapEACgkQur3LxV3c LvyMzwf/f83czA5KN+cwsSl1UdJKb7zAnvW6+AaeMQVrAMJAT7IapuZvrCLfQ9Oo Rhjxvx6qUb9GtnjZSAJieSCtVuuCqUtNyVEFscJdkOIpD3i4qqBw7ppsrSP98hjP ArA60670t61HmWAb4/Hl6vNzlkpFR6Fi1qT1GowjENj0oRiQCGe4VWdziQE3Jlw1 nwdbf2IKTEjV3mxgSP79swWb+EDXa5p5Ok50J0vBWiInicF2++q/KAu8tzJm0CLL J9cb2qOw2d0RCsL5kMAnvRP0MZQHhBKG/QRIGx1orDx1Ea5+HbDYa1b0AbiZqBkY qBAH849D52WwmzLkG208mrb33AfgFg== =h3ae -----END PGP SIGNATURE----- From anmeyer at mailbox.org Wed Dec 19 14:18:47 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Wed, 19 Dec 2018 14:18:47 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <004201d4971b$11809e60$3481db20$@fblan.de> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> <20181218191510.494496ec@localhost> <004201d4971b$11809e60$3481db20$@fblan.de> Message-ID: <20181219141847.7f7e1045@localhost> Uwe Drießen schrieb am 18.12.18 um 22:46:00 Uhr: > > > > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf > > geschaltet > > > Einer meiner Mailserver ist für verschiedene Domains zuständig. In der > > master.cf > > habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und > > smtp_bind_address > > angelegt. > > Wie hast du denn Postscreen für eine virtuelle Domain scharf geschaltet? Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse gebunden habe: 46.38.231.143:smtpd pass - - n - - smtpd -o smtpd_proxy_filter=127.0.0.1:10024 -o content_filter= -o receive_override_options=no_address_mappings -o smtpd_proxy_options=speed_adjust -o smtpd_use_tls=yes -o smtpd_tls_security_level=may ..... 46.38.231.143:smtp inet n - n - 1 postscreen 46.38.231.143:tlsproxy unix - - n - 0 tlsproxy 46.83.231.143:dnsblog unix - - n - 0 dnsblog > > Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern. > > > > Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09: > > to=, > > relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6, > > delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host > > mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1 > > : Recipient address rejected: Mail appeared to be > > SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS > > MX settings or to get removed from DNSBLs; MTA > >>> helo: mail.nimmini.de, > > Wohin löst der Name mail.nimmini.de denn auf ? > mail.nimmini.de has address 46.38.231.143 > 143.231.38.46.in-addr.arpa domain name pointer mail.nimmini.de > > IPv6 eintrag fehlt Wird gerade geprüft, ob für die IPv4-Adresse auch eine IPv6-Adresse angebunden werden kann. Die IPv4-Adressen sind zusätzlich an die Netzwerkkarte angebunden. > Und der ist eine ganz andere IP und NETZWERK als die unter der sich der Mailserver gemeldet hat > > > MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001] > > (helo/hostname mismatch) (in reply to RCPT TO command)) > == der obige Fehler Genau da lag der Hase im Pfeffer, weil nach der fehlerhaften Anbindung von postscreen postifx nicht mehr auf port 25 für 46.38.231.143 gelauscht hat, sondern nur noch auf submission. Und somit auch ein falscher hostname zurückgeliefert wurde. > host mail.bitcorner.de > mail.bitcorner.de has address 37.120.166.21 > mail.bitcorner.de has IPv6 address 2a03:4000:6:4123::1 > > der stimmt ! > > - ------- > > Die Meldung kommt doch vom Policyd-weight wenn mich nicht alles täuscht :-) > > if(($helo_ok != 1) && ($helo_untrusted_ok != 1)) > { > my $EREJECTMSG = $my_REJECTMSG . > '; MTA helo: '.$helo.', MTA hostname: ' . > $client_name.'['.$ip.'] (helo/hostname mismatch)'; > > return($EREJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG); > } > return($my_REJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG); > } > Else > > Die grauen funzen noch. > > Bei der Prüfung geht es darum zu schauen ob die Absenderadresse auch nur ungefähr in den Netzbereich passt aus dem gerade gesendet wird ... > > Ich mach das mal mit Fragezeichen ich hab den code nicht studiert (ich muss ihn ja nicht schreiben nur wissen das es sowas gibt ) :-)) > > Also gar nicht so exotisch die Prüfung. Ok, das wird es wohl gewesen sein. Ich kenne den Policyd-weight nicht. > Mit freundlichen Grüßen > > Uwe Drießen Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From lists at localguru.de Thu Dec 20 13:39:08 2018 From: lists at localguru.de (Marcus Schopen) Date: Thu, 20 Dec 2018 13:39:08 +0100 Subject: sa-update Message-ID: <5ece1cab2a27a2e367b8eadad94a399b6d2afed8.camel@localguru.de> Moin, habt Ihr auch Probleme bei einem sa-update auf dem updates.spamassassin.org channel? Das Problem trat heute bei mir erstmals auf zwei Maschinen auf: ------ config: warning: description exists for non-existent rule EXCUSE_24 channel: lint check of update failed, channel failed sa-update failed for unknown reasons ------ Cheers Marcus From pw at wk-serv.de Thu Dec 20 13:42:32 2018 From: pw at wk-serv.de (Patrick Westenberg) Date: Thu, 20 Dec 2018 13:42:32 +0100 Subject: sa-update In-Reply-To: <5ece1cab2a27a2e367b8eadad94a399b6d2afed8.camel@localguru.de> References: <5ece1cab2a27a2e367b8eadad94a399b6d2afed8.camel@localguru.de> Message-ID: Hallo, das Problem tritt bei mir auch auf. Gruß Patrick Marcus Schopen schrieb: > Moin, > > habt Ihr auch Probleme bei einem sa-update auf dem > updates.spamassassin.org channel? Das Problem trat heute bei mir > erstmals auf zwei Maschinen auf: > > ------ > config: warning: description exists for non-existent rule EXCUSE_24 > > channel: lint check of update failed, channel failed > sa-update failed for unknown reasons > ------ > > Cheers > Marcus > From lists at localguru.de Thu Dec 20 17:57:07 2018 From: lists at localguru.de (Marcus Schopen) Date: Thu, 20 Dec 2018 17:57:07 +0100 Subject: sa-update In-Reply-To: References: <5ece1cab2a27a2e367b8eadad94a399b6d2afed8.camel@localguru.de> Message-ID: Ich habe es mal auf der spamassassin Liste gepostet. Scheint ja ein generelles Problem zu sein, da ich es mittlerweile auch von anderen Postmastern gehört habe. Am Donnerstag, den 20.12.2018, 13:42 +0100 schrieb Patrick Westenberg: > Hallo, > > das Problem tritt bei mir auch auf. > > Gruß > Patrick > > > > Marcus Schopen schrieb: > > Moin, > > > > habt Ihr auch Probleme bei einem sa-update auf dem > > updates.spamassassin.org channel? Das Problem trat heute bei mir > > erstmals auf zwei Maschinen auf: > > > > ------ > > config: warning: description exists for non-existent rule EXCUSE_24 > > > > channel: lint check of update failed, channel failed > > sa-update failed for unknown reasons > > ------ > > > > Cheers > > Marcus > > > > From anmeyer at mailbox.org Fri Dec 21 14:23:06 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Fri, 21 Dec 2018 14:23:06 +0100 Subject: does not resolve Message-ID: <20181221142306.055f8ae4@localhost> grep "does not resolve" /var/log/mail |wc -l 69563 sort -u postfixlog-IPs |wc -l 763 Sollte man die jetzt alle in die firewall stecken? Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From gjn at gjn.priv.at Fri Dec 21 15:01:11 2018 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 21 Dec 2018 15:01:11 +0100 Subject: postfix Rspamd Frage Message-ID: <41773077.sdnlhE1eqG@techz> Hallo Profis, ich habe die Frage hat sich beim rspamd sooooo viel verändert das das Teil nicht mehr funktioniert mit den alten configs. Ich bin jetzt durch "Zufall" darauf gestoßen :-( mein rspamd läuft gar nicht mehr und startet auch nicht mehr? Das ganze hat aber schon mal funktioniert Antivirus dkim usw.... Hat jemand eine Ahnung stimmen die Infos auf https://rspam.com/doc noch? denn nach diesen Vorgaben (Examples) hatte ich meinen Rspamd konfiguriert Im Moment scheint wenigsten postfix wieder zu rpamd zu kommen der milter funktioniert anscheinend wieder, der Rest anscheinend nicht! Nachtrag: greylisting scheint zu laufen denn der blockiert mir meine Mails ;-) Das sollte ja schon postfix machen also weitersuchen........ -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From driessen at fblan.de Fri Dec 21 15:15:03 2018 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 21 Dec 2018 15:15:03 +0100 Subject: AW: does not resolve In-Reply-To: <20181221142306.055f8ae4@localhost> References: <20181221142306.055f8ae4@localhost> Message-ID: <003f01d49937$91558920$b4009b60$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von Andreas Meyer > Gesendet: Freitag, 21. Dezember 2018 14:23 > An: postfixbuch-users at listen.jpberlin.de > Betreff: does not resolve > > grep "does not resolve" /var/log/mail |wc -l > 69563 > > sort -u postfixlog-IPs |wc -l > 763 > > Sollte man die jetzt alle in die firewall stecken? Warum ? Penetrieren die ? Wenn ja dann bau dir was mit Fail2ban und IPSET mit automatischem rauslöschen actionstart = /sbin/ipset -N fail2ban- iphash timeout iptables -A INPUT -i eth+ -p -m multiport --dports -j DROP -m set --match-set fail2ban- src actionban = ipset add fail2ban- timeout -exist .... Je nach dem wird die einzelne Ip nach 24 STunden oder auch nach 10 min wieder freigegeben Seitdem ist es stiller in meinem Log :-) IPset hat zudem den Vorteil das du tausende IP hinter einem einzigen Iptables Eintrag haben kannst Macht die Firewall wesentlich schlanker und kostet weniger Zeit im Test :-) Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlwc9VwACgkQur3LxV3c LvxbfQf/fGHYyEyF6ZiIKxf4s6ZIoruSyeN3UaqpT4BXCsa6mM6v/eAP9zkRYdsh vEMPq+v9hQE4tYCPNxnLdWOHKgUq1ZMjis8QP/uX/ERKX+Bj3+2Akau/3GwX/DFr RiRtisu26VC16Ss1jCTqngX57D80/shJ96d5nxEM0/FBLEVK2k57s8D5Ze6ch8lF NynFb3tj3nVWNVR8uwSr7KLySKG72FHcm7k/er63TyYzFsLAzxTvvcFglA4ODidA i7Pqa0c0pXmr4bXhA0hlOnEK0Z1CtA3U+vuFCpnJICyOcPLs5EsVT7OIHZuNYARf 8KRaJdwS+A8BHtUkr594l8cfLHmrPQ== =7Z/N -----END PGP SIGNATURE----- From cr at ncxs.de Fri Dec 21 15:55:02 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 21 Dec 2018 15:55:02 +0100 Subject: postfix Rspamd Frage In-Reply-To: <41773077.sdnlhE1eqG@techz> References: <41773077.sdnlhE1eqG@techz> Message-ID: Hey, der Rspamd achtet jetzt vor allem schärfer auf valides UCL. Meist hat man sich irgendwo bei den Klammern der Sektionen oder so vertan. rspamadm configtest hilft da meist. Von 1.7.x zu 1.8.x hat sich glaube ich nichts so krass geändert, dass rspamd jetzt nix mehr macht. Achte mal auf Warnungen beim starten oder dem configdump. Viele Grüße Carsten On 21.12.18 15:01, Günther J. Niederwimmer wrote: > Hallo Profis, > > ich habe die Frage hat sich beim rspamd sooooo viel verändert das das Teil > nicht mehr funktioniert mit den alten configs. > > Ich bin jetzt durch "Zufall" darauf gestoßen :-( mein rspamd läuft gar nicht > mehr und startet auch nicht mehr? > > Das ganze hat aber schon mal funktioniert Antivirus dkim usw.... > > Hat jemand eine Ahnung stimmen die Infos auf https://rspam.com/doc noch? > > denn nach diesen Vorgaben (Examples) hatte ich meinen Rspamd konfiguriert > > Im Moment scheint wenigsten postfix wieder zu rpamd zu kommen der milter > funktioniert anscheinend wieder, der Rest anscheinend nicht! > > Nachtrag: greylisting scheint zu laufen denn der blockiert mir meine Mails ;-) > Das sollte ja schon postfix machen also weitersuchen........ > From gjn at gjn.priv.at Fri Dec 21 16:29:42 2018 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 21 Dec 2018 16:29:42 +0100 Subject: postfix Rspamd Frage In-Reply-To: References: <41773077.sdnlhE1eqG@techz> Message-ID: <2693148.sBkezHQa1A@techz> Hallo Carsten, danke für Deine Antwort ;-). Am Freitag, 21. Dezember 2018, 15:55:02 CET schrieb Carsten Rosenberg: > Hey, > > der Rspamd achtet jetzt vor allem schärfer auf valides UCL. Meist hat > man sich irgendwo bei den Klammern der Sektionen oder so vertan. > > rspamadm configtest hilft da meist. der meint NUR OK; das hilft sehr weiter ? > Von 1.7.x zu 1.8.x hat sich glaube ich nichts so krass geändert, dass > rspamd jetzt nix mehr macht. Achte mal auf Warnungen beim starten oder > dem configdump. das ist etwas für Fachleute ;-) Ich werde mal die rspamd.logs laufen lassen und werde sehen was da alles so passiert, so richtig verstehe ich das ganze ja noch nicht?? Jetzt ist erst mal wieder clamav zum einbinden vorgemerkt, denn ich hatte zuerst mal alle configs gelöscht damit das Teil wieder startet! Mal eine Frage, kann man Deinen Vortrag über Rspamd mal kaufen? Damit auch Dummuser wie ich wiedermal was lernen. > Viele Grüße > > Carsten > > On 21.12.18 15:01, Günther J. Niederwimmer wrote: > > Hallo Profis, > > > > ich habe die Frage hat sich beim rspamd sooooo viel verändert das das Teil > > nicht mehr funktioniert mit den alten configs. > > > > Ich bin jetzt durch "Zufall" darauf gestoßen :-( mein rspamd läuft gar > > nicht mehr und startet auch nicht mehr? > > > > Das ganze hat aber schon mal funktioniert Antivirus dkim usw.... > > > > Hat jemand eine Ahnung stimmen die Infos auf https://rspam.com/doc noch? > > > > denn nach diesen Vorgaben (Examples) hatte ich meinen Rspamd konfiguriert > > > > Im Moment scheint wenigsten postfix wieder zu rpamd zu kommen der milter > > funktioniert anscheinend wieder, der Rest anscheinend nicht! > > > > Nachtrag: greylisting scheint zu laufen denn der blockiert mir meine Mails > > ;-) Das sollte ja schon postfix machen also weitersuchen........ -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From gjn at gjn.priv.at Fri Dec 21 16:39:35 2018 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 21 Dec 2018 16:39:35 +0100 Subject: postfix Rspamd Frage In-Reply-To: References: <41773077.sdnlhE1eqG@techz> Message-ID: <1720698.8M86JY70tL@techz> Hallo Carsten, Nochmal Danke für Deine Antwort, da ist jetzt die Hälfte nicht mitgekommen Am Freitag, 21. Dezember 2018, 15:55:02 CET schrieb Carsten Rosenberg: > Hey, > > der Rspamd achtet jetzt vor allem schärfer auf valides UCL. Meist hat > man sich irgendwo bei den Klammern der Sektionen oder so vertan. > > rspamadm configtest hilft da meist. Der meint nur OK aber ist ja schon mal was ;-) > Von 1.7.x zu 1.8.x hat sich glaube ich nichts so krass geändert, dass > rspamd jetzt nix mehr macht. Achte mal auf Warnungen beim starten oder > dem configdump. Das ist was für Fachleute, wie es scheint bin ich dafür etwas überfordert :-(. Ich werde jetzt mal clamav wieder versuchen einzubinden und die Logs genau beobachten ob er mir was sagt. Deinen Fachvortrag über rspamd könnte man den auch kaufen als Video oder so? > Viele Grüße > > Carsten > > On 21.12.18 15:01, Günther J. Niederwimmer wrote: > > Hallo Profis, > > > > ich habe die Frage hat sich beim rspamd sooooo viel verändert das das Teil > > nicht mehr funktioniert mit den alten configs. > > > > Ich bin jetzt durch "Zufall" darauf gestoßen :-( mein rspamd läuft gar > > nicht mehr und startet auch nicht mehr? > > > > Das ganze hat aber schon mal funktioniert Antivirus dkim usw.... > > > > Hat jemand eine Ahnung stimmen die Infos auf https://rspam.com/doc noch? > > > > denn nach diesen Vorgaben (Examples) hatte ich meinen Rspamd konfiguriert > > > > Im Moment scheint wenigsten postfix wieder zu rpamd zu kommen der milter > > funktioniert anscheinend wieder, der Rest anscheinend nicht! > > > > Nachtrag: greylisting scheint zu laufen denn der blockiert mir meine Mails > > ;-) Das sollte ja schon postfix machen also weitersuchen........ -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From ffiene at veka.com Fri Dec 21 16:50:58 2018 From: ffiene at veka.com (Frank fiene) Date: Fri, 21 Dec 2018 16:50:58 +0100 Subject: Rspamd rejects Message-ID: N?Abend! Ich hätte da auch noch mal eine Frage an die Rspamd-Experten. Ich blockiere recht früh mit einem Wert von 8 anstatt bei 6 in den Header zu schreiben und bei 15 zu rejecten. Das funktioniert eigentlich gut. Jezt habe ich häufiger das Problem, dass SBL_URIBL (also surbl.org) bei einigen Mails mit 6.5 reinschlägt und wenn ich auf surbl.org die Domain überprüfe, die da angemeckert wird, sagt die Liste, dass die Domain da gar nicht gelistet sei. Dann schlägt noch BAYES an und dann ist die Mail schon weit über dem Reject-Wert. Natürlich hat der Absender (heute ein paar aus Indien) weder SPF noch DKIM oder DMARC konfiguriert, um seinen Score zu verringern. :-( Stimmt was mit surbl.org nicht oder ist eine so niedrige Schwelle eine schlechte Idee. Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist. Hilfe! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From Christian.Schmidt at chemie.uni-hamburg.de Fri Dec 21 17:04:43 2018 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Fri, 21 Dec 2018 17:04:43 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: <20181219141847.7f7e1045@localhost> References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> <20181218191510.494496ec@localhost> <004201d4971b$11809e60$3481db20$@fblan.de> <20181219141847.7f7e1045@localhost> Message-ID: Moin, Andreas Meyer, 19.12.18: > Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse > gebunden habe: Wenn Dein postfix Mails bei einem anderen MX einwerfen möchte, agiert er als SMTP-Client. Mit postscreen bist Du quasi bei einem anderen Kapitel, nämlich D(ein)em SMTP-Server. Dein (wie ich vermute) Verständnisproblem betrifft aber postfix als SMTP-Client: Wenn Dein Server anderswo via SMTP eine Mail abladen möchte, muss er sich im HELO mit genau demjenigen Hostnamen (nicht Domainnamen) melden, der zu seiner IP-Adresse passt. Und umgekehrt muss auch die Rückwärtsauflösung der IP-Adresse wieder den Hostnamen ergeben. Ich sehe keinen Sinn darin, das "domainspezifisch" zu konfigurieren. Sorge einfach dafür, dass postfix sich als Client gegenüber anderen Servern mit seinem "wahren" Hostnamen im HELO meldet. Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der aber bei Deinem initialen Problem gar nicht mit im Spiel war. Mit freundlichen Grüßen Christian Schmidt -- No signature available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5419 bytes Beschreibung: S/MIME Cryptographic Signature URL : From cr at ncxs.de Fri Dec 21 20:34:24 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 21 Dec 2018 20:34:24 +0100 Subject: postfix Rspamd Frage In-Reply-To: <1720698.8M86JY70tL@techz> References: <41773077.sdnlhE1eqG@techz> <1720698.8M86JY70tL@techz> Message-ID: <15c8dcc9-2345-fc7f-ff19-2d885fb375ad@ncxs.de> On 21.12.18 16:39, Günther J. Niederwimmer wrote: > Hallo Carsten, > > Nochmal Danke für Deine Antwort, da ist jetzt die Hälfte nicht mitgekommen > > Am Freitag, 21. Dezember 2018, 15:55:02 CET schrieb Carsten Rosenberg: >> Hey, >> >> der Rspamd achtet jetzt vor allem schärfer auf valides UCL. Meist hat >> man sich irgendwo bei den Klammern der Sektionen oder so vertan. >> >> rspamadm configtest hilft da meist. > > Der meint nur OK aber ist ja schon mal was ;-) Nimm doch deine alte Configs wieder rein bis der configtest Fehler wirft. Das geht auch ohne Neustart. > >> Von 1.7.x zu 1.8.x hat sich glaube ich nichts so krass geändert, dass >> rspamd jetzt nix mehr macht. Achte mal auf Warnungen beim starten oder >> dem configdump. > > Das ist was für Fachleute, wie es scheint bin ich dafür etwas überfordert :-(. Im Endeffekt ist die Rspamd Config nur anders. Das ist irgendwie als ob man von Windows zu Mac wechselt. Eingewöhnung ist alles ;) > Ich werde jetzt mal clamav wieder versuchen einzubinden und die Logs genau > beobachten ob er mir was sagt. Wenn dann etwas nicht will, wären Logs super. > > Deinen Fachvortrag über rspamd könnte man den auch kaufen als Video oder so? Falls du den Heinlein Akademie Kurs meinst, da wird ein Video eher schwierig ;) Aber wir haben da Einiges für nächste Jahr vor, dass hilfreich sein wird. >> Viele Grüße >> >> Carsten >> >> On 21.12.18 15:01, Günther J. Niederwimmer wrote: >>> Hallo Profis, >>> >>> ich habe die Frage hat sich beim rspamd sooooo viel verändert das das Teil >>> nicht mehr funktioniert mit den alten configs. >>> >>> Ich bin jetzt durch "Zufall" darauf gestoßen :-( mein rspamd läuft gar >>> nicht mehr und startet auch nicht mehr? >>> >>> Das ganze hat aber schon mal funktioniert Antivirus dkim usw.... >>> >>> Hat jemand eine Ahnung stimmen die Infos auf https://rspam.com/doc noch? >>> >>> denn nach diesen Vorgaben (Examples) hatte ich meinen Rspamd konfiguriert >>> >>> Im Moment scheint wenigsten postfix wieder zu rpamd zu kommen der milter >>> funktioniert anscheinend wieder, der Rest anscheinend nicht! >>> >>> Nachtrag: greylisting scheint zu laufen denn der blockiert mir meine Mails >>> ;-) Das sollte ja schon postfix machen also weitersuchen........ > > From cr at ncxs.de Fri Dec 21 20:42:29 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 21 Dec 2018 20:42:29 +0100 Subject: Rspamd rejects In-Reply-To: References: Message-ID: <78eba0fd-40f8-08d6-a812-8c6dd2dbd938@ncxs.de> Welche Domain prüfst du? Die die in den Symbol Infos steht? Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port 25 machen. Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein guter Wert. > Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist. Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;) VG c On 21.12.18 16:50, Frank fiene wrote: > N?Abend! > > Ich hätte da auch noch mal eine Frage an die Rspamd-Experten. > > Ich blockiere recht früh mit einem Wert von 8 anstatt bei 6 in den Header zu schreiben und bei 15 zu rejecten. > > Das funktioniert eigentlich gut. > > Jezt habe ich häufiger das Problem, dass SBL_URIBL (also surbl.org) bei einigen Mails mit 6.5 reinschlägt und wenn ich auf surbl.org die Domain überprüfe, die da angemeckert wird, sagt die Liste, dass die Domain da gar nicht gelistet sei. > > Dann schlägt noch BAYES an und dann ist die Mail schon weit über dem Reject-Wert. > Natürlich hat der Absender (heute ein paar aus Indien) weder SPF noch DKIM oder DMARC konfiguriert, um seinen Score zu verringern. :-( > > Stimmt was mit surbl.org nicht oder ist eine so niedrige Schwelle eine schlechte Idee. > Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist. > > Hilfe! > > > Viele Grüße! Frank > From ffiene at veka.com Fri Dec 21 23:53:08 2018 From: ffiene at veka.com (Frank fiene) Date: Fri, 21 Dec 2018 23:53:08 +0100 Subject: Rspamd rejects In-Reply-To: <78eba0fd-40f8-08d6-a812-8c6dd2dbd938@ncxs.de> References: <78eba0fd-40f8-08d6-a812-8c6dd2dbd938@ncxs.de> Message-ID: > Am 21.12.2018 um 20:42 schrieb Carsten Rosenberg : > > Welche Domain prüfst du? Die die in den Symbol Infos steht? Die, die direkt hinter URIBL_SBL in Klammern steht, ja. > Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port 25 machen. Ubuntu Standard-Konfig + 2 x AV. IPScore ist aber dabei, hab ich schon gesehen. > Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein guter Wert. > >> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist. > > Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;) Das ist war, wir haben Quotas im Backend und in einen Spam-Ordner schaut niemand rein, es sei denn, die Mailbox ist voll. Und dann heißt es CTRL-A (oder Cmd-A) und . From ffiene at veka.com Sat Dec 22 00:00:59 2018 From: ffiene at veka.com (Frank Fiene) Date: Sat, 22 Dec 2018 00:00:59 +0100 Subject: Rspamd rejects In-Reply-To: References: <78eba0fd-40f8-08d6-a812-8c6dd2dbd938@ncxs.de> Message-ID: <03727A9B-60B4-4D66-A9D8-BE985037C77E@veka.com> Ich habe es mal übersichtlich gemacht: Das veka.in muss im zitierten Text gewesen sein, dass ist unsere Domain in Indien. [URIBL_SBL(6.50){veka.in;}, BAYES_SPAM(5.10){100.00%;}, AUTH_NA(1.00){}, IP_SCORE(0.55){ip: (2.06), ipnet: 46.4.0.0/16(0.55), asn: 24940(0.18), country: DE(-0.02);}, MIME_GOOD(-0.10){multipart/related;multipart/alternative;text/plain;}, RCVD_NO_TLS_LAST(0.10){}, ARC_NA(0.00){}, ASN(0.00){asn:24940, ipnet:46.4.0.0/16, country:DE;}, DMARC_NA(0.00){elumatecindia.com;}, FROM_EQ_ENVFROM(0.00){}, FROM_HAS_DN(0.00){}, MID_RHS_MATCH_FROM(0.00){}, MIME_TRACE(0.00){0:+;1:+;2:+;}, NEURAL_SPAM(0.00){1.000;0;}, RCPT_COUNT_THREE(0.00){4;}, RCVD_COUNT_FIVE(0.00){5;}, RCVD_IN_DNSWL_NONE(0.00){43.4.4.46.list.dnswl.org : 127.0.10.0;}, RCVD_VIA_SMTP_AUTH(0.00){}, RECEIVED_SPAMHAUS_PBL(0.00){107.186.63.120.zen.spamhaus.org : 127.0.0.11;}, R_DKIM_NA(0.00){}, R_SPF_NA(0.00){}, TO_DN_SOME(0.00){}, TO_MATCH_ENVRCPT_SOME(0.00){}] > Am 21.12.2018 um 23:53 schrieb Frank fiene : > > >> Am 21.12.2018 um 20:42 schrieb Carsten Rosenberg : >> >> Welche Domain prüfst du? Die die in den Symbol Infos steht? > > Die, die direkt hinter URIBL_SBL in Klammern steht, ja. > >> Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port 25 machen. > > Ubuntu Standard-Konfig + 2 x AV. > IPScore ist aber dabei, hab ich schon gesehen. > >> Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein guter Wert. >> >>> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist. >> >> Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;) > > Das ist war, wir haben Quotas im Backend und in einen Spam-Ordner schaut niemand rein, es sei denn, die Mailbox ist voll. Und dann heißt es CTRL-A (oder Cmd-A) und . From anmeyer at mailbox.org Sat Dec 22 01:31:43 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 22 Dec 2018 01:31:43 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> <20181218191510.494496ec@localhost> <004201d4971b$11809e60$3481db20$@fblan.de> <20181219141847.7f7e1045@localhost> Message-ID: <20181222013143.3483fab1@localhost> Christian Schmidt schrieb am 21.12.18 um 17:04:43 Uhr: > > Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse > > gebunden habe: > > Wenn Dein postfix Mails bei einem anderen MX einwerfen möchte, agiert er > als SMTP-Client. Mit postscreen bist Du quasi bei einem anderen Kapitel, > nämlich D(ein)em SMTP-Server. > > Dein (wie ich vermute) Verständnisproblem betrifft aber postfix als > SMTP-Client: Wenn Dein Server anderswo via SMTP eine Mail abladen > möchte, muss er sich im HELO mit genau demjenigen Hostnamen (nicht > Domainnamen) melden, der zu seiner IP-Adresse passt. Und umgekehrt muss > auch die Rückwärtsauflösung der IP-Adresse wieder den Hostnamen ergeben. Ich kann deinen Ausführungen durchaus zustimmen, jedoch trat das Problem mit der Zustellung erst auf, als ich postscreen falsch konfiguriert hatte. > Ich sehe keinen Sinn darin, das "domainspezifisch" zu konfigurieren. Das macht durchaus Sinn und lief vor der fehlerhaften config auch problemlos. Da war kein Unterschied zwischen ehlo und hostname. Hier meldet sich der client bei postscreen: smtp inet n - n - 1 postscreen und hier wird dann mittels pass wieder an postfix abgegeben: smtpd pass - - n - - smtpd Es scheint so zu sein, dass postscreen den ehlo_name durchreicht, ich aber smtpd pass - - n - - smtpd nicht an die richtige IP gebunden hatte, nämlich so: 46.38.231.143:smtpd pass - - n - - smtpd -o myhostname=mail.nimmini.de -o smtpd_banner=mail.nimmini.de -o syslog_name=nimmini Dadurch wurde der hostname des Hauptservers übermittelt und policy-weightd hat zugeschlagen. > Sorge einfach dafür, dass postfix sich als Client gegenüber anderen > Servern mit seinem "wahren" Hostnamen im HELO meldet. > > Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der > aber bei Deinem initialen Problem gar nicht mit im Spiel war. Hier noch ein thread zum Thema und wichtige Hinweise dazu vom Meister persönlich: http://postfix.1071664.n5.nabble.com/multiple-IPs-and-postscreen-td80034.html Grüße Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From anmeyer at mailbox.org Sat Dec 22 02:20:49 2018 From: anmeyer at mailbox.org (Andreas Meyer) Date: Sat, 22 Dec 2018 02:20:49 +0100 Subject: Problem mit Einlieferung von email In-Reply-To: References: <20181218152248.56dd0465@localhost> <20181218173503.6a1a5782@localhost> <1669019665.3103.1545153267017.JavaMail.zimbra@schosemail.de> <20181218184924.342742b8@localhost> <20181218191510.494496ec@localhost> <004201d4971b$11809e60$3481db20$@fblan.de> <20181219141847.7f7e1045@localhost> Message-ID: <20181222022049.6cc2e2ea@localhost> Christian Schmidt schrieb am 21.12.18 um 17:04:43 Uhr: > Sorge einfach dafür, dass postfix sich als Client gegenüber anderen > Servern mit seinem "wahren" Hostnamen im HELO meldet. Ich vergaß: smtp-nimi unix - - n - - smtp -o smtp_bind_address=46.38.231.143 -o smtp_helo_name=mail.nimmini.de -o syslog_name=nimmini -o smtp_use_tls=yes > Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der > aber bei Deinem initialen Problem gar nicht mit im Spiel war. Naja, der smtpd war da durchaus im Spiel, nur falsch angebunden. Andreas -- PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 213 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From martin at lichtvoll.de Mon Dec 31 13:03:01 2018 From: martin at lichtvoll.de (Martin Steigerwald) Date: Mon, 31 Dec 2018 13:03:01 +0100 Subject: Neue =?UTF-8?B?TcO8bGx3ZWxsZT8=?= Message-ID: <1808600.UNZlXmg7KC@merkaba> Hi! Es kam bei mir seit 1-2 Tagen eine neue Welle an Mail-Müll durch Postscreen und rspamd durch. Mails mit Betreffen wie "Hallo mein Schätzchen" via Freenet, Office365 / Hotmail, Mail BG Webmail, T-Mobile, ? Bekommt jemand von euch solchen Müll auch? Irgendeinen Ansatz gefunden, das global zu blocken? Die Mails sind ähnlich aufgebaut. Einziger Ansatz, der mir bislang in den Sinn kam: Die Mails arbeiten offenbar mit "X-Original-To:" und haben entweder kein From: oder irgendeine andere Adresse im From. Ich hab zwar einzelne Spam Reports an Provider verschickt und blocke bereits mit Header-Checks einige Mails, aber das kommt aus ganz unterschiedlichen Quellen. Und ich würde gerne etwas finden, womit ich die alle blocken kann. So oder so einen guten Rutsch ins neue Jahr. Folgend ein paar Header-Beispiele: Return-Path: X-Original-To: Martin at Lichtvoll.de Delivered-To: martin at mondschein.lichtvoll.de Authentication-Results: mail.lichtvoll.de; dkim=pass header.d=studentsaucmed.onmicrosoft.com Received: from NAM01-SN1-obe.outbound.protection.outlook.com (mail-sn1nam01lp2058.outbound.protection.outlook.com [104.47.32.58]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)) (No client certificate requested) by mail.lichtvoll.de (Postfix) with ESMTPS id 144EC42699C for ; Mon, 31 Dec 2018 00:26:01 +0100 (CET) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=studentsaucmed.onmicrosoft.com; s=selector1-students-aucmed-edu; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck; bh=sKofH+Emr5SShjzieb4f49YzoM+BWNateXUBQVzVUw8=; b=OF+SCrt3Q9awrN+wQExGqhAOG6POtX81Sg88TNjINrq9qMwZw/oh395GPsBWPNxXYSNp5NhVBsDkuZzFbbP/xNzuBciy7K3xdM+8wjidoUP+Zkn8yZrktwyc3F5Bms1/VDrzJwMMOeo4hakXobP9Lsvc6hMaWgjriL8T9IF1Bh4= Received: from DM6PR17MB2505.namprd17.prod.outlook.com (20.177.218.18) by DM6PR17MB2540.namprd17.prod.outlook.com (20.177.218.141) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.1471.20; Sun, 30 Dec 2018 23:10:40 +0000 Received: from DM6PR17MB2505.namprd17.prod.outlook.com ([fe80::50f0:1fed:dbb8:5d34]) by DM6PR17MB2505.namprd17.prod.outlook.com ([fe80::50f0:1fed:dbb8:5d34%3]) with mapi id 15.20.1471.019; Sun, 30 Dec 2018 23:10:40 +0000 From: "Nevil, Bryan" Subject: (03 )Hi mein Schatz(jd ) Thread-Topic: (03 )Hi mein Schatz(jd ) Thread-Index: AQHUoJThLuOXao1maUSJiP5psteNBQ== Importance: low X-Priority: 5 Date: Sun, 30 Dec 2018 23:10:40 +0000 Message-ID: <09235195B17302732A0338A6F0F46AD4CBEC4C7F at VPS032136> Accept-Language: en-US Content-Language: en-US x-clientproxiedby: HE1PR05CA0196.eurprd05.prod.outlook.com (2603:10a6:3:f9::20) To DM6PR17MB2505.namprd17.prod.outlook.com (2603:10b6:5:68::18) x-ms-exchange-messagesentrepresentingtype: 1 x-originating-ip: [213.87.148.207] x-ms-publictraffictype: Email x-microsoft-exchange-diagnostics: 1;DM6PR17MB2540;7:GvEsBym4tZlRz3xlLRYEMWeMAZEy9rSjDlMUlVp2FyIWIez4ZRKqpxZI0gtchGOYQ6KVF4qzI1Bmsxl/QKdUfZDxVxj7Z8jy5fxA1F1S5QFrP3pFNfk5/FOR7x+8Ruu8c/DZkiyOx0aFw+iG15EMOw== x-ms-office365-filtering-correlation-id: b54ee3cd-e727-414b-da91-08d66eac03da x-microsoft-antispam: BCL:0;PCL:0;RULEID:(2390118)(7020095)(4652040)(8989299)(5600109)(711020)(4534185)(4627221)(201703031133081)(201702281549075)(8990200)(2017052603328)(7153060)(7193020);SRVR:DM6PR17MB2540; x-ms-traffictypediagnostic: DM6PR17MB2540:|DM6PR17MB2540: x-microsoft-antispam-prvs: x-exchange-antispam-report-cfa-test: BCL:0;PCL:8;RULEID:(3230021)(908002)(999002)(5005026)(6040522)(8220055)(2401047)(8121501046)(3231475)(944501520)(2220375)(52105112)(2017080701022)(3002001)(10201501046)(93006095)(93001095)(6041310)(20161123562045)(20161123564045)(20161123560045)(201703131423095)(201702281528075)(201702281529075)(20161123555045)(201703061421075)(201703061406153)(20161123558120)(201708071742011)(7699051)(76991095);SRVR:DM6PR17MB2540;BCL:0;PCL:8;RULEID:;SRVR:DM6PR17MB2540; x-forefront-prvs: 0902222726 x-forefront-antispam-report: SFV:SPM;SFS:(10019020)(7916004)(376002)(136003)(39860400002)(346002)(396003)(366004)(199004)(189003)(6116002)(7416002)(476003)(3846002)(5660300001)(71200400001)(81166006)(81156014)(55846006)(6486002)(88552002)(2906002)(8936002)(1671002)(71190400001)(186003)(486006)(7736002)(606006)(14454004)(99286004)(786003)(8676002)(6436002)(75432002)(316002)(236005)(881003)(558084003)(106356001)(256004)(102836004)(6512007)(9686003)(81686011)(33716001)(6306002)(109986005)(478600001)(25786009)(53936002)(52116002)(97736004)(33656002)(33896004)(66066001)(386003)(6506007)(86362001)(54896002)(68736007)(105586002)(26005)(59010400001);DIR:OUT;SFP:1501;SCL:5;SRVR:DM6PR17MB2540;H:DM6PR17MB2505.namprd17.prod.outlook.com;FPR:;SPF:None;LANG:de;PTR:InfoNoRecords;A:1;MX:1; received-spf: None (protection.outlook.com: students.aucmed.edu does not designate permitted sender hosts) x-ms-exchange-senderadcheck: 1 x-microsoft-antispam-message-info: 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 spamdiagnosticoutput: 1:22 Content-Type: multipart/alternative; boundary="_000_09235195B17302732A0338A6F0F46AD4CBEC4C7FVPS032136_" MIME-Version: 1.0 X-OriginatorOrg: students.aucmed.edu X-MS-Exchange-CrossTenant-Network-Message-Id: b54ee3cd-e727-414b-da91-08d66eac03da X-MS-Exchange-CrossTenant-originalarrivaltime: 30 Dec 2018 23:10:40.0790 (UTC) X-MS-Exchange-CrossTenant-fromentityheader: Hosted X-MS-Exchange-CrossTenant-id: 5f3a45cf-bae4-4c61-a6a1-0f247677c63c X-MS-Exchange-Transport-CrossTenantHeadersStamped: DM6PR17MB2540 X-Spam-Level: ***** X-Rspamd-Server: mondschein X-Rspamd-Queue-Id: 144EC42699C X-Spamd-Result: default: False [5.45 / 12.00] FROM_HAS_DN(0.00)[] RCVD_IN_DNSWL_NONE(0.00)[58.32.47.104.list.dnswl.org : 127.0.3.0] DKIM_TRACE(0.00)[studentsaucmed.onmicrosoft.com:+] ARC_NA(0.00)[] MICROSOFT_SPAM(4.00)[] ASN(0.00)[asn:8075, ipnet:104.40.0.0/13, country:US] IP_SCORE(-0.00)[ipnet: 104.40.0.0/13(-4.48), asn: 8075(-3.78), country: US(-0.10)] RCVD_NO_TLS_LAST(0.00)[] GREYLIST(0.00)[pass,body] BAYES_HAM(-0.85)[85.43%] MIME_BASE64_TEXT(0.10)[] R_DKIM_ALLOW(-0.20)[studentsaucmed.onmicrosoft.com] MISSING_TO(2.00)[] HAS_XOIP(0.00)[] R_SPF_NA(0.00)[] MID_RHS_NOT_FQDN(0.50)[] RCVD_COUNT_THREE(0.00)[3] DMARC_NA(0.00)[aucmed.edu] FROM_EQ_ENVFROM(0.00)[] HAS_X_PRIO_FIVE(0.00)[5] MIME_GOOD(-0.10)[multipart/alternative,text/plain] Return-Path: X-Original-To: Martin at Lichtvoll.de Delivered-To: martin at mondschein.lichtvoll.de Authentication-Results: mail.lichtvoll.de; spf=pass smtp.mailfrom=oliver.reinhold at freenet.de Received: from mout2.freenet.de (mout2.freenet.de [195.4.92.92]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail.lichtvoll.de (Postfix) with ESMTPS id 49137425683 for ; Sat, 29 Dec 2018 14:00:03 +0100 (CET) Received: from [195.4.92.127] (helo=sub8.freenet.de) by mout2.freenet.de with esmtpsa (ID oliver.reinhold at freenet.de) (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (port 25) (Exim 4.90_1 #2) id 1gdE7x-0001dt-7f; Sat, 29 Dec 2018 13:54:05 +0100 Received: from web3.emo.freenet-rz.de ([194.97.107.236]:50648) by sub8.freenet.de with esmtpa (ID oliver.reinhold at freenet.de) (port 587) (Exim 4.90_1 #2) id 1gdE7x-0002rq-4G; Sat, 29 Dec 2018 13:54:05 +0100 Received: from localhost ([127.0.0.1] helo=emo.freenet.de) by web3.emo.freenet-rz.de with esmtpa (Exim 4.84_2 2 (Panther_1)) id 1gdE7w-0005xj-Sw; Sat, 29 Dec 2018 13:54:04 +0100 Date: Sat, 29 Dec 2018 13:54:04 +0100 X-Originated-At: 27.79.198.98!37675 From: oliver.reinhold at freenet.de Subject: Wie lange wollte ich dich treffen? To: julia.lepik at gmx.de X-Priority: 3 MIME-Version: 1.0 X-Abuse: 000000 / 27.79.198.98 Message-ID: User-Agent: freenetMail Content-Type: multipart/alternative; boundary="emo_01_2207d94d787c4649b05bf7360aed4a24" X-Spam-Level: *** X-Rspamd-Server: mondschein X-Rspamd-Queue-Id: 49137425683 X-Spamd-Result: default: False [3.71 / 12.00] MIME_GOOD(-0.10)[multipart/alternative,text/plain] RCVD_VIA_SMTP_AUTH(0.00)[] SUBJECT_ENDS_QUESTION(1.00)[] RCVD_IN_DNSWL_LOW(0.00)[92.92.4.195.list.dnswl.org : 127.0.5.1] ARC_NA(0.00)[] R_SPF_ALLOW(-0.20)[+ip4:195.4.92.0/23] ASN(0.00)[asn:5430, ipnet:195.4.0.0/16, country:DE] RCVD_NO_TLS_LAST(0.00)[] TO_DN_NONE(0.00)[] URI_COUNT_ODD(1.00)[1] IP_SCORE(-0.00)[country: DE(-0.10)] RCVD_COUNT_THREE(0.00)[4] DMARC_NA(0.00)[freenet.de] FROM_EQ_ENVFROM(0.00)[] HAS_X_PRIO_THREE(0.00)[3] RCPT_COUNT_ONE(0.00)[1] R_DKIM_NA(0.00)[] XM_UA_NO_VERSION(0.01)[] FORGED_RECIPIENTS(2.00)[] FROM_NO_DN(0.00)[] Return-Path: X-Original-To: Martin at Lichtvoll.de Delivered-To: martin at mondschein.lichtvoll.de Authentication-Results: mail.lichtvoll.de; spf=pass smtp.mailfrom=awudke at freenet.de Received: from mout3.freenet.de (mout3.freenet.de [195.4.92.93]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail.lichtvoll.de (Postfix) with ESMTPS id 65B17425654 for ; Sat, 29 Dec 2018 13:39:34 +0100 (CET) Received: from [195.4.92.120] (helo=sub1.freenet.de) by mout3.freenet.de with esmtpsa (ID awudke at freenet.de) (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (port 25) (Exim 4.90_1 #2) id 1gdDfn-0000eN-8t; Sat, 29 Dec 2018 13:24:59 +0100 Received: from web9.emo.freenet-rz.de ([194.97.107.145]:25742) by sub1.freenet.de with esmtpa (ID awudke at freenet.de) (port 587) (Exim 4.90_1 #2) id 1gdDfm-0005np-VW; Sat, 29 Dec 2018 13:24:59 +0100 Received: from localhost ([127.0.0.1] helo=emo.freenet.de) by web9.emo.freenet-rz.de with esmtpa (Exim 4.84_2 2 (Panther_1)) id 1gdDfl-0004e6-6M; Sat, 29 Dec 2018 13:24:57 +0100 Date: Sat, 29 Dec 2018 13:24:57 +0100 X-Originated-At: 14.161.48.19!39203 From: awudke at freenet.de Subject: Dekoriere dein Leben, Madchen warten To: fredriedel at gmx.de X-Priority: 3 MIME-Version: 1.0 X-Abuse: 000000 / 14.161.48.19 Message-ID: User-Agent: freenetMail Content-Type: multipart/alternative; boundary="emo_01_cefa0f5892a5ea0aea7b346f0a0e2156" X-Spam-Level: ***** X-Rspamd-Server: mondschein X-Rspamd-Queue-Id: 65B17425654 X-Spamd-Result: default: False [5.00 / 12.00] FORGED_RECIPIENTS(2.00)[] ARC_NA(0.00)[] RCVD_IN_DNSWL_LOW(0.00)[93.92.4.195.list.dnswl.org : 127.0.5.1] R_SPF_ALLOW(-0.20)[+ip4:195.4.92.0/23] ASN(0.00)[asn:5430, ipnet:195.4.0.0/16, country:DE] RCVD_NO_TLS_LAST(0.00)[] GREYLIST(0.00)[pass,body] BAYES_SPAM(2.29)[90.70%] MIME_GOOD(-0.10)[multipart/alternative,text/plain] TO_DN_NONE(0.00)[] URI_COUNT_ODD(1.00)[1] IP_SCORE(-0.00)[country: DE(-0.10)] RCVD_COUNT_THREE(0.00)[4] DMARC_NA(0.00)[freenet.de] FROM_EQ_ENVFROM(0.00)[] HAS_X_PRIO_THREE(0.00)[3] RCPT_COUNT_ONE(0.00)[1] R_DKIM_NA(0.00)[] FROM_NO_DN(0.00)[] XM_UA_NO_VERSION(0.01)[] RCVD_VIA_SMTP_AUTH(0.00)[] Ciao, -- Martin