From frank.duerring at condero.com Thu Feb 1 14:17:33 2018
From: frank.duerring at condero.com (=?utf-8?B?IkZyYW5rIEouIETDvHJyaW5nIg==?=)
Date: Thu, 1 Feb 2018 14:17:33 +0100
Subject: MTA's poor reputation...
Message-ID: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
Hallo zusammen,
ein Kunde kam auf die clevere Idee alle paar Wochen über unseren MTA einen Newsletter mit 12.000 Empfänger zu versenden.
Bisher ging auch alles gut, allerdings scheint nun Cisco unseren MTA (178.63.115.2) auf "reputation: poor" gesetzt zu haben.
Ein paar Fragen:
Wie kann ich unser System wieder auf ?neutral? einstufen lassen ohne das wir 4-5 Tage warten müssen?
Ich habe es bereits über https://www.talosintelligence.com gemeldet.
Wie kann ich verhindern das uns so etwas noch einmal passiert?
Die Newsletter Empfänger an sich sind korrekt und offiziell eingetragen.
Und noch das wichtigste wie bekomme ich nun die E-Mails trotzdem raus?
Ich habe noch zwei weitere MTAs die nicht betroffen sind, aber wie kann ich ohne gigantischen Aufwand die Nachrichten an einen anderen MTA weiterleiten damit sie von dort versendet werden können?
Ich nehme an ich muss dann auch noch mal die SPF-Records aller Absender checken, etc.
Auszug aus der Mail-Queue
(host mail1.bwl.de[193.197.148.18] refused to talk to me: 554-mailgate2.bwl.de 554 Your access to this mail system has been rejected due to the sending MTA's (178.63.115.2) poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
(delivery temporarily suspended: host mx12.ihk.de[141.88.222.223] refused to talk to me: 554-mx12.ihk.de 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
(delivery temporarily suspended: host mail4.magna.com[216.118.222.247] refused to talk to me: 554-mail4.magna.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
(delivery temporarily suspended: host mail2.stimme.de[213.239.255.100] refused to talk to me: 554 mail2.stimme.de)
Danke und Gruß Frank.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From andre.peters at debinux.de Thu Feb 1 14:35:16 2018
From: andre.peters at debinux.de (=?utf-8?q?Andr=C3=A9?= Peters)
Date: Thu, 1 Feb 2018 14:35:16 +0100
Subject: MTA's poor reputation...
In-Reply-To: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
References: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
Message-ID: <47551DD4-B4E6-492B-9A68-110A459EE364@debinux.de>
Hi,
du kannst zum Beispiel mit Rspamd Ratelimits erstellen. Dein Monitoring könnte das Überschreiten melden. Das Melden könnte man auch recht einfach via LUA in Rspamd implementieren.
Ansonsten abwarten.
> Am 01.02.2018 um 14:17 schrieb Frank J. Dürring :
>
> Hallo zusammen,
>
> ein Kunde kam auf die clevere Idee alle paar Wochen über unseren MTA einen Newsletter mit 12.000 Empfänger zu versenden.
>
> Bisher ging auch alles gut, allerdings scheint nun Cisco unseren MTA (178.63.115.2) auf "reputation: poor" gesetzt zu haben.
>
>
> Ein paar Fragen:
>
> Wie kann ich unser System wieder auf ?neutral? einstufen lassen ohne das wir 4-5 Tage warten müssen?
> Ich habe es bereits über https://www.talosintelligence.com gemeldet.
>
> Wie kann ich verhindern das uns so etwas noch einmal passiert?
> Die Newsletter Empfänger an sich sind korrekt und offiziell eingetragen.
>
> Und noch das wichtigste wie bekomme ich nun die E-Mails trotzdem raus?
>
> Ich habe noch zwei weitere MTAs die nicht betroffen sind, aber wie kann ich ohne gigantischen Aufwand die Nachrichten an einen anderen MTA weiterleiten damit sie von dort versendet werden können?
> Ich nehme an ich muss dann auch noch mal die SPF-Records aller Absender checken, etc.
>
>
> Auszug aus der Mail-Queue
>
> (host mail1.bwl.de[193.197.148.18] refused to talk to me: 554-mailgate2.bwl.de 554 Your access to this mail system has been rejected due to the sending MTA's (178.63.115.2) poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
>
> (delivery temporarily suspended: host mx12.ihk.de[141.88.222.223] refused to talk to me: 554-mx12.ihk.de 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
>
> (delivery temporarily suspended: host mail4.magna.com[216.118.222.247] refused to talk to me: 554-mail4.magna.com 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
>
> (delivery temporarily suspended: host mail2.stimme.de[213.239.255.100] refused to talk to me: 554 mail2.stimme.de)
>
> Danke und Gruß Frank.
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From Hajo.Locke at gmx.de Thu Feb 1 14:37:39 2018
From: Hajo.Locke at gmx.de (Hajo Locke)
Date: Thu, 1 Feb 2018 14:37:39 +0100
Subject: MTA's poor reputation...
In-Reply-To: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
References: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
Message-ID:
Hallo,
Am 01.02.2018 um 14:17 schrieb "Frank J. Dürring":
> Hallo zusammen,
>
> ein Kunde kam auf die clevere Idee alle paar Wochen über unseren MTA
> einen Newsletter mit 12.000 Empfänger zu versenden.
>
> Bisher ging auch alles gut, allerdings scheint nun Cisco unseren MTA
> (178.63.115.2) auf "reputation: poor" gesetzt zu haben.
>
>
> Ein paar Fragen:
>
> Wie kann ich unser System wieder auf ?neutral? einstufen lassen ohne
> das wir 4-5 Tage warten müssen?
> Ich habe es bereits über https://www.talosintelligence.com gemeldet.
So weit ich weiß, kann der dortige Support die Reputation sofort
resetten. Das scheinen die aber individuell zu machen, man muss es wohl
entsprechend begründen, per Kontaktformular.
Ein delist-Formular in dem Sinne gibt es nicht. Die Nachfrage nach
exakten Spambeispielen wird auch abgelehnt, da es deren Kunden nicht
gestatten, wird dann gesagt.
>
> Wie kann ich verhindern das uns so etwas noch einmal passiert?
> Die Newsletter Empfänger an sich sind korrekt und offiziell eingetragen.
>
> Und noch das wichtigste wie bekomme ich nun die E-Mails trotzdem raus?
>
> Ich habe noch zwei weitere MTAs die nicht betroffen sind, aber wie
> kann ich ohne gigantischen Aufwand die Nachrichten an einen anderen
> MTA weiterleiten damit sie von dort versendet werden können?
> Ich nehme an ich muss dann auch noch mal die SPF-Records aller
> Absender checken, etc.
>
>
> Auszug aus der Mail-Queue
>
> (host mail1.bwl.de [193.197.148.18] refused to
> talk to me: 554-mailgate2.bwl.de 554
> Your access to this mail system has been rejected due to the sending
> MTA's (178.63.115.2) poor reputation. If you believe that this failure
> is in error, please contact the intended recipient via alternate means.)
>
> (delivery temporarily suspended: host mx12.ihk.de
> [141.88.222.223] refused to talk to me:
> 554-mx12.ihk.de 554 Your access to this mail
> system has been rejected due to the sending MTA's poor reputation. If
> you believe that this failure is in error, please contact the intended
> recipient via alternate means.)
>
> (delivery temporarily suspended: host mail4.magna.com
> [216.118.222.247] refused to talk to me:
> 554-mail4.magna.com 554 Your access to
> this mail system has been rejected due to the sending MTA's poor
> reputation. If you believe that this failure is in error, please
> contact the intended recipient via alternate means.)
>
> (delivery temporarily suspended: host mail2.stimme.de
> [213.239.255.100] refused to talk to me: 554
> mail2.stimme.de )
>
> Danke und Gruß Frank.
>
>
Hajo
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From mailinglisten at pothe.de Thu Feb 1 17:52:26 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Thu, 1 Feb 2018 17:52:26 +0100
Subject: MTA's poor reputation...
In-Reply-To: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
References: <8E6BCC36-6841-4731-83F4-33179E63C1C9@condero.com>
Message-ID: <6fad9148-3140-9afd-863f-52258a5c2d9e@pothe.de>
Am 01.02.2018 um 14:17 schrieb "Frank J. Dürring":
> Bisher ging auch alles gut, allerdings scheint nun Cisco unseren MTA
> (178.63.115.2) auf "reputation: poor" gesetzt zu haben.
>
Witzig, dass deine Frage gerade jetzt kommt. Ich habe einen neuen Server
gemietet, der in einem Netzbereich sitzt, der erst seit 2017 Hetzner
gehört und bislang nicht genutzt wurde. Vorher gehörte der Bereich
irgendeinem ukrainischen Provider... Fast schon klar, dass auch hier
"reputation: poor" ist bei Cisco (auf anderen Blacklists ist die IP aber
nicht drauf, nur bei Cisco).
> Wie kann ich unser System wieder auf ?neutral? einstufen lassen ohne
> das wir 4-5 Tage warten müssen?
> Ich habe es bereits über https://www.talosintelligence.com gemeldet.
>
Genau da habe ich mich heute Morgen auch gemeldet, inzwischen ist meine
IP auf "Neutral", während der Rest des Blocks noch auf "Poor" steht.
Meine Frage, die leider nicht Dein Problem beantwortet, ich aber
passenderweise hier anhänge:
Kann ich damit rechnen, dass ab Morgen die neue Einstufung auch bei
T-Online, DEVK und wer sonst noch Cisco-Lösungen einsetzt, bekannt ist
und die Mails (wahrscheinlich) angenommen werden?
Denn aktuell lehnt z. B. T-Online die Mails von dieser neuen IP noch ab
und ich muss mir überlegen, ob ich einfach ein paar Tage warte oder
sofort die Reisleine ziehe und den Server wieder zurückgebe und einen
neuen aufsetze.
>
> (host mail1.bwl.de [193.197.148.18] refused to
> talk to me: 554-mailgate2.bwl.de 554
> Your access to this mail system has been rejected due to the sending
> MTA's (178.63.115.2) poor reputation. If you believe that this failure
> is in error, please contact the intended recipient via alternate means.)
>
>
Bei T-Online sieht das so aus:
| E99122000E: host mx02.t-online.de[194.25.134.9] refused to talk to me:
554 IP=94.130.180.65 - A problem occurred. (Ask your postmaster for help
or to contact tosa at rx.t-online.de to clarify.) (BL)
Und ja, ich habe tosa angeschrieben, aber das ist ja nur einer von
vielen und ich kann unmöglich so in Produktion gehen.
Beste Grüße
Andreas
P.S.: Frank, ich hatte die Nachricht versehentlich erst an dich
persönlich geschickt statt an die Liste. Sorry dafür!
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From postfix at linuxmaker.com Fri Feb 2 09:12:21 2018
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Fri, 02 Feb 2018 09:12:21 +0100
Subject: openDKIM-Signatur wird nicht in die Mail-Header
=?UTF-8?B?w7xiZXJub21tZW4=?=
Message-ID: <15823667.b3tyA9CLIF@stuttgart>
Guten Morgen,
ich bekomme die openDKIM-Signatur nicht in den Header meiner Mails. Ich haben
auf einem Debian Stretch Postfix (3.1.6) und openDKIM (2.11.0) über den
Workflow von Mailcow (functions.sh für Stretch) installiert.
Da sich openDKIM mit den Mailcow-Einstellungen nicht starten lässt, habe ich
mich für dessen Konfiguration an das Tutorial auf https://kofler.info/dkim-konfiguration-fuer-postfix/ gehalten.
Meine opendkim.conf enthält diese Variablen:
Syslog yes
UMask 007
Socket inet:12248 at localhost
PidFile /var/run/opendkim/opendkim.pid
UMask 002
OversignHeaders From
TrustAnchorFile /usr/share/dns/root.key
UserID opendkim
AutoRestart yes
AutoRestartRate 10/1h
Syslog yes
SyslogSuccess yes
LogWhy yes
Canonicalization relaxed/simple
SigningTable refile:/etc/opendkim/SigningTable
KeyTable /etc/opendkim/KeyTable
SignatureAlgorithm rsa-sha256
Damit lässt sich openDKIM problemlos starten. In meiner main.conf habe die
Einträge für openDKIM so gesetzt:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12248
non_smtpd_milters = inet:localhost:12248
Nach dem "postfix reload" werden bislang die DKIM-Signaturen nicht in die
Header geschrieben. Was habe ich eventuell vergessen?
Mit besten Grüßen
Andreas Günther
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From daniel at mail24.vip Fri Feb 2 12:35:17 2018
From: daniel at mail24.vip (Daniel)
Date: Fri, 2 Feb 2018 12:35:17 +0100
Subject: =?UTF-8?Q?AW:_openDKIM-Signatur_wird_nicht?=
=?UTF-8?Q?_in_die_Mail-Header_=C3=BCbernommen?=
In-Reply-To: <15823667.b3tyA9CLIF@stuttgart>
References: <15823667.b3tyA9CLIF@stuttgart>
Message-ID: <007e01d39c19$e65741f0$b305c5d0$@mail24.vip>
Hast du auch Listen für welche Domains ganze gelten soll eingepflegt, Keys/Cert erstellt ect.?
Prüfe deine Schritte sonst hier mit der Anleitung, ob evt. Schritt vergessen hast.
https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter
https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendmarc_anbinden_opendmarc-milter
Gruß Daniel
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 5530 bytes
Beschreibung: nicht verfügbar
URL :
From postfix at linuxmaker.com Fri Feb 2 13:28:04 2018
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Fri, 02 Feb 2018 13:28:04 +0100
Subject: AW: openDKIM-Signatur wird nicht in die Mail-Header
=?UTF-8?B?w7xiZXJub21tZW4=?=
In-Reply-To: <007e01d39c19$e65741f0$b305c5d0$@mail24.vip>
References: <15823667.b3tyA9CLIF@stuttgart>
<007e01d39c19$e65741f0$b305c5d0$@mail24.vip>
Message-ID: <8642060.D8xMUjV34O@stuttgart>
Hallo Daniel,
ich danke Dir für die zusätzlichen Informationen. Eingestellt vom OpenDKIM war
alles korrekt bis auf "mode sv", das fehlte noch. Das war allerdings nicht
primär entscheidend.
Der Blick auf die master.cf hat mir dann den Fehler gezeigt. Unter
127.0.0.1:10026 inet n - n - - smtpd
stand noch der falsche, von Mailcow definierte, Port. Die Lösung war also das
Ersetzen dieses Port szu 12248.
Jetzt läuft auch die DKIM-Signatur in den Mail-Header.
Besten Dank und Grüße
Andreas
On Freitag, 2. Februar 2018 12:35:17 CET Daniel wrote:
> Hast du auch Listen für welche Domains ganze gelten soll eingepflegt,
> Keys/Cert erstellt ect.?
>
> Prüfe deine Schritte sonst hier mit der Anleitung, ob evt. Schritt vergessen
> hast.
>
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendk
> im_anbinden_opendkim-milter
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opend
> marc_anbinden_opendmarc-milter
>
> Gruß Daniel
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From gjn at gjn.priv.at Fri Feb 2 13:32:08 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Fri, 02 Feb 2018 13:32:08 +0100
Subject: AW: openDKIM-Signatur wird nicht in die Mail-Header
=?UTF-8?B?w7xiZXJub21tZW4=?=
In-Reply-To: <8642060.D8xMUjV34O@stuttgart>
References: <15823667.b3tyA9CLIF@stuttgart>
<007e01d39c19$e65741f0$b305c5d0$@mail24.vip> <8642060.D8xMUjV34O@stuttgart>
Message-ID: <2099734.AJ8iCxHPRZ@techz>
Am Freitag, 2. Februar 2018, 13:28:04 CET schrieb Andreas Günther:
> Hallo Daniel,
>
> ich danke Dir für die zusätzlichen Informationen. Eingestellt vom OpenDKIM
Hallo,
> war alles korrekt bis auf "mode sv", das fehlte noch. Das war allerdings
> nicht primär entscheidend.
>
> Der Blick auf die master.cf hat mir dann den Fehler gezeigt. Unter
> 127.0.0.1:10026 inet n - n - - smtpd
> stand noch der falsche, von Mailcow definierte, Port. Die Lösung war also
> das Ersetzen dieses Port szu 12248.
>
> Jetzt läuft auch die DKIM-Signatur in den Mail-Header.
Frage warum machst Du das extra mit openDKIM ?? mailcow hat doch rspamd mit
dabei der kann das ja auch ??
> Besten Dank und Grüße
>
> Andreas
>
> On Freitag, 2. Februar 2018 12:35:17 CET Daniel wrote:
> > Hast du auch Listen für welche Domains ganze gelten soll eingepflegt,
> > Keys/Cert erstellt ect.?
> >
> > Prüfe deine Schritte sonst hier mit der Anleitung, ob evt. Schritt
> > vergessen hast.
> >
> > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_open
> > dk im_anbinden_opendkim-milter
> > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_open
> > d
> > marc_anbinden_opendmarc-milter
> >
> > Gruß Daniel
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
From mailinglisten at pothe.de Fri Feb 2 13:36:40 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Fri, 2 Feb 2018 13:36:40 +0100
Subject: OpenDMARC startet nicht automatisch
Message-ID:
Hallo in die Runde,
mein neues Mailserversetup läuft soweit wunderbar, es hat alle Tests
bestanden, sodass ich theoretisch damit "live" gehen könnte.
Allerdings gibt es ein kleines Problem: Bei Systemstart (Debian 9.3)
startet OpenDMARC nicht. Manuell ist der Start ohne Probleme möglich,
nur bei einem möglichen Neustart des Servers passiert nichts. Laut
Journal wird gar nicht erst versucht, OpenDMARC zu starten, und das
obwohl folgende Dateien existieren:
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc0.d/K01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc1.d/K01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc2.d/S01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc3.d/S01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc4.d/S01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc5.d/S01opendmarc ->
../init.d/opendmarc
lrwxrwxrwx 1 root root 19 Jan 30 15:25 /etc/rc6.d/K01opendmarc ->
../init.d/opendmarc
-rwxr-xr-x 1 root root 3416 May 23 2017 /etc/init.d/opendmarc
Wie gesagt, über "# /etc/init.d/opendmarc start" ist es an der Konsole
jederzeit möglich, das Tool zu starten.
Andere Software wie Postfix, OpenDKIM usw. werden wunderbar automatisch
gestartet.
Was habe ich übersehen, wo liegt der Fehler? Danke!
Beste Grüße
Andreas
From postfix at linuxmaker.com Fri Feb 2 13:45:52 2018
From: postfix at linuxmaker.com (Andreas =?ISO-8859-1?Q?G=FCnther?=)
Date: Fri, 02 Feb 2018 13:45:52 +0100
Subject: AW: openDKIM-Signatur wird nicht in die Mail-Header
=?UTF-8?B?w7xiZXJub21tZW4=?=
In-Reply-To: <2099734.AJ8iCxHPRZ@techz>
References: <15823667.b3tyA9CLIF@stuttgart> <8642060.D8xMUjV34O@stuttgart>
<2099734.AJ8iCxHPRZ@techz>
Message-ID: <2540367.C0nPat2qMC@stuttgart>
> Frage warum machst Du das extra mit openDKIM ?? mailcow hat doch rspamd mit
> dabei der kann das ja auch ??
Weil es bei der Version, die ich gerade 0.14, nicht dabei ist. Aber Danke für
den Hinweis, ich habe die neue Version gerade gesichtet. Sehe ich zu, dass ich
das beim zweiten Mailserver nutze.
Beste Grüße
Andreas
From jra at byte.cx Fri Feb 2 13:45:07 2018
From: jra at byte.cx (Jens Adam)
Date: Fri, 2 Feb 2018 13:45:07 +0100
Subject: OpenDMARC startet nicht automatisch
In-Reply-To:
References:
Message-ID: <946F2889-4FE8-4B9F-A1DF-A5FA957C5A06@byte.cx>
> Am 02.02.2018 um 13:36 schrieb Andreas Pothe :
>
> Was habe ich übersehen, wo liegt der Fehler?
Probier mal https://manpages.debian.org/stretch/systemd/systemd-sysv-generator.8.en.html
--byte
From usenet at schani.com Mon Feb 5 15:51:07 2018
From: usenet at schani.com (usenet schani)
Date: Mon, 5 Feb 2018 15:51:07 +0100
Subject: =?UTF-8?Q?Postfix_Ports_und_IP=c2=b4s_=c3=a4ndern?=
Message-ID:
Hallo zusammen,
ich betreibe auf einem Server (debian8) ASSP und dahinter Postfix Amavis
und Dovecot.
Bis dato habe ich Emails von Clients auch über ASSP auf Port 25,465 oder
587 anliefern lassen. Die externen Emails von anderen MTA´s kommen auch
so an. Internet -> ASSP -> Postfix -> Amavisd -> Postfix ....
Der DNS MX Eintrag geht auf "meinedomain.de". Die User nutzen
"meinedomain.de" als SMTP, POP und IMAP Server.
Eigentlich ist das falsch, funktionierte aber auch brauchbar gut nur
beim senden von Mails etwas langsam. Besser wäre die Auth Logins auf den
SMTP Server nicht durch ASSP auf Postfix zu machen.
Jetzt habe ich noch eine 2. IP auf dem Server die ich als MX Eintrag
nutzen könnte. So kann ich die "meinedomain.de" weiter zum anliefern der
Auth User Emails und Dovecot Verbindungen nutzen. Die 200 Konten haben
ja bereits die Clients so eingerichtet. Die externen MTA Verbindungen
lege ich dann auf einen neuen MX Eintrag auf "mx.meinedomain.de" unter
222.333.444.555 (Naja die Nummern ?!?%$ sorry, aber ihr versteht).
So habe ich jetzt 2 unterschiedliche IP´s für Auth User und externe MTA´s.
Frage:
Wie kann ich Postfix beibringen das Auth User über die IP:
111.222.333.444 kommen. Natürlich mit Zertifikat und den Ports 25,465,587.
Die externen Emails nur von IP 192.178.0.1:25 (ASSP) aber ohne Auth.
ASSP macht TLS und SSL. Kann ich die Postfix "Eingänge" so eingrenzen?
Könnt Ihr mir da einen Tipp geben?
Besten Dank für Hilfe
Christian
From Christian.Schmidt at chemie.uni-hamburg.de Mon Feb 5 18:30:27 2018
From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt)
Date: Mon, 5 Feb 2018 18:30:27 +0100
Subject: =?UTF-8?Q?Re:_Postfix_Ports_und_IP=c2=b4s_=c3=a4ndern?=
In-Reply-To:
References:
Message-ID: <16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
Moin,
usenet schani, 05.02.2018:
> Wie kann ich Postfix beibringen das Auth User über die IP:
> 111.222.333.444 kommen. Natürlich mit Zertifikat und den Ports 25,465,587.
> Die externen Emails nur von IP 192.178.0.1:25 (ASSP) aber ohne Auth.
> ASSP macht TLS und SSL. Kann ich die Postfix "Eingänge" so eingrenzen?
Das erreichst Du durch entsprechende Einträge in der master.cf, z.B. für
submission:
submission inet n - y - - smtpd
-o smtpd_proxy_filter=
-o content_filter=smtp:[127.0.0.1]:10026
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_recipient_restrictions=$submission_restrictions
-o receive_override_options=no_address_mappings
-o syslog_name=postfix-587
Die hier mit "-o" gesetzten Optionen "überlagern" die in der main.cf
gesetzten.
Mit freundlichen Grüßen
Christian Schmidt
--
No signature available.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 5419 bytes
Beschreibung: S/MIME Cryptographic Signature
URL :
From usenet at schani.com Wed Feb 7 21:49:56 2018
From: usenet at schani.com (SChani)
Date: Wed, 7 Feb 2018 21:49:56 +0100
Subject: =?UTF-8?Q?Re:_Postfix_Ports_und_IP=c2=b4s_=c3=a4ndern?=
In-Reply-To: <16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
References:
<16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
Message-ID: <3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
Ok, wie trage ich nun hier eine BEschränkung auf eine bestimmte IP
Adresse und alles was Localhost ist ein.
Postfix soll nur Emails von 141.0.21.200 nur mit Auth(also mit Userid
und PW) und 127.0.0.1 annehmen, da aber auf Port 25, 465 und 587
Also von Extern nur mit PW und intern auf 127.0.0.1 von ASSP und PHP
mail() ohne PW.
Könnt ihr mir die -o Anweisung sagen?
Besten Dank für Hilfe
Christian
Am 05.02.2018 um 18:30 Uhr schrieb Christian Schmidt:
> Moin,
>
> usenet schani, 05.02.2018:
>> Wie kann ich Postfix beibringen das Auth User über die IP:
>> 111.222.333.444 kommen. Natürlich mit Zertifikat und den Ports 25,465,587.
>> Die externen Emails nur von IP 192.178.0.1:25 (ASSP) aber ohne Auth.
>> ASSP macht TLS und SSL. Kann ich die Postfix "Eingänge" so eingrenzen?
>
> Das erreichst Du durch entsprechende Einträge in der master.cf, z.B. für
> submission:
>
> submission inet n - y - - smtpd
> -o smtpd_proxy_filter=
> -o content_filter=smtp:[127.0.0.1]:10026
> -o smtpd_tls_security_level=encrypt
> -o smtpd_sasl_auth_enable=yes
> -o smtpd_recipient_restrictions=$submission_restrictions
> -o receive_override_options=no_address_mappings
> -o syslog_name=postfix-587
>
> Die hier mit "-o" gesetzten Optionen "überlagern" die in der main.cf
> gesetzten.
>
> Mit freundlichen Grüßen
> Christian Schmidt
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 3326 bytes
Beschreibung: S/MIME Cryptographic Signature
URL :
From klaus at tachtler.net Thu Feb 8 06:11:48 2018
From: klaus at tachtler.net (Klaus Tachtler)
Date: Thu, 08 Feb 2018 06:11:48 +0100
Subject: Postfix Ports und =?utf-8?b?SVDCtHMgw6RuZGVybg==?=
In-Reply-To: <3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
References:
<16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
<3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
Message-ID: <20180208061148.Horde.kO5s9qZ8UT1uORObY9ey0lx@buero.tachtler.net>
Hallo Christian,
in der master.cf von Postfix - mal Beispiele (Du muss selbst wissen,
wie es für Dich am besten passt):
...
127.0.0.1:smtp inet n - n - - smtpd
-o content_filter=
-o smtpd_proxy_filter=xxx.xxx.xxx.xxx:10024
-o smtpd_client_connection_count_limit=4
-o smtpd_proxy_options=speed_adjust
...
141.0.21.200:submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o content_filter=lmtp:[xxx.xxx.xxx.xxx]:10026
-o lmtp_use_tls=yes
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
...
Am wichtigsten sind bei submission (587) die Zeilen:
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
aber bitte auch für die verschlüsselte Übermittlung der Passwörter sorgen:
-o lmtp_use_tls=yes
-o smtpd_tls_security_level=encrypt
Das mal als keine Hilfestellung!
Ansonsten - lesen bildet...
- http://www.postfix.org/master.5.html
- http://www.postfix.org/postconf.5.html
oder auch, was ich mal für mich in dieser Hinsicht als DokuWiki erstellt habe:
-
https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#port_submission
- https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7
Grüße
Klaus.
> Ok, wie trage ich nun hier eine BEschränkung auf eine bestimmte IP
> Adresse und alles was Localhost ist ein.
> Postfix soll nur Emails von 141.0.21.200 nur mit Auth(also mit
> Userid und PW) und 127.0.0.1 annehmen, da aber auf Port 25, 465 und
> 587
>
> Also von Extern nur mit PW und intern auf 127.0.0.1 von ASSP und PHP
> mail() ohne PW.
> Könnt ihr mir die -o Anweisung sagen?
>
> Besten Dank für Hilfe
> Christian
>
> Am 05.02.2018 um 18:30 Uhr schrieb Christian Schmidt:
>> Moin,
>>
>> usenet schani, 05.02.2018:
>>> Wie kann ich Postfix beibringen das Auth User über die IP:
>>> 111.222.333.444 kommen. Natürlich mit Zertifikat und den Ports 25,465,587.
>>> Die externen Emails nur von IP 192.178.0.1:25 (ASSP) aber ohne Auth.
>>> ASSP macht TLS und SSL. Kann ich die Postfix "Eingänge" so eingrenzen?
>>
>> Das erreichst Du durch entsprechende Einträge in der master.cf, z.B. für
>> submission:
>>
>> submission inet n - y - - smtpd
>> -o smtpd_proxy_filter=
>> -o content_filter=smtp:[127.0.0.1]:10026
>> -o smtpd_tls_security_level=encrypt
>> -o smtpd_sasl_auth_enable=yes
>> -o smtpd_recipient_restrictions=$submission_restrictions
>> -o receive_override_options=no_address_mappings
>> -o syslog_name=postfix-587
>>
>> Die hier mit "-o" gesetzten Optionen "überlagern" die in der main.cf
>> gesetzten.
>>
>> Mit freundlichen Grüßen
>> Christian Schmidt
>>
----- Ende der Nachricht von SChani -----
--
------------------------------------------------
e-Mail : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
------------------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-keys
Dateigröße : 3120 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL :
From mailinglisten at pothe.de Mon Feb 12 12:11:35 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 12 Feb 2018 12:11:35 +0100
Subject: Fatal: unknown service: //tcp
Message-ID:
Hi,
bislang habe ich alle Postfix-Instanzen sauber hinbekommen, auf einem
neuen Server, der zukünftig als Backup dienen soll, habe ich aber ein
Problem. Alle Nachrichten, bei denen die Domain nicht explizit in der
Transport angegeben ist, können mit dem Fehler:
| postfix/smtp[1803]: fatal: unknown service: //tcp
nicht weiterverarbeitet werden. Google hilft leider nicht weiter, dort
ist immer nur der Fehler unknown service smtp/tcp beschrieben, was hier
aber nicht zutrifft.
Wo liegt das Problem?
Danke für die Hilfe!
Andreas
# postconf -nf
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
defer_code = 451
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
milter_default_action = accept
milter_protocol = 6
mydestination =
myhostname = mail2.example.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock,
unix:/var/run/opendmarc/opendmarc.sock
postscreen_access_list = permit_mynetworks,
cidr:/etc/postfix/postscreen_access.cidr
postscreen_cache_map = proxy:btree:/var/lib/postfix/postscreen_cache
postscreen_dnsbl_action = enforce
postscreen_dnsbl_max_ttl = 300s
postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
postscreen_dnsbl_sites = bl.spamcop.net*2 ix.dnsbl.manitu.net*3
hostkarma.junkemailfilter.com=127.0.0.2*2 dnsbl-1.uceprotect.net*2
psbl.surriel.com*2 rep.mailspike.net=127.0.0.[10;11;12]*2
rep.mailspike.net=127.0.0.[13;14] list.dnswl.org*-2
postscreen_dnsbl_threshold = 4
postscreen_enforce_tls = $smtpd_enforce_tls
postscreen_greet_action = enforce
postscreen_use_tls = $smtpd_use_tls
readme_directory = no
recipient_delimiter = +
relay_domains = example.com
relay_recipient_maps = texthash:/home/mastermailer/mailaddresses
relayhost = hash:/
relocated_maps = hash:/etc/postfix/relocated
smtp_dns_support_level = dnssec
smtp_tls_CAfile = /etc/postfix/CAcert.pem
smtp_tls_cert_file = /etc/ssl/private/myown.fullchain
smtp_tls_exclude_ciphers = aNULL, eNULL, EXP, MD5, IDEA, KRB5, RC2,
SEED, SRP
smtp_tls_key_file = /etc/ssl/private/myown.key
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = mail2.example.com ESMTP
smtpd_milters = unix:/var/run/opendkim/opendkim.sock,
unix:/var/run/opendmarc/opendmarc.sock, inet:localhost:10023
smtpd_recipient_restrictions = reject_unknown_sender_domain,
reject_non_fqdn_sender, reject_non_fqdn_recipient, permit_mynetworks,
permit_sasl_authenticated, reject_unlisted_recipient,
check_recipient_access
hash:/etc/postfix/recipient_checks, reject_unauth_pipelining,
reject_unknown_recipient_domain, check_client_access
cidr:/etc/postfix/client_checks_blacklist_cidr, check_sender_access
hash:/etc/postfix/sender_access, check_client_access
hash:/etc/postfix/client_checks_blacklist, check_sender_mx_access
cidr:/etc/postfix/bogus_mx, reject_unauth_destination,
check_client_access
hash:/etc/postfix/client_checks_whitelist, reject_unknown_client,
reject_invalid_hostname
smtpd_relay_restrictions = reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_non_fqdn_recipient, permit_mynetworks, permit_sasl_authenticated,
reject_unlisted_recipient, check_recipient_access
hash:/etc/postfix/recipient_checks, check_client_access
hash:/etc/postfix/backupmx, reject_unauth_pipelining,
reject_unknown_recipient_domain, check_client_access
cidr:/etc/postfix/client_checks_blacklist_cidr, check_sender_access
hash:/etc/postfix/sender_access, check_client_access
hash:/etc/postfix/client_checks_blacklist, check_sender_mx_access
cidr:/etc/postfix/bogus_mx, reject_unauth_destination,
check_client_access
hash:/etc/postfix/client_checks_whitelist, reject_unknown_client,
reject_invalid_hostname
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/private/myown.fullchain
smtpd_tls_dh1024_param_file = /etc/ssl/ssl_dhparams.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH,
EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_key_file = /etc/ssl/private/myown.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
soft_bounce = yes
tls_append_default_CA = yes
tls_high_cipherlist =
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
tls_medium_cipherlist = !aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
transport_maps = hash:/etc/postfix/transport
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_reject_code = 550
unverified_sender_reject_code = 450
# postconf -Mf
127.0.0.1:smtp inet n - n - - smtpd
-o content_filter=
::1:smtp inet n - n - - smtpd
-o content_filter=
(myIPv4):smtp inet n - y - 1 postscreen
(myIPv6):smtp inet n - y - 1 postscreen
-o postscreen_cache_map=/var/lib/postfix/postfix_postscreen_cache_ipv6
smtpd pass - - n - - smtpd
dnsblog unix - - n - 0 dnsblog
tlsproxy unix - - n - 0 tlsproxy
smtp-amavis unix - - n - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
127.0.0.1:10025 inet n - n - - smtpd
-o content_filter=
-o smtpd_milters=unix:/var/run/opendkim/opendkim.sock
-o non_smtpd_milters=unix:/var/run/opendkim/opendkim.sock
pickup unix n - n 60 1 pickup
cleanup unix n - n - 0 cleanup
qmgr unix n - n 300 1 qmgr
tlsmgr unix - - n 1000? 1 tlsmgr
rewrite unix - - n - - trivial-rewrite
bounce unix - - n - 0 bounce
defer unix - - n - 0 bounce
trace unix - - n - 0 bounce
verify unix - - n - 1 verify
flush unix n - n 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - n - - smtp
-o smtp_bind_address=(myIPv4)
-o smtp_bind_address6=(myIPv6)
-o smtp_helo_name=mail2.example.com
relay unix - - n - - smtp
showq unix n - n - - showq
error unix - - n - - error
retry unix - - n - - error
discard unix - - n - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
scache unix - - n - 1 scache
maildrop unix - n n - - pipe flags=DRhu
user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe flags=Fqhu
user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe flags=F
user=ftn
argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe flags=Fq.
user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe flags=R
user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop}
${user} ${extension}
mailman unix - n n - - pipe flags=FR
user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop}
${user}
From sschieke at hans-bredow-institut.de Mon Feb 12 12:49:17 2018
From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de)
Date: Mon, 12 Feb 2018 12:49:17 +0100 (CET)
Subject: Amavis Whitelisting Mailingliste
In-Reply-To: <20180208061148.Horde.kO5s9qZ8UT1uORObY9ey0lx@buero.tachtler.net>
References:
<16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
<3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
<20180208061148.Horde.kO5s9qZ8UT1uORObY9ey0lx@buero.tachtler.net>
Message-ID: <1356711821.694.1518436157397@groupware.local.hans-bredow-institut.de>
Hallo in die Runde,
in unserer Konfiguration (Postfix/Amavis/Spamassassin) haben wir wiederholt Probleme beim Mail-Empfang von Mailinglisten. Die werden - so wie ich es lese - von Amavis abgelehnt:
==========================================================
Feb 12 08:53:56 mail2 amavis[5247]: (05247-12) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20180212T082551-05247-fnQAWAQP: -> SIZE=4032698 BODY=8BITMIME Received: from mail2.hans-bredow-institut.de ([127.0.0.1]) by localhost (mail2.hans-bredow-institut.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for ; Mon, 12 Feb 2018 08:53:56 +0100 (CET)
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) Checking: giSnomashXZX [139.18.1.26] ->
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p004 1 Content-Type: multipart/mixed
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p001 1/1 Content-Type: text/plain, size: 1264 B, name:
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p002 1/2 Content-Type: application/pdf, size: 2939390 B, name: Newsletter_Februar.pdf
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p003 1/3 Content-Type: text/plain, size: 366 B, name:
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) truncating a message passed to SA at 207341 bytes, orig 4032909
Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) Blocked SPAM {RejectedInbound}, [139.18.1.26]:38575 [139.18.1.37] -> , Message-ID: , mail_id: giSnomashXZX, Hits: 10.4, size: 4032909, 2480 ms
Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) TIMING-SA total 1721 ms - parse: 6 (0.3%), extract_message_metadata: 14 (0.8%), get_uri_detail_list: 0.91 (0.1%), tests_pri_-1000: 29 (1.7%), tests_pri_-950: 0.80 (0.0%), tests_pri_-900: 0.84 (0.0%), tests_pri_-400: 13 (0.7%), check_bayes: 12 (0.7%), b_tokenize: 3.7 (0.2%), b_tok_get_all: 4.2 (0.2%), b_comp_prob: 2.4 (0.1%), b_tok_touch_all: 0.21 (0.0%), b_finish: 0.38 (0.0%), tests_pri_0: 1641 (95.4%), check_spf: 9 (0.5%), poll_dns_idle: 5 (0.3%), check_dkim_adsp: 21 (1.2%), check_razor2: 1491 (86.6%), check_pyzor: 72 (4.2%), tests_pri_500: 5 (0.3%), get_report: 0.36 (0.0%)
Feb 12 08:53:59 mail2 postfix/smtpd[5326]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=05247-12 - spam; from= to= proto=ESMTP helo=
==========================================================
Daher habe ich versucht, in Amavis eine Whitelist für diesen Versender zu implementieren. Bin mir aber nicht sicher, ob da nicht noch etwas fehlt:
aus der /etc/amavis/conf.d/50-user
read_hash(%whitelist_sender, "/etc/amavis/whitelist_sender");
@whitelist_sender_maps = (\%whitelist_sender);
Dann einige Einträge aus der entsprechende Liste:
==========================================================
lists.uni-leipzig.de
jiscmail.ac.uk
==========================================================
Daher meine Fragen:
Muss in der Amavis Konfiguration noch weiteres eingestellt werden? Also z.B. was genau mit den Einträgen in der Whitelist passieren soll?
Ist es vll. tatsächlich Spamassassin, welches die Mails ablehnt?
lG
Sebastian
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 183 bytes
Beschreibung: nicht verfügbar
URL :
From wn at neessen.net Mon Feb 12 13:07:42 2018
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 12 Feb 2018 13:07:42 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To:
References:
Message-ID:
Hi Andreas,
Am 12.02.2018 um 12:11 schrieb Andreas Pothe :
> | postfix/smtp[1803]: fatal: unknown service: //tcp
>
,---[ grep -r 'unknown service' * ]
| src/util/find_inet.c: msg_fatal("unknown service: %s/%s", service, protocol);
`---
Mein Tipp waere, dass Du tcpwrappers nutzt und der inetd irgendwie falsch konfiguriert ist.
Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: Message signed with OpenPGP
URL :
From wn at neessen.net Mon Feb 12 13:10:52 2018
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 12 Feb 2018 13:10:52 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To:
References:
Message-ID: <4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
Hi again,
Am 12.02.2018 um 13:07 schrieb Winfried Neessen :
> ,---[ grep -r 'unknown service' * ]
> | src/util/find_inet.c: msg_fatal("unknown service: %s/%s", service, protocol);
> `---
>
> Mein Tipp waere, dass Du tcpwrappers nutzt und der inetd irgendwie falsch konfiguriert ist.
Da hab ich wohl ein "d" zuviel gelesen. Die Funktion in der der fatal-error auftritt hat nichts
mit inetd/tcpwrappers zu tun:
,---
| /* find_inet_port - translate numerical or symbolic service name */
|
| int find_inet_port(const char *service, const char *protocol)
| {
| struct servent *sp;
| int port;
|
| if (alldig(service) && (port = atoi(service)) != 0) {
| if (port < 0 || port > 65535)
| msg_fatal("bad port number: %s", service);
| return (htons(port));
| } else {
| if ((sp = getservbyname(service, protocol)) == 0)
| msg_fatal("unknown service: %s/%s", service, protocol);
| return (sp->s_port);
| }
| }
`---
Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: Message signed with OpenPGP
URL :
From carl-georg.bernert at gmx.de Mon Feb 12 13:29:29 2018
From: carl-georg.bernert at gmx.de (Carl-Georg Bernert)
Date: Mon, 12 Feb 2018 13:29:29 +0100
Subject: RSPAMd und DKIM mit mehreren Domains
Message-ID:
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From andre.peters at debinux.de Mon Feb 12 13:32:17 2018
From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=)
Date: Mon, 12 Feb 2018 13:32:17 +0100
Subject: RSPAMd und DKIM mit mehreren Domains
In-Reply-To:
References:
Message-ID:
Hi,
https://rspamd.com/doc/modules/dkim_signing.html
domain {
# Domain name is used as key
domain1.com {
# Private key path
path = "/var/lib/rspamd/dkim/domain1.key";
# Selector
selector = "ds";
}
domain2.com {
# Private key path
path = "/var/lib/rspamd/dkim/domain2.key";
# Selector
selector = "ds";
}
}
So zum Beispiel. :-)
Am 12.02.2018 um 13:29 schrieb Carl-Georg Bernert:
> Hallo,
>
> ich versuche DKIM unter RSPAMD zu konfigurieren. Dabei möchte ich
> mehrere DKIM-Schlüssel für mehrere Domains angeben. Die Datei
> "/etc/rspamd/local.d/dkim_signing.conf" sieht gar nicht danach aus,
> mehrere Schlüsseldateien zu akzeptieren:
>
> path = "/var/lib/rspamd/dkim/$selector.private";
> selector = "201802_domain1.tdl";
>
> Ich möchte für die Domains domain1.tdl, domain2.tdl und domain3.tdl
> auf die unterschiedlichen Keys zugreifen können. Hat jemand eine Idee,
> wie das zu machen wäre?
>
> Grüße
>
> Carl
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : andre_peters.vcf
Dateityp : text/x-vcard
Dateigröße : 4 bytes
Beschreibung: nicht verfügbar
URL :
From wn at neessen.net Mon Feb 12 20:00:24 2018
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 12 Feb 2018 20:00:24 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To: <4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
References:
<4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
Message-ID: <0E80852A-B914-4A62-807B-AE241FCEF528@neessen.net>
Hi,
so... jetzt hatte ich ein wenig Zeit mir den Code genau durchzulesen.
> ,---
> | /* find_inet_port - translate numerical or symbolic service name */
> |
> | int find_inet_port(const char *service, const char *protocol)
> | {
> | struct servent *sp;
> | int port;
> |
> | if (alldig(service) && (port = atoi(service)) != 0) {
> | if (port < 0 || port > 65535)
> | msg_fatal("bad port number: %s", service);
> | return (htons(port));
> | } else {
> | if ((sp = getservbyname(service, protocol)) == 0)
> | msg_fatal("unknown service: %s/%s", service, protocol);
> | return (sp->s_port);
> | }
> | }
> `---
Der Fehler wird geworfen, wenn getservbyname() fehlschlaegt. Und getservbyname()
liest den Service in Frage aus der /etc/services aus. Mein Tipp waere, dass Deine
Postfix Instanz im chroot() laeuft und die /etc/services nicht sauber nach /var/spool/postfix/etc
kopiert wurde oder die services Datei darin korrupt ist.
Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: Message signed with OpenPGP
URL :
From mailinglisten at pothe.de Mon Feb 12 20:18:46 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 12 Feb 2018 20:18:46 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To: <0E80852A-B914-4A62-807B-AE241FCEF528@neessen.net>
References:
<4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
<0E80852A-B914-4A62-807B-AE241FCEF528@neessen.net>
Message-ID:
Hi,
Am 12.02.2018 um 20:00 schrieb Winfried Neessen:
> Hi,
>
> so... jetzt hatte ich ein wenig Zeit mir den Code genau durchzulesen.
Erstmal Danke für die Mühe.
>
> Der Fehler wird geworfen, wenn getservbyname() fehlschlaegt. Und getservbyname()
> liest den Service in Frage aus der /etc/services aus. Mein Tipp waere, dass Deine
> Postfix Instanz im chroot() laeuft und die /etc/services nicht sauber nach /var/spool/postfix/etc
> kopiert wurde oder die services Datei darin korrupt ist.
>
Selbst ein erneutes dahin kopieren löst das Problem nicht :(
CU
Andreas
From wn at neessen.net Mon Feb 12 20:28:39 2018
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 12 Feb 2018 20:28:39 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To:
References:
<4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
<0E80852A-B914-4A62-807B-AE241FCEF528@neessen.net>
Message-ID: <3FD5D076-D0EF-4E20-AA3D-98EACAB0100A@neessen.net>
Hi,
Am 12.02.2018 um 20:18 schrieb Andreas Pothe :
>> Der Fehler wird geworfen, wenn getservbyname() fehlschlaegt. Und getservbyname()
>> liest den Service in Frage aus der /etc/services aus. Mein Tipp waere, dass Deine
>> Postfix Instanz im chroot() laeuft und die /etc/services nicht sauber nach /var/spool/postfix/etc
>> kopiert wurde oder die services Datei darin korrupt ist.
>>
> Selbst ein erneutes dahin kopieren löst das Problem nicht :(
,---
| if ((sp = getservbyname(service, protocol)) == 0)
| msg_fatal("unknown service: %s/%s", service, protocol);
`---
Ahja... Die Fehlermeldung ist "unknown service: //tcp", der Pointer "service" scheint also ein "/" zu
sein. Was ja vermutlich auch keinen Sinn ergibt. Wenn ich mir Deine Config angucke, springt mir
dann auch ein ungewohntes "/" ins Auge: "relayhost = hash:/". Das ist sicherlich nicht so gewollte,
oder?
Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: Message signed with OpenPGP
URL :
From mailinglisten at pothe.de Mon Feb 12 20:32:53 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 12 Feb 2018 20:32:53 +0100
Subject: Fatal: unknown service: //tcp
In-Reply-To: <3FD5D076-D0EF-4E20-AA3D-98EACAB0100A@neessen.net>
References:
<4FBB9730-85B2-4440-BD06-E1BC294ED006@neessen.net>
<0E80852A-B914-4A62-807B-AE241FCEF528@neessen.net>
<3FD5D076-D0EF-4E20-AA3D-98EACAB0100A@neessen.net>
Message-ID:
Hi,
Am 12.02.2018 um 20:28 schrieb Winfried Neessen:
>
> Ahja... Die Fehlermeldung ist "unknown service: //tcp", der Pointer "service" scheint also ein "/" zu
> sein. Was ja vermutlich auch keinen Sinn ergibt. Wenn ich mir Deine Config angucke, springt mir
> dann auch ein ungewohntes "/" ins Auge: "relayhost = hash:/". Das ist sicherlich nicht so gewollte,
> oder?
>
>
Huch, wie kommt das denn dahin? Aber Bingo: Genau das war es. Kaum
entfernt, schon funktioniert's! Wald, Bäume.
Vielen Dank und schönen Abend noch :)
Beste Grüße
Andreas
From Christian.Hoyer-Reuther at cac-chem.de Tue Feb 13 10:18:03 2018
From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian)
Date: Tue, 13 Feb 2018 10:18:03 +0100
Subject: AW: Amavis Whitelisting Mailingliste
In-Reply-To: <1356711821.694.1518436157397@groupware.local.hans-bredow-institut.de>
References:
<16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
<3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
<20180208061148.Horde.kO5s9qZ8UT1uORObY9ey0lx@buero.tachtler.net>
<1356711821.694.1518436157397@groupware.local.hans-bredow-institut.de>
Message-ID: <41E487BC91654544B2B8F31096F2D9D4011BE84D6AE7@ex1>
Hallo Sebastian,
um zu sehen, durch welche Tests das Scoring sich zusammensetzt, musst Du den Loglevel hochsetzen ($log_level = 5;). Dann findest Du im Log Zeilen mit "spam_scan" wie im Beispiel:
Feb 13 09:52:54 mail amavis[21410]: (21410-10) spam_scan: score=-1.109 autolearn=no autolearn_force=no tests=[BAYES_00=-1.9,HTML_MESSAGE=0.001,MPART_ALT_DIFF=0.79] recips=0
Zu @whitelist_sender_maps kann ich nichts sagen, aber Du kannst ein individuelles Scoring mittels @score_sender_maps einrichten:
# Individuelles Absender-/Empfänger-White-/Blacklisting (Test: AM.WBL), Whitelisting: negativer Wert, Blacklisting: positiver Wert
# Einträge im Log:
# ... wbl: soft-blacklisted (3) ... recip_key="..."
# ... spam_scan: score=998.101 ...
# ... Blocked SPAM ... Hits: 1001.101 ... --> diese Zahl sowie "tests=[AM.WBL = 3, ...]" steht dann im Mail-Header
@score_sender_maps = ({
# für einzelne Empfänger:
# 'postmaster at domain.de' => [{'spam at example.com' => 3.0}], # für einzelnen Absender
# 'max.mustermann at domain.de' => [{'.domain.net' => -10.0}], # für gesamte Absender-Domain
# 'max.mustermann at domain.de' => [{'.' => -10.0}], # für alle Absender
# 'max.mustermann at domain.de' => [ # für mehrere Absender
# new_RE(
# [qr'^user1 at domain1.de$'i => -10.0],
# [qr'^user2 at domain2.de$'i => -10.0],
# ),
# ],
# für alle Empfänger:
'.' => [
new_RE(
# [qr'^user1 at domain1.de$'i => -10.0], # ein einzelnen Sender
# [qr'@domain2.de$'i => -10.0], # für gesamte Sender-Domain
# [qr'@lists.uni-leipzig.de$'i => -10.0],
# [qr'@jiscmail.ac.uk$'i => -10.0],
),
],
});
Viele Grüße.
Christian
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sschieke at hans-bredow-institut.de
Gesendet: Montag, 12. Februar 2018 12:49
An: Diskussionen und Support rund um Postfix
Betreff: Amavis Whitelisting Mailingliste
Hallo in die Runde,
in unserer Konfiguration (Postfix/Amavis/Spamassassin) haben wir wiederholt Probleme beim Mail-Empfang von Mailinglisten. Die werden - so wie ich es lese - von Amavis abgelehnt:
==========================================================
Feb 12 08:53:56 mail2 amavis[5247]: (05247-12) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20180212T082551-05247-fnQAWAQP: -> SIZE=4032698 BODY=8BITMIME Received: from mail2.hans-bredow-institut.de ([127.0.0.1]) by localhost (mail2.hans-bredow-institut.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for ; Mon, 12 Feb 2018 08:53:56 +0100 (CET)
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) Checking: giSnomashXZX [139.18.1.26] ->
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p004 1 Content-Type: multipart/mixed
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p001 1/1 Content-Type: text/plain, size: 1264 B, name:
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p002 1/2 Content-Type: application/pdf, size: 2939390 B, name: Newsletter_Februar.pdf
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p003 1/3 Content-Type: text/plain, size: 366 B, name:
Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) truncating a message passed to SA at 207341 bytes, orig 4032909
Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) Blocked SPAM {RejectedInbound}, [139.18.1.26]:38575 [139.18.1.37] -> , Message-ID: , mail_id: giSnomashXZX, Hits: 10.4, size: 4032909, 2480 ms
Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) TIMING-SA total 1721 ms - parse: 6 (0.3%), extract_message_metadata: 14 (0.8%), get_uri_detail_list: 0.91 (0.1%), tests_pri_-1000: 29 (1.7%), tests_pri_-950: 0.80 (0.0%), tests_pri_-900: 0.84 (0.0%), tests_pri_-400: 13 (0.7%), check_bayes: 12 (0.7%), b_tokenize: 3.7 (0.2%), b_tok_get_all: 4.2 (0.2%), b_comp_prob: 2.4 (0.1%), b_tok_touch_all: 0.21 (0.0%), b_finish: 0.38 (0.0%), tests_pri_0: 1641 (95.4%), check_spf: 9 (0.5%), poll_dns_idle: 5 (0.3%), check_dkim_adsp: 21 (1.2%), check_razor2: 1491 (86.6%), check_pyzor: 72 (4.2%), tests_pri_500: 5 (0.3%), get_report: 0.36 (0.0%)
Feb 12 08:53:59 mail2 postfix/smtpd[5326]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=05247-12 - spam; from= to= proto=ESMTP helo=
==========================================================
Daher habe ich versucht, in Amavis eine Whitelist für diesen Versender zu implementieren. Bin mir aber nicht sicher, ob da nicht noch etwas fehlt:
aus der /etc/amavis/conf.d/50-user
read_hash(%whitelist_sender, "/etc/amavis/whitelist_sender");
@whitelist_sender_maps = (\%whitelist_sender);
Dann einige Einträge aus der entsprechende Liste:
==========================================================
lists.uni-leipzig.de
jiscmail.ac.uk
==========================================================
Daher meine Fragen:
Muss in der Amavis Konfiguration noch weiteres eingestellt werden? Also z.B. was genau mit den Einträgen in der Whitelist passieren soll?
Ist es vll. tatsächlich Spamassassin, welches die Mails ablehnt?
lG
Sebastian
From philipp.faeustlin at uni-hohenheim.de Tue Feb 13 10:42:18 2018
From: philipp.faeustlin at uni-hohenheim.de (Philipp Faeustlin)
Date: Tue, 13 Feb 2018 10:42:18 +0100
Subject: Amavis Whitelisting Mailingliste
In-Reply-To: <41E487BC91654544B2B8F31096F2D9D4011BE84D6AE7@ex1>
References:
<16eb3169-04b7-e881-c009-62abab44ad52@chemie.uni-hamburg.de>
<3b7a85c0-1078-bbea-760d-9271e0316d59@schani.com>
<20180208061148.Horde.kO5s9qZ8UT1uORObY9ey0lx@buero.tachtler.net>
<1356711821.694.1518436157397@groupware.local.hans-bredow-institut.de>
<41E487BC91654544B2B8F31096F2D9D4011BE84D6AE7@ex1>
Message-ID: <5cf03333-1fac-d341-1bcd-064ae5471fb2@uni-hohenheim.de>
Die SA Test-Werte braucht man immer wieder und das $log_level = 5 ist
nicht wirklich für produktive Server geeignet.
Deshalb finde ich, ist es besser das Amavis $log_templ anzupassen und
die Tests in das normale Logging aufzunehmen.
Will mich hier nicht mit fremden Lorbeeren schmücken, hab auch lange
gebraucht bis ich es gefunden hatte, deshalb hier der Link:
https://lists.amavis.org/pipermail/amavis-users/2012-Januar/001157.html
Viele Grüße
Philipp
Am 13.02.2018 um 10:18 schrieb Hoyer-Reuther, Christian:
> Hallo Sebastian,
>
> um zu sehen, durch welche Tests das Scoring sich zusammensetzt, musst Du den Loglevel hochsetzen ($log_level = 5;). Dann findest Du im Log Zeilen mit "spam_scan" wie im Beispiel:
>
> Feb 13 09:52:54 mail amavis[21410]: (21410-10) spam_scan: score=-1.109 autolearn=no autolearn_force=no tests=[BAYES_00=-1.9,HTML_MESSAGE=0.001,MPART_ALT_DIFF=0.79] recips=0
>
> Zu @whitelist_sender_maps kann ich nichts sagen, aber Du kannst ein individuelles Scoring mittels @score_sender_maps einrichten:
>
> # Individuelles Absender-/Empfänger-White-/Blacklisting (Test: AM.WBL), Whitelisting: negativer Wert, Blacklisting: positiver Wert
> # Einträge im Log:
> # ... wbl: soft-blacklisted (3) ... recip_key="..."
> # ... spam_scan: score=998.101 ...
> # ... Blocked SPAM ... Hits: 1001.101 ... --> diese Zahl sowie "tests=[AM.WBL = 3, ...]" steht dann im Mail-Header
> @score_sender_maps = ({
> # für einzelne Empfänger:
> # 'postmaster at domain.de' => [{'spam at example.com' => 3.0}], # für einzelnen Absender
> # 'max.mustermann at domain.de' => [{'.domain.net' => -10.0}], # für gesamte Absender-Domain
> # 'max.mustermann at domain.de' => [{'.' => -10.0}], # für alle Absender
> # 'max.mustermann at domain.de' => [ # für mehrere Absender
> # new_RE(
> # [qr'^user1 at domain1.de$'i => -10.0],
> # [qr'^user2 at domain2.de$'i => -10.0],
> # ),
> # ],
> # für alle Empfänger:
> '.' => [
> new_RE(
> # [qr'^user1 at domain1.de$'i => -10.0], # ein einzelnen Sender
> # [qr'@domain2.de$'i => -10.0], # für gesamte Sender-Domain
> # [qr'@lists.uni-leipzig.de$'i => -10.0],
> # [qr'@jiscmail.ac.uk$'i => -10.0],
> ),
> ],
> });
>
> Viele Grüße.
>
> Christian
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sschieke at hans-bredow-institut.de
> Gesendet: Montag, 12. Februar 2018 12:49
> An: Diskussionen und Support rund um Postfix
> Betreff: Amavis Whitelisting Mailingliste
>
> Hallo in die Runde,
>
> in unserer Konfiguration (Postfix/Amavis/Spamassassin) haben wir wiederholt Probleme beim Mail-Empfang von Mailinglisten. Die werden - so wie ich es lese - von Amavis abgelehnt:
>
> ==========================================================
>
> Feb 12 08:53:56 mail2 amavis[5247]: (05247-12) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20180212T082551-05247-fnQAWAQP: -> SIZE=4032698 BODY=8BITMIME Received: from mail2.hans-bredow-institut.de ([127.0.0.1]) by localhost (mail2.hans-bredow-institut.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for ; Mon, 12 Feb 2018 08:53:56 +0100 (CET)
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) Checking: giSnomashXZX [139.18.1.26] ->
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p004 1 Content-Type: multipart/mixed
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p001 1/1 Content-Type: text/plain, size: 1264 B, name:
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p002 1/2 Content-Type: application/pdf, size: 2939390 B, name: Newsletter_Februar.pdf
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) p003 1/3 Content-Type: text/plain, size: 366 B, name:
> Feb 12 08:53:57 mail2 amavis[5247]: (05247-12) truncating a message passed to SA at 207341 bytes, orig 4032909
> Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) Blocked SPAM {RejectedInbound}, [139.18.1.26]:38575 [139.18.1.37] -> , Message-ID: , mail_id: giSnomashXZX, Hits: 10.4, size: 4032909, 2480 ms
> Feb 12 08:53:59 mail2 amavis[5247]: (05247-12) TIMING-SA total 1721 ms - parse: 6 (0.3%), extract_message_metadata: 14 (0.8%), get_uri_detail_list: 0.91 (0.1%), tests_pri_-1000: 29 (1.7%), tests_pri_-950: 0.80 (0.0%), tests_pri_-900: 0.84 (0.0%), tests_pri_-400: 13 (0.7%), check_bayes: 12 (0.7%), b_tokenize: 3.7 (0.2%), b_tok_get_all: 4.2 (0.2%), b_comp_prob: 2.4 (0.1%), b_tok_touch_all: 0.21 (0.0%), b_finish: 0.38 (0.0%), tests_pri_0: 1641 (95.4%), check_spf: 9 (0.5%), poll_dns_idle: 5 (0.3%), check_dkim_adsp: 21 (1.2%), check_razor2: 1491 (86.6%), check_pyzor: 72 (4.2%), tests_pri_500: 5 (0.3%), get_report: 0.36 (0.0%)
> Feb 12 08:53:59 mail2 postfix/smtpd[5326]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=05247-12 - spam; from= to= proto=ESMTP helo=
>
> ==========================================================
>
> Daher habe ich versucht, in Amavis eine Whitelist für diesen Versender zu implementieren. Bin mir aber nicht sicher, ob da nicht noch etwas fehlt:
>
> aus der /etc/amavis/conf.d/50-user
> read_hash(%whitelist_sender, "/etc/amavis/whitelist_sender");
> @whitelist_sender_maps = (\%whitelist_sender);
>
> Dann einige Einträge aus der entsprechende Liste:
>
> ==========================================================
>
> lists.uni-leipzig.de
> jiscmail.ac.uk
>
> ==========================================================
>
> Daher meine Fragen:
>
> Muss in der Amavis Konfiguration noch weiteres eingestellt werden? Also z.B. was genau mit den Einträgen in der Whitelist passieren soll?
> Ist es vll. tatsächlich Spamassassin, welches die Mails ablehnt?
>
> lG
> Sebastian
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 5327 bytes
Beschreibung: S/MIME Cryptographic Signature
URL :
From tw at b-a-l-u.de Wed Feb 14 01:38:58 2018
From: tw at b-a-l-u.de (Thomas Walter)
Date: Wed, 14 Feb 2018 01:38:58 +0100
Subject: RSPAMd und DKIM mit mehreren Domains
In-Reply-To:
References:
Message-ID:
Moin,
Am 12.02.18 um 13:32 schrieb André Peters:
> https://rspamd.com/doc/modules/dkim_signing.html
>
> domain {
> # Domain name is used as key
> domain1.com {
> # Private key path
> path = "/var/lib/rspamd/dkim/domain1.key";
> # Selector
> selector = "ds";
> }
> domain2.com {
> # Private key path
> path = "/var/lib/rspamd/dkim/domain2.key";
> # Selector
> selector = "ds";
> }
> }
>
> So zum Beispiel. :-)
/etc/rspamd/modules.d/dkim_signing.conf
[...]
# To enable this module define the following attributes:
# path = "/var/lib/rspamd/dkim/$domain.$selector.key";
# OR
# domain { ... }, if you use per-domain conf
# OR
# set `use_redis=true;` and define redis servers
[...]
# Default path to key, can include '$domain' and '$selector' variables
#path = "/var/lib/rspamd/dkim/$domain.$selector.key";
# Default selector to use
selector = "dkim";
[...]
Dementsprechend wäre es bei Carl's Konfiguration einfacher, path und
selector auf dem Default-Wert zu lassen (s.o.) und einfach Dateien im
folgenden Schema anzulegen:
/var/lib/rspamd/dkim/domain1.dkim.key
Oder nicht?
Balu
PS: Ich konnte DKIM leider noch nicht ausprobieren, weil das DNS-Tool
meines Providers alle RRs in Kleinschrift ändert :-/
From andre.peters at debinux.de Wed Feb 14 06:28:29 2018
From: andre.peters at debinux.de (=?UTF-8?B?QW5kcsOpIFBldGVycw==?=)
Date: Wed, 14 Feb 2018 06:28:29 +0100
Subject: RSPAMd und DKIM mit mehreren Domains
In-Reply-To:
References:
Message-ID: <8A01EE3A-E3F8-46B5-8CC8-E53DF6CBB9A7@debinux.de>
Geht natürlich auch. Ist auch zu bevorzugen, wenn alle Keys dieses Format haben. :-)
> Am 14.02.2018 um 01:38 schrieb Thomas Walter :
>
> Moin,
>
>> Am 12.02.18 um 13:32 schrieb André Peters:
>> https://rspamd.com/doc/modules/dkim_signing.html
>> domain {
>> # Domain name is used as key
>> domain1.com {
>> # Private key path
>> path = "/var/lib/rspamd/dkim/domain1.key";
>> # Selector
>> selector = "ds";
>> }
>> domain2.com {
>> # Private key path
>> path = "/var/lib/rspamd/dkim/domain2.key";
>> # Selector
>> selector = "ds";
>> }
>> }
>> So zum Beispiel. :-)
>
> /etc/rspamd/modules.d/dkim_signing.conf
> [...]
> # To enable this module define the following attributes:
> # path = "/var/lib/rspamd/dkim/$domain.$selector.key";
> # OR
> # domain { ... }, if you use per-domain conf
> # OR
> # set `use_redis=true;` and define redis servers
> [...]
> # Default path to key, can include '$domain' and '$selector' variables
> #path = "/var/lib/rspamd/dkim/$domain.$selector.key";
> # Default selector to use
> selector = "dkim";
> [...]
>
> Dementsprechend wäre es bei Carl's Konfiguration einfacher, path und selector auf dem Default-Wert zu lassen (s.o.) und einfach Dateien im folgenden Schema anzulegen:
>
> /var/lib/rspamd/dkim/domain1.dkim.key
>
> Oder nicht?
>
> Balu
>
> PS: Ich konnte DKIM leider noch nicht ausprobieren, weil das DNS-Tool meines Providers alle RRs in Kleinschrift ändert :-/
From foobar at web.de Wed Feb 14 09:02:18 2018
From: foobar at web.de (Foo Bar)
Date: Wed, 14 Feb 2018 09:02:18 +0100
Subject: always bcc und transport ?
Message-ID: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
hi @all,
ich hab ein verständnis-problem
ich hab ein always bcc in der main.cf
always_bcc=archiv at archiv.local
in der transport habe ich dazu
archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
.archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
so weit so gut, dass funktioniert auch auch alles soweit
nur...
wenn der smtp-server auf XXX.XXX.XXX.XXX:2500 mal weg ist,
wegen wartungsarbeiten, updates was weiss ich, stellt der
postfix keine mail mehr zu ;(
gibt es eine möglichleit dem postfix zu sagen:
"lass die mail an archiv.local halt so lange in der queue bis
XXX.XXX.XXX.XXX:2500 wieder da ist"
danke für anregungen ;)
From p at sys4.de Wed Feb 14 09:41:59 2018
From: p at sys4.de (Patrick Ben Koetter)
Date: Wed, 14 Feb 2018 09:41:59 +0100
Subject: always bcc und transport ?
In-Reply-To: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
Message-ID: <20180214084157.ghmnkxvik5mchwdm@sys4.de>
* Foo Bar :
> hi @all,
>
> ich hab ein verständnis-problem
>
> ich hab ein always bcc in der main.cf
>
> always_bcc=archiv at archiv.local
>
> in der transport habe ich dazu
>
> archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
> .archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
>
>
> so weit so gut, dass funktioniert auch auch alles soweit
>
> nur...
>
> wenn der smtp-server auf XXX.XXX.XXX.XXX:2500 mal weg ist,
> wegen wartungsarbeiten, updates was weiss ich, stellt der
> postfix keine mail mehr zu ;(
>
>
> gibt es eine möglichleit dem postfix zu sagen:
> "lass die mail an archiv.local halt so lange in der queue bis
> XXX.XXX.XXX.XXX:2500 wieder da ist"
Grundsätzlich, nein. Die Doku sagt das auch so.
Du kannst Dir als Zwischenhop eine lokale, zweite Postfix-Instanz anlegen, die
Mail diese übergeben und diese so confen, dass sie alles per relayhost an Dein
smtp:[XXX.XXX.XXX.XXX]:2500 abgibt. Dann hast Du eine Queue dazwischengebaut.
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
From postfixbuch-users at list-post.mks-mail.de Wed Feb 14 10:02:23 2018
From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=c3=b6nhaber?=)
Date: Wed, 14 Feb 2018 10:02:23 +0100
Subject: always bcc und transport ?
In-Reply-To: <20180214084157.ghmnkxvik5mchwdm@sys4.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
<20180214084157.ghmnkxvik5mchwdm@sys4.de>
Message-ID: <833d343f-a709-155e-21ee-c8aa8309a57a@list-post.mks-mail.de>
Patrick Ben Koetter, Mi 14 Feb 2018 09:41:59 CET:
> * Foo Bar >> gibt es eine möglichleit dem postfix zu sagen:
>> "lass die mail an archiv.local halt so lange in der queue bis
>> XXX.XXX.XXX.XXX:2500 wieder da ist"
>
> Grundsätzlich, nein. Die Doku sagt das auch so.
Rein interessehalber: Wo denn?
Ich habe hier
http://www.postfix.org/postconf.5.html#always_bcc
und hier
http://www.postfix.org/ADDRESS_REWRITING_README.html#auto_bcc
nichts diesbezügliches gesehen. Oder habe ich einfach nur Tomaten auf
den Augen?
--
Gruß
mks
From andre.peters at debinux.de Wed Feb 14 10:23:33 2018
From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=)
Date: Wed, 14 Feb 2018 10:23:33 +0100
Subject: always bcc und transport ?
In-Reply-To: <833d343f-a709-155e-21ee-c8aa8309a57a@list-post.mks-mail.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
<20180214084157.ghmnkxvik5mchwdm@sys4.de>
<833d343f-a709-155e-21ee-c8aa8309a57a@list-post.mks-mail.de>
Message-ID: <589ff4a7-8bb4-e4d6-a055-ed955f9cbd4f@debinux.de>
Ich meine eigentlich, dass Postfix die Mails sogar in der Queue hält,
das wundert mich selber etwas.
Ich kann mich irren. :-)
Am 14.02.2018 um 10:02 schrieb Markus Schönhaber:
> Patrick Ben Koetter, Mi 14 Feb 2018 09:41:59 CET:
>
>> * Foo Bar >> gibt es eine möglichleit dem postfix zu sagen:
>>> "lass die mail an archiv.local halt so lange in der queue bis
>>> XXX.XXX.XXX.XXX:2500 wieder da ist"
>> Grundsätzlich, nein. Die Doku sagt das auch so.
> Rein interessehalber: Wo denn?
> Ich habe hier
> http://www.postfix.org/postconf.5.html#always_bcc
> und hier
> http://www.postfix.org/ADDRESS_REWRITING_README.html#auto_bcc
> nichts diesbezügliches gesehen. Oder habe ich einfach nur Tomaten auf
> den Augen?
>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : andre_peters.vcf
Dateityp : text/x-vcard
Dateigröße : 4 bytes
Beschreibung: nicht verfügbar
URL :
From foobar at web.de Wed Feb 14 10:38:08 2018
From: foobar at web.de (Foo Bar)
Date: Wed, 14 Feb 2018 10:38:08 +0100
Subject: always bcc und transport ?
In-Reply-To: <589ff4a7-8bb4-e4d6-a055-ed955f9cbd4f@debinux.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
<20180214084157.ghmnkxvik5mchwdm@sys4.de>
<833d343f-a709-155e-21ee-c8aa8309a57a@list-post.mks-mail.de>
<589ff4a7-8bb4-e4d6-a055-ed955f9cbd4f@debinux.de>
Message-ID: <4fb7e59a-c403-66e0-b4a8-dda5178541d5@web.de>
On 14.02.2018 10:23, André Peters wrote:
> Ich meine eigentlich, dass Postfix die Mails sogar in der Queue hält,
> das wundert mich selber etwas.
>
> Ich kann mich irren. :-)
wenn der smtp.server aus dem transport smtp:[XXX.XXX.XXX.XXX]:2500
nicht erreichbar ist, schickt er die mail zu dem server
den ich als fallback_relay eingetragen haben
ich hab
relay=mail1.xxx
fallback_relay=mail2.xxx
> Am 14.02.2018 um 10:02 schrieb Markus Schönhaber:
>> Patrick Ben Koetter, Mi 14 Feb 2018 09:41:59 CET:
>>
>>> * Foo Bar >> gibt es eine möglichleit dem postfix zu sagen:
>>>> "lass die mail an archiv.local halt so lange in der queue bis
>>>> XXX.XXX.XXX.XXX:2500 wieder da ist"
>>> Grundsätzlich, nein. Die Doku sagt das auch so.
>> Rein interessehalber: Wo denn?
>> Ich habe hier
>> http://www.postfix.org/postconf.5.html#always_bcc
>> und hier
>> http://www.postfix.org/ADDRESS_REWRITING_README.html#auto_bcc
>> nichts diesbezügliches gesehen. Oder habe ich einfach nur Tomaten auf
>> den Augen?
>>
>
From carl-georg.bernert at gmx.de Wed Feb 14 12:47:40 2018
From: carl-georg.bernert at gmx.de (Carl-Georg Bernert)
Date: Wed, 14 Feb 2018 12:47:40 +0100
Subject: Rspamd mit Clamav und Spamassassin-Rules
Message-ID:
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From michael at linuxfox.de Wed Feb 14 09:36:02 2018
From: michael at linuxfox.de (Michael Grundmann)
Date: Wed, 14 Feb 2018 09:36:02 +0100
Subject: always bcc und transport ?
In-Reply-To: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
Message-ID: <2810275c-f734-b10f-4f23-a794202903a9@linuxfox.de>
header_checks = regexp:/etc/postfix/header_checks.regexp
/^To:.*?@archiv\.local/ HOLD
Gruß Michael
Wenn du verstehst, was du tust, wirst du nichts lernen
Am 14.02.18 um 09:02 schrieb Foo Bar:
>
> hi @all,
>
> ich hab ein verständnis-problem
>
> ich hab ein always bcc in der main.cf
>
> always_bcc=archiv at archiv.local
>
> in der transport habe ich dazu
>
> archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
> .archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
>
>
> so weit so gut, dass funktioniert auch auch alles soweit
>
> nur...
>
> wenn der smtp-server auf XXX.XXX.XXX.XXX:2500 mal weg ist,
> wegen wartungsarbeiten, updates was weiss ich, stellt der
> postfix keine mail mehr zu ;(
>
>
> gibt es eine möglichleit dem postfix zu sagen:
> "lass die mail an archiv.local halt so lange in der queue bis
> XXX.XXX.XXX.XXX:2500 wieder da ist"
>
>
> danke für anregungen ;)
>
From michael at linuxfox.de Wed Feb 14 14:24:32 2018
From: michael at linuxfox.de (Michael Grundmann)
Date: Wed, 14 Feb 2018 14:24:32 +0100
Subject: always bcc und transport ?
In-Reply-To: <2810275c-f734-b10f-4f23-a794202903a9@linuxfox.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
<2810275c-f734-b10f-4f23-a794202903a9@linuxfox.de>
Message-ID: <72351011-02dd-0b94-1e64-40657e97a671@linuxfox.de>
Sorry - ich muss mich selber korrigieren - das ist ja bcc, da entfernt
der Cleanup alles und der HeaderCheck ist für dich nutzlos
Gruß Michael
Wenn du verstehst, was du tust, wirst du nichts lernen
Am 14.02.18 um 09:36 schrieb Michael Grundmann:
> header_checks = regexp:/etc/postfix/header_checks.regexp
>
>
> /^To:.*?@archiv\.local/ HOLD
>
>
> Gruß Michael
>
> Wenn du verstehst, was du tust, wirst du nichts lernen
>
> Am 14.02.18 um 09:02 schrieb Foo Bar:
>>
>> hi @all,
>>
>> ich hab ein verständnis-problem
>>
>> ich hab ein always bcc in der main.cf
>>
>> always_bcc=archiv at archiv.local
>>
>> in der transport habe ich dazu
>>
>> archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
>> .archiv.local smtp:[XXX.XXX.XXX.XXX]:2500
>>
>>
>> so weit so gut, dass funktioniert auch auch alles soweit
>>
>> nur...
>>
>> wenn der smtp-server auf XXX.XXX.XXX.XXX:2500 mal weg ist,
>> wegen wartungsarbeiten, updates was weiss ich, stellt der
>> postfix keine mail mehr zu ;(
>>
>>
>> gibt es eine möglichleit dem postfix zu sagen:
>> "lass die mail an archiv.local halt so lange in der queue bis
>> XXX.XXX.XXX.XXX:2500 wieder da ist"
>>
>>
>> danke für anregungen ;)
>>
From postfixbuch at cboltz.de Thu Feb 15 23:25:43 2018
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Thu, 15 Feb 2018 23:25:43 +0100
Subject: Amavis: Syntax error in MAIL FROM parameters
Message-ID: <6922392.JrxMD3QcKF@tux.boltz.de.vu>
Hallo zusammen,
hat jemand eine Idee, was mir Amavis mit dieser Meldung sagen will und
wie ich diese Rejects verhindern kann?
(Die Mailadresse ist ab "user=..." anonymisiert)
Feb 15 12:38:28 server amavis[3273]: (03273-17) ESMTP: 501 5.5.4 Syntax error in MAIL FROM parameters; smtp_resp: MAIL FROM: BODY=8BITMIME SMTPUTF8\r\n
Das betrifft u. a. Notification-Mails von gitlab.com, aber auch ein paar
andere Absender - insgesamt "nur" eine Handvoll Mails am Tag, aber ich
hätte diese Mails trotzdem gern ;-)
Soweit ich das sehe, gingen diese Rejects mit dem Update von openSUSE
Leap 42.2 auf 42.3 los.
Die Postfix- und Amavis-Config ist unverändert, daher hänge ich die
erstmal nicht an - wenn jemand Bedarf sieht, reiche ich sie natürlich
gern nach ;-)
Ein Blick auf den amavis-Quellcode in /usr/sbin/amavisd liefert
(ab Zeile 20555)
my($addr,$opt) = ($1,$2); my($size,$dsn_ret,$dsn_envid);
my $msg ; my $msg_nopenalize = 0;
for (split(' ',$opt)) {
if (!/^ ( [A-Za-z0-9] [A-Za-z0-9-]* ) =
( [\041-\074\076-\176]+ ) \z/xs) { # printable, not '=' or SP
$msg = "501 5.5.4 Syntax error in MAIL FROM parameters";
} else {
als vermutlichen Ursprung des Problems - zumindest ist das die einzige
Fundstelle für diese Fehlermeldung ;-) Ich muss allerdings zugeben,
dass diese Zeilen kryptischer sind als der Perl-Parser in meinem Kopf
erlaubt ;-)
Für Hinweise, wie ich diese Rejects verhindern kann, bin ich dankbar ;-)
Gruß
Christian Boltz
--
Der nächste DAU kommt bestimmt. Sie werden in den Kellern
von AOL gezüchtet. [Dieter Bruegmann in dag°]
From foobar at web.de Fri Feb 16 08:36:51 2018
From: foobar at web.de (Foo Bar)
Date: Fri, 16 Feb 2018 08:36:51 +0100
Subject: always bcc und transport ?
In-Reply-To: <4fb7e59a-c403-66e0-b4a8-dda5178541d5@web.de>
References: <0c6ed3f4-0f21-7cc9-2026-2c7002263c19@web.de>
<20180214084157.ghmnkxvik5mchwdm@sys4.de>
<833d343f-a709-155e-21ee-c8aa8309a57a@list-post.mks-mail.de>
<589ff4a7-8bb4-e4d6-a055-ed955f9cbd4f@debinux.de>
<4fb7e59a-c403-66e0-b4a8-dda5178541d5@web.de>
Message-ID: <197d7828-61d5-3d30-6619-bafab18a27c3@web.de>
On 14.02.2018 10:38, Foo Bar wrote:
> On 14.02.2018 10:23, André Peters wrote:
>> Ich meine eigentlich, dass Postfix die Mails sogar in der Queue hält,
>> das wundert mich selber etwas.
>>
>> Ich kann mich irren. :-)
>
> wenn der smtp.server aus dem transport smtp:[XXX.XXX.XXX.XXX]:2500
> nicht erreichbar ist, schickt er die mail zu dem server
> den ich als fallback_relay eingetragen haben
>
> ich hab
>
> relay=mail1.xxx
> fallback_relay=mail2.xxx
ja ... und wer lesen kann ist klar im vorteil,
fallback_relay macht halt nicht das was ich mir gedacht habe,
nimmt man fallback_relay raus verhält sich auch der postfix
so wie er soll, er schiebt die mail in seine deferred queue
wenn der transport für always_bcc nicht erreichbar ist
;)
From lt-cmd.data at gmx.de Sun Feb 18 21:34:15 2018
From: lt-cmd.data at gmx.de (Lieutenat-Commander DATA)
Date: Sun, 18 Feb 2018 21:34:15 +0100
Subject: Client kann keine Mails mehr einliefern
Message-ID: <0138800b-0302-0c98-0960-8875cd82bc7c@gmx.de>
Hallo zusammen,
seit Jahren läuft meine Postfix/Dovecot-Kombo problemlos - und
komischerweise heute tritt folgendes Problem auf.
Ein einzelner User meldet, dass er über seinen Client (iPhone) keine
Mails mehr einliefern kann.
Es handelt sich um einen Postfix 2.9.6
Die Fehlermeldung in der mail.info lautet:
(IP geändert)
Feb 18 21:20:59 server0815 postfix/smtpd[4821]: warning: hostname
ip-5-145-65-198.unitymediagroup.de does not resolve to address
5.145.65.198: Name or service not known
Feb 18 21:20:59 server0815 postfix/smtpd[4821]: connect from
unknown[5.145.65.198]
In der main.cf habe ich folgende smtp_recipient_restrictions:
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
permit_mynetworks
usw
Die Fehlermeldung kann ich wohl nachvollziehen, weil sich der hostname
nicht auflösen lässt. Aber ist das der Grund, warum der User keine Mails
einliefern kann? Es liefert ja schließlich Mails über nen Client ein.
Oder müsste ich das Log-Level erst noch auf mehr Details einstellen?
Für Hilfe wäre ich sehr dankbar!
VG,
Robert
From postfixbuch-users at makomi.de Mon Feb 19 09:13:28 2018
From: postfixbuch-users at makomi.de (Michael Koehler)
Date: Mon, 19 Feb 2018 09:13:28 +0100
Subject: Client kann keine Mails mehr einliefern
In-Reply-To: <0138800b-0302-0c98-0960-8875cd82bc7c@gmx.de>
References: <0138800b-0302-0c98-0960-8875cd82bc7c@gmx.de>
Message-ID:
Hi,
> Am 18.02.2018 um 21:34 schrieb Lieutenat-Commander DATA :
>
> Ein einzelner User meldet, dass er über seinen Client (iPhone) keine Mails mehr einliefern kann.
>
> [?]
> Feb 18 21:20:59 server0815 postfix/smtpd[4821]: warning: hostname ip-5-145-65-198.unitymediagroup.de does not resolve to address 5.145.65.198: Name or service not known
>
> Feb 18 21:20:59 server0815 postfix/smtpd[4821]: connect from unknown[5.145.65.198]
>
> In der main.cf habe ich folgende smtp_recipient_restrictions:
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> reject_unknown_recipient_domain,
> permit_sasl_authenticated,
> permit_mynetworks
> usw
Kann es sein, dass der User seine Mails nicht per SASL einliefert, sondern auf Port 25 kommt? postconf -n + Inhalt der master.cf würden Aufschluss bringen.
Viele Grüße,
Michael
From kai_postfix at fuerstenberg.ws Mon Feb 19 10:51:24 2018
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Mon, 19 Feb 2018 10:51:24 +0100
Subject: Client kann keine Mails mehr einliefern
In-Reply-To: <0138800b-0302-0c98-0960-8875cd82bc7c@gmx.de>
References: <0138800b-0302-0c98-0960-8875cd82bc7c@gmx.de>
Message-ID:
Hallo Robert,
Am 18.02.2018 um 21:34 schrieb Lieutenat-Commander DATA:
> Hallo zusammen,
>
> seit Jahren läuft meine Postfix/Dovecot-Kombo problemlos - und
> komischerweise heute tritt folgendes Problem auf.
>
> Ein einzelner User meldet, dass er über seinen Client (iPhone) keine
> Mails mehr einliefern kann.
>
> Es handelt sich um einen Postfix 2.9.6
>
> Die Fehlermeldung in der mail.info lautet:
> (IP geändert)
>
> Feb 18 21:20:59 server0815 postfix/smtpd[4821]: warning: hostname
> ip-5-145-65-198.unitymediagroup.de does not resolve to address
> 5.145.65.198: Name or service not known
>
> Feb 18 21:20:59 server0815 postfix/smtpd[4821]: connect from
> unknown[5.145.65.198]
das ist nur eine Warnung und führt so erst mal nicht zur Ablehung einer
E-Mail.
Bitte das vollständige Log einer Einlieferung senden von connect bis
disconnect.
> In der main.cf habe ich folgende smtp_recipient_restrictions:
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> reject_unknown_recipient_domain,
> permit_sasl_authenticated,
> permit_mynetworks
> usw
Wenn du noch andere restrictions verwendest (client, helo, sender,
relay), kann es noch andere Gründe zur Ablehnung geben.
Bitte postconf -n senden; master.cf ebenfalls, wenn du dort noch andere
Restriktionen definiert hast.
> Die Fehlermeldung kann ich wohl nachvollziehen, weil sich der hostname
> nicht auflösen lässt. Aber ist das der Grund, warum der User keine Mails
> einliefern kann? Es liefert ja schließlich Mails über nen Client ein.
--
Kai Fürstenberg
PM an: kai at fuerstenberg punkt ws
From florian.wibken at gmx.de Mon Feb 19 17:50:40 2018
From: florian.wibken at gmx.de (Florian Wibken)
Date: Mon, 19 Feb 2018 17:50:40 +0100
Subject: Postfix 3.1.6, AMaVis-New - Spamfilter greift nicht
Message-ID:
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From florian.wibken at gmx.de Mon Feb 19 19:12:21 2018
From: florian.wibken at gmx.de (Florian Wibken)
Date: Mon, 19 Feb 2018 19:12:21 +0100
Subject: Aw: Postfix 3.1.6, AMaVis-New - Spamfilter greift nicht
In-Reply-To:
References:
Message-ID:
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From martin at lichtvoll.de Tue Feb 20 11:55:30 2018
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Tue, 20 Feb 2018 11:55:30 +0100
Subject: Queue write file error: No valid recipients
In-Reply-To: <20180118100644.GL16135@charite.de>
References: <32965370.ez8UT765Xn@merkaba> <84240233.INj6J9K66K@merkaba>
<20180118100644.GL16135@charite.de>
Message-ID: <2172836.Ro8KEnRAki@merkaba>
Ralf Hildebrandt - 18.01.18, 11:06:
> * Martin Steigerwald :
> > Hallo Ralf.
> >
> > Danke für die prompte Antwort.
> >
> > Ralf Hildebrandt - 18.01.18, 10:38:
> > > * Martin Steigerwald :
> > > > Ich bekomme von bestimmten SMTP-Servern freier
> > > > Software-/Community-Projekte, die mir Mails zu Mailinglisten senden,
> > > > manchmal "queue write file error" von
> > >
> > > > meinem MTA zurück:
> > > Hast Du pre-queue Filterung?
[?]
> > smtpd pass y - y - - smtpd
> > # -o content_filter=scan:[127.0.0.1]:10025
> >
> > -o smtpd_proxy_filter=127.0.0.1:10025
>
> Das ist der pre-queue filter.
Hmmm, das ist spampd.
Mal sehen, ob sich da was einstellen lässt. Wird wohl mal Zeit, auf rspamd
umzusetzen. Das mit der Integration als Milter in Postfix und noch ein Redis
dazu hat mich bislang zögern lassen. Aber dennoch, rspamd macht denke ich
ziemlich viel Sinn.
Danke,
--
Martin
From martin at lichtvoll.de Tue Feb 20 11:59:38 2018
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Tue, 20 Feb 2018 11:59:38 +0100
Subject: Queue write file error: No valid recipients
In-Reply-To: <2172836.Ro8KEnRAki@merkaba>
References: <32965370.ez8UT765Xn@merkaba> <20180118100644.GL16135@charite.de>
<2172836.Ro8KEnRAki@merkaba>
Message-ID: <759567944.5S7TuOtYvl@merkaba>
Martin Steigerwald - 20.02.18, 11:55:
> Ralf Hildebrandt - 18.01.18, 11:06:
> > * Martin Steigerwald :
> > > Hallo Ralf.
> > >
> > > Danke für die prompte Antwort.
> > >
> > > Ralf Hildebrandt - 18.01.18, 10:38:
> > > > * Martin Steigerwald :
> > > > > Ich bekomme von bestimmten SMTP-Servern freier
> > > > > Software-/Community-Projekte, die mir Mails zu Mailinglisten senden,
> > > > > manchmal "queue write file error" von
> > > >
> > > > > meinem MTA zurück:
> > > > Hast Du pre-queue Filterung?
>
> [?]
>
> > > smtpd pass y - y - - smtpd
> > > # -o content_filter=scan:[127.0.0.1]:10025
> > >
> > > -o smtpd_proxy_filter=127.0.0.1:10025
> >
> > Das ist der pre-queue filter.
>
> Hmmm, das ist spampd.
>
> Mal sehen, ob sich da was einstellen lässt. Wird wohl mal Zeit, auf rspamd
> umzusetzen. Das mit der Integration als Milter in Postfix und noch ein Redis
> dazu hat mich bislang zögern lassen. Aber dennoch, rspamd macht denke ich
> ziemlich viel Sinn.
Ich versuche mal:
mondschein:~> grep CHILDREN /etc/default/spampd
CHILDREN=20
% mondschein:~> grep -B1 CHILDREN /etc/default/spampd
# How many parallel checks can be done in parallel
CHILDREN=20
War vorher 7.
Danke.
--
Martin
From frank.duerring at condero.com Wed Feb 21 10:07:59 2018
From: frank.duerring at condero.com (=?utf-8?B?IkZyYW5rIEouIETDvHJyaW5nIg==?=)
Date: Wed, 21 Feb 2018 10:07:59 +0100
Subject: Newsletter und SenderBase "poor"
Message-ID: <97DC2A32-9AF7-4FD6-BE08-E0007FDD333F@condero.com>
Hallo zusammen,
ich habe vor zwei Wochen schon einmal geschrieben das SenderBase bzw. Cisco/Talos (https://www.talosintelligence.com ) den versandt von E-Mails eines Kunden über unseren MTA verhindert.
Unser Kunde ist ein öffentliche Organisation (Wirtschaftsförderung) die nun mal einen großen Newsletter (> 10.000 Empfänger alle 14 Tage) verschickt.
Über Jahre hinweg gab es auch keine Probleme bis Talos nun die Systeme (inzwischen mehrere getestet) als ?poor? einstufen und die Nachricht garnicht mehr annehmen.
Es liegt wohl daran das wir nur alle 14 Tage so viele Nachrichten versenden und deshalb auffallen.
Bisher gab es keinen ?menschlichen" Kontakt zu Talos / Cisco / SenderBase um das Problem zu erklären.
Hat jemand eine Idee wie ich das Problem lösen kann ohne dem Kunden zu sagen er soll den Newsletter sein lassen?
Gibt es mit Postfix eine Möglichkeit den E-Mail Versand eines konkreten Absenders zu verlangsamen? Über mehrere Tage hinweg?
Gibt es reine SMTPsServices wie z.B. die von AWS / SES die hier helfen können oder passiert dann das gleiche -> "poor"?
Wie macht ihr sowas?
Hier eine Darstellung wie wir von Talos / Cisco / SenderBase wahrgenommen werden.
Allerdings haben quasi nur große Konzerne sowie der Bund, die IHKs, Hochschulen, diverse Zeitungen/Medien usw. Talos im Einsatz, nur diese werden dann geblockt.
Danke und Gruß Frank.
> Dear Frank,
>
> Our worldwide sensor network indicates that spam originated from IP xx.xx.xx.xx as recently as 2/16/2018 (approximately 48.8 hours ago).
>
> In some cases we are authorized to share headers of the received spam, but for these particular sensors we have non-disclosure agreements that prevent us from providing anything but the date the last spam was received.
>
> In addition, our sensors indicate server access attempts from this IP to mail servers within our Sensor Network. This behavior is indicative of email directory harvesting attempts and also results in reputation impact to the IP. Directory harvest detection fires when you are sending to invalid email addresses.
>
> It is possible that your network or a system in your network may be compromised by a trojan spam virus, or perhaps there is an open port 25 through which a spammer may be gaining access and sending out spam. The last possibility is that one of your users is sending spam through the IP. We suggest checking these possibilities to help isolate the root cause of the spam and mail server access attempts originating from your IP.
>
> In general, once all issues have been addressed (fixed), reputation recovery can take anywhere from a few hours to just over one week to improve, depending on the specifics of the situation, and how much email volume the IP sends. Complaint ratios determine the amount of risk for receiving mail from an IP, so logically, reputation improves as the ratio of legitimate mails increases with respect to the number of complaints. Speeding up the process is not really possible. Talos Intelligence Reputation is an automated system over which we have very little manual influence.
>
> In the meantime, if there are recipients whom you cannot contact, we would recommend contacting the ISP involved to request temporary whitelisting or you can always arrange to contact the recipient via alternative means.
>
> You will need to vet your mailing lists more if this keeps happening.
>
>
> Regards,
>
> Debra H
> SenderBase Support
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : Bildschirmfoto 2018-02-21 um 09.52.21.png
Dateityp : image/png
Dateigröße : 75186 bytes
Beschreibung: nicht verfügbar
URL :
From Ralf.Hildebrandt at charite.de Wed Feb 21 11:04:17 2018
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 21 Feb 2018 11:04:17 +0100
Subject: Newsletter und SenderBase "poor"
In-Reply-To: <97DC2A32-9AF7-4FD6-BE08-E0007FDD333F@condero.com>
References: <97DC2A32-9AF7-4FD6-BE08-E0007FDD333F@condero.com>
Message-ID: <20180221100417.GD16362@charite.de>
* "Frank J. Dürring" :
> Hallo zusammen,
>
> ich habe vor zwei Wochen schon einmal geschrieben das SenderBase bzw.
> Cisco/Talos (https://www.talosintelligence.com
> ) den versandt von E-Mails eines
> Kunden über unseren MTA verhindert.
>
> Unser Kunde ist ein öffentliche Organisation (Wirtschaftsförderung) die
> nun mal einen großen Newsletter (> 10.000 Empfänger alle 14 Tage)
> verschickt. Über Jahre hinweg gab es auch keine Probleme bis Talos nun
> die Systeme (inzwischen mehrere getestet) als ?poor? einstufen und die
> Nachricht garnicht mehr annehmen.
https://www.talosintelligence.com/reputation_center/lookup#contact-form
Gründe sind:
* There have been reports of spam from your IP. Look up your IP's
reputation on Talos Reputation Center and check the "DNS Based Block
Lists" area to see whether it is listed on any of the common DNSBLs.
--> Die Frage ist hier:
1) Kann man sich aus dem Newsletter EINFACH austragen (unsubscribe Link)
2) Werden unzustellbare Adresse automatisch ausgetragen?
3) Gibt es eine Funktionierende postmaster/abuse Adresse in der Absender Domain?
* Your IP exhibits DNS patterns that indicate compromise by a SpamBot.
Make sure your DNS is configured according to the protocol for
RFC5321, section 4.1.1.1 (https://www.ietf.org/rfc/rfc5321.txt)
--> klingt MÖGLICH
* Our sensors have received emails from your IP that contained links to
domains hosting or distributing malware
--> ich denke das könnt ihr ausschliessen
> Hat jemand eine Idee wie ich das Problem lösen kann ohne dem Kunden zu
> sagen er soll den Newsletter sein lassen? Gibt es mit Postfix eine
> Möglichkeit den E-Mail Versand eines konkreten Absenders zu
> verlangsamen?
Ich hatte dazu mal ein Scirpt geschrieben, daß alle M;ails eines
Absenders auf HOLD setzt und dann die sukzessive in 100er Blöcken
freiläßt. Oder so ähnlich.
> > Dear Frank,
> >
> > Our worldwide sensor network indicates that spam originated from IP
> > xx.xx.xx.xx as recently as 2/16/2018 (approximately 48.8 hours ago).
War da gerade ein Newsletter Lauf?
> > In some cases we are authorized to share headers of the received
> > spam, but for these particular sensors we have non-disclosure
> > agreements that prevent us from providing anything but the date the
> > last spam was received.
Sehr schlau, dann kann man die nichtmal austragen :/
> > In addition, our sensors indicate server access attempts from this IP
> > to mail servers within our Sensor Network. This behavior is
> > indicative of email directory harvesting attempts and also results in
> > reputation impact to the IP. Directory harvest detection fires when
> > you are sending to invalid email addresses.
Ist eure Adressliste voller unzustellbarer Adressen? (suche nach
"status=bounced"
--
Ralf Hildebrandt
Geschäftsbereich IT | Abteilung Netzwerk
Charité - Universitätsmedizin Berlin
Campus Benjamin Franklin
Hindenburgdamm 30 | D-12203 Berlin
Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
ralf.hildebrandt at charite.de | https://www.charite.de
From alex.handle at gmail.com Fri Feb 23 09:59:29 2018
From: alex.handle at gmail.com (Alex Ha)
Date: Fri, 23 Feb 2018 09:59:29 +0100
Subject: Dovecot Replication Cluster
Message-ID:
Hallo Zusammen!
Ich betreibe seit einigen Jahren einen Mailcluster mit Dovecot im
DRBD/Heartbeat Setup
mit ca. 15000 Mailboxen. Dabei wird Maildir eingesetzt und der Mailstore
ist momentan ca 4 TB
groß.
Nach einer Recherche ist mir das Dovecot Replication Setup aufgefallen.
Dieses Setup hat mir sehr gut gefallen, leider habe ich keine Infos bzgl
Produktion-Setups
auf den einschlägigen Mailinglisten gefunden, deshalb frage ich mich ob
dieses Setup
von euch auf mittleren und großen Mailcluster eingesetzt wird.
Wie verhält sich die Performance im Vergleich zu einem DRBD-Cluster?
Kann das Setup auch mit Maildir betrieben werden oder sollte schon mdbox
verwendet werden?
Danke für Euren Input!
LG
Alex
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From p.heinlein at heinlein-support.de Fri Feb 23 10:41:28 2018
From: p.heinlein at heinlein-support.de (Peer Heinlein)
Date: Fri, 23 Feb 2018 10:41:28 +0100
Subject: Dovecot Replication Cluster
In-Reply-To:
References:
Message-ID: <0e953604-7285-030d-ff08-955be37739a3@heinlein-support.de>
Am 23.02.2018 um 09:59 schrieb Alex Ha:
> Dieses Setup hat mir sehr gut gefallen, leider habe ich keine Infos bzgl
> Produktion-Setups
> auf den einschlägigen Mailinglisten gefunden, deshalb frage ich mich ob
> dieses Setup
> von euch auf mittleren und großen Mailcluster eingesetzt wird.
Ja, auf jeden Fall, permanent und ständig.
Gar nichts mehr mit DRBD machen, denn das Problem sitzt vor der Tastatur
und wenn der Admin "rm -rf *" eingibt nützt Dir ein DRBD gar nix. Und
wenn, warum auch immer, ein Dovecot seine Datenbanken zerschießt (in
2.2.27 gab es entsprechende Bugs) dann nützt ein DRBD auch nix.
Replication ist geil und funktioniert. Es kostet in manchen Szenarien
etwas i/o, aber das ist egal.
Das geht mit Maildir und mdbox -- wenn Du willst auch links Maildir und
rechts mdbox. Das ist Dovecot doch egal.
Bei 4 TB würde ich aber sowieso empfehlen auf mdbox+zlib umzusteigen.
Das hat mit Replication aber nix zu tun.
(und bei >> 40 TB dann mal über object storage nachdenken, aber das geht
dan eh ganz anders.)
Infos und Anleitungen unter http://www.heinlein-support.de/vortrag
Peer
From alex.handle at gmail.com Fri Feb 23 11:09:07 2018
From: alex.handle at gmail.com (Alex Ha)
Date: Fri, 23 Feb 2018 11:09:07 +0100
Subject: Dovecot Replication Cluster
In-Reply-To: <0e953604-7285-030d-ff08-955be37739a3@heinlein-support.de>
References:
<0e953604-7285-030d-ff08-955be37739a3@heinlein-support.de>
Message-ID:
2018-02-23 10:41 GMT+01:00 Peer Heinlein :
> Am 23.02.2018 um 09:59 schrieb Alex Ha:
>
> > Dieses Setup hat mir sehr gut gefallen, leider habe ich keine Infos bzgl
> > Produktion-Setups
> > auf den einschlägigen Mailinglisten gefunden, deshalb frage ich mich ob
> > dieses Setup
> > von euch auf mittleren und großen Mailcluster eingesetzt wird.
>
> Ja, auf jeden Fall, permanent und ständig.
>
> Gar nichts mehr mit DRBD machen, denn das Problem sitzt vor der Tastatur
> und wenn der Admin "rm -rf *" eingibt nützt Dir ein DRBD gar nix. Und
> wenn, warum auch immer, ein Dovecot seine Datenbanken zerschießt (in
> 2.2.27 gab es entsprechende Bugs) dann nützt ein DRBD auch nix.
>
> Replication ist geil und funktioniert. Es kostet in manchen Szenarien
> etwas i/o, aber das ist egal.
>
> Das geht mit Maildir und mdbox -- wenn Du willst auch links Maildir und
> rechts mdbox. Das ist Dovecot doch egal.
>
> Bei 4 TB würde ich aber sowieso empfehlen auf mdbox+zlib umzusteigen.
> Das hat mit Replication aber nix zu tun.
>
> (und bei >> 40 TB dann mal über object storage nachdenken, aber das geht
> dan eh ganz anders.)
>
> Infos und Anleitungen unter http://www.heinlein-support.de/vortrag
>
> Peer
>
Vielen Dank für deine Infos - hört sich sehr gut an!
LG
Alex
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL:
From gjn at gjn.priv.at Sat Feb 24 15:54:59 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Sat, 24 Feb 2018 15:54:59 +0100
Subject: SSL / TLS Frage
Message-ID: <6761564.Mv0griuKYs@techz>
Hallo Liste,
könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?
Nach Durchforstung des Netzes, bin ich mir nicht mehr sicher ob das alles so
stimmt was ich da eingetragen habe und ob das alles auf dem letzten Stand ist.
Ich hänge mal postconf -n an und hoffe ich bekomme Antworten ;-)
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
-------------- nächster Teil --------------
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
bounce_template_file = /etc/postfix/bounce.de-DE.cf
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
compatibility_level = 2
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5
default_database_type = btree
html_directory = no
inet_interfaces = all
lmtp_dns_support_level = dnssec
lmtp_tls_protocols = $smtp_tls_protocols
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
message_size_limit = 20480000
meta_directory = /etc/postfix
milter_default_action = accept
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
milter_rcpt_macros = i {rcpt_addr}
mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost
myhostname = mx01.4gjn.com
mynetworks = 89.xxx.xxx.0/28 127.0.0.0/8 192.168.xxx.0/24 [::ffff:127.0.0.0]/104 [::1]/128 [2001:470:xxx:xxx::]/64
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr
postscreen_bare_newline_action = drop
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = drop
postscreen_cache_cleanup_interval = 0
postscreen_cache_map = memcache:/etc/postfix/postscreen_cache
postscreen_dnsbl_action = enforce
postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.spamcop.net*1 b.barracudacentral.org*1 bl.mailspike.net*2 b.barracudacentral.org*1 bad.psky.me*2 psbl.surriel.com*1 bl.blocklist.de*1 bl.spamcop.net*2 spam.spamrats.com*1 bl.spameatingmonkey.net*1 dnsbl.cobion.com*1 ix.dnsbl.manitu.net*2 hostkarma.junkemailfilter.com*1 dnsbl.inps.de*1 list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].[0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_threshold = 2
postscreen_dnsbl_ttl = 1d
postscreen_dnsbl_whitelist_threshold = -1
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
postscreen_whitelist_interfaces = static:all
proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix3-3.2.4/README_FILES
recipient_delimiter = +
relay_domains = btree:/etc/postfix/relay_domains
sample_directory = /usr/share/doc/postfix3-3.2.4/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
shlib_directory = /usr/lib/postfix
smtp_dns_support_level = dnssec
smtp_sasl_security_options = noplaintext, noanonymous
smtp_tls_CAfile = $smtpd_tls_CAfile
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_exclude_ciphers = aNULL eNULL EXPORT DES 3DES RC4 MD5 PSK aECDH EDH-DSS-DES-CBC3-SHA EDH-RSA-DES-CDC3-SHA KRB5-DE5 CBC3-SHA AES128-SHA DHE-RSA-AES128-SHA AES256-SHA DHE-RSA-AES256-SHA CAMELLIA128-SHA DHE-RSA-CAMELLIA128-SHA CAMELLIA256-SHA DHE-RSA-CAMELLIA256-SHA ECDHE-RSA-AES128-SHA ECDHE-RSA-AES256-SHA
smtp_tls_key_file = $smtpd_tls_key_file
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers =
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = dane
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_helo_required = yes
smtpd_milters = inet:localhost:11332
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient, reject_invalid_hostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous,
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/check_sender_access
smtpd_tls_CAfile = /etc/pki/tls/cert.pem
smtpd_tls_CApath = /etc/pki/tls
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_1024.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = aNULL eNULL EXPORT DES 3DES RC4 MD5 PSK aECDH EDH-DSS-DES-CBC3-SHA EDH-RSA-DES-CDC3-SHA KRB5-DE5 CBC3-SHA
smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL eNULL EXPORT DES RC4 MD5 PSK aECDH EDH-DSS-DES-CBC3-SHA EDH-RSA-DES-CDC3-SHA KRB5-DE5 CBC3-SHA
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
tls_preempt_cipherlist = yes
tls_random_bytes = 128
tls_ssl_options = NO_COMPRESSION
transport_maps = btree:/etc/postfix/transport, $relay_domains
unknown_local_recipient_reject_code = 550
unverified_recipient_reject_code = 577
virtual_alias_maps = btree:/etc/postfix/virtual_alias
From ta at lonestar-bbs.de Sun Feb 25 13:09:34 2018
From: ta at lonestar-bbs.de (Andreas Tauscher)
Date: Sun, 25 Feb 2018 15:09:34 +0300
Subject: Variablen in Templates non deliver report, delivery report
Message-ID:
Hallo!
Ich fände es schön wenn in den Reports ein Reference Header wäre damit
die reports schön im thread einsortiert sind.
Nachdem ich nichts direktes gefunden habe wie ich die Message-Id in das
template bekomme war die nächste Idee:
internal_mail_filter_classes um damit den Header reinzutackern.
Da lese ich aber in der Dokumenation ganz dick und fett:
It's generally not safe to enable content inspection of
Postfix-generated email messages. The user is warned.
Schieße ich mir damit sicher ins Knie?
Hat das schon mal jemand versucht?
Andreas
From cite at incertum.net Mon Feb 26 09:39:48 2018
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Mon, 26 Feb 2018 09:39:48 +0100
Subject: SSL / TLS Frage
In-Reply-To: <6761564.Mv0griuKYs@techz>
References: <6761564.Mv0griuKYs@techz>
Message-ID: <20180226083948.6ajl37ps7qfaz7yr@physadeia.incertum.net>
Hallo Günther,
* "Günther J. Niederwimmer" :
>könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?
ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
dann wird im Klartext übermittelt.
Ausnahmen sind evt. für Submission-Endpunkte denkbar, aber nicht
notwendig.
Die Dokumentation ist zu finden unter:
http://www.postfix.org/TLS_README.html
http://www.postfix.org/FORWARD_SECRECY_README.html
Alle von mir betreuten Systeme setzen lediglich den Parameter
smtpd_tls_dh1024_param_file.
YMMV,
Stefan
From Zahlenmaler at t-online.de Mon Feb 26 09:52:23 2018
From: Zahlenmaler at t-online.de (Robert)
Date: Mon, 26 Feb 2018 09:52:23 +0100
Subject: Dovecot Replication Cluster
In-Reply-To:
References:
Message-ID:
Am 23.02.2018 um 09:59 schrieb Alex Ha:
> Hallo Zusammen!
>
> Ich betreibe seit einigen Jahren einen Mailcluster mit Dovecot im
> DRBD/Heartbeat Setup
> mit ca. 15000 Mailboxen. Dabei wird Maildir eingesetzt und der
> Mailstore ist momentan ca 4 TB
> groß.
>
> Nach einer Recherche ist mir das Dovecot Replication Setup aufgefallen.
>
> Dieses Setup hat mir sehr gut gefallen, leider habe ich keine Infos
> bzgl Produktion-Setups
> auf den einschlägigen Mailinglisten gefunden, deshalb frage ich mich
> ob dieses Setup
> von euch auf mittleren und großen Mailcluster eingesetzt wird.
>
> Wie verhält sich die Performance im Vergleich zu einem DRBD-Cluster?
> Kann das Setup auch mit Maildir betrieben werden oder sollte schon
> mdbox verwendet werden?
>
> Danke für Euren Input!
>
> LG
> Alex
Ich/Wir haben das mdbox und zlib setup mit dovecot eigener Replication,
was im Kurs bei Peer/Andre sehr gut behandelt wurde, im Einsatz.
Davor haben wir Directoren sitzen, so das mit
director_mail_servers = a.b.c.d at node01 a.b.c.e at node01 a.b.c.f at node02
a.b.c.g at node02
ich mehrere storage paar betreiben kann.
So habe ich auf viele backend paar gesetzt die vom Storage her
unterschiedlich groß sind und auch auf 2 RZ verteilt sind.
Die Einlieferung habe ich dann über Transportregeln in Postfix
abgefrühstückt. Mehr ist das nicht.
Gruß Robert
From mailinglisten at pothe.de Mon Feb 26 10:30:10 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 26 Feb 2018 10:30:10 +0100
Subject: SSL / TLS Frage
In-Reply-To: <20180226083948.6ajl37ps7qfaz7yr@physadeia.incertum.net>
References: <6761564.Mv0griuKYs@techz>
<20180226083948.6ajl37ps7qfaz7yr@physadeia.incertum.net>
Message-ID:
Am 26.02.2018 um 09:39 schrieb Stefan Förster:
>
> ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
> etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
> Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
> dann wird im Klartext übermittelt.
Ich sehe das (etwas) anders. Die alten, heute unsicheren
Verschlüsselungsalgorythmen werden einfach nicht benötigt, denn gut
gewartete Mailsysteme unterstützen diese Verschlüsselungen und bei
schlecht gewarteten Systemen kommt es da auch nicht mehr drauf an.
Und unverschlüsselte Verbindungen kommen bei mir trotzdem nur noch in
wenigen Einzelfällen vor, der Prozentsatz ist schon fast nicht mehr
messbar. Ich würde es begrüßen, wenn die großen Anbieter dazu
übergingen, die verschlüsselte Übertragung obligatorisch zu machen. Ich
selbst überlege, dieses in nicht allzu ferner Zukunft auf den von mir
betreuten Systemen zu machen. Noch nicht jetzt, aber vielleicht in 6
oder 12 Monaten.
CU
Andreas
From andre.peters at debinux.de Mon Feb 26 10:46:48 2018
From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=)
Date: Mon, 26 Feb 2018 10:46:48 +0100
Subject: SSL / TLS Frage
In-Reply-To:
References: <6761564.Mv0griuKYs@techz>
<20180226083948.6ajl37ps7qfaz7yr@physadeia.incertum.net>
Message-ID: <1ce88c2d-a93c-71c7-efa3-b51881c8a817@debinux.de>
Ich weiß nicht. Eine relativ schlechte Verschlüsselung ist immer noch
besser als gar keine.
Plain-Text Sessions sind quasi Daten auf dem Silbertablett. Da kann
immer mal einer mitlesen, der es dank YouTube (meh) schafft einen
Sniffer einzuschalten. Sowas kann sogar beim Debugging zufällig
mitgeschnitten werden. Ich glaube nicht, dass viele von uns in der Lage
sind, einen potentiellen Angriff auf TLS auch auszuführen - ich
jedenfalls nicht :-). Sowas passiert dann auch nicht beiläufig oder nach
dem Motto "ich schaue mal, was ich so mitloggen kann". Es gibt sogar
_potentiell_ unsichere Cipher, die für die allermeisten Zwecke noch
tauglich sind.
Wer es anders sieht, _muss_ einfach obligatorisch verschlüsseln. Ich
finde die Idee auch gut, Andreas, und habe es auf bestimmten Accounts
sogar so konfiguriert. Es kommt sehr, sehr selten vor, dass Mails
abgelehnt werden müssen oder nicht rausfinden. :-)
Am 26.02.2018 um 10:30 schrieb Andreas Pothe:
>
> Am 26.02.2018 um 09:39 schrieb Stefan Förster:
>> ich würde Dir start davon abraten, an den Default-TLS-Einstellungen
>> etwas zu verändern. Mail ist nicht HTTP, wenn wegen zu restriktiver
>> Crypto-Einstellungen keine verschlüsselte Verbindung zustande kommt,
>> dann wird im Klartext übermittelt.
> Ich sehe das (etwas) anders. Die alten, heute unsicheren
> Verschlüsselungsalgorythmen werden einfach nicht benötigt, denn gut
> gewartete Mailsysteme unterstützen diese Verschlüsselungen und bei
> schlecht gewarteten Systemen kommt es da auch nicht mehr drauf an.
>
> Und unverschlüsselte Verbindungen kommen bei mir trotzdem nur noch in
> wenigen Einzelfällen vor, der Prozentsatz ist schon fast nicht mehr
> messbar. Ich würde es begrüßen, wenn die großen Anbieter dazu
> übergingen, die verschlüsselte Übertragung obligatorisch zu machen. Ich
> selbst überlege, dieses in nicht allzu ferner Zukunft auf den von mir
> betreuten Systemen zu machen. Noch nicht jetzt, aber vielleicht in 6
> oder 12 Monaten.
>
> CU
> Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : andre_peters.vcf
Dateityp : text/x-vcard
Dateigröße : 4 bytes
Beschreibung: nicht verfügbar
URL :
From gjn at gjn.priv.at Mon Feb 26 13:31:37 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 26 Feb 2018 13:31:37 +0100
Subject: SSL / TLS Frage
In-Reply-To: <6761564.Mv0griuKYs@techz>
References: <6761564.Mv0griuKYs@techz>
Message-ID: <2832828.C0zDfIe2PF@techz>
Hallo Liste,
Am Samstag, 24. Februar 2018, 15:54:59 CET schrieb Günther J. Niederwimmer:
> Hallo Liste,
>
> könnte einer von EUCH Profis mal auf meine TLS Einstellungen schauen ?
>
> Nach Durchforstung des Netzes, bin ich mir nicht mehr sicher ob das alles so
> stimmt was ich da eingetragen habe und ob das alles auf dem letzten Stand
> ist.
>
> Ich hänge mal postconf -n an und hoffe ich bekomme Antworten ;-)
Danke für Eure Antworten.
Also was ich daraus entnehme ist eigentlich nichts falsch, sonder an und für
sich zu stark verschlüsselt ??
Was ich daraus entnehme ist eigentlich das SUSE Mailsystem das Problem ;-)
Na dann sehen wir mal...
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
From gjn at gjn.priv.at Mon Feb 26 13:55:54 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 26 Feb 2018 13:55:54 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
Message-ID: <6062584.BOCjpNMmtO@techz>
Hallo,
ist das eigentlich üblich DKIM Fehler zu bekommen!
Hintergrund:
Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
Seit dem hagelt es Statusreports mit Fehlermeldungen ??
Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da
was falsch eingestellt?
Normaler Mailversand funktioniert, da bekommt man zwar auch Reports, die sind
aber mit "Pass" gekennzeichnet.
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
From mailinglisten at pothe.de Mon Feb 26 14:01:11 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 26 Feb 2018 14:01:11 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <6062584.BOCjpNMmtO@techz>
References: <6062584.BOCjpNMmtO@techz>
Message-ID: <4fe5e2a2-5d38-ca05-d90f-46e7d9043717@pothe.de>
Am 26.02.2018 um 13:55 schrieb Günther J. Niederwimmer:
> ist das eigentlich üblich DKIM Fehler zu bekommen!
> Hintergrund:
>
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>
Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
successfull.
From daniel at mail24.vip Mon Feb 26 14:02:12 2018
From: daniel at mail24.vip (Daniel)
Date: Mon, 26 Feb 2018 14:02:12 +0100
Subject: AW: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <6062584.BOCjpNMmtO@techz>
References: <6062584.BOCjpNMmtO@techz>
Message-ID: <006701d3af02$04d61250$0e8236f0$@mail24.vip>
Dann hast du wohl entsprechende Report Einträge im DNS, dass du sowas wünscht.
Gruß Daniel
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 5530 bytes
Beschreibung: nicht verfügbar
URL :
From gjn at gjn.priv.at Mon Feb 26 14:20:16 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 26 Feb 2018 14:20:16 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <4fe5e2a2-5d38-ca05-d90f-46e7d9043717@pothe.de>
References: <6062584.BOCjpNMmtO@techz>
<4fe5e2a2-5d38-ca05-d90f-46e7d9043717@pothe.de>
Message-ID: <3751186.jkupPfhlxZ@techz>
Hallo,
Am Montag, 26. Februar 2018, 14:01:11 CET schrieb Andreas Pothe:
> Am 26.02.2018 um 13:55 schrieb Günther J. Niederwimmer:
> > ist das eigentlich üblich DKIM Fehler zu bekommen!
> > Hintergrund:
> >
> > Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> > habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
> >
> > Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>
> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
> successfull.
Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen" Adressen
umgestellt und da funktioniert das ganze anscheinend nicht!
Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu meiner
Adresse passt!
Also wieder zurück zur alten Adresse jedefalls für Mailinglisten :-(.
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
From mailinglisten at pothe.de Mon Feb 26 14:25:47 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 26 Feb 2018 14:25:47 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <3751186.jkupPfhlxZ@techz>
References: <6062584.BOCjpNMmtO@techz>
<4fe5e2a2-5d38-ca05-d90f-46e7d9043717@pothe.de> <3751186.jkupPfhlxZ@techz>
Message-ID: <8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de>
Hi,
Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>> Hintergrund:
>>>
>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>>>
>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>> successfull.
> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>
> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen" Adressen
> umgestellt und da funktioniert das ganze anscheinend nicht!
>
> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu meiner
> Adresse passt!
Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
der Header durch den Mailinglisten-Server verändert.
Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
nur spekulieren, das ist doof.
CU
Andreas
From p at sys4.de Mon Feb 26 14:34:28 2018
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 26 Feb 2018 14:34:28 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <6062584.BOCjpNMmtO@techz>
References: <6062584.BOCjpNMmtO@techz>
Message-ID: <20180226133426.32dr7rtlcurgekrg@sys4.de>
Hallo Günther,
* Günther J. Niederwimmer :
> ist das eigentlich üblich DKIM Fehler zu bekommen!
es kommt noch viel zu häufig vor, weil eine Verletzung von DKIM-Signaturen
sich bisher wenig auf die deliverability ausgewirkt hatte. Das wird sich bei
steigender Popularität von DMARC, über das nun DKIM-Policies vermittelt werden
können, ändern.
> Hintergrund:
>
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
Dann, nehme ich an, nutzt Du schon DMARC und lässt Dir Fehlermeldungen
zusenden.
> Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da
> was falsch eingestellt?
Im Regelfall ist der MLM bzw. die Config der Mailingliste falsch eingestellt.
Peer hat vor einer Weile auf Umschreiben der Adresse umgestellt. Damit löst er
sich aus der DKIM-Vorgabe Deiner Senderdomain und kann deren Policy gar nicht
mehr verletzen. Wie das mit Mailman geht, hatten wir 2013 in
https://blog.sys4.de/mailman-dmarc-konform-betreiben-de.html beschrieben.
Alternativ kann der MLM auch so konfiguriert werden, dass er Subject und Body
nicht verändert. Darüber hatte ich in etwa zur selben Zeit auch im sys4 Blog
geschrieben: https://blog.sys4.de/dkim-konforme-mailinglisten-de.html
Ob das die einzigen beiden brauchbaren Möglichkeiten bleiben werden, ist noch
nicht abschliessend geklärt. Mit ARC steht eine Ergänzung zu DKIM zur
Standardisierung an, die es einem MLM gestattet eine DKIM-konforme Nachricht
vor dem Versenden selbst zu signieren und gleichzeitig die Konformität der
Nachricht zum Zeitpunkt der Annahme zu bestätigen.
Ob das was wird, zweifle ich allerdings noch an. Ein ARC-Signierer muss
trusted sein, d.h. er muss auf einer Liste vertrauenswürdiger Signierer
geführt werden. Diese Liste soll ? so mein letzter Wissensstand ? von Hand
geführt und verteilt werden.
Das könnte man meiner Meinung nach schon als bewußte Sabotage auffassen. Und
irgendwie erinnert es mich schwer an die pre-DNS-Zeit in Deutschland, als
Peter Koch noch Listen mit DNS-IP-Zuordnungen von Hand geführt und auf seinem
FTP-Server zur Verfügung gestellt hat. Damals 14 - 18 vor Verdun? :-/
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
From p at sys4.de Mon Feb 26 14:34:28 2018
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 26 Feb 2018 14:34:28 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <6062584.BOCjpNMmtO@techz>
References: <6062584.BOCjpNMmtO@techz>
Message-ID: <20180226133426.32dr7rtlcurgekrg@sys4.de>
Hallo Günther,
* Günther J. Niederwimmer :
> ist das eigentlich üblich DKIM Fehler zu bekommen!
es kommt noch viel zu häufig vor, weil eine Verletzung von DKIM-Signaturen
sich bisher wenig auf die deliverability ausgewirkt hatte. Das wird sich bei
steigender Popularität von DMARC, über das nun DKIM-Policies vermittelt werden
können, ändern.
> Hintergrund:
>
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
Dann, nehme ich an, nutzt Du schon DMARC und lässt Dir Fehlermeldungen
zusenden.
> Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da
> was falsch eingestellt?
Im Regelfall ist der MLM bzw. die Config der Mailingliste falsch eingestellt.
Peer hat vor einer Weile auf Umschreiben der Adresse umgestellt. Damit löst er
sich aus der DKIM-Vorgabe Deiner Senderdomain und kann deren Policy gar nicht
mehr verletzen. Wie das mit Mailman geht, hatten wir 2013 in
https://blog.sys4.de/mailman-dmarc-konform-betreiben-de.html beschrieben.
Alternativ kann der MLM auch so konfiguriert werden, dass er Subject und Body
nicht verändert. Darüber hatte ich in etwa zur selben Zeit auch im sys4 Blog
geschrieben: https://blog.sys4.de/dkim-konforme-mailinglisten-de.html
Ob das die einzigen beiden brauchbaren Möglichkeiten bleiben werden, ist noch
nicht abschliessend geklärt. Mit ARC steht eine Ergänzung zu DKIM zur
Standardisierung an, die es einem MLM gestattet eine DKIM-konforme Nachricht
vor dem Versenden selbst zu signieren und gleichzeitig die Konformität der
Nachricht zum Zeitpunkt der Annahme zu bestätigen.
Ob das was wird, zweifle ich allerdings noch an. Ein ARC-Signierer muss
trusted sein, d.h. er muss auf einer Liste vertrauenswürdiger Signierer
geführt werden. Diese Liste soll ? so mein letzter Wissensstand ? von Hand
geführt und verteilt werden.
Das könnte man meiner Meinung nach schon als bewußte Sabotage auffassen. Und
irgendwie erinnert es mich schwer an die pre-DNS-Zeit in Deutschland, als
Peter Koch noch Listen mit DNS-IP-Zuordnungen von Hand geführt und auf seinem
FTP-Server zur Verfügung gestellt hat. Damals 14 - 18 vor Verdun? :-/
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
From gjn at gjn.priv.at Mon Feb 26 14:58:12 2018
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 26 Feb 2018 14:58:12 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de>
References: <6062584.BOCjpNMmtO@techz> <3751186.jkupPfhlxZ@techz>
<8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de>
Message-ID: <1919716.G2WXxozvh0@techz>
Hallo,
Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
> Hi,
>
> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
> > ist das eigentlich üblich DKIM Fehler zu bekommen!
> >
> >>> Hintergrund:
> >>>
> >>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
> >>> jetzt
> >>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
> >>> umgestellt.
> >>>
> >>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
> >>
> >> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
> >> successfull.
> >
> > Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
> >
> > Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
> > Adressen
> > umgestellt und da funktioniert das ganze anscheinend nicht!
> >
> > Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
> > meiner Adresse passt!
>
> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
> der Header durch den Mailinglisten-Server verändert.
>
> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>
> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
> nur spekulieren, das ist doof.
Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
Du meintest Tacheles ;-)
die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
z.B. sowas
1.0
comcast.net
dmarc-admin at alerts.comcast.net
v1-1519629093-gjn.at
1519516800
1519603200
gjn.at
s
s
reject
reject
100
0
195.135.221.145
1
reject
fail
fail
gjn.at
gjn.at
fail
2017
opensuse.org
mfrom
none
2001:67c:2178:8::18
4
reject
fail
fail
gjn.at
gjn.at
fail
2017
opensuse.org
mfrom
none
Ich habe es ziehmich hart eingestellt, glaube ich ;-).
--
mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
From andreas.schulze at datev.de Mon Feb 26 16:12:24 2018
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Mon, 26 Feb 2018 16:12:24 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <1919716.G2WXxozvh0@techz>
References: <6062584.BOCjpNMmtO@techz> <3751186.jkupPfhlxZ@techz>
<8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de> <1919716.G2WXxozvh0@techz>
Message-ID: <442fdbe5-c78c-e298-8926-c2f5642c7fa7@datev.de>
Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:
> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
> z.B. sowas
>
>
> 1.0
>
> comcast.net
> dmarc-admin at alerts.comcast.net
> v1-1519629093-gjn.at
>
> 1519516800
> 1519603200
>
>
>
> gjn.at
> s
> s
> reject
> reject
> 100
> 0
>
>
>
> 195.135.221.145
> 1
>
> reject
> fail
> fail
>
>
>
> gjn.at
>
>
>
> gjn.at
> fail
> 2017
>
>
> opensuse.org
> mfrom
> none
>
>
>
>
>
> 2001:67c:2178:8::18
> 4
>
> reject
> fail
> fail
>
>
>
> gjn.at
>
>
>
> gjn.at
> fail
> 2017
>
>
> opensuse.org
> mfrom
> none
>
>
>
>
>
>
> Ich habe es ziehmich hart eingestellt, glaube ich ;-).
>
Hallo,
nun will ich meinen Senf auch mal noch dazu geben...
1. Mit einer Domain, die p=quarantine oder p=reject als DMARC Policy
ansagt, sollte man nicht an Mailinglisten senden.
Sehr wahrscheinlich macht der Listserver die eigene DKIM-Signatur
kaputt.
Das Ergebnis ist dann ehr unerwünscht: E-Mails bouncen.
2. Wer DMARC auswertet und bei fehlender Authentisierung wirklich
rejected ( z.B. yahoo.com, weil die p=reject vorgeben )
der sollte unbedingt bekannte Listserver von der DMARC-Prüfung
ausnehmen. Ansonsten ist man selbst ( oder die eigenen Anwender) schnell
von den Listen unsubscribed, weil der Listserver Bounces sieht.
3. Wer einen Listserver betreibt, sollte entsprechend Patricks
Blogeintrag "Message-Modifikation" abschalten. Also
- Betreff nicht verändern
- keinen Footer an die E-Mails anhängen
- bei einem Mailman2 darauf achten, dass man eine aktuelle Version
betreibt. 2.1.15 ist da nicht ausreichend.
ab ca. Version 2.1.20 wurden im Mailman2 diverse Änderungen
vorgenommen, damit E-Mail weniger wahrscheinlich verändert werden:
früher hat Mailman z.B. auch "Conten-Type" Headerzeilen einfach
umgeschrieben:
Content-Type: text/plain; charset=utf-8 wurde zu Content-Type:
text/plain; charset="UTF8"
Damit ist eine DKIM-Signatur üblicherweise auch ungültig...
Bei solchen Problemen ist man aber immer auf den Betreiber des
Listservers angewiesen. *Der* muss seinen Hausaufgaben erledigen...
4. Diverse große Mailprovider bieten an Ihrem MX-Server keine
8BITMIME-Erweiterung an. Prominetestes Beispiel ist die 1&1 (GMX+Web.de)
Wenn man also seinen Inhalt im 8Bit Format generiert und signiert,
ist die eigene DKIM-Signatur schon nach dem Transport zu einem solchen
MX kaputt.
Der eigene Versandserver wird den Inhalt auf 7bit runterkodieren
und damit die gerade erstelle Signatur invalidieren :-/
Man sollte also beim Versenden darauf achten, sich auf 7Bit
Content zu beschränken.
Alles in Allem: keine schöne E-Mail Welt, aber wie haben nur diese ...
Andreas
From jost+lists at dimejo.at Mon Feb 26 17:12:18 2018
From: jost+lists at dimejo.at (Alex JOST)
Date: Mon, 26 Feb 2018 17:12:18 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <1919716.G2WXxozvh0@techz>
References: <6062584.BOCjpNMmtO@techz> <3751186.jkupPfhlxZ@techz>
<8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de> <1919716.G2WXxozvh0@techz>
Message-ID: <12728a76-f642-29f6-d19c-c8fa9ad22c92@dimejo.at>
Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:
> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>>
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>>
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>>
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
>
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
> 195.135.221.145
> 1
>
> reject
> fail
> fail
>
> 2001:67c:2178:8::18
> 4
>
> reject
> fail
> fail
>
$ dig gjn.at TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.0/28 ip6:2001:470:1f0b:371::203
ip6:2001:470:1f0b:371::/64 include:4gjn.com -all"
$ dig 4gjn.com TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.8 ip6:2001:470:1f0b:371::203
ip6:2001:470:1f0b:371::213 -all"
Die Absender-IPs stimmen nicht mit den SPF-Einträgen überein.
Wahrscheinlich haben sich die IPs mal geändert, und Du hast vergessen
die DNS-Einträge anzupassen.
Übrigens macht das 'include:4gjn.com' in dem Fall keinen Sinn.
> gjn.at
> fail
> 2017
Der verwendete Selektor existiert im DNS. Warum die Prüfung auf DKIM
fehlschlägt ist von hier aus also nicht so einfach zu beantworten.
--
Alex JOST
From mailinglisten at pothe.de Mon Feb 26 17:58:17 2018
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Mon, 26 Feb 2018 17:58:17 +0100
Subject: Frage Mailinglisten DNSEC DKIM usw.
In-Reply-To: <12728a76-f642-29f6-d19c-c8fa9ad22c92@dimejo.at>
References: <6062584.BOCjpNMmtO@techz> <3751186.jkupPfhlxZ@techz>
<8be7572d-ed81-3935-131a-63a0ffa830c7@pothe.de> <1919716.G2WXxozvh0@techz>
<12728a76-f642-29f6-d19c-c8fa9ad22c92@dimejo.at>
Message-ID: <546319f1-7d8f-6f9d-91d4-eabaca21eee0@pothe.de>
Am 26.02.2018 um 17:12 schrieb Alex JOST:
>
>> 195.135.221.145
>> 2001:67c:2178:8::18
> $ dig gjn.at TXT +short
> "v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.0/28
> ip6:2001:470:1f0b:371::203 ip6:2001:470:1f0b:371::/64 include:4gjn.com
> -all"
>
> $ dig 4gjn.com TXT +short
> "v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.8 ip6:2001:470:1f0b:371::203
> ip6:2001:470:1f0b:371::213 -all"
>
> Die Absender-IPs stimmen nicht mit den SPF-Einträgen überein.
> Wahrscheinlich haben sich die IPs mal geändert, und Du hast vergessen
> die DNS-Einträge anzupassen.
>
Das werden die IPs des Mailinglisten-Mailservers sein.
> Der verwendete Selektor existiert im DNS. Warum die Prüfung auf DKIM
> fehlschlägt ist von hier aus also nicht so einfach zu beantworten.
>
Weil der Mailinglisten-Mailserver die Mail so abändert, dass DKIM
fehlschlägt. Damit dann SPF = fail, DKIM = fail => REJECT
Wenn ich DMARC richtig verstehe, reicht es, wenn SPF oder DKIM passed,
um die Mail anzunehmen. Ein (unsauberer) Workaround könnte damit sein,
die Outgoing-Mailserver der Mailingliste in die erlaubten SPF-Sender
aufzunehmen. Bitte korrigiert mich, falls ich hier falsch liege.
Die saubere Lösung wäre, wenn der Betreiber der Mailingliste diese mal
so einstellt, dass nichts verbotenes abgeändert wird.
CU
Andreas