From christian.garling at cg-networks.de Tue Jul 3 21:43:48 2018 From: christian.garling at cg-networks.de (christian.garling at cg-networks.de) Date: Tue, 03 Jul 2018 21:43:48 +0200 Subject: AW: [ext] E-Mail Massenversand mit Auswertung References: <704a2d7e-acaf-586e-782a-c1b6a16a757c@cg-networks.de> <20180630175813.GD4388@charite.de> <0016ef25-d570-3853-ba0f-86499c5922ae@nord-west.org> <4908350.AS7qO27sHm@merkaba> Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixer99 at gmail.com Wed Jul 4 09:16:36 2018 From: postfixer99 at gmail.com (Carsten) Date: Wed, 4 Jul 2018 09:16:36 +0200 Subject: postfix 3 nicht mehr im chroot? Message-ID: <6c81d677-e162-a1a4-f60a-9a413c9b50a7@gmail.com> Hallo zusammen, ich habe gerade festgestellt, dass Postfix 3 nicht mehr per default im chroot läuft. siehe: http://www.postfix.org/COMPATIBILITY_README.html#chroot Ich dachte immer, dass genau dieses Feature den Postfix so besonders sicher macht. Wie betreibt Ihr den Postfix 3? Mit chroot oder (per default ohne) ? Beste Grüße, Carsten From luri at zhaw.ch Wed Jul 4 12:11:12 2018 From: luri at zhaw.ch (Liebeskind Uri (luri)) Date: Wed, 4 Jul 2018 10:11:12 +0000 Subject: =?iso-8859-1?Q?Help:_Frage_zur_Postfix_Konfiguration_f=FCr_Routing_/_Rela?= =?iso-8859-1?Q?y?= Message-ID: <749e3ada78ef4c7fbee7680b0754d2be@srv-mail-102.zhaw.ch> Dear postfix experts, since more than a week I try to include a encryption appliance to the mailflow of our postfix servers. UP TO NOW THE MAIL-FLOW IS AS SUCH: Exchange -> mx1:25 -> To milter at 127.0.0.1:10025 (Sophos PureMessage) -> from milter 10026:127.0.0.1 -> Outbound mta (i.e. gmail) CONFIGURATION FOR THIS IS: main.cf: content_filter = pmx:[127.0.0.1]:10025 master.cf: :25 inet n - n - 300 smtpd :10026 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o myhostname=localhost -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o allow_untrusted_routing=yes PureMessage is configured to pass mail to 127.0.0.1:10026 WHAT I WANT TO ACHIEVE: Mails with certain header criteria have to be relayed to an appliance in our network enc.zhaw.ch:25. The appliance then has to pass the mail back to mx1 and postfix shall deliver the mail. The scenario must be tested only on our nonproductive mx4 only for a specific (source- and target-) mail address (test at zhaw.ch) Only mx4 redirects mails to the encryption appliance. CONFIGURATION TO RELAY MAILS FROM MX1 TO MX4 FOR test at zhaw.ch MX1: main.cf: sender_dependent_relayhost_maps = hash:/etc/postfix/relay_by_sender relay_by_sender: test at zhaw.ch mx4.zhaw.ch CONFIGURATION ON MX4 TO RELAY MAILS FROM MX4 to enc.zhaw.ch FOR SPECIFIC HEADER CRITERIAS MX4: main.cf: content_filter = pmx:[127.0.0.1]:10025 header_checks = pcre:/etc/postfix/header_checks,pcre:/etc/postfix/header_checks-totemo header_checks-totemo: /Subject:\h*#secure/ FILTER smtp:[enc.zhaw.ch] /Content-Type: .*pkcs7-(signature|mime)/ FILTER smtp:[enc.zhaw.ch] The encryption appliance removes the triggering text #secure from the subject, encrypts the message and then passes the message to mx1:20025 CONFIGURATION ON MX1 main.cf: (as before) content_filter = pmx:[127.0.0.1]:10025 header_checks = pcre:/etc/postfix/header_checks,pcre:/etc/postfix/header_checks-totemo header_checks-totemo: /Subject:\h*#secure/ FILTER smtp:[enc.zhaw.ch] /Content-Type: .*pkcs7-(signature|mime)/ FILTER smtp:[enc.zhaw.ch] master.cf: :25 inet n - n - 300 smtpd :10026 inet n - n - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o myhostname=localhost -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o allow_untrusted_routing=yes # RECEIVE MAILS FROM ENCRYPTION APPLIANCES ON 20025 :20025 inet n - n - - smtpd -o content_filter= -o sender_dependent_relayhost_maps= -o receive_override_options=no_header_body_checks -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8,160.85.104.245,160.85.104.246 WHAT HAPPENS: This configuration behaves as a loop, because the option "-o sender_dependent_relayhost_maps=" is ignored. This causes the message to be relayed again to MX4. On MX4 header_checks-totemo will trigger on Content-Type: criteria because the message is encrypted. This will again relay the message to the encryption appliance and so on. I am struggling with this for over a week now. It is really hard to understand which parameters are processed at what time in postfix. So I hope someone can give me a tip. Another requirement is that in the final setup I want to send the messages through the pmx antispam milter before encryption and after decryption. Kind regards, Uri -- ------------------------------------ Zurich University of Applied Sciences Information and Communication Technology Uri Liebeskind System Administrator Gertrudstrasse 15 Postfach 805 CH-8401 Winterthur Tel. +41 58 934 72 63 Fax. +41 58 935 72 63 http://www.zhaw.ch/en/ ------------------------------------- -- ------------------------------------ Zurich University of Applied Sciences Information and Communication Technology Uri Liebeskind System Administrator Gertrudstrasse 15 Postfach 805 CH-8401 Winterthur Tel. +41 58 934 72 63 Fax. +41 58 935 72 63 http://www.zhaw.ch/en/ ------------------------------------- From Stephan.Glatthaar at dachser.com Thu Jul 5 11:34:18 2018 From: Stephan.Glatthaar at dachser.com (Stephan.Glatthaar at dachser.com) Date: Thu, 5 Jul 2018 11:34:18 +0200 Subject: =?ISO-8859-1?Q?Antwort=3A_Help=3A_Frage_zur_Postfix_Konfiguration_f=FCr?= =?ISO-8859-1?Q?_Routing_=2F_Relay?= In-Reply-To: <749e3ada78ef4c7fbee7680b0754d2be@srv-mail-102.zhaw.ch> References: <749e3ada78ef4c7fbee7680b0754d2be@srv-mail-102.zhaw.ch> Message-ID: * Liebeskind Uri (luri) : > WHAT I WANT TO ACHIEVE: > Mails with certain header criteria have to be relayed to an > appliance in our network enc.zhaw.ch:25. The appliance then has to > pass the mail back to mx1 and postfix shall deliver the mail. > you could solve this with a puremessage policy.siv snipplet like this: if allof(pmx_attachment_type :memberof ["encrypted-mailparts"], not pmx_relay :re ["enc.zhaw.ch"]) { pmx_mark1 "enrypted outbound"; pmx_route ["enc.zhaw.ch"]; stop; } or with postfix, first the way to totemo: add in main.cf: mime_header_checks = pcre:/etc/postfix/mime_header_checks mime_header_checks: ## # Filter, if a mail was S/MIME or OpenPGP encypted/signed /^Content-Type:\s* ( multipart\/signed| multipart\/encrypted| application\/pkcs7-mime| application\/x-pkcs7-mime )/x FILTER smtp:[enc.zhaw.ch] and then the way back from totemo to postfix port 10026: add to master.cf: 10026 inet n - n - 20 smtpd -o content_filter= -o smtpd_helo_restrictions= -o smtpd_client_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o allow_untrusted_routing=yes -o receive_override_options=no_header_body_checks -- Cheers Stephan From w.flamme at web.de Thu Jul 12 13:05:39 2018 From: w.flamme at web.de (Werner Flamme) Date: Thu, 12 Jul 2018 13:05:39 +0200 Subject: =?UTF-8?Q?Mails_mit_bestimmten_Message-IDs_an_einen_Sammelempf?= =?UTF-8?Q?=c3=a4nger_leiten?= Message-ID: <7273fd23-4ed9-fc45-7e54-4899a70ace9b@web.de> Hallo Liste, ich habe eine Aufgabenstellung, bei der ich nicht weiterkomme, und wende mich deshalb wegen Hilfe an euch. Alle Mail, die aus einem bestimmten SAP-System kommt (Postfix-Log: connect from localhost), soll an genau einen Empfänger gehen. Die Mails sind durch die Message-ID zu erkennen. Grund für die Umleitung: ein neues Feature soll getestet werden, aber die Mails dürfen nicht an die "richtigen" User sondern nur an Testuser gehen. Ich weiß aber nicht, wie ich einen Zusammenhang von Message-ID und Empfängeradressumschreibung hinbekomme. Kann mir da bitte jemand weiterhelfen? Zusatzfrage: wenn sich das SAP-System mit einem anderen Hostnamen anmelden könnte, wäre es dann einfacher? Gruß Werner -- From kai_postfix at fuerstenberg.ws Thu Jul 12 13:29:32 2018 From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=) Date: Thu, 12 Jul 2018 13:29:32 +0200 Subject: =?UTF-8?Q?Re:_Mails_mit_bestimmten_Message-IDs_an_einen_Sammelempf?= =?UTF-8?Q?=c3=a4nger_leiten?= In-Reply-To: <7273fd23-4ed9-fc45-7e54-4899a70ace9b@web.de> References: <7273fd23-4ed9-fc45-7e54-4899a70ace9b@web.de> Message-ID: <9325ce57-c241-145e-d26c-68ea82982e8c@fuerstenberg.ws> Hallo Werner, Am 12.07.2018 um 13:05 schrieb Werner Flamme: > Hallo Liste, > > ich habe eine Aufgabenstellung, bei der ich nicht weiterkomme, und wende > mich deshalb wegen Hilfe an euch. > > Alle Mail, die aus einem bestimmten SAP-System kommt (Postfix-Log: > connect from localhost), soll an genau einen Empfänger gehen. Die Mails > sind durch die Message-ID zu erkennen. Grund für die Umleitung: ein > neues Feature soll getestet werden, aber die Mails dürfen nicht an die > "richtigen" User sondern nur an Testuser gehen. > > Ich weiß aber nicht, wie ich einen Zusammenhang von Message-ID und > Empfängeradressumschreibung hinbekomme. Kann mir da bitte jemand > weiterhelfen? > > Zusatzfrage: wenn sich das SAP-System mit einem anderen Hostnamen > anmelden könnte, wäre es dann einfacher? header_checks -> REDIRECT dürfte die Aufgabe eigentlich erledigen. -- Kai Fürstenberg PM an: kai at fuerstenberg punkt ws From w.flamme at web.de Fri Jul 13 06:25:44 2018 From: w.flamme at web.de (Werner Flamme) Date: Fri, 13 Jul 2018 06:25:44 +0200 Subject: =?UTF-8?Q?Re:_Mails_mit_bestimmten_Message-IDs_an_einen_Sammelempf?= =?UTF-8?Q?=c3=a4nger_leiten?= In-Reply-To: <9325ce57-c241-145e-d26c-68ea82982e8c@fuerstenberg.ws> References: <7273fd23-4ed9-fc45-7e54-4899a70ace9b@web.de> <9325ce57-c241-145e-d26c-68ea82982e8c@fuerstenberg.ws> Message-ID: Kai Fürstenberg schrieb am 12.07.2018 um 13:29: > Hallo Werner, > > Am 12.07.2018 um 13:05 schrieb Werner Flamme: >> Hallo Liste, >> >> ich habe eine Aufgabenstellung, bei der ich nicht weiterkomme, und wende >> mich deshalb wegen Hilfe an euch. >> >> Alle Mail, die aus einem bestimmten SAP-System kommt (Postfix-Log: >> connect from localhost), soll an genau einen Empfänger gehen. Die Mails >> sind durch die Message-ID zu erkennen. Grund für die Umleitung: ein >> neues Feature soll getestet werden, aber die Mails dürfen nicht an die >> "richtigen" User sondern nur an Testuser gehen. >> >> Ich weiß aber nicht, wie ich einen Zusammenhang von Message-ID und >> Empfängeradressumschreibung hinbekomme. Kann mir da bitte jemand >> weiterhelfen? >> >> Zusatzfrage: wenn sich das SAP-System mit einem anderen Hostnamen >> anmelden könnte, wäre es dann einfacher? > > header_checks -> REDIRECT > dürfte die Aufgabe eigentlich erledigen. > Uaaah... Wald, Bäume... Danke! Das sollte klappen. Dabei nutze ich die Header-Checks schon für /^Content-Transfer-Encoding:/i PREPEND X-Clacks-Overhead: GNU Terry Pratchett Gruß Werner -- Werner Flamme, Abt. WKDV SAP Certified Technology Associate for NetWeaver/Oracle Helmholtz-Zentrum für Umweltforschung GmbH - UFZ Permoserstr. 15 - 04318 Leipzig / Germany Tel.: +49 341 235-1921 - Fax +49 341 235-451921 Information nach §§ 37a HGB, 35a GmbHG: Sitz der Gesellschaft: Leipzig Registergericht: Amtsgericht Leipzig, Handelsregister Nr. B 4703 Vorsitzender des Aufsichtsrats: MinDirig Wilfried Kraus Wissenschaftlicher Geschäftsführer: Prof. Dr. Dr. h.c. Georg Teutsch Administrative Geschäftsführerin: Prof. Dr. Heike Graßmann From listserv at xtlv.cn Sat Jul 14 11:54:13 2018 From: listserv at xtlv.cn (Mario Arnold) Date: Sat, 14 Jul 2018 11:54:13 +0200 Subject: Ausgehende Mails auf bestimmter IP Message-ID: <5B49C845.5030700@xtlv.cn> Hallo zusammen, ist es möglich postfix mitzuteilen, daß er für eine bestimmte Empfängerdomain (hier @hotmail.com) eine alternative IP zum Versenden verwenden soll? Aus mir nicht erkenntlichen Gründen, werden bei Zustellversuchen an hotmail, diese mit folgendem Text abgewiesen: Diagnostic-Code: smtp; 550 5.7.1 Unfortunately, messages from [84.38.75.37] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [HE1EUR02FT057.eop-EUR02.prod.protection.outlook.com] Ich hoffe, daß eine alternative IP abhilfe schafft. Vielen Dank für jeden Hilfe! Mario -- Persönlich IS0-Zertifiziert in angewandter Kompetenzsimulation. From beat at juckers.ch Sat Jul 14 13:29:23 2018 From: beat at juckers.ch (Beat Jucker) Date: Sat, 14 Jul 2018 13:29:23 +0200 Subject: Ausgehende Mails auf bestimmter IP In-Reply-To: <5B49C845.5030700@xtlv.cn> References: <5B49C845.5030700@xtlv.cn> Message-ID: <55ebeaec-336d-1d68-10e4-fafe74b26deb@juckers.ch> Hallo Mario Am 14.07.2018 um 11:54 schrieb Mario Arnold: > ist es möglich postfix mitzuteilen, daß er für eine bestimmte Empfängerdomain > (hier @hotmail.com) > eine alternative IP zum Versenden verwenden soll? von unterwegs gesendet, daher nur einzelne Puzzleteile vom Gesamtbild ... ich würde in der Transport Table die Emailadresse (Domain) auf einen eigenen Email Delivery umbiegen und diesem eine spezifische IP zuordnen. Datei transport: --> anschliessend postmap transport hotmail.com        smtpHotmail: Datei master.cf: --> anschliessend postfix neu starten smtpHotmail      inet  n       -       -       -       -       smtpd         -o smtp_bind_address=11.22.33.44 Gruss -- Beat From listserv at xtlv.cn Sat Jul 14 13:43:19 2018 From: listserv at xtlv.cn (Mario Arnold) Date: Sat, 14 Jul 2018 13:43:19 +0200 Subject: Ausgehende Mails auf bestimmter IP In-Reply-To: <55ebeaec-336d-1d68-10e4-fafe74b26deb@juckers.ch> References: <5B49C845.5030700@xtlv.cn> <55ebeaec-336d-1d68-10e4-fafe74b26deb@juckers.ch> Message-ID: <5B49E1D7.8080809@xtlv.cn> Hallo Beat > von unterwegs gesendet, daher nur einzelne Puzzleteile vom Gesamtbild ... ich > würde in der Transport Table die Emailadresse (Domain) auf einen eigenen Email > Delivery umbiegen und diesem eine spezifische IP zuordnen. > > Datei transport: --> anschliessend postmap transport > hotmail.com smtpHotmail: > > Datei master.cf: --> anschliessend postfix neu starten > smtpHotmail inet n - - - - smtpd > -o smtp_bind_address=11.22.33.44 ... Dein Vorschlag war wirksam! Danke Deine Hilfe! > > Gruss > -- Beat > > Gruß Mario -- Persönlich IS0-Zertifiziert in angewandter Kompetenzsimulation. From Ralf.Hildebrandt at charite.de Sat Jul 14 18:23:54 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sat, 14 Jul 2018 18:23:54 +0200 Subject: [ext] Re: Ausgehende Mails auf bestimmter IP In-Reply-To: <55ebeaec-336d-1d68-10e4-fafe74b26deb@juckers.ch> References: <5B49C845.5030700@xtlv.cn> <55ebeaec-336d-1d68-10e4-fafe74b26deb@juckers.ch> Message-ID: <20180714162354.GA16171@charite.de> * Beat Jucker : > Hallo Mario > > Am 14.07.2018 um 11:54 schrieb Mario Arnold: > > ist es möglich postfix mitzuteilen, daß er für eine bestimmte Empfängerdomain > > (hier @hotmail.com) > > eine alternative IP zum Versenden verwenden soll? > > > von unterwegs gesendet, daher nur einzelne Puzzleteile vom Gesamtbild ... > ich würde in der Transport Table die Emailadresse (Domain) auf einen eigenen > Email Delivery umbiegen und diesem eine spezifische IP zuordnen. > > Datei transport: --> anschliessend postmap transport > hotmail.com        smtpHotmail: > > Datei master.cf: --> anschliessend postfix neu starten > smtpHotmail      inet  n       -       -       -       -       smtpd >         -o smtp_bind_address=11.22.33.44 smtp nicht smtpd Sonst richtig. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Hajo.Locke at gmx.de Tue Jul 17 11:20:29 2018 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Tue, 17 Jul 2018 11:20:29 +0200 Subject: dkim - Aufwand vs. Nutzen Message-ID: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Hallo Liste, ich plane für eine verschiedenen Domains dkim einzusetzen, die technischen Tests habe ich bereits absolviert. Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der Domains einen eigenen privaten Key erzeugen und Mails der Domains separat signieren oder arbeite ich besser mit einem einzigen Key für alle Domains. Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren pflegen. Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm steigen. Ich könnte Mails von domaina.de und domainb.de signieren und dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum verifizieren unter domainc.de zu finden ist. Die User der Domains könnten dann zwar keine individuellen Einstellungen haben, aber ich müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? Danke, Hajo From michael at linuxfox.de Tue Jul 17 15:43:01 2018 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 17 Jul 2018 15:43:01 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Message-ID: <06ca0c3f-19c9-672e-c7bf-ef7641ffd71c@linuxfox.de> Hallo Hajo, schau dir ansible an und die Verwaltung wird zum Einzeiler. Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen Am 17.07.18 um 11:20 schrieb Hajo Locke: > Hallo Liste, > > ich plane für eine verschiedenen Domains dkim einzusetzen, die > technischen Tests habe ich bereits absolviert. > Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der > Domains einen eigenen privaten Key erzeugen und Mails der Domains > separat signieren oder arbeite ich besser mit einem einzigen Key für > alle Domains. > Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander > aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren > pflegen. > Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm steigen. > Ich könnte Mails von domaina.de und domainb.de signieren und dabei im > dkim hinterlegen, dass öffentlicher Schlüssel zum verifizieren unter > domainc.de zu finden ist. Die User der Domains könnten dann zwar keine > individuellen Einstellungen haben, aber ich müsste alles nur in > einfacher Ausführung pflegen. Was meint Ihr? > > Danke, > Hajo > From Hajo.Locke at gmx.de Tue Jul 17 15:58:32 2018 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Tue, 17 Jul 2018 15:58:32 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: <06ca0c3f-19c9-672e-c7bf-ef7641ffd71c@linuxfox.de> References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> <06ca0c3f-19c9-672e-c7bf-ef7641ffd71c@linuxfox.de> Message-ID: <1e3e8bf1-eb92-6517-1404-67d0b2eb20a3@gmx.de> Hallo Michael , solche Software verwenden wir eigentlich nie, unsere Programmierer machen alles selbst. Wenn ich überzeugende Argumente habe, dass ein separeter Key pro Domain notwendig wäre, dann würde das auch so umgesetzt werden. Insgesamt ist der Aufwand aber höher, gerade wenn man an Neuaustellung von x Keys denkt. Ein zentraler Key wäre da wesentlich pflegeleichter und ich sehe aktuell nichts, was dagegen spräche. Danke, Hajo Am 17.07.2018 um 15:43 schrieb Michael Grundmann: > Hallo Hajo, > > schau dir ansible an und die Verwaltung wird zum Einzeiler. > > Gruß Michael > > Wenn du verstehst, was du tust, wirst du nichts lernen > > Am 17.07.18 um 11:20 schrieb Hajo Locke: >> Hallo Liste, >> >> ich plane für eine verschiedenen Domains dkim einzusetzen, die >> technischen Tests habe ich bereits absolviert. >> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der >> Domains einen eigenen privaten Key erzeugen und Mails der Domains >> separat signieren oder arbeite ich besser mit einem einzigen Key für >> alle Domains. >> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander >> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren >> pflegen. >> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm >> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und >> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum >> verifizieren unter domainc.de zu finden ist. Die User der Domains >> könnten dann zwar keine individuellen Einstellungen haben, aber ich >> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? >> >> Danke, >> Hajo >> > From gnitzsche at netcologne.de Tue Jul 17 16:14:03 2018 From: gnitzsche at netcologne.de (Gunther Nitzsche) Date: Tue, 17 Jul 2018 16:14:03 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Message-ID: Hi, On 17.07.2018 11:20, Hajo Locke wrote: > Hallo Liste, > > ich plane für eine verschiedenen Domains dkim einzusetzen, die > technischen Tests habe ich bereits absolviert. > Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der > Domains einen eigenen privaten Key erzeugen und Mails der Domains > separat signieren oder arbeite ich besser mit einem einzigen Key für > alle Domains. > Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander Die Sicherheit wird dadurch kaum erhöht - nur das TrustLevel auf Empfängerseite. > aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren > pflegen. Wobei der Pflege-Aufwand sich vornehmlich auf die Erst-Einrichtung konzentriert. > Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm > steigen. Ich könnte Mails von domaina.de und domainb.de signieren und > dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum > verifizieren unter domainc.de zu finden ist. Die User der Domains > könnten dann zwar keine individuellen Einstellungen haben, aber ich > müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? Das geht, wird aber tatsächlich von bestimmten Empfängern "schwächer" bewertet (scoring) als passende Einträge.  Wird eine Domain (domaina) für Spamversand missbraucht, sinkt dadurch der Trustlevel nicht nur von domaina, sondern auch von domainc - und damit auch von domainb.  Bei separaten keys wären domainb (und domainc) nicht betroffen. Ich empfehle separate keys pro Domain. Just my 2 cent :-) Gruß Gunther > > Danke, > Hajo > NetCologne Systemadministration -- Netcologne Gesellschaft für Telekommunikation mbH Am Coloneum 9 ; 50829 Köln Geschäftsführer: Timo von Lepel, Mario Wilhelm Vorsitzender des Aufsichtsrates: Dr. Andreas Cerbe HRB 25580, AG Köln From andreas.schulze at datev.de Tue Jul 17 21:40:38 2018 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 17 Jul 2018 21:40:38 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Message-ID: Am 17.07.2018 um 11:20 schrieb Hajo Locke: > Hallo Liste, > > ich plane für eine verschiedenen Domains dkim einzusetzen, die > technischen Tests habe ich bereits absolviert. > Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der > Domains einen eigenen privaten Key erzeugen und Mails der Domains > separat signieren oder arbeite ich besser mit einem einzigen Key für > alle Domains. > Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander > aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren > pflegen. > Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm > steigen. Ich könnte Mails von domaina.de und domainb.de signieren und > dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum > verifizieren unter domainc.de zu finden ist. Die User der Domains > könnten dann zwar keine individuellen Einstellungen haben, aber ich > müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu benutzen. DKIM-Keys kosten nichts. DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit einer TestDomain üben. Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch vorher sehr genau geübt sein. Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber wenigstens Empfehlen möchte ich einen Key pro Domain... Andreas From Hajo.Locke at gmx.de Wed Jul 18 16:12:13 2018 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 18 Jul 2018 16:12:13 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Message-ID: Hallo, Am 17.07.2018 um 16:14 schrieb Gunther Nitzsche: > Hi, > > On 17.07.2018 11:20, Hajo Locke wrote: >> Hallo Liste, >> >> ich plane für eine verschiedenen Domains dkim einzusetzen, die >> technischen Tests habe ich bereits absolviert. >> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der >> Domains einen eigenen privaten Key erzeugen und Mails der Domains >> separat signieren oder arbeite ich besser mit einem einzigen Key für >> alle Domains. >> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander > Die Sicherheit wird dadurch kaum erhöht - nur das TrustLevel auf > Empfängerseite. > >> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren >> pflegen. > Wobei der Pflege-Aufwand sich vornehmlich auf die Erst-Einrichtung > konzentriert. > >> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm >> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und >> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum >> verifizieren unter domainc.de zu finden ist. Die User der Domains >> könnten dann zwar keine individuellen Einstellungen haben, aber ich >> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? > Das geht, wird aber tatsächlich von bestimmten Empfängern "schwächer" > bewertet (scoring) > als passende Einträge. > Wird eine Domain (domaina) für Spamversand missbraucht, sinkt dadurch > der Trustlevel nicht nur von > domaina, sondern auch von domainc - und damit auch von domainb. > Bei separaten keys wären domainb (und domainc) nicht betroffen. > > Ich empfehle separate keys pro Domain. Hmm, so etwas hätte ich nicht erwartet und spricht für separate Keys. Ich werde das mal so empfehlen. > > Just my 2 cent :-) > > Gruß > Gunther > >> Danke, >> Hajo >> > > NetCologne Systemadministration Danke, Hajo From Hajo.Locke at gmx.de Wed Jul 18 16:16:21 2018 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 18 Jul 2018 16:16:21 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> Message-ID: <05550caa-1d27-4ea9-bcd0-6552b176d268@gmx.de> Hallo, Am 17.07.2018 um 21:40 schrieb Andreas Schulze: > Am 17.07.2018 um 11:20 schrieb Hajo Locke: >> Hallo Liste, >> >> ich plane für eine verschiedenen Domains dkim einzusetzen, die >> technischen Tests habe ich bereits absolviert. >> Mir stellt sich da aktuell eine andere Frage. Sollte ich für jede der >> Domains einen eigenen privaten Key erzeugen und Mails der Domains >> separat signieren oder arbeite ich besser mit einem einzigen Key für >> alle Domains. >> Vorteil verschiedener Keys wäre die erhöhte Sicherheit untereinander >> aber ich müsste verschiedene DNS Einträge und verschiedene Selektoren >> pflegen. >> Mit einem einzigen Key würde die Verwaltbarkeit für mich enorm >> steigen. Ich könnte Mails von domaina.de und domainb.de signieren und >> dabei im dkim hinterlegen, dass öffentlicher Schlüssel zum >> verifizieren unter domainc.de zu finden ist. Die User der Domains >> könnten dann zwar keine individuellen Einstellungen haben, aber ich >> müsste alles nur in einfacher Ausführung pflegen. Was meint Ihr? > > ich würde dringend empfehlen, pro Domain einen eigenen DKIM-Key zu > benutzen. > DKIM-Keys kosten nichts. > DKIM Keyrotation pro Domain ist z.B. entspannter Du kannst vorab mit > einer TestDomain üben. Danke, ich werde auch wegen Gunthers Antwort separate Keys für die Domains empfehlen, die Programmierer sind bereits informiert. Schlüsseltausch sehe ich gar nicht so kritisch, eventuell hab ich ja was übersehen. Ich erzeuge einen neuen Key und einen neuen Separator im DNS für den öffentlichen Bestandteil. Die neuen Daten veröffentliche ich im DNS, den alten Separator kann ich dabei ja bestehen lassen. Nach ein paar Stunden verwende ich den neuen privaten Schlüssel für opendkim und dieser signiert nun damit. Eingehende Mails sollten dann wieder vollständig prüfbar sein. Nach Zeit x kann ich dann den alten Separator irgendwann man entfernen. Das müsste es doch gewesen sein? > Wenn alle Domains den gleichen Key nutzen, will ein Schlüsseltausch > vorher sehr genau geübt sein. > > Ich kann Dir jetzt nicht unbedingt "das Killerargument" nennen, aber > wenigstens Empfehlen möchte ich einen Key pro Domain... > > Andreas > > > Danke, Hajo From andreas.schulze at datev.de Thu Jul 19 07:20:57 2018 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 19 Jul 2018 07:20:57 +0200 Subject: dkim - Aufwand vs. Nutzen In-Reply-To: <05550caa-1d27-4ea9-bcd0-6552b176d268@gmx.de> References: <6f637176-8127-4693-e512-0aae812bbe6a@gmx.de> <05550caa-1d27-4ea9-bcd0-6552b176d268@gmx.de> Message-ID: <64eabbfd-88f3-6329-9976-2f81ffb247dd@datev.de> Am 18.07.2018 um 16:16 schrieb Hajo Locke: > Schlüsseltausch sehe ich gar nicht so kritisch, eventuell hab ich ja was übersehen. https://www.m3aawg.org/documents/en/m3aawg-dkim-key-rotation-best-common-practices bestätigt im wesentlichen Deinen Plan :-) -- A. Schulze DATEV eG From jumper99 at gmx.de Fri Jul 20 10:41:02 2018 From: jumper99 at gmx.de (Helmut Schneider) Date: Fri, 20 Jul 2018 08:41:02 +0000 (UTC) Subject: mynetworks Message-ID: Hallo, [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf mynetworks mynetworks = 192.168.124.36/32 [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf mynetworks_style mynetworks_style = subnet [helmut at BSDHelmut ~]$ grep mynetworks /usr/local/etc/postfix-out/main.cf mynetworks_style = subnet [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf inet_interfaces inet_interfaces = 192.168.124.36 [helmut at BSDHelmut ~]$ Ich hätte für mynetworks [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf -d mynetworks mynetworks = 192.168.124.0/24 192.168.124.36/32 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 [::1]/128 [helmut at BSDHelmut ~]$ erwartet. Was hab ich übersehen? [helmut at BSDHelmut ~]$ postconf -d | grep mail_version mail_version = 3.3.1 [helmut at BSDHelmut ~]$ Danke. From Ralf.Hildebrandt at charite.de Fri Jul 20 11:04:18 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 20 Jul 2018 11:04:18 +0200 Subject: [ext] mynetworks In-Reply-To: References: Message-ID: <20180720090418.GD9579@charite.de> * Helmut Schneider : > Hallo, > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf mynetworks > mynetworks = 192.168.124.36/32 postfix-out nutzt "mynetworks = 192.168.124.36/32" > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > mynetworks_style > mynetworks_style = subnet Das ist egal, weil "mynetworks = 192.168.124.36/32" explizit gesetzt > [helmut at BSDHelmut ~]$ grep mynetworks /usr/local/etc/postfix-out/main.cf > mynetworks_style = subnet S.o. > [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf inet_interfaces > inet_interfaces = 192.168.124.36 Postfix horcht nur auf 192.168.124.36 > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf -d mynetworks > mynetworks = 192.168.124.0/24 192.168.124.36/32 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 [::1]/128 Das ist der Default, du hast aber explizit "mynetworks = 192.168.124.36/32" gesetzt. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jul 20 11:04:18 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 20 Jul 2018 11:04:18 +0200 Subject: [ext] mynetworks In-Reply-To: References: Message-ID: <20180720090418.GD9579@charite.de> * Helmut Schneider : > Hallo, > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf mynetworks > mynetworks = 192.168.124.36/32 postfix-out nutzt "mynetworks = 192.168.124.36/32" > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > mynetworks_style > mynetworks_style = subnet Das ist egal, weil "mynetworks = 192.168.124.36/32" explizit gesetzt > [helmut at BSDHelmut ~]$ grep mynetworks /usr/local/etc/postfix-out/main.cf > mynetworks_style = subnet S.o. > [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf inet_interfaces > inet_interfaces = 192.168.124.36 Postfix horcht nur auf 192.168.124.36 > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf -d mynetworks > mynetworks = 192.168.124.0/24 192.168.124.36/32 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 [::1]/128 Das ist der Default, du hast aber explizit "mynetworks = 192.168.124.36/32" gesetzt. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From jumper99 at gmx.de Fri Jul 20 11:06:57 2018 From: jumper99 at gmx.de (Helmut Schneider) Date: Fri, 20 Jul 2018 09:06:57 +0000 (UTC) Subject: [ext] mynetworks References: <20180720090418.GD9579@charite.de> Message-ID: Ralf Hildebrandt wrote: > * Helmut Schneider : > > Hallo, > > > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > > mynetworks mynetworks = 192.168.124.36/32 > > postfix-out nutzt "mynetworks = 192.168.124.36/32" > > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > > mynetworks_style > > mynetworks_style = subnet > > Das ist egal, weil "mynetworks = 192.168.124.36/32" explizit gesetzt [...] > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf -d > > mynetworks mynetworks = 192.168.124.0/24 192.168.124.36/32 > > 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 > > [::1]/128 > > Das ist der Default, du hast aber explizit "mynetworks = > 192.168.124.36/32" gesetzt. Eben nicht, das ist es ja: [helmut at BSDHelmut ~]$ sudo grep -ir 'mynetworks ' /usr/local/etc/postfix-out/main.cf [helmut at BSDHelmut ~]$ From michael at linuxfox.de Fri Jul 20 17:54:35 2018 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 20 Jul 2018 17:54:35 +0200 Subject: [ext] mynetworks In-Reply-To: References: <20180720090418.GD9579@charite.de> Message-ID: Hi, mach doch mal ein schnödes: postconf -n | grep mynetworks dann siehst du es doch Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen Am 20.07.18 um 11:06 schrieb Helmut Schneider: > Ralf Hildebrandt wrote: > >> * Helmut Schneider : >>> Hallo, >>> >>> [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf >>> mynetworks mynetworks = 192.168.124.36/32 >> >> postfix-out nutzt "mynetworks = 192.168.124.36/32" >> >>> [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf >>> mynetworks_style >>> mynetworks_style = subnet >> >> Das ist egal, weil "mynetworks = 192.168.124.36/32" explizit gesetzt > [...] >>> [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf -d >>> mynetworks mynetworks = 192.168.124.0/24 192.168.124.36/32 >>> 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 >>> [::1]/128 >> >> Das ist der Default, du hast aber explizit "mynetworks = >> 192.168.124.36/32" gesetzt. > > Eben nicht, das ist es ja: > > [helmut at BSDHelmut ~]$ sudo grep -ir 'mynetworks ' > /usr/local/etc/postfix-out/main.cf > [helmut at BSDHelmut ~]$ > From jumper99 at gmx.de Fri Jul 20 20:46:02 2018 From: jumper99 at gmx.de (Helmut Schneider) Date: Fri, 20 Jul 2018 18:46:02 +0000 (UTC) Subject: [ext] mynetworks References: <20180720090418.GD9579@charite.de> Message-ID: Michael Grundmann wrote: > Am 20.07.18 um 11:06 schrieb Helmut Schneider: > > Ralf Hildebrandt wrote: > > > > > * Helmut Schneider : > > > > Hallo, > > > > > > > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > > > > mynetworks mynetworks = 192.168.124.36/32 > > > > > > postfix-out nutzt "mynetworks = 192.168.124.36/32" > > > > > > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > > > > mynetworks_style > > > > mynetworks_style = subnet > > > > > > Das ist egal, weil "mynetworks = 192.168.124.36/32" explizit > > > gesetzt > > [...] > > > > [helmut at BSDHelmut ~]$ sudo postmulti -i postfix-out -x postconf > > > > -d mynetworks mynetworks = 192.168.124.0/24 192.168.124.36/32 > > > > 127.0.0.0/8 10.0.124.129/32 [fe80::]/64 [2003:ed:2bcf:eb00::]/64 > > > > [::1]/128 > > > > > > Das ist der Default, du hast aber explizit "mynetworks = > > > 192.168.124.36/32" gesetzt. > > > > Eben nicht, das ist es ja: > > > > [helmut at BSDHelmut ~]$ sudo grep -ir 'mynetworks ' > > /usr/local/etc/postfix-out/main.cf > > [helmut at BSDHelmut ~]$ > > mach doch mal ein schnödes: > postconf -n | grep mynetworks > dann siehst du es doch [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf -n | grep mynetworks mynetworks_style = subnet smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated check_client_access hash:/usr/local/etc/postfix-out/client_access warn_if_reject reject_unknown_client_hostname warn_if_reject reject_unknown_reverse_client_hostname smtpd_helo_restrictions = permit_mynetworks permit_sasl_authenticated check_helo_access hash:/usr/local/etc/postfix-out/helo_access reject_non_fqdn_helo_hostname reject_invalid_helo_hostname warn_if_reject reject_unknown_helo_hostname smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf -n mynetworks [helmut at BSDHelmut ~]$ postmulti -i postfix-out -x postconf mynetworks mynetworks = 192.168.124.36/32 [helmut at BSDHelmut ~]$ From stickybit at myhm.de Wed Jul 25 11:59:45 2018 From: stickybit at myhm.de (Andre) Date: Wed, 25 Jul 2018 11:59:45 +0200 Subject: Username bei SASL LOGIN authentication failed Message-ID: <1007231b-f6c1-fff3-7652-52b890cf3e7b@myhm.de> Hallo, bei erfolgreichen SMTP Logins ist im Maillog der betroffene SMTP-User sichtbar: sasl_method=LOGIN, sasl_username=mail at example.com schlägt der Login fehl 2018-07-25T11:37:01+02:00 mail:warning auth/smtpd[32490]: warning: unknown[XX.XXX.XXX.XXX]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 UGFzc3dvcmQ6 dekodiert bedeutet "Password". Ich hätte an der Stelle den SMTP-Usernamen erwartet. Lässt sich der Username auch bei fehlgeschlagenen Logins sichtbar machen? Hier die relevanten Konfig-Zeilen: main.cf: smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes dovecot.conf auth_mechanisms = plain login service auth { unix_listener /var/spool/postfix-multi/auth/private/auth { mode = 0660 user = postfix group = postfix } } -- LG Andre From ffiene at veka.com Wed Jul 25 15:12:43 2018 From: ffiene at veka.com (Frank Fiene) Date: Wed, 25 Jul 2018 15:12:43 +0200 Subject: Umschreiben der Sender-Mailadresse Message-ID: <20AC4C68-18AD-41EE-A594-389DF76C16C5@veka.com> Moin! Ich habe ein ungewöhnliches Problem: Ein Kollege hat sein SMS-Gateway so konfiguriert, dass eine bestimme Telefonnummer nur SMS von bestimmten Mailadressen weitersendet. Es geht um Unwetterwarnungen. Die Mails kommen leider von unterschiedlichen Absendern (warum auch immer) und ich möchte gerne die Absendeadresse aller Senderaddressen für eine bestimmte Empfängeradresse auf eine Adresse umschreiben und an das SMS-Gateway weiterleiten. Geht so etwas überhaupt mit Postfix? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Wed Jul 25 15:25:20 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 25 Jul 2018 15:25:20 +0200 Subject: [ext] Umschreiben der Sender-Mailadresse In-Reply-To: <20AC4C68-18AD-41EE-A594-389DF76C16C5@veka.com> References: <20AC4C68-18AD-41EE-A594-389DF76C16C5@veka.com> Message-ID: <20180725132520.GM23752@charite.de> * Frank Fiene : > Moin! > > Ich habe ein ungewöhnliches Problem: > > Ein Kollege hat sein SMS-Gateway so konfiguriert, dass eine bestimme Telefonnummer nur SMS von bestimmten Mailadressen weitersendet. > > Es geht um Unwetterwarnungen. Die Mails kommen leider von unterschiedlichen Absendern (warum auch immer) und ich möchte gerne die Absendeadresse aller Senderaddressen für eine bestimmte Empfängeradresse auf eine Adresse umschreiben und an das SMS-Gateway weiterleiten. > > Geht so etwas überhaupt mit Postfix? Also die el-cheapo Variante: Mail annehmen, via script (z.B. via .forward aufgerufen) verhackstücken und neu senden mit neuem Absender... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ae at ae-online.de Thu Jul 26 08:11:54 2018 From: ae at ae-online.de (Andreas Ernst) Date: Thu, 26 Jul 2018 08:11:54 +0200 Subject: Username bei SASL LOGIN authentication failed In-Reply-To: <1007231b-f6c1-fff3-7652-52b890cf3e7b@myhm.de> References: <1007231b-f6c1-fff3-7652-52b890cf3e7b@myhm.de> Message-ID: Am 25.07.18 um 11:59 schrieb Andre: > Hallo, > > bei erfolgreichen SMTP Logins ist im Maillog der betroffene SMTP-User > sichtbar: > > sasl_method=LOGIN, sasl_username=mail at example.com > > schlägt der Login fehl > > 2018-07-25T11:37:01+02:00 mail:warning auth/smtpd[32490]: warning: > unknown[XX.XXX.XXX.XXX]: SASL LOGIN authentication failed: UGFzc3dvcmQ6 > > UGFzc3dvcmQ6 dekodiert bedeutet "Password". Ich hätte an der Stelle den > SMTP-Usernamen erwartet. Lässt sich der Username auch bei > fehlgeschlagenen Logins sichtbar machen? /etc/dovecot/conf.d/10-logging.conf auth_verbose = yes So habe ich das gemacht. Beste Grüße Andreas -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From ffiene at veka.com Thu Jul 26 11:54:13 2018 From: ffiene at veka.com (Frank Fiene) Date: Thu, 26 Jul 2018 11:54:13 +0200 Subject: [ext] Umschreiben der Sender-Mailadresse In-Reply-To: <20180725132520.GM23752@charite.de> References: <20AC4C68-18AD-41EE-A594-389DF76C16C5@veka.com> <20180725132520.GM23752@charite.de> Message-ID: OK, ja, genau das wollte ich eigentlich umgehen. Dann werde ich die Mails an unser Backend weitergeben und die sollen das forwarden. Danke, Ralf! > Am 25.07.2018 um 15:25 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Moin! >> >> Ich habe ein ungewöhnliches Problem: >> >> Ein Kollege hat sein SMS-Gateway so konfiguriert, dass eine bestimme Telefonnummer nur SMS von bestimmten Mailadressen weitersendet. >> >> Es geht um Unwetterwarnungen. Die Mails kommen leider von unterschiedlichen Absendern (warum auch immer) und ich möchte gerne die Absendeadresse aller Senderaddressen für eine bestimmte Empfängeradresse auf eine Adresse umschreiben und an das SMS-Gateway weiterleiten. >> >> Geht so etwas überhaupt mit Postfix? > > Also die el-cheapo Variante: Mail annehmen, via script (z.B. via > .forward aufgerufen) verhackstücken und neu senden mit neuem Absender... > > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From risse at citkomm.de Sun Jul 29 17:33:44 2018 From: risse at citkomm.de (Marc Risse) Date: Sun, 29 Jul 2018 17:33:44 +0200 Subject: OffTopic - Spammer mit Honeypot-Adressen versorgen Message-ID: <5f22f4e9-6273-6b02-bf7b-5499c142a8a3@citkomm.de> Hallo Liste, ich habe mir mit postfix+rspamd eine Spamfalle gebaut. Jetzt möchte ich die entsprechenden Adressen verbreiten. Habe bereits auf ein paar Webseiten die Mailadressen eingebaut, auch in ein paar Foren gepostet. Habt ihr Tipps, wo ich die Adressen verbreiten kann? Wo habe ich wohl am schnellsten Erfolg? Kennt ihr Shops oder Ähnliches, die die Adressen heutzutage noch verkaufen? Ich bin gespannt VG Marc -- This is a honeypot spam testing email address sales at nfs-klebe.de or info at nfs-klebe.de as well as common names like service at nfs-klebe.de or mailto:mohammed.lee at nfs-klebe.de From sebastian at debianfan.de Sun Jul 29 17:55:53 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 29 Jul 2018 17:55:53 +0200 Subject: OffTopic - Spammer mit Honeypot-Adressen versorgen In-Reply-To: <5f22f4e9-6273-6b02-bf7b-5499c142a8a3@citkomm.de> References: <5f22f4e9-6273-6b02-bf7b-5499c142a8a3@citkomm.de> Message-ID: <79D480DB-68AF-4A01-A849-8FBEDCA857D5@debianfan.de> Usenet z.B. Gewinnspiele > Am 29.07.2018 um 17:33 schrieb Marc Risse : > > Hallo Liste, > > ich habe mir mit postfix+rspamd eine Spamfalle gebaut. Jetzt möchte ich die entsprechenden Adressen verbreiten. Habe bereits auf ein paar Webseiten die Mailadressen eingebaut, auch in ein paar Foren gepostet. Habt ihr Tipps, wo ich die Adressen verbreiten kann? Wo habe ich wohl am schnellsten Erfolg? Kennt ihr Shops oder Ähnliches, die die Adressen heutzutage noch verkaufen? > > Ich bin gespannt > > VG > Marc > > > > -- > This is a honeypot spam testing email address sales at nfs-klebe.de or info at nfs-klebe.de as well as common names like service at nfs-klebe.de or mailto:mohammed.lee at nfs-klebe.de > > From gjn at gjn.priv.at Sun Jul 29 17:54:28 2018 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Sun, 29 Jul 2018 17:54:28 +0200 Subject: Postfix 3.x & dovecot 3.x Message-ID: <4636439.V6TeZgo53M@techz> Hallo Liste, ich werde mir einen Testserver mit den 3er Versionen aufsetzen, gibt es dabei irgendwelche Fallen die man genauer beachten sollte? Oder hat jemand noch Hinweise, die zu beachten sind ? Ich glaube schön langsam wird es Zeit das postfixbuch neu aufzulegen auch das dovecotbuch könnte den 3 Versionen angepasst werden :-)) Aber im Ernst gibt es noch Probleme mit den neuen Versionen ?? Danke für jeden Hinweis, -- mit freundlichen Grüssen / best regards, Günther J. Niederwimmer From ffiene at veka.com Tue Jul 31 11:58:00 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 31 Jul 2018 11:58:00 +0200 Subject: Problem mit lokaler Firewall Message-ID: Moin! Neue Frage: Ich habe auf unserem ausgehenden Mailgateway lokale Firewallregeln, weil da außer mir niemand aus dem Internet drauf zugreifen muss (IMAP, SMTP). Ich habe insbesondere Listen von IP-Ranges aus Russland und China in diesen Regeln. Jetzt habe ich einen Fall aus England, da hatte ich auch ein Netz gesperrt, wenn wir zu dem Shared Hoster (da liegen die Mailserver von einer Handvoll Kunden und Lieferanten) Mails schicken, bleiben die da mit "451 - temporary Problem? hängen. Das sieht aus wie Greylisting. Mir ist aber neu, dass Greylisting eine Verbindung zurück zu unserem ausgehenden Mailserver machen wollen würde? Was wäre, wenn das mit NAT rausgehen würde? Oder ist das grundsätzlich keine gute Idee, eingehenden Verkehr auf dem ausgehenden Gateway zu blockieren? Oder hat der Shared Hoster einfach nur ein ganz anderes Problem? Bin etwas verwirrt. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From thomas at plant.systems Tue Jul 31 12:04:10 2018 From: thomas at plant.systems (Thomas Plant) Date: Tue, 31 Jul 2018 12:04:10 +0200 Subject: =?UTF-8?Q?OffTopic:_Mails_mit_Text_und_verschl=c3=bcsseltem_Part=3f?= Message-ID: <47d657b5-b98e-0cc0-abeb-4b6c81d5d45c@plant.systems> Hallo Mailgurus, ich habe heute aus dem Spamfilterlog eine Mail geklaubt wo unser Rspamd einer Mail heftig Spampunkte verpasst hat. Mit der Begründung das anscheinend ein Teil mit smime verschlüsselt ist und ein Teil reinen Text beinhaltet. Frage: ist so etwas überhaupt RFC konform/gültig? Oder soll ich dem Symbol "BOGUS_ENCRYPTED_AND_TEXT" einen Dämpfer verpassen? Also weniger Punkte vergeben lassen? Grüße, Thomas From stse+postfixbuch at fsing.rootsland.net Tue Jul 31 12:28:59 2018 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Tue, 31 Jul 2018 12:28:59 +0200 Subject: OffTopic: Mails mit =?iso-8859-1?Q?Tex?= =?iso-8859-1?Q?t_und_verschl=FCsseltem?= Part? In-Reply-To: <47d657b5-b98e-0cc0-abeb-4b6c81d5d45c@plant.systems> References: <47d657b5-b98e-0cc0-abeb-4b6c81d5d45c@plant.systems> Message-ID: <20180731T122515.GA.f7059.stse@fsing.rootsland.net> On Di, Jul 31, 2018 at 12:04:10 +0200, Thomas Plant wrote: >ich habe heute aus dem Spamfilterlog eine Mail geklaubt wo unser Rspamd >einer Mail heftig Spampunkte verpasst hat. Mit der Begründung das >anscheinend ein Teil mit smime verschlüsselt ist und ein Teil reinen >Text beinhaltet. > >Frage: ist so etwas überhaupt RFC konform/gültig? Oder soll ich dem >Symbol "BOGUS_ENCRYPTED_AND_TEXT" einen Dämpfer verpassen? Also >weniger Punkte vergeben lassen? Warum sollte eine solche Mischung nicht RFC-konform sein? Eine verschlüsselte oder signierte Mail ist auch nur ein MIME-Konstrukt, der erweitert werden kann. Du könntest z.B. eine verschlüsselte Mail versenden, und dein Server baut daraus ein neues MIME-Konstrukt und hängt noch eine unverschlüsselte ?Vertraulichkeitsinformation? an. Eine Mischung aus signierter/unsignierter Mail sehe ich übrigens häufiger z.B. bei Mailinglisten, wenn die ML-Software an eine signierte Mail noch einen Footer anhängt. Shade and sweet water! Stephan -- | Public Keys: http://fsing.rootsland.net/~stse/keys.html | -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5138 bytes Beschreibung: nicht verfügbar URL : From news at amaltea.de Tue Jul 31 12:54:27 2018 From: news at amaltea.de (Paul) Date: Tue, 31 Jul 2018 12:54:27 +0200 Subject: Problem mit lokaler Firewall In-Reply-To: References: Message-ID: Am 31.07.2018 um 11:58 schrieb Frank Fiene: > Moin! Neue Frage: > > Ich habe auf unserem ausgehenden Mailgateway lokale Firewallregeln, weil da außer mir niemand aus dem Internet drauf zugreifen muss (IMAP, SMTP). > > Ich habe insbesondere Listen von IP-Ranges aus Russland und China in diesen Regeln. > > Jetzt habe ich einen Fall aus England, da hatte ich auch ein Netz gesperrt, wenn wir zu dem Shared Hoster (da liegen die Mailserver von einer Handvoll Kunden und Lieferanten) Mails schicken, bleiben die da mit "451 - temporary Problem? hängen. Das sieht aus wie Greylisting. > > Mir ist aber neu, dass Greylisting eine Verbindung zurück zu unserem ausgehenden Mailserver machen wollen würde? Nur ein Gedanke, weil ich auch mal darüber gestolpert bin. Eventuell führt der Zielserver senderaddressverifying durch? D.h. bevor du einliefern darfst, prüft der Zielserver, ob der Absender eine Mail theoretisch annehmen würde. Im Standardfall müsste er das wiederum an deinem MX machen, nicht am Gateway. Wenn du an der Stelle Greylisting einsetzt, dann kommt es zu Verzögerungen. > Was wäre, wenn das mit NAT rausgehen würde? Ich schätze, dass das irrelevant ist. > Oder ist das grundsätzlich keine gute Idee, eingehenden Verkehr auf dem ausgehenden Gateway zu blockieren? Aus meiner Sicht spricht nichts dagegen. Das hier vielleicht noch beachten: https://www.heinlein-support.de/blog/mailserver/postfix-timeout-after-data-lost-connection/ > Oder hat der Shared Hoster einfach nur ein ganz anderes Problem? Die Konstellation ist ungünstig. Schau auf dem MX wer anfragt und befreie ihn vom Greylisting. > Bin etwas verwirrt. Hitze erschwert das denken... jedenfalls ist es bei uns in PLZ 3 wieder mal heiß und falls ich Quatsch geschrieben habe, liegt es nur daran. ;-) Gruß, Paul > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > From ffiene at veka.com Tue Jul 31 15:23:45 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 31 Jul 2018 15:23:45 +0200 Subject: Problem mit lokaler Firewall In-Reply-To: References: Message-ID: <9A6FDD31-8881-4442-B78B-EE94321D1CCD@veka.com> Danke für die schnelle Reaktion. > Am 31.07.2018 um 12:54 schrieb Paul : > > Am 31.07.2018 um 11:58 schrieb Frank Fiene: >> Moin! Neue Frage: >> >> Ich habe auf unserem ausgehenden Mailgateway lokale Firewallregeln, weil da außer mir niemand aus dem Internet drauf zugreifen muss (IMAP, SMTP). >> >> Ich habe insbesondere Listen von IP-Ranges aus Russland und China in diesen Regeln. >> >> Jetzt habe ich einen Fall aus England, da hatte ich auch ein Netz gesperrt, wenn wir zu dem Shared Hoster (da liegen die Mailserver von einer Handvoll Kunden und Lieferanten) Mails schicken, bleiben die da mit "451 - temporary Problem? hängen. Das sieht aus wie Greylisting. >> >> Mir ist aber neu, dass Greylisting eine Verbindung zurück zu unserem ausgehenden Mailserver machen wollen würde? > > Nur ein Gedanke, weil ich auch mal darüber gestolpert bin. > > Eventuell führt der Zielserver senderaddressverifying durch? > > D.h. bevor du einliefern darfst, prüft der Zielserver, ob der Absender > eine Mail theoretisch annehmen würde. > Im Standardfall müsste er das wiederum an deinem MX machen, nicht am > Gateway. > Wenn du an der Stelle Greylisting einsetzt, dann kommt es zu Verzögerungen. Nein, bei den eingehenden sehe ich keine Address Verification aus dem IP-Range, nur normal eingehende Mails. > Was wäre, wenn das mit NAT rausgehen würde? > Ich schätze, dass das irrelevant ist. > >> Oder ist das grundsätzlich keine gute Idee, eingehenden Verkehr auf dem ausgehenden Gateway zu blockieren? > Aus meiner Sicht spricht nichts dagegen. > Das hier vielleicht noch beachten: > https://www.heinlein-support.de/blog/mailserver/postfix-timeout-after-data-lost-connection/ Nein, ICMP geht natürlich durch. >> Oder hat der Shared Hoster einfach nur ein ganz anderes Problem? > Die Konstellation ist ungünstig. Schau auf dem MX wer anfragt und > befreie ihn vom Greylisting. > >> Bin etwas verwirrt. > > Hitze erschwert das denken... jedenfalls ist es bei uns in PLZ 3 wieder > mal heiß und falls ich Quatsch geschrieben habe, liegt es nur daran. ;-) Dito, hier im Münsterland ist es schon seit Wochen so. Ich habe mal den Shared Hoster angeschrieben, vl. bieten die einen Standard für Mailserver an und die haben alle gerade ein Problem. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL :