From juergen.gmach at apis.de Wed May 2 14:12:07 2018 From: juergen.gmach at apis.de (=?UTF-8?Q?J=C3=BCrgen_Gmach?=) Date: Wed, 02 May 2018 14:12:07 +0200 Subject: E-Mail an Domain ohne MX Message-ID: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> Hi, eine Kollegin hatte vor Tagen eine E-Mail an basf.de geschrieben, die erst nach drei Tagen mit folgender Meldung zurückkam: Diagnostic-Code: X-Postfix; connect to basf.de[141.6.7.15]:25: Connection timed out dig basf.de MX zeigt mir, dass basf.de gar keinen MX konfiguriert hat. Was kann der Grund sein, dass unser Postfix erst nach drei Tagen einen Timeout liefert? Und nicht sofort einen Fehler meldet? postconf -n ist im Anhang Viele Grüße, -- Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545 APIS Informationstechnologien GmbH . https://www.apis.de Gewerbepark A 13, 93086 Wörth/Donau . Deutschland Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684) Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck -------------- nächster Teil -------------- address_verify_map = btree:/var/spool/postfix/data/verify alias_database = btree:/etc/mail/local-aliases, btree:/etc/mail/aliases alias_maps = $alias_database bounce_queue_lifetime = 1d bounce_template_file = /etc/postfix/bounce.cf broken_sasl_auth_clients = yes canonical_classes = envelope_sender, envelope_recipient canonical_maps = btree:/etc/mail/canonical, btree:/etc/mail/canonical-template, pcre:/etc/mail/canonical.pcre command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 delay_warning_time = 4h home_mailbox = .maildir/ html_directory = no in_flow_delay = 1s inet_interfaces = $myhostname, localhost, bliss01.gocept.net inet_protocols = all lmtp_connect_timeout = 10m local_header_rewrite_clients = permit_inet_interfaces, permit_sasl_authenticated, permit_mynetworks mail_owner = postfix mailbox_command = procmail -f "$SENDER" -a "$EXTENSION" -d "$USER" mailbox_size_limit = $message_size_limit mailman_destination_recipient_limit = 1 mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man maximal_queue_lifetime = 3d message_size_limit = 102400000 mydestination = $myhostname, localhost.$mydomain, localhost, bliss01.gocept.net, bliss01 myhostname = mail.apis.de mynetworks = /etc/mail/mynetworks, btree:/etc/mail/external-networks newaliases_path = /usr/bin/newaliases notify_classes = software, 2bounce, resource queue_directory = /var/spool/postfix rbl_reply_maps = btree:/etc/mail/rbl-reply readme_directory = no recipient_delimiter = + relay_domains = /etc/mail/relay-domains sample_directory = /etc/postfix sendmail_path = /usr/sbin/sendmail setgid_group = postdrop smtp_bind_address = 195.62.126.104 smtp_bind_address6 = 2a02:248:101:62::10d9 smtp_connect_timeout = 3m smtp_defer_if_no_mx_address_found = yes smtp_host_lookup = dns, native smtp_sasl_security_options = noanonymous, noplaintext smtp_sasl_tls_security_options = noanonymous smtpd_client_connection_count_limit = 7 smtpd_client_connection_rate_limit = ${stress?10}${stress:100} smtpd_client_message_rate_limit = ${stress?100}${stress:1000} smtpd_data_restrictions = reject_unauth_pipelining smtpd_hard_error_limit = ${stress?4}${stress:20} smtpd_helo_required = yes smtpd_junk_command_limit = ${stress?5}${stress:100} smtpd_policy_service_max_idle = 60s smtpd_policy_service_timeout = 180s smtpd_proxy_filter = inet:localhost:10024 smtpd_proxy_timeout = 10m smtpd_recipient_restrictions = check_client_access btree:/etc/mail/access-client, check_helo_access btree:/etc/mail/access-helo, check_sender_access btree:/etc/mail/access-sender, check_recipient_access btree:/etc/mail/access-recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_mynetworks, reject_invalid_helo_hostname, reject_rbl_client zen.spamhaus.org=127.0.0.10, reject_rbl_client zen.spamhaus.org=127.0.0.11, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, check_policy_service inet:127.0.0.1:12525, check_policy_service inet:127.0.0.1:10030, reject_unverified_recipient, permit_mx_backup, reject_unauth_destination, permit smtpd_reject_footer = For assistance, call +49 9482 94 15 0 or write to info at apis.de smtpd_reject_unlisted_recipient = yes smtpd_reject_unlisted_sender = no smtpd_relay_restrictions = smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_soft_error_limit = ${stress?2}${stress:10} smtpd_timeout = ${stress?10s}${stress:120s} smtpd_tls_cert_file = /srv/bliss/deployment/work/nginxmail/mail.apis.de.crt smtpd_tls_dh1024_param_file = /etc/ssl/dhparams.pem smtpd_tls_key_file = /srv/bliss/deployment/work/nginxmail/mail.apis.de.key smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_use_tls = yes strict_rfc821_envelopes = no transport_maps = btree:/etc/mail/transport unknown_local_recipient_reject_code = 550 unverified_recipient_reject_code = 550 virtual_alias_maps = btree:/etc/mail/virtual-aliases virtual_mailbox_domains = mysql:/srv/bliss/deployment/work/postfix/mysql-virtual-mailbox-domains.cf virtual_mailbox_maps = mysql:/srv/bliss/deployment/work/postfix/mysql-virtual-mailbox-maps.cf virtual_transport = lmtp:unix:private/dovecot-lmtp From wn at neessen.net Wed May 2 14:30:54 2018 From: wn at neessen.net (Winfried Neessen) Date: Wed, 2 May 2018 14:30:54 +0200 Subject: E-Mail an Domain ohne MX In-Reply-To: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> References: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> Message-ID: Hi, Am 02.05.2018 um 14:12 schrieb Jürgen Gmach : > eine Kollegin hatte vor Tagen eine E-Mail an basf.de geschrieben, die erst nach drei Tagen mit folgender Meldung zurückkam: > Diagnostic-Code: X-Postfix; connect to basf.de[141.6.7.15]:25: Connection timed out > > dig basf.de MX zeigt mir, dass basf.de gar keinen MX konfiguriert hat. > > Was kann der Grund sein, dass unser Postfix erst nach drei Tagen einen Timeout liefert? Und nicht sofort einen Fehler meldet? Per RFC ist Postfix angewiesen, wenn kein MX vorliegt, zu versuchen die Mail an den A-Record auszuliefern. basf.de scheint die FW so zu konfiguriert haben, dass kein DROP auf Port 25 geschickt wird, sondern die Verbindung einfach keine Antwort bekommt, so das der Verbindungsaufbau irgendwann in einem Timeout endet. Fuer Postfix heisst das also, dass ein Problem bei der Auslieferung vorlag und er es nochmal versuchen wird. Und die "maximal_queue_lifetime" steht in Deiner Config auf "3d" - sprich 3 Tage. Daher kam der Bounce wegen der Nichtzustellung nach 3 Tagen. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Wed May 2 14:32:43 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 2 May 2018 14:32:43 +0200 Subject: [ext] E-Mail an Domain ohne MX In-Reply-To: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> References: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> Message-ID: <20180502123243.GF11235@charite.de> * Jürgen Gmach : > Hi, > > eine Kollegin hatte vor Tagen eine E-Mail an basf.de geschrieben, die erst > nach drei Tagen mit folgender Meldung zurückkam: > > Diagnostic-Code: X-Postfix; connect to basf.de[141.6.7.15]:25: Connection > timed out Jo, normal. > Was kann der Grund sein, dass unser Postfix erst nach drei Tagen einen > Timeout liefert? Und nicht sofort einen Fehler meldet? Wenn kein MX existiert, wird der A Record genommen (siehe oben), dort ist kein SMTP offen, immer wieder timeout, drei Tage versuchen, Ende. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Wed May 2 14:33:18 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 2 May 2018 14:33:18 +0200 Subject: [ext] Re: E-Mail an Domain ohne MX In-Reply-To: References: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> Message-ID: <20180502123318.GG11235@charite.de> * Winfried Neessen : > Hi, > > Am 02.05.2018 um 14:12 schrieb Jürgen Gmach : > > > eine Kollegin hatte vor Tagen eine E-Mail an basf.de geschrieben, die erst nach drei Tagen mit folgender Meldung zurückkam: > > Diagnostic-Code: X-Postfix; connect to basf.de[141.6.7.15]:25: Connection timed out > > > > dig basf.de MX zeigt mir, dass basf.de gar keinen MX konfiguriert hat. > > > > Was kann der Grund sein, dass unser Postfix erst nach drei Tagen einen Timeout liefert? Und nicht sofort einen Fehler meldet? > > Per RFC ist Postfix angewiesen, wenn kein MX vorliegt, zu versuchen die Mail an den A-Record > auszuliefern. basf.de scheint die FW so zu konfiguriert haben, dass kein DROP auf Port 25 geschickt > wird, sondern die Verbindung einfach keine Antwort bekommt, so das der Verbindungsaufbau > irgendwann in einem Timeout endet. Das ist was drop macht :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From wn at neessen.net Wed May 2 14:35:22 2018 From: wn at neessen.net (Winfried Neessen) Date: Wed, 2 May 2018 14:35:22 +0200 Subject: [ext] Re: E-Mail an Domain ohne MX In-Reply-To: <20180502123318.GG11235@charite.de> References: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> <20180502123318.GG11235@charite.de> Message-ID: Am 02.05.2018 um 14:33 schrieb Ralf Hildebrandt : > Das ist was drop macht :) > REJECT natuerlich ;) -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From maegger at ee.ethz.ch Wed May 2 14:34:12 2018 From: maegger at ee.ethz.ch (Matthias Egger) Date: Wed, 2 May 2018 14:34:12 +0200 Subject: E-Mail an Domain ohne MX In-Reply-To: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> References: <74f0b1b76a4c7a019063fabd6f3ad23d@apis-intern.com> Message-ID: <98bfa5dc-41a4-306a-7349-b458cd725db1@ee.ethz.ch> Hallo Jürgen, On 05/02/2018 02:12 PM, Jürgen Gmach wrote: > eine Kollegin hatte vor Tagen eine E-Mail an basf.de geschrieben, die > erst nach drei Tagen mit folgender Meldung zurückkam: > > Diagnostic-Code: X-Postfix; connect to basf.de[141.6.7.15]:25: > Connection timed out > > dig basf.de MX zeigt mir, dass basf.de gar keinen MX konfiguriert hat. Unschön aber nicht nötig. Wenn kein MX Record vorhanden ist, dann wird als Fallback der A Record genommen. > Was kann der Grund sein, dass unser Postfix erst nach drei Tagen einen > Timeout liefert? Und nicht sofort einen Fehler meldet? Wäre weder ein MX noch ein A Record vorhanden gewesen, hättest du sofort eine Meldung gesehen. Wenn "Nur" ein A Record vorhanden ist, muss postfix davon ausgehen, dass dann wohl dahinter der Mailserver ist. Also versucht er geduldig solange wie in (maximal_queue_lifetime) definiert die Mail zuzustellen (könnte ja sein, dass der Mailserver plötzlich auftaucht). Lieber Gruss Matthias -- Matthias Egger ETH Zurich Department of Information Technology maegger at ee.ethz.ch and Electrical Engineering IT Support Group (ISG.EE), ETF/D/102 Phone +41 (0)44 632 03 90 Sternwartstrasse 7, CH-8092 Zurich Fax +41 (0)44 632 11 95 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3990 bytes Beschreibung: S/MIME Cryptographic Signature URL : From p.heinlein at heinlein-support.de Thu May 3 08:18:06 2018 From: p.heinlein at heinlein-support.de (Peer Heinlein) Date: Thu, 3 May 2018 08:18:06 +0200 Subject: Spamhaus and SURBL In-Reply-To: <243671D1-98B6-4CF9-8AE8-F2BD35F66E60@veka.com> References: <243671D1-98B6-4CF9-8AE8-F2BD35F66E60@veka.com> Message-ID: <6bf1c554-f3ad-64a9-988f-27ffd28045aa@heinlein-support.de> On 27.04.2018 08:04, Frank Fiene wrote: > Habe heute eine Mail von securityzones.net erhalten, sind das die offiziellen Vertreter von Spamhaus und SURBL? Ja. Ich arbeite täglich eng mit denen zusammen. > Wie sieht es mit den Kosten aus? > An wen muss ich mich wenden für die Commercial Feeds, wenn nicht securityzones.net? Wir bieten (m.W.n. als Einziger) Spamhaus-Lizenzen in EUR und mit Umsatzsteuer. Wenn Du möchtest, betreuen wir Dich gerne. Peer -- Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin http://www.heinlein-support.de Tel: 030 / 405051-42 Fax: 030 / 405051-19 Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin From django at nausch.org Fri May 4 18:24:44 2018 From: django at nausch.org (Django [BOfH]) Date: Fri, 4 May 2018 18:24:44 +0200 Subject: Spamhaus and SURBL In-Reply-To: <6bf1c554-f3ad-64a9-988f-27ffd28045aa@heinlein-support.de> References: <243671D1-98B6-4CF9-8AE8-F2BD35F66E60@veka.com> <6bf1c554-f3ad-64a9-988f-27ffd28045aa@heinlein-support.de> Message-ID: <0b835352-b16a-a17f-e200-5efa8e046fd6@nausch.org> HI, Am 03.05.2018 um 08:18 schrieb Peer Heinlein: > Wir bieten (m.W.n. als Einziger) Spamhaus-Lizenzen in EUR und mit > Umsatzsteuer. Wenn Du möchtest, betreuen wir Dich gerne. Kann ich bestätigen, die machen das sehr gut! :) Kann ich jedem professionellen Nutzer auch empfehlen! Servus Django From martin at lichtvoll.de Sun May 6 23:13:30 2018 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 06 May 2018 23:13:30 +0200 Subject: So ein =?UTF-8?B?VGFn4oCm?= Message-ID: <5275504.hVdZkkQQtA@merkaba> ? an dem ich in meine sender_checks einfach nur ein /.*/ REJECT Leave me alone already eintragen möchte und mir eine Führerscheinpflicht für das Aufsetzen eines Mail-Servers wünsche. Oder dass Postfix sich einfach weigert zu starten, wenn es merkt, dass es jemand nicht mal fertig bringt, die Domain für den Mailserver richtig zu konfigurieren. Besonders Highlight dabei: Received: from mail.example.com (unknown [219.142.131.153]) by mail.lichtvoll.de (Postfix) with ESMTP id 58CCB3100CC for ; Sun, 6 May 2018 17:04:58 +0200 (CEST) Return-Path: <> X-Original-To: Martin at lichtvoll.de Delivered-To: martin at mondschein.lichtvoll.de Authentication-Results: mail.lichtvoll.de Received: from mail.example.com (unknown [219.142.131.153]) by mail.lichtvoll.de (Postfix) with ESMTP id 58CCB3100CC for ; Sun, 6 May 2018 17:04:58 +0200 (CEST) Received: by mail.example.com (Postfix) id 0929314956E; Sun, 6 May 2018 23:04:55 +0800 (CST) Date: Sun, 6 May 2018 23:04:55 +0800 (CST) From: MAILER-DAEMON at lmail.ykye.com (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: Martin at lichtvoll.de Auto-Submitted: auto-replied MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="669171493C9.1525619095/mail.example.com" Message-Id: <20180506150455.0929314956E at mail.example.com> X-Spam-Level: ********* X-Rspamd-Server: mondschein X-Rspamd-Queue-Id: 58CCB3100CC X-Spamd-Result: default: False [9.38 / 15.00] ASN(0.00)[asn:4847, ipnet:219.142.128.0/18, country:CN] ARC_NA(0.00)[] FROM_NO_DN(0.00)[] MIME_GOOD(-0.20)[text/plain,multipart/signed] R_DKIM_NA(0.00)[] MIME_UNKNOWN(0.10)[message/rfc822] DMARC_NA(0.00)[ykye.com] BAYES_HAM(-0.84)[85.24%] RBL_SPAMHAUS_CSS(2.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.3] RCPT_COUNT_ONE(0.00)[1] TO_DN_NONE(0.00)[] GREYLIST(0.00)[pass,meta] RBL_SPAMHAUS_XBL(4.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.4] RBL_SPAMHAUS_PBL(2.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.11] FROM_NEQ_ENVFROM(0.00)[MAILER-DAEMON at lmail.ykye.com,] R_SPF_NA(0.00)[] TO_MATCH_ENVRCPT_ALL(0.00)[] RCVD_COUNT_TWO(0.00)[2] HFILTER_HELO_IP_A(1.00)[mail.example.com] AUTH_NA(1.00)[] HFILTER_HELO_NORES_A_OR_MX(0.30)[mail.example.com] RCVD_NO_TLS_LAST(0.00)[] IP_SCORE(0.01)[country: CN(0.07)] X-Spam: Yes This is a MIME-encapsulated message. --669171493C9.1525619095/mail.example.com Content-Description: Notification Content-Type: text/plain; charset=us-ascii This is the mail system at host mail.example.com. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) : host bendel.debian.org[82.195.75.100] said: 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table (in reply to RCPT TO command) --669171493C9.1525619095/mail.example.com Content-Description: Delivery report Content-Type: message/delivery-status Reporting-MTA: dns; mail.example.com X-Postfix-Queue-ID: 669171493C9 X-Postfix-Sender: rfc822; Martin at lichtvoll.de Arrival-Date: Fri, 4 May 2018 16:02:23 +0800 (CST) Final-Recipient: rfc822; debian-user1 at lists.debian.org Original-Recipient: rfc822;debian-user1 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table Final-Recipient: rfc822; debian-user2 at lists.debian.org Original-Recipient: rfc822;debian-user2 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table Final-Recipient: rfc822; debian-user3 at lists.debian.org Original-Recipient: rfc822;debian-user3 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table Final-Recipient: rfc822; debian-user4 at lists.debian.org Original-Recipient: rfc822;debian-user4 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table Final-Recipient: rfc822; debian-user5 at lists.debian.org Original-Recipient: rfc822;debian-user5 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table Final-Recipient: rfc822; debian-user6 at lists.debian.org Original-Recipient: rfc822;debian-user6 at lists.debian.org Action: failed Status: 5.1.1 Remote-MTA: dns; bendel.debian.org Diagnostic-Code: smtp; 550 5.1.1 : Recipient address rejected: User unknown in virtual alias table --669171493C9.1525619095/mail.example.com Content-Description: Undelivered Message Content-Type: message/rfc822 Received: from [127.0.1.1] (unknown [5.5.5.16]) by mail.example.com (Postfix) with ESMTP id 669171493C9; Fri, 4 May 2018 16:02:23 +0800 (CST) From: Martin Steigerwald To: debian-kde at lists.debian.org Subject: Re: What needs to improve in KDE 4? Date: Mon, 10 May 2010 23:58:42 +0200 ^^^^^^^^^^^^^^^^^^^^ Kein Witz. User-Agent: KMail/1.13.3 (Linux/2.6.33.2-tp42-toi-3.1-lowmem-free-991-992-04964-gf00c7ec-dirty; KDE/4.4.3; i686; ; ) Aber cool zu sehen, was damals für ein Kernel aktuell war. Mittlerweile erstellt KDE solche Header glaub gar nicht mehr und mein haut die ohnehin raus. References: <20100510170348.GG24935 at n0nb.us> (sfid-20100510_204337_658379_4F4B8310) In-Reply-To: <20100510170348.GG24935 at n0nb.us> MIME-Version: 1.0 Content-Type: multipart/signed; boundary="nextPart13412309.6Ix9itSKnv"; protocol="application/pgp-signature"; micalg=pgp-sha1 Content-Transfer-Encoding: 7bit Message-Id: <201005102358.43775.Martin at lichtvoll.de> X-Rc-Virus: 2007-09-13_01 X-Rc-Spam: 2008-11-04_01 Resent-Message-ID: Resent-From: debian-kde at lists.debian.org X-Mailing-List: archive/latest/32344 X-Loop: debian-kde at lists.debian.org List-Id: List-Post: List-Help: List-Subscribe: List-Unsubscribe: Precedence: list Resent-Sender: debian-kde-request at lists.debian.org Resent-Date: Mon, 10 May 2010 21:59:01 +0000 (UTC) --nextPart13412309.6Ix9itSKnv Content-Type: Text/Plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Am Montag 10 Mai 2010 schrieb Nate Bargmann: > * On 2010 10 May 11:50 -0500, Dotan Cohen wrote: > > Yes, 4.2 and now 4.4 seem to behave badly without a clean ~/.kde. I > > find that very disturbing and unstable. [?] -- Martin From martin at lichtvoll.de Sun May 6 23:16:58 2018 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 06 May 2018 23:16:58 +0200 Subject: Spam-Mails ohne Message-Id In-Reply-To: References: <11843875.VhNJn3bp5O@merkaba> Message-ID: <3397469.PqNahDER53@merkaba> Jens Adam - 27.04.18, 23:51: > http://www.postfix.org/postconf.5.html#always_add_missing_headers ? Danke für den Hinweis. Was möchtest Du mir damit sagen? Dass ich meinen Postfix noch anweise, Spam-Mails brav mit Message-Id´s zu versehen? Hmm, es dürfte rspamd helfen, die Mails auseinander zu halten. Noch lieber würde ich aber alles blocken, was keine Message-Id hat. Aber das ist dann möglicherweise doch nicht so sinnvoll. -- Martin From infoomatic at gmx.at Mon May 7 19:23:22 2018 From: infoomatic at gmx.at (Infoomatic) Date: Mon, 7 May 2018 19:23:22 +0200 Subject: =?UTF-8?Q?Aw=3A_So_ein_Tag=E2=80=A6?= In-Reply-To: <5275504.hVdZkkQQtA@merkaba> References: <5275504.hVdZkkQQtA@merkaba> Message-ID: Erinnert mich an letzte Woche. Bin vom Urlaub zurückgekommen, mail reputation im Eimer, unsere Mails wurden bei sämtlichen Kommunikationspartnern als Spam markiert. Grund: in meiner Abwesenheit wurde eine "Spezialfirma für Mailmarketing" beauftragt Newsletter in unserem Namen zu verschicken. Über Mailchimp. Ohne unsere SPF etc. zu checken. Also kamen die Mails nach einer Weile als Spam an. Die haben sich gedacht "Mist, na dann verwenden wir einfach eine andere Plattform und machens nochmal". Das ganze dann eine Woche später nochmal, also von 3 Plattformen. Kopf->Tisch sag ich da nur. Da muss man durch ;-) LG, Robert > Gesendet: Sonntag, 06. Mai 2018 um 23:13 Uhr > Von: "Martin Steigerwald" > An: "Diskussionen und Support rund um Postfix" > Betreff: So ein Tag? > > ? an dem ich in meine sender_checks einfach nur ein > > /.*/ REJECT Leave me alone already > > eintragen möchte und mir eine Führerscheinpflicht für das Aufsetzen eines > Mail-Servers wünsche. > > Oder dass Postfix sich einfach weigert zu starten, wenn es merkt, dass es > jemand nicht mal fertig bringt, die Domain für den Mailserver richtig zu > konfigurieren. > > > > Besonders Highlight dabei: > > Received: from mail.example.com (unknown [219.142.131.153]) > by mail.lichtvoll.de (Postfix) with ESMTP id 58CCB3100CC > for ; Sun, 6 May 2018 17:04:58 +0200 (CEST) > > > > Return-Path: <> > X-Original-To: Martin at lichtvoll.de > Delivered-To: martin at mondschein.lichtvoll.de > Authentication-Results: mail.lichtvoll.de > Received: from mail.example.com (unknown [219.142.131.153]) > by mail.lichtvoll.de (Postfix) with ESMTP id 58CCB3100CC > for ; Sun, 6 May 2018 17:04:58 +0200 (CEST) > Received: by mail.example.com (Postfix) > id 0929314956E; Sun, 6 May 2018 23:04:55 +0800 (CST) > Date: Sun, 6 May 2018 23:04:55 +0800 (CST) > From: MAILER-DAEMON at lmail.ykye.com (Mail Delivery System) > Subject: Undelivered Mail Returned to Sender > To: Martin at lichtvoll.de > Auto-Submitted: auto-replied > MIME-Version: 1.0 > Content-Type: multipart/report; report-type=delivery-status; > boundary="669171493C9.1525619095/mail.example.com" > Message-Id: <20180506150455.0929314956E at mail.example.com> > X-Spam-Level: ********* > X-Rspamd-Server: mondschein > X-Rspamd-Queue-Id: 58CCB3100CC > X-Spamd-Result: default: False [9.38 / 15.00] > ASN(0.00)[asn:4847, ipnet:219.142.128.0/18, country:CN] > ARC_NA(0.00)[] > FROM_NO_DN(0.00)[] > MIME_GOOD(-0.20)[text/plain,multipart/signed] > R_DKIM_NA(0.00)[] > MIME_UNKNOWN(0.10)[message/rfc822] > DMARC_NA(0.00)[ykye.com] > BAYES_HAM(-0.84)[85.24%] > RBL_SPAMHAUS_CSS(2.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.3] > RCPT_COUNT_ONE(0.00)[1] > TO_DN_NONE(0.00)[] > GREYLIST(0.00)[pass,meta] > RBL_SPAMHAUS_XBL(4.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.4] > RBL_SPAMHAUS_PBL(2.00)[153.131.142.219.zen.spamhaus.org : 127.0.0.11] > FROM_NEQ_ENVFROM(0.00)[MAILER-DAEMON at lmail.ykye.com,] > R_SPF_NA(0.00)[] > TO_MATCH_ENVRCPT_ALL(0.00)[] > RCVD_COUNT_TWO(0.00)[2] > HFILTER_HELO_IP_A(1.00)[mail.example.com] > AUTH_NA(1.00)[] > HFILTER_HELO_NORES_A_OR_MX(0.30)[mail.example.com] > RCVD_NO_TLS_LAST(0.00)[] > IP_SCORE(0.01)[country: CN(0.07)] > X-Spam: Yes > > This is a MIME-encapsulated message. > > --669171493C9.1525619095/mail.example.com > Content-Description: Notification > Content-Type: text/plain; charset=us-ascii > > This is the mail system at host mail.example.com. > > I'm sorry to have to inform you that your message could not > be delivered to one or more recipients. It's attached below. > > For further assistance, please send mail to postmaster. > > If you do so, please include this problem report. You can > delete your own text from the attached returned message. > > The mail system > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > : host bendel.debian.org[82.195.75.100] said: > 550 5.1.1 : Recipient address rejected: User > unknown in virtual alias table (in reply to RCPT TO command) > > --669171493C9.1525619095/mail.example.com > Content-Description: Delivery report > Content-Type: message/delivery-status > > Reporting-MTA: dns; mail.example.com > X-Postfix-Queue-ID: 669171493C9 > X-Postfix-Sender: rfc822; Martin at lichtvoll.de > Arrival-Date: Fri, 4 May 2018 16:02:23 +0800 (CST) > > Final-Recipient: rfc822; debian-user1 at lists.debian.org > Original-Recipient: rfc822;debian-user1 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > Final-Recipient: rfc822; debian-user2 at lists.debian.org > Original-Recipient: rfc822;debian-user2 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > Final-Recipient: rfc822; debian-user3 at lists.debian.org > Original-Recipient: rfc822;debian-user3 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > Final-Recipient: rfc822; debian-user4 at lists.debian.org > Original-Recipient: rfc822;debian-user4 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > Final-Recipient: rfc822; debian-user5 at lists.debian.org > Original-Recipient: rfc822;debian-user5 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > Final-Recipient: rfc822; debian-user6 at lists.debian.org > Original-Recipient: rfc822;debian-user6 at lists.debian.org > Action: failed > Status: 5.1.1 > Remote-MTA: dns; bendel.debian.org > Diagnostic-Code: smtp; 550 5.1.1 : Recipient > address rejected: User unknown in virtual alias table > > --669171493C9.1525619095/mail.example.com > Content-Description: Undelivered Message > Content-Type: message/rfc822 > > Received: from [127.0.1.1] (unknown [5.5.5.16]) > by mail.example.com (Postfix) with ESMTP id 669171493C9; > Fri, 4 May 2018 16:02:23 +0800 (CST) > From: Martin Steigerwald > To: debian-kde at lists.debian.org > Subject: Re: What needs to improve in KDE 4? > Date: Mon, 10 May 2010 23:58:42 +0200 > > ^^^^^^^^^^^^^^^^^^^^ Kein Witz. > > User-Agent: KMail/1.13.3 (Linux/2.6.33.2-tp42-toi-3.1-lowmem-free-991-992-04964-gf00c7ec-dirty; KDE/4.4.3; i686; ; ) > > Aber cool zu sehen, was damals für ein Kernel aktuell war. > > Mittlerweile erstellt KDE solche Header glaub gar nicht mehr und mein > haut die ohnehin raus. > > References: <20100510170348.GG24935 at n0nb.us> (sfid-20100510_204337_658379_4F4B8310) > In-Reply-To: <20100510170348.GG24935 at n0nb.us> > MIME-Version: 1.0 > Content-Type: multipart/signed; > boundary="nextPart13412309.6Ix9itSKnv"; > protocol="application/pgp-signature"; > micalg=pgp-sha1 > Content-Transfer-Encoding: 7bit > Message-Id: <201005102358.43775.Martin at lichtvoll.de> > X-Rc-Virus: 2007-09-13_01 > X-Rc-Spam: 2008-11-04_01 > Resent-Message-ID: > Resent-From: debian-kde at lists.debian.org > X-Mailing-List: archive/latest/32344 > X-Loop: debian-kde at lists.debian.org > List-Id: > List-Post: > List-Help: > List-Subscribe: > List-Unsubscribe: > Precedence: list > Resent-Sender: debian-kde-request at lists.debian.org > Resent-Date: Mon, 10 May 2010 21:59:01 +0000 (UTC) > > --nextPart13412309.6Ix9itSKnv > Content-Type: Text/Plain; > charset="iso-8859-1" > Content-Transfer-Encoding: quoted-printable > > Am Montag 10 Mai 2010 schrieb Nate Bargmann: > > * On 2010 10 May 11:50 -0500, Dotan Cohen wrote: > > > Yes, 4.2 and now 4.4 seem to behave badly without a clean ~/.kde. I > > > find that very disturbing and unstable. > [?] > -- > Martin > > > From martin at lichtvoll.de Mon May 7 20:17:49 2018 From: martin at lichtvoll.de (Martin Steigerwald) Date: Mon, 07 May 2018 20:17:49 +0200 Subject: So ein =?UTF-8?B?VGFn4oCm?= In-Reply-To: References: <5275504.hVdZkkQQtA@merkaba> Message-ID: <1541232.aYp3qULa32@merkaba> Infoomatic - 07.05.18, 19:23: > Erinnert mich an letzte Woche. Bin vom Urlaub zurückgekommen, mail > reputation im Eimer, unsere Mails wurden bei sämtlichen > Kommunikationspartnern als Spam markiert. Grund: in meiner > Abwesenheit wurde eine "Spezialfirma für Mailmarketing" beauftragt > Newsletter in unserem Namen zu verschicken. Über Mailchimp. Ohne > unsere SPF etc. zu checken. Also kamen die Mails nach einer Weile als > Spam an. Die haben sich gedacht "Mist, na dann verwenden wir einfach > eine andere Plattform und machens nochmal". Das ganze dann eine Woche > später nochmal, also von 3 Plattformen. Kopf->Tisch sag ich da nur. > Da muss man durch ;-) Besonders ärgerlich ist, dass bereits drei Subscriber der debian-kde- Mailingliste meinen Computer, wo der Mailclient läuft, oder meinen Mail- Server für nochmal versendeten Mails verantwortlich machen. Der Mail-Server schickt das offenbar also auch an andere Listen- Teilnehmer. -- Martin From juergen.reichel at gv-leutersdorf.de Mon May 14 11:32:45 2018 From: juergen.reichel at gv-leutersdorf.de (=?UTF-8?Q?J=c3=bcrgen_Reichel?=) Date: Mon, 14 May 2018 11:32:45 +0200 Subject: Funktion von bind Message-ID: <5869531a-1c4f-4faa-7ce2-ff691d94e9e5@gv-leutersdorf.de> Hallo liebe Mitstreiter, in der mail.log steht warning: smtp_connect_addr: bind 10.101.65.10: Cannot assign requested address Welche Bedeutung hat das bind in der main.cf. Kann ich die Zeile eventuell sogar ganz weglassen? smtp_bind_address = 10.101.65.10 Oder welche anderen Möglichkeiten gibt es, die Meldung weg zu bekommen. Vielen Dank, viele Grüße -- Gemeindeverwaltung Leutersdorf Hauptstraße 9 02794 Leutersdorf Jürgen Reichel (03586) 33 07 14 (0172) 27 12 667 juergen.reichel at gv-leutersdorf.de www.leutersdorf.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Mon May 14 11:37:55 2018 From: wn at neessen.net (Winfried Neessen) Date: Mon, 14 May 2018 11:37:55 +0200 Subject: Funktion von bind In-Reply-To: <5869531a-1c4f-4faa-7ce2-ff691d94e9e5@gv-leutersdorf.de> References: <5869531a-1c4f-4faa-7ce2-ff691d94e9e5@gv-leutersdorf.de> Message-ID: <8BACE6B9-4A41-4974-AE9C-0558D5EE85B8@neessen.net> Hi, Am 14.05.2018 um 11:32 schrieb Jürgen Reichel : > warning: smtp_connect_addr: bind 10.101.65.10: Cannot assign requested address > > Welche Bedeutung hat das bind in der main.cf. Kann ich die Zeile eventuell sogar ganz weglassen? > smtp_bind_address = 10.101.65.10 Damit kannst Du Postfix an eine feste IP binden, statt an 0.0.0.0 http://www.postfix.org/postconf.5.html#smtp_bind_address Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From p at sys4.de Mon May 14 14:54:16 2018 From: p at sys4.de (Patrick Ben Koetter) Date: Mon, 14 May 2018 14:54:16 +0200 Subject: Funktion von bind In-Reply-To: <5869531a-1c4f-4faa-7ce2-ff691d94e9e5@gv-leutersdorf.de> References: <5869531a-1c4f-4faa-7ce2-ff691d94e9e5@gv-leutersdorf.de> Message-ID: <20180514125416.wbahcz2wexjmosmj@sys4.de> * Jürgen Reichel : > Hallo liebe Mitstreiter, > > in der mail.log steht > > warning: smtp_connect_addr: bind 10.101.65.10: Cannot assign requested > address > > Welche Bedeutung hat das bind in der main.cf. Kann ich die Zeile eventuell > sogar ganz weglassen? > smtp_bind_address = 10.101.65.10 > > Oder welche anderen Möglichkeiten gibt es, die Meldung weg zu bekommen. Postfix ist angewiesen, die IP-Adresse 10.101.65.10 beim Versenden zu nutzen. Der Server stellt diese IP-Adresse aber nicht bereit Möglichkeiten: - IP-Adresse im Server bereitstellen - Postfix so konfigurieren, dass es diese Adresse nicht nutzt Welche Variante sinnvoll ist, hängt ggf. noch von Mail-Policies (SPF) oder Firewall-Policies etc. ab. p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From ffiene at veka.com Tue May 15 19:46:19 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 15 May 2018 19:46:19 +0200 Subject: Test rspamd In-Reply-To: <5992286.ZBCtESKJbO@techz> References: <5992286.ZBCtESKJbO@techz> Message-ID: Hallo, Ich hänge mich hier auch nochmal rein. Ich habe vor, rspamd mal eine Chance zu geben für die MXe. Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer : > > Hallo, > > ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend > gar nicht so einfach;-). > > Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd > komme ich nicht so ganz klar? > > Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org > geblockt werden? > > > -- > mit freundlichen Grüssen / best regards, > > Günther J. Niederwimmer -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue May 15 19:50:15 2018 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 15 May 2018 19:50:15 +0200 Subject: [ext] Re: Test rspamd In-Reply-To: References: <5992286.ZBCtESKJbO@techz> Message-ID: <20180515175015.GA13127@charite.de> * Frank Fiene : > Hallo, > > Ich hänge mich hier auch nochmal rein. > > Ich habe vor, rspamd mal eine Chance zu geben für die MXe. > > Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht? Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte, rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, daß postscreen halt nun gerade für diese Fälle eventbasiert läuft und multithreaded ist UND die DNS Abfragen simulatan macht, damit das alles schnell geht. Tja, am Ende waren wir uns nicht einig :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue May 15 20:16:26 2018 From: ffiene at veka.com (Frank Fiene) Date: Tue, 15 May 2018 20:16:26 +0200 Subject: [ext] Re: Test rspamd In-Reply-To: <20180515175015.GA13127@charite.de> References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> Message-ID: <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen. Danke! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Hallo, >> >> Ich hänge mich hier auch nochmal rein. >> >> Ich habe vor, rspamd mal eine Chance zu geben für die MXe. >> >> Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht? > > Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte, > rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, daß > postscreen halt nun gerade für diese Fälle eventbasiert läuft und > multithreaded ist UND die DNS Abfragen simulatan macht, damit das > alles schnell geht. Tja, am Ende waren wir uns nicht einig :) > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ck10245 at chaoskind.de Tue May 15 22:21:00 2018 From: ck10245 at chaoskind.de (Sven Hankel) Date: Tue, 15 May 2018 22:21:00 +0200 Subject: [ext] Re: Test rspamd In-Reply-To: <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> Message-ID: <20180515222100.55bbca20@kermit> Moin, bei mir "darf" rspamd quasi nachfiltern, da bleibt nicht mehr viel übrig, aber hin und wieder rutschen postscreen und amavis doch nochmal Sachen durch. Insgesamt ergänzt sich das ganz gut, wie ich finde. Bei rspamd finde ich das anti-phishing-Modul ganz interessant. Das lass ich den Kaspersky nämlich nicht machen. Beste Grüße Sven Hankel Am Tue, 15 May 2018 20:16:26 +0200 schrieb Frank Fiene : > Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen. > > Danke! > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of > Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court > of Münster > > > Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt > > : > > > > * Frank Fiene : > >> Hallo, > >> > >> Ich hänge mich hier auch nochmal rein. > >> > >> Ich habe vor, rspamd mal eine Chance zu geben für die MXe. > >> > >> Macht es dann Sinn RBLs anstatt mit postscreen auch damit > >> abzuarbeiten oder lohnt sich das nicht? > > > > Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte, > > rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, > > daß postscreen halt nun gerade für diese Fälle eventbasiert läuft > > und multithreaded ist UND die DNS Abfragen simulatan macht, damit > > das alles schnell geht. Tja, am Ende waren wir uns nicht einig :) > > > > -- > > Ralf Hildebrandt > > Geschäftsbereich IT | Abteilung Netzwerk > > Charité - Universitätsmedizin Berlin > > Campus Benjamin Franklin > > Hindenburgdamm 30 | D-12203 Berlin > > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > > ralf.hildebrandt at charite.de | https://www.charite.de > > > From cr at ncxs.de Wed May 16 08:53:16 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 16 May 2018 08:53:16 +0200 Subject: [ext] Re: Test rspamd In-Reply-To: <20180515222100.55bbca20@kermit> References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> <20180515222100.55bbca20@kermit> Message-ID: <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD. Man hat also Verbindungen die länger offen bleiben und da Rspamd auch so einiges anderes macht, mehr Ressourcenverbrauch. Allerdings verbraucht Rspamd wahnsinnig viel weniger Ressourcen im Vergleich zu Amavis/SA, dass diese Ressourcen wahrscheinlich sogar über hätte. Rspamd kann zwar nicht besser rejecten als postscreen, dafür können viele Plugins und Module davon profitieren auch den schlechtesten SPAM gesehen zu haben. Konkret IPScore, Neural Network, Bayes, Fuzzy, Ratelimit. Also alles was sich eine lokale Daten anlegt und die zur weiteren Bewertung heran zieht. Und das Greylisting im Rspamd kann regelbasiert und/oder per Score erfolgen, so dass die guten Mails sofort durch gehen. Die schlechten drehen auch wenn sie von Gmail kommen, aber noch nicht den reject score erreicht haben, ne extra Runde, vielleicht der reject ja beim 2. Mal. Um es kurz zu machen, ich habe bei mir privat alle Anti-Spam Maßnahmen im Postfix deaktiviert und vertraue auf den Rspamd. Ich finde er macht das sehr gut ;) Viele Grüße Carsten On 15.05.2018 22:21, Sven Hankel wrote: > Moin, > > bei mir "darf" rspamd quasi nachfiltern, da bleibt nicht mehr viel > übrig, aber hin und wieder rutschen postscreen und amavis doch nochmal > Sachen durch. Insgesamt ergänzt sich das ganz gut, wie ich finde. > Bei rspamd finde ich das anti-phishing-Modul ganz interessant. Das lass > ich den Kaspersky nämlich nicht machen. > > Beste Grüße > > Sven Hankel > > Am Tue, 15 May 2018 20:16:26 +0200 > schrieb Frank Fiene : > >> Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen. >> >> Danke! >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >> Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of >> Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court >> of Münster >> >>> Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt >>> : >>> >>> * Frank Fiene : >>>> Hallo, >>>> >>>> Ich hänge mich hier auch nochmal rein. >>>> >>>> Ich habe vor, rspamd mal eine Chance zu geben für die MXe. >>>> >>>> Macht es dann Sinn RBLs anstatt mit postscreen auch damit >>>> abzuarbeiten oder lohnt sich das nicht? >>> >>> Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte, >>> rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, >>> daß postscreen halt nun gerade für diese Fälle eventbasiert läuft >>> und multithreaded ist UND die DNS Abfragen simulatan macht, damit >>> das alles schnell geht. Tja, am Ende waren wir uns nicht einig :) >>> >>> -- >>> Ralf Hildebrandt >>> Geschäftsbereich IT | Abteilung Netzwerk >>> Charité - Universitätsmedizin Berlin >>> Campus Benjamin Franklin >>> Hindenburgdamm 30 | D-12203 Berlin >>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>> ralf.hildebrandt at charite.de | https://www.charite.de >>> >> > From ffiene at veka.com Wed May 16 13:36:40 2018 From: ffiene at veka.com (Frank Fiene) Date: Wed, 16 May 2018 13:36:40 +0200 Subject: [ext] Test rspamd In-Reply-To: <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> <20180515222100.55bbca20@kermit> <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> Message-ID: > Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg : > > Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected > viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD. Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt! Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From andre.peters at debinux.de Wed May 16 13:47:01 2018 From: andre.peters at debinux.de (=?utf-8?q?Andr=C3=A9?= Peters) Date: Wed, 16 May 2018 13:47:01 +0200 Subject: [ext] Test rspamd In-Reply-To: References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> <20180515222100.55bbca20@kermit> <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> Message-ID: <14B544D4-B15D-4107-A703-0366F3EA0036@debinux.de> Rspamd wird in der Regel als Milter eingesetzt. Milter sind immer pre-queue. Beim Proxyfilter würde er erst einen weiteren Verbindungszyklus durchlaufen. Das Milterprotokoll ist zwar Banane, aber in dem vermutlich sogar schneller. Rspamd kann zum Beispiel hinter Haraka betrieben werden, welcher wiederum als dein Proxyfilter für Postfix dient. Ist demnach etwas umständlicher. Lange Rede, kurzer Sinn: Ein Milter weist ab, bevor die Mail angenommen wurde. Der Vorteil von Postscreen ist, dass die Mail gar nicht erst den smtpd erreicht, sondern die Metadaten (IP etc.) der Verbindung ausreichen, um RBLs abzufragen. Das passiert in dem Fall vermutlich sogar noch vor dem HELO, spätestens aber danach. Bei großem Aufkommen ist der Unterschied deutlich (!) spürbar. Grüße André Peters > Am 16.05.2018 um 13:36 schrieb Frank Fiene : > > > >> Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg : >> >> Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected >> viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD. > > Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt! > > Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder? > > > Viele Grüße! Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Thu May 17 19:52:16 2018 From: ffiene at veka.com (Frank Fiene) Date: Thu, 17 May 2018 19:52:16 +0200 Subject: [ext] Test rspamd In-Reply-To: <14B544D4-B15D-4107-A703-0366F3EA0036@debinux.de> References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> <20180515222100.55bbca20@kermit> <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> <14B544D4-B15D-4107-A703-0366F3EA0036@debinux.de> Message-ID: Super, danke. Testserver steht. Frage: clamav im rspamd als Antivirus nutzen oder als eigenen Milter? Vor-/Nachteile? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster > Am 16.05.2018 um 13:47 schrieb André Peters : > > Rspamd wird in der Regel als Milter eingesetzt. Milter sind immer pre-queue. Beim Proxyfilter würde er erst einen weiteren Verbindungszyklus durchlaufen. Das Milterprotokoll ist zwar Banane, aber in dem vermutlich sogar schneller. > > Rspamd kann zum Beispiel hinter Haraka betrieben werden, welcher wiederum als dein Proxyfilter für Postfix dient. Ist demnach etwas umständlicher. > > Lange Rede, kurzer Sinn: Ein Milter weist ab, bevor die Mail angenommen wurde. > > Der Vorteil von Postscreen ist, dass die Mail gar nicht erst den smtpd erreicht, sondern die Metadaten (IP etc.) der Verbindung ausreichen, um RBLs abzufragen. Das passiert in dem Fall vermutlich sogar noch vor dem HELO, spätestens aber danach. Bei großem Aufkommen ist der Unterschied deutlich (!) spürbar. > > Grüße > André Peters > > Am 16.05.2018 um 13:36 schrieb Frank Fiene >: > >> >> >>> Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg >: >>> >>> Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected >>> viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD. >> >> Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt! >> >> Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder? >> >> >> Viele Grüße! Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From cr at ncxs.de Thu May 17 20:00:15 2018 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 17 May 2018 20:00:15 +0200 Subject: [ext] Test rspamd In-Reply-To: References: <5992286.ZBCtESKJbO@techz> <20180515175015.GA13127@charite.de> <74ED566C-97FF-472A-9760-9FE6E53FE539@veka.com> <20180515222100.55bbca20@kermit> <5b64bf86-4087-c63a-ed1d-cef8bccb330e@ncxs.de> <14B544D4-B15D-4107-A703-0366F3EA0036@debinux.de> Message-ID: <680afce2-73d3-e1fb-bb6a-f32cc163f5a4@ncxs.de> Ich würde es in Rspamd bauen: + Redis Caching der Ergebnisse (glaub 1h im default) + Kannst wie im Amavis z.b. für Sanesecurity oder die Heuristics andere Scores vergeben +++ Rspamd lernt aus allem was er kriegen kann - Rspamd übergibt die ganze Mail an den AV, kennt hinterher also auch nur hashes ganzer Mails und nicht einzelner MiME Types (z.B. der .exe) Viele Grüße Carsten On 17.05.2018 19:52, Frank Fiene wrote: > Super, danke. > > Testserver steht. > > Frage: clamav im rspamd als Antivirus nutzen oder als eigenen Milter? > Vor-/Nachteile? > > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > >> Am 16.05.2018 um 13:47 schrieb André Peters : >> >> Rspamd wird in der Regel als Milter eingesetzt. Milter sind immer pre-queue. Beim Proxyfilter würde er erst einen weiteren Verbindungszyklus durchlaufen. Das Milterprotokoll ist zwar Banane, aber in dem vermutlich sogar schneller. >> >> Rspamd kann zum Beispiel hinter Haraka betrieben werden, welcher wiederum als dein Proxyfilter für Postfix dient. Ist demnach etwas umständlicher. >> >> Lange Rede, kurzer Sinn: Ein Milter weist ab, bevor die Mail angenommen wurde. >> >> Der Vorteil von Postscreen ist, dass die Mail gar nicht erst den smtpd erreicht, sondern die Metadaten (IP etc.) der Verbindung ausreichen, um RBLs abzufragen. Das passiert in dem Fall vermutlich sogar noch vor dem HELO, spätestens aber danach. Bei großem Aufkommen ist der Unterschied deutlich (!) spürbar. >> >> Grüße >> André Peters >> >> Am 16.05.2018 um 13:36 schrieb Frank Fiene >: >> >>> >>> >>>> Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg >: >>>> >>>> Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected >>>> viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD. >>> >>> Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt! >>> >>> Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder? >>> >>> >>> Viele Grüße! Frank >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> > > From sebastian at debianfan.de Fri May 18 23:23:39 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Fri, 18 May 2018 23:23:39 +0200 Subject: =?UTF-8?Q?Mails_=c3=bcber_Mailrelay_einliefern?= Message-ID: Guten Abend, ich hab das letzte mal 1999 sowas eingerichtet - ich bin etwas aus der Übung. Ein Testsystem soll seine Mails nicht selbst senden sondern über ein Mailrelay arbeiten - d.h. Anmeldung per Login&Passwort und analog meinem Mailprogramm auf meinem Mobiltelefon seine Mails dort abkippen. Das Relay funktioniert - das ist das gleiche über welches ich sonst auch normalerweise Mails versende - der Fehler liegt eher im Testsystem. Postfix-Log Empfängerseite: May 18 23:15:28 debian postfix/submission/smtpd[2355]: connect from sub.neuessystem.de[85.100.100.100] May 18 23:15:28 debian postfix/submission/smtpd[2355]: setting up TLS connection from sub.neuessystem.de[85.100.100.100] May 18 23:15:28 debian postfix/submission/smtpd[2355]: sub.neuessystem.de[85.100.100.100]: TLS cipher list "EECDH+AESGCM:AES+EECDH:+ECDHE-RSA-AES256-SHA:+ECDHE-RSA-AES128-SHA:RSA+AESGCM:RSA+AES:RSA+CAMELLIA:+AES256-SHA:+AES128-SHA:!EXPORT:!eNULL:!aNULL:!DES:!3DES:!RC4:!RC2:!MD5:!IDEA:!SEED:!EDH:!aECDH:!aECDSA:!kECDHe:!SRP:!PSK:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CDB3-SHA:!KRB5-DES:!CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CDB3-SHA:!KRB5-DES:!CBC3-SHA" May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:before/accept initialization May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: SSL_accept:unknown state May 18 23:15:28 debian postfix/submission/smtpd[2355]: Anonymous TLS connection established from sub.neuessystem.de[85.100.100.100]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) May 18 23:15:30 debian postfix/submission/smtpd[2355]: warning: sub.neuessystem.de[85.100.100.100]: SASL PLAIN authentication failed: May 18 23:15:30 debian postfix/submission/smtpd[2355]: disconnect from sub.neuessystem.de[85.100.100.100] Postfix-Log Testserver: May 18 23:15:30 test postfix/smtp[3481]: 2EF77260C6C: to=, relay=mailrelay.de[xxx.xxx.xxx.xxx]:587, delay=7.3, delays=0.14/0.01/7.2/0, dsn=4.7.8, status=deferred (SASL authentication failed; server mailrelay[xxx.xxx.xxx.xxx] said: 535 5.7.8 Error: authentication failed: ) main.cf vom Testserver: smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = /usr/share/doc/postfix compatibility_level = 2 smtpd_tls_cert_file= /etc/letsencrypt/live/sub.neuessystem.de/fullchain.pem smtpd_tls_key_file= /etc/letsencrypt/live/sub.neuessystem.de/privkey.pem smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination myhostname = sub.neuessystem.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = $myhostname, sub.neuessystem.de, localhost relayhost = mailrelay.de:587 mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = loopback-only inet_protocols = all html_directory = /usr/share/doc/postfix/html smtp_sasl_password_maps=hash:/etc/postfix/relay_password smtp_sasl_auth_enable=yes smtp_sasl_security_options = smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 7200s smtp_use_tls = yes smtp_tls_loglevel = 1 smtp_tls_note_starttls_offer = yes smtp_tls_security_level = may smtp_tls_cert_file= /etc/letsencrypt/live/sub.neuessystem.de/fullchain.pem smtp_tls_key_file= /etc/letsencrypt/live/sub.neuessystem.de/privkey.pem smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache Ich vermute den Fehler in der main.cf gruss Sebastian From sebastian at debianfan.de Sun May 20 22:58:05 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 20 May 2018 22:58:05 +0200 Subject: =?UTF-8?Q?=c3=84rger_mit_Hostname_&_outlook.de?= Message-ID: Guten Abend, es gibt doch durchaus Menschen, welche sich leider für Outlook.de-Adressen entschieden haben. Postfix bringt diese Meldung - berechtigterweise. NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host rejected: cannot find your hostname, [40.92.74.68]; from= to= proto=ESMTP helo= Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? gruss Sebastian From daniel at mail24.vip Sun May 20 23:46:46 2018 From: daniel at mail24.vip (Daniel) Date: Sun, 20 May 2018 23:46:46 +0200 Subject: =?utf-8?Q?AW:_=C3=84rger_mit_Hostname_&_outlook?= =?utf-8?Q?.de?= In-Reply-To: References: Message-ID: <001e01d3f084$0cf61700$26e24500$@mail24.vip> Für deren IP Adressen keine Prüfung von Hostnamen? Auszug: 157.55.0.192/26 157.55.1.128/26 157.55.2.0/25 65.54.190.0/24 65.54.51.64/26 65.54.61.64/26 65.55.111.0/24 65.55.116.0/25 65.55.34.0/24 65.55.90.0/24 65.54.241.0/24 207.46.117.0/24 40.92.0.0/14 2a01:111:f400::/48 http://spf.myisp.ch/?host=outlook.de Postmaster Anschreiben kann man sich bei MS, Facebook, Google und co sparen. :-( Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von sebastian at debianfan.de Gesendet: Sonntag, 20. Mai 2018 22:58 An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Betreff: Ärger mit Hostname & outlook.de Guten Abend, es gibt doch durchaus Menschen, welche sich leider für Outlook.de-Adressen entschieden haben. Postfix bringt diese Meldung - berechtigterweise. NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host rejected: cannot find your hostname, [40.92.74.68]; from= to= proto=ESMTP helo= Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? gruss Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5530 bytes Beschreibung: nicht verfügbar URL : From lt-cmd.data at gmx.de Mon May 21 14:25:58 2018 From: lt-cmd.data at gmx.de (Lieutenat-Commander DATA) Date: Mon, 21 May 2018 14:25:58 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: References: Message-ID: <18b9881f-2d15-cdb0-5ffb-a6752f9b7ee4@gmx.de> Servus Sebastian, Whitelist: Du ergänzt in der main.cf bei den smtp_recipient_restrictions an recht hoher Stelle den Eintrag check_sender_access, z.B. mit einer hash-tabelle: smtp_recipient_restrictions = ... check_sender_access hash:/etc/postfix/whitelist_sender ... In der Datei whitelist_sender kannst Du einzelne Adressen oder ganze Domains hinzufügen. Beispiel: *** blablubb at outlook.de OK *** anschließend ein "postmap whitelist_sender" über die Datei laufen lassen, fertig. VG, DATA Am 20.05.2018 um 22:58 schrieb sebastian at debianfan.de: > Guten Abend, > > es gibt doch durchaus Menschen, welche sich leider für > Outlook.de-Adressen entschieden haben. > > Postfix bringt diese Meldung - berechtigterweise. > > NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host > rejected: cannot find your hostname, [40.92.74.68]; > from= to= proto=ESMTP > helo= > > Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? > > gruss > > Sebastian > From sebastian at debianfan.de Mon May 21 14:57:46 2018 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 May 2018 14:57:46 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: <18b9881f-2d15-cdb0-5ffb-a6752f9b7ee4@gmx.de> References: <18b9881f-2d15-cdb0-5ffb-a6752f9b7ee4@gmx.de> Message-ID: <04f5df8d-40b1-f1fa-d583-5e3f2f7ce978@debianfan.de> smtp oder smtpd ? ich dächte smtpd_recip... dort habe ich ja auch die rbl's & Co drin Am 21.05.2018 um 14:25 schrieb Lieutenat-Commander DATA: > Servus Sebastian, > > Whitelist: > > Du ergänzt in der main.cf bei den smtp_recipient_restrictions an recht > hoher Stelle den Eintrag check_sender_access, z.B. mit einer hash-tabelle: > > smtp_recipient_restrictions = > ... > check_sender_access hash:/etc/postfix/whitelist_sender > ... > > > In der Datei whitelist_sender kannst Du einzelne Adressen oder ganze > Domains hinzufügen. > Beispiel: > *** > blablubb at outlook.de    OK > *** > > anschließend ein "postmap whitelist_sender" über die Datei laufen > lassen, fertig. > > > VG, > DATA > > > > Am 20.05.2018 um 22:58 schrieb sebastian at debianfan.de: >> Guten Abend, >> >> es gibt doch durchaus Menschen, welche sich leider für >> Outlook.de-Adressen entschieden haben. >> >> Postfix bringt diese Meldung - berechtigterweise. >> >> NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host >> rejected: cannot find your hostname, [40.92.74.68]; >> from= to= proto=ESMTP >> helo= >> >> Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? >> >> gruss >> >> Sebastian >> > From meinpapierkorb123 at gmail.com Mon May 21 15:04:32 2018 From: meinpapierkorb123 at gmail.com (Papierkorb) Date: Mon, 21 May 2018 15:04:32 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: <04f5df8d-40b1-f1fa-d583-5e3f2f7ce978@debianfan.de> References: <18b9881f-2d15-cdb0-5ffb-a6752f9b7ee4@gmx.de> <04f5df8d-40b1-f1fa-d583-5e3f2f7ce978@debianfan.de> Message-ID: <674f1300-b563-3476-314b-c9718da71836@gmail.com> oh sorry - natürlich smtpd_recipients_restrictions. Am 21.05.2018 um 14:57 schrieb sebastian at debianfan.de: > smtp oder smtpd ? > > ich dächte smtpd_recip... > > dort habe ich ja auch die rbl's & Co drin > > Am 21.05.2018 um 14:25 schrieb Lieutenat-Commander DATA: >> Servus Sebastian, >> >> Whitelist: >> >> Du ergänzt in der main.cf bei den smtp_recipient_restrictions an >> recht hoher Stelle den Eintrag check_sender_access, z.B. mit einer >> hash-tabelle: >> >> smtp_recipient_restrictions = >> ... >> check_sender_access hash:/etc/postfix/whitelist_sender >> ... >> >> >> In der Datei whitelist_sender kannst Du einzelne Adressen oder ganze >> Domains hinzufügen. >> Beispiel: >> *** >> blablubb at outlook.de OK >> *** >> >> anschließend ein "postmap whitelist_sender" über die Datei laufen >> lassen, fertig. >> >> >> VG, >> DATA >> >> >> >> Am 20.05.2018 um 22:58 schrieb sebastian at debianfan.de: >>> Guten Abend, >>> >>> es gibt doch durchaus Menschen, welche sich leider für >>> Outlook.de-Adressen entschieden haben. >>> >>> Postfix bringt diese Meldung - berechtigterweise. >>> >>> NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client >>> host rejected: cannot find your hostname, [40.92.74.68]; >>> from= to= proto=ESMTP >>> helo= >>> >>> Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? >>> >>> gruss >>> >>> Sebastian >>> >> From jost+lists at dimejo.at Tue May 22 10:44:33 2018 From: jost+lists at dimejo.at (Alex JOST) Date: Tue, 22 May 2018 10:44:33 +0200 Subject: =?UTF-8?Q?Re:_Mails_=c3=bcber_Mailrelay_einliefern?= In-Reply-To: References: Message-ID: Am 18.05.2018 um 23:23 schrieb sebastian at debianfan.de: > Guten Abend, > > ich hab das letzte mal 1999 sowas eingerichtet - ich bin etwas aus der > Übung. > > Ein Testsystem soll seine Mails nicht selbst senden sondern über ein > Mailrelay arbeiten - d.h. Anmeldung per Login&Passwort und analog meinem > Mailprogramm auf meinem Mobiltelefon seine Mails dort abkippen. > > Das Relay funktioniert - das ist das gleiche über welches ich sonst auch > normalerweise Mails versende - der Fehler liegt eher im Testsystem. > > Postfix-Log Testserver: > > May 18 23:15:30 test postfix/smtp[3481]: 2EF77260C6C: > to=, relay=mailrelay.de[xxx.xxx.xxx.xxx]:587, > delay=7.3, delays=0.14/0.01/7.2/0, dsn=4.7.8, status=deferred (SASL > authentication failed; server mailrelay[xxx.xxx.xxx.xxx] said: 535 5.7.8 > Error: authentication failed: ) Kann es sein, dass das SASL-Modul nicht installiert ist? Was zeigt 'postconf -A'? -- Alex JOST From andreas.schulze at datev.de Tue May 22 12:30:37 2018 From: andreas.schulze at datev.de (Andreas Schulze) Date: Tue, 22 May 2018 12:30:37 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: References: Message-ID: <591644f8-d0dd-0b1f-44fe-ba540081ec03@datev.de> Am 20.05.2018 um 22:58 schrieb sebastian at debianfan.de: > NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host rejected: cannot find your hostname, [40.92.74.68]; from= to= proto=ESMTP helo= > > Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? warum willst Du *Absender* whitelisten, wenn Dein Problem *Client-IP* basiert ist?? -- A. Schulze DATEV eG From daniel at mail24.vip Tue May 22 14:58:42 2018 From: daniel at mail24.vip (Daniel) Date: Tue, 22 May 2018 14:58:42 +0200 Subject: =?UTF-8?Q?AW:_=C3=84rger_mit_Hostname_&_outlook?= =?UTF-8?Q?.de?= In-Reply-To: <591644f8-d0dd-0b1f-44fe-ba540081ec03@datev.de> References: <591644f8-d0dd-0b1f-44fe-ba540081ec03@datev.de> Message-ID: <002201d3f1cc$9c96d770$d5c48650$@mail24.vip> Zumal würde damit man ja auch Spam durchlassen welcher mit @outlook.de kommt. Dann wie vorher schon gepostet lieber die IPs aus dem SPF Einträgen von Prüfung zum Hostnamen ausnehmen. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Andreas Schulze Gesendet: Dienstag, 22. Mai 2018 12:31 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Ärger mit Hostname & outlook.de Am 20.05.2018 um 22:58 schrieb sebastian at debianfan.de: > NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host rejected: cannot find your hostname, [40.92.74.68]; from= to= proto=ESMTP helo= > > Wie "Whiteliste" ich denn bestimmte Absender - z.B. ich.du at outlook.de ? warum willst Du *Absender* whitelisten, wenn Dein Problem *Client-IP* basiert ist?? -- A. Schulze DATEV eG -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5530 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Tue May 22 15:06:03 2018 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 22 May 2018 15:06:03 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: <002201d3f1cc$9c96d770$d5c48650$@mail24.vip> References: <591644f8-d0dd-0b1f-44fe-ba540081ec03@datev.de> <002201d3f1cc$9c96d770$d5c48650$@mail24.vip> Message-ID: <40116f88-d461-398d-7f8f-0ea4f43c2070@tms-itdienst.at> Hallo, man kann doch einzelne E-Mail-Adressen die über den gleichen Mailserver kommen durchlassen und alle anderen E-Mail-Adressen von dem Server werden dann gesperrt. Also im Allgemeinen kommt von diesem Mailserver nichts durch, außer wenn der Absender eine bestimmte Adresse ist. Servus Timm -- TMS IT-Dienst Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From tw at b-a-l-u.de Wed May 23 19:53:14 2018 From: tw at b-a-l-u.de (Thomas Walter) Date: Wed, 23 May 2018 19:53:14 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: References: Message-ID: <6af768cc-ae6f-89d7-67be-c0286ac6c439@b-a-l-u.de> Hallo, Am 20.05.18 um 22:58 schrieb sebastian at debianfan.de: > NOQUEUE: reject: RCPT from unknown[40.92.74.68]: 450 4.7.1 Client host > rejected: cannot find your hostname, [40.92.74.68]; > from= to= proto=ESMTP > helo= Hattest Du nur ein (temporäres?) Problem mit der DNS-Auflösung? dig -x 40.92.74.68 +short mail-oln040092074068.outbound.protection.outlook.com. dig +short mail-oln040092074068.outbound.protection.outlook.com. 40.92.74.68 Ich meine, ok - der HELO passt nicht, aber forward und reverse sind doch da? Balu -- () ascii ribbon campaign - against html e-mail /\ www.asciiribbon.org - against proprietary attachments From ml at andreas-ziegler.de Wed May 23 21:11:54 2018 From: ml at andreas-ziegler.de (Andreas Ziegler) Date: Wed, 23 May 2018 21:11:54 +0200 Subject: =?UTF-8?Q?Re:_=c3=84rger_mit_Hostname_&_outlook.de?= In-Reply-To: <6af768cc-ae6f-89d7-67be-c0286ac6c439@b-a-l-u.de> References: <6af768cc-ae6f-89d7-67be-c0286ac6c439@b-a-l-u.de> Message-ID: Thomas Walter schrieb am 23.05.2018 um 19:53: > Ich meine, ok - der HELO passt nicht, aber forward und reverse sind doch > da? Vermutlich haben sie es inzwischen behoben, denn auf der "mailop" Mailingliste hat vor ca. 20 Stunden ein Microsoft-Mitarbeiter geschrieben, dass er das Problem intern an die zuständigen Personen weitergibt. Grüße Andreas From mailinglisten at pothe.de Thu May 24 06:29:46 2018 From: mailinglisten at pothe.de (Andreas Pothe) Date: Thu, 24 May 2018 06:29:46 +0200 Subject: DHL und DMARC Message-ID: Hallo, am Wochenende hatte ich ein Paket in die Packstation eingeliefert und - wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden: May 21 16:26:30 mail postfix/postscreen[28091]: PASS NEW [149.239.48.16]:59593 May 21 16:26:31 mail postfix/smtpd[28106]: connect from ppf01016.deutschepost.de[149.239.48.16] May 21 16:26:31 mail postfix/smtpd[28106]: Anonymous TLS connection established from ppf01016.deutschepost.de[149.239.48.16]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) May 21 16:26:31 mail postfix/smtpd[28106]: B0FCC1F492: client=ppf01016.deutschepost.de[149.239.48.16] May 21 16:26:31 mail postfix/cleanup[28111]: B0FCC1F492: message-id=<1161427380.612645.1526912782237.JavaMail.dpagmk at PPF01016.deutschepost.de> May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: ppf01016.deutschepost.de [149.239.48.16] not internal May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: not authenticated May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: *no signature data* May 21 16:26:31 mail opendmarc[8825]: B0FCC1F492: *dhl.de fail* May 21 16:26:31 mail postfix/cleanup[28111]: B0FCC1F492: milter-reject: END-OF-MESSAGE from ppf01016.deutschepost.de[149.239.48.16]: 5.7.1 *rejected by DMARC policy* for dhl.de; from= to= proto=ESMTP helo= May 21 16:26:31 mail postfix/smtpd[28106]: disconnect from ppf01016.deutschepost.de[149.239.48.16] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7 Sehe ich das richtig, dass die ihr Mailsystem völlig falsch konfiguriert haben oder liegt der Fehler doch auf meiner Seite? Die DMARC-Policy sagt bei denen tatsächlich "REJECT" und die Mail kam unsigniert an. Aber irgendwie mag ich nicht so recht glauben, dass ein solches Milliarden-Unternehmen nicht fähig ist, seine (Mail-)Systeme korrekt einzustellen - daher meine Nachfrage hier. Die E-Mail postmaster at dhl.de bringt dann auch noch schön Backscatter, bei postmaster at dhl.com wird sie zugestellt - aber auch nach zwei Tagen bislang Null Reaktion von denen. Hat jemand Erfahrungen mit deren IT? Ohne Einlieferungsbeleg ist ziemlich blöd... Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From andreas.schulze at datev.de Thu May 24 07:52:45 2018 From: andreas.schulze at datev.de (Andreas Schulze) Date: Thu, 24 May 2018 07:52:45 +0200 Subject: DHL und DMARC In-Reply-To: References: Message-ID: Am 24.05.2018 um 06:29 schrieb Andreas Pothe: > Sehe ich das richtig, dass die ihr Mailsystem völlig falsch konfiguriert haben oder liegt der Fehler doch auf meiner Seite? Die DMARC-Policy sagt bei denen tatsächlich "REJECT" und die Mail kam unsigniert an. Aber irgendwie mag ich nicht so recht glauben, dass ein solches Milliarden-Unternehmen nicht fähig ist, seine (Mail-)Systeme korrekt einzustellen - daher meine Nachfrage hier. bei DHL ist DMARC kaputt. Die schaffen es seit Jahren nicht, das zu fixen. -- A. Schulze DATEV eG From juri at koschikode.com Thu May 24 08:03:34 2018 From: juri at koschikode.com (Juri Haberland) Date: Thu, 24 May 2018 08:03:34 +0200 Subject: DHL und DMARC In-Reply-To: References: Message-ID: <03066265875546446a8284c3c7d267b5@koschikode.com> On 2018-05-24 06:29, Andreas Pothe wrote: > Hallo, > > am Wochenende hatte ich ein Paket in die Packstation eingeliefert und - > wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht > gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden: Was mir in deinem Log fehlt, ist SPF - womit checkst du das? Denn die IP 149.239.48.16 ist im SPF record für dhl.de enthalten. Von daher hätte DMARC eigentlich funktionieren müssen... Gruß, Juri From mailinglisten at pothe.de Thu May 24 10:03:45 2018 From: mailinglisten at pothe.de (mailinglisten at pothe.de) Date: Thu, 24 May 2018 10:03:45 +0200 Subject: DHL und DMARC In-Reply-To: <03066265875546446a8284c3c7d267b5@koschikode.com> References: <03066265875546446a8284c3c7d267b5@koschikode.com> Message-ID: Am 2018-05-24 08:03, schrieb Juri Haberland: > On 2018-05-24 06:29, Andreas Pothe wrote: >> Hallo, >> >> am Wochenende hatte ich ein Paket in die Packstation eingeliefert und >> - >> wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht >> gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden: > > Was mir in deinem Log fehlt, ist SPF - womit checkst du das? Denn die > IP 149.239.48.16 ist im SPF record für dhl.de enthalten. Von daher > hätte DMARC eigentlich funktionieren müssen... Das scheint das Problem zu sein... Ich habe zwar openDkim vorgeschaltet, aber keinen SPF-Checker. D. h. OpenDmarc bewertet ausschließlich DKIM, nicht aber SPF. Jetzt, wo ich mir die Doku von openDkim nochmal durchlese, wird mir das auch klar - man sollte sich immer (auch) die Originalquelle ansehen und nicht Infos auf Drittseiten. *facepalm* Lesson learned. Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das korrekt auswertet? Danke soweit VG Andreas From bluewind at xinu.at Thu May 24 10:08:34 2018 From: bluewind at xinu.at (Florian Pritz) Date: Thu, 24 May 2018 10:08:34 +0200 Subject: DHL und DMARC In-Reply-To: References: <03066265875546446a8284c3c7d267b5@koschikode.com> Message-ID: On 24.05.2018 10:03, mailinglisten at pothe.de wrote: > Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix > empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das > korrekt auswertet? Wenn opendmarc gegen libspf2 gebaut wird kann es SPF intern prüfen. Die option in der config dafür ist dann "SPFSelfValidate true". Florian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From mailinglisten at pothe.de Thu May 24 12:09:49 2018 From: mailinglisten at pothe.de (mailinglisten at pothe.de) Date: Thu, 24 May 2018 12:09:49 +0200 Subject: DHL und DMARC In-Reply-To: References: <03066265875546446a8284c3c7d267b5@koschikode.com> Message-ID: Am 2018-05-24 10:08, schrieb Florian Pritz: > On 24.05.2018 10:03, mailinglisten at pothe.de wrote: >> Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix >> empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das >> korrekt auswertet? > > Wenn opendmarc gegen libspf2 gebaut wird kann es SPF intern prüfen. Die > option in der config dafür ist dann "SPFSelfValidate true". Danke, das hilft und scheint auch gut zu laufen. Dann muss ich wohl mal ganz schnell noch ein Paket versenden ;) From infoomatic at gmx.at Thu May 24 14:53:12 2018 From: infoomatic at gmx.at (Infoomatic) Date: Thu, 24 May 2018 14:53:12 +0200 Subject: Problem mit DKIM und header_checks Message-ID: Hi Liste, Ich hab hier ein Problem und bitte um Hilfe. Und zwar: ich wollte die mime_header_checks und header_checks in Postfix 2.11 dazu verwenden weniger Informationen preiszugeben - das funktioniert auch mit den regexp: /^Received:.*with ESMTPSA/ IGNORE /^X-Originating-IP:/ IGNORE /^X-Mailer:/ IGNORE /^User-Agent:.*/ IGNORE /^X-Forward:.*/ IGNORE Allerdings: Wenn ich über webmail jetzt ein Mail verschicke passt alles. Wenn ich mit Thunderbird 52.8 ein Mail verschicke krieg ich dann als Empfänger ein: Authentication-Results: example.com (amavisd-new); dkim=fail (2048-bit key) reason="fail (message has been altered)" header.d=example.com Sobald ich diese (mime_)header_checks deaktiviere passt wieder alles. In OpenDKIM ist konfiguriert "OversignHeaders From,Sender,To,CC,Subject,Date" - wenn ich hier "Subject" rausnehme und die (mime_)header_checks in Postfix lasse passt auch alles. Was mir aufgefallen ist, weiss nicht ob das relevant ist: in den Mails bei denen dkim=fail im header steht ist das Subject VOR DKIM-Signature. Sonst steht DKIM-Signature vor Subject, To, References, From etc. Ich seh hier den Zusammenhang nicht so ganz, vielleicht weiss ja jemand mehr und hilft mir auf die Sprünge! Danke schonmal! LG, Robert