From Hajo.Locke at gmx.de Thu Aug 1 14:39:38 2019 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Thu, 1 Aug 2019 14:39:38 +0200 Subject: OT: Frage zu Spamassassinregel Message-ID: Hallo Liste, habe mal eine Frage zu einer Spamassassinregel die ich heute das erste mal in einer Auswertung gesehen hat. Die Rule nennt sich SB_GIF_AND_NO_URIS Die Regel ist auch relativ hoch bewertet: /var/lib/spamassassin/3.004002/updates_spamassassin_org/50_scores.cf:score SB_GIF_AND_NO_URIS 2.199 2.199 2.200 2.199 # n=2 /var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:##{ SB_GIF_AND_NO_URIS /var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:meta SB_GIF_AND_NO_URIS (__GIF_ATTACH&&!__HAS_ANY_URI&&!__HAS_ANY_EMAIL) /var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:##} SB_GIF_AND_NO_URIS Ich verstehe aber aktuell den Sinn dahinter nicht. Die offizielle Beschreibung deckt sich mit der Mutmaßung beim analysieren der Regel: >>The mail has an attachment of the MIME-type "image/gif" but the body does not contain a URI and an email address.<< Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI und keine Mailadresse genannt. Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt? Danke, Hajo From ffiene at veka.com Thu Aug 1 22:41:19 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 1 Aug 2019 22:41:19 +0200 Subject: Frage zu header_checks Message-ID: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> Hallo zusammen, Gibt es eigentlich eine Möglichkeit, mir das Subject ausgeben zu lassen wenn ein anderes Header-Feld gefunden wird? Ich habe bisher immer gesehen, dass dann genau der Header ausgegeben wird, den ich auch überprüfe. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Christian.Hoyer-Reuther at cac-chem.de Fri Aug 2 07:49:17 2019 From: Christian.Hoyer-Reuther at cac-chem.de (Hoyer-Reuther, Christian) Date: Fri, 2 Aug 2019 05:49:17 +0000 Subject: AW: Frage zu header_checks In-Reply-To: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> References: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> Message-ID: <9101B58C55015448AFA1920BCB67E14591BB66@EX10.cac.loc> Hallo Frank, ein Schnellschuss (nicht getestet) ? vielleicht würde es so klappen: if /^some-header:/ /^subject:/ WARN endif Christian Von: Postfixbuch-users Im Auftrag von Frank Fiene Gesendet: Donnerstag, 1. August 2019 22:41 An: Diskussionen und Support rund um Postfix Betreff: Frage zu header_checks Hallo zusammen, Gibt es eigentlich eine Möglichkeit, mir das Subject ausgeben zu lassen wenn ein anderes Header-Feld gefunden wird? Ich habe bisher immer gesehen, dass dann genau der Header ausgegeben wird, den ich auch überprüfe. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Fri Aug 2 08:47:09 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 2 Aug 2019 08:47:09 +0200 Subject: AW: Frage zu header_checks In-Reply-To: <9101B58C55015448AFA1920BCB67E14591BB66@EX10.cac.loc> References: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> <9101B58C55015448AFA1920BCB67E14591BB66@EX10.cac.loc> Message-ID: <000a01d548fe$1bc6e3d0$5354ab70$@fblan.de> Im Auftrag von Hoyer-Reuther, Christian > > > > if /^some-header:/ > > /^subject:/ WARN > > endif > > Sowas geht leider nicht Headerchecks in Postfix ist Zeilenorientiert Es wird immer eine Zeile nach der anderen geprüft Was vorher , nachher kommt ist nicht verfügbar Sowas können nur komplexe Milter Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " From ffiene at veka.com Fri Aug 2 09:26:02 2019 From: ffiene at veka.com (Frank Fiene) Date: Fri, 2 Aug 2019 09:26:02 +0200 Subject: Frage zu header_checks In-Reply-To: <000a01d548fe$1bc6e3d0$5354ab70$@fblan.de> References: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> <9101B58C55015448AFA1920BCB67E14591BB66@EX10.cac.loc> <000a01d548fe$1bc6e3d0$5354ab70$@fblan.de> Message-ID: <822E2743-6241-45EC-BB94-47489AD8B34E@veka.com> Ja, genauso habe ich das auch verstanden. :-( Dann werde ich wohl alle Subjects ins Log schreiben und das ganze in Graylog filtern. > Am 02.08.2019 um 08:47 schrieb Uwe Drießen : > > Im Auftrag von Hoyer-Reuther, Christian >> >> >> >> if /^some-header:/ >> >> /^subject:/ WARN >> >> endif >> >> > > > Sowas geht leider nicht > Headerchecks in Postfix ist Zeilenorientiert > Es wird immer eine Zeile nach der anderen geprüft > Was vorher , nachher kommt ist nicht verfügbar > Sowas können nur komplexe Milter > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, > dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " > > > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Fri Aug 2 09:34:07 2019 From: wn at neessen.net (Winfried Neessen) Date: Fri, 02 Aug 2019 09:34:07 +0200 Subject: Frage zu header_checks In-Reply-To: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> References: <2BF4B1FD-5A2F-446B-B6CF-9BAD55427E06@veka.com> Message-ID: <9ab7039cbb40f261b663ec330d9eac66@neessen.net> Hi Frank, Am 2019-08-01 22:41, schrieb Frank Fiene: > Gibt es eigentlich eine Möglichkeit, mir das Subject ausgeben zu lassen > wenn ein > anderes Header-Feld gefunden wird? > Ich habe bisher immer gesehen, dass dann genau der Header ausgegeben > wird, den ich > auch überprüfe. > Mit header_check duerfte das nicht gehen, aber Du koenntest Dir ein simples Script schreiben, dass das macht: http://www.postfix.org/FILTER_README.html (da ist schon ein Bsp.-Script in der README vorhanden). Winni From ad+lists at uni-x.org Fri Aug 2 15:01:20 2019 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 02 Aug 2019 15:01:20 +0200 Subject: OT: Frage zu Spamassassinregel In-Reply-To: References: Message-ID: Am 2019-08-01 14:39, schrieb Hajo Locke: > Hallo Liste, [ ... ] >>> The mail has an attachment of the MIME-type "image/gif" but the body > does not contain a URI and an email address.<< > > Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI > und > keine Mailadresse genannt. > Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt? Das sind Spam-Nachrichten, deren spammiger Inhalt in einem Bild steckt und die verdächtigen URLs und sonstige Adressen nicht textuell geparsed werden können. Spammer versuchen so, entsprechende Blacklists wie http://uribl.com/ zu umgehen. > Danke, > Hajo Alexander From Hajo.Locke at gmx.de Mon Aug 5 08:26:41 2019 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Mon, 5 Aug 2019 08:26:41 +0200 Subject: OT: Frage zu Spamassassinregel In-Reply-To: References: Message-ID: <5bf38d54-ca27-caa8-d0df-f0aaacbcbf1a@gmx.de> Hallo, Am 02.08.2019 um 15:01 schrieb Alexander Dalloz: > Am 2019-08-01 14:39, schrieb Hajo Locke: >> Hallo Liste, > > [ ... ] > >>>> The mail has an attachment of the MIME-type "image/gif" but the body >> does not contain a URI and an email address.<< >> >> Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI und >> keine Mailadresse genannt. >> Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt? > > Das sind Spam-Nachrichten, deren spammiger Inhalt in einem Bild steckt > und die verdächtigen URLs und sonstige Adressen nicht textuell > geparsed werden können. Spammer versuchen so, entsprechende Blacklists > wie http://uribl.com/ zu umgehen. Ja, so in die Richtung wird es gehen, ich war aber der Meinung die bisherigen Regeln zu dieser Art Spam sind ausreichend und finde ich auch etwas genauer. gif im Anhang und keine Mailadresse oder URL im Body finde ich etwas zu alltäglich. > >> Danke, >> Hajo > > Alexander > > Hajo From thomas at plant.systems Mon Aug 5 15:41:55 2019 From: thomas at plant.systems (Thomas Plant) Date: Mon, 5 Aug 2019 15:41:55 +0200 Subject: Bounce bei 'Mailbox size limit exceeded' Message-ID: Hallo, hoffe folgende Frage ist nicht ganz idiotisch. Wir haben hunderte Mails in der Queue unseres eingehenden Gateways mit 'Mailbox size limit exceeded', besonders jetzt in der Ferienzeit. Kann ich das irgendwie in Postfix abfangen und gleich einen 5xx Fehler zurückgeben? Allerdings nur wenn die Meldung von unserem eigenen Mailserver kommt. Für unsere Kunden wo wir nur spamfiltern und extern ausliefern, sollten die Mails für die max. Queue Time in der Queue behalten werden. Ein 'mailq' gibt zum Beispiel folgendes aus: 462HC512R2z11fg      57220 Mon Aug  5 14:29:37 noreply at abdcdefg.com (host 10.ZZZ.XXX.YYY[10.ZZZ.XXX.YYY] said: 452 Mailbox size limit exceeded (in reply to RCPT TO command))                                                info at unserkunde.com Oder besser ein Skript basteln das regelmäßig den Output von 'mailq' durchgeht und dann die Mails bouncen? Da wäre ich dann bei der zweiten Frage, wie bounce ich so ein Mail korrekt? Einfach die QueueID suchen/greppen und von 'deferred' in /var/spool/postfix/bounce verschieben? Danke und Grüße, Thomas P.S.: Postfix ist etwas älter, Version 2.11.3 Debian 8 From klaus at tachtler.net Mon Aug 5 16:26:43 2019 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 05 Aug 2019 16:26:43 +0200 Subject: Bounce bei 'Mailbox size limit exceeded' In-Reply-To: Message-ID: <20190805162643.Horde.1BOPCrqkZqOru2UW49n3F2P@buero.tachtler.net> Hallo Thomas, woher kennt den der Postfix die Quota der einzelnen Postfächer? Habt Ihr evtl. einen Dovecot hinter dem Postfix als Backend-System mit den Postfächern? Falls dies so sein sollte, muss der Postfix ja das Backend-System fragen ob noch genug Speicherplatz frei ist. Hier kann dann geregelt werden, welche Antwort der Dovecot an den Postfix zurück gibt, wenn das Postfach voll sein sollte: Hier mal ein Beispiel: --> quota_status_overquota = "552 5.2.2 Mailbox is over quota" /etc/dovecot/conf.d/91-quota-status.conf ---- %< ---- ## ## Quota-Status configuration. ## # Load Module quota-status and listen on TCP/IP Port for connections. service quota-status { executable = quota-status -p postfix inet_listener { address = 10.7.0.80 port = 12340 } client_limit = 1 } # Plugin configuration. # Return messages for requests by quota status: success, nouser and overquota. plugin { quota_status_success = DUNNO quota_status_nouser = DUNNO quota_status_overquota = "552 5.2.2 Mailbox is over quota" } ---- >% ---- Siehe auch mein DokuWiki, welches ich mal für mich erstellt habe: https://dokuwiki.tachtler.net/doku.php?id=tachtler:dovecot_quotas&s[]=91&s[]=quota&s[]=status#konfiguration_-_quota-policy-server Siehe auch nachfolgenden BLOG-Eintrag: https://blog.sys4.de/dovecot-quota-mit-postfix-abfragen-de.html Grüße Klaus. > Hallo, > > hoffe folgende Frage ist nicht ganz idiotisch. > > Wir haben hunderte Mails in der Queue unseres eingehenden Gateways mit > 'Mailbox size limit exceeded', besonders jetzt in der Ferienzeit. Kann > ich das irgendwie in Postfix abfangen und gleich einen 5xx Fehler > zurückgeben? Allerdings nur wenn die Meldung von unserem eigenen > Mailserver kommt. Für unsere Kunden wo wir nur spamfiltern und extern > ausliefern, sollten die Mails für die max. Queue Time in der Queue > behalten werden. > > Ein 'mailq' gibt zum Beispiel folgendes aus: > > 462HC512R2z11fg      57220 Mon Aug  5 > 14:29:37 noreply at abdcdefg.com > (host 10.ZZZ.XXX.YYY[10.ZZZ.XXX.YYY] said: 452 > Mailbox size limit exceeded (in reply to RCPT TO command)) >                                                > info at unserkunde.com > > Oder besser ein Skript basteln das regelmäßig den Output von 'mailq' > durchgeht und dann die Mails bouncen? Da wäre ich dann bei der zweiten > Frage, wie bounce ich so ein Mail korrekt? Einfach die QueueID > suchen/greppen und von 'deferred' in /var/spool/postfix/bounce verschieben? > > Danke und Grüße, > Thomas > > P.S.: Postfix ist etwas älter, Version 2.11.3 Debian 8 -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From thomas at plant.systems Mon Aug 5 16:37:40 2019 From: thomas at plant.systems (Thomas Plant) Date: Mon, 5 Aug 2019 16:37:40 +0200 Subject: Bounce bei 'Mailbox size limit exceeded' In-Reply-To: <20190805162643.Horde.1BOPCrqkZqOru2UW49n3F2P@buero.tachtler.net> References: <20190805162643.Horde.1BOPCrqkZqOru2UW49n3F2P@buero.tachtler.net> Message-ID: Am 05.08.2019 um 16:26 schrieb Klaus Tachtler: > Hallo Thomas, > > woher kennt den der Postfix die Quota der einzelnen Postfächer? > > Habt Ihr evtl. einen Dovecot hinter dem Postfix als Backend-System mit > den Postfächern? > > Falls dies so sein sollte, muss der Postfix ja das Backend-System > fragen ob noch genug Speicherplatz frei ist. > > Hier kann dann geregelt werden, welche Antwort der Dovecot an den > Postfix zurück gibt, wenn das Postfach voll sein sollte: > > Hier mal ein Beispiel: --> quota_status_overquota = "552 5.2.2 Mailbox > is over quota" > > /etc/dovecot/conf.d/91-quota-status.conf > > ---- %< ---- > > ## > ## Quota-Status configuration. > ## > > # Load Module quota-status and listen on TCP/IP Port for connections. > service quota-status { >   executable = quota-status -p postfix >   inet_listener { >     address = 10.7.0.80 >     port = 12340 >   } >   client_limit = 1 > } > > # Plugin configuration. > # Return messages for requests by quota status: success, nouser and > overquota. > plugin { >   quota_status_success = DUNNO >   quota_status_nouser = DUNNO >   quota_status_overquota = "552 5.2.2 Mailbox is over quota" > } > > ---- >% ---- > > Siehe auch mein DokuWiki, welches ich mal für mich erstellt habe: > > https://dokuwiki.tachtler.net/doku.php?id=tachtler:dovecot_quotas&s[]=91&s[]=quota&s[]=status#konfiguration_-_quota-policy-server > > > Siehe auch nachfolgenden BLOG-Eintrag: > > https://blog.sys4.de/dovecot-quota-mit-postfix-abfragen-de.html > > > Grüße > Klaus. > > >> Hallo, >> >> hoffe folgende Frage ist nicht ganz idiotisch. >> >> Wir haben hunderte Mails in der Queue unseres eingehenden Gateways mit >> 'Mailbox size limit exceeded', besonders jetzt in der Ferienzeit. Kann >> ich das irgendwie in Postfix abfangen und gleich einen 5xx Fehler >> zurückgeben? Allerdings nur wenn die Meldung von unserem eigenen >> Mailserver kommt. Für unsere Kunden wo wir nur spamfiltern und extern >> ausliefern, sollten die Mails für die max. Queue Time in der Queue >> behalten werden. >> >> Ein 'mailq' gibt zum Beispiel folgendes aus: >> >> 462HC512R2z11fg      57220 Mon Aug  5 >> 14:29:37 noreply at abdcdefg.com >> (host 10.ZZZ.XXX.YYY[10.ZZZ.XXX.YYY] said: 452 >> Mailbox size limit exceeded (in reply to RCPT TO command)) >>                                                >> info at unserkunde.com >> >> Oder besser ein Skript basteln das regelmäßig den Output von 'mailq' >> durchgeht und dann die Mails bouncen? Da wäre ich dann bei der zweiten >> Frage, wie bounce ich so ein Mail korrekt? Einfach die QueueID >> suchen/greppen und von 'deferred' in /var/spool/postfix/bounce >> verschieben? >> >> Danke und Grüße, >> Thomas >> >> P.S.: Postfix ist etwas älter, Version 2.11.3 Debian 8 > > > > > Hi, Postfix kennt die Quota nicht, er leitet 'nur' an unseren internen Mailgateway weiter und bekommt dann den 452 Fehler zurück falls das Postfach voll ist. Wäre schön ein Dovecot zu haben, aber unser SmarterMail kann das, soweit ich weiß, nicht. LG, Thomas From driessen at fblan.de Tue Aug 6 00:09:17 2019 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Tue, 6 Aug 2019 00:09:17 +0200 Subject: =?iso-8859-1?Q?Nervens=E4gen_in_Dovecot?= Message-ID: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> Ich hab da mal ne Frage Aug 6 00:00:21 mail dovecot: auth: cache(rollingstones at fblan.net,177.44.25.101): unknown user (given password: rollingstones2010) Aug 6 00:00:31 mail dovecot: auth: cache(rollingstones at fblan.net,177.129.206.103): unknown user (given password: rollingstones2010) Aug 6 00:00:40 mail dovecot: auth: cache(rollingstones at fblan.net,177.84.98.113): unknown user (given password: rollingstones2010) Aug 6 00:00:50 mail dovecot: auth: cache(rollingstones at fblan.net,200.23.234.175): unknown user (given password: rollingstones2010) Aug 6 00:00:59 mail dovecot: auth: cache(rollingstones at fblan.net,177.221.98.138): unknown user (given password: rollingstones2010) Aug 6 00:01:09 mail dovecot: auth: cache(rollingstones at fblan.net,189.91.5.87): unknown user (given password: rollingstones2010) Aug 6 00:01:19 mail dovecot: auth: cache(rollingstones at fblan.net,131.100.76.206): unknown user (given password: rollingstones2010) Damit bekomme ich dauernd das log zugemüllt Gibt es eine Möglichkeit das Dovecot bei sowas KEINE Antwort gibt ? Einfach silent discarded ? Das scheint zur Zeit in einigen Botnetzen modern zu sein immer wieder irgendwelchen Schwachsinn auszuprobieren Unbekannte User als auch bekannte user mit falschen Passwörtern Ich würde denen gerne den Spaß dran ein bissel verkrätzen :-) und auch das das system nicht mehr verrät als das es muss Fail2ban wirft die eh schon raus und sperrt den Zugriff aber da ist eine Verzögerung drin. Käme gar keine Antwort (kein Passwort falsch, User unbekannt) würden die Anfragen evtl. schneller aufhören. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " From klaus at tachtler.net Tue Aug 6 08:31:37 2019 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 06 Aug 2019 08:31:37 +0200 Subject: =?utf-8?b?TmVydmVuc8OkZ2Vu?= in Dovecot In-Reply-To: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> Message-ID: <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> Hallo Uwe, was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei: ## ## Logging verbosity and debugging. ## # Log unsuccessful authentication attempts and the reasons why they failed. auth_verbose = no Siehe auch: https://wiki2.dovecot.org/Logging Grüße Klaus. > Ich hab da mal ne Frage > > Aug 6 00:00:21 mail dovecot: auth: > cache(rollingstones at fblan.net,177.44.25.101): unknown user (given password: > rollingstones2010) > Aug 6 00:00:31 mail dovecot: auth: > cache(rollingstones at fblan.net,177.129.206.103): unknown user (given > password: rollingstones2010) > Aug 6 00:00:40 mail dovecot: auth: > cache(rollingstones at fblan.net,177.84.98.113): unknown user (given password: > rollingstones2010) > Aug 6 00:00:50 mail dovecot: auth: > cache(rollingstones at fblan.net,200.23.234.175): unknown user (given password: > rollingstones2010) > Aug 6 00:00:59 mail dovecot: auth: > cache(rollingstones at fblan.net,177.221.98.138): unknown user (given password: > rollingstones2010) > Aug 6 00:01:09 mail dovecot: auth: > cache(rollingstones at fblan.net,189.91.5.87): unknown user (given password: > rollingstones2010) > Aug 6 00:01:19 mail dovecot: auth: > cache(rollingstones at fblan.net,131.100.76.206): unknown user (given password: > rollingstones2010) > > Damit bekomme ich dauernd das log zugemüllt > Gibt es eine Möglichkeit das Dovecot bei sowas KEINE Antwort gibt ? > Einfach silent discarded ? > > Das scheint zur Zeit in einigen Botnetzen modern zu sein immer wieder > irgendwelchen Schwachsinn auszuprobieren > Unbekannte User als auch bekannte user mit falschen Passwörtern > > Ich würde denen gerne den Spaß dran ein bissel verkrätzen :-) und auch das > das system nicht mehr verrät als das es muss > Fail2ban wirft die eh schon raus und sperrt den Zugriff aber da ist eine > Verzögerung drin. Käme gar keine Antwort (kein Passwort falsch, User > unbekannt) würden die Anfragen evtl. schneller aufhören. > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise > dermaßen erhöht, das wir nur noch am PC sitzen müssten, > dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise > zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " ----- Ende der Nachricht von Uwe Drießen ----- -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From driessen at fblan.de Tue Aug 6 09:12:42 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 6 Aug 2019 09:12:42 +0200 Subject: =?UTF-8?Q?AW:_Nervens=C3=A4gen_in_Dovecot?= In-Reply-To: <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> Message-ID: <008701d54c26$57395120$05abf360$@fblan.de> Im Auftrag von Klaus Tachtler Hallo Klaus > > was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei: > > ## > ## Logging verbosity and debugging. > ## > > # Log unsuccessful authentication attempts and the reasons why they failed. > auth_verbose = no Da habe ich yes drin stehen Ich möchte schon wissen woher die PW checks kommen von wo versucht wird Passwörter auszuspähen. Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen. Wenn User und PW richtig kommt OK Ist es falsch kommt gar nichts als würde das System keine Anfragen verarbeiten :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " From martin at lichtvoll.de Tue Aug 6 09:27:50 2019 From: martin at lichtvoll.de (Martin Steigerwald) Date: Tue, 06 Aug 2019 09:27:50 +0200 Subject: =?UTF-8?B?TmVydmVuc8OkZ2Vu?= in Dovecot In-Reply-To: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> Message-ID: <2457777.eqbdSdmVlm@merkaba> Uwe Drießen - 06.08.19, 00:09:17 CEST: > Ich hab da mal ne Frage > > Aug 6 00:00:21 mail dovecot: auth: > cache(rollingstones at fblan.net,177.44.25.101): unknown user (given > password: rollingstones2010) > Aug 6 00:00:31 mail dovecot: auth: > cache(rollingstones at fblan.net,177.129.206.103): unknown user (given > password: rollingstones2010) Hab ich auch immer wieder? Ich dachte, dass sshguard da greift, tut es aber auf meinem System aus irgendeinem Grund nicht. Mit fail2ban könnte ich mir vorstellen, dass sich das unterbinden lässt. Ciao, -- Martin From klaus at tachtler.net Tue Aug 6 09:49:29 2019 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 06 Aug 2019 09:49:29 +0200 Subject: AW: =?utf-8?b?TmVydmVuc8OkZ2Vu?= in Dovecot In-Reply-To: <008701d54c26$57395120$05abf360$@fblan.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> Message-ID: <20190806094929.Horde.OSJBOb2sO5DWiUGT3ylt-3Z@buero.tachtler.net> Hallo Uwe, dazu gibt die Doku von Dovecot leider nichts her, wie Du auch bestimmt schon gesehen hast. In https://github.com/dovecot/core/blob/master/src/auth/auth-master-connection.c habe ich auf die Schnelle auch nichts gesehen. Diese Frage kann ggf. auf dieser Mailingliste beantwortet werden, falls Du nicht schon da gefragt hattest: https://dovecot.org/mailman/listinfo/dovecot Grüße Klaus. > Im Auftrag von Klaus Tachtler > > Hallo Klaus > >> >> was hast Du in /etc/dovoecot/conf.d/10-logging.conf bei: >> >> ## >> ## Logging verbosity and debugging. >> ## >> >> # Log unsuccessful authentication attempts and the reasons why they failed. >> auth_verbose = no > > Da habe ich yes drin stehen > Ich möchte schon wissen woher die PW checks kommen von wo versucht > wird Passwörter auszuspähen. > Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen. > > Wenn User und PW richtig kommt OK > Ist es falsch kommt gar nichts als würde das System keine Anfragen > verarbeiten :-) > > > > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen > Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, > dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise > zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " ----- Ende der Nachricht von Uwe Drießen ----- -- -------------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net -------------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From wn at neessen.net Tue Aug 6 10:02:28 2019 From: wn at neessen.net (Winfried Neessen) Date: Tue, 6 Aug 2019 10:02:28 +0200 Subject: =?utf-8?Q?Re=3A_Nervens=C3=A4gen_in_Dovecot?= In-Reply-To: <008701d54c26$57395120$05abf360$@fblan.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> Message-ID: <695EE926-643C-433B-A43C-B4652E238023@neessen.net> Hi, On 6. Aug 2019, at 09:12, Uwe Drießen wrote: > Ich möchte schon wissen woher die PW checks kommen von wo versucht wird Passwörter auszuspähen. > Ich hätte aber gerne das diejenigen die das versuchen keine Antwort bekommen. > > Wenn User und PW richtig kommt OK > Ist es falsch kommt gar nichts als würde das System keine Anfragen verarbeiten :-) > Wo ist der Unterschied? Wenn jemand versucht einen Account zu per Brute-Force zu knacken, schaut das Script eh nicht auf negative Antworten sondern wartet auf ein "OK". Dem potenziellen Angreifer ist es voellig egal ob da jetzt nichts zurueck kommt oder "Login failed". In der Regel probieren die Scripte eh irgendwelche vorgefertigten Passwordlisten durch. Wenn Deine User sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force Angriff egal sein und da Du ja sowieso fail2ban nutzt, bleiben dem Script eh nur eine Hand voll Versuche bis die IP geblockt wird. Diese ganzen Aufwaende nur um ein paar Script-Kiddies den Spass zu verderben ist m. E. der absolut falsche Ansatz. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From driessen at fblan.de Tue Aug 6 11:08:51 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 6 Aug 2019 11:08:51 +0200 Subject: =?UTF-8?Q?AW:_Nervens=C3=A4gen_in_Dovecot?= In-Reply-To: <695EE926-643C-433B-A43C-B4652E238023@neessen.net> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> <695EE926-643C-433B-A43C-B4652E238023@neessen.net> Message-ID: <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von Winfried Neessen > > Hi, > > On 6. Aug 2019, at 09:12, Uwe Drießen wrote: > > > Wo ist der Unterschied? Wenn jemand versucht einen Account zu per Brute- > Force zu knacken, schaut das > Script eh nicht auf negative Antworten sondern wartet auf ein "OK". Dem > potenziellen Angreifer ist es voellig > egal ob da jetzt nichts zurueck kommt oder "Login failed". Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth system arbeitet oder eben auch nicht. Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes Burgtor. Und wenn ich nicht weiß das da eine Tür ist werde ich wohl das Brecheisen nicht unbedingt da ansetzen. > > In der Regel probieren die Scripte eh irgendwelche vorgefertigten > Passwordlisten durch. Wenn Deine User > sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force Weiß ich das ? Es sollte so sein Wechseln die es alle 3 Monate? Eigentlich ein muss ...... z.T. kommen die Abfragen auch mit nicht mehr existenten Adressen und irgendwann mal gültigen Passwörtern. Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar. Ich kenne nur einen sicheren Server :-) 3 Meter Dicker Stahlbeton von allen Seiten, keine Fenster, keine Türen, keinen Strom und keinen Internetanschluss am Server . Die Frage ist nicht Ob eingebrochen wird sondern immer nur wie hoch ist der Aufwand und wann wird es passieren :-) > Angriff egal sein und da Du ja > sowieso fail2ban nutzt, bleiben dem Script eh nur eine Hand voll Versuche bis > die IP geblockt wird. Wenn es denn nur eine wäre Es kommt schwallartig innerhalb weniger minuten einige 100 IP z.T. Weltweit Einzelne IP in der Regel nur einmal im Schwall aber über Tage immer wieder > > Diese ganzen Aufwaende nur um ein paar Script-Kiddies den Spass zu > verderben ist m. E. der absolut > falsche Ansatz. keine Scriptkiddies (wären nur wenige IP Adressen) Eher große Botnetze die Anzahl der IP Adressen z.T. mehrere 100 IPAdressen aus denselben Ländern. Und wenn es zu viel wird setzen wir halt noch ein paar Server mehr ein :-) Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAl1JQ5kACgkQur3LxV3c LvzXnwf9Ee1MVJniWWVFpkpbYa+PugTr3oev3l6ckzdThph/TcqgPemOshaDyufU UMr1zRBl5pCjpZOgTN321KWH8nPKllrM8F5SmqXW+u3eTSmwMfGISPYZ9r59aZDu X34IhxcHVUWzQgRpBcsB6aXF+BdlMmTBaUMr9Lm1QBamWZfYnbKAsYFZ6ZDQdZyH TEDtM0r0n0rzf5orXybuQOqFw/cilc3/eInI57U4W6KvkgD7QFuKJ/LiHW+aMmSh o8HhckRK1DBYAU8EjPc51KCYRswzJMxJjUVzjJB3g3RoFpajN3UqoxHbe2s55UhR kN67XxFGOvvyLFOSeZGj6YldeXsRIg== =f+pM -----END PGP SIGNATURE----- From Ralf.Hildebrandt at charite.de Tue Aug 6 11:17:04 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 6 Aug 2019 11:17:04 +0200 Subject: [ext] AW: =?utf-8?Q?Nervens=C3=A4ge?= =?utf-8?Q?n?= in Dovecot In-Reply-To: <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> <695EE926-643C-433B-A43C-B4652E238023@neessen.net> <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> Message-ID: <20190806091702.tjmpyopp45udtswr@charite.de> * Uwe Drießen : > Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth system arbeitet oder eben auch nicht. Öhm, das erfährt er schon vorher, also in dem Augenblick wo er Username & Passwort schickt (weil er den Banner erhalten hat). -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From wn at neessen.net Tue Aug 6 11:24:47 2019 From: wn at neessen.net (Winfried Neessen) Date: Tue, 6 Aug 2019 11:24:47 +0200 Subject: =?utf-8?Q?Re=3A_Nervens=C3=A4gen_in_Dovecot?= In-Reply-To: <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> <695EE926-643C-433B-A43C-B4652E238023@neessen.net> <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> Message-ID: On 6. Aug 2019, at 11:08, Uwe Drießen wrote: > Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth > system arbeitet oder eben auch nicht. > Das ist ein Irrglaube. Die meisten Brute-Force Systeme warten nichtmal auf die Antwort des Servers sondern pumpen einfach Requests rein. Fuer den Angreifer ist es viel zu viel Aufwand auf eine negative Antwort zu warten. Der Angreifer will schnellen Erfolg mit moeglichst wenig Aufwand. > Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes Burgtor. > Und wenn ich nicht weiß das da eine Tür ist werde ich wohl das Brecheisen nicht unbedingt da ansetzen. > Klassische "Security by Obscurity"-Taktik. Das ist genau wie den Versions-String vom Webserver auf 'ne andere Versionsnummer zu setzen um zu suggerieren, dass der Angreifer garnicht versuchen braucht einen Angriff zu starten. > > In der Regel probieren die Scripte eh irgendwelche vorgefertigten Passwordlisten durch. Wenn Deine User > > sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force > > Weiß ich das ? > Es sollte so sein Naja, Du kannst das. ja durchaus forcieren in dem Du sinvolle Passwordregeln vorgibst. > Wechseln die es alle 3 Monate? Voelliger Schwachsinn. Das ist eine Methode aus den 80ern die schon laengst als nicht sinnvoll widerlegt wurde. > z.T. kommen die Abfragen auch mit nicht mehr existenten Adressen und irgendwann mal gültigen Passwörtern. So what? Wenn die Adresse nicht mehr existiert, dann kann der Angreifer soviel versuchen sich einzuloggen wie er moechte. Es wird nie funktioneren. > Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar. > Aus irgendwelche Data-Breaches (LinkedIn, Adobe, Yahoo, etc.) oder von lokaler Malware auf dem Rechner des eigentlichen Mailkonto-Inhabers. > Die Frage ist nicht Ob eingebrochen wird sondern immer nur wie hoch ist der Aufwand und wann wird es passieren :-) > Richtig. Aber die Aufwaende die Du da treibst machen es dem Angreifer nicht schwieriger, sondern nur Dir. > keine Scriptkiddies (wären nur wenige IP Adressen) Das ist Quatsch. Dank mietbaren Botnetzen kann jeder tausende IPs fuer 'n Appel und 'n Ei mieten. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Aug 6 11:29:38 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 6 Aug 2019 11:29:38 +0200 Subject: [ext] Re: =?utf-8?Q?Nervens=C3=A4ge?= =?utf-8?Q?n?= in Dovecot In-Reply-To: References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> <695EE926-643C-433B-A43C-B4652E238023@neessen.net> <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> Message-ID: <20190806092936.enx4b575766m7ci6@charite.de> > > Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar. > > > Aus irgendwelche Data-Breaches (LinkedIn, Adobe, Yahoo, etc.) oder von lokaler Malware auf dem Rechner des > eigentlichen Mailkonto-Inhabers. In dem Zusammenhang möchte ich noch auf https://haveibeenpwned.com hinweisen, wo man seine eigen Emailadresse abfragen kann. Als Domaineninhaber geht sogar eine Abfrage über die gesamte Domain: https://haveibeenpwned.com/DomainSearch -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From driessen at fblan.de Tue Aug 6 11:34:43 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 6 Aug 2019 11:34:43 +0200 Subject: =?UTF-8?Q?AW:_=5Bext=5D_AW:_Nervens=C3=A4gen_in_Dov?= =?UTF-8?Q?ecot?= In-Reply-To: <20190806091702.tjmpyopp45udtswr@charite.de> References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <20190806083137.Horde.rxn6ulCBSM6GF2NLDrVIIoc@buero.tachtler.net> <008701d54c26$57395120$05abf360$@fblan.de> <695EE926-643C-433B-A43C-B4652E238023@neessen.net> <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> <20190806091702.tjmpyopp45udtswr@charite.de> Message-ID: <009a01d54c3a$2e021440$8a063cc0$@fblan.de> > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users [mailto:postfixbuch-users- > bounces at listen.jpberlin.de] Im Auftrag von Ralf Hildebrandt > Gesendet: Dienstag, 6. August 2019 11:17 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: [ext] AW: Nervensägen in Dovecot > > * Uwe Drießen : > > > Es macht aber schon einen Unterschied ob der Angreifer bestätigt > bekommt das da ein auth system arbeitet oder eben auch nicht. > > Öhm, das erfährt er schon vorher, also in dem Augenblick wo er > Username & Passwort schickt (weil er den Banner erhalten hat). > Stimmt, hab ich nicht dran gedacht In dem Moment in dem er die Verbindung öffnet bekommt er schon mitgeteilt wer da auf der anderen Seite ist Grrrrr Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " From martin at lichtvoll.de Tue Aug 6 13:54:21 2019 From: martin at lichtvoll.de (Martin Steigerwald) Date: Tue, 06 Aug 2019 13:54:21 +0200 Subject: =?UTF-8?B?TmVydmVuc8OkZ2Vu?= in Dovecot In-Reply-To: References: <008301d54bda$6cb89ed0$4629dc70$@fblan.de> <009501d54c36$90f1fa60$b2d5ef20$@fblan.de> Message-ID: <5439028.TuysR8Jnte@merkaba> Winfried Neessen - 06.08.19, 11:24:47 CEST: > > Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes > > Burgtor. Und wenn ich nicht weiß das da eine Tür ist werde ich wohl > > das Brecheisen nicht unbedingt da ansetzen. > Klassische "Security by Obscurity"-Taktik. Das ist genau wie den > Versions-String vom Webserver auf 'ne andere Versionsnummer zu setzen > um zu suggerieren, dass der Angreifer garnicht versuchen braucht > einen Angriff zu starten. Nicht als Security by Obscurity aber als Taktik die Protokolle sauber zu halten funktioniert bei mir SSH auf einen anderen Port zu legen. Ich sehe da bei Stichproben-artigen Kontrollen üblicherweise nur Stille im Log. Da außer mir nur ein paar Freunde meinen Mail-Server nutzen, wäre das für Dovecot auch eine Idee. Aber für einen Server mit vielen Benutzern ist das eher unpraktisch. So oder so? lohnt sich der Aufwand wahrscheinlich nicht. fail2ban sollte das doch blocken. -- Martin From Jogie at quantentunnel.de Wed Aug 7 11:44:40 2019 From: Jogie at quantentunnel.de (=?UTF-8?Q?=22J=C3=B6rg_Sitek=22?=) Date: Wed, 7 Aug 2019 11:44:40 +0200 Subject: G DATA Linux Client mit amavis-d Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From a.meyer at bitclusive.de Wed Aug 7 21:31:06 2019 From: a.meyer at bitclusive.de (Andreas Meyer) Date: Wed, 7 Aug 2019 21:31:06 +0200 Subject: GUI =?UTF-8?B?ZsO8cg==?= Spamadministration Message-ID: <20190807213106.74a091d0@bitclusive.de> Hallo! Gibt es zum managen von SPAM-Regeln ein grafisches Interface für normale Benutzer von Postfix? Ich meine, ich hätte hier kürzlich einen Hinweis dazu gelesen, kann das aber nicht mehr finden. Sowas wie "den SPAM von dieser Adresse will ich haben" oder "SPAM von dieser Adresse dahin verschieben" oder oder. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 228 bytes Beschreibung: Digitale Signatur von OpenPGP URL : From robert at redo2oo.ch Fri Aug 23 10:48:14 2019 From: robert at redo2oo.ch (robert at redo2oo.ch) Date: Fri, 23 Aug 2019 10:48:14 +0200 Subject: =?UTF-8?Q?letsencrypt_certifikat_f=c3=bcr_mehrere_mail_domains?= Message-ID: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> Hoi zäme ich habe einen Mailserver: mail.xxx.ch für den ich ein letsencrypt Zertifikat gelöst habe. nun möchte ich für die domain eines kollegen: yyy.ch ebenfalls den selben mail server nutzen. Dazu trägt er in seiner seiner Thunderbird mail konfiguration mail.xxx.ch als server ein. Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? danke Robert From Ralf.Hildebrandt at charite.de Fri Aug 23 11:00:53 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 23 Aug 2019 11:00:53 +0200 Subject: [ext] letsencrypt =?utf-8?Q?certifikat?= =?utf-8?B?IGbDvHI=?= mehrere mail domains In-Reply-To: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> Message-ID: <20190823090053.bgm2thktopzzscts@charite.de> * robert at redo2oo.ch : > Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? Du musst dein bestehendes verlängern/erneuern und dabei als SubjectAlternativename die andere Domain ergänzen. Was nutzt du dafür? Certbot? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From bjo at schafweide.org Fri Aug 23 11:10:58 2019 From: bjo at schafweide.org (Bjoern Franke) Date: Fri, 23 Aug 2019 11:10:58 +0200 Subject: =?UTF-8?Q?Re=3a_letsencrypt_certifikat_f=c3=bcr_mehrere_mail_domain?= =?UTF-8?Q?s?= In-Reply-To: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> Message-ID: <23b1b68f-ed7b-59e0-108f-79792c9b820c@schafweide.org> Moin, > > Dazu trägt er in seiner seiner Thunderbird mail konfiguration mail.xxx.ch als > server ein. > > Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? Läuft der Postfix also weiterhin nur als mail.xxx.ch und ist als MX für yyy.ch eingetragen? Dann müsstest du IMHO garnichts weiter ändern. Grüße bjo From Ralf.Hildebrandt at charite.de Fri Aug 23 11:22:47 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 23 Aug 2019 11:22:47 +0200 Subject: [ext] Re: letsencrypt =?utf-8?Q?certif?= =?utf-8?B?aWthdCBmw7xy?= mehrere mail domains In-Reply-To: <23b1b68f-ed7b-59e0-108f-79792c9b820c@schafweide.org> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> <23b1b68f-ed7b-59e0-108f-79792c9b820c@schafweide.org> Message-ID: <20190823092247.y4xgkp5wtrgolnc7@charite.de> * Bjoern Franke : > Moin, > > > > > Dazu trägt er in seiner seiner Thunderbird mail konfiguration mail.xxx.ch als > > server ein. > > > > Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? > > Läuft der Postfix also weiterhin nur als mail.xxx.ch und ist als MX für > yyy.ch eingetragen? Dann müsstest du IMHO garnichts weiter ändern. Die Frage ist: Was macht er alles (SMTP? Mit eigenen Hostnamen? IMAP? Mit eigenem Hostnamen?) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From robert at redo2oo.ch Fri Aug 23 13:01:11 2019 From: robert at redo2oo.ch (robert at redo2oo.ch) Date: Fri, 23 Aug 2019 13:01:11 +0200 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_letsencrypt_certifikat_f=c3=bcr_mehrere_m?= =?UTF-8?Q?ail_domains?= In-Reply-To: <20190823090053.bgm2thktopzzscts@charite.de> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> <20190823090053.bgm2thktopzzscts@charite.de> Message-ID: Herzlichen Dank Ralf On 23.08.19 11:00, Ralf Hildebrandt wrote: > * robert at redo2oo.ch : > >> Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? > Du musst dein bestehendes verlängern/erneuern und dabei als > SubjectAlternativename die andere Domain ergänzen. > > Was nutzt du dafür? Certbot? Ja, ich nutze Certbot robert From Ralf.Hildebrandt at charite.de Fri Aug 23 13:04:20 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 23 Aug 2019 13:04:20 +0200 Subject: [ext] letsencrypt =?utf-8?Q?certifikat?= =?utf-8?B?IGbDvHI=?= mehrere mail domains In-Reply-To: References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> <20190823090053.bgm2thktopzzscts@charite.de> Message-ID: <20190823110417.64fwv2ict2jxtm35@charite.de> * robert at redo2oo.ch : > Herzlichen Dank Ralf > On 23.08.19 11:00, Ralf Hildebrandt wrote: > > * robert at redo2oo.ch : > > > > > Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich dieses ein? > > Du musst dein bestehendes verlängern/erneuern und dabei als > > SubjectAlternativename die andere Domain ergänzen. > > > > Was nutzt du dafür? Certbot? > > Ja, ich nutze Certbot du musst dann ein "renew" machen und alle domain, einschliesslich der bereits vorhandenen mit -d angeben: % certbot renew -d sales.existingdomain.com -d sales.newdomain.com -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From gjn at gjn.priv.at Fri Aug 23 13:13:52 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Fri, 23 Aug 2019 13:13:52 +0200 Subject: Frage dkim ARC Message-ID: <156660214.pXCo6pxI72@techz> Hallo Liste, ich bin gerade dabei mein neues Mailsystem einzurichten mit rspamd. jetzt ist die Frage kann / soll man für ARC das selbe Zertifikat benutzen wie für DKIM? Muss man für ARC auch sonst noch was ändern (ZonenFile)? Auch nach langem suchen und lesen habe ich dazu leider nichts gefunden. Danke für eine Antwort, -- mit freundliche Grüßen / best regards, Günther J. Niederwimmer From Christian.Schmidt at chemie.uni-hamburg.de Fri Aug 23 15:03:41 2019 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Fri, 23 Aug 2019 15:03:41 +0200 Subject: =?UTF-8?Q?Re=3a_letsencrypt_certifikat_f=c3=bcr_mehrere_mail_domain?= =?UTF-8?Q?s?= In-Reply-To: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> Message-ID: <02253655-09fa-cf99-0f1b-75cef5a84077@chemie.uni-hamburg.de> robert at redo2oo.ch, 23.08.19: > ich habe einen Mailserver: > > mail.xxx.ch > > für den ich ein letsencrypt Zertifikat gelöst habe. > > nun möchte ich für die domain eines kollegen: > > yyy.ch > > ebenfalls den selben mail server nutzen. > > Dazu trägt er in seiner seiner Thunderbird mail konfiguration > mail.xxx.ch als server ein. Das Zertifikat bezieht sich auf den Namen des Servers und nicht auf die von ihm "bedienten" Mail-Domains. Insofern reicht das Tertifikat für mail.xxx.ch aus. Mit freundlichen Grüßen Christian Schmidt -- No signature available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5444 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfix at linuxmaker.de Fri Aug 23 16:43:52 2019 From: postfix at linuxmaker.de (Andreas) Date: Fri, 23 Aug 2019 16:43:52 +0200 Subject: [ext] letsencrypt certifikat =?UTF-8?B?ZsO8cg==?= mehrere mail domains In-Reply-To: <20190823090053.bgm2thktopzzscts@charite.de> References: <6b4c4bd4-98de-726e-62ae-e551349ffeac@redo2oo.ch> <20190823090053.bgm2thktopzzscts@charite.de> Message-ID: <2186863.3aqKaroG0c@stuttgart> Am Freitag, 23. August 2019, 11:00:53 CEST schrieb Ralf Hildebrandt: > * robert at redo2oo.ch : > > Muss ich dazu auch ein Letsencrypt Zertifikat lösen, und wie trage ich > > dieses ein? > Du musst dein bestehendes verlängern/erneuern und dabei als > SubjectAlternativename die andere Domain ergänzen. > > Was nutzt du dafür? Certbot? Mit Certbot machst Du das so: certbot run --apache --agree-tos --email $EMAIL -d mail.domian.tld,imap.domain.tld,smtp.domain.tld Achtung, zwischen den Domains sind Kommata ohne Leerzeichen! Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From juri at koschikode.com Fri Aug 23 22:25:26 2019 From: juri at koschikode.com (Juri Haberland) Date: Fri, 23 Aug 2019 22:25:26 +0200 Subject: Frage dkim ARC In-Reply-To: <156660214.pXCo6pxI72@techz> References: <156660214.pXCo6pxI72@techz> Message-ID: <3baf92ab-b8f1-a6a2-96dd-025ffbe5b8cd@koschikode.com> On 23/08/2019 13:13, Günther J. Niederwimmer wrote: > ich bin gerade dabei mein neues Mailsystem einzurichten mit rspamd. > jetzt ist die Frage kann / soll man für ARC das selbe Zertifikat benutzen wie > für DKIM? Ja, man kann, und ich halte es am Anfang/in der Testphase für empfehlenswert, da es die Dinge vereinfacht. Später kannst du immer noch ein eigenes Zertifikat erstellen. > Muss man für ARC auch sonst noch was ändern (ZonenFile)? Nein. Die Frage ist, ob du überhaupt ARC-Signer sein mußt. Das mußt du eigentlich nur, wenn du einen Forwarding-Service anbietest, der DKIM-Signaturen invalidiert (typischerweise mailinglisten per Mailman). Typische .forward-Weiterleitungen benötigen kein ARC im signing-Modus. Auch als normaler Sender und Empfänger ohne Weiterleitung wird es nicht benötigt und stört m.E. eher das ARC-Konzept. Gruß, Juri From sebastian at debianfan.de Sat Aug 24 21:45:47 2019 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 24 Aug 2019 21:45:47 +0200 Subject: =?UTF-8?Q?Analyse_der_Empf=c3=a4ngerdomains?= Message-ID: <12489c86-60eb-282d-2ba1-5c0bd98580b5@debianfan.de> Guten Abend, ich habe mit pflogsum versucht herauszufinden, welche Domains die meisten Mails erhalten. Alle Domains auf dieser Maschine haben ein catch-all welcher an ein einziges internes Postfach weitergeleitet wird. Recipients by message count --------------------------- 137060 sebastian at localhost Dieses nutzt mir gar nichts. Ich hätte eher gern sowas wie 2012 domain1.de 1200 domain2.de 12313 domain3.de ... .. . Vorschläge für Analysetools oder Skripte ? gruß Sebastian