From gjn at gjn.priv.at  Mon Dec  2 14:11:40 2019
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 02 Dec 2019 14:11:40 +0100
Subject: Frage Mailserver!
Message-ID: <56264547.8E4PXfs9rB@techz>

Hallo,

da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich 
mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn 
Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix 
usw.) alles mitbringt?.

Ich benutze bis jetzt Centos7, da wird es aber immer schwieriger passende 
Pakete zu finden und die Zeit ist auch begrenzt!

Bei mir läuft das ganze noch auf KVM Basis denn das Container Spiel begreife 
ich noch nicht richtig? Mir kommt KVM einfacher vor.

Danke für Eure antworten, 
-- 
mit freundlichen Grüßen / best regards

  Günther J. Niederwimmer




From wn at neessen.net  Mon Dec  2 14:15:46 2019
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 2 Dec 2019 14:15:46 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <EB55372C-320A-4150-8FD0-7421DF619FF1@neessen.net>

Hi,

On 2. Dec 2019, at 14:11, Günther J. Niederwimmer <gjn at gjn.priv.at> wrote:

> da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich
> mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn
> Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix
> usw.) alles mitbringt?.
> 
> Ich benutze bis jetzt Centos7, da wird es aber immer schwieriger passende
> Pakete zu finden und die Zeit ist auch begrenzt!
> 

Wenns nicht unbedingt Linux sein muss... wir nutzen - eigentlich seit immer - FreeBSD fuer
unsere Mailserver. Kann ich sehr empfehlen um aus dem nervigen Distributions Wirr-Warr
im Linux-Lager zu entkommen.


Winni

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191202/de3d6168/attachment.asc>

From infoomatic at gmx.at  Mon Dec  2 15:07:07 2019
From: infoomatic at gmx.at (Infoomatic)
Date: Mon, 2 Dec 2019 15:07:07 +0100
Subject: Frage Mailserver!
In-Reply-To: <EB55372C-320A-4150-8FD0-7421DF619FF1@neessen.net>
References: <56264547.8E4PXfs9rB@techz>
 <EB55372C-320A-4150-8FD0-7421DF619FF1@neessen.net>
Message-ID: <c8416ae5-15e3-2297-6c46-67510808c790@gmx.at>


> Wenns nicht unbedingt Linux sein muss... wir nutzen - eigentlich seit immer - FreeBSD fuer
> unsere Mailserver. Kann ich sehr empfehlen um aus dem nervigen Distributions Wirr-Warr
> im Linux-Lager zu entkommen.
>
>
> Winni
>

Dem kann ich nur voll zustimmen! Ansonsten würde ich eher zu Debian greifen



From list+postfixbuch at gcore.biz  Mon Dec  2 16:10:48 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Mon, 2 Dec 2019 16:10:48 +0100
Subject: Frage Mailserver!
In-Reply-To: <c8416ae5-15e3-2297-6c46-67510808c790@gmx.at>
References: <56264547.8E4PXfs9rB@techz>
 <EB55372C-320A-4150-8FD0-7421DF619FF1@neessen.net>
 <c8416ae5-15e3-2297-6c46-67510808c790@gmx.at>
Message-ID: <C65CCDBF-C20E-4B16-B4BA-5ADC7ECECD32@gcore.biz>

> 
>> Wenns nicht unbedingt Linux sein muss... wir nutzen - eigentlich seit immer - FreeBSD fuer
>> unsere Mailserver. Kann ich sehr empfehlen um aus dem nervigen Distributions Wirr-Warr
>> im Linux-Lager zu entkommen.
> 
> Dem kann ich nur voll zustimmen! Ansonsten würde ich eher zu Debian greifen

Was spricht denn gegen CentOS 7?

Wartungsupdates gibt es dort noch bis 30.06.2024 und sowohl dovecot als auch rspamd bieten eigene repos an:

https://repo.dovecot.org
https://rspamd.com/downloads.html

Der Aufwand beschränkt sich idR auf ein "yum update" und man hat die Pakete direkt vom Hersteller.

Viele Grüße
Gerald



From technoworx at gmx.de  Mon Dec  2 16:52:05 2019
From: technoworx at gmx.de (Alexander Stoll)
Date: Mon, 2 Dec 2019 16:52:05 +0100
Subject: Frage Mailserver!
In-Reply-To: <c8416ae5-15e3-2297-6c46-67510808c790@gmx.at>
References: <56264547.8E4PXfs9rB@techz>
 <EB55372C-320A-4150-8FD0-7421DF619FF1@neessen.net>
 <c8416ae5-15e3-2297-6c46-67510808c790@gmx.at>
Message-ID: <e11e2d7a-2d0b-7591-09be-00316083a4ac@gmx.de>

Am 02.12.2019 um 15:07 schrieb Infoomatic:
> 
>> Wenns nicht unbedingt Linux sein muss... wir nutzen - eigentlich seit 
>> immer - FreeBSD fuer
>> unsere Mailserver. Kann ich sehr empfehlen um aus dem nervigen 
>> Distributions Wirr-Warr
>> im Linux-Lager zu entkommen.
>>
>>
>> Winni
>>
> 
> Dem kann ich nur voll zustimmen! Ansonsten würde ich eher zu Debian greifen

Ich verfolge da einen anderen Ansatz und bin seit vielen vielen Jahren 
bei Gentoo für den Server-Betrieb gelandet...
"Oh nein, ich mache doch keine Software-Entwicklung auf meinen 
Produktivsystemen" und ähnlichen Vorurteilen, möchte ich ein paar 
Argumente entgegenwerfen, denn Rolling-Release hat durchaus seinen "Charme":

- Der Ansatz gut "abgehangene" und damit leider auch "alte" Software ist 
pauschal weniger fehleranfällig mag für 0815-Systeme noch statistisch 
irgendwie belegbar sein, je spezialisierter aber ein System betrieben 
wird, desto weniger ist der Ansatz leider haltbar und richtig 
interessant wird es bei Mission Critical und 1:100000 Fehlerkonditionen...

- ich _muss_ keine Software auf Produktivsystemen kompilieren, kann ohne 
Probleme ein Testsystem betreiben und konsistente Versionsstände MIT 
Paketmanagement auf Produktiv ausrollen

- ich kann das Grundsystem von der Distribution pflegen lassen und dort, 
wo es "haarig wird" ganz eigene Versionen fahren, patchen, abweichen, 
konservativ sein, neue Versionen ausgiebig testen, wie ich lustig bin in 
jeder Variation. Auch binnen Minuten unabhängig von der Distribution 
Hotfixes patchen, wenn es denn sein muss und nutze dabei die präsente 
Build Umgebung ohne Klimmzüge.

- persönliche Präferenz: lieber viele kleine koordinierte Upgrades als 
Kahlschlag und Migration beim Release-Wechsel, wo auf einmal gaanz viel 
neuer Code zum Einsatz kommt und exotische Seiteneffekte viel 
aufwendiger einzugrenzen sind.

Man sollte sich für den Betrieb eines solchen Systems natürlich unter 
Linux schon sehr "zu Hause fühlen", das ist unbestritten und möglichst 
keine Abhängigkeiten zu Software in Binärform haben, damit die Vorteile 
ausgeschöpft werden können. Es wird also nicht für jeden passen, muss es 
ja auch nicht...

Möchte ich nur mal so in die Runde werfen.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2596 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191202/4304d3e9/attachment.p7s>

From p at sys4.de  Mon Dec  2 19:38:41 2019
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 2 Dec 2019 19:38:41 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <20191202183841.GA114224@sys4.de>

Hallo,

* Günther J. Niederwimmer <postfixbuch-users at listen.jpberlin.de>:
> da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich 
> mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn 
> Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix 
> usw.) alles mitbringt?.
> 
> Ich benutze bis jetzt Centos7, da wird es aber immer schwieriger passende 
> Pakete zu finden und die Zeit ist auch begrenzt!
> 
> Bei mir läuft das ganze noch auf KVM Basis denn das Container Spiel begreife 
> ich noch nicht richtig? Mir kommt KVM einfacher vor.

ich entscheide je nach Anforderung der Plattform.

Für Plattformen bei denen alle Features (weitestgehend) stabil bis zum
nächsten Upgrade bleiben, wähle ich CentOS/RHEL. Das ist rockstable und will
nicht recht haben (Debian).

Für Plattformen, die mitwachsen können müssen, bevorzuge ich ein Rolling
Release. Mit Gentoo habe ich Erfahrung gesammelt, aber ich habe keinen Bock
mehr auf einer Produktionsplattform Konfigurationen zu diffen, damit Gento
weiter rollen kann. Und Buildhosts finde ich nett, aber in der Praxis zahlen
die sich auch nur dann aus, wenn man einen build für alle hosts einer
Plattform verwendet. Sobald man z.B. für Server-Rollen unterschiedliche Builds
beginnt, ist man in der Kompilierhölle gefangen. Bin there, done that. Im
Ergbnis waren an dieer Stelle die Vorteile einen Rolling Release verspielt.

Sehr gute Erfahrungen habe ich hingegen mit Arch Linux gemacht. Rollend,
schlank und schnell und keinen der bei Gentoo genannten Vorteile. Alle Pakete
ständig ganz vorne und neu. Neue Versionen landen binnen zwei Tagen über den
Paketmanager auf der Maschine. Und der Paketmanager macht Spaß.

Ich nutze Arch Linux seit 3,5 Jahren auf dem Laptop und seit 8 Monaten auf
meinen Servern und bin sehr angetan wie problemlos das alles ist.

Ansonsten empfehle ich Dir, das Ganze in ansible oder salt zu automatisieren.
Dann wird das Ausprobieren neuer Distris einfach und macht Spaß.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 


From p at sys4.de  Mon Dec  2 19:38:41 2019
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 2 Dec 2019 19:38:41 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <20191202183841.GA114224@sys4.de>

Hallo,

* Günther J. Niederwimmer <postfixbuch-users at listen.jpberlin.de>:
> da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich 
> mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn 
> Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix 
> usw.) alles mitbringt?.
> 
> Ich benutze bis jetzt Centos7, da wird es aber immer schwieriger passende 
> Pakete zu finden und die Zeit ist auch begrenzt!
> 
> Bei mir läuft das ganze noch auf KVM Basis denn das Container Spiel begreife 
> ich noch nicht richtig? Mir kommt KVM einfacher vor.

ich entscheide je nach Anforderung der Plattform.

Für Plattformen bei denen alle Features (weitestgehend) stabil bis zum
nächsten Upgrade bleiben, wähle ich CentOS/RHEL. Das ist rockstable und will
nicht recht haben (Debian).

Für Plattformen, die mitwachsen können müssen, bevorzuge ich ein Rolling
Release. Mit Gentoo habe ich Erfahrung gesammelt, aber ich habe keinen Bock
mehr auf einer Produktionsplattform Konfigurationen zu diffen, damit Gento
weiter rollen kann. Und Buildhosts finde ich nett, aber in der Praxis zahlen
die sich auch nur dann aus, wenn man einen build für alle hosts einer
Plattform verwendet. Sobald man z.B. für Server-Rollen unterschiedliche Builds
beginnt, ist man in der Kompilierhölle gefangen. Bin there, done that. Im
Ergbnis waren an dieer Stelle die Vorteile einen Rolling Release verspielt.

Sehr gute Erfahrungen habe ich hingegen mit Arch Linux gemacht. Rollend,
schlank und schnell und keinen der bei Gentoo genannten Vorteile. Alle Pakete
ständig ganz vorne und neu. Neue Versionen landen binnen zwei Tagen über den
Paketmanager auf der Maschine. Und der Paketmanager macht Spaß.

Ich nutze Arch Linux seit 3,5 Jahren auf dem Laptop und seit 8 Monaten auf
meinen Servern und bin sehr angetan wie problemlos das alles ist.

Ansonsten empfehle ich Dir, das Ganze in ansible oder salt zu automatisieren.
Dann wird das Ausprobieren neuer Distris einfach und macht Spaß.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 


From wn at neessen.net  Mon Dec  2 19:44:56 2019
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 2 Dec 2019 19:44:56 +0100
Subject: Frage Mailserver!
In-Reply-To: <20191202183841.GA114224@sys4.de>
References: <56264547.8E4PXfs9rB@techz> <20191202183841.GA114224@sys4.de>
Message-ID: <762AF580-912C-4E71-9451-B564972DD75B@neessen.net>

Hi,

On 2. Dec 2019, at 19:38, Patrick Ben Koetter <p at sys4.de> wrote:

> Sehr gute Erfahrungen habe ich hingegen mit Arch Linux gemacht. Rollend,
> schlank und schnell und keinen der bei Gentoo genannten Vorteile. Alle Pakete
> ständig ganz vorne und neu. Neue Versionen landen binnen zwei Tagen über den
> Paketmanager auf der Maschine. Und der Paketmanager macht Spaß.

Kann ich bestaetigen. Wenn *BSD nicht funktioniert weil Software XYZ nur auf Linux
laeuft, dann greife ich eigentlich auch immer zu Arch. Einfach wundervoll schlank,
immer aktuell, etc. (alles was Patrick schon genannt hat).


Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191202/11508101/attachment.asc>

From gjn at gjn.priv.at  Mon Dec  2 22:37:51 2019
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Mon, 02 Dec 2019 22:37:51 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <4454172.gyD7vnp7JN@techz>

Hallo Liste,
Am Montag, 2. Dezember 2019, 14:11:40 CET schrieb Günther J. Niederwimmer:

Ich Danke Euch schon mal für die Anregungen, das ganze ist schön langsam immer 
umfangreicher. Ich werde jetzt mal ein Test System mit Arch Linux aufsetzen in 
der Virtualbox und dann probieren ob es auch unter KVM funktioniert?

Ich hatte auch schon probiert ob Centos 8 als Basis funktioniert, dem war aber 
nicht so :-(. Das könnte mit 8.1 besser werden aber ......

Das komplette RH / Centos System mit den Roles ist bis jetzt noch sehr 
undurchsichtig für mich?

Also zuerst mal Danke,
-- 
mit freundlichen Grüßen / best regards

  Günther J. Niederwimmer




From cite at incertum.net  Tue Dec  3 09:56:55 2019
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Tue, 3 Dec 2019 09:56:55 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <20191203085655.GC10927@mnemosyne.incertum.net>

Hallo Günther,

* "Günther J. Niederwimmer" <gjn at gjn.priv.at>:
>da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich
>mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn
>Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix
>usw.) alles mitbringt?.

lass die Distribution laufen, mit der Du am besten klar kommst, solange 
sie die Möglichkeit bietet, Docker-Container zu nutzen. Und dann kannst 
Du Dich für MailCow oder was auch immer entscheiden.


Ciao,
Stefan


From cite at incertum.net  Tue Dec  3 09:56:55 2019
From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=)
Date: Tue, 3 Dec 2019 09:56:55 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <20191203085655.GC10927@mnemosyne.incertum.net>

Hallo Günther,

* "Günther J. Niederwimmer" <gjn at gjn.priv.at>:
>da ich ein einfacher Anwender bin, der zwar seit langem Linux benutzt habe ich
>mal die Frage. Welche Distribution (nicht kostenpflichtig) benutzt man denn
>Heute am meisten, die für die neue Umgebung (rpamd aktuelle Dovecot postfix
>usw.) alles mitbringt?.

lass die Distribution laufen, mit der Du am besten klar kommst, solange 
sie die Möglichkeit bietet, Docker-Container zu nutzen. Und dann kannst 
Du Dich für MailCow oder was auch immer entscheiden.


Ciao,
Stefan


From bjo at schafweide.org  Tue Dec  3 10:10:37 2019
From: bjo at schafweide.org (Bjoern Franke)
Date: Tue, 3 Dec 2019 10:10:37 +0100
Subject: Frage Mailserver!
In-Reply-To: <4454172.gyD7vnp7JN@techz>
References: <56264547.8E4PXfs9rB@techz> <4454172.gyD7vnp7JN@techz>
Message-ID: <2f522bfd-cdcb-d4c4-e723-f5e7ec9cc522@schafweide.org>

Moin,


> Ich Danke Euch schon mal für die Anregungen, das ganze ist schön langsam immer 
> umfangreicher. Ich werde jetzt mal ein Test System mit Arch Linux aufsetzen in 
> der Virtualbox und dann probieren ob es auch unter KVM funktioniert?

Funktioniert definitiv auch unter KVM ;)


> Ich hatte auch schon probiert ob Centos 8 als Basis funktioniert, dem war aber 
> nicht so :-(. Das könnte mit 8.1 besser werden aber ......
> 
> Das komplette RH / Centos System mit den Roles ist bis jetzt noch sehr 
> undurchsichtig für mich?
> 
> Also zuerst mal Danke,
> 

Das Schöne an Arch ist, dass es nicht irgendwelche
distributionsspezifischen Sachen aufzwingen will oder der Meinung ist,
es besser als Upstream zu wissen. Und wenn man für eine neue Version
oder wegen eines Bugfixes ein Paket mal selber bauen möchte, braucht man
kein Studium, um ein PKGBUILD mal eben anzupassen.

Viel Erfolg!
Björn


From Ralf.Hildebrandt at charite.de  Tue Dec  3 15:40:38 2019
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 3 Dec 2019 15:40:38 +0100
Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <20191129105022.qifgthbh2bg2ooia@charite.de>
References: <FD4AEF1F-3A92-4369-8B56-F3ACDBC9ABF7@veka.com>
 <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
Message-ID: <20191203144036.vjb4h2wlfvgywjep@charite.de>

* Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> > Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
> > aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.
> 
> Läuft 1A bisher.
> 
> Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
> Versenden vom "problematischen" Attachments erlauben.

Anybody?
Wir haben hier Spezialisten, die Ihre Buchkapitel offnbar mächtig
anreichern:

OLETOOLS(0.00){AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From cr at ncxs.de  Tue Dec  3 20:55:35 2019
From: cr at ncxs.de (Carsten Rosenberg)
Date: Tue, 3 Dec 2019 20:55:35 +0100
Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <20191203144036.vjb4h2wlfvgywjep@charite.de>
References: <FD4AEF1F-3A92-4369-8B56-F3ACDBC9ABF7@veka.com>
 <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
 <20191203144036.vjb4h2wlfvgywjep@charite.de>
Message-ID: <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>

On 03.12.19 15:40, Ralf Hildebrandt wrote:
> * Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
>>> Produktiv habe ich die 0.55dev noch nicht. Auf den Testsystemen sah es
>>> aber gut aus. Ich roll das morgen mal auf einem Teil der olefy Systemen aus.
>>
>> Läuft 1A bisher.

Bei uns auch.

>>
>> Bonusfrage: Wie macht man Whitelisting? Also gewissen Absendern das
>> Versenden vom "problematischen" Attachments erlauben.
> 
> Anybody?
> Wir haben hier Spezialisten, die Ihre Buchkapitel offnbar mächtig
> anreichern:
> 
> OLETOOLS(0.00){AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);

Nicht schlecht soviel in ein Makro zu bekommen.

Ich könnte mir diese Ansätze vorstellen:

Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
nicht mehr ausgeführt.

Wenn du bei oletools action nicht auf reject hast, könntest du via
composites und in Verbindung mit anderen Symbolen den Score von oletools
neutralisieren. Die anderen Symbole könnten dann etwas Typisches für
diese Mails sein oder ein Symbol von einer Multimap sein.

Die Aufwendigste Variante wäre oletools im extended Mode zu betreiben
und direkt auf die erkannten Funktionen via Patterns und den daraus
entstehenden Symbolen zu matchen. Das wäre dann wieder via composites

Viele Grüße

Carsten







From list+postfixbuch at gcore.biz  Wed Dec  4 13:49:37 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Wed, 4 Dec 2019 13:49:37 +0100
Subject: rspamd rate-limit mit regexp selector
Message-ID: <7128BF3B-A2CD-4FF4-9B97-9BBD82ACA26B@gcore.biz>

Hallo,

hat jemand schon mal das rate-limiting von rspamd auf Teile von Headern angewendet?

Beispiel:

Subject = "Anfrage Kunde 123 Firma xyz"

Das rate-limit soll als redis-key nur "Kunde 123" verwenden, nicht den ganzen Betreff.

rates {
	subject_limit = {

		# 1) limitiert nichts, egal ob "kunde \\d\\d\\d" oder etwas anderes im Betreff vorkommt
		# selector = "header('subject').lower.regexp('kunde \\d\\d\\d')";	

		# 2) funktioniert wie erwartet aber liefert pauschal "kunde" als redis-key zurück
		  selector = "header('subject').lower.regexp('kunde \\d\\d\\d').id('kunde')";

		# 3) Limitiert alle E-Mails, unabhängig vom Betreff
		# selector = "header('subject').lower:regexp('kunde \\d\\d\\d')";
				
		bucket = [
			{
				burst = 2;
				rate = "1 / 1min";
			}
		]
	}
}

Gibt es eine Funktion wie id() die das zurückliefert was regexp erkannt hat oder false?

Viele Grüße
Gerald



From cr at ncxs.de  Wed Dec  4 21:06:25 2019
From: cr at ncxs.de (Carsten Rosenberg)
Date: Wed, 4 Dec 2019 21:06:25 +0100
Subject: rspamd rate-limit mit regexp selector
In-Reply-To: <7128BF3B-A2CD-4FF4-9B97-9BBD82ACA26B@gcore.biz>
References: <7128BF3B-A2CD-4FF4-9B97-9BBD82ACA26B@gcore.biz>
Message-ID: <9d3735f4-e66f-9e75-311e-dee3adf6e6ec@ncxs.de>

Hey,

On 04.12.19 13:49, Gerald Galster wrote:
> Hallo,
> 
> hat jemand schon mal das rate-limiting von rspamd auf Teile von Headern angewendet?
> 
> Beispiel:
> 
> Subject = "Anfrage Kunde 123 Firma xyz"
> 
> Das rate-limit soll als redis-key nur "Kunde 123" verwenden, nicht den ganzen Betreff.
> 

Ich denke dein Problem ist, dass rspamd den Key so direkt verwendet und
nicht mehr escaped. Damit hast du einen invaliden Redis Key. Was
schreibt denn das Rspamd log dazu? Welche Queries kannst du mit
redis-cli monitor beobachten?

> rates {
> 	subject_limit = {
> 
> 		# 1) limitiert nichts, egal ob "kunde \\d\\d\\d" oder etwas anderes im Betreff vorkommt
> 		# selector = "header('subject').lower.regexp('kunde \\d\\d\\d')";	
> 
> 		# 2) funktioniert wie erwartet aber liefert pauschal "kunde" als redis-key zurück
> 		  selector = "header('subject').lower.regexp('kunde \\d\\d\\d').id('kunde')";
> 
> 		# 3) Limitiert alle E-Mails, unabhängig vom Betreff
> 		# selector = "header('subject').lower:regexp('kunde \\d\\d\\d')";

Hast du dir mal anzeigen lassen was er hier matcht?

> 				
> 		bucket = [
> 			{
> 				burst = 2;
> 				rate = "1 / 1min";
> 			}
> 		]
> 	}
> }
> 
> Gibt es eine Funktion wie id() die das zurückliefert was regexp erkannt hat oder false?
> 
> Viele Grüße
> Gerald
> 

Probier doch mal:

header('subject').lower.digest('hex').regexp('kunde \\d\\d\\d')

Dann hast du keinen Whitespace mehr im Key.

Viele Grüße

Carsten


From mlpbu at admin.syntaxys.net  Thu Dec  5 10:06:10 2019
From: mlpbu at admin.syntaxys.net (Achim Lamerts)
Date: Thu, 5 Dec 2019 10:06:10 +0100
Subject: Whitelisting per smtp_*_restrictions
Message-ID: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>

Hallo Liste,

ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die 
restriktiveren Einstellungen blockieren auch erwünschte E-Mails. Bisher 
bin ich mit Greylisting gut gefahren, aber das reicht inzwischen nicht 
mehr. Für bestimmte Clients und Sender möchte ich die schärferen 
Einstellungen umgehen, aber irgendwie klappt das mit dem Whitelisting 
nicht so, wie ich mir das vorgestellt habe:

smtpd_recipient_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_recipient,
     reject_unauth_destination,
     reject_unlisted_recipient,
     check_client_access mysql:/etc/postfix/conf/wl_clients.cf,
     check_client_access mysql:/etc/postfix/conf/bl_clients.cf,
     check_client_access cidr:/etc/postfix/conf/postfix_client_access.cidr,
     check_sender_access mysql:/etc/postfix/conf/wl_sender_common.cf,
     check_sender_access mysql:/etc/postfix/conf/whitelist_users.cf,
     check_sender_access mysql:/etc/postfix/conf/bl_sender_common.cf,
     check_sender_access pcre:/etc/postfix/conf/bl_sender_common.pcre,
     check_policy_service inet:192.168.164.1:10023,
     check_policy_service unix:private/policyd-spf,
     check_policy_service inet:192.168.164.1:12525

In der Tabelle zu mysql:/etc/postfix/conf/wl_clients.cf habe ich z. B. 
den Eintrag ".t-online.de OK" und bin davon ausgegangen, daß die weitere 
Prüfung für <client=mailout12.t-online.de[194.25.134.22]> damit beendet 
ist. Trotzdem geht die E-Mail noch an den policyd-weight, der sie dann 
blockiert hat. Wie kann ich es einrichten, daß per default die Mails mit 
policyd-weight geprüft werden und die weißgelisteten nicht? 
Seltsamerweise funktionieren REJECTS in den Blacklists ohne Probleme, 
nutze ich das falsche Schlüsselwort?

Vielen Dank für die Hilfe!
Achim

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191205/939e37b1/attachment.htm>

From Ralf.Hildebrandt at charite.de  Thu Dec  5 10:32:56 2019
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Thu, 5 Dec 2019 10:32:56 +0100
Subject: [ext] Whitelisting per smtp_*_restrictions
In-Reply-To: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
References: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
Message-ID: <20191205093255.cjevub7gr3sm73sk@charite.de>

* Achim Lamerts <mlpbu at admin.syntaxys.net>:
> Hallo Liste,
> 
> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die
> restriktiveren Einstellungen blockieren auch erwünschte E-Mails.

Vielleich rspamd benutzen? Also generell etwas inhaltsbasiertes?
-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From list+postfixbuch at gcore.biz  Thu Dec  5 11:20:11 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Thu, 5 Dec 2019 11:20:11 +0100
Subject: Whitelisting per smtp_*_restrictions
In-Reply-To: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
References: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
Message-ID: <420EB5E1-BDEF-4C9E-A17A-C7D139BEA5F8@gcore.biz>

> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die restriktiveren Einstellungen blockieren auch erwünschte E-Mails. Bisher bin ich mit Greylisting gut gefahren, aber das reicht inzwischen nicht mehr. Für bestimmte Clients und Sender möchte ich die schärferen Einstellungen umgehen, aber irgendwie klappt das mit dem Whitelisting nicht so, wie ich mir das vorgestellt habe:
> 
> smtpd_recipient_restrictions =
>     permit_mynetworks,
>     permit_sasl_authenticated,
>     reject_non_fqdn_recipient,
>     reject_unauth_destination,
>     reject_unlisted_recipient,
>     check_client_access mysql:/etc/postfix/conf/wl_clients.cf,
>     check_client_access mysql:/etc/postfix/conf/bl_clients.cf,
>     check_client_access cidr:/etc/postfix/conf/postfix_client_access.cidr,
>     check_sender_access mysql:/etc/postfix/conf/wl_sender_common.cf,
>     check_sender_access mysql:/etc/postfix/conf/whitelist_users.cf,
>     check_sender_access mysql:/etc/postfix/conf/bl_sender_common.cf,
>     check_sender_access pcre:/etc/postfix/conf/bl_sender_common.pcre,
>     check_policy_service inet:192.168.164.1:10023,
>     check_policy_service unix:private/policyd-spf,
>     check_policy_service inet:192.168.164.1:12525
> 
> In der Tabelle zu mysql:/etc/postfix/conf/wl_clients.cf habe ich z. B. den Eintrag ".t-online.de OK" und bin davon ausgegangen, daß die weitere Prüfung für <client=mailout12.t-online.de[194.25.134.22]> damit beendet ist. Trotzdem geht die E-Mail noch an den policyd-weight, der sie dann blockiert hat. Wie kann ich es einrichten, daß per default die Mails mit policyd-weight geprüft werden und die weißgelisteten nicht? Seltsamerweise funktionieren REJECTS in den Blacklists ohne Probleme, nutze ich das falsche Schlüsselwort?



parent_domain_matches_subdomains (default: see postconf -d output)
       A list of Postfix features where the pattern "example.com" also matches subdomains of example.com, instead of requiring an explicit ".example.com" pattern.  This is planned backwards compatibility:  eventually, all Postfix features are expected to require explicit ".example.com" style patterns when you really want to match subdomains.

...

       Postfix version 1.1 and later
              qmqpd_authorized_clients, smtpd_access_maps,



EMAIL ADDRESS PATTERNS
 .domain.tld
              Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not listed in the Postfix parent_domain_matches_subdomains configuration setting.
              
 
[root at r1 ~]# postconf -d | grep parent_domain_matches_subdomains
parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps

Wie sieht das bei Dir aus?

Viele Grüße
Gerald


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191205/b19cb4b6/attachment.htm>

From list+postfixbuch at gcore.biz  Thu Dec  5 12:59:09 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Thu, 5 Dec 2019 12:59:09 +0100
Subject: rspamd rate-limit mit regexp selector
In-Reply-To: <9d3735f4-e66f-9e75-311e-dee3adf6e6ec@ncxs.de>
References: <7128BF3B-A2CD-4FF4-9B97-9BBD82ACA26B@gcore.biz>
 <9d3735f4-e66f-9e75-311e-dee3adf6e6ec@ncxs.de>
Message-ID: <AD82EDA9-3019-450D-BCCC-188CA3E7E89A@gcore.biz>

Hallo Carsten,

>> hat jemand schon mal das rate-limiting von rspamd auf Teile von Headern angewendet?
>> 
>> Beispiel:
>> 
>> Subject = "Anfrage Kunde 123 Firma xyz"
>> 
>> Das rate-limit soll als redis-key nur "Kunde 123" verwenden, nicht den ganzen Betreff.
>> 
> 
> Ich denke dein Problem ist, dass rspamd den Key so direkt verwendet und
> nicht mehr escaped. Damit hast du einen invaliden Redis Key. Was
> schreibt denn das Rspamd log dazu? Welche Queries kannst du mit
> redis-cli monitor beobachten?

"kunde" im Klartext hab ich im redis monitor nicht gefunden:

1575539979.506706 [0 lua] "HGET" "RLpuo1d" "l"
1575539979.506715 [0 lua] "HGET" "RLpuo1d" "dr"
1575539979.506723 [0 lua] "HSET" "RLpuo1d" "dr" "11266"
1575539979.506728 [0 lua] "HGET" "RLpuo1d" "db"
1575539979.506731 [0 lua] "HSET" "RLpuo1d" "db" "12677"
1575539979.506734 [0 lua] "HGET" "RLpuo1d" "b"
1575539979.506738 [0 lua] "HINCRBYFLOAT" "RLpuo1d" "b" "1"
1575539979.506745 [0 lua] "HSET" "RLpuo1d" "l" "1575539979506"
1575539979.506749 [0 lua] "EXPIRE" "RLpuo1d" "172800"

vermutlich ist RL das prefix für rate limit und puo1d ein Hashwert über id('kunde') <--> header('subject').lower.regexp('kunde \\d\\d\\d').id('kunde')

Dec 05 10:59:39 r1.server rspamd[24046]: <07884c>; ratelimit; ratelimit.lua:647: check limit subject_limit:kunde -> RLpuo1d (2/0.016666666666666666)
Dec 05 10:59:39 r1.server rspamd[24046]: <07884c>; ratelimit; ratelimit.lua:593: got reply for limit kunde (2 / 0.016666666666666666); 1.2718469916666 burst, 1.1155:1.2429 dyn, 0.40184028333334 leaked
Dec 05 10:59:39 r1.server rspamd[24046]: <07884c>; ratelimit; ratelimit.lua:684: updated limit subject_limit:kunde -> RLpuo1d (2/0.016666666666666666), burst: 1.2718469916666, dyn_rate: 1.126655, dyn_burst: 1.267758


>> rates {
>> 	subject_limit = {
>> 
>> 		# 1) limitiert nichts, egal ob "kunde \\d\\d\\d" oder etwas anderes im Betreff vorkommt
>> 		# selector = "header('subject').lower.regexp('kunde \\d\\d\\d')";	

hier matcht gar nichts, es gibt auch keine Einträge im redis monitor dazu

>> 		# 2) funktioniert wie erwartet aber liefert pauschal "kunde" als redis-key zurück
>> 		  selector = "header('subject').lower.regexp('kunde \\d\\d\\d').id('kunde')";

erst wenn man .id(...) dranhängt funktioniert es

>> 		# 3) Limitiert alle E-Mails, unabhängig vom Betreff
>> 		# selector = "header('subject').lower:regexp('kunde \\d\\d\\d')";
> 
> Hast du dir mal anzeigen lassen was er hier matcht?

Kann man sich das Ergebnis von :regexp irgendwie anzeigen lassen?


Er generiert fleissig hashes, selbst wenn regexp nicht matcht - wäre das Ergebnis von :regexp leer müsste immer der gleiche hash erzeugt werden, ist aber nicht der Fall:

Dec 05 12:02:50 r1.server rspamd[27943]: <e9b53d>; ratelimit; ratelimit.lua:647: check limit subject_limit:anfrage kontaktformular 123 firma xyz -> RLjic54y8wkf6zdnd51rkefee9 (2/0.016666666666666666)
Dec 05 12:02:50 r1.server rspamd[27943]: <e9b53d>; ratelimit; ratelimit.lua:593: got reply for limit anfrage kontaktformular 123 firma xyz (2 / 0.016666666666666666); 0 burst, 1:1 dyn, 0 leaked

Dec 05 12:03:04 r1.server rspamd[27944]: <48ccfa>; ratelimit; ratelimit.lua:647: check limit subject_limit:anfrage kontaktformular 456 firma xyz -> RLrbrgjnamiwrc1ep6rnkxff8j (2/0.016666666666666666)
Dec 05 12:03:04 r1.server rspamd[27944]: <48ccfa>; ratelimit; ratelimit.lua:593: got reply for limit anfrage kontaktformular 456 firma xyz (2 / 0.016666666666666666); 0 burst, 1:1 dyn, 0 leaked

Dec 05 12:04:43 r1.server rspamd[27944]: <4dd288>; ratelimit; ratelimit.lua:647: check limit subject_limit:something different -> RLuitwi1qtitx56e7mz8u (2/0.016666666666666666)
Dec 05 12:04:43 r1.server rspamd[27944]: <4dd288>; ratelimit; ratelimit.lua:593: got reply for limit something different (2 / 0.016666666666666666); 0 burst, 1:1 dyn, 0 leaked

Dec 05 12:06:36 r1.server rspamd[27944]: <03c59d>; ratelimit; ratelimit.lua:647: check limit subject_limit:something else -> RLce8o4quqkqifye (2/0.016666666666666666)
Dec 05 12:06:36 r1.server rspamd[27944]: <03c59d>; ratelimit; ratelimit.lua:593: got reply for limit something else (2 / 0.016666666666666666); 0 burst, 1:1 dyn, 0 leaked

Ich kenne mich mit lua nicht aus, vermute aber dass man von dem hash nicht auf den Klartext schließen kann:

https://rspamd.com/doc/lua/rspamd_cryptobox.html

/usr/share/rspamd/plugins/ratelimit.lua:

local function make_prefix(redis_key, name, bucket)
  local hash_len = 24
  if hash_len > #redis_key then hash_len = #redis_key end
  local hash = settings.prefix ..
      string.sub(rspamd_hash.create(redis_key):base32(), 1, hash_len)

Zumindest gibt es so keine invaliden redis keys.      


>> 				
>> 		bucket = [
>> 			{
>> 				burst = 2;
>> 				rate = "1 / 1min";
>> 			}
>> 		]
>> 	}
>> }
>> 
>> Gibt es eine Funktion wie id() die das zurückliefert was regexp erkannt hat oder false?
>> 
>> Viele Grüße
>> Gerald
>> 
> 
> Probier doch mal:
> 
> header('subject').lower.digest('hex').regexp('kunde \\d\\d\\d')


Dec 05 12:29:19 r1.server rspamd[29424]: <dd6ab1>; proxy; lua_metric_symbol_callback: call to (RATELIMIT_CHECK) failed (2): /usr/share/rspamd/lualib/lua_selectors/transforms.lua:139: calling 'create_specific' on bad self (string expected, got table); trace: [1]:{[C]:-1 - create_specific [C]}; [2]:{/usr/share/rspamd/lualib/lua_selectors/transforms.lua:139 - process [Lua]}; [3]:{/usr/share/rspamd/lualib/lua_selectors/init.lua:173 - fun [Lua]}; [4]:{/usr/share/rspamd/lualib/fun.lua:583 - foldl_call [Lua]}; [5]:{/usr/share/rspamd/lualib/fun.lua:588 - foldl [Lua]}; [6]:{/usr/share/rspamd/lualib/lua_selectors/init.lua:176 - process_selector [Lua]}; [7]:{/usr/share/rspamd/lualib/lua_selectors/init.lua:418 - process_selectors [Lua]}; [8]:{/usr/share/rspamd/plugins/ratelimit.lua:499 - limit_to_prefixes [Lua]}; [9]:{/usr/share/rspamd/plugins/ratelimit.lua:570 - <unknown> [Lua]};

-> string expected, got table

header('subject').lower.digest('hex').first.regexp('kunde \\d\\d\\d') liefert die selbe Meldung.

Es läuft rspamd 2.2 (asan build)

Viele Grüße
Gerald

From mlpbu at admin.syntaxys.net  Fri Dec  6 08:20:41 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Fri, 6 Dec 2019 08:20:41 +0100
Subject: [ext] Whitelisting per smtp_*_restrictions
In-Reply-To: <20191205093255.cjevub7gr3sm73sk@charite.de>
References: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
 <20191205093255.cjevub7gr3sm73sk@charite.de>
Message-ID: <9f2cf1b4-c4c2-cf42-9bcb-bb0aad2e652e@admin.syntaxys.net>

Ja, das passiert auch in einer weiteren Stufe, im Mailstore werden die 
E-Mails noch vom SpamAssassin gescannt. Mit dem policyd-weight bekommt 
man aber schon einigen Müll weniger erst gar nicht bis dahin. Mehrmals 
am Tag die gleichen Mails mit großem Bildanhang sind echt nervig.

Am 05.12.19 um 09:24 schrieb Ralf.Hildebrandt at charite.de:
> 
> * Achim Lamerts <mlpbu at admin.syntaxys.net>:
>> Hallo Liste,
>>
>> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die
>> restriktiveren Einstellungen blockieren auch erwünschte E-Mails.
> 
> Vielleich rspamd benutzen? Also generell etwas inhaltsbasiertes?
> 



From mlpbu at admin.syntaxys.net  Fri Dec  6 08:27:16 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Fri, 6 Dec 2019 08:27:16 +0100
Subject: Whitelisting per smtp_*_restrictions
In-Reply-To: <420EB5E1-BDEF-4C9E-A17A-C7D139BEA5F8@gcore.biz>
References: <8f595508-d499-2e43-e397-9e99eab2af7e@admin.syntaxys.net>
 <420EB5E1-BDEF-4C9E-A17A-C7D139BEA5F8@gcore.biz>
Message-ID: <15abd7c5-2c4d-98af-4c6b-3fa8b7a899cf@admin.syntaxys.net>

Bei mir steht genau das gleiche in der Variable und ich habe den Fehler 
dadurch gefunden:
Es war der Punkt vor dem zu prüfenden Hostnamen, dadurch lieferte die 
Anfrage kein Ergebnis zurück. Mit "t-online.de OK" statt ".t-online.de 
OK" in der access table werden trotzdem auch die Hostnamen der Relays 
von T-Online erfasst und die E-Mails um den postgreyd und policyd-weight 
herum geleitet.

Da hatte ich die http://www.postfix.org/access.5.html ein bissl flüchtig 
gelesen:

HOST NAME/ADDRESS PATTERNS
        With  lookups  from  indexed files such as DB or DBM, or from
        networked
        tables such as NIS, LDAP or SQL,  the  following  lookup
        patterns  are examined in the order as listed:

        domain.tld
               Matches domain.tld.

               The  pattern  domain.tld  also matches subdomains, but
               only when the string smtpd_access_maps  is  listed  in
               the  Postfix  parent_domain_matches_subdomains
               configuration setting.

        .domain.tld
               Matches  subdomains  of  domain.tld,  but  only  when the
               string smtpd_access_maps is not listed in the Postfix
               parent_domain_matches_subdomains configuration setting.

Danke!


Am 05.12.19 um 09:24 schrieb list+postfixbuch at gcore.biz:
> 
>> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die restriktiveren Einstellungen blockieren auch erwünschte E-Mails. Bisher bin ich mit Greylisting gut gefahren, aber das reicht inzwischen nicht mehr. Für bestimmte Clients und Sender möchte ich die schärferen Einstellungen umgehen, aber irgendwie klappt das mit dem Whitelisting nicht so, wie ich mir das vorgestellt habe:
>>
>> smtpd_recipient_restrictions >     permit_mynetworks,
>>      permit_sasl_authenticated,
>>      reject_non_fqdn_recipient,
>>      reject_unauth_destination,
>>      reject_unlisted_recipient,
>>      check_client_access mysql:/etc/postfix/conf/wl_clients.cf,
>>      check_client_access mysql:/etc/postfix/conf/bl_clients.cf,
>>      check_client_access cidr:/etc/postfix/conf/postfix_client_access.cidr,
>>      check_sender_access mysql:/etc/postfix/conf/wl_sender_common.cf,
>>      check_sender_access mysql:/etc/postfix/conf/whitelist_users.cf,
>>      check_sender_access mysql:/etc/postfix/conf/bl_sender_common.cf,
>>      check_sender_access pcre:/etc/postfix/conf/bl_sender_common.pcre,
>>      check_policy_service inet:192.168.164.1:10023,
>>      check_policy_service unix:private/policyd-spf,
>>      check_policy_service inet:192.168.164.1:12525
>>
>> In der Tabelle zu mysql:/etc/postfix/conf/wl_clients.cf habe ich z. B. den Eintrag ".t-online.de OK" und bin davon ausgegangen, daß die weitere Prüfung für <client=ilout12.t-online.de[194.25.134.22]> damit beendet ist. Trotzdem geht die E-Mail noch an den policyd-weight, der sie dann blockiert hat. Wie kann ich es einrichten, daß per default die Mails mit policyd-weight geprüft werden und die weißgelisteten nicht? Seltsamerweise funktionieren REJECTS in den Blacklists ohne Probleme, nutze ich das falsche Schlüsselwort?
> 
> 
> 
> parent_domain_matches_subdomains (default: see postconf -d output)
>         A list of Postfix features where the pattern "example.com" also matches subdomains of example.com, instead of requiring an explicit ".example.com" pattern.  This is planned backwards compatibility:  eventually, all Postfix features are expected to require explicit ".example.com" style patterns when you really want to match subdomains.
> 
> ...
> 
>         Postfix version 1.1 and later
>                qmqpd_authorized_clients, smtpd_access_maps,
> 
> 
> 
> EMAIL ADDRESS PATTERNS
>   .domain.tld
>                Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not listed in the Postfix parent_domain_matches_subdomains configuration setting.
>                
>   
> [root at r1 ~]# postconf -d | grep parent_domain_matches_subdomains
> parent_domain_matches_subdomains =ebug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
> 
> Wie sieht das bei Dir aus?
> 
> Viele Grüße
> Gerald
> 
> 
> -------------- nächster Teil --------------
> Ein Dateianhang mit HTML-Daten wurde abgetrennt...
> URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191205/b19cb4b6/attachment-0001.html>
> 
> 



From mlpbu at admin.syntaxys.net  Fri Dec  6 11:29:41 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Fri, 6 Dec 2019 11:29:41 +0100
Subject: Frage Mailserver!
In-Reply-To: <56264547.8E4PXfs9rB@techz>
References: <56264547.8E4PXfs9rB@techz>
Message-ID: <1e949d42-64d1-cc71-ad07-246343825154@admin.syntaxys.net>

Guten Morgen,

ich hatte sehr lange mit einzelnen Paketen von Postfix/Cyrus und dem 
ganzen Zubehör gearbeitet, anfangs auf der SuSE, seit der 8.04 LTS dann 
auf Ubuntu. Seit 2012 nutze ich auf dieser Distribution die Zimbra 
Collaboration Suite, mit der ich sehr zufrieden bin. Die freie 
Open-Source-Edition gibt es auch für andere Distributionen und bringt so 
ziemlich alles mit in Bezug auf Gruppenkommunikation: Mail, Kalender, 
Chat, Dokumentenverwaltung, etc.

Der Unterbau besteht aus Postfix, Cyrus, OpenLDAP, SpamAssassin, MySQL 
und vielen anderen Komponenten. Die ZCS lässt sich problemlos per 
KVM/LXC betreiben, der Resourcenbedarf hält sich in Grenzen. Allerdings 
hat das System auch ein paar Nachteile:

  * Die Einzelkomponenten kann man nur schwer patchen, bzw. upgraden und
    man ist an die Zyklen des Herstellers gebunden.
  * Die Einzelkomponenten sind bzgl. der Konfiguration etwas gekapselt,
    das ist gewöhnungsbedürftig. So nimmt man z. B. Änderungen am
    Postfix nicht mehr direkt in der main.cf vor, sondern über ein
    Provisioningsystem, das viele Parameter im LDAP-Verzeichnis
    speichert, aus dem heraus dann die jeweiligen Konfigurationsdateien
    neu generiert werden. Das hat wiederum den Vorteil, dass abhängige
    Komponenten in einem Rutsch mitkonfiguriert werden.

Die Community ist recht groß, man findet schnell Hilfe und bisher konnte 
ich jedes Problem lösen. Aktuell bin ich dabei, das System auf einen 
neuen Stand zu bringen und ändere das Konzept ein wenig ab: Statt bisher 
die ZCS als Smarthost zu betreiben, nehme ich sie zukünftig aus der 
"öffentlichen" Schusslinie. Als Posteingangserver ist ihr nun ein 
Postfix vorgeschaltet, der die Vorfilterung übernimmt und auch Angriffe 
auf die Mailboxen unterbindet, da dort ja keine Authentifizierung 
möglich ist.
Ein weiterer Vorteil ist, daß der Posteingangserver als Backup-MX 
funktioniert, falls der Mailstore wegen Wartung mal nicht erreichbar 
ist. Beiden nutzen das gleiche LDAP-Verzeichnis, somit ist das kein 
höherer Konfigurationsbedarf, wenn da mal neue Domains oder Mailboxen 
dazu kommen. Die Nutzer merken von dem Splitting nichts, es läuft alles 
wie bisher. Lediglich die MX-Einträge müssen geändert werden.

Schöne Grüße
Achim

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191206/3b10ad26/attachment.htm>

From gregor at aeppelbroe.de  Fri Dec  6 12:13:10 2019
From: gregor at aeppelbroe.de (Gregor Burck)
Date: Fri, 06 Dec 2019 12:13:10 +0100
Subject: Unterschied sender_dependent_relayhost_maps und
 sender_dependent_default_transport_maps
Message-ID: <2422660.XTKPJ7k20M@ph-pc014.peiker-holding.de>

Moin,

mir ist der Unterschied zwischen den zwei Parametern und deren Auswirkung noch nicht klar.
Bzw. welchen ich für meinen Fall anwenden muss.

Wir führen gerade den proxmox mail gateway bei uns ein, bzw. stehen jetzt in der Testphase. Der setzt ja auf einem postfix auf,...
Dafür möchte ich von einem Internen Mailserver (Exchange) für verschiedene Domains verschiedene Versandwege realisieren. Exchange kann das mit Bordmitteln nicht, dass ist Klar.

DomainA --> Smartrelay (Empfang noch über POP Con und Provider)
DomainB --> direkt per SMTP (Empfang jetzt schon über postfix)

Nehme ich da für die ausgehenden Mails jetzt die relayhost_maps oder default_transport_maps?

Kann ich darüber auch eingehenden Verkehr übersteuern? In den 'normalen' transportmaps ist der Exchange eingetragen. Kann ich für eine Spezielle Adresse den Weg übersteuern?

Grüße

Gregor







From postfix at linuxmaker.de  Fri Dec  6 18:52:31 2019
From: postfix at linuxmaker.de (Andreas)
Date: Fri, 06 Dec 2019 18:52:31 +0100
Subject: Postfix =?UTF-8?B?bMOkc3N0?= nach Upgrade nicht alle Domains mehr
 senden
Message-ID: <4454622.YlQIq7U8Bl@stuttgart>

Hallo zusammen,

ich habe hier ein seltsames Verhalten von Postfix, nach einem Routine-Upgrade 
(Debian Buster) von Paketen (u.a. Postfix und MariaDB).

Auf dem Mailserver mx.example.tld lassen sich alle Mails verschicken der 
Domain example.tld. Die Domain swabia.tld mit dem Mailserver mail.swabia.tld, 
der auf mx.example.tld können seit dem Upgrade keine Mails versandt werden, 
obwohl das bisher ging.
Kmail meldet "Fehler beim Übertragen der Nachricht. Server error" und 
Thunderbird liefert dieses Log:

[11679:Unnamed thread 0x132b6df60]: D/IMAP ImapThreadMainLoop entering 
[this=0x14c706000]
[11679:Unnamed thread 0x1377a2710]: D/IMAP ImapThreadMainLoop entering 
[this=0x14f57c000]
[11679:Main Thread]: I/IMAP 
0x14c706000:mx.example.tld:NA:SetupWithUrlCallback: clearing 
IMAP_CONNECTION_IS_OPEN
[11679:Main Thread]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:SetupWithUrlCallback: clearing 
IMAP_CONNECTION_IS_OPEN
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:ProcessCurrentURL: entering
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:ProcessCurrentURL:imap://
wh%40germany%2Ecom at mx.example.tld:993/select%3E/INBOX:  = currentUrl
[11679:Unnamed thread 0x1377a2710]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:ProcessCurrentURL: entering
[11679:Unnamed thread 0x1377a2710]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:ProcessCurrentURL:imap://lk-
kfurt%40schwaben%2Ede at mail.swabia.tld:993/select%3E/INBOX:  = currentUrl
[11679:Main Thread]: D/IMAP proposed url = Sent folder for connection  has To 
Wait = FALSE can run = FALSE
[11679:Unnamed thread 0x1377a3550]: D/IMAP ImapThreadMainLoop entering 
[this=0x14f59a000]
[11679:Main Thread]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:SetupWithUrlCallback: clearing 
IMAP_CONNECTION_IS_OPEN
[11679:Unnamed thread 0x1377a3550]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:ProcessCurrentURL: entering
[11679:Unnamed thread 0x1377a3550]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:ProcessCurrentURL:imap://lk-
kfurt%40schwaben%2Ede at mail.swabia.tld:993/select%3E/Sent:  = currentUrl
[11679:Unnamed thread 0x1377a2710]: D/IMAP ReadNextLine [stream=0x1270b6900 
nb=123 needmore=0]
[11679:Unnamed thread 0x132b6df60]: D/IMAP ReadNextLine [stream=0x1270b7100 
nb=123 needmore=0]
[11679:Unnamed thread 0x1377a2710]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:CreateNewLineFromSocket: * OK [CAPABILITY 
IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN 
AUTH=LOGIN] Dovecot (Debian) ready.
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:CreateNewLineFromSocket: * OK [CAPABILITY 
IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN 
AUTH=LOGIN] Dovecot (Debian) ready.
[11679:Unnamed thread 0x1377a2710]: D/IMAP try to log in
[11679:Unnamed thread 0x1377a2710]: D/IMAP IMAP auth: server caps 0x4085427, 
pref 0x1006, failed 0x0, avail caps 0x1006
[11679:Unnamed thread 0x1377a2710]: D/IMAP (GSSAPI = 0x1000000, CRAM = 
0x20000, NTLM = 0x100000, MSN = 0x200000, PLAIN = 0x1000, LOGIN = 0x2, old-
style IMAP login = 0x4, auth external IMAP login = 0x20000000, OAUTH2 = 
0x800000000)
[11679:Unnamed thread 0x1377a2710]: D/IMAP trying auth method 0x1000
[11679:Unnamed thread 0x132b6df60]: D/IMAP try to log in
[11679:Unnamed thread 0x132b6df60]: D/IMAP IMAP auth: server caps 0x4085427, 
pref 0x1006, failed 0x0, avail caps 0x1006
[11679:Unnamed thread 0x132b6df60]: D/IMAP (GSSAPI = 0x1000000, CRAM = 
0x20000, NTLM = 0x100000, MSN = 0x200000, PLAIN = 0x1000, LOGIN = 0x2, old-
style IMAP login = 0x4, auth external IMAP login = 0x20000000, OAUTH2 = 
0x800000000)
[11679:Unnamed thread 0x132b6df60]: D/IMAP trying auth method 0x1000
[11679:Unnamed thread 0x1377a3550]: D/IMAP ReadNextLine [stream=0x1270b6f00 
nb=123 needmore=0]
[11679:Unnamed thread 0x1377a3550]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:CreateNewLineFromSocket: * OK [CAPABILITY 
IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN 
AUTH=LOGIN] Dovecot (Debian) ready.
[11679:Unnamed thread 0x1377a3550]: D/IMAP try to log in
[11679:Unnamed thread 0x1377a3550]: D/IMAP IMAP auth: server caps 0x4085427, 
pref 0x1006, failed 0x0, avail caps 0x1006
[11679:Unnamed thread 0x1377a3550]: D/IMAP (GSSAPI = 0x1000000, CRAM = 
0x20000, NTLM = 0x100000, MSN = 0x200000, PLAIN = 0x1000, LOGIN = 0x2, old-
style IMAP login = 0x4, auth external IMAP login = 0x20000000, OAUTH2 = 
0x800000000)
[11679:Unnamed thread 0x1377a3550]: D/IMAP trying auth method 0x1000
[11679:Unnamed thread 0x1377a2710]: E/IMAP IMAP: password prompt failed or 
user canceled it
[11679:Unnamed thread 0x1377a2710]: E/IMAP login failed entirely
[11679:Unnamed thread 0x1377a3550]: E/IMAP IMAP: password prompt failed or 
user canceled it
[11679:Unnamed thread 0x1377a3550]: E/IMAP login failed entirely
[11679:Unnamed thread 0x132b6df60]: D/IMAP got new password
[11679:Unnamed thread 0x132b6df60]: D/IMAP IMAP: trying auth method 0x1000
[11679:Unnamed thread 0x132b6df60]: D/IMAP PLAIN auth
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:SendData: 1 authenticate PLAIN
[11679:Unnamed thread 0x132b6df60]: D/IMAP ReadNextLine [stream=0x1270b7100 
nb=4 needmore=0]
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:CreateNewLineFromSocket: + 
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:SendData: Logging suppressed for this command 
(it probably contained authentication information)
[11679:Unnamed thread 0x1377a2710]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:ProcessCurrentURL: aborting queued urls
[11679:Unnamed thread 0x1377a3550]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:ProcessCurrentURL: aborting queued urls
[11679:Unnamed thread 0x1377a2710]: I/IMAP 
0x14f57c000:mail.swabia.tld:NA:TellThreadToDie: close socket connection
[11679:Unnamed thread 0x1377a2710]: D/IMAP ImapThreadMainLoop leaving 
[this=0x14f57c000]
[11679:Unnamed thread 0x1377a3550]: I/IMAP 
0x14f59a000:mail.swabia.tld:NA:TellThreadToDie: close socket connection
[11679:Unnamed thread 0x1377a3550]: D/IMAP ImapThreadMainLoop leaving 
[this=0x14f59a000]
[11679:Unnamed thread 0x132b6df60]: D/IMAP ReadNextLine [stream=0x1270b7100 
nb=395 needmore=0]
[11679:Unnamed thread 0x132b6df60]: I/IMAP 
0x14c706000:mx.example.tld:NA:CreateNewLineFromSocket: 1 OK [CAPABILITY 
IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY 
THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT MULTIAPPEND URL-PARTIAL 
CATENATE UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 
CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS 
BINARY MOVE SNIPPET=FUZZY LITERAL+ NOTIFY SPECIAL-USE QUOTA ACL RIGHTS=texk] 
Logged in
[11679:Unnamed thread 0x132b6df60]: D/IMAP login succeeded

Anbei die Postfix-Config:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
bounce_queue_lifetime = 1h
broken_sasl_auth_clients = yes
compatibility_level = 2
debug_peer_level = 2
debug_peer_list = 192.168.1.66/32
disable_vrfy_command = yes
greylist = permit_dnswl_client list.dnswl.org, check_policy_service inet:
127.0.0.1:10023
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
maximal_backoff_time = 15m
maximal_queue_lifetime = 1h
message_size_limit = 26214400
milter_default_action = accept
milter_protocol = 6
minimal_backoff_time = 300s
mydestination = mx.example.tld, localhost.example.tld, localhost
myhostname = mx.example.tld
mynetworks = 127.0.0.0/8 192.168.1.0/24 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = inet:127.0.0.1:12248
plaintext_reject_code = 550
postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/
postscreen_access.cidr
postscreen_bare_newline_enable = no
postscreen_blacklist_action = drop
postscreen_cache_cleanup_interval = 24h
postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache
postscreen_dnsbl_action = drop
postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 
dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 
bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 
dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 
dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 
dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[10;11]*8 
zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 
zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 
hostkarma.junkemailfilter.com=127.0.0.4*1 
hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0.
[18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2
postscreen_dnsbl_threshold = 8
postscreen_dnsbl_ttl = 5m
postscreen_greet_action = enforce
postscreen_greet_banner = $smtpd_banner
postscreen_greet_ttl = 2d
postscreen_greet_wait = 3s
postscreen_non_smtp_command_enable = no
postscreen_pipelining_enable = no
proxy_read_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf, 
proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_out_policy.cf, proxy:mysql:/
etc/postfix/sql/mysql_tls_enforce_in_policy.cf, $local_recipient_maps 
$mydestination $virtual_alias_maps $virtual_alias_domains 
$virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps 
$relay_domains $canonical_maps $sender_canonical_maps 
$recipient_canonical_maps $relocated_maps $transport_maps $mynetworks 
$smtpd_sender_login_maps
queue_run_delay = 300s
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf
relay_recipient_maps = proxy:mysql:/etc/postfix/sql/
mysql_relay_recipient_maps.cf
relayhost =
sender_dependent_default_transport_maps = proxy:mysql:/etc/postfix/sql/
mysql_tls_enforce_out_policy.cf
smtp_dns_support_level = dnssec
smtp_header_checks = pcre:/etc/postfix/submission_header_cleanup
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname
smtpd_client_restrictions = permit_mynetworks check_client_access hash:/etc/
postfix/without_ptr reject_unknown_client_hostname
smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_delay_reject = yes
smtpd_error_sleep_time = 10s
smtpd_hard_error_limit = ${stress?1}${stress:5}
smtpd_helo_required = yes
smtpd_milters = inet:127.0.0.1:12248
smtpd_proxy_timeout = 600s
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, 
reject_invalid_helo_hostname, reject_unknown_reverse_client_hostname, 
reject_unauth_destination
smtpd_restriction_classes = greylist
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth_dovecot
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/
mysql_virtual_sender_acl.cf
smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch, 
permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, 
reject_unlisted_sender, reject_unknown_sender_domain
smtpd_soft_error_limit = 3
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/mail/mail.crt
smtpd_tls_ciphers = high
smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
smtpd_tls_key_file = /etc/ssl/mail/mail.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
smtpd_tls_mandatory_protocols = !SSLv3
smtpd_tls_protocols = !SSLv3
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_high_cipherlist = 
EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:
+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!
MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-
SHA:AES128-SHA
tls_preempt_cipherlist = yes
tls_ssl_options = NO_COMPRESSION
virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, 
proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf, proxy:mysql:/
etc/postfix/sql/mysql_virtual_alias_domain_maps.cf, proxy:mysql:/etc/postfix/
sql/mysql_virtual_alias_domain_catchall_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail/
virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/
mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/
mysql_virtual_mailbox_maps.cf, proxy:mysql:/etc/postfix/sql/
mysql_virtual_alias_domain_mailbox_maps.cf
virtual_minimum_uid = 104
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_uid_maps = static:5000

Was könnte der mögliche Fehler sein?

Beste Grüße

Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191206/7c080351/attachment.htm>

From bjo at schafweide.org  Fri Dec  6 19:29:47 2019
From: bjo at schafweide.org (Bjoern Franke)
Date: Fri, 6 Dec 2019 19:29:47 +0100
Subject: =?UTF-8?Q?Re=3a_Postfix_l=c3=a4sst_nach_Upgrade_nicht_alle_Domains_?=
 =?UTF-8?Q?mehr_senden?=
In-Reply-To: <4454622.YlQIq7U8Bl@stuttgart>
References: <4454622.YlQIq7U8Bl@stuttgart>
Message-ID: <045c1851-4913-c0ba-2f70-998f213a80e0@schafweide.org>

Moin,

Am 06.12.19 um 18:52 schrieb Andreas:
> Hallo zusammen,
> 
> ich habe hier ein seltsames Verhalten von Postfix, nach einem 
> Routine-Upgrade (Debian Buster) von Paketen (u.a. Postfix und MariaDB).
> 
> Auf dem Mailserver mx.example.tld lassen sich alle Mails verschicken der 
> Domain example.tld. Die Domain swabia.tld mit dem Mailserver 
> mail.swabia.tld, der auf mx.example.tld können seit dem Upgrade keine 
> Mails versandt werden, obwohl das bisher ging.
mail.swabia.tld liegt auf mail.example.com? Oder mail.swabia.tld kann 
nicht an mail.example.com schicken?

> Kmail meldet "Fehler beim Übertragen der Nachricht. Server error" und 
> Thunderbird liefert dieses Log:
>

Du hast Zugriff auf die Postfix Config, also vermutlich auch auf die 
Logfiles? ;)

VG


From postfix at linuxmaker.de  Sat Dec  7 09:38:12 2019
From: postfix at linuxmaker.de (Andreas)
Date: Sat, 07 Dec 2019 09:38:12 +0100
Subject: Postfix =?UTF-8?B?bMOkc3N0?= nach Upgrade nicht alle Domains mehr
 senden
In-Reply-To: <045c1851-4913-c0ba-2f70-998f213a80e0@schafweide.org>
References: <4454622.YlQIq7U8Bl@stuttgart>
 <045c1851-4913-c0ba-2f70-998f213a80e0@schafweide.org>
Message-ID: <2016716.3gVF4Q18c0@stuttgart>

Am Freitag, 6. Dezember 2019, 19:29:47 CET schrieb Bjoern Franke:
> Moin,
> 
> Am 06.12.19 um 18:52 schrieb Andreas:
> > Hallo zusammen,
> > 
> > ich habe hier ein seltsames Verhalten von Postfix, nach einem
> > Routine-Upgrade (Debian Buster) von Paketen (u.a. Postfix und MariaDB).
> > 
> > Auf dem Mailserver mx.example.tld lassen sich alle Mails verschicken der
> > Domain example.tld. Die Domain swabia.tld mit dem Mailserver
> > mail.swabia.tld, der auf mx.example.tld können seit dem Upgrade keine
> > Mails versandt werden, obwohl das bisher ging.
> 
> mail.swabia.tld liegt auf mail.example.com? Oder mail.swabia.tld kann
> nicht an mail.example.com schicken?
mail.swabia.tld ist wunschgemäß ein A-Record auf die IP-Adresse von 
mx.example.tld und konnte seit der Einrichtung vor einem Jahr auch an 
mx.example.tld schicken. Ich habe gestern nach dem Upgrade der Pakete das 
Feedback erhalten, dass der Versand über mail.swabia.tld nicht mehr geht, über 
mx.example.tld doch.

dig mail.swabia.tld
mail.swabia.tld.       1655    IN      A       XXX.YYY.24.70

und

dig MX mail.swabia.tld
mail.swabia.tld.              IN      MX



> 
> > Kmail meldet "Fehler beim Übertragen der Nachricht. Server error" und
> 
> > Thunderbird liefert dieses Log:
> Du hast Zugriff auf die Postfix Config, also vermutlich auch auf die
> Logfiles? ;)
> 
Klar, da sehe ich bloss nichts Entscheidendes. Hier der Zeitbereich, indem ich 
eine Mail über mail.swabia.tld als test at swabia.tld gesendet habe. Auch meine 
IP-Adresse taucht nicht auf.

Derselbe Zeitraum in der mail.err:

Dec  7 09:26:06 mx dovecot: indexer-
worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDAAAVwYt4w>: 
Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection 
refused
Dec  7 09:26:06 mx dovecot: indexer-
worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDAAAVwYt4w>: 
Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection 
refused
Dec  7 09:26:06 mx dovecot: indexer-
worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDAAAVwYt4w>: 
Error: Mailbox Junk: Transaction commit failed: FTS transaction commit failed: 
backend deinit (attempted to index 437 messages (UIDs 6259..6695))
Dec  7 09:26:23 mx dovecot: indexer-
worker(wh at germany.com)<2963><oNcYLvxh612QCwAAVwYt4w:6DYKMfxh612TCwAAVwYt4w>: 
Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection 
refused
Dec  7 09:26:23 mx dovecot: indexer-
worker(wh at germany.com)<2963><oNcYLvxh612QCwAAVwYt4w:6DYKMfxh612TCwAAVwYt4w>: 
Error: Mailbox Junk: Mail search failed: Internal error occurred. Refer to 
server log for more information. [2019-12-07 09:26:23]
Dec  7 09:27:23 mx dovecot: indexer-
worker(wh at germany.com)<2963><oNcYLvxh612QCwAAVwYt4w:6DYKMfxh612TCwAAVwYt4w>: 
Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection 
refused
Dec  7 09:27:23 mx dovecot: indexer-
worker(wh at germany.com)<2963><oNcYLvxh612QCwAAVwYt4w:6DYKMfxh612TCwAAVwYt4w>: 
Error: Mailbox Junk: Transaction commit failed: FTS transaction commit failed: 
backend deinit (attempted to index 1001 messages (UIDs 1..1001))
Dec  7 09:30:12 mx dovecot: indexer-
worker(m10009-0138 at swabia.tld)<3771><3lj7IhNj6125DgAAVwYt4w:C4xMLBNj6127DgAAVwYt4w>: 
Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection 
refused
Dec  7 09:30:12 mx dovecot: indexer-
worker(m10009-0138 at swabia.tld)<3771><3lj7IhNj6125DgAAVwYt4w:C4xMLBNj6127DgAAVwYt4w>: 
Error: Mailbox INBOX: Mail search failed: Internal error occurred. Refer to 
server log for more information. [2019-12-07 09:30:12]

Beste Grüße

Andreas






From postfix at linuxmaker.de  Sat Dec  7 12:16:56 2019
From: postfix at linuxmaker.de (Andreas)
Date: Sat, 07 Dec 2019 12:16:56 +0100
Subject: Postfix =?UTF-8?B?bMOkc3N0?= nach Upgrade nicht alle Domains mehr
 senden
In-Reply-To: <bc49b9ec-65b4-fddf-72fe-ce58b72a2826@syntaxys.net>
References: <4454622.YlQIq7U8Bl@stuttgart> <2016716.3gVF4Q18c0@stuttgart>
 <bc49b9ec-65b4-fddf-72fe-ce58b72a2826@syntaxys.net>
Message-ID: <2316612.VHqZ7Haf3D@stuttgart>

Am Samstag, 7. Dezember 2019, 10:15:02 CET schrieb Achim Lammerts:
> Die Problembeschreibung ist für mich nicht ganz klar. Der Host
> mail.swabia.tld nimmt überhaupt keine Mails mehr an? Ich würde das ganz
> basic über eine telnet-Verbindung testen:
> 
> https://www.thomas-krenn.com/de/wiki/TCP_Port_25_(smtp)_Zugriff_mit_telnet_%
> C3%BCberpr%C3%BCfen (ohne auth)
> 
> https://www.ndchost.com/wiki/mail/test-smtp-auth-telnet
> (mit auth, falls nötig)
> 
> Wenn der Postfix die Mail nicht annimmt, sagt er gleich warum. Wenn er
> sie annimmt und nicht ausliefert, geistert sie irgendwo in der Queue
> rum. In beiden Fällen steht normalerweise der Grund dafür im mail.log
> und mit mailq siehst Du, was in der Queue hängt.
> 
> Nach einem System-Upgrade ändern sich normalerweise keine DNS-Einträge.
> Es kann sein, dass der named nicht mehr läuft und daher die Adressen
> nicht mehr aufgelöst werden können, aber mit dem Postfix hat das nichts
> zu tun. Daher verstehe ich den dig response nicht. Lässt sich
> mail.swabia.tld anpingen? Ist der Host nicht erreichbar oder der Postfix
> nicht?
> 
> Wie oben beschrieben, würde ich einfach mal per telnet mit dem chatten,
> dann sieht man schon, was mit dem los ist.

Der mail.swabia.tld ist anpingbar. Und
mx:/etc/postfix # mailq 
Mail queue is empty

Allerdings lag der Fehler möglicherweise weniger bei Postfix selbst als bei 
der IPTables-Firewall auf dem KVM-Host, der ebenfalls ein Upgrade erfahren 
hatte. Der Mailserver ist eine VM, die hinter der Firewall steht.
Komplettes Löschen aller Rules und Neustart der Firewall haben gewirkt.

Besten Dank für die Beteiligung

Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191207/7245c54f/attachment.htm>

From ml at irmawi.de  Sat Dec  7 12:25:37 2019
From: ml at irmawi.de (Markus Winkler)
Date: Sat, 7 Dec 2019 12:25:37 +0100
Subject: =?UTF-8?Q?Re=3a_Postfix_l=c3=a4sst_nach_Upgrade_nicht_alle_Domains_?=
 =?UTF-8?Q?mehr_senden?=
In-Reply-To: <2016716.3gVF4Q18c0@stuttgart>
References: <4454622.YlQIq7U8Bl@stuttgart>
 <045c1851-4913-c0ba-2f70-998f213a80e0@schafweide.org>
 <2016716.3gVF4Q18c0@stuttgart>
Message-ID: <1aabe9df-e967-72bd-6da0-9bfa42160318@irmawi.de>

Hi Andreas,

On 07.12.19 09:38, Andreas wrote:
>> mail.swabia.tld liegt auf mail.example.com? Oder mail.swabia.tld kann
>> nicht an mail.example.com schicken?
> mail.swabia.tld ist wunschgemäß ein A-Record auf die IP-Adresse von
> mx.example.tld und konnte seit der Einrichtung vor einem Jahr auch an
> mx.example.tld schicken. Ich habe gestern nach dem Upgrade der Pakete das
> Feedback erhalten, dass der Versand über mail.swabia.tld nicht mehr geht, über
> mx.example.tld doch.
> 
> dig mail.swabia.tld
> mail.swabia.tld.       1655    IN      A       XXX.YYY.24.70
> 
> und
> 
> dig MX mail.swabia.tld
> mail.swabia.tld.              IN      MX

?

Entscheidend wäre doch aber eher diese Query, oder?: 'dig swabia.tld mx'

Ich fürchte allerdings, ich habe Dein Problem noch nicht so richtig 
verstanden. Werden die Mails der Clients erst mal vom mail.swabia.tld 
entgegengenommen und können dann "nur" nicht an die Zieldomain übertragen 
werden? Oder werden die schon beim Einliefern abgewiesen?

> Klar, da sehe ich bloss nichts Entscheidendes. Hier der Zeitbereich, indem ich
> eine Mail über mail.swabia.tld als test at swabia.tld gesendet habe. Auch meine
> IP-Adresse taucht nicht auf.

_Wohin_ (an welche Domain) sollte diese Mail denn gehen:

1. an 'swabia.tld'
2. an 'example.tld' oder
3. an irgendeine andere externe Domain?


Soweit an Deiner Postfix-Config zu sehen, authentifizierst Du Deine Clients 
via Dovecot, richtig?

Ich habe zwar SOLR nicht im Einsatz und denke, dass dieser Teil Deine 
Authentifizierung nicht beeinflussen sollte, aber diese Meldungen hier:

> Derselbe Zeitraum in der mail.err:
> 
> Dec  7 09:26:06 mx dovecot: indexer-
> worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDAAAVwYt4w>:
> Error: fts_solr: Indexing failed: connect(127.0.0.1:8983) failed: Connection
> refused
> Dec  7 09:26:06 mx dovecot: indexer-
> worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDAAAVwYt4w>:
> Error: Mailbox Junk: Transaction commit failed: FTS transaction commit failed:
> backend deinit (attempted to index 437 messages (UIDs 6259..6695))

deuten schon ein Problem an, um das man sich mal kümmern sollte. ;-)

Abgesehen davon - was zeigt denn /var/log/mail.log in genau dem Zeitraum, 
wenn Du mit Deinem Client (und als Absenderadresse test at swabia.tld) eine 
Mail verschicken willst? Da müssten eigentlich Einträge mit 'sasl_method' 
und 'sasl_username' auftauchen.

Gruß
Markus


From mlpbu at admin.syntaxys.net  Sat Dec  7 18:37:11 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Sat, 7 Dec 2019 18:37:11 +0100
Subject: =?UTF-8?Q?Re:_Postfix_l=c3=a4sst_nach_Upgrade_nicht_alle_Domains_me?=
 =?UTF-8?Q?hr_senden?=
In-Reply-To: <2316612.VHqZ7Haf3D@stuttgart>
References: <4454622.YlQIq7U8Bl@stuttgart> <2016716.3gVF4Q18c0@stuttgart>
 <bc49b9ec-65b4-fddf-72fe-ce58b72a2826@syntaxys.net>
 <2316612.VHqZ7Haf3D@stuttgart>
Message-ID: <b8580e36-52e4-6fc9-cc53-0849ce6162ce@admin.syntaxys.net>

Ist das mit Proxmox realisiert und mit dessen Firewall? Damit hatte ich 
auch Probleme. Beim Aufsetzen der virtuellen Umgebung habe ich mir 
gleich ein superdupertolles Regelset mitkonfiguriert und das hatte mich 
permanent geärgert. Am Ende hab ich das alles wieder in die Tonne 
gekloppt und jeder virtuelle Host hat jetzt sein eigenes Regelset. Damit 
kommt auch fail2ban wesentlich besser klar.

Und bei der Proxmox-FW unbedingt beachten: Das ganze Regelgedöns wird 
zwar unterhalb /etc/pve/firewall schön abgelegt, die Konfiguration des 
physischen Host beim Systemstartaber aus einer sqlite-db unter 
/var/lib/pve-cluster geladen. Heißt so viel wie, wenn Du Dich selbst 
aussperrst, musst Du erst die Datenbank bereinigen, damit Du die Kiste 
wieder an den Start bekommst.

Tipp: Du kannst beim rsyslogd das mail.log des einen Hosts per udp port 
514 an den anderen Host schicken. Wenn auf beiden Hosts das f2b mit dem 
selben Filterset läuft, wird auch die action nahezu zeitgleich 
ausgelöst. Ob das bidirektional klappt, hab ich aber noch nicht 
getestet. Auf alle Fälle bekommt mein Mailstore/Postausgangserver die 
Angriffe auf den Posteingangserver mit und macht für die jeweiligen IPs 
auch gleich dicht.


Am 07.12.19 um 12:16 schrieb Andreas:
>
> Am Samstag, 7. Dezember 2019, 10:15:02 CET schrieb Achim Lammerts:
>
> > Die Problembeschreibung ist für mich nicht ganz klar. Der Host
>
> > mail.swabia.tld nimmt überhaupt keine Mails mehr an? Ich würde das ganz
>
> > basic über eine telnet-Verbindung testen:
>
> >
>
> > 
> https://www.thomas-krenn.com/de/wiki/TCP_Port_25_(smtp)_Zugriff_mit_telnet_%
>
> > C3%BCberpr%C3%BCfen (ohne auth)
>
> >
>
> > https://www.ndchost.com/wiki/mail/test-smtp-auth-telnet
>
> > (mit auth, falls nötig)
>
> >
>
> > Wenn der Postfix die Mail nicht annimmt, sagt er gleich warum. Wenn er
>
> > sie annimmt und nicht ausliefert, geistert sie irgendwo in der Queue
>
> > rum. In beiden Fällen steht normalerweise der Grund dafür im mail.log
>
> > und mit mailq siehst Du, was in der Queue hängt.
>
> >
>
> > Nach einem System-Upgrade ändern sich normalerweise keine DNS-Einträge.
>
> > Es kann sein, dass der named nicht mehr läuft und daher die Adressen
>
> > nicht mehr aufgelöst werden können, aber mit dem Postfix hat das nichts
>
> > zu tun. Daher verstehe ich den dig response nicht. Lässt sich
>
> > mail.swabia.tld anpingen? Ist der Host nicht erreichbar oder der Postfix
>
> > nicht?
>
> >
>
> > Wie oben beschrieben, würde ich einfach mal per telnet mit dem chatten,
>
> > dann sieht man schon, was mit dem los ist.
>
> Der mail.swabia.tld ist anpingbar. Und
>
> mx:/etc/postfix # mailq Mail queue is empty
>
> Allerdings lag der Fehler möglicherweise weniger bei Postfix selbst 
> als bei der IPTables-Firewall auf dem KVM-Host, der ebenfalls ein 
> Upgrade erfahren hatte. Der Mailserver ist eine VM, die hinter der 
> Firewall steht.
>
> Komplettes Löschen aller Rules und Neustart der Firewall haben gewirkt.
>
> Besten Dank für die Beteiligung
>
> Andreas
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191207/b0c05621/attachment.htm>

From postfix at linuxmaker.de  Sun Dec  8 09:36:51 2019
From: postfix at linuxmaker.de (Andreas)
Date: Sun, 08 Dec 2019 09:36:51 +0100
Subject: Postfix =?UTF-8?B?bMOkc3N0?= nach Upgrade nicht alle Domains mehr
 senden
In-Reply-To: <1aabe9df-e967-72bd-6da0-9bfa42160318@irmawi.de>
References: <4454622.YlQIq7U8Bl@stuttgart> <2016716.3gVF4Q18c0@stuttgart>
 <1aabe9df-e967-72bd-6da0-9bfa42160318@irmawi.de>
Message-ID: <1853338.65fBSzBsto@stuttgart>

Am Samstag, 7. Dezember 2019, 12:25:37 CET schrieb Markus Winkler:
> Hi Andreas,
> 
> On 07.12.19 09:38, Andreas wrote:
> >> mail.swabia.tld liegt auf mail.example.com? Oder mail.swabia.tld kann
> >> nicht an mail.example.com schicken?
> > 
> > mail.swabia.tld ist wunschgemäß ein A-Record auf die IP-Adresse von
> > mx.example.tld und konnte seit der Einrichtung vor einem Jahr auch an
> > mx.example.tld schicken. Ich habe gestern nach dem Upgrade der Pakete das
> > Feedback erhalten, dass der Versand über mail.swabia.tld nicht mehr geht,
> > über mx.example.tld doch.
> > 
> > dig mail.swabia.tld
> > mail.swabia.tld.       1655    IN      A       XXX.YYY.24.70
> > 
> > und
> > 
> > dig MX mail.swabia.tld
> > mail.swabia.tld.              IN      MX
> 
> ?
> 
> Entscheidend wäre doch aber eher diese Query, oder?: 'dig swabia.tld mx'
> 
> Ich fürchte allerdings, ich habe Dein Problem noch nicht so richtig
> verstanden. Werden die Mails der Clients erst mal vom mail.swabia.tld
> entgegengenommen und können dann "nur" nicht an die Zieldomain übertragen
> werden? Oder werden die schon beim Einliefern abgewiesen?
> 
> > Klar, da sehe ich bloss nichts Entscheidendes. Hier der Zeitbereich, indem
> > ich eine Mail über mail.swabia.tld als test at swabia.tld gesendet habe.
> > Auch meine IP-Adresse taucht nicht auf.
> 
> _Wohin_ (an welche Domain) sollte diese Mail denn gehen:
> 
> 1. an 'swabia.tld'
> 2. an 'example.tld' oder
> 3. an irgendeine andere externe Domain?

Ich habe es auch erst nicht verstanden - hatte es bis Donnerstagvormittag doch 
alles funktioniert.
mx.example.tld ist der Mailserver, der für mehrere Domains zuständig ist. Da 
bietet jemand für seine Freunde mit mehreren Domains einen Service an.
Damit aber die vielen Benutzer, die schon Probleme beim Einrichten ihrer 
Mailclients haben, gibt so einen Servernamen wie mail.swabia.tld anstelle von 
mx.example.tld für alles (SMTP, POP3s und IMAPs). Und das schon sehr lange, 
somit ist das auch eine Gewohnheitssache.

Die Leute sollen also nur über mail.swabia.tld, was eigentlich mx.example.tld 
ist, Senden und Empfangen können.

> 
> 
> Soweit an Deiner Postfix-Config zu sehen, authentifizierst Du Deine Clients
> via Dovecot, richtig?
Ja, richtig!
Ich nutze das Mailcow-Installationskript (nicht die Docker-Version), die ich 
immer wieder an aktuelle Debian-Version anpasse.
> 
> Ich habe zwar SOLR nicht im Einsatz und denke, dass dieser Teil Deine
> 
> Authentifizierung nicht beeinflussen sollte, aber diese Meldungen hier:
> > Derselbe Zeitraum in der mail.err:
> > 
> > Dec  7 09:26:06 mx dovecot: indexer-
> > worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDA
> > AAVwYt4w>: Error: fts_solr: Indexing failed: connect(127.0.0.1:8983)
> > failed: Connection refused
> > Dec  7 09:26:06 mx dovecot: indexer-
> > worker(m10009-1005 at swabia.tld)<3203><uPKwOh1i612QCwAAVwYt4w:iHcTAR5i612DDA
> > AAVwYt4w>: Error: Mailbox Junk: Transaction commit failed: FTS transaction
> > commit failed: backend deinit (attempted to index 437 messages (UIDs
> > 6259..6695))
> deuten schon ein Problem an, um das man sich mal kümmern sollte. ;-)
Ich weiß, das kapiere ich noch nicht ganz, was da das Problem ist. Steht aber 
auf der Agenda.


Beste Grüße

Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191208/f3743fbc/attachment.htm>

From postfix at linuxmaker.de  Sun Dec  8 09:44:21 2019
From: postfix at linuxmaker.de (Andreas)
Date: Sun, 08 Dec 2019 09:44:21 +0100
Subject: Postfix =?UTF-8?B?bMOkc3N0?= nach Upgrade nicht alle Domains mehr
 senden
In-Reply-To: <b8580e36-52e4-6fc9-cc53-0849ce6162ce@admin.syntaxys.net>
References: <4454622.YlQIq7U8Bl@stuttgart> <2316612.VHqZ7Haf3D@stuttgart>
 <b8580e36-52e4-6fc9-cc53-0849ce6162ce@admin.syntaxys.net>
Message-ID: <6018298.l1iufM6blr@stuttgart>

Am Samstag, 7. Dezember 2019, 18:37:11 CET schrieb Achim Lammerts:
> Ist das mit Proxmox realisiert und mit dessen Firewall? Damit hatte ich
> auch Probleme. Beim Aufsetzen der virtuellen Umgebung habe ich mir
> gleich ein superdupertolles Regelset mitkonfiguriert und das hatte mich
> permanent geärgert. Am Ende hab ich das alles wieder in die Tonne
> gekloppt und jeder virtuelle Host hat jetzt sein eigenes Regelset. Damit
> kommt auch fail2ban wesentlich besser klar.
> 
> Und bei der Proxmox-FW unbedingt beachten: Das ganze Regelgedöns wird
> zwar unterhalb /etc/pve/firewall schön abgelegt, die Konfiguration des
> physischen Host beim Systemstartaber aus einer sqlite-db unter
> /var/lib/pve-cluster geladen. Heißt so viel wie, wenn Du Dich selbst
> aussperrst, musst Du erst die Datenbank bereinigen, damit Du die Kiste
> wieder an den Start bekommst.
> 
> Tipp: Du kannst beim rsyslogd das mail.log des einen Hosts per udp port
> 514 an den anderen Host schicken. Wenn auf beiden Hosts das f2b mit dem
> selben Filterset läuft, wird auch die action nahezu zeitgleich
> ausgelöst. Ob das bidirektional klappt, hab ich aber noch nicht
> getestet. Auf alle Fälle bekommt mein Mailstore/Postausgangserver die
> Angriffe auf den Posteingangserver mit und macht für die jeweiligen IPs
> auch gleich dicht.
> 

Ja und nein. Da ist zwar Promox drauf, weil das der Eigentümer unbedingt so 
haben wollte. Dabei hatte der noch nie eine VM oder einen Container angelegt, 
braucht Proxmox eigentlich gar nicht. Ich nutze für solche Installationen 
lieber KVM ohne Promox und mache die Installation über die Konsole.
Die Firewall hatte ich sofort deaktiviert, weil mir das SchnickSchnack zu 
suspect war. Stattdessen nutze ich IPTables über Shorewall. Shorewall ist zwar 
gewöhnungsbedürftig, aber da hat sich Jemand wirklich erstklassig in IPTables 
eingearbeitet und auf Perl-Skripte abgebildet.

Beste Grüße

Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191208/0fa63198/attachment.htm>

From mlpbu at admin.syntaxys.net  Mon Dec  9 08:16:46 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Mon, 9 Dec 2019 08:16:46 +0100
Subject: Reihenfolge check_policy_service
Message-ID: <0a31b69c-c9ed-73f6-c5ab-b4724847fbe7@admin.syntaxys.net>

Guten Morgen Liste,

mir ist in den Logfiles aufgefallen, daß das Greylisting nicht so 
funktioniert, wie erwartet. Normalerweise müsste doch bei einem neuen 
Zugriff erst mal die E-Mail durch den postgreyd mit einem 450er 
abgelehnt werden und erst bei einer wiederholten Anfrage die anderen 
policy services anspringen.

Statt dessen passiert alles bei der ersten Anfrage:
Dec  9 07:45:36 host postgrey[31783]: action=greylist, reason=new, ?
Dec  9 07:45:36 host policyd-spf[29125]: None; identity=helo; ?
Dec  9 07:45:36 host policyd-spf[29125]: Pass; identity=mailfrom; ?
Dec  9 07:45:38 host postfix/policyd-weight[19170]: weighted check: 
IN_SBL_XBL_SPAMHAUS=3.95 IN_UCE1=3.25 BAD_MX=15.12 CL_IP_EQ_HELO_IP= ?
Dec  9 07:45:38 xaver postfix/policyd-weight[19170]: decided action=550 
Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to 
correct HELO and DNS MX settings or to get removed from DN ?

Der postgreyd ist eingerichtet, um die ganzen Fire&Forget-Anfragen 
abzufangen und somit unnötige Checks gegen die RBLs zu vermeiden:

smtpd_recipient_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_recipient,
     reject_unauth_destination,
     reject_unlisted_recipient,
     check_recipient_access mysql:/etc/postfix/conf/whitelist_users.cf,
     # postgreyd
     check_policy_service inet:192.168.164.1:10023,
     check_policy_service unix:private/policyd-spf,
     # policyd-weight
     check_policy_service inet:192.168.164.1:12525,
     pcre:/etc/postfix/conf/postfix_prepend-clientIP.pcre,
     permit

Wie kann ich das einrichten, damit es so wie gewünscht funktioniert?

Vielen Dank für Eure Hilfe!
Achim



From Ralf.Hildebrandt at charite.de  Tue Dec 10 13:22:57 2019
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 10 Dec 2019 13:22:57 +0100
Subject: [ext] Re: Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>
References: <FD4AEF1F-3A92-4369-8B56-F3ACDBC9ABF7@veka.com>
 <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
 <20191203144036.vjb4h2wlfvgywjep@charite.de>
 <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>
Message-ID: <20191210122255.dzv7cnfkqcv4bzbm@charite.de>

* Carsten Rosenberg <cr at ncxs.de>:
> On 03.12.19 15:40, Ralf Hildebrandt wrote:

...

> Ich könnte mir diese Ansätze vorstellen:
> 
> Du könntest via Settings für bestimmte Absender, Empfänger oder IPs
> oletools bei symbols_disabled aufnehmen. Dann wird der Check für diese
> nicht mehr ausgeführt.

Ich bin wohl zu blöd:

In /etc/rspamd/local.d/settings.conf habe ich:

   whitelist_from_abw-verlag {
      # macrodurchsetzte Dateien
      from = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }
   
   whitelist_to_abw-verlag {
      # macrodurchsetzte Dateien
      rcpt = "@abw-verlag.de";
      apply {
         symbols_disabled = ["OLETOOLS"];
      }
   }

Aber:

Dec  9 07:42:26 mail-cbf rspamd[28200]: <77594d>; task; rspamd_task_write_log: id: <BFECFAEDF999564DAFC039702F888868017408AAD7 at s-mx14-mb0103.charite.de>,
qid: <47WYXB1rp3z1Z3Jn>, ip: 10.32.37.106, from: <ABSENDER at charite.de>, (default: T (reject): [-1.50/14.00] [BAYES_HAM(-3.00){100.00%;},MIME_BAD_ATTACHMENT(1.60){docm;},MIME_GOOD(-0.10){multipart/mixed;multipart/alternative;text/plain;},ARC_NA(0.00){},DKIM_SIGNED(0.00){},FROM_EQ_ENVFROM(0.00){},FROM_HAS_DN(0.00){},HAS_ATTACHMENT(0.00){},HAS_XOIP(0.00){},MIME_TRACE(0.00){0:+;1:+;2:+;3:~;4:~;5:~;6:~;},OLETOOLS(0.00){AutoExec
+ Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObject,Lib,Chr,ChrW,.Variables,VBA Stomping);},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},TO_DN_ALL(0.00){},TO_MATCH_ENVRCPT_ALL(0.00){}]),
len: 1461339, time: 8028.338ms, dns req: 12, digest: <2ee88b0dafc3ab75f684d6dd8f006df3>, rcpts: <empfaenger1 at abw-verlag.de,empfaenger2 at abw-verlag.de,empfaenger3 at abw-verlag.de>,
mime_rcpts: <empfaenger1 at abw-verlag.de,empfaenger2 at abw-verlag.de,empfaenger3 at abw-verlag.de...>, forced: reject "oletools: Oletools threat message found: "AutoExec + Suspicious (Document_New,Document_Open,ok_Click,Command,CreateObje

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From list+postfixbuch at gcore.biz  Tue Dec 10 13:52:12 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Tue, 10 Dec 2019 13:52:12 +0100
Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <20191210122255.dzv7cnfkqcv4bzbm@charite.de>
References: <FD4AEF1F-3A92-4369-8B56-F3ACDBC9ABF7@veka.com>
 <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
 <20191203144036.vjb4h2wlfvgywjep@charite.de>
 <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>
 <20191210122255.dzv7cnfkqcv4bzbm@charite.de>
Message-ID: <D4A93863-F5F3-44D7-8639-6DC9F4A21B77@gcore.biz>

>   whitelist_to_abw-verlag {
>      # macrodurchsetzte Dateien
>      rcpt = "@abw-verlag.de";
>      apply {
>         symbols_disabled = ["OLETOOLS"];
>      }
>   }


ich hab in meiner settings.conf

rcpt = "/@domain.de/";

Evtl. fehlen hier die Slashes?

Viele Grüße
Gerald

From Ralf.Hildebrandt at charite.de  Tue Dec 10 14:07:32 2019
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 10 Dec 2019 14:07:32 +0100
Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <D4A93863-F5F3-44D7-8639-6DC9F4A21B77@gcore.biz>
References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
 <20191203144036.vjb4h2wlfvgywjep@charite.de>
 <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>
 <20191210122255.dzv7cnfkqcv4bzbm@charite.de>
 <D4A93863-F5F3-44D7-8639-6DC9F4A21B77@gcore.biz>
Message-ID: <20191210130730.qc24eahvwjks36z3@charite.de>

* Gerald Galster <list+postfixbuch at gcore.biz>:
> >   whitelist_to_abw-verlag {
> >      # macrodurchsetzte Dateien
> >      rcpt = "@abw-verlag.de";
> >      apply {
> >         symbols_disabled = ["OLETOOLS"];
> >      }
> >   }
> 
> 
> ich hab in meiner settings.conf
> 
> rcpt = "/@domain.de/";
> 
> Evtl. fehlen hier die Slashes?

wenn ich die Beispiel auf
https://rspamd.com/doc/configuration/settings.html so ansehe:

DOMAIN    ---> from = "@example.com";

Und den Abschnitt "Settings match" dann denke ich, daß ich die Syntax
dafür jedenfalls korrekt habe.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From list+postfixbuch at gcore.biz  Tue Dec 10 14:42:24 2019
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Tue, 10 Dec 2019 14:42:24 +0100
Subject: [ext] Wie teste ich, ob rspamd mit den OLEtools funktioniert
In-Reply-To: <20191210130730.qc24eahvwjks36z3@charite.de>
References: <73430376-3cd7-9e62-209a-baac5a3bf369@ncxs.de>
 <F1DCA13C-D242-4705-BE0D-369FF607B43D@veka.com>
 <158a9b2f-0533-7171-d85c-a85bdbdb2dfb@ncxs.de>
 <20191128101220.6qd52cjmnhmuksn7@charite.de>
 <8ec726bc-59a4-73e9-2c23-1540fc6305d0@ncxs.de>
 <20191129105022.qifgthbh2bg2ooia@charite.de>
 <20191203144036.vjb4h2wlfvgywjep@charite.de>
 <66bb57f4-cec1-7a64-d917-3aed3d110f22@ncxs.de>
 <20191210122255.dzv7cnfkqcv4bzbm@charite.de>
 <D4A93863-F5F3-44D7-8639-6DC9F4A21B77@gcore.biz>
 <20191210130730.qc24eahvwjks36z3@charite.de>
Message-ID: <D503F65F-C5E5-4563-AC75-EEA4FCF2DF4B@gcore.biz>

>>>  whitelist_to_abw-verlag {
>>>     # macrodurchsetzte Dateien
>>>     rcpt = "@abw-verlag.de";
>>>     apply {
>>>        symbols_disabled = ["OLETOOLS"];
>>>     }
>>>  }
>> 
>> 
>> ich hab in meiner settings.conf
>> 
>> rcpt = "/@domain.de/";
>> 
>> Evtl. fehlen hier die Slashes?
> 
> wenn ich die Beispiel auf
> https://rspamd.com/doc/configuration/settings.html so ansehe:
> 
> DOMAIN    ---> from = "@example.com";
> 
> Und den Abschnitt "Settings match" dann denke ich, daß ich die Syntax
> dafür jedenfalls korrekt habe.


Da hast du Recht. Die Doku listet meine Variante aber auch als Alternative
4 /REGEXP/ und da ich für einen rcpt = "/@domain.de/" in der settings.conf
Greylisting Symbole mit der selben Syntax wie Du deaktiviere und das
funktioniert, dachte ich es könnte einen Versuch wert sein.

Vielleicht greift auch eine andere Regel vorher, für den Fall könntest Du
testweise priority=high einfügen.

Viele Grüße
Gerald

From mlpbu at admin.syntaxys.net  Tue Dec 10 18:16:26 2019
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Tue, 10 Dec 2019 18:16:26 +0100
Subject: Reihenfolge check_policy_service
In-Reply-To: <0a31b69c-c9ed-73f6-c5ab-b4724847fbe7@admin.syntaxys.net>
References: <0a31b69c-c9ed-73f6-c5ab-b4724847fbe7@admin.syntaxys.net>
Message-ID: <5672f020-d9bd-324c-1a1a-5207a825a542@admin.syntaxys.net>

Hallo Liste,

aktuell experimentiere ich auch mit dem cbpolicyd und hier tritt der 
Fehler seltener und dann zeitversetzt auf. Der Sender hat nach dem 451 
schon disconnected, als ca. 9 Sekunden später noch der policyd-weight 
getriggert wurde:

Dec 10 17:23:19 xaver postfix/smtpd[8349]: connect from 
mail.domain.tld[1.2.3.4]
Dec 10 17:23:19 host cbpolicyd[21309]: module=Greylisting, action=defer, 
host= ?
Dec 10 17:23:19 host postfix/smtpd[8349]: NOQUEUE: reject: RCPT from 
mail.domain.tld[1.2.3.4]: 451 4.7.1 <user at hier.tld>: Recipient address 
rejected: Greylisting in effect, ?
Dec 10 17:23:20 host postfix/smtpd[8349]: disconnect from 
mail.domain.tld[1.2.3.4] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 
rset=1 quit=1 commands=6/8
Dec 10 17:23:29 host postfix/policyd-weight[10025]: weighted check: 
CL_IP_EQ_HELO_IP=-2.5 (check from: .domain. - helo: .mail.domain. - 
helo-domain: .domain.) FROM/MX_MATCHES_HELO(DOMAIN)=-2.5
Dec 10 17:23:29 host postfix/policyd-weight[10025]: decided 
action=PREPEND X-policyd-weight: CL_IP_EQ_HELO_IP=-2.5 (check from: 
.domain. - helo: .mail.domain. - helo-domain: .domain.) FROM/MX_

Wie passiert das? Wird gegen die Policies aus Gründen des Timings 
parallel geprüft? Kann man das steuern, daß bestimmte Policies 
sequentiell abgearbeitet werden? Ansonsten klappt das beim Greylisting 
mit cbpolicyd in der Regel, daß beim ersten Request ein ?defer? mit 
disconnect erfolgt, beim folgenden dann ein ?pass? und dann erst prüft 
der policyd-weight.

Schöne Grüße
Achim


Am 09.12.19 um 08:16 schrieb Achim Lammerts:
> Guten Morgen Liste,
> 
> mir ist in den Logfiles aufgefallen, daß das Greylisting nicht so 
> funktioniert, wie erwartet. Normalerweise müsste doch bei einem neuen 
> Zugriff erst mal die E-Mail durch den postgreyd mit einem 450er 
> abgelehnt werden und erst bei einer wiederholten Anfrage die anderen 
> policy services anspringen.
> 
> Statt dessen passiert alles bei der ersten Anfrage:
> Dec  9 07:45:36 host postgrey[31783]: action=greylist, reason=new, ?
> Dec  9 07:45:36 host policyd-spf[29125]: None; identity=helo; ?
> Dec  9 07:45:36 host policyd-spf[29125]: Pass; identity=mailfrom; ?
> Dec  9 07:45:38 host postfix/policyd-weight[19170]: weighted check: 
> IN_SBL_XBL_SPAMHAUS=3.95 IN_UCE1=3.25 BAD_MX=15.12 CL_IP_EQ_HELO_IP= ?
> Dec  9 07:45:38 xaver postfix/policyd-weight[19170]: decided action=550 
> Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to 
> correct HELO and DNS MX settings or to get removed from DN ?
> 
> Der postgreyd ist eingerichtet, um die ganzen Fire&Forget-Anfragen 
> abzufangen und somit unnötige Checks gegen die RBLs zu vermeiden:
> 
> smtpd_recipient_restrictions =
>      permit_mynetworks,
>      permit_sasl_authenticated,
>      reject_non_fqdn_recipient,
>      reject_unauth_destination,
>      reject_unlisted_recipient,
>      check_recipient_access mysql:/etc/postfix/conf/whitelist_users.cf,
>      # postgreyd
>      check_policy_service inet:192.168.164.1:10023,
>      check_policy_service unix:private/policyd-spf,
>      # policyd-weight
>      check_policy_service inet:192.168.164.1:12525,
>      pcre:/etc/postfix/conf/postfix_prepend-clientIP.pcre,
>      permit
> 
> Wie kann ich das einrichten, damit es so wie gewünscht funktioniert?
> 
> Vielen Dank für Eure Hilfe!
> Achim
> 



From coopershome at web.de  Wed Dec 11 23:46:16 2019
From: coopershome at web.de (coopershome at web.de)
Date: Wed, 11 Dec 2019 23:46:16 +0100
Subject: Unterschied sender_dependent_relayhost_maps und
 sender_dependent_default_transport_maps
In-Reply-To: <2422660.XTKPJ7k20M@ph-pc014.peiker-holding.de>
References: <2422660.XTKPJ7k20M@ph-pc014.peiker-holding.de>
Message-ID: <1556892849.20191211234616@club.webhop.org>

Hi Gregor,

ich betreibe ein Postfix mit sender_dependent_relayhost_maps um
abhänging von der Senderadresse den Smarthost zu wählen.

in den main.cf definiere ich den Standard-Relayhost
(RELAYHOST="[aaa.dd]:587")

in die Datei sasl_passwd kommen die Logindaten der verschiedenen
Smarthosts
=> smtp_sasl_password_maps=hash:/etc/postfix/sasl_passwd

in die Datei sender_relay kommen die Absender und dessen geplante
Smarthosts
=> sender_dependent_relayhost_maps=hash:/etc/postfix/sender_relay


Gruß
Marc

am Freitag, 6. Dezember 2019 um 12:13 schrieben Sie:

> Moin,

> mir ist der Unterschied zwischen den zwei Parametern und deren Auswirkung noch nicht klar.
> Bzw. welchen ich für meinen Fall anwenden muss.

> Wir führen gerade den proxmox mail gateway bei uns ein, bzw. stehen
> jetzt in der Testphase. Der setzt ja auf einem postfix auf,...
> Dafür möchte ich von einem Internen Mailserver (Exchange) für
> verschiedene Domains verschiedene Versandwege realisieren. Exchange
> kann das mit Bordmitteln nicht, dass ist Klar.

DomainA -->> Smartrelay (Empfang noch über POP Con und Provider)
DomainB -->> direkt per SMTP (Empfang jetzt schon über postfix)

> Nehme ich da für die ausgehenden Mails jetzt die relayhost_maps oder default_transport_maps?

> Kann ich darüber auch eingehenden Verkehr übersteuern? In den
> 'normalen' transportmaps ist der Exchange eingetragen. Kann ich für
> eine Spezielle Adresse den Weg übersteuern?

> Grüße

> Gregor








-- 
Mit freundlichen Grüßen
coopershome at web.de
mailto:coopershome at web.de



From melchior.reimers at mivitec.com  Wed Dec 18 16:06:50 2019
From: melchior.reimers at mivitec.com (Melchior Reimers - MIVITEC GmbH)
Date: Wed, 18 Dec 2019 15:06:50 +0000
Subject: StartTLS und TLS auf Port 465
Message-ID: <20d854487bfa47148756234e7c0fba08@mivitec.com>

Hallo Zusammen,

wir haben als Kundenanforderung die Aufgabe erhalten, SSL und STARTTLS auf Port 465 einzurichten.
Über Sinn und Unsinn möchte ich hier gar nicht weiter Diskutieren.

Der Mailversand SSL-"Verschlüsselt" funktioniert bereits. STARTTLS leider nicht.
Wir sind am Ende unseres Lateins und fragen uns, inwieit das überhaupt technisch möglich ist.

Besteht die Möglichkeit SSL und STARTTLS parallel auf Port 465 für den Mailversand zu konfigurieren?


Mit freundlichen Grüßen
Melchior Reimers

--
  Büro München und Rechenzentrum:
  MIVITEC GmbH
  Wamslerstr. 4
  81829 München
  GERMANY

  Tel.: (089) 42079787-1
  Fax: (089) 42079787-29
  eMail: info at mivitec.de<mailto:info at mivitec.de>
  http://www.mivitec.de<http://www.mivitec.de/>

  Mivitec GmbH
  Geschäftsführer Stephan Kelch
  Amtsgericht Regensburg
  Handelsregisternummer: HRB8965
  UST-ID: DE-228543512 (Finanzamt Regensburg)

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191218/b60a37cd/attachment.htm>

From Ralf.Hildebrandt at charite.de  Wed Dec 18 16:15:09 2019
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Wed, 18 Dec 2019 16:15:09 +0100
Subject: [ext] StartTLS und TLS auf Port 465
In-Reply-To: <20d854487bfa47148756234e7c0fba08@mivitec.com>
References: <20d854487bfa47148756234e7c0fba08@mivitec.com>
Message-ID: <20191218151507.7kqc2qzikwermb3e@charite.de>

* Melchior Reimers - MIVITEC GmbH <melchior.reimers at mivitec.com>:
> Hallo Zusammen,
> 
> wir haben als Kundenanforderung die Aufgabe erhalten, SSL und STARTTLS auf Port 465 einzurichten.
> Über Sinn und Unsinn möchte ich hier gar nicht weiter Diskutieren.
> 
> Der Mailversand SSL-"Verschlüsselt" funktioniert bereits. STARTTLS leider nicht.
> Wir sind am Ende unseres Lateins und fragen uns, inwieit das überhaupt technisch möglich ist.
> 
> Besteht die Möglichkeit SSL und STARTTLS parallel auf Port 465 für den Mailversand zu konfigurieren?

Nein, nicht auf derselben IP

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From wn at neessen.net  Wed Dec 18 16:17:52 2019
From: wn at neessen.net (Winfried Neessen)
Date: Wed, 18 Dec 2019 16:17:52 +0100
Subject: StartTLS und TLS auf Port 465
In-Reply-To: <20d854487bfa47148756234e7c0fba08@mivitec.com>
References: <20d854487bfa47148756234e7c0fba08@mivitec.com>
Message-ID: <8D436AA9-1165-4F79-8227-7D1F17C463B9@neessen.net>

Hi,

On 18. Dec 2019, at 16:06, Melchior Reimers - MIVITEC GmbH <melchior.reimers at mivitec.com> wrote:

> Der Mailversand SSL-?Verschlüsselt? funktioniert bereits. STARTTLS leider nicht.
> Wir sind am Ende unseres Lateins und fragen uns, inwieit das überhaupt technisch möglich ist.
> 
> Besteht die Möglichkeit SSL und STARTTLS parallel auf Port 465 für den Mailversand zu konfigurieren?

Nee, das funktioniert technisch nicht. Bei der SSL Verbindung wird ja der SSL Handshake direkt beim Verbindungsaufbau
gemacht, bei STARTTLS wird erst eine unverschluesselte Verbindung hergestellt und dann durch den STARTTLS Aufruf die
Verschluesselung iniziert. Daher entweder unterschiedliche Ports oder unterschiedliche IP.


Winni

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191218/1acece9f/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191218/1acece9f/attachment.asc>

From mailinglisten at pothe.de  Fri Dec 20 08:23:54 2019
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Fri, 20 Dec 2019 08:23:54 +0100
Subject: StartTLS und TLS auf Port 465
In-Reply-To: <20d854487bfa47148756234e7c0fba08@mivitec.com>
References: <20d854487bfa47148756234e7c0fba08@mivitec.com>
Message-ID: <c5ec58ac-171c-4441-98d7-830bb020cfaa@pothe.de>


Am 18.12.2019 um 16:06 schrieb Melchior Reimers - MIVITEC GmbH:
>
> wir haben als Kundenanforderung die Aufgabe erhalten, SSL und STARTTLS
> auf Port 465 einzurichten.
>
> Über Sinn und Unsinn möchte ich hier gar nicht weiter Diskutieren.
>
>  
>
> ...
>
>  
>
> Besteht die Möglichkeit SSL und STARTTLS parallel auf Port 465 für den
> Mailversand zu konfigurieren?
>
Keine Chance. Technisch nicht möglich und wäre auch Unsinn. 465 ist
gemäß Standard für TLS vorgesehen, 587 für STARTTLS (genauer:
Submission, das dann hoffentlich STARTTLS kann).

Viele Grüße
Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191220/5110592a/attachment.htm>

From melchior.reimers at mivitec.com  Fri Dec 20 12:06:03 2019
From: melchior.reimers at mivitec.com (Melchior Reimers - MIVITEC GmbH)
Date: Fri, 20 Dec 2019 11:06:03 +0000
Subject: StartTLS und TLS auf Port 465
Message-ID: <cb446afe4cbd4ef5ace6478b41083ec3@mivitec.com>

Hallo Zusammen,

danke für das Feedback und die Erläuterungen zu dem Thema in den letzten Tagen.
Der Kunde hat nun ebenfalls eingesehen, dass die Lösung weder Empfehlenswert noch machbar ist :)

Liebe Grüße

Melchior Reimers

Am 18.12.2019 um 16:06 schrieb Melchior Reimers - MIVITEC GmbH:
>
> wir haben als Kundenanforderung die Aufgabe erhalten, SSL und STARTTLS 
> auf Port 465 einzurichten.
>
> Über Sinn und Unsinn möchte ich hier gar nicht weiter Diskutieren.
>
>  
>
> ...
>
>  
>
> Besteht die Möglichkeit SSL und STARTTLS parallel auf Port 465 für den 
> Mailversand zu konfigurieren?
>
Keine Chance. Technisch nicht möglich und wäre auch Unsinn. 465 ist gemäß Standard für TLS vorgesehen, 587 für STARTTLS (genauer:
Submission, das dann hoffentlich STARTTLS kann).

Viele Grüße
Andreas

-------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191220/5110592a/attachment-0001.html>

------------------------------

Subject: Fusszeile der Nachrichtensammlung

_______________________________________________
Postfixbuch-users mailing list
Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


------------------------------

Ende Postfixbuch-users Nachrichtensammlung, Band 253, Eintrag 14
****************************************************************