From swen at e-pcs.org Tue Jan 1 10:45:34 2019 From: swen at e-pcs.org (Assmann, Swen) Date: Tue, 01 Jan 2019 10:45:34 +0100 Subject: postfix/smtpd[5411]: connect from unknown / diconnect from unknown Message-ID: <3faf803e852b725ec400c2505cf3cb83@e-pcs.org> Hallo, ich habe für Kunden einige Mailserver auf der Basis von Postfix aufgebaut. Einer logt ständig diese Anfragen von ausserhalb. Meiner Einschätzung nach ist das nicht ungewöhnlich. Ich glaube aber, dass der Hoster auf diese Weise auf Blacklisten / Graulisten landet, was den E-Mail Verkehr extrem negativ beeinträchtigt. Ist diese Interpretation realistisch, oder bin ich auf dem Holzweg. Hat jemand eine Ahnung, was ich dagegen tuen kann? -- Mit freundlichen Grüßen, SWEN M. ASSMANN -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch-listen at jpberlin.de Wed Jan 2 10:45:22 2019 From: postfixbuch-listen at jpberlin.de (Peer Heinlein) Date: Wed, 2 Jan 2019 10:45:22 +0100 Subject: RBL njabl.org ist down. Oder eben gerade nicht... Message-ID: https://www.heinlein-support.de/blog/news/alte-njabl-blackliste-rbl-hat-neuen-besitzer-rejects-bei-mailservern/ Schönen Neujahrsgruß, Peer From andre.peters at debinux.de Wed Jan 2 11:18:17 2019 From: andre.peters at debinux.de (=?UTF-8?Q?Andr=c3=a9_Peters?=) Date: Wed, 2 Jan 2019 11:18:17 +0100 Subject: RBL njabl.org ist down. Oder eben gerade nicht... In-Reply-To: References: Message-ID: Witzig. :) Danke für die Info, Peer. Am 02.01.2019 um 10:45 schrieb Peer Heinlein: > > https://www.heinlein-support.de/blog/news/alte-njabl-blackliste-rbl-hat-neuen-besitzer-rejects-bei-mailservern/ > > > > Schönen Neujahrsgruß, > > > Peer > > From rainer_wiesenfarth at trimble.com Wed Jan 2 12:55:33 2019 From: rainer_wiesenfarth at trimble.com (Rainer Wiesenfarth) Date: Wed, 2 Jan 2019 12:55:33 +0100 Subject: RBL njabl.org ist down. Oder eben gerade nicht... In-Reply-To: References: Message-ID: On Wed, Jan 2, 2019 at 11:18 AM André Peters wrote: > Witzig. :) Danke für die Info, Peer. > Hmm, ich weiß nicht, ob das nur witzig ist. Auf diese Art lassen sich wohl Mailserver-IPs finden, bei denen vielleicht nicht nur die Konfiguration von vorgestern ist... Viele Grüße Rainer -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Zahlenmaler at t-online.de Wed Jan 2 13:00:13 2019 From: Zahlenmaler at t-online.de (Robert) Date: Wed, 2 Jan 2019 13:00:13 +0100 Subject: RBL njabl.org ist down. Oder eben gerade nicht... In-Reply-To: References: Message-ID: <74c5994a-e71b-3ff0-d71b-cf5ef3af98b1@t-online.de> Nunja die Liste ist ja wie geschrieben schon lange "Tot", wer dies also 5 Jahren verschludert hat, dem gehört eigentlich eine mit dem "Paddel" hinten drauf. :-P Gruß Robert Am 02.01.19 um 12:55 schrieb Rainer Wiesenfarth: > On Wed, Jan 2, 2019 at 11:18 AM André Peters > wrote: > > Witzig. :) Danke für die Info, Peer. > > > Hmm, ich weiß nicht, ob das nur witzig ist. Auf diese Art lassen sich > wohl Mailserver-IPs finden, bei denen vielleicht nicht nur die > Konfiguration von vorgestern ist... > > Viele Grüße > Rainer -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Wed Jan 2 13:03:33 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 2 Jan 2019 13:03:33 +0100 Subject: [ext] Re: RBL njabl.org ist down. Oder eben gerade nicht... In-Reply-To: <74c5994a-e71b-3ff0-d71b-cf5ef3af98b1@t-online.de> References: <74c5994a-e71b-3ff0-d71b-cf5ef3af98b1@t-online.de> Message-ID: <20190102120333.GK12064@charite.de> * Robert : > Nunja die Liste ist ja wie geschrieben schon lange "Tot", wer dies also 5 > Jahren verschludert hat, dem gehört eigentlich eine mit dem "Paddel" hinten > drauf. :-P Wieso? Deswegen nutzt man doch LTS Releases: Damit man 5+ Jahre nicht auf die Maschine draufgucken muss! Oder im Falle von RedHat 10 Jahre. DAS ist Effizienz! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From driessen at fblan.de Wed Jan 2 13:10:56 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 2 Jan 2019 13:10:56 +0100 Subject: AW: RBL njabl.org ist down. Oder eben gerade nicht... In-Reply-To: <74c5994a-e71b-3ff0-d71b-cf5ef3af98b1@t-online.de> References: <74c5994a-e71b-3ff0-d71b-cf5ef3af98b1@t-online.de> Message-ID: <019901d4a294$3737f2a0$a5a7d7e0$@fblan.de> Im Auftrag von Robert > > Nunja die Liste ist ja wie geschrieben schon lange "Tot", wer dies also 5 > Jahren verschludert hat, dem gehört eigentlich eine mit dem "Paddel" hinten > drauf. :-P Tztztz sei net so gemein Je nach Nutzung stand die in einigen Konfigs drin Und bisher nie ein Prob war :-) Da wünsche ich mir eine Zentrale Datei in der die Listen stehen und je nach Programm an zentraler Stelle gelesen würden Bei gefühlten 50 unterschiedlichen proggies die alle auf unterschiedliche irgendwo Configs zugreifen kann man schon mal die Übersicht verlieren oder auch mal eine vergessen eine Liste rauszunehmen Ich hab das auch noch in Policyd-weight gehabt :-) > > Gruß > > Robert > > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From driessen at fblan.de Wed Jan 2 13:14:57 2019 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Wed, 2 Jan 2019 13:14:57 +0100 Subject: Dovecot Last login Message-ID: <019a01d4a294$c72c5d60$55851820$@fblan.de> Kennt jemand ein Plugin das die Letzte Logingtime eines User abspeichern kann Ich hab da einige da werden die Mailkonten schon seit z.T. Jahren nicht mehr genutzt oder Mails abgeholt. Es ist einfacher über eine Datenbank die Lastuse -360 Tage zu filtern und entsprechend die Konten dann stillzulegen Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From Hajo.Locke at gmx.de Wed Jan 2 13:18:26 2019 From: Hajo.Locke at gmx.de (Hajo Locke) Date: Wed, 2 Jan 2019 13:18:26 +0100 Subject: Dovecot Last login In-Reply-To: <019a01d4a294$c72c5d60$55851820$@fblan.de> References: <019a01d4a294$c72c5d60$55851820$@fblan.de> Message-ID: <0206389f-1303-5cd4-1c21-732c4f9ee704@gmx.de> Hallo, Plugin nicht, aber selbst durchführbar per PostLoginscript https://wiki.dovecot.org/PostLoginScripting Am 02.01.2019 um 13:14 schrieb Uwe Drießen: > Kennt jemand ein Plugin das die Letzte Logingtime eines User abspeichern > kann > > Ich hab da einige da werden die Mailkonten schon seit z.T. Jahren nicht mehr > genutzt oder Mails abgeholt. > > Es ist einfacher über eine Datenbank die Lastuse -360 Tage zu filtern und > entsprechend die Konten dann stillzulegen > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > > > > Hajo From driessen at fblan.de Wed Jan 2 13:23:33 2019 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 2 Jan 2019 13:23:33 +0100 Subject: AW: Dovecot Last login In-Reply-To: <0206389f-1303-5cd4-1c21-732c4f9ee704@gmx.de> References: <019a01d4a294$c72c5d60$55851820$@fblan.de> <0206389f-1303-5cd4-1c21-732c4f9ee704@gmx.de> Message-ID: <019b01d4a295$fac183c0$f0448b40$@fblan.de> Im Auftrag von Hajo Locke > > Hallo, > > Plugin nicht, aber selbst durchführbar per PostLoginscript > https://wiki.dovecot.org/PostLoginScripting > Thanks dat war es :-) Da kann ich was mit bauen Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From richard.hering at ck-energy.de Wed Jan 2 14:07:53 2019 From: richard.hering at ck-energy.de (Richard Hering) Date: Wed, 02 Jan 2019 14:07:53 +0100 Subject: Dovecot Last login In-Reply-To: <019a01d4a294$c72c5d60$55851820$@fblan.de> References: <019a01d4a294$c72c5d60$55851820$@fblan.de> Message-ID: <14474255.DzibPHxsBq@rotarran> Hey Uwe, da gibt's 'n Plugin dafür: https://wiki.dovecot.org/Plugins/LastLogin als Beispiel meine Config, wie ich diese Info in 'ner MySQL-DB abspeichern lasse: plugin { last_login_dict = proxy::lastlogin } dict { lastlogin = mysql:/etc/dovecot/dovecot-dict-lastlogin.conf.ext } /etc/dovecot/dovecot-dict-lastlogin.conf.ext: map { pattern = shared/last-login/$u table = mailbox value_field = last_login fields { username = $u } } Gruß Richard Am Mittwoch, 2. Januar 2019, 13:14:57 CET schrieb Uwe Drießen: > Kennt jemand ein Plugin das die Letzte Logingtime eines User abspeichern > kann > > Ich hab da einige da werden die Mailkonten schon seit z.T. Jahren nicht mehr > genutzt oder Mails abgeholt. > > Es ist einfacher über eine Datenbank die Lastuse -360 Tage zu filtern und > entsprechend die Konten dann stillzulegen > > Mit freundlichen Grüßen > > Uwe Drießen -- Richard Hering Carl Kliem Energy GmbH Am Quarzitbruch 5 D-65817 Eppstein tel://+4915126154258 https://www.ck-energy.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: This is a digitally signed message part. URL : From t.schneider at tms-itdienst.at Tue Jan 8 13:10:48 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 13:10:48 +0100 Subject: Integration SPF Message-ID: Ein gutes neues Jahr allerseits Ich möchte in meinen Postfix SPF Kontrolle einfügen. Habe meine master und main.cf schon dementsprechend upgedated, jedoch klappt es nicht, weil der policyd-spf wohl nicht arbeitet. In den manpage steht, das man den policyd-spf per Befehl policyd-spf testen kann. Wenn ich diesen Befehl eingebe, wartet er root at web:/usr/bin# policyd-spf Wenn ich dann per strg+c abbreche, bekomme ich diese Meldung zurück root at web:/usr/bin# policyd-spf ^CTraceback (most recent call last): File "/usr/bin/policyd-spf", line 753, in lineraw = sys.stdin.buffer.readline() KeyboardInterrupt Habt Ihr da eine Idee dazu, wie man auf den Fehler kommen könnte? Danke Timm -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Ralf.Hildebrandt at charite.de Tue Jan 8 13:28:07 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 8 Jan 2019 13:28:07 +0100 Subject: [ext] Integration SPF In-Reply-To: References: Message-ID: <20190108122807.GH5930@charite.de> * Timm Schneider : > Ein gutes neues Jahr allerseits > > > Ich möchte in meinen Postfix SPF Kontrolle einfügen. > Habe meine master und main.cf schon dementsprechend upgedated, jedoch klappt > es nicht, weil der policyd-spf wohl nicht arbeitet. Er ist gestartet? > In den manpage steht, das man den policyd-spf per Befehl policyd-spf testen > kann. > Wenn ich diesen Befehl eingebe, wartet er > root at web:/usr/bin# policyd-spf Naja, der horcht jetzt wohl auf STDIN. > Wenn ich dann per strg+c abbreche, bekomme ich diese Meldung zurück > > root at web:/usr/bin# policyd-spf > ^CTraceback (most recent call last): > File "/usr/bin/policyd-spf", line 753, in > lineraw = sys.stdin.buffer.readline() > KeyboardInterrupt Jo, du hast ihn abgebrochen, während er auf Eingabe wartet ("sys.stdin.buffer.readline") Ganz ehrlich: Ich würde mich nicht mit so einer SPF Insellösung abgeben sondern eher rspamd installieren, das bringt mehr. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Tue Jan 8 13:31:29 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 8 Jan 2019 13:31:29 +0100 Subject: [ext] Integration SPF In-Reply-To: References: Message-ID: <20190108123129.GJ5930@charite.de> * Timm Schneider : > Ein gutes neues Jahr allerseits > > > Ich möchte in meinen Postfix SPF Kontrolle einfügen. > Habe meine master und main.cf schon dementsprechend upgedated, jedoch klappt > es nicht, weil der policyd-spf wohl nicht arbeitet. > In den manpage steht, das man den policyd-spf per Befehl policyd-spf testen > kann. > Wenn ich diesen Befehl eingebe, wartet er > root at web:/usr/bin# policyd-spf Gemäß dieser Anleitung: https://help.ubuntu.com/community/Postfix/SPF ? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 4991 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Tue Jan 8 13:54:33 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 13:54:33 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108123129.GJ5930@charite.de> References: <20190108123129.GJ5930@charite.de> Message-ID: Hallo Ralf ja im Prinzip schon. Was den Start betrifft, ein service policyd-spf kennt er nicht. Grüße Timm Am 08.01.19 um 13:31 schrieb Ralf Hildebrandt: > Gemäß dieser Anleitung: > https://help.ubuntu.com/community/Postfix/SPF > ? -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Ralf.Hildebrandt at charite.de Tue Jan 8 14:01:08 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 8 Jan 2019 14:01:08 +0100 Subject: [ext] Integration SPF In-Reply-To: References: <20190108123129.GJ5930@charite.de> Message-ID: <20190108130108.GL5930@charite.de> * Timm Schneider : > Hallo Ralf > > ja im Prinzip schon. > > Was den Start betrifft, ein service policyd-spf kennt er nicht. Das macht ja postfix, wegen des master.cf eintrags: policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From t.schneider at tms-itdienst.at Tue Jan 8 15:13:40 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 15:13:40 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108130108.GL5930@charite.de> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> Message-ID: <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> Hallo Ralf Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. Jan 8 15:11:31 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory Jan 8 15:11:32 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory Jan 8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to server private/postfix-policyd-spf: No such file or directory Jan 8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient address rejected: Server configuration problem; from= to= proto=ESMTP helo=<[192.168.0.103]> Servus Timm Am 08.01.19 um 14:01 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo Ralf >> >> ja im Prinzip schon. >> >> Was den Start betrifft, ein service policyd-spf kennt er nicht. > > Das macht ja postfix, wegen des master.cf eintrags: > > policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From Ralf.Hildebrandt at charite.de Tue Jan 8 15:31:31 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 8 Jan 2019 15:31:31 +0100 Subject: [ext] Integration SPF In-Reply-To: <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> Message-ID: <20190108143131.GO5930@charite.de> * Timm Schneider : > Hallo Ralf > > Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. > > Jan 8 15:11:31 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory > Jan 8 15:11:32 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory > Jan 8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to server private/postfix-policyd-spf: No such file or directory > Jan 8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient > address rejected: Server configuration problem; from= to= proto=ESMTP > helo=<[192.168.0.103]> postfix wurde zwischendurch neu gestartet? > > Das macht ja postfix, wegen des master.cf eintrags: > > > > policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf Da dieser master.cf Eintrag "private" ist, wird der Socket /var/spool/postfix/private/policyd-spf erzeugt (nicht postfix-policyd-spf) Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From t.schneider at tms-itdienst.at Tue Jan 8 15:38:28 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 15:38:28 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108143131.GO5930@charite.de> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> Message-ID: Hallo Ralf das mit dem postfix-policyd und policyd ist mir vorhin auch aufgefallen. Nun schaut es so aus, Postfix wurde restartet. Jan 8 15:36:43 web postfix/smtpd[9148]: warning: connect to private/policyd-spf: No such file or directory Jan 8 15:36:44 web postfix/smtpd[9148]: warning: connect to private/policyd-spf: No such file or directory Jan 8 15:36:44 web postfix/smtpd[9148]: warning: problem talking to server private/policyd-spf: No such file or directory Jan 8 15:36:44 web postfix/smtpd[9148]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient address rejected: Server configuration problem; from= to= proto=ESMTP helo=<[192.168.0.103]> Hier noch meine postconf -n vielleicht ist ja da ein Fehler drin. root at web:/usr/bin# postconf -n alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no body_checks = pcre:/etc/postfix/body_checks broken_sasl_auth_clients = yes compatibility_level = 2 header_checks = pcre:/etc/postfix/header_checks inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_exceptions = root message_size_limit = 50240000 mydestination = $myhostname, localhost.$mydomain, listen.$mydomain mydomain = tms-it.net myhostname = mail.tms-it.net mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 10.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = $myhostname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_loglevel = 1 smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/relays, permit_mynetworks, reject_rbl_client blacklist.rbl.ispa.at, check_policy_service unix:private/policyd-spf check_policy_service inet:127.0.0.1:10040 check_sender_access hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, permit_sasl_authenticated, reject_unauth_pipelining, reject_unknown_client_hostname, check_recipient_access hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauthenticated_sender_login_mismatch, reject_rbl_client mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_unverified_recipient, reject_unauth_destination smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = mail smtpd_sasl_security_options = noanonymous smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_domains = hash:/etc/postfix/virtual virtual_alias_maps = hash:/etc/postfix/virtual root at web:/usr/bin# Ciao Timm Am 08.01.19 um 15:31 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo Ralf >> >> Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. >> >> Jan 8 15:11:31 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to server private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient >> address rejected: Server configuration problem; from= to= proto=ESMTP >> helo=<[192.168.0.103]> > > postfix wurde zwischendurch neu gestartet? > >>> Das macht ja postfix, wegen des master.cf eintrags: >>> >>> policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf > > Da dieser master.cf Eintrag "private" ist, wird der Socket > /var/spool/postfix/private/policyd-spf erzeugt (nicht postfix-policyd-spf) > > Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Tue Jan 8 15:54:08 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 15:54:08 +0100 Subject: [ext] Integration SPF In-Reply-To: References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> Message-ID: <754158a5-eb96-bad5-0801-da538edeb101@tms-itdienst.at> Hallo Ralf Ich habe den Fehler gefunden. In meinem Debian9 heisst es unter /var/pool/postfix/private nicht policyd-spf, sondern nur policy-spf, daher ging es nicht. Danke für den Tip mit /var/spool. Ciao Timm Am 08.01.19 um 15:38 schrieb Timm Schneider: > Hallo Ralf > > das mit dem postfix-policyd und policyd ist mir vorhin auch aufgefallen. > > Nun schaut es so aus, Postfix wurde restartet. > > Jan  8 15:36:43 web postfix/smtpd[9148]: warning: connect to > private/policyd-spf: No such file or directory > Jan  8 15:36:44 web postfix/smtpd[9148]: warning: connect to > private/policyd-spf: No such file or directory > Jan  8 15:36:44 web postfix/smtpd[9148]: warning: problem talking to > server private/policyd-spf: No such file or directory > Jan  8 15:36:44 web postfix/smtpd[9148]: NOQUEUE: reject: RCPT from > unknown[84.20.61.91]: 451 4.3.5 : Recipient > address rejected: Server configuration problem; > from= to= > proto=ESMTP helo=<[192.168.0.103]> > > > > Hier noch meine postconf -n vielleicht ist ja da ein Fehler drin. > > > > root at web:/usr/bin# postconf -n > alias_database = hash:/etc/aliases > alias_maps = hash:/etc/aliases > append_dot_mydomain = no > biff = no > body_checks = pcre:/etc/postfix/body_checks > broken_sasl_auth_clients = yes > compatibility_level = 2 > header_checks = pcre:/etc/postfix/header_checks > inet_interfaces = all > inet_protocols = all > mailbox_size_limit = 0 > masquerade_classes = envelope_sender, header_sender, header_recipient > masquerade_exceptions = root > message_size_limit = 50240000 > mydestination = $myhostname, localhost.$mydomain, listen.$mydomain > mydomain = tms-it.net > myhostname = mail.tms-it.net > mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 10.0.0.0/8 > [::ffff:127.0.0.0]/104 [::1]/128 > myorigin = $myhostname > readme_directory = no > recipient_delimiter = + > relayhost = > smtp_tls_loglevel = 1 > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtp_use_tls = yes > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) > smtpd_recipient_restrictions = check_client_access > hash:/etc/postfix/relays, permit_mynetworks, reject_rbl_client > blacklist.rbl.ispa.at, check_policy_service unix:private/policyd-spf > check_policy_service inet:127.0.0.1:10040 check_sender_access > hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, > permit_sasl_authenticated, reject_unauth_pipelining, > reject_unknown_client_hostname, check_recipient_access > hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, > reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, > reject_non_fqdn_recipient, reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_unauthenticated_sender_login_mismatch, reject_rbl_client > mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, > reject_rbl_client sbl.spamhaus.org, reject_rbl_client pbl.spamhaus.org, > reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, > reject_unverified_recipient, reject_unauth_destination > smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated > defer_unauth_destination > smtpd_sasl_auth_enable = yes > smtpd_sasl_local_domain = mail > smtpd_sasl_security_options = noanonymous > smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem > smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem > smtpd_tls_loglevel = 1 > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_use_tls = yes > virtual_alias_domains = hash:/etc/postfix/virtual > virtual_alias_maps = hash:/etc/postfix/virtual > root at web:/usr/bin# > > > Ciao > Timm > > > Am 08.01.19 um 15:31 schrieb Ralf Hildebrandt: >> * Timm Schneider : >>> Hallo Ralf >>> >>> Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. >>> >>> Jan  8 15:11:31 web postfix/smtpd[8565]: warning: connect to >>> private/postfix-policyd-spf: No such file or directory >>> Jan  8 15:11:32 web postfix/smtpd[8565]: warning: connect to >>> private/postfix-policyd-spf: No such file or directory >>> Jan  8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to >>> server private/postfix-policyd-spf: No such file or directory >>> Jan  8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from >>> unknown[84.20.61.91]: 451 4.3.5 : Recipient >>> address rejected: Server configuration problem; >>> from= to= >>> proto=ESMTP >>> helo=<[192.168.0.103]> >> >> postfix wurde zwischendurch neu gestartet? >> >>>> Das macht ja postfix, wegen des master.cf eintrags: >>>> >>>> policy-spf  unix  -       n       n       -       -       spawn >>>> user=nobody argv=/usr/bin/policyd-spf >> >> Da dieser master.cf Eintrag "private" ist, wird der Socket >> /var/spool/postfix/private/policyd-spf erzeugt (nicht >> postfix-policyd-spf) >> >> Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen >> > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Tue Jan 8 15:55:25 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 15:55:25 +0100 Subject: [ext] Integration SPF In-Reply-To: <754158a5-eb96-bad5-0801-da538edeb101@tms-itdienst.at> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> <754158a5-eb96-bad5-0801-da538edeb101@tms-itdienst.at> Message-ID: <8bb56aa3-2cf1-c7d5-6391-6fbb6b22d4b7@tms-itdienst.at> Jan 8 15:54:40 web postfix/smtpd[9579]: connect from listi.jpberlin.de[91.198.250.5] Jan 8 15:54:41 web postfix/smtpd[9579]: Anonymous TLS connection established from listi.jpberlin.de[91.198.250.5]: TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits) Jan 8 15:54:41 web policyd-spf[9585]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=91.198.250.5; helo=listi.jpberlin.de; envelope-from=postfixbuch-users-bounces at listen.jpberlin.de; receiver= Jan 8 15:54:41 web postfix/smtpd[9579]: 8B493441CE9: client=listi.jpberlin.de[91.198.250.5] Jan 8 15:54:41 web postfix/cleanup[9588]: 8B493441CE9: message-id=<754158a5-eb96-bad5-0801-da538edeb101 at tms-itdienst.at> Jan 8 15:54:41 web postfix/qmgr[9573]: 8B493441CE9: from=, size=16466, nrcpt=1 (queue active) Jan 8 15:54:41 web postfix/local[9589]: 8B493441CE9: to=, orig_to=, relay=local, delay=0.58, delays=0.57/0/0/0, dsn=2.0.0, status=sent (delivered to mailbox) Jan 8 15:54:41 web postfix/qmgr[9573]: 8B493441CE9: removed Jan 8 15:54:41 web postfix/smtpd[9579]: disconnect from listi.jpberlin.de[91.198.250.5] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Am 08.01.19 um 15:54 schrieb Timm Schneider: > Hallo Ralf > > Ich habe den Fehler gefunden. > In meinem Debian9 heisst es unter /var/pool/postfix/private nicht > policyd-spf, sondern nur policy-spf, daher ging es nicht. > > Danke für den Tip mit /var/spool. > > > > Ciao > Timm > > > > Am 08.01.19 um 15:38 schrieb Timm Schneider: >> Hallo Ralf >> >> das mit dem postfix-policyd und policyd ist mir vorhin auch aufgefallen. >> >> Nun schaut es so aus, Postfix wurde restartet. >> >> Jan  8 15:36:43 web postfix/smtpd[9148]: warning: connect to >> private/policyd-spf: No such file or directory >> Jan  8 15:36:44 web postfix/smtpd[9148]: warning: connect to >> private/policyd-spf: No such file or directory >> Jan  8 15:36:44 web postfix/smtpd[9148]: warning: problem talking to >> server private/policyd-spf: No such file or directory >> Jan  8 15:36:44 web postfix/smtpd[9148]: NOQUEUE: reject: RCPT from >> unknown[84.20.61.91]: 451 4.3.5 : >> Recipient address rejected: Server configuration problem; >> from= to= >> proto=ESMTP helo=<[192.168.0.103]> >> >> >> >> Hier noch meine postconf -n vielleicht ist ja da ein Fehler drin. >> >> >> >> root at web:/usr/bin# postconf -n >> alias_database = hash:/etc/aliases >> alias_maps = hash:/etc/aliases >> append_dot_mydomain = no >> biff = no >> body_checks = pcre:/etc/postfix/body_checks >> broken_sasl_auth_clients = yes >> compatibility_level = 2 >> header_checks = pcre:/etc/postfix/header_checks >> inet_interfaces = all >> inet_protocols = all >> mailbox_size_limit = 0 >> masquerade_classes = envelope_sender, header_sender, header_recipient >> masquerade_exceptions = root >> message_size_limit = 50240000 >> mydestination = $myhostname, localhost.$mydomain, listen.$mydomain >> mydomain = tms-it.net >> myhostname = mail.tms-it.net >> mynetworks = 127.0.0.0/8 83.137.45.96/27 192.168.0.0/16 10.0.0.0/8 >> [::ffff:127.0.0.0]/104 [::1]/128 >> myorigin = $myhostname >> readme_directory = no >> recipient_delimiter = + >> relayhost = >> smtp_tls_loglevel = 1 >> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache >> smtp_use_tls = yes >> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) >> smtpd_recipient_restrictions = check_client_access >> hash:/etc/postfix/relays, permit_mynetworks, reject_rbl_client >> blacklist.rbl.ispa.at, check_policy_service unix:private/policyd-spf >> check_policy_service inet:127.0.0.1:10040 check_sender_access >> hash:/etc/postfix/access, regexp:/etc/postfix/sender_regexp, >> permit_sasl_authenticated, reject_unauth_pipelining, >> reject_unknown_client_hostname, check_recipient_access >> hash:/etc/postfix/recipient_rfc, reject_invalid_helo_hostname, >> reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, >> reject_non_fqdn_recipient, reject_unknown_sender_domain, >> reject_unknown_recipient_domain, >> reject_unauthenticated_sender_login_mismatch, reject_rbl_client >> mail.de.bl.blocklist.de, reject_rbl_client ix.dnsbl.manitu.net, >> reject_rbl_client sbl.spamhaus.org, reject_rbl_client >> pbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client >> bl.spamcop.net, reject_unverified_recipient, reject_unauth_destination >> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated >> defer_unauth_destination >> smtpd_sasl_auth_enable = yes >> smtpd_sasl_local_domain = mail >> smtpd_sasl_security_options = noanonymous >> smtpd_tls_cert_file = /etc/letsencrypt/live/mail.tms-it.net/cert.pem >> smtpd_tls_key_file = /etc/letsencrypt/live/mail.tms-it.net/privkey.pem >> smtpd_tls_loglevel = 1 >> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >> smtpd_use_tls = yes >> virtual_alias_domains = hash:/etc/postfix/virtual >> virtual_alias_maps = hash:/etc/postfix/virtual >> root at web:/usr/bin# >> >> >> Ciao >> Timm >> >> >> Am 08.01.19 um 15:31 schrieb Ralf Hildebrandt: >>> * Timm Schneider : >>>> Hallo Ralf >>>> >>>> Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. >>>> >>>> Jan  8 15:11:31 web postfix/smtpd[8565]: warning: connect to >>>> private/postfix-policyd-spf: No such file or directory >>>> Jan  8 15:11:32 web postfix/smtpd[8565]: warning: connect to >>>> private/postfix-policyd-spf: No such file or directory >>>> Jan  8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to >>>> server private/postfix-policyd-spf: No such file or directory >>>> Jan  8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from >>>> unknown[84.20.61.91]: 451 4.3.5 : >>>> Recipient >>>> address rejected: Server configuration problem; >>>> from= to= >>>> proto=ESMTP >>>> helo=<[192.168.0.103]> >>> >>> postfix wurde zwischendurch neu gestartet? >>> >>>>> Das macht ja postfix, wegen des master.cf eintrags: >>>>> >>>>> policy-spf  unix  -       n       n       -       -       spawn >>>>> user=nobody argv=/usr/bin/policyd-spf >>> >>> Da dieser master.cf Eintrag "private" ist, wird der Socket >>> /var/spool/postfix/private/policyd-spf erzeugt (nicht >>> postfix-policyd-spf) >>> >>> Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen >>> >> > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Tue Jan 8 16:00:05 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 16:00:05 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108143131.GO5930@charite.de> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> Message-ID: Hallo Ralf Zur Komplettierung, da ich im Netz immer unterschiedliche Muster sehe, wollte ich Dich noch nach dem DNS fragen. Ich habe bei mir jetzt 1D IN TXT "v=spf1 a mx -all" eingetragen. Servus Timm -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Tue Jan 8 16:06:16 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 16:06:16 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108143131.GO5930@charite.de> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> Message-ID: <7f8f58c6-9ec1-095b-25da-80f6b429ab6d@tms-itdienst.at> Habe noch festgestellt, das es nicht geblockt wird, wenn der SPF Eintrag nicht stimmt, es läuft dann einfach in der Postfix-config weiter und es greift unknown_client_hostname. Jan 8 16:03:45 web postfix/smtpd[9729]: connect from unknown[84.20.61.91] Jan 8 16:03:45 web postfix/smtpd[9729]: Anonymous TLS connection established from unknown[84.20.61.91]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits) Jan 8 16:03:45 web policyd-spf[9735]: prepend Received-SPF: None (mailfrom) identity=mailfrom; client-ip=84.20.61.91; helo=[192.168.0.103]; envelope-from=radsport at musikmarkt.com; receiver= Jan 8 16:03:45 web postfix/smtpd[9729]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 450 4.7.25 Client host rejected: cannot find your hostname, [84.20.61.91]; from= to= proto=ESMTP helo=<[192.168.0.103]> Grüße Timm Am 08.01.19 um 15:31 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo Ralf >> >> Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. >> >> Jan 8 15:11:31 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to server private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient >> address rejected: Server configuration problem; from= to= proto=ESMTP >> helo=<[192.168.0.103]> > > postfix wurde zwischendurch neu gestartet? > >>> Das macht ja postfix, wegen des master.cf eintrags: >>> >>> policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf > > Da dieser master.cf Eintrag "private" ist, wird der Socket > /var/spool/postfix/private/policyd-spf erzeugt (nicht postfix-policyd-spf) > > Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From t.schneider at tms-itdienst.at Tue Jan 8 16:34:47 2019 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 8 Jan 2019 16:34:47 +0100 Subject: [ext] Integration SPF In-Reply-To: <20190108143131.GO5930@charite.de> References: <20190108123129.GJ5930@charite.de> <20190108130108.GL5930@charite.de> <81fa4ace-442f-7364-6a43-d5a10873391a@tms-itdienst.at> <20190108143131.GO5930@charite.de> Message-ID: <7cfd0dae-f015-9e59-2e3a-f05fb6e7b05c@tms-itdienst.at> Hallo Ralf es scheint jetzt zu laufen, da die Mail über einen fremden Mailserver verschickt wurde. Jan 8 16:32:55 web postfix/smtpd[10304]: connect from smtp1.thurweb.ch[213.196.149.41] Jan 8 16:32:55 web policyd-spf[10308]: 550 5.7.23 Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=radsport at musikmarkt.com;ip=213.196.149.41;r= Jan 8 16:32:55 web postfix/smtpd[10304]: NOQUEUE: reject: RCPT from smtp1.thurweb.ch[213.196.149.41]: 550 5.7.23 : Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=radsport at musikmarkt.com;ip=213.196.149.41;r=; from= to= proto=ESMTP helo= Jan 8 16:32:55 web postfix/smtpd[10304]: disconnect from smtp1.thurweb.ch[213.196.149.41] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6 Ciao Timm Am 08.01.19 um 15:31 schrieb Ralf Hildebrandt: > * Timm Schneider : >> Hallo Ralf >> >> Habe das mal so eingebetet und nun bekomme ich diese Meldung im Log. >> >> Jan 8 15:11:31 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: connect to private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: warning: problem talking to server private/postfix-policyd-spf: No such file or directory >> Jan 8 15:11:32 web postfix/smtpd[8565]: NOQUEUE: reject: RCPT from unknown[84.20.61.91]: 451 4.3.5 : Recipient >> address rejected: Server configuration problem; from= to= proto=ESMTP >> helo=<[192.168.0.103]> > > postfix wurde zwischendurch neu gestartet? > >>> Das macht ja postfix, wegen des master.cf eintrags: >>> >>> policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf > > Da dieser master.cf Eintrag "private" ist, wird der Socket > /var/spool/postfix/private/policyd-spf erzeugt (nicht postfix-policyd-spf) > > Prüf mal ob der master.cf Eintrag und der main.cf eintrag zusammenpassen > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078(kostenlos per ENUM erreichbar) T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 F.+43.720.501 078 57 3CX Gratis: https://www.tms-itdienst.at/telefonserver My personal Click2Meet URL is: https://tmspbx-at.3cx.net/join/timmschneider686283 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4287 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Wed Jan 9 09:18:14 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 9 Jan 2019 09:18:14 +0100 Subject: Problem mit Whitelisting in rspamd Message-ID: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> Moin! Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score. Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. rspamdadm configdump liefert auch: whitelist { symbols { BLACKLIST_DKIM { description = "Mail comes from the whitelisted domain and has non-valid DKIM signature"; weight = 2; } WHITELIST_SPF_DKIM { weight = -3; valid_spf = true; domains [ "amadeus.com", "ctravelam.com", ] score = -6; valid_dkim = true; description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies"; } ... Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com;tdsfndprd at amadeus.com;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com;tdsfndprd at amadeus.com;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? Nur in die Berechnung einbezogen wird meine Whitelist nicht! Hilfe! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From cr at ncxs.de Wed Jan 9 09:46:23 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 9 Jan 2019 09:46:23 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> Message-ID: <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> -- Ups, resend to list Hey, die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) Viele Grüße Carsten On 09.01.19 09:18, Frank Fiene wrote: > Moin! > > Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score. > > Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. > > rspamdadm configdump liefert auch: > > whitelist { > symbols { > BLACKLIST_DKIM { > description = "Mail comes from the whitelisted domain and has non-valid DKIM signature"; > weight = 2; > } > WHITELIST_SPF_DKIM { > weight = -3; > valid_spf = true; > domains [ > "amadeus.com", > "ctravelam.com", > ] > score = -6; > valid_dkim = true; > description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies"; > } > ... > > > Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: > > [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com;tdsfndprd at amadeus.com;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com;tdsfndprd at amadeus.com;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) > > > Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? > > Nur in die Berechnung einbezogen wird meine Whitelist nicht! > > Hilfe! > > > > Viele Grüße! > Frank > From ffiene at veka.com Wed Jan 9 10:58:10 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 9 Jan 2019 10:58:10 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> Message-ID: <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> Ja, du hast natürlich Recht. Hier noch eine Rückfrage: Muss ich jetzt score oder weight benutzen? Oder beides? Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-) Viele Grüße! Frank > Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg : > > -- Ups, resend to list > > Hey, > > die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) > > Viele Grüße > > Carsten > > On 09.01.19 09:18, Frank Fiene wrote: >> Moin! >> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score. >> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. >> rspamdadm configdump liefert auch: >> whitelist { >> symbols { >> BLACKLIST_DKIM { >> description = "Mail comes from the whitelisted domain and has non-valid DKIM signature"; >> weight = 2; >> } >> WHITELIST_SPF_DKIM { >> weight = -3; >> valid_spf = true; >> domains [ >> "amadeus.com", >> "ctravelam.com", >> ] >> score = -6; >> valid_dkim = true; >> description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies"; >> } >> ... >> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: >> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com;tdsfndprd at amadeus.com;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com;tdsfndprd at amadeus.com;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) >> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? >> Nur in die Berechnung einbezogen wird meine Whitelist nicht! >> Hilfe! >> Viele Grüße! >> Frank Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ralph at schosemail.de Wed Jan 9 11:16:05 2019 From: ralph at schosemail.de (Ralph Meyer) Date: Wed, 9 Jan 2019 11:16:05 +0100 (CET) Subject: Problem mit Whitelisting in rspamd In-Reply-To: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> Message-ID: <1555050403.8560.1547028964997.JavaMail.zimbra@schosemail.de> > Moin! Hallo, > Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie > üblich sind die oft jenseits von Gut und Böse im Spam-Score. > > Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und > angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. Schau dir doch mal multimap an. Wahlweise mit "action" oder "score". https://rspamd.com/doc/modules/multimap.html Ralph From ffiene at veka.com Wed Jan 9 11:59:17 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 9 Jan 2019 11:59:17 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <1555050403.8560.1547028964997.JavaMail.zimbra@schosemail.de> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <1555050403.8560.1547028964997.JavaMail.zimbra@schosemail.de> Message-ID: <530A9247-6E96-4FDA-92FE-D37BC41A09E9@veka.com> Ja, die kenne ich und nutze sie für File Extension Blocking. Ich würde mir mit dem from-Filter email:domain eine Map SENDER_FROM_WHITELIST_DOMAIN erzeugen, richtig? Dann kann ich aber nicht mehr SPF, DKIM oder DMARC dazu abhängig machen, oder? Viele Grüße! Frank > Am 09.01.2019 um 11:16 schrieb Ralph Meyer : > > >> Moin! > > Hallo, > >> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie >> üblich sind die oft jenseits von Gut und Böse im Spam-Score. >> >> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und >> angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. > > Schau dir doch mal multimap an. Wahlweise mit "action" oder "score". > > https://rspamd.com/doc/modules/multimap.html > > Ralph Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ralph at schosemail.de Wed Jan 9 12:15:26 2019 From: ralph at schosemail.de (Ralph Meyer) Date: Wed, 9 Jan 2019 12:15:26 +0100 (CET) Subject: Problem mit Whitelisting in rspamd In-Reply-To: <530A9247-6E96-4FDA-92FE-D37BC41A09E9@veka.com> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <1555050403.8560.1547028964997.JavaMail.zimbra@schosemail.de> <530A9247-6E96-4FDA-92FE-D37BC41A09E9@veka.com> Message-ID: <587852881.8699.1547032526245.JavaMail.zimbra@schosemail.de> > Ja, die kenne ich und nutze sie für File Extension Blocking. > > Ich würde mir mit dem from-Filter email:domain eine Map > SENDER_FROM_WHITELIST_DOMAIN erzeugen, richtig? > > Dann kann ich aber nicht mehr SPF, DKIM oder DMARC dazu abhängig machen, oder? Mit composites ? Würde ich zumindest probieren. Vielleicht gibt es auch einen einfacheren Weg... Ralph From cr at ncxs.de Wed Jan 9 12:42:54 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 9 Jan 2019 12:42:54 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> Message-ID: <902078de-f965-9b71-a735-a089ad95428b@ncxs.de> Hey, weight in whitelist_groups.conf ist hier richtig. Der score in whitelist.conf ist quasi der default und wird vom weight in der whitelist group überschrieben. VG c On 09.01.19 10:58, Frank Fiene wrote: > Ja, du hast natürlich Recht. > > Hier noch eine Rückfrage: > > Muss ich jetzt score oder weight benutzen? > > Oder beides? > > Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-) > > > Viele Grüße! Frank > > >> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg > >: >> >> -- Ups, resend to list >> >> Hey, >> >> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) >> >> Viele Grüße >> >> Carsten >> >> On 09.01.19 09:18, Frank Fiene wrote: >>> Moin! >>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu >>> bekommen, wie üblich sind die oft jenseits von Gut und Böse im >>> Spam-Score. >>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d >>> kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM >>> und SPF passen. >>> rspamdadm configdump liefert auch: >>>     whitelist { >>>         symbols { >>>             BLACKLIST_DKIM { >>>                 description = "Mail comes from the whitelisted domain >>> and has non-valid DKIM signature"; >>>                 weight = 2; >>>             } >>>             WHITELIST_SPF_DKIM { >>>                 weight = -3; >>>                 valid_spf = true; >>>                 domains [ >>>                     "amadeus.com ", >>>                     "ctravelam.com ", >>>                 ] >>>                 score = -6; >>>                 valid_dkim = true; >>>                 description = "Mail comes from the whitelisted domain >>> and has valid SPF and DKIM policies"; >>>             } >>> ... >>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer >>> noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: >>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: >>> 82.150.224.0/21(3.62), asn: 12888(2.90), country: >>> DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com >>> ;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org >>> : >>> 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com >>> ;tdsfndprd at amadeus.com >>> ;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, >>> ipnet:82.150.224.0/21, >>> country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com >>> ;tdsfndprd at amadeus.com >>> ;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net >>> : >>> 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) >>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? >>> Nur in die Berechnung einbezogen wird meine Whitelist nicht! >>> Hilfe! >>> Viele Grüße! >>> Frank > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > From ffiene at veka.com Wed Jan 9 15:03:20 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 9 Jan 2019 15:03:20 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <902078de-f965-9b71-a735-a089ad95428b@ncxs.de> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> <902078de-f965-9b71-a735-a089ad95428b@ncxs.de> Message-ID: OK, Verständnisfrage: Wie wirkt sich dann die weight auf den Gesamtscore aus? Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es keinen Score gibt, was nützt einem dann ein Faktor? Frank > Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg : > > Hey, > > weight in whitelist_groups.conf ist hier richtig. Der score in whitelist.conf ist quasi der default und wird vom weight in der whitelist group überschrieben. > > VG c > > On 09.01.19 10:58, Frank Fiene wrote: >> Ja, du hast natürlich Recht. >> Hier noch eine Rückfrage: >> Muss ich jetzt score oder weight benutzen? >> Oder beides? >> Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-) >> Viele Grüße! Frank >>> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg >: >>> >>> -- Ups, resend to list >>> >>> Hey, >>> >>> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) >>> >>> Viele Grüße >>> >>> Carsten >>> >>> On 09.01.19 09:18, Frank Fiene wrote: >>>> Moin! >>>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score. >>>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. >>>> rspamdadm configdump liefert auch: >>>> whitelist { >>>> symbols { >>>> BLACKLIST_DKIM { >>>> description = "Mail comes from the whitelisted domain and has non-valid DKIM signature"; >>>> weight = 2; >>>> } >>>> WHITELIST_SPF_DKIM { >>>> weight = -3; >>>> valid_spf = true; >>>> domains [ >>>> "amadeus.com ", >>>> "ctravelam.com ", >>>> ] >>>> score = -6; >>>> valid_dkim = true; >>>> description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies"; >>>> } >>>> ... >>>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: >>>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com ;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com ;tdsfndprd at amadeus.com ;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com ;tdsfndprd at amadeus.com ;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) >>>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? >>>> Nur in die Berechnung einbezogen wird meine Whitelist nicht! >>>> Hilfe! >>>> Viele Grüße! >>>> Frank >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From cr at ncxs.de Wed Jan 9 15:25:48 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 9 Jan 2019 15:25:48 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> <902078de-f965-9b71-a735-a089ad95428b@ncxs.de> Message-ID: <8a73aad1-0321-2b5c-ed20-3e29db450ef3@ncxs.de> Bei verschiedenen Plugins z.B. MimeTypes ergibt sich die Gesamtpunktzahl aus gesetzten (dynamischen) score aus dem Plugin und dem weight vom Symbol. Dort ist dann score * weight = Gesamtpunktzahl. Beim Whitelist Plugin scheint weight den score aus der Plugin Config zu überschreiben. VG c On 09.01.19 15:03, Frank Fiene wrote: > OK, > > Verständnisfrage: > > Wie wirkt sich dann die weight auf den Gesamtscore aus? > Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es > keinen Score gibt, was nützt einem dann ein Faktor? > > > Frank > >> Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg > >: >> >> Hey, >> >> weight in whitelist_groups.conf ist hier richtig. Der score in >> whitelist.conf ist quasi der default und wird vom weight in der >> whitelist group überschrieben. >> >> VG c >> >> On 09.01.19 10:58, Frank Fiene wrote: >>> Ja, du hast natürlich Recht. >>> Hier noch eine Rückfrage: >>> Muss ich jetzt score oder weight benutzen? >>> Oder beides? >>> Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-) >>> Viele Grüße! Frank >>>> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg >>> >: >>>> >>>> -- Ups, resend to list >>>> >>>> Hey, >>>> >>>> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) >>>> >>>> Viele Grüße >>>> >>>> Carsten >>>> >>>> On 09.01.19 09:18, Frank Fiene wrote: >>>>> Moin! >>>>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu >>>>> bekommen, wie üblich sind die oft jenseits von Gut und Böse im >>>>> Spam-Score. >>>>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d >>>>> kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM >>>>> und SPF passen. >>>>> rspamdadm configdump liefert auch: >>>>>     whitelist { >>>>>         symbols { >>>>>             BLACKLIST_DKIM { >>>>>                 description = "Mail comes from the whitelisted >>>>> domain and has non-valid DKIM signature"; >>>>>                 weight = 2; >>>>>             } >>>>>             WHITELIST_SPF_DKIM { >>>>>                 weight = -3; >>>>>                 valid_spf = true; >>>>>                 domains [ >>>>>                     "amadeus.com >>>>> ", >>>>>                     "ctravelam.com >>>>> ", >>>>>                 ] >>>>>                 score = -6; >>>>>                 valid_dkim = true; >>>>>                 description = "Mail comes from the whitelisted >>>>> domain and has valid SPF and DKIM policies"; >>>>>             } >>>>> ... >>>>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden >>>>> immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM >>>>> nirgendwo: >>>>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: >>>>> 82.150.224.0/21(3.62), asn: 12888(2.90), country: >>>>> DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com >>>>> >>>>> ;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org >>>>> : >>>>> 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com >>>>> >>>>> ;tdsfndprd at amadeus.com >>>>> >>>>> ;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, >>>>> ipnet:82.150.224.0/21, >>>>> country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com >>>>> >>>>> ;tdsfndprd at amadeus.com >>>>> >>>>> ;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net >>>>> : >>>>> 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) >>>>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? >>>>> Nur in die Berechnung einbezogen wird meine Whitelist nicht! >>>>> Hilfe! >>>>> Viele Grüße! >>>>> Frank >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. >>> Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich >>> Weimer >>> HRB 8282 AG Münster/District Court of Münster > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. > Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > From ffiene at veka.com Wed Jan 9 19:23:02 2019 From: ffiene at veka.com (Frank Fiene) Date: Wed, 9 Jan 2019 19:23:02 +0100 Subject: Problem mit Whitelisting in rspamd In-Reply-To: <8a73aad1-0321-2b5c-ed20-3e29db450ef3@ncxs.de> References: <80E99F18-E63F-4DD8-A982-8DE3BF9ABBC8@veka.com> <92352afe-5f27-7db4-3dc8-270bbe5acc2e@ncxs.de> <311E44EA-6BEF-482D-9B35-D35421F924B8@veka.com> <902078de-f965-9b71-a735-a089ad95428b@ncxs.de> <8a73aad1-0321-2b5c-ed20-3e29db450ef3@ncxs.de> Message-ID: OK, das ist also nicht ganz konsistent. Das kommt davon wenn man zuviel darüber nachdenkt. :-D Danke! Viele Grüße! Frank > Am 09.01.2019 um 15:25 schrieb Carsten Rosenberg : > > Bei verschiedenen Plugins z.B. MimeTypes ergibt sich die Gesamtpunktzahl aus gesetzten (dynamischen) score aus dem Plugin und dem weight vom Symbol. Dort ist dann score * weight = Gesamtpunktzahl. > > Beim Whitelist Plugin scheint weight den score aus der Plugin Config zu überschreiben. > > VG c > > On 09.01.19 15:03, Frank Fiene wrote: >> OK, >> Verständnisfrage: >> Wie wirkt sich dann die weight auf den Gesamtscore aus? >> Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es keinen Score gibt, was nützt einem dann ein Faktor? >> Frank >>> Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg >: >>> >>> Hey, >>> >>> weight in whitelist_groups.conf ist hier richtig. Der score in whitelist.conf ist quasi der default und wird vom weight in der whitelist group überschrieben. >>> >>> VG c >>> >>> On 09.01.19 10:58, Frank Fiene wrote: >>>> Ja, du hast natürlich Recht. >>>> Hier noch eine Rückfrage: >>>> Muss ich jetzt score oder weight benutzen? >>>> Oder beides? >>>> Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-) >>>> Viele Grüße! Frank >>>>> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg >: >>>>> >>>>> -- Ups, resend to list >>>>> >>>>> Hey, >>>>> >>>>> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){}) >>>>> >>>>> Viele Grüße >>>>> >>>>> Carsten >>>>> >>>>> On 09.01.19 09:18, Frank Fiene wrote: >>>>>> Moin! >>>>>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score. >>>>>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen. >>>>>> rspamdadm configdump liefert auch: >>>>>> whitelist { >>>>>> symbols { >>>>>> BLACKLIST_DKIM { >>>>>> description = "Mail comes from the whitelisted domain and has non-valid DKIM signature"; >>>>>> weight = 2; >>>>>> } >>>>>> WHITELIST_SPF_DKIM { >>>>>> weight = -3; >>>>>> valid_spf = true; >>>>>> domains [ >>>>>> "amadeus.com ", >>>>>> "ctravelam.com ", >>>>>> ] >>>>>> score = -6; >>>>>> valid_dkim = true; >>>>>> description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies"; >>>>>> } >>>>>> ... >>>>>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo: >>>>>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com ;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){itinerary at amadeus.com ;tdsfndprd at amadeus.com ;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){itinerary at amadeus.com ;tdsfndprd at amadeus.com ;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}]) >>>>>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig? >>>>>> Nur in die Berechnung einbezogen wird meine Whitelist nicht! >>>>>> Hilfe! >>>>>> Viele Grüße! >>>>>> Frank >>>> Viele Grüße! >>>> i.A. Frank Fiene >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> http://www.veka.com >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> VEKA AG >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >>>> HRB 8282 AG Münster/District Court of Münster >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sschieke at hans-bredow-institut.de Tue Jan 22 17:19:34 2019 From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de) Date: Tue, 22 Jan 2019 17:19:34 +0100 (CET) Subject: bestimmte Subdomains in Received: header filtern Message-ID: <950683380.17692.1548173974157@groupware.local.hans-bredow-institut.de> Hallo in die Runde, bei uns schaffen es Mails, die an einer Stelle im Header von mit dem Namen vpshost* kommen, durch die Prüfkette: Received: from vpshost242.doltani.com (vpshost242.doltani.com [185.122.220.242]) Mit den Postfix Header Checks bekomme ich die irgendwie nicht zu fassen: # grep header_checks /etc/postfix/main.cf header_checks = pcre:/etc/postfix/header_checks # grep vpshost /etc/postfix/header_checks /^Received:from vpshost/ Hab ich da einen Syntaxfehler? Ich frage mich, ob nicht schon vorher ein vpshost* REJECT in der /etc/postfix/access_sender helfen sollte? Viele Grüße Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 183 bytes Beschreibung: nicht verfügbar URL : From Ralf.Hildebrandt at charite.de Tue Jan 22 17:33:31 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 22 Jan 2019 17:33:31 +0100 Subject: [ext] bestimmte Subdomains in Received: header filtern In-Reply-To: <950683380.17692.1548173974157@groupware.local.hans-bredow-institut.de> References: <950683380.17692.1548173974157@groupware.local.hans-bredow-institut.de> Message-ID: <20190122163330.GN11622@charite.de> * sschieke at hans-bredow-institut.de : > Hallo in die Runde, > > bei uns schaffen es Mails, die an einer Stelle im Header von mit dem Namen vpshost* kommen, durch die Prüfkette: > > Received: from vpshost242.doltani.com (vpshost242.doltani.com [185.122.220.242]) > > Mit den Postfix Header Checks bekomme ich die irgendwie nicht zu fassen: > > # grep header_checks /etc/postfix/main.cf > header_checks = pcre:/etc/postfix/header_checks > > # grep vpshost /etc/postfix/header_checks > /^Received:from vpshost/ /^Received: from vpshost/ Leerzeichen! Aber: Sind die diese Received header die, die dein Rechner ergänzt oder schon von adneren systemen? > Hab ich da einen Syntaxfehler? Ich frage mich, ob nicht schon vorher ein > > vpshost* REJECT > > in der /etc/postfix/access_sender > > helfen sollte? Das ist keine korrekte Syntax. Entweder es ist "man 5 access" ODER regualr expression. Aber das ist einfach keines von beiden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From sschieke at hans-bredow-institut.de Tue Jan 22 18:21:37 2019 From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de) Date: Tue, 22 Jan 2019 18:21:37 +0100 (CET) Subject: [ext] bestimmte Subdomains in Received: header filtern In-Reply-To: <20190122163330.GN11622@charite.de> References: <950683380.17692.1548173974157@groupware.local.hans-bredow-institut.de> <20190122163330.GN11622@charite.de> Message-ID: <2015394768.17733.1548177697130@groupware.hans-bredow-institut.de> Ah, danke für den Hinweis. > Ralf Hildebrandt hat am 22. Januar 2019 um 17:33 geschrieben: > > /^Received:from vpshost/ > > /^Received: from vpshost/ > > Leerzeichen! > > Aber: Sind die diese Received header die, die dein Rechner ergänzt > oder schon von adneren systemen? Die betreffenden Received header kommen von anderen Systemen. Viele Grüße Sebastian From Ralf.Hildebrandt at charite.de Tue Jan 22 23:32:26 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 22 Jan 2019 23:32:26 +0100 Subject: [ext] bestimmte Subdomains in Received: header filtern In-Reply-To: <2015394768.17733.1548177697130@groupware.hans-bredow-institut.de> References: <950683380.17692.1548173974157@groupware.local.hans-bredow-institut.de> <20190122163330.GN11622@charite.de> <2015394768.17733.1548177697130@groupware.hans-bredow-institut.de> Message-ID: <20190122223226.GA5299@charite.de> * sschieke at hans-bredow-institut.de : > Ah, danke für den Hinweis. > > > Ralf Hildebrandt hat am 22. Januar 2019 um 17:33 geschrieben: > > > > /^Received:from vpshost/ > > > > /^Received: from vpshost/ > > > > Leerzeichen! > > > > Aber: Sind die diese Received header die, die dein Rechner ergänzt > > oder schon von adneren systemen? > > Die betreffenden Received header kommen von anderen Systemen. Gut, dann war's wirklich nur das Leerzeichen... -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ralf.hansen2000 at yahoo.de Fri Jan 25 07:19:26 2019 From: ralf.hansen2000 at yahoo.de (Ralf Hansen) Date: Fri, 25 Jan 2019 07:19:26 +0100 Subject: =?UTF-8?Q?MailQueue_leeren_w=c3=a4hrend_Postfix_nicht_l=c3=a4uft?= Message-ID: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> Hallo zusammen, folgendes Problem: Ich habe vor einem redundanten Postfix System (2 Server) einen LB, den ich nicht selbst verwalte. Die Probes kommen in sehr kurzer Zeit für schnelle Umschaltzeiten. Wenn ich den primären Postfix stoppe, schaltet in wenigen Sekunden der LB auf das backup-System um. Soweit - so gut. Das Problem ist, dass im primary Postfix noch Mails in der Queue hängen. Wie kann ich die Queue leeren, ohne den Postfix zu starten (da er dann wieder Mails relayen würde). Oder gibt es hierfür andere (Standard)-Lösungen? Besten Dank im Voraus! From Ralf.Hildebrandt at charite.de Fri Jan 25 09:54:30 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 25 Jan 2019 09:54:30 +0100 Subject: [ext] MailQueue leeren =?utf-8?B?d8Ok?= =?utf-8?Q?hrend_Postfix_nicht_l=C3=A4uft?= In-Reply-To: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> Message-ID: <20190125085430.GD9770@charite.de> > folgendes Problem: Ich habe vor einem redundanten Postfix System (2 Server) > einen LB, den ich nicht selbst verwalte. > > Die Probes kommen in sehr kurzer Zeit für schnelle Umschaltzeiten. Wenn ich > den primären Postfix stoppe, schaltet in wenigen Sekunden der LB auf das > backup-System um. > Soweit - so gut. > > Das Problem ist, dass im primary Postfix noch Mails in der Queue hängen. Wie > kann ich die Queue leeren, ohne den Postfix zu starten (da er dann wieder > Mails relayen würde). Völlig falscher Ansatz. Stell doch einfach auf dem passiven Knoten nicht Postfix komplett ab, sondern sperre nur EINKOMMENDE Mails (also wahrscheinlich SMTP). Dann können Mails in der Queue noch abfließen (hoffe ich). postconf -e "inet_interfaces = localhost" postfix reload -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ralf.hansen2000 at yahoo.de Fri Jan 25 15:26:19 2019 From: ralf.hansen2000 at yahoo.de (Ralf Hansen) Date: Fri, 25 Jan 2019 15:26:19 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_MailQueue_leeren_w=c3=a4hrend_Postfix_nic?= =?UTF-8?B?aHQgbMOkdWZ0?= In-Reply-To: <20190125085430.GD9770@charite.de> References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> <20190125085430.GD9770@charite.de> Message-ID: <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> Am 25.01.2019 um 09:54 schrieb Ralf Hildebrandt: > > Völlig falscher Ansatz. Stell doch einfach auf dem passiven Knoten > nicht Postfix komplett ab, sondern sperre nur EINKOMMENDE Mails (also > wahrscheinlich SMTP). Dann können Mails in der Queue noch abfließen > (hoffe ich). > > postconf -e "inet_interfaces = localhost" > postfix reload > Moin Ralf, danke für den Hinweis. Leider betrifft das gleich 6 Instanzen auf der Maschine. Die müsste ich dann alle manuell auf "localhost" setzen und dann wieder manuell "aktivieren". OK, ich könnte ein Skript mit den IP-Adressen schreiben ;-) Dann habe ich es mir mit "stop" und "start" wohl zu einfach gemacht... Danke Dir! From Ralf.Hildebrandt at charite.de Fri Jan 25 15:41:41 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 25 Jan 2019 15:41:41 +0100 Subject: [ext] MailQueue leeren =?utf-8?B?d8Ok?= =?utf-8?Q?hrend_Postfix_nicht_l=C3=A4uft?= In-Reply-To: <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> <20190125085430.GD9770@charite.de> <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> Message-ID: <20190125144139.dv7haibf7rrhuve3@charite.de> * Ralf Hansen : > Am 25.01.2019 um 09:54 schrieb Ralf Hildebrandt: > > > > Völlig falscher Ansatz. Stell doch einfach auf dem passiven Knoten > > nicht Postfix komplett ab, sondern sperre nur EINKOMMENDE Mails (also > > wahrscheinlich SMTP). Dann können Mails in der Queue noch abfließen > > (hoffe ich). > > > > postconf -e "inet_interfaces = localhost" > > postfix reload > > > Moin Ralf, > > danke für den Hinweis. Leider betrifft das gleich 6 Instanzen auf der > Maschine. > > Die müsste ich dann alle manuell auf "localhost" setzen und dann wieder > manuell "aktivieren". > OK, ich könnte ein Skript mit den IP-Adressen schreiben ;-) > > Dann habe ich es mir mit "stop" und "start" wohl zu einfach gemacht... > > Danke Dir! Andere Idee: Firewallregel reinprügeln, die incomin gconnection auf port 25 verbietet. Dann kann postfix weiterlaufen (und senden) aber nix neues kommt rein! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From michael at linuxfox.de Fri Jan 25 16:32:23 2019 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 25 Jan 2019 16:32:23 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_MailQueue_leeren_w=c3=a4hrend_Postfix_nic?= =?UTF-8?B?aHQgbMOkdWZ0?= In-Reply-To: <20190125144139.dv7haibf7rrhuve3@charite.de> References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> <20190125085430.GD9770@charite.de> <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> <20190125144139.dv7haibf7rrhuve3@charite.de> Message-ID: Am 25.01.19 um 15:41 schrieb Ralf Hildebrandt: > * Ralf Hansen : >> Am 25.01.2019 um 09:54 schrieb Ralf Hildebrandt: >>> >>> Völlig falscher Ansatz. Stell doch einfach auf dem passiven Knoten >>> nicht Postfix komplett ab, sondern sperre nur EINKOMMENDE Mails (also >>> wahrscheinlich SMTP). Dann können Mails in der Queue noch abfließen >>> (hoffe ich). >>> >>> postconf -e "inet_interfaces = localhost" >>> postfix reload >>> >> Moin Ralf, >> >> danke für den Hinweis. Leider betrifft das gleich 6 Instanzen auf der >> Maschine. >> >> Die müsste ich dann alle manuell auf "localhost" setzen und dann wieder >> manuell "aktivieren". >> OK, ich könnte ein Skript mit den IP-Adressen schreiben ;-) >> >> Dann habe ich es mir mit "stop" und "start" wohl zu einfach gemacht... >> >> Danke Dir! > > Andere Idee: Firewallregel reinprügeln, die incomin gconnection auf > port 25 verbietet. Dann kann postfix weiterlaufen (und senden) aber > nix neues kommt rein! > Hi, die liegen doch bei dir auch unter /var/spool/postfix/maildrop, oder? Könntest du die nicht einfach auf den anderen Server kopieren? -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen BTW: Produktionsbremsen sind immer die Bürokraten From ralf.hansen2000 at yahoo.de Sat Jan 26 17:12:19 2019 From: ralf.hansen2000 at yahoo.de (Ralf Hansen) Date: Sat, 26 Jan 2019 17:12:19 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_MailQueue_leeren_w=c3=a4hrend_Postfix_nic?= =?UTF-8?B?aHQgbMOkdWZ0?= In-Reply-To: References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> <20190125085430.GD9770@charite.de> <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> <20190125144139.dv7haibf7rrhuve3@charite.de> Message-ID: Aufgrund mehrer Instanzen liegen die Dateien in unterschiedlichen Spool-Verzeichnissen. Die Firewall ist mit puppet verwaltet und müsste dann dort wieder angepasst werden. Ich sehe schon, eine "schnelle Standard-Lösung" wie kurzes Stoppen gibt es nicht. Ich werde wohl nicht drum herum kommen, hier etwas zu skripten, was komplexere Dinge tut, wie Port 25 zu deaktivieren, in der Firewall zu sperren (ohne, dass puppet es gleich wieder aufmacht), usw. Ich dachte es gibt vielleicht Postfix-Boardmittel für solche Fälle ;-) From andreas.schulze at datev.de Mon Jan 28 07:01:18 2019 From: andreas.schulze at datev.de (Andreas Schulze) Date: Mon, 28 Jan 2019 07:01:18 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_MailQueue_leeren_w=c3=a4hrend_Postfix_nic?= =?UTF-8?B?aHQgbMOkdWZ0?= In-Reply-To: References: <729e5d60-1507-301f-1ca3-212edc0e7632@yahoo.de> <20190125085430.GD9770@charite.de> <9ec91cd5-af7a-36b2-cfaf-3c3d1e03c55a@yahoo.de> <20190125144139.dv7haibf7rrhuve3@charite.de> Message-ID: <40d76e94-c443-90fa-1327-0d55f8b12b4e@datev.de> Am 26.01.19 um 17:12 schrieb Ralf Hansen: > Ich dachte es gibt vielleicht Postfix-Boardmittel für solche Fälle ;-) das war die erste Antwort von Ralf... -- A. Schulze DATEV eG From sschieke at hans-bredow-institut.de Thu Jan 31 16:34:03 2019 From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de) Date: Thu, 31 Jan 2019 16:34:03 +0100 (CET) Subject: =?UTF-8?Q?Mailrelay_und_Absenderf=C3=A4lschungen?= Message-ID: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> Hallo in die Runde, wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es nimmt eingehende Mails "von außen" entgegen und leitet sie an die Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost eingetragen. Klappt alles seit Jahr und Tag zuverlässig. Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall "lokal" zu. Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen. Habe es versucht mit: # /etc/postfix/main.cf smtpd_recipient_restrictions = ... permit_mynetworks, check_sender_access hash:/etc/postfix/disallow_my_domain, ... #/etc/postfix/disallow_my_domain tatsaechliche.de 554 You are not allowed to send! domain.de 554 You are not allowed to send! Hat jemand da eine Idee? Viele Grüße Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 183 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Thu Jan 31 16:53:14 2019 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 31 Jan 2019 16:53:14 +0100 Subject: =?utf-8?Q?AW:_Mailrelay_und_Absenderf=C3=A4lsch?= =?utf-8?Q?ungen?= In-Reply-To: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> Message-ID: <008501d4b97d$134de6b0$39e9b410$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von sschieke at hans-bredow-institut.de > > Hallo in die Runde, > > wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es > nimmt eingehende Mails "von außen" entgegen und leitet sie an die > Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost > eingetragen. Klappt alles seit Jahr und Tag zuverlässig. > > Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der > vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich > kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht > vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der > Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall > "lokal" zu. > > Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails > zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen. > > Habe es versucht mit: > > # /etc/postfix/main.cf > smtpd_recipient_restrictions = > ... > permit_mynetworks, > check_sender_access hash:/etc/postfix/disallow_my_domain, > ... > > #/etc/postfix/disallow_my_domain > tatsaechliche.de 554 You are not allowed to send! > domain.de 554 You are not allowed to send! > > Hat jemand da eine Idee? > > Viele Grüße > > Sebastian Von extern können nur eigene User kommen wenn sie sich anmelden 2. IP mit port 587 Auf Port 25 smtpd_recipient_restrictions = ..... Permit_mynetworks check_sender_access proxy:mysql:/etc/postfix/sql/mysql-domains.cf, mysql:/etc/postfix/sql/mysql-domains.cf : hosts = 10.1.0.2 user = mailuser password = supergeheim dbname = mailusers query = SELECT 'reject do not use our domain, you are not allowed' FROM domain WHERE domain_name = '%s' so in etwa geht auch wenn du das nach der anmeldung der eigenen User machst (permit_sasl_authenticated,) Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlxTGeAACgkQur3LxV3c LvxHyQf/RSmPTi/HjDc+/uE71hur1+6+bA4v++51ac5W2EqE6h4XdSO5yXLY5I+b BsbcaNnjOwOaBbfdn0kmblALDbz2ARIKAEF62mMVwiqMZWgaC2QgmqbrlMowmov7 iJO8LjsXaxLuQiFtrKxC9sklfY9RDaO6yKidhWCAVdj6tACHvXwT4rvPXlsP9nvH ra+9+M6MN69VI9H+IpBK1G/ir1d3NlYAP9zh0wr4X2hfw/IvPhRHdUcUdGjyZoGa wHzwOCHz4iZaNy/MbEvRvnkMayFWRz9i5xNLLJW3V8xepnTd4LsIIYdZ4g+pwhOv PDw33rfExliTTYwiD1d44tevDisFiQ== =Vaj+ -----END PGP SIGNATURE----- From driessen at fblan.de Thu Jan 31 16:55:35 2019 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 31 Jan 2019 16:55:35 +0100 Subject: =?utf-8?Q?AW:_Mailrelay_und_Absenderf=C3=A4lsch?= =?utf-8?Q?ungen?= In-Reply-To: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> Message-ID: <008601d4b97d$6749b000$35dd1000$@fblan.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Im Auftrag von sschieke at hans-bredow-institut.de > Hat jemand da eine Idee? > Zeig mal Header einer solchen Mail bzw. logeintrag dazu Das andere hast ja schon drin Mit freundlichen Grüßen Uwe Drießen - -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 -----BEGIN PGP SIGNATURE----- iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlxTGnYACgkQur3LxV3c LvwZwAf+Ns7olP4fttid4nZjoHMM3QleZVecsT8/fk4A1jQnzZKsNGN1LsYsICxu Fqz0WSPvLnSlNwezjC/aBBWUuJMK0CYLImIqVJppUoUCh4GqQeRoRIJnHTdT2XHc 8O2nevyzn6uHhkW7K+phH6tIu7XVV4KL6VG2nNSp9YlhgGIqPsVtw6owavyYO2s/ bnVXbwIF8+Lh02KunUaGJTJM6s+/v65ejFbUOMMoJCQLDV7qfeBsAGxA/JOv7TPR z0KRkApb+KrI5AXFZIrMIipkMQ5ykLyflwgS8K2WEpIS6XFAyaMTkv290Zqcwjom awxiEL1395pY52C6qO5C2AeuCi1nrg== =ARBI -----END PGP SIGNATURE----- From cr at ncxs.de Thu Jan 31 17:06:01 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 31 Jan 2019 17:06:01 +0100 Subject: =?UTF-8?Q?Re=3a_Mailrelay_und_Absenderf=c3=a4lschungen?= In-Reply-To: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> Message-ID: Hey, Meist wird bei Phishing Mails nicht der SMTP-From sondern der From in den Headern gefälscht. Das muss dann mit header_checks oder im Spamassassin gemacht werden. Schau mal hier: https://www.postfixbuch.de/upload/header_checks Viele Grüße Carsten On 31.01.19 16:34, sschieke at hans-bredow-institut.de wrote: > Hallo in die Runde, > > wir haben ein Postfix Mailrelay, das vor einem Groupwareserver steht. Es nimmt eingehende Mails "von außen" entgegen und leitet sie an die Groupware weiter. Umgekehrt ist es bei der Groupware als Relayhost eingetragen. Klappt alles seit Jahr und Tag zuverlässig. > > Nun beobachten wir wiederholt ziemlich "gut gemachte" Phishing Mails, der vermeintlich von einem Groupware Benutzer stammen. Nur tatsächlich kommt die Mail über das Mailrelay rein. Dieser Fall kann ja so eigentlich nicht vorkommen. Wenn interne Benutzer sich gegenseitig Mailen, ist der Relayhost schließlich gar nicht involviert. Die Groupware stellt in diesem Fall "lokal" zu. > > Ich frage mich, wie ich auf dem Relayhost "von außen" eingehende Mails zurückweisen kann, die vermeintlich von Absendern "im Haus" kommen. > > Habe es versucht mit: > > # /etc/postfix/main.cf > smtpd_recipient_restrictions = > ... > permit_mynetworks, > check_sender_access hash:/etc/postfix/disallow_my_domain, > ... > > #/etc/postfix/disallow_my_domain > tatsaechliche.de 554 You are not allowed to send! > domain.de 554 You are not allowed to send! > > Hat jemand da eine Idee? > > Viele Grüße > > Sebastian > From sschieke at hans-bredow-institut.de Thu Jan 31 17:11:07 2019 From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de) Date: Thu, 31 Jan 2019 17:11:07 +0100 (CET) Subject: =?UTF-8?Q?Re:_AW:_Mailrelay_und_Absenderf=C3=A4lschungen?= In-Reply-To: <008601d4b97d$6749b000$35dd1000$@fblan.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> <008601d4b97d$6749b000$35dd1000$@fblan.de> Message-ID: <1431585571.3312.1548951068048@groupware.hans-bredow-institut.de> Hallo Uwe, ich bin mir nicht sicher, ob ich Dich richtig verstanden habe. Das Mailrelay nutzen die Clients selbst überhaupt nicht. Nur der Mailbenutzer des Groupware-Servers darf hier einliefern. Die header Zeilen einer solchen Mail: ===============8<--------------------- Return-Path: Delivered-To: Received: from groupware.local.unsere-domain.de by groupware.local.unsere-domain.de (Dovecot) with LMTP id UGrmFAAYUFxkcQAASpEojg for ; Tue, 29 Jan 2019 10:09:54 +0100 Received: from localhost (localhost [127.0.0.1]) by groupware.local.unsere-domain.de (Postfix) with ESMTP id 6E6BD5E0D6D for ; Tue, 29 Jan 2019 10:09:54 +0100 (CET) X-Virus-Scanned: by amavisd-new-2.10.1 (20141025) (Debian) at local.unsere-domain.de X-Spam-Flag: NO X-Spam-Score: -0.9 X-Spam-Level: X-Spam-Status: No, score=-0.9 tagged_above=-1000 required=4 tests=[BAYES_00=-1.9, XM_PHPMAILER_FORGED=1] autolearn=no autolearn_force=no Received: from groupware.unsere-domain.de ([127.0.0.1]) by localhost (groupware.local.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id ObWKq4NwCZ2i for ; Tue, 29 Jan 2019 10:09:54 +0100 (CET) Received: from mail2.unsere-domain.de (d01.unsere-domain.de [88.99.62.48]) by groupware.local.unsere-domain.de (Postfix) with ESMTPS id AF96D5E056B for ; Tue, 29 Jan 2019 10:09:53 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by mail2.unsere-domain.de (Postfix) with ESMTP id 8FCD7DFDB0 for ; Tue, 29 Jan 2019 10:09:53 +0100 (CET) X-Virus-Scanned: Debian amavisd-new at mail2.unsere-domain.de Received: from mail2.unsere-domain.de ([127.0.0.1]) by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 3OVfVi6afs2g for ; Tue, 29 Jan 2019 10:09:51 +0100 (CET) Received: from smtprelay.b.hostedemail.com (smtprelay0108.b.hostedemail.com [64.98.42.108]) by mail2.unsere-domain.de (Postfix) with ESMTPS for ; Tue, 29 Jan 2019 10:09:51 +0100 (CET) Received: from filter.hostedemail.com (10.5.19.248.rfc1918.com [10.5.19.248]) by smtprelay04.b.hostedemail.com (Postfix) with ESMTP id 534DC7B611 for ; Tue, 29 Jan 2019 09:09:46 +0000 (UTC) X-Session-Marker: 7265676361626C6179616E40686177616969616E74656C2E6E6574 X-Spam-Summary: 2,0,0,,d41d8cd98f00b204,ein.benutzer at unsere-domain.de,:,RULES_HIT:41:355:379:541:543:882:988:989:1260:1277:1311:1313:1314:1345:1381:1515:1516:1518:1533:1536:1593:1594:1711:1714:1730:1747:1777:1792:2393:2559:2562:2828:3138:3139:3140:3141:3142:3622:3765:3876:3877:5007:6114:6261:6642:7602:9938:10004:10400:10422:10459:10848:11658:11914:11958:12160:12196:13069:13311:13357:13439:13894:19900:21079:21080:21624,0,RBL:79.170.44.243:@unsere-domain.de:.lbl8.mailshell.net-62.14.15.100 64.201.201.201,CacheIP:none,Bayesian:0.5,0.5,0.5,Netcheck:none,DomainCache:0,MSF:not bulk,SPF:fn,MSBL:0,DNSBL:neutral,Custom_rules:0:0:0,LFtime:78,LUA_SUMMARY:none X-HE-Tag: crow02_8f71153ae5d10 X-Filterd-Recvd-Size: 893 Received: from jazeaccountancy.co.uk (unknown [79.170.44.243]) (Authenticated sender: regcablayan at hawaiiantel.net) by omf14.b.hostedemail.com (Postfix) with ESMTPA for ; Tue, 29 Jan 2019 09:09:45 +0000 (UTC) Date: Tue, 29 Jan 2019 09:09:44 +0000 To: anderer.benutzer at unsere-domain.de From: "Prof. Dr. Ein Benutzer" Reply-To: Ein Benutzer Subject: Schnelle Bestellung #*2902:2019*# ===============8<--------------------- Mich beunruhigt auch etwas der gefälschte Return-Path. Oder lässt sich der so ohne weiteres ändern? Viele Grüße Sebastian From driessen at fblan.de Thu Jan 31 17:50:24 2019 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 31 Jan 2019 17:50:24 +0100 Subject: =?utf-8?Q?AW:_AW:_Mailrelay_und_Absenderf=C3=A4?= =?utf-8?Q?lschungen?= In-Reply-To: <1431585571.3312.1548951068048@groupware.hans-bredow-institut.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> <008601d4b97d$6749b000$35dd1000$@fblan.de> <1431585571.3312.1548951068048@groupware.hans-bredow-institut.de> Message-ID: <008701d4b985$1046a080$30d3e180$@fblan.de> Im Auftrag von sschieke at hans-bredow-institut.de > > Hallo Uwe, > > ich bin mir nicht sicher, ob ich Dich richtig verstanden habe. Das Mailrelay > nutzen die Clients selbst überhaupt nicht. Nur der Mailbenutzer des > Groupware-Servers darf hier einliefern. Was steht im Logfile des Postfix servers ? > > ===============8<--------------------- > > Mich beunruhigt auch etwas der gefälschte Return-Path. Oder lässt sich der > so ohne weiteres ändern? > Kannste doch alles fälschen :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 From sschieke at hans-bredow-institut.de Thu Jan 31 18:15:23 2019 From: sschieke at hans-bredow-institut.de (sschieke at hans-bredow-institut.de) Date: Thu, 31 Jan 2019 18:15:23 +0100 (CET) Subject: =?UTF-8?Q?Re:_AW:_AW:_Mailrelay_und_Absenderf=C3=A4lschungen?= In-Reply-To: <008701d4b985$1046a080$30d3e180$@fblan.de> References: <1942337582.3274.1548948843415@groupware.local.hans-bredow-institut.de> <008601d4b97d$6749b000$35dd1000$@fblan.de> <1431585571.3312.1548951068048@groupware.hans-bredow-institut.de> <008701d4b985$1046a080$30d3e180$@fblan.de> Message-ID: <1919454911.3363.1548954923193@groupware.hans-bredow-institut.de> Die Logeinträge: ======================8<-------------- Jan 29 10:09:46 mail2 postfix/postscreen[19811]: CONNECT from [64.98.42.108]:49356 to [10.10.24.101]:25 Jan 29 10:09:46 mail2 postfix/dnsblog[22437]: addr 64.98.42.108 listed by domain list.dnswl.org as 127.0.5.0 Jan 29 10:09:46 mail2 postfix/dnsblog[22229]: addr 64.98.42.108 listed by domain spam.dnsbl.sorbs.net as 127.0.0.6 Jan 29 10:09:47 mail2 postfix/dnsblog[19826]: addr 64.98.42.108 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1 Jan 29 10:09:48 mail2 postfix/postscreen[19811]: CONNECT from [64.98.42.118]:60166 to [10.10.24.101]:25 Jan 29 10:09:48 mail2 postfix/dnsblog[23172]: addr 64.98.42.118 listed by domain list.dnswl.org as 127.0.5.0 Jan 29 10:09:48 mail2 postfix/dnsblog[23219]: addr 64.98.42.118 listed by domain spam.dnsbl.sorbs.net as 127.0.0.6 Jan 29 10:09:48 mail2 postfix/dnsblog[19828]: addr 64.98.42.118 listed by domain hostkarma.junkemailfilter.com as 127.0.1.1 Jan 29 10:09:50 mail2 postfix/postscreen[19811]: PASS NEW [64.98.42.108]:49356 Jan 29 10:09:50 mail2 postfix/smtpd[23474]: connect from smtprelay0108.b.hostedemail.com[64.98.42.108] Jan 29 10:09:51 mail2 postfix/smtpd[23474]: NOQUEUE: client=smtprelay0108.b.hostedemail.com[64.98.42.108] Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20190129T093905-22953-j6jyCey4: -> SIZE=1876 BODY=8BITMIME Received: from mail2. unsere-domain.de ([127.0.0.1]) by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for ; Tue, 29 Jan 2019 10:09:51 +0100 (CET) Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) Checking: 3OVfVi6afs2g [64.98.42.108] -> Jan 29 10:09:51 mail2 amavis[22953]: (22953-19) p001 1 Content-Type: text/plain, size: 94 B, name: Jan 29 10:09:51 mail2 postfix/smtpd[23230]: NOQUEUE: client=mail21-118.srv2.de[91.241.72.118] Jan 29 10:09:52 mail2 postfix/postscreen[19811]: PASS NEW [64.98.42.118]:60166 Jan 29 10:09:52 mail2 postfix/smtpd[23478]: connect from smtprelay0118.b.hostedemail.com[64.98.42.118] Jan 29 10:09:53 mail2 postfix/smtpd[23478]: NOQUEUE: client=smtprelay0118.b.hostedemail.com[64.98.42.118] Jan 29 10:09:53 mail2 amavis[23479]: (22953-19) SA info: util: setuid: ruid=114 euid=114 rgid=123 123 egid=123 123 Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) ESMTP [127.0.0.1]:10024 /var/lib/amavis/tmp/amavis-20190129T100953-23473-Kl5bntE3: -> SIZE=1876 BODY=8BITMIME Received: from mail2.unsere-domain.de ([127.0.0.1]) by localhost (mail2.unsere-domain.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for ; Tue, 29 Jan 2019 10:09:53 +0100 (CET) Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) Checking: XKalWugpbQu9 [64.98.42.118] -> Jan 29 10:09:53 mail2 amavis[23473]: (23473-01) p001 1 Content-Type: text/plain, size: 94 B, name: Jan 29 10:09:53 mail2 postfix/smtpd[23301]: connect from localhost[127.0.0.1] Jan 29 10:09:53 mail2 postfix/smtpd[23301]: 8FCD7DFDB0: client=localhost[127.0.0.1], orig_client=smtprelay0108.b.hostedemail.com[64.98.42.108] Jan 29 10:09:53 mail2 postfix/cleanup[23294]: 8FCD7DFDB0: message-id=<6a02d44b1b40aeeca363745281ca37af at jazeaccountancy.co.uk> Jan 29 10:09:53 mail2 postfix/qmgr[12371]: 8FCD7DFDB0: from=, size=2627, nrcpt=1 (queue active) Jan 29 10:09:53 mail2 postfix/smtpd[23301]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6 Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) 3OVfVi6afs2g FWD from -> , BODY=8BITMIME 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8FCD7DFDB0 Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) Passed CLEAN {RelayedInbound}, [64.98.42.108]:49356 [79.170.44.243] -> , Message-ID: <6a02d44b1b40aeeca363745281ca37af at jazeaccountancy.co.uk>, mail_id: 3OVfVi6afs2g, Hits: 1.765, size: 2104, queued_as: 8FCD7DFDB0, 2060 ms Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) TIMING-SA total 1896 ms - parse: 1.49 (0.1%), extract_message_metadata: 3.5 (0.2%), get_uri_detail_list: 0.20 (0.0%), tests_pri_-1000: 6 (0.3%), tests_pri_-950: 0.83 (0.0%), tests_pri_-900: 0.90 (0.0%), tests_pri_-90: 9 (0.5%), check_bayes: 8 (0.4%), b_tokenize: 2.5 (0.1%), b_tok_get_all: 1.96 (0.1%), b_comp_prob: 1.37 (0.1%), b_tok_touch_all: 0.09 (0.0%), b_finish: 0.43 (0.0%), tests_pri_0: 458 (24.2%), check_spf: 421 (22.2%), poll_dns_idle: 403 (21.3%), check_dkim_adsp: 2.5 (0.1%), tests_pri_20: 1313 (69.2%), check_razor2: 1312 (69.2%), tests_pri_30: 70 (3.7%), check_pyzor: 68 (3.6%), tests_pri_500: 17 (0.9%), get_report: 0.35 (0.0%) Jan 29 10:09:53 mail2 postfix/smtpd[23474]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8FCD7DFDB0; from= to= proto=ESMTP helo= Jan 29 10:09:53 mail2 amavis[22953]: (22953-19) size: 2104, TIMING [total 2063 ms] - SMTP greeting: 1.1 (0%)0, SMTP EHLO: 0.6 (0%)0, SMTP pre-MAIL: 0.3 (0%)0, SMTP pre-DATA-flush: 1.6 (0%)0, SMTP DATA: 0.3 (0%)0, check_init: 1.1 (0%)0, digest_hdr: 0.5 (0%)0, digest_body_dkim: 0.1 (0%)0, collect_info: 1.3 (0%)0, mime_decode: 4.0 (0%)1, get-file-type1: 16 (1%)1, parts_decode: 0.2 (0%)1, check_header: 0.5 (0%)1, AV-scan-1: 5 (0%)2, spam-wb-list: 0.8 (0%)2, SA msg read: 0.3 (0%)2, SA parse: 2.2 (0%)2, SA check: 1893 (92%)94, decide_mail_destiny: 11 (1%)94, notif-quar: 0.2 (0%)94, fwd-connect: 4.4 (0%)94, fwd-xforward: 0.3 (0%)94, fwd-mail-pip: 2.1 (0%)94, fwd-rcpt-pip: 0.1 (0%)94, fwd-data-chkpnt: 0.0 (0%)94, write-header: 0.3 (0%)94, fwd-data-contents: 0.0 (0%)94, fwd-end-chkpnt: 108 (5%)100, prepare-dsn: 0.9 (0%)100, report: 1.1 (0%)100, main_log_entry: 2.8 (0%)100, update_snmp: 0.8 (0%)100, SMTP pre-response: 0.3 (0%)100, SMTP response: 0.1 (0%)100, unlink-1-files: 0.2 (0%)100, rundown: 0.7 (0%)100 Jan 29 10:09:53 mail2 postfix/smtpd[23474]: disconnect from smtprelay0108.b.hostedemail.com[64.98.42.108] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Jan 29 10:09:54 mail2 postfix/smtp[23295]: 8FCD7DFDB0: to=, relay=148.251.39.234[148.251.39.234]:25, delay=0.62, delays=0.11/0/0.01/0.5, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as AF96D5E056B) Jan 29 10:09:54 mail2 postfix/qmgr[12371]: 8FCD7DFDB0: removed ======================8<-------------- Ungünstig wirkt sich in diesem Fall vermutlich auch das Whitelisting in Postscreen aus. Immerhin stand die IP bereits auf 2 Blacklists : list.dnswl.org=127.0.[0..255].0*-2 list.dnswl.org=127.0.[0..255].1*-3 list.dnswl.org=127.0.[0..255].[2..3]*-4