From sac at 300baud.de  Sun Apr  5 22:57:20 2020
From: sac at 300baud.de (Stefan Claas)
Date: Sun, 5 Apr 2020 22:57:20 +0200
Subject: outbound mail modifizieren
Message-ID: <20200405225720.000012c5@300baud.de>

Guten Abend,

*ich entschuldige mich schon mal im voraus, da ich das Postfix Buch noch nicht
besitze und auch keine Konfigurations Dateien mit sende.*

Mein postfix Mail Server funktioniert soweit tadellos.

Ich stehe jedoch jetzt vor folgendem Problem und habe so gut es geht versucht
dafür eine Lösung zu finden.

Ich betreibe einen Anonymen Remailer, der es erlaubt auch emails über ein
mail2news Gateway in's Usenet zu schicken. Soweit so gut.

Ich möchte folgendes erreichen:

postfix soll ausgehende emails, die *nur* an mail2news Gateways gehen,
anhand der email Adresse so modifizieren das die Message-Id modifiziert
wird. Sprich das ich einen beliebigenen string nach dem @ Zeichen in der
neu generierten Message-Id habe, die man dann im Usenet so sehen kann.

Es soll *nichts* für reguläre emails geändert werden.

Über eure Hilfe wäre ich sehr dankbar!
(*und sorry das ich das Buch noch nicht habe)

Grüße
Stefan

-- 
Signal (Desktop) +4915172173279
https://keybase.io/stefan_claas
           


From klaus at tachtler.net  Mon Apr  6 08:04:04 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Mon, 6 Apr 2020 06:04:04 +0000 (UTC)
Subject: outbound mail modifizieren
In-Reply-To: <20200405225720.000012c5@300baud.de>
References: <20200405225720.000012c5@300baud.de>
Message-ID: <f6d1e516-00a7-4efe-bd95-85ba03eb6c4e@localhost>

Hallo Stefan,

möglicherweise suchst Du etwas wie "canonical".

Nachfolgende Informationen dazu, habe ich mal in meinem DokuWiki für mich dazu hinterlegt:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=canonical#canonical_maps

(Es kann die komplette E-Mail-Adresse damit verändert werden z.B.:

du at example.com --> ich+12345 at domain.de)

Oder siehe auch z.B. die offizielle Dokumentation dazu:

http://www.postfix.org/canonical.5.html


Grüße
Klaus.

-- 
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.

Von: Stefan Claas <sac at 300baud.de>
An: postfixbuch-users at listen.jpberlin.de
Empfangen: 05.04.2020 23:05:05
Betreff: outbound mail modifizieren


> Guten Abend,
> 
> *ich entschuldige mich schon mal im voraus, da ich das Postfix Buch noch nicht
> besitze und auch keine Konfigurations Dateien mit sende.*
> 
> Mein postfix Mail Server funktioniert soweit tadellos.
> 
> Ich stehe jedoch jetzt vor folgendem Problem und habe so gut es geht versucht
> dafür eine Lösung zu finden.
> 
> Ich betreibe einen Anonymen Remailer, der es erlaubt auch emails über ein
> mail2news Gateway in's Usenet zu schicken. Soweit so gut.
> 
> Ich möchte folgendes erreichen:
> 
> postfix soll ausgehende emails, die *nur* an mail2news Gateways gehen,
> anhand der email Adresse so modifizieren das die Message-Id modifiziert
> wird. Sprich das ich einen beliebigenen string nach dem @ Zeichen in der
> neu generierten Message-Id habe, die man dann im Usenet so sehen kann.
> 
> Es soll *nichts* für reguläre emails geändert werden.
> 
> Über eure Hilfe wäre ich sehr dankbar!
> (*und sorry das ich das Buch noch nicht habe)
> 
> Grüße
> Stefan
> 
> -- 
> Signal (Desktop) +4915172173279
> https://keybase.io/stefan_claas
> 
> 
> 



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------



From sac at 300baud.de  Mon Apr  6 10:43:05 2020
From: sac at 300baud.de (Stefan Claas)
Date: Mon, 6 Apr 2020 10:43:05 +0200
Subject: outbound mail modifizieren
In-Reply-To: <f6d1e516-00a7-4efe-bd95-85ba03eb6c4e@localhost>
References: <20200405225720.000012c5@300baud.de>
 <f6d1e516-00a7-4efe-bd95-85ba03eb6c4e@localhost>
Message-ID: <20200406104305.00003b9a@300baud.de>

Klaus Tachtler wrote:

> Hallo Stefan,
> 
> möglicherweise suchst Du etwas wie "canonical".
> 
> Nachfolgende Informationen dazu, habe ich mal in meinem DokuWiki für mich
> dazu hinterlegt:
> 
> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=canonical#canonical_maps
> 
> (Es kann die komplette E-Mail-Adresse damit verändert werden z.B.:
> 
> du at example.com --> ich+12345 at domain.de)
> 
> Oder siehe auch z.B. die offizielle Dokumentation dazu:
> 
> http://www.postfix.org/canonical.5.html

Hallo Klaus,

vielen Dank für die Information. Ich habe das mal durchgelesen und mir sieht es
aber so aus das dass sich auf gleich Werte bezieht, also email Adresse -> email
Adress und andere Header Beispiele habe ich nicht gefunden.

Vermutlich ist das was ich gerne machen möchte so noch nicht vorgekommen, da im
Normalfall so etwas sicherlich nicht gebraucht wird, oder Sinn macht.

Ich werde mal zur Sicherheit auch auf der englischen Liste nachfragen und dann,
falls es ein Ergebnis gibt, hier noch mal posten.

Vielen Dank aber erstmal für deine Mühe!

Grüße
Stefan

-- 
Signal (Desktop) +4915172173279
https://keybase.io/stefan_claas
           


From ffiene at veka.com  Mon Apr  6 15:37:52 2020
From: ffiene at veka.com (Frank Fiene)
Date: Mon, 6 Apr 2020 15:37:52 +0200
Subject: =?utf-8?Q?DNS_Round-Robin_f=C3=BCr_einen_MX?=
Message-ID: <37775D18-6CF0-44EE-8D92-84E98124D539@veka.com>

Ich musste heute mal wieder für einen Lieferanten, oder besser gesagt für dessen Internet-Dienstleister (!) Support machen, da ist mir mal wieder folgendes aufgefallen:

? (ffiene at euklid) ? ~ host -t mx 3d-laminates.com
3d-laminates.com mail is handled by 5 mail.b-io.co.
? (ffiene at euklid) ? ~ host mail.b-io.co          
mail.b-io.co has address 34.221.122.221
mail.b-io.co has address 54.244.49.115
mail.b-io.co has address 18.237.14.237
mail.b-io.co has address 34.222.93.91
mail.b-io.co has address 52.11.241.224
mail.b-io.co has address 34.212.134.30
mail.b-io.co has address 54.202.112.1
mail.b-io.co has address 54.149.8.150
mail.b-io.co has address 54.218.2.65
mail.b-io.co has address 54.203.167.158

 
Warum machen Leute das?

Warum nicht 10 MX Einträge mit derselben Priorität, wenn es schon so viele sein müssen?

Gibt es dafür irgendeinen Grund? Das gibt doch das SMTP-Protokoll her!
Oft wünsche ich mir das für neue, hippe Protokolle auch! :-D


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT 
Dieselstr. 8 
48324 Sendenhorst 
Deutschland/Germany 
http://www.veka.com 

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), 
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, 
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand 

HRB 8282 AG Münster/District Court of Münster



From sac at 300baud.de  Mon Apr  6 15:42:14 2020
From: sac at 300baud.de (Stefan Claas)
Date: Mon, 6 Apr 2020 15:42:14 +0200
Subject: outbound mail modifizieren
In-Reply-To: <20200406104305.00003b9a@300baud.de>
References: <20200405225720.000012c5@300baud.de>
 <f6d1e516-00a7-4efe-bd95-85ba03eb6c4e@localhost>
 <20200406104305.00003b9a@300baud.de>
Message-ID: <20200406154214.0000558e@300baud.de>

Stefan Claas wrote:

> Klaus Tachtler wrote:
> 
> > Hallo Stefan,
> > 
> > möglicherweise suchst Du etwas wie "canonical".
> > 
> > Nachfolgende Informationen dazu, habe ich mal in meinem DokuWiki für mich
> > dazu hinterlegt:
> > 
> > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=canonical#canonical_maps
> > 
> > (Es kann die komplette E-Mail-Adresse damit verändert werden z.B.:
> > 
> > du at example.com --> ich+12345 at domain.de)
> > 
> > Oder siehe auch z.B. die offizielle Dokumentation dazu:
> > 
> > http://www.postfix.org/canonical.5.html
> 
> Hallo Klaus,
> 
> vielen Dank für die Information. Ich habe das mal durchgelesen und mir sieht
> es aber so aus das dass sich auf gleich Werte bezieht, also email Adresse ->
> email Adress und andere Header Beispiele habe ich nicht gefunden.
> 
> Vermutlich ist das was ich gerne machen möchte so noch nicht vorgekommen, da
> im Normalfall so etwas sicherlich nicht gebraucht wird, oder Sinn macht.
> 
> Ich werde mal zur Sicherheit auch auf der englischen Liste nachfragen und
> dann, falls es ein Ergebnis gibt, hier noch mal posten.
> 
> Vielen Dank aber erstmal für deine Mühe!

So, habe auch, wie gesagt, auf der englischen Mailing List nachgefragt.

Bis jetzt waren nur 2 Antworten dabei die mir weiterhelfen könnten,
wenn ich wüsste wich ich das machen muß.

Die eine Antwort lautete das man mit procmail auch outbound traffic
bearbeiten kann und die andere lautete das dass mit postfix nicht
direkt geht und man milter nutzen muß.

Wenn mir da jemand bei helfen würde wäre das super.

Sehr entäuscht war ich vom Postfix Entwickler der einfach sagte:

Mach es mit dem mail2news Gateway, was nicht sinnvoll ist, da Nutzer
oftmals mehrere mail2news Gateways für eine Nachricht nutzen und
dann verschiedene message-ids, für den selben Artikel, im Usenet
wären.

Grüße
Stefan

-- 
Signal (Desktop) +4915172173279
https://keybase.io/stefan_claas
           


From p at sys4.de  Mon Apr  6 15:47:29 2020
From: p at sys4.de (Patrick Ben Koetter)
Date: Mon, 6 Apr 2020 15:47:29 +0200
Subject: outbound mail modifizieren
In-Reply-To: <20200405225720.000012c5@300baud.de>
References: <20200405225720.000012c5@300baud.de>
Message-ID: <20200406134729.saqodn5uzw7wzrn4@sys4.de>

* Stefan Claas <postfixbuch-users at listen.jpberlin.de>:
> Guten Abend,
> 
> *ich entschuldige mich schon mal im voraus, da ich das Postfix Buch noch nicht
> besitze und auch keine Konfigurations Dateien mit sende.*
> 
> Mein postfix Mail Server funktioniert soweit tadellos.
> 
> Ich stehe jedoch jetzt vor folgendem Problem und habe so gut es geht versucht
> dafür eine Lösung zu finden.
> 
> Ich betreibe einen Anonymen Remailer, der es erlaubt auch emails über ein
> mail2news Gateway in's Usenet zu schicken. Soweit so gut.
> 
> Ich möchte folgendes erreichen:
> 
> postfix soll ausgehende emails, die *nur* an mail2news Gateways gehen,
> anhand der email Adresse so modifizieren das die Message-Id modifiziert
> wird. Sprich das ich einen beliebigenen string nach dem @ Zeichen in der
> neu generierten Message-Id habe, die man dann im Usenet so sehen kann.

Sieh Dir smtp_header_checks an. Mit denen kannst Du die Header einer
Nachricht, unmittelbar bevor der smtp-Client diese versendet, verändern.

> Es soll *nichts* für reguläre emails geändert werden.

Dann musst Du diese Nachrichten und die für mail2news über unterschiedlichen
Strecken (services in master.cf) routen.

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



From wn at neessen.net  Mon Apr  6 16:01:17 2020
From: wn at neessen.net (Winfried Neessen)
Date: Mon, 06 Apr 2020 16:01:17 +0200
Subject: =?UTF-8?Q?Re=3A_DNS_Round-Robin_f=C3=BCr_einen_MX?=
In-Reply-To: <37775D18-6CF0-44EE-8D92-84E98124D539@veka.com>
References: <37775D18-6CF0-44EE-8D92-84E98124D539@veka.com>
Message-ID: <0b61f9323e2fb523a9bab658958d2ba7@neessen.net>

Hi Frank,

Am 2020-04-06 15:37, schrieb Frank Fiene:

> ? (ffiene at euklid) ? ~ host mail.b-io.co
> mail.b-io.co has address 34.221.122.221
> mail.b-io.co has address 54.244.49.115
> mail.b-io.co has address 18.237.14.237
> mail.b-io.co has address 34.222.93.91
> mail.b-io.co has address 52.11.241.224
> mail.b-io.co has address 34.212.134.30
> mail.b-io.co has address 54.202.112.1
> mail.b-io.co has address 54.149.8.150
> mail.b-io.co has address 54.218.2.65
> mail.b-io.co has address 54.203.167.158
> 
> Warum machen Leute das?
> Warum nicht 10 MX Einträge mit derselben Priorität, wenn es schon so 
> viele sein müssen?

Ich behaupte mal, es ist einfacher eine MX hostnamen mit vielen 
A-Records dahinter zu pflegen
als bei hunderten von Domains 10 MX Eintraege zu pflegen.


Winni


From cr at ncxs.de  Mon Apr  6 16:22:13 2020
From: cr at ncxs.de (Carsten Rosenberg)
Date: Mon, 6 Apr 2020 16:22:13 +0200
Subject: outbound mail modifizieren
In-Reply-To: <20200406134729.saqodn5uzw7wzrn4@sys4.de>
References: <20200405225720.000012c5@300baud.de>
 <20200406134729.saqodn5uzw7wzrn4@sys4.de>
Message-ID: <ea80fedf-6371-94ae-12cb-3754c7541dbc@ncxs.de>

Hey,

On 06.04.20 15:47, Patrick Ben Koetter wrote:
> * Stefan Claas <postfixbuch-users at listen.jpberlin.de>:
>> Guten Abend,
>> Ich möchte folgendes erreichen:
>>
>> postfix soll ausgehende emails, die *nur* an mail2news Gateways gehen,
>> anhand der email Adresse so modifizieren das die Message-Id modifiziert
>> wird. Sprich das ich einen beliebigenen string nach dem @ Zeichen in der
>> neu generierten Message-Id habe, die man dann im Usenet so sehen kann.
> 
> Sieh Dir smtp_header_checks an. Mit denen kannst Du die Header einer
> Nachricht, unmittelbar bevor der smtp-Client diese versendet, verändern.

smtp_header_checks kann die Mail leider nicht mehr verändern. Du
müsstest also wenn die normalen header_checks verwenden und damit es die
anderen Mails nicht tangiert ggf. einen 2. cleanup (samt 2. smtpd)
definieren und die mail2news Nachrichten doppelt bearbeiten.

Alternativ müsste das eben auch ein externes Programm machen. Wie schon
gemeint procmail, ein (Bash) Skript, Rspamd (milter_headers Modul)  etc.


Viele Grüße

Carsten


From sac at 300baud.de  Mon Apr  6 16:27:54 2020
From: sac at 300baud.de (Stefan Claas)
Date: Mon, 6 Apr 2020 16:27:54 +0200
Subject: outbound mail modifizieren
In-Reply-To: <20200406134729.saqodn5uzw7wzrn4@sys4.de>
References: <20200405225720.000012c5@300baud.de>
 <20200406134729.saqodn5uzw7wzrn4@sys4.de>
Message-ID: <20200406162754.00007f62@300baud.de>

Patrick Ben Koetter wrote:

> * Stefan Claas <postfixbuch-users at listen.jpberlin.de>:
> > Guten Abend,
> > 
> > *ich entschuldige mich schon mal im voraus, da ich das Postfix Buch noch
> > nicht besitze und auch keine Konfigurations Dateien mit sende.*
> > 
> > Mein postfix Mail Server funktioniert soweit tadellos.
> > 
> > Ich stehe jedoch jetzt vor folgendem Problem und habe so gut es geht
> > versucht dafür eine Lösung zu finden.
> > 
> > Ich betreibe einen Anonymen Remailer, der es erlaubt auch emails über ein
> > mail2news Gateway in's Usenet zu schicken. Soweit so gut.
> > 
> > Ich möchte folgendes erreichen:
> > 
> > postfix soll ausgehende emails, die *nur* an mail2news Gateways gehen,
> > anhand der email Adresse so modifizieren das die Message-Id modifiziert
> > wird. Sprich das ich einen beliebigenen string nach dem @ Zeichen in der
> > neu generierten Message-Id habe, die man dann im Usenet so sehen kann.
> 
> Sieh Dir smtp_header_checks an. Mit denen kannst Du die Header einer
> Nachricht, unmittelbar bevor der smtp-Client diese versendet, verändern.

Das hatte ich vor einigen Tagen bereits getan, nur leider funktionierte
das nicht. Vorhin sagte mir man das auch auf der englischen Mailing List
und mir wurde dort der Einsatz von milter empfohlen. Nur leider kenne ich
mich damit noch nicht aus und habe dafür keine passenden Beispiele gefunden.
> 
> > Es soll *nichts* für reguläre emails geändert werden.
> 
> Dann musst Du diese Nachrichten und die für mail2news über unterschiedlichen
> Strecken (services in master.cf) routen.

Danke. Das muss ich mir dann mal anlesen.

Grüße
Stefan

-- 
Signal (Desktop) +4915172173279
https://keybase.io/stefan_claas
           


From list+postfixbuch at gcore.biz  Mon Apr  6 16:23:27 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Mon, 6 Apr 2020 16:23:27 +0200
Subject: =?utf-8?Q?Re=3A_DNS_Round-Robin_f=C3=BCr_einen_MX?=
In-Reply-To: <37775D18-6CF0-44EE-8D92-84E98124D539@veka.com>
References: <37775D18-6CF0-44EE-8D92-84E98124D539@veka.com>
Message-ID: <072CD4D7-1AB3-4C16-9642-29B0CF7F8384@gcore.biz>


> ? (ffiene at euklid) ? ~ host -t mx 3d-laminates.com
> 3d-laminates.com mail is handled by 5 mail.b-io.co.
> ? (ffiene at euklid) ? ~ host mail.b-io.co          
> mail.b-io.co has address 34.221.122.221
> mail.b-io.co has address 54.244.49.115
> mail.b-io.co has address 18.237.14.237
> mail.b-io.co has address 34.222.93.91
> mail.b-io.co has address 52.11.241.224
> mail.b-io.co has address 34.212.134.30
> mail.b-io.co has address 54.202.112.1
> mail.b-io.co has address 54.149.8.150
> mail.b-io.co has address 54.218.2.65
> mail.b-io.co has address 54.203.167.158
> 
> 
> Warum machen Leute das?

MX Records sind nur für den eingehenden Mailverkehr, vielleicht werden die Server auch für den E-Mail Versand verwendet.
Wenn sich die Server jeweils als mail.b-io.co melden, dann muss auch der DNS Forward/Reverse Lookup stimmen.

Manche Provider halten auch ein paar IPs frei falls man nach einer Spam-Attacke auf einer Blackliste landet.
Dann kann man SMTP einfach über eine andere IP rausschicken, da der Forward/Reverse im DNS schon passt.

Viele Grüße
Gerald



From mailinglisten at pothe.de  Wed Apr  8 08:13:03 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Wed, 8 Apr 2020 08:13:03 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
Message-ID: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>

Hallo,

seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
(doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas
falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?

Ein Beispiel anbei:

Return-Path: <mailinglisten at pothe.de>
X-Original-To: mailinglisten at pothe.de
Delivered-To: mailinglisten at pothe.de
Received: from localhost (localhost [127.0.0.1])
	by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
	for <mailinglisten at pothe.de>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
	t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
	h=To:From:Subject:Date:From;
	b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
	 JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
	 n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
	 RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
	 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
	 q9tVuMCd4zeVw==
X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
X-Spam-Flag: NO
X-Spam-Score: -1
X-Spam-Level:
X-Spam-Status: No, score=-1 tagged_above=-999 required=4
	tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
Received: from mail.pothe.de ([127.0.0.1])
	by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id LiyTA4z-iuoR for <mailinglisten at pothe.de>;
	Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
	(No client certificate requested)
	by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
	for <mailinglisten at pothe.de>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
To: mailinglisten at pothe.de
From: Andreas Pothe <mailinglisten at pothe.de>
Subject: Test
Message-ID: <b5592e68-6b7e-d1d1-5216-a3c050fc62c5 at pothe.de>
Date: Wed, 8 Apr 2020 07:54:09 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
 Thunderbird/68.6.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit

Test Test


Danke und viele Grüße
Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200408/d6a02b9e/attachment.htm>

From klaus at tachtler.net  Wed Apr  8 08:22:13 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Wed, 8 Apr 2020 06:22:13 +0000 (UTC)
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
Message-ID: <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>

Hallo Andreas,

was sagt den:
https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/


Grüße
Klaus.

-- 
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.

Von: Andreas Pothe <mailinglisten at pothe.de>
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Empfangen: 08.04.2020 08:13:30
Betreff: Fehlerhafte Signatur durch OpenDKIM?


> Hallo,
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
> 
> Ein Beispiel anbei:
> Return-Path: 
> <mailinglisten at pothe.de>
> 
> X-Original-To: 
> mailinglisten at pothe.de
> 
> Delivered-To: 
> mailinglisten at pothe.de
> 
> Received: from localhost (localhost [127.0.0.1])
> 	by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
> 	for 
> <mailinglisten at pothe.de>
> ; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
> 	t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
> 	h=To:From:Subject:Date:From;
> 	b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
> 	 JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
> 	 n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
> 	 RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
> 	 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
> 	 q9tVuMCd4zeVw==
> X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
> X-Spam-Flag: NO
> X-Spam-Score: -1
> X-Spam-Level:
> X-Spam-Status: No, score=-1 tagged_above=-999 required=4
> 	tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
> Received: from mail.pothe.de ([127.0.0.1])
> 	by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
> 	with ESMTP id LiyTA4z-iuoR for 
> <mailinglisten at pothe.de>
> ;
> 	Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
> 	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
> 	 key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
> 	(No client certificate requested)
> 	by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
> 	for 
> <mailinglisten at pothe.de>
> ; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> To: 
> mailinglisten at pothe.de
> 
> From: Andreas Pothe 
> <mailinglisten at pothe.de>
> 
> Subject: Test
> Message-ID: 
> <b5592e68-6b7e-d1d1-5216-a3c050fc62c5 at pothe.de>
> 
> Date: Wed, 8 Apr 2020 07:54:09 +0200
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
>  Thunderbird/68.6.0
> MIME-Version: 1.0
> Content-Type: text/plain; charset=utf-8
> Content-Transfer-Encoding: 7bit
> 
> Test Test
> 
> 
> Danke und viele Grüße
> Andreas
> 



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------



From rainer_wiesenfarth at trimble.com  Wed Apr  8 08:58:13 2020
From: rainer_wiesenfarth at trimble.com (Rainer Wiesenfarth)
Date: Wed, 8 Apr 2020 08:58:13 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
Message-ID: <CAOsVh2WonhwKtdsiJHy+9YEt1Zg59sd+jFw2H_WXc32WnhCasQ@mail.gmail.com>

>
> Von: Andreas Pothe <mailinglisten at pothe.de>
>
> Hallo,
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch
> in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>
> Ein Beispiel anbei:
> [...]

DKIM-Signature: [...]
> >       h=To:From:Subject:Date:From;
> >       [...]
>

Hallo,

ich bin zwar DKIM-Laie, habe aber - zumindest gelegentlich - den
"analytischen Blick": Kann es an dem doppelten "From" liegen?

Viele Grüße
Rainer

-- 
Software Engineer | Trimble Imaging Division
Rotebühlstraße 81 | 70178 Stuttgart | Germany
Office +49 711 22881 0 | Fax +49 711 22881 11
http://www.trimble.com/imaging/ | http://www.inpho.de/

Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim
Eingetragen beim Amtsgericht Darmstadt unter HRB 83893,
Geschäftsführer: Rob Reeder, Jürgen Kesper
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200408/f8f33c6d/attachment.htm>

From buettnerp at web.de  Wed Apr  8 10:47:36 2020
From: buettnerp at web.de (Peter Buettner)
Date: Wed, 8 Apr 2020 10:47:36 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
Message-ID: <a279ca66-6175-a87e-848f-f9f1d62c38f1@web.de>

Hallo Andreas,

spaßeshalber habe ich bei mir DKIM-Verifier 2.2.0 installiert und
erhalte bei Deiner Mail:

DKIM Gültig (signiert durch pothe.de)

Dagegen erhalte ich eine Fehlermeldung bei einer vorherigen Mail in
dieser Liste:

Re: outbound mail modifizieren

von Carsten Rosenberg

DKIM Ungültig (Signatur falsch)


Nun frage ich mich, warum mein postfix bei dieser Mail nicht
angesprungen ist.

DKIM ist schon bei der Installation ein empfindliches Ding. Sehr
wahrscheinlich auch der Verifier.

Deshalb benutze ich SPF.


Viele Grüße

Peter Büttner


Am 08.04.20 um 08:13 schrieb Andreas Pothe:
> Hallo,
>
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas
> falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>
> Ein Beispiel anbei:
>
> Return-Path: <mailinglisten at pothe.de>
> X-Original-To: mailinglisten at pothe.de
> Delivered-To: mailinglisten at pothe.de
> Received: from localhost (localhost [127.0.0.1])
> 	by mail.pothe.de (Postfix) with ESMTP id 8D8BE1F4AC
> 	for <mailinglisten at pothe.de>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=pothe.de; s=201708;
> 	t=1586325248; bh=cV0MXmKCebNr3E9bys0jQNTc05ILUu/tZuQEbs7GySE=;
> 	h=To:From:Subject:Date:From;
> 	b=XbOhCnQULPaDtRwiaA9JjpRLDnbm4n7Z3jTC8Hvve71IF1D67gS+gZ0Ndu32+hDjt
> 	 JWDRdtczA91uTo7W2KbzvgT72diK6MXZ0XScj6+jalKsFtpnq5DBb9iBOJgMhabUUy
> 	 n6FaqL2k20vZTxg+FhPWyFn1fqVkCee0oVDwyRMu3nWGA1K9VieUn7TS9ke0HfUFkv
> 	 RQkLECvlTKXwTOLIN3gjDdLj5vaVDWzugNvqNO+FtshSRLKgI/2x5meHJdeozFoKtS
> 	 5lrU5ngoU/N9v4lHolo0bbcz4OctqnVOch6NGZemsRI7xumu5rqnLyLuJbd1UX0EqO
> 	 q9tVuMCd4zeVw==
> X-Virus-Scanned: Debian amavisd-new at mail.proweser.de
> X-Spam-Flag: NO
> X-Spam-Score: -1
> X-Spam-Level:
> X-Spam-Status: No, score=-1 tagged_above=-999 required=4
> 	tests=[ALL_TRUSTED=-1] autolearn=ham autolearn_force=no
> Received: from mail.pothe.de ([127.0.0.1])
> 	by localhost (mail.pothe.de [127.0.0.1]) (amavisd-new, port 10024)
> 	with ESMTP id LiyTA4z-iuoR for <mailinglisten at pothe.de>;
> 	Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> Received: from [192.168.142.34] (x59cc895f.dyn.telefonica.de [89.204.137.95])
> 	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
> 	 key-exchange ECDHE (P-384) server-signature ECDSA (P-384))
> 	(No client certificate requested)
> 	by mail.pothe.de (Postfix) with ESMTPSA id 45B071F470
> 	for <mailinglisten at pothe.de>; Wed,  8 Apr 2020 07:54:08 +0200 (CEST)
> To: mailinglisten at pothe.de
> From: Andreas Pothe <mailinglisten at pothe.de>
> Subject: Test
> Message-ID: <b5592e68-6b7e-d1d1-5216-a3c050fc62c5 at pothe.de>
> Date: Wed, 8 Apr 2020 07:54:09 +0200
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
>  Thunderbird/68.6.0
> MIME-Version: 1.0
> Content-Type: text/plain; charset=utf-8
> Content-Transfer-Encoding: 7bit
>
> Test Test
>
>
> Danke und viele Grüße
> Andreas
>
>


From mailinglisten at pothe.de  Wed Apr  8 10:48:29 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Wed, 8 Apr 2020 10:48:29 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
Message-ID: <7d7f1936-e6b0-613a-0b04-ccbcbf823ef0@pothe.de>

Moin,

Am 08.04.2020 um 08:22 schrieb Klaus Tachtler:
> was sagt den:
> https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/

Der sagte gar nichts. Das war merkwürdig. Und schon habe ich den Fehler
gefunden: Ich hatte meinen DKIM-Eintrag um einen tlsrpt-Eintrag ergänzt
gehabt und dabei einen Fehler gemacht. Geändert auf "s=email:tlsrpt;"
(wie man es machen sollte) und schon funktioniert es und auch der
Analyzer checkt den Eintrag.

Interessant ist, dass der Parser bei ungültigem DKIM-Selector nicht
sagt, dass er fehlerhaft ist, sondern dass er sagt, dass der Selektor
nicht existiert...

Noch interessanter, dass OpenDKIM der Faux-Pas völlig egal war (auch
beim Überprüfen), aber das DKIM-Plugin beim Thunderbird den Fehler anzeigte.

Danke für den Denkanstoß!

Viele Grüße
Andreas



From jost+lists at dimejo.at  Wed Apr  8 10:53:00 2020
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 8 Apr 2020 10:53:00 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <CAOsVh2WonhwKtdsiJHy+9YEt1Zg59sd+jFw2H_WXc32WnhCasQ@mail.gmail.com>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
 <CAOsVh2WonhwKtdsiJHy+9YEt1Zg59sd+jFw2H_WXc32WnhCasQ@mail.gmail.com>
Message-ID: <588627e1-4d8c-b70a-7c08-62a037dd6677@dimejo.at>

Am 08.04.2020 um 08:58 schrieb Rainer Wiesenfarth:
>>
>> Von: Andreas Pothe <mailinglisten at pothe.de>
>>
>> Hallo,
>> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
>> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
>> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
>> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas falsch
>> in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?
>>
>> Ein Beispiel anbei:
>> [...]
> 
> DKIM-Signature: [...]
>>>        h=To:From:Subject:Date:From;
>>>        [...]
>>
> 
> Hallo,
> 
> ich bin zwar DKIM-Laie, habe aber - zumindest gelegentlich - den
> "analytischen Blick": Kann es an dem doppelten "From" liegen?

Manche Header werden mehrfach signiert, um zu verhindern, dass sie 
nachträglich (doppelt) hinzugefügt werden.

-- 
Alex JOST


From jost+lists at dimejo.at  Wed Apr  8 10:47:48 2020
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 8 Apr 2020 10:47:48 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
Message-ID: <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>

Am 08.04.2020 um 08:13 schrieb Andreas Pothe:
> Hallo,
> 
> seit kurzem erhalte ich im Thunderbird-Plug "DKIM Verifier" bei Mails
> meiner eigenen Domain, dass der DKIM Schlüssel falsch formatiert seit
> (doppelter Tag). Ich finde hierzu nichts, auch sehe ich selbst keinen
> Fehler. Ist das ein Problem des Plugins oder ist wirklich irgendwas
> falsch in meiner DKIM-Signierung? Wenn letzteres, was muss ich korrigieren?

Vielleicht verschluckt sich das Add-on an den Tags in deinem 
DNS-Eintrag? Vor allem das Service-Tag (s=email:tlsrpt) ist recht 
ungewöhnlich.

-- 
Alex JOST


From infoomatic at gmx.at  Wed Apr  8 11:15:23 2020
From: infoomatic at gmx.at (infoomatic)
Date: Wed, 8 Apr 2020 11:15:23 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <7d7f1936-e6b0-613a-0b04-ccbcbf823ef0@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <f95f588c-ef1e-45d6-8ed2-6f7814fa5462@localhost>
 <7d7f1936-e6b0-613a-0b04-ccbcbf823ef0@pothe.de>
Message-ID: <f36c07aa-32c0-a776-2abd-d150ff5223fc@gmx.at>

Hi,

Leider find ichs grad in meinen Aufzeichnungen nicht, aber ich glaube
mich dumpf erinnern zu können dass OpenDKIM einen ziemlich lästigen Bug
hat bei der Verifizierung wenn die Daten vom DNS per EDNS0 extension
(rfc6891) reinkommen...

LG,

Robert


On 08.04.20 10:48, Andreas Pothe wrote:
> Moin,
>
> Am 08.04.2020 um 08:22 schrieb Klaus Tachtler:
>> was sagt den:
>> https://www.dmarcanalyzer.com/de/dkim-de/dkim-record-check/
> Der sagte gar nichts. Das war merkwürdig. Und schon habe ich den Fehler
> gefunden: Ich hatte meinen DKIM-Eintrag um einen tlsrpt-Eintrag ergänzt
> gehabt und dabei einen Fehler gemacht. Geändert auf "s=email:tlsrpt;"
> (wie man es machen sollte) und schon funktioniert es und auch der
> Analyzer checkt den Eintrag.
>
> Interessant ist, dass der Parser bei ungültigem DKIM-Selector nicht
> sagt, dass er fehlerhaft ist, sondern dass er sagt, dass der Selektor
> nicht existiert...
>
> Noch interessanter, dass OpenDKIM der Faux-Pas völlig egal war (auch
> beim Überprüfen), aber das DKIM-Plugin beim Thunderbird den Fehler anzeigte.
>
> Danke für den Denkanstoß!
>
> Viele Grüße
> Andreas
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200408/32964251/attachment.htm>

From ffiene at veka.com  Wed Apr  8 14:24:55 2020
From: ffiene at veka.com (Frank Fiene)
Date: Wed, 8 Apr 2020 14:24:55 +0200
Subject: Mailserver von rzone.de
Message-ID: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>

Hallo,

Habt ihr das auch , dass viele Mailserver von rzone.de aufgrund von Spamhaus-SBL im Moment blockiert werden?

Ich hatte heute einige Kunden auf einem unserer Server und alle kamen von verschiedenen Gateways mit IPv6-Adressen aus der Domain rzone.de

Ich habe einen sehr hohen Spam-Score für Spamhaus konfiguriert, da muss nur der eine oder andere Wert noch hinzukommen, dann wird das blockiert.



Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT 
Dieselstr. 8 
48324 Sendenhorst 
Deutschland/Germany 
http://www.veka.com 

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), 
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, 
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand 

HRB 8282 AG Münster/District Court of Münster



From mailinglisten at pothe.de  Wed Apr  8 14:26:55 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Wed, 8 Apr 2020 14:26:55 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
Message-ID: <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>


Am 08.04.2020 um 10:47 schrieb Alex JOST:
>
> Vielleicht verschluckt sich das Add-on an den Tags in deinem
> DNS-Eintrag? Vor allem das Service-Tag (s=email:tlsrpt) ist recht
> ungewöhnlich.
>
Der war vorher fehlerhaft (hatte übersehen, dass die einzelnen
Service-Typen mit Doppelpunkt getrennt werden. Ich finde die RfC fast
immer unnötig kompliziert formuliert, da hatte ich das übersehen), daher
auch die merkwürdigen Fehlermeldungen in Thunderbird.

Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
unterstützen möchte. Und das möchte ich :) Und kaum macht man es
richtig, funktioniert es auch.

BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
hochscoren, manche sogar ablehnen).

Viele Grüße
Andreas



From sebastian at debianfan.de  Wed Apr  8 15:06:37 2020
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 8 Apr 2020 15:06:37 +0200
Subject: Mailserver von rzone.de
In-Reply-To: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
References: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
Message-ID: <fb2ea218-b206-c6af-e073-cb5f901b877b@debianfan.de>

Ist rzone nicht Strato ?

Am 08.04.2020 um 14:24 schrieb Frank Fiene:
> Hallo,
> 
> Habt ihr das auch , dass viele Mailserver von rzone.de aufgrund von Spamhaus-SBL im Moment blockiert werden?
> 
> Ich hatte heute einige Kunden auf einem unserer Server und alle kamen von verschiedenen Gateways mit IPv6-Adressen aus der Domain rzone.de
> 
> Ich habe einen sehr hohen Spam-Score für Spamhaus konfiguriert, da muss nur der eine oder andere Wert noch hinzukommen, dann wird das blockiert.
> 
> 
> 
> Viele Grüße!
> Frank
> 


From jost+lists at dimejo.at  Wed Apr  8 15:28:42 2020
From: jost+lists at dimejo.at (Alex JOST)
Date: Wed, 8 Apr 2020 15:28:42 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
 <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
Message-ID: <41f46ac7-e88f-846d-88ff-3117f6d4bbbc@dimejo.at>

Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
> 
> BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
> Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
> nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
> nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
> hochscoren, manche sogar ablehnen).

Das Problem entsteht vermutlich, weil die Mailingliste einen neuen 
Reply-To Header setzt. Mal sehen, ob es daran liegt.

-- 
Alex JOST


From ffiene at veka.com  Wed Apr  8 15:33:29 2020
From: ffiene at veka.com (Frank Fiene)
Date: Wed, 8 Apr 2020 15:33:29 +0200
Subject: Mailserver von rzone.de
In-Reply-To: <fb2ea218-b206-c6af-e073-cb5f901b877b@debianfan.de>
References: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
 <fb2ea218-b206-c6af-e073-cb5f901b877b@debianfan.de>
Message-ID: <39FDC1BF-C08F-4D83-A0CB-72AFD7C723C5@veka.com>

Ja, genau.

Bin mal gespannt, ob die postmaster-Adresse aus den RFCs bei denen funktioniert.


:-D

> Am 08.04.2020 um 15:06 schrieb sebastian at debianfan.de:
> 
> Ist rzone nicht Strato ?
> 
> Am 08.04.2020 um 14:24 schrieb Frank Fiene:
>> Hallo,
>> Habt ihr das auch , dass viele Mailserver von rzone.de aufgrund von Spamhaus-SBL im Moment blockiert werden?
>> Ich hatte heute einige Kunden auf einem unserer Server und alle kamen von verschiedenen Gateways mit IPv6-Adressen aus der Domain rzone.de
>> Ich habe einen sehr hohen Spam-Score für Spamhaus konfiguriert, da muss nur der eine oder andere Wert noch hinzukommen, dann wird das blockiert.
>> Viele Grüße!
>> Frank

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT 
Dieselstr. 8 
48324 Sendenhorst 
Deutschland/Germany 
http://www.veka.com 

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), 
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, 
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand 

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200408/d0594865/attachment.htm>

From postfixbuch at mnbo.de  Wed Apr  8 15:27:13 2020
From: postfixbuch at mnbo.de (Martin Bock)
Date: Wed, 8 Apr 2020 15:27:13 +0200
Subject: Mailserver von rzone.de
In-Reply-To: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
References: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
Message-ID: <6778c8db-d9e1-b87d-55db-ada135632619@mnbo.de>

Diesen Fall hatte ich heute auch schon mehrere Male, wobei zumindest
eine der Adressen, die ich manuell geprüft habe, mittlerweile nicht mehr
gelistet ist.
 
Auch bei uns sind die Spamhaus-Listen recht hoch gewertet...

Viele Grüße,
Martin

On 08.04.20 14:24, Frank Fiene wrote:
> Hallo,
>
> Habt ihr das auch , dass viele Mailserver von rzone.de aufgrund von Spamhaus-SBL im Moment blockiert werden?
>
> Ich hatte heute einige Kunden auf einem unserer Server und alle kamen von verschiedenen Gateways mit IPv6-Adressen aus der Domain rzone.de
>
> Ich habe einen sehr hohen Spam-Score für Spamhaus konfiguriert, da muss nur der eine oder andere Wert noch hinzukommen, dann wird das blockiert.
>
>
>
> Viele Grüße!
> Frank




From sebastian at debianfan.de  Wed Apr  8 15:39:00 2020
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 8 Apr 2020 15:39:00 +0200
Subject: Mailserver von rzone.de
In-Reply-To: <39FDC1BF-C08F-4D83-A0CB-72AFD7C723C5@veka.com>
References: <6FC774EF-5F3A-445C-9DE7-72E8002DD629@veka.com>
 <fb2ea218-b206-c6af-e073-cb5f901b877b@debianfan.de>
 <39FDC1BF-C08F-4D83-A0CB-72AFD7C723C5@veka.com>
Message-ID: <c893433e-655c-88ec-77fe-e64ba88c2ad6@debianfan.de>

Strato ist der letzte Drecksladen bzgl. solcher Themen - diese Dinge 
waren vor 20 Jahren der Grund warum ich mir einen dedizierten Server 
zugelegt habe und seitdem alles selbst mache...



Am 08.04.2020 um 15:33 schrieb Frank Fiene:
> Ja, genau.
> 
> Bin mal gespannt, ob die postmaster-Adresse aus den RFCs bei denen 
> funktioniert.
> 
> 
> :-D
> 
>> Am 08.04.2020 um 15:06 schrieb sebastian at debianfan.de 
>> <mailto:sebastian at debianfan.de>:
>>
>> Ist rzone nicht Strato ?
>>
>> Am 08.04.2020 um 14:24 schrieb Frank Fiene:
>>> Hallo,
>>> Habt ihr das auch , dass viele Mailserver von rzone.de 
>>> <http://rzone.de> aufgrund von Spamhaus-SBL im Moment blockiert werden?
>>> Ich hatte heute einige Kunden auf einem unserer Server und alle kamen 
>>> von verschiedenen Gateways mit IPv6-Adressen aus der Domain rzone.de 
>>> <http://rzone.de>
>>> Ich habe einen sehr hohen Spam-Score für Spamhaus konfiguriert, da 
>>> muss nur der eine oder andere Wert noch hinzukommen, dann wird das 
>>> blockiert.
>>> Viele Grüße!
>>> Frank
> 
> Viele Grüße!
> i.A. Frank Fiene
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AKTIENGESELLSCHAFT
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> http://www.veka.com
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. 
> Andreas W. Hillebrand
> 
> HRB 8282 AG Münster/District Court of Münster
> 


From mailinglisten at pothe.de  Wed Apr  8 16:34:38 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Wed, 8 Apr 2020 16:34:38 +0200
Subject: Fehlerhafte Signatur durch OpenDKIM?
In-Reply-To: <41f46ac7-e88f-846d-88ff-3117f6d4bbbc@dimejo.at>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
 <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
 <41f46ac7-e88f-846d-88ff-3117f6d4bbbc@dimejo.at>
Message-ID: <33bc8a4a-2d27-3535-21ac-4a61b9b94043@pothe.de>

Jetzt ist die DKIM-Prüfung erfolgreich gewesen. Also ja.

Am 08.04.2020 um 15:28 schrieb Alex JOST:
> Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
>>
>> BTW, Alex: Deine DKIM-Angaben setzen ganz schön viel voraus. Sodass die
>> Verteilung über die Mailingliste Deinen Eintrag ungültig macht. Je
>> nachdem, wie streng Mailserver prüfen, könnte es sein, dass Deine Mails
>> nicht alle erreichen (ziemlich viele Mailserver dürften dadurch
>> hochscoren, manche sogar ablehnen).
>
> Das Problem entsteht vermutlich, weil die Mailingliste einen neuen
> Reply-To Header setzt. Mal sehen, ob es daran liegt.
>


From andreas.schulze at datev.de  Wed Apr  8 19:50:05 2020
From: andreas.schulze at datev.de (A. Schulze)
Date: Wed, 8 Apr 2020 19:50:05 +0200
Subject: TLSRPT? (was Fehlerhafte Signatur durch OpenDKIM?)
In-Reply-To: <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
 <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
Message-ID: <f772bebb-43e4-8b75-4a67-f08efbfecdf2@datev.de>

Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
> Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
> wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
> unterstützen möchte. Und das möchte ich :) Und kaum macht man es
> richtig, funktioniert es auch.

Hallo,

interpretiere ich hier richtig, dass Du planst, Reports über eingehenden 
TLS-Verbindungen zu versenden?

(auch) Andreas



From mailinglisten at pothe.de  Thu Apr  9 06:43:03 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Thu, 9 Apr 2020 06:43:03 +0200
Subject: TLSRPT?
In-Reply-To: <f772bebb-43e4-8b75-4a67-f08efbfecdf2@datev.de>
References: <eb16d992-6657-91ca-f955-9288543ba595@pothe.de>
 <d1afe300-12a8-cec7-56d5-19523799fa8a@dimejo.at>
 <8151618c-0a99-362a-7986-286feda0bca3@pothe.de>
 <f772bebb-43e4-8b75-4a67-f08efbfecdf2@datev.de>
Message-ID: <bc5d8336-256a-1825-34e8-beb5f7234654@pothe.de>

Moin,

Am 08.04.2020 um 19:50 schrieb A. Schulze:
> Am 08.04.2020 um 14:26 schrieb Andreas Pothe:
>> Aber s=email:tlsrpt ist jetzt der korrekte und ganz normale Eintrag,
>> wenn das DKIM für E-Mails gilt und man darüberhinaus auch TLSRPT
>> unterstützen möchte. Und das möchte ich :) Und kaum macht man es
>> richtig, funktioniert es auch.
>
> interpretiere ich hier richtig, dass Du planst, Reports über
> eingehenden TLS-Verbindungen zu versenden?
>
Nein, ich will sie erhalten. Ob ich das dauerhaft in Betrieb lasse, weiß
ich noch nicht, aber momentan möchte ich Reportings haben.

CU
Andreas



From ffiene at veka.com  Wed Apr 15 08:33:38 2020
From: ffiene at veka.com (Frank Fiene)
Date: Wed, 15 Apr 2020 08:33:38 +0200
Subject: Wie kann ich eine Domain gegen RSPAMD_URIBL checken
Message-ID: <11E16229-E9B5-4CF0-BC9F-2179D5632B7B@veka.com>

Moin!

Gibt es da ein Webinterface oder muss ich DNS benutzen, um eine Domain gegen die URIBL von rspamd zu checken?
Da sind in letzter Zeit ein paar false positives, habe ich das Gefühl.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT 
Dieselstr. 8 
48324 Sendenhorst 
Deutschland/Germany 
http://www.veka.com 

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), 
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, 
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand 

HRB 8282 AG Münster/District Court of Münster



From andre.peters at debinux.de  Wed Apr 15 08:38:05 2020
From: andre.peters at debinux.de (=?utf-8?q?Andr=c3=a9=20Peters?=)
Date: Wed, 15 Apr 2020 06:38:05 +0000
Subject: Wie kann ich eine Domain gegen RSPAMD_URIBL checken
In-Reply-To: <11E16229-E9B5-4CF0-BC9F-2179D5632B7B@veka.com>
References: <11E16229-E9B5-4CF0-BC9F-2179D5632B7B@veka.com>
Message-ID: <em4b1ec9aa-228f-491a-be7f-614016ca23ab@desktop-bmdc2p0>

Hi,

checken mit rspamc, entfernen über https://bl.rspamd.com/

André

------ Originalnachricht ------
Von: "Frank Fiene" <ffiene at veka.com>
An: "Diskussionen und Support rund um Postfix" 
<postfixbuch-users at listen.jpberlin.de>
Gesendet: 15.04.2020 08:33:38
Betreff: Wie kann ich eine Domain gegen RSPAMD_URIBL checken

>Moin!
>
>Gibt es da ein Webinterface oder muss ich DNS benutzen, um eine Domain gegen die URIBL von rspamd zu checken?
>Da sind in letzter Zeit ein paar false positives, habe ich das Gefühl.
>
>
>Viele Grüße!
>Frank
>--
>Frank Fiene
>IT-Security Manager VEKA Group
>
>Fon: +49 2526 29-6200
>Fax: +49 2526 29-16-6200
>mailto: ffiene at veka.com
>http://www.veka.com
>
>PGP-ID: 62112A51
>PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>Threema: VZK5NDWW
>
>VEKA AKTIENGESELLSCHAFT
>Dieselstr. 8
>48324 Sendenhorst
>Deutschland/Germany
>http://www.veka.com
>
>Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
>Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand
>
>HRB 8282 AG Münster/District Court of Münster
>



From boris at cation.de  Fri Apr 17 11:10:49 2020
From: boris at cation.de (Boris)
Date: Fri, 17 Apr 2020 11:10:49 +0200
Subject: Proxy/Gateway/Relay
Message-ID: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>

Hallo Mailserverbetreibergemeinde,


an der Vielfalt der Suchergebnisse ersticke ich und will deshalb eine
Frage in dieses Forum werfen:

Unser kleiner Mailserver (für ein Dutzend Domains an einer festen IP)
bietet neben Mailempfang und -Versand auch imap und POP-Dienste an. Er
soll durch einen neu aufzusetzenden Server abgelöst werden.

Um die Migration zeitlich zu entzerren, ist die Idee, ein
Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
auf den alten oder auf den neuen Mailserver zu lenken.

Fragen dazu:
Ist diese Migrationsidee gut? Gibt es einen besseren Vorschlag?
Kennt jemand ein hübsches HowTo für den Bau eines solchen
Relays/Gateways/Proxys?

Dank vorab und Grüße,


Boris


From wn at neessen.net  Fri Apr 17 11:57:53 2020
From: wn at neessen.net (Winfried Neessen)
Date: Fri, 17 Apr 2020 11:57:53 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
Message-ID: <e9861582f52b4176ea1ba75112454b49@neessen.net>

Hi Boris,

Am 2020-04-17 11:10, schrieb Boris:

> Fragen dazu:
> Ist diese Migrationsidee gut? Gibt es einen besseren Vorschlag?
> Kennt jemand ein hübsches HowTo für den Bau eines solchen
> Relays/Gateways/Proxys?
> 
Ob das 'ne gute Idee ist, kann ich nicht beurteilen, aber HAproxy sollte 
dafuer ziemlich gut
geeignet sein.


Winni


From boris at cation.de  Sun Apr 19 22:48:50 2020
From: boris at cation.de (Boris)
Date: Sun, 19 Apr 2020 22:48:50 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <e9861582f52b4176ea1ba75112454b49@neessen.net>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e9861582f52b4176ea1ba75112454b49@neessen.net>
Message-ID: <0dc58a70-03f5-4f68-ab71-9f9369254018@cation.de>

Moin Winfried,
moin Liste,

Am 17.04.20 um 11:57 schrieb Winfried Neessen:
> Hi Boris,
> 
> Am 2020-04-17 11:10, schrieb Boris:
>> 
>> ein
>> Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
>> und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
>> auf den alten oder auf den neuen Mailserver zu lenken.
>>
>> Fragen dazu:
>> Ist diese Migrationsidee gut? Gibt es einen besseren Vorschlag?
>> Kennt jemand ein hübsches HowTo für den Bau eines solchen
>> Relays/Gateways/Proxys?
>>
> Ob das 'ne gute Idee ist, kann ich nicht beurteilen, aber HAproxy sollte
> dafuer ziemlich gut
> geeignet sein.

Ich habe inzwischen ein bisschen Lektüre zu haproxy verarbeitet und
glaube, dass haproxy das nicht kann. Für http(s) wird das gehen, aber

"Haproxy does not know about SMTP or IMAP, and therefor cannot make
load-balancing decision based on that."

Also bleibt die Frage offen. Hat jemand eine andere Idee, oder habe ich
eine schlechte Quelle gefunden und das geht doch??

Dank und Grüße,

Boris




From buettnerp at web.de  Mon Apr 20 00:40:12 2020
From: buettnerp at web.de (Peter Buettner)
Date: Mon, 20 Apr 2020 00:40:12 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
Message-ID: <34027090-ef57-36c3-f806-c8cc30d65497@web.de>

Hallo Boris,

bei AlsterCom machen wir das folgendermaßen:

Im Nameserver sind die Domänen getrennt eingetragen und zeigen alle auf
den selben Mailserver (MX-Record). Für jede Domäne kann getrennt und
somit zeitlich versetzt auf den neuen Server umgeschaltet werden.
Die Endanwender legen einen zweiten Account für den neuen Server an.
Klappt wider Erwarten etwas nicht über den neuen Server, kann wieder der
alte Account genutzt werden, bis alle "Kinderkrankheiten" behoben sind.
Dazu muß natürlich wieder auf den alten Server zurückgeschaltet werden.
Diese Prozedur wird vorher mit einer Testdomäne durchgeführt, um die
einwandfreie Funktion des neuen Servers im Vorfeld zu prüfen.
"Plan B" musste noch nie eingesetzt werden, aber es ist schön, eine
Rückversicherung zu haben.


Gruß Peter Büttner

Am 17.04.20 um 11:10 schrieb Boris:
> Hallo Mailserverbetreibergemeinde,
>
>
> an der Vielfalt der Suchergebnisse ersticke ich und will deshalb eine
> Frage in dieses Forum werfen:
>
> Unser kleiner Mailserver (für ein Dutzend Domains an einer festen IP)
> bietet neben Mailempfang und -Versand auch imap und POP-Dienste an. Er
> soll durch einen neu aufzusetzenden Server abgelöst werden.
>
> Um die Migration zeitlich zu entzerren, ist die Idee, ein
> Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
> und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
> auf den alten oder auf den neuen Mailserver zu lenken.
>
> Fragen dazu:
> Ist diese Migrationsidee gut? Gibt es einen besseren Vorschlag?
> Kennt jemand ein hübsches HowTo für den Bau eines solchen
> Relays/Gateways/Proxys?
>
> Dank vorab und Grüße,
>
>
> Boris
>


From thomas at ctrl-c.de  Mon Apr 20 11:15:33 2020
From: thomas at ctrl-c.de (=?UTF-8?Q?Thomas_B=c3=a4umer?=)
Date: Mon, 20 Apr 2020 11:15:33 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
Message-ID: <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>

> Um die Migration zeitlich zu entzerren, ist die Idee, ein
> Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
> und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
> auf den alten oder auf den neuen Mailserver zu lenken.


Hallo zusammen,

also Umzug pro Domain geht doch wunderbar per DNS, da braucht man keine 
weiteren Tools.
Ich mache das immer so, das ich vorab für Tests ein System auch ohne DNS 
direkt an den neuen Mailserver schicken lasse:


$ cat /etc/postfix/transport
domain.tld     smtp:[neuer.mailserverserver.tld]


$ head .muttrc
reset all
set folder=imaps://neuer.mailserverserver.tld/
set spoolfile=imaps://neuer.mailserverserver.tld/inbox
set imap_user="username"
set imap_pass="password"


Dann kannst du in Ruhe alles bauen und testen und dann irgendwann 
einfach im DNS umziehen.


Gruss
   Thomas


From ml at irmawi.de  Mon Apr 20 20:34:06 2020
From: ml at irmawi.de (Markus Winkler)
Date: Mon, 20 Apr 2020 20:34:06 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <0dc58a70-03f5-4f68-ab71-9f9369254018@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e9861582f52b4176ea1ba75112454b49@neessen.net>
 <0dc58a70-03f5-4f68-ab71-9f9369254018@cation.de>
Message-ID: <92fcdace-f1fb-1b41-50c2-ba66fd33fdab@irmawi.de>

Hi Boris,

On 19.04.20 22:48, Boris wrote:
> Ich habe inzwischen ein bisschen Lektüre zu haproxy verarbeitet und
> glaube, dass haproxy das nicht kann. Für http(s) wird das gehen, aber
> 
> "Haproxy does not know about SMTP or IMAP, and therefor cannot make
> load-balancing decision based on that."

die Aussage ist in dieser Kurform nicht ganz korrekt, denn HAProxy im 
TCP-Mode kann da schon ziemlich viel, auch bei SMTP/IMAP.

Das Hauptproblem in Deinem Setup ist, dass diese beiden Anforderungen 
_gleichzeitig_ zu erfüllen sind:

> für ein Dutzend Domains an einer festen IP
> PostFix und DoveCot _nach Domainen getrennt_

Und damit ist HAProxy m. E. praktisch aus dem Rennen.

Was neben der Anzahl der Domains vielleicht noch interessant zu wissen 
wäre: Über wieviele Mailboxen in Summe reden wir eigentlich?

Falls Du beim sukzessiven Umstellen der Domains bleiben möchtest/musst:

> Also bleibt die Frage offen. Hat jemand eine andere Idee, oder habe ich
> eine schlechte Quelle gefunden und das geht doch??

(1) IMAP/POP
Diesen Teil könntest Du evtl. mit Nginx erledigen. Kannst Dir ja mal diese 
beiden Wiki-Seiten anschauen:

https://www.nginx.com/resources/wiki/start/topics/examples/imapproxyexample/
https://www.nginx.com/resources/wiki/start/topics/examples/imapauthenticatewithapachephpscript/

Habe ich selber in der Form noch nicht gemacht, aber u. U. bringt Dich das 
ja ans Ziel?

(2) SMTP und SMTP-Auth
Kannst Du ja grundsätzlich auch in der Übergangsphase über den bisherigen 
Server abwickeln und die Mails der schon umgestellten Domains selektiv via 
Mailrouting (transport_maps) auf den neuen Server routen - das ist easy.


Wenn sich aber die Anzahl der Accounts in Grenzen hält, würde ich mir den 
Aufwand insbesondere mit (1) sparen:

- den neuen Server fertig einrichten
- initial und dann regelmäßig die Dovecot-Mailboxen vom alten auf den neuen 
Server synchronisieren (z. B. imapsync)
- irgendwann zu einem günstigen Zeitpunkt Postfix auf dem alten Server 
deaktivieren
- einen finalen Mailbox-Sync durchführen (abhängig von Gesamtgröße aller 
Mailboxen, sollte aber ziemlich schnell erledigt sein) und
- schließlich alle Portforwardings auf den neuen Server umbiegen


Viel Erfolg und Gruß
Markus


From boris at cation.de  Mon Apr 20 20:51:29 2020
From: boris at cation.de (Boris)
Date: Mon, 20 Apr 2020 20:51:29 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>
Message-ID: <b9c8afef-eeae-5816-c268-dd0e43048da8@cation.de>

Am 20.04.20 um 11:15 schrieb Thomas Bäumer:
>> Um die Migration zeitlich zu entzerren, ist die Idee, ein
>> Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
>> und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
>> auf den alten oder auf den neuen Mailserver zu lenken.
> 
> 
> Hallo zusammen,
> 
> also Umzug pro Domain geht doch wunderbar per DNS, da braucht man keine
> weiteren Tools.

Moin zusammen,


Danke Thomas, Peter und Winfried für Eure Ansätze.

Ich fürchte, ich habe meine Voraussetzungen nicht gut beschrieben. Ich
habe nur eine öffentlich IP. Auf die zeigen alle DNS-Einträge. Da kann
ich nichts verbiegen.

Was ich brauche ist a) eine Verzweigung eingehender Mails in
Abhängigkeit der Domain in der Zieladresse und b) eine Verzweigung
eingehender pop- und imap-Anfragen ebenfalls in Abhängigkeit der
Domains, die abgefragt werden sollen.

Würde wir über Apache-WebServer sprechen, wäre das ein ReverseProxy, den
ich ebenfalls mit Apache bauen würde.

Den Teil a) der Anfrage müsste ich mit Postfix hinbekommen, aber was
mache ich mit dem Teil b) ?

Beide Wege werden bestimmt in dem Fall tricky, wenn sie
ssl-verschlüsselt genutzt werden, weil die zu kontaktierende Domain
womöglich im codierten Teil der Anfrage stehen!?

Dank und Grüße,


Boris


From cr at ncxs.de  Mon Apr 20 20:55:39 2020
From: cr at ncxs.de (Carsten Rosenberg)
Date: Mon, 20 Apr 2020 20:55:39 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <b9c8afef-eeae-5816-c268-dd0e43048da8@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>
 <b9c8afef-eeae-5816-c268-dd0e43048da8@cation.de>
Message-ID: <7e8bdf4d-caab-4ace-ecd1-a117cd66daa1@ncxs.de>

Hey,

schau dir mal den Dovecot Director an. Der tut glaube ich genau was du
suchst.

Der Postfix würde hier an der Front bleiben, der Director dann die
Verteilung von a und b übernehmen und gern auch das Submission.

https://wiki2.dovecot.org/Director

Viele Grüße

Carsten

Am 20.04.20 um 20:51 schrieb Boris:
> Am 20.04.20 um 11:15 schrieb Thomas Bäumer:
>>> Um die Migration zeitlich zu entzerren, ist die Idee, ein
>>> Relay/Gateway/Proxy "davor" zu bauen, welches es möglich macht, den ein-
>>> und ausgehenden Verkehr von PostFix und DoveCot _nach Domainen getrennt_
>>> auf den alten oder auf den neuen Mailserver zu lenken.
>>
>>
>> Hallo zusammen,
>>
>> also Umzug pro Domain geht doch wunderbar per DNS, da braucht man keine
>> weiteren Tools.
> 
> Moin zusammen,
> 
> 
> Danke Thomas, Peter und Winfried für Eure Ansätze.
> 
> Ich fürchte, ich habe meine Voraussetzungen nicht gut beschrieben. Ich
> habe nur eine öffentlich IP. Auf die zeigen alle DNS-Einträge. Da kann
> ich nichts verbiegen.
> 
> Was ich brauche ist a) eine Verzweigung eingehender Mails in
> Abhängigkeit der Domain in der Zieladresse und b) eine Verzweigung
> eingehender pop- und imap-Anfragen ebenfalls in Abhängigkeit der
> Domains, die abgefragt werden sollen.
> 
> Würde wir über Apache-WebServer sprechen, wäre das ein ReverseProxy, den
> ich ebenfalls mit Apache bauen würde.
> 
> Den Teil a) der Anfrage müsste ich mit Postfix hinbekommen, aber was
> mache ich mit dem Teil b) ?
> 
> Beide Wege werden bestimmt in dem Fall tricky, wenn sie
> ssl-verschlüsselt genutzt werden, weil die zu kontaktierende Domain
> womöglich im codierten Teil der Anfrage stehen!?
> 
> Dank und Grüße,
> 
> 
> Boris
> 


From boris at cation.de  Mon Apr 20 21:11:05 2020
From: boris at cation.de (Boris)
Date: Mon, 20 Apr 2020 21:11:05 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <92fcdace-f1fb-1b41-50c2-ba66fd33fdab@irmawi.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e9861582f52b4176ea1ba75112454b49@neessen.net>
 <0dc58a70-03f5-4f68-ab71-9f9369254018@cation.de>
 <92fcdace-f1fb-1b41-50c2-ba66fd33fdab@irmawi.de>
Message-ID: <1b2b2354-be4c-daad-92ee-bf3073947e39@cation.de>

Moin Markus,


danke für Deine Gedanken!

Am 20.04.20 um 20:34 schrieb Markus Winkler:
> Hi Boris,
> 
> On 19.04.20 22:48, Boris wrote:
>> Ich habe inzwischen ein bisschen Lektüre zu haproxy verarbeitet und
>> glaube, dass haproxy das nicht kann. Für http(s) wird das gehen, aber
>>
>> "Haproxy does not know about SMTP or IMAP, and therefor cannot make
>> load-balancing decision based on that."
> 
> die Aussage ist in dieser Kurform nicht ganz korrekt, denn HAProxy im
> TCP-Mode kann da schon ziemlich viel, auch bei SMTP/IMAP.
> 
> Das Hauptproblem in Deinem Setup ist, dass diese beiden Anforderungen
> _gleichzeitig_ zu erfüllen sind:
> 
>> für ein Dutzend Domains an einer festen IP
>> PostFix und DoveCot _nach Domainen getrennt_
> 
> Und damit ist HAProxy m. E. praktisch aus dem Rennen.

Ja, das denke ich auch.

> 
> Was neben der Anzahl der Domains vielleicht noch interessant zu wissen
> wäre: Über wieviele Mailboxen in Summe reden wir eigentlich?

Tja, das macht die Sache in der Tat etwas fragwürdig. Wie reden über
einen Raspberry mit einem knappen Dutzend Domains und insgesamt knapp
100 Boxen. Ausschließlich private Nutzung und Freundschaftsdienst.....

> 
> Falls Du beim sukzessiven Umstellen der Domains bleiben möchtest/musst:

Ja, aus mehreren Gründen:
1. Um es 'richtig' zumachen und etwas daraus zu lernen,
2. Um die Sache derart zeitlich zu entzerren, dass man die Migration
über ein paar Tage strecken kann, damit man das in der wenigen freien
Zeit erledigen kann, ohne in irgendwelche Zwänge zu geraten.

> 
>> Also bleibt die Frage offen. Hat jemand eine andere Idee, oder habe ich
>> eine schlechte Quelle gefunden und das geht doch??
> 
> (1) IMAP/POP
> Diesen Teil könntest Du evtl. mit Nginx erledigen. Kannst Dir ja mal
> diese beiden Wiki-Seiten anschauen:
> 
> https://www.nginx.com/resources/wiki/start/topics/examples/imapproxyexample/
> 
> https://www.nginx.com/resources/wiki/start/topics/examples/imapauthenticatewithapachephpscript/
> 
> 
> Habe ich selber in der Form noch nicht gemacht, aber u. U. bringt Dich
> das ja ans Ziel?

Das ist wirklich interessant. Da werde ich mal lesen.....

> 
> (2) SMTP und SMTP-Auth
> Kannst Du ja grundsätzlich auch in der Übergangsphase über den
> bisherigen Server abwickeln und die Mails der schon umgestellten Domains
> selektiv via Mailrouting (transport_maps) auf den neuen Server routen -
> das ist easy.

Ja. Davor habe ich am wenigsten Angst.

> 
> 
> Wenn sich aber die Anzahl der Accounts in Grenzen hält, würde ich mir
> den Aufwand insbesondere mit (1) sparen:
> 
> - den neuen Server fertig einrichten
> - initial und dann regelmäßig die Dovecot-Mailboxen vom alten auf den
> neuen Server synchronisieren (z. B. imapsync)

Das ist eine tolle Idee!

> - irgendwann zu einem günstigen Zeitpunkt Postfix auf dem alten Server
> deaktivieren
> - einen finalen Mailbox-Sync durchführen (abhängig von Gesamtgröße aller
> Mailboxen, sollte aber ziemlich schnell erledigt sein) und
> - schließlich alle Portforwardings auf den neuen Server umbiegen

Da ist viel Schönes dabei, Danke!!

Viele Grüße,


Boris


From postfixbuch at cboltz.de  Mon Apr 20 22:01:43 2020
From: postfixbuch at cboltz.de (Christian Boltz)
Date: Mon, 20 Apr 2020 22:01:43 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <1b2b2354-be4c-daad-92ee-bf3073947e39@cation.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <92fcdace-f1fb-1b41-50c2-ba66fd33fdab@irmawi.de>
 <1b2b2354-be4c-daad-92ee-bf3073947e39@cation.de>
Message-ID: <36920999.V5kHU0tW9f@tux.boltz.de.vu>

Hallo Boris, hallo Markus, hallo zusammen,

Am Montag, 20. April 2020, 21:11:05 CEST schrieb Boris:
> Am 20.04.20 um 20:34 schrieb Markus Winkler:

> > Was neben der Anzahl der Domains vielleicht noch interessant zu
> > wissen wäre: Über wieviele Mailboxen in Summe reden wir eigentlich?
> Tja, das macht die Sache in der Tat etwas fragwürdig. Wie reden über
> einen Raspberry mit einem knappen Dutzend Domains und insgesamt knapp
> 100 Boxen. Ausschließlich private Nutzung und Freundschaftsdienst.....
> > Falls Du beim sukzessiven Umstellen der Domains bleiben möchtest/
musst:
> Ja, aus mehreren Gründen:
> 1. Um es 'richtig' zumachen und etwas daraus zu lernen,
> 2. Um die Sache derart zeitlich zu entzerren, dass man die Migration
> über ein paar Tage strecken kann, damit man das in der wenigen freien
> Zeit erledigen kann, ohne in irgendwelche Zwänge zu geraten.

Du kannst natürlich beliebig viel Technik auf dieses Problem werfen, 
aber Du kannst auch mit Kanonen auf Spatzen schießen ;-)

Da Du nur eine einzige IP hast - wie wäre es, den "neuen" dovecot (und 
evtl. auch das "neue" postfix) erstmal auf anderen Ports lauschen zu 
lassen?

Du könntest dann eine der Domains umziehen und (Nachteil dieser Lösung) 
im Mailprogramm den Port umkonfigurieren. Idealerweise betrifft das dann 
Dich ;-) und eine Handvoll weiterer Test-User.

Wenn alles funktioniert, ziehst Du den Rest auf einen Schlag um:
- Postfächer mit rsync auf den neuen Server übertragen (erstmal im
  laufenden Betrieb)
- Postfix und Dovecot auf beiden Seiten stoppen
- Postfächer nochmal rsync'en
- die Standardports zum neuen Server umbiegen
- Postfix und Dovecot auf dem neuen Server wieder starten
- Postfix auf dem alten Server umkonfigurieren, damit ggf. noch 
  eingehende Mails auf dem neuen Server landen, und wieder starten
- (Dovecot auf dem alten Server nicht mehr starten)

Auf diese Art (zuerst eine "Testdomain", dann den Rest auf einen Schlag) 
habe ich schon mehrfach Mailserver umgezogen - einziger Unterschied ist, 
dass ich eine neue IP hatte und deshalb nicht auf andere Ports 
ausweichen musste. Entsprechend habe ich dann am Schluss DNS-Einträge 
statt Portnummern geändert. Dieser Unterschied (Port vs. IP) ist aber 
eher vernachlässigbar ;-)

Nebenbei: Etwas im Stil von "Jeden Tag eine Domain umziehen" würde ich 
als ABM betrachten - lass das lieber bleiben ;-)


Gruß

Christian Boltz
-- 
So... Hm... ich bin etwas aufgeschmissen.
How to troubleshoot without trouble?
[Ratti in fontlinge-devel]





From boris at cation.de  Tue Apr 21 22:03:14 2020
From: boris at cation.de (Boris)
Date: Tue, 21 Apr 2020 22:03:14 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <36920999.V5kHU0tW9f@tux.boltz.de.vu>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <92fcdace-f1fb-1b41-50c2-ba66fd33fdab@irmawi.de>
 <1b2b2354-be4c-daad-92ee-bf3073947e39@cation.de>
 <36920999.V5kHU0tW9f@tux.boltz.de.vu>
Message-ID: <177172d8-31d5-096b-5ef9-b232ca385872@cation.de>

Moin Christian,

vielen Dank auch für Deinen Vorschlag!

Am 20.04.20 um 22:01 schrieb Christian Boltz:
> Hallo Boris, hallo Markus, hallo zusammen,
> 
> Am Montag, 20. April 2020, 21:11:05 CEST schrieb Boris:
>> Am 20.04.20 um 20:34 schrieb Markus Winkler:
> 
>>> Was neben der Anzahl der Domains vielleicht noch interessant zu
>>> wissen wäre: Über wieviele Mailboxen in Summe reden wir eigentlich?
>> Tja, das macht die Sache in der Tat etwas fragwürdig. Wie reden über
>> einen Raspberry mit einem knappen Dutzend Domains und insgesamt knapp
>> 100 Boxen. Ausschließlich private Nutzung und Freundschaftsdienst.....
>>> Falls Du beim sukzessiven Umstellen der Domains bleiben möchtest/
> musst:
>> Ja, aus mehreren Gründen:
>> 1. Um es 'richtig' zumachen und etwas daraus zu lernen,
>> 2. Um die Sache derart zeitlich zu entzerren, dass man die Migration
>> über ein paar Tage strecken kann, damit man das in der wenigen freien
>> Zeit erledigen kann, ohne in irgendwelche Zwänge zu geraten.
> 
> Du kannst natürlich beliebig viel Technik auf dieses Problem werfen, 
> aber Du kannst auch mit Kanonen auf Spatzen schießen ;-)
> 
> Da Du nur eine einzige IP hast - wie wäre es, den "neuen" dovecot (und 
> evtl. auch das "neue" postfix) erstmal auf anderen Ports lauschen zu 
> lassen?
> 
> Du könntest dann eine der Domains umziehen und (Nachteil dieser Lösung) 
> im Mailprogramm den Port umkonfigurieren. Idealerweise betrifft das dann 
> Dich ;-) und eine Handvoll weiterer Test-User.
> 
> Wenn alles funktioniert, ziehst Du den Rest auf einen Schlag um:
> - Postfächer mit rsync auf den neuen Server übertragen (erstmal im
>   laufenden Betrieb)
> - Postfix und Dovecot auf beiden Seiten stoppen
> - Postfächer nochmal rsync'en
> - die Standardports zum neuen Server umbiegen
> - Postfix und Dovecot auf dem neuen Server wieder starten
> - Postfix auf dem alten Server umkonfigurieren, damit ggf. noch 
>   eingehende Mails auf dem neuen Server landen, und wieder starten
> - (Dovecot auf dem alten Server nicht mehr starten)
> 
> Auf diese Art (zuerst eine "Testdomain", dann den Rest auf einen Schlag) 
> habe ich schon mehrfach Mailserver umgezogen - einziger Unterschied ist, 
> dass ich eine neue IP hatte und deshalb nicht auf andere Ports 
> ausweichen musste. Entsprechend habe ich dann am Schluss DNS-Einträge 
> statt Portnummern geändert. Dieser Unterschied (Port vs. IP) ist aber 
> eher vernachlässigbar ;-)

Ja, eine Interimslösung mit 'schmutzigen Routingtricks' hatten wir auch
schon auf dem Schmierzettel. Wir (ich betreue das Projekt nicht allein)
haben uns dagegen entschieden, weil wir es für die Nutzer seamless
gestalten wollen und mit dieser Strategie dann trotzdem doch eine
Hau-Ruck-Aktion verbunden ist, die wir unbedingt vermeiden wollen.

Trotzdem vielen Dank für den Vorschlag!

Grüße,


Boris


From boris at cation.de  Tue Apr 21 22:36:32 2020
From: boris at cation.de (Boris)
Date: Tue, 21 Apr 2020 22:36:32 +0200
Subject: Proxy/Gateway/Relay
In-Reply-To: <7e8bdf4d-caab-4ace-ecd1-a117cd66daa1@ncxs.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>
 <b9c8afef-eeae-5816-c268-dd0e43048da8@cation.de>
 <7e8bdf4d-caab-4ace-ecd1-a117cd66daa1@ncxs.de>
Message-ID: <360b414a-c1a5-3acb-f806-cbf56e8117d9@cation.de>

Hej Carsten,

Am 20.04.20 um 20:55 schrieb Carsten Rosenberg:
> Hey,
> 
> schau dir mal den Dovecot Director an. Der tut glaube ich genau was du
> suchst.
> 
> Der Postfix würde hier an der Front bleiben, der Director dann die
> Verteilung von a und b übernehmen und gern auch das Submission.
> 
> https://wiki2.dovecot.org/Director

Wow, ja.....
Ich hab's nur diegonal angelesen, aber das scheint genau das zu sein,
was ich suche - Vielen Dank!!

Beste Grüße,

Boris

PS: Ich schreibe mal [closed] in den Topic, weil ich glaube, mit diesem
Werkzeug durch die Migration zu kommen.



From boris at cation.de  Tue Apr 21 22:39:23 2020
From: boris at cation.de (Boris)
Date: Tue, 21 Apr 2020 22:39:23 +0200
Subject: [closed] Re: Proxy/Gateway/Relay
In-Reply-To: <7e8bdf4d-caab-4ace-ecd1-a117cd66daa1@ncxs.de>
References: <3696ef33-c60c-5ceb-d964-9d16f8e89ea3@cation.de>
 <e43f30df-99d7-a6ac-9488-55b1355c62d3@ctrl-c.de>
 <b9c8afef-eeae-5816-c268-dd0e43048da8@cation.de>
 <7e8bdf4d-caab-4ace-ecd1-a117cd66daa1@ncxs.de>
Message-ID: <5e0d3afe-f690-f580-a7be-8d56f5f5c71f@cation.de>

Hej Carsten,

Am 20.04.20 um 20:55 schrieb Carsten Rosenberg:
> Hey,
> 
> schau dir mal den Dovecot Director an. Der tut glaube ich genau was du
> suchst.
> 
> Der Postfix würde hier an der Front bleiben, der Director dann die
> Verteilung von a und b übernehmen und gern auch das Submission.
> 
> https://wiki2.dovecot.org/Director

Wow, ja.....
Ich hab's nur diegonal angelesen, aber das scheint genau das zu sein,
was ich suche - Vielen Dank!!

Beste Grüße,

Boris

PS: Ich schreibe mal [closed] in den Topic, weil ich glaube, mit diesem
Werkzeug durch die Migration zu kommen.
Danke nochmal an Alle!!


From melchior.reimers at mivitec.com  Fri Apr 24 14:21:58 2020
From: melchior.reimers at mivitec.com (Melchior Reimers - MIVITEC GmbH)
Date: Fri, 24 Apr 2020 12:21:58 +0000
Subject: Mailrelay Limitierung ausgehender Mailverkehr nach Einlieferndem
 Server
Message-ID: <0a3fa59c4b6c4161b8b5a58d0eabfc93@mivitec.com>

Hallo,

wir betreiben ein Mailrelay welches E-Mails von mehreren Servern annimmt und diese dann über das Internet zustellt.
Das Mailrelay nimmt von unterschiedlichen Servern die Mails entgegen. Dabei sind die Server in der $mynetworks hinterlegt.

Nun möchten wir, dass für einige der (an das Mailrelay sendenden) Server der Mailversand verzögert wird auf X Mails in Y Zeit.

Was ist die sauberste Implementierung?
Die Restriktionen auf dem Urpsrungsserver oder auf dem Mailrelay?
Ich hatte geplant, dass ganze auf dem Relay zu implementieren. Einfach der Übersichtlichkeit wegen.

Es scheint dafür mehrere Lösungsansätze zu geben, welcher Erfahrung habt ihr mit welcher Lösung gemacht?

Grüße

Melchior Reimers


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/9e5692e1/attachment.htm>

From Ralf.Hildebrandt at charite.de  Fri Apr 24 15:16:33 2020
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 24 Apr 2020 15:16:33 +0200
Subject: [ext] Mailrelay Limitierung ausgehender Mailverkehr nach
 Einlieferndem Server
In-Reply-To: <0a3fa59c4b6c4161b8b5a58d0eabfc93@mivitec.com>
References: <0a3fa59c4b6c4161b8b5a58d0eabfc93@mivitec.com>
Message-ID: <20200424131633.727y6lsfz7yymmar@charite.de>

* Melchior Reimers - MIVITEC GmbH <melchior.reimers at mivitec.com>:
> Hallo,
> 
> wir betreiben ein Mailrelay welches E-Mails von mehreren Servern annimmt und diese dann über das Internet zustellt.
> Das Mailrelay nimmt von unterschiedlichen Servern die Mails entgegen. Dabei sind die Server in der $mynetworks hinterlegt.
> 
> Nun möchten wir, dass für einige der (an das Mailrelay sendenden) Server der Mailversand verzögert wird auf X Mails in Y Zeit.
> 
> Was ist die sauberste Implementierung?
> Die Restriktionen auf dem Urpsrungsserver oder auf dem Mailrelay?

Auf dem Relay. Den anderen kann man ja nicht trauen (oder?)

> Ich hatte geplant, dass ganze auf dem Relay zu implementieren. Einfach der Übersichtlichkeit wegen.

Genau, eine Stelle.

> Es scheint dafür mehrere Lösungsansätze zu geben, welcher Erfahrung habt ihr mit welcher Lösung gemacht?
man kann mit anvil arbeiten (Postfix Bordmittel) oder postfwd. postfwd
ist flexibler.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From sebastian at debianfan.de  Fri Apr 24 15:49:13 2020
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Fri, 24 Apr 2020 15:49:13 +0200
Subject: [ext] Mailrelay Limitierung ausgehender Mailverkehr nach
 Einlieferndem Server
In-Reply-To: <20200424131633.727y6lsfz7yymmar@charite.de>
References: <0a3fa59c4b6c4161b8b5a58d0eabfc93@mivitec.com>
 <20200424131633.727y6lsfz7yymmar@charite.de>
Message-ID: <0C4C5536-076A-4D19-B4B8-DA356A3944B2@debianfan.de>

Anvil kann auf IP Ebene eingeschränkt werden?

Wie denn?



Am 24. April 2020 15:16:33 MESZ schrieb Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
>* Melchior Reimers - MIVITEC GmbH <melchior.reimers at mivitec.com>:
>> Hallo,
>> 
>> wir betreiben ein Mailrelay welches E-Mails von mehreren Servern
>annimmt und diese dann über das Internet zustellt.
>> Das Mailrelay nimmt von unterschiedlichen Servern die Mails entgegen.
>Dabei sind die Server in der $mynetworks hinterlegt.
>> 
>> Nun möchten wir, dass für einige der (an das Mailrelay sendenden)
>Server der Mailversand verzögert wird auf X Mails in Y Zeit.
>> 
>> Was ist die sauberste Implementierung?
>> Die Restriktionen auf dem Urpsrungsserver oder auf dem Mailrelay?
>
>Auf dem Relay. Den anderen kann man ja nicht trauen (oder?)
>
>> Ich hatte geplant, dass ganze auf dem Relay zu implementieren.
>Einfach der Übersichtlichkeit wegen.
>
>Genau, eine Stelle.
>
>> Es scheint dafür mehrere Lösungsansätze zu geben, welcher Erfahrung
>habt ihr mit welcher Lösung gemacht?
>man kann mit anvil arbeiten (Postfix Bordmittel) oder postfwd. postfwd
>ist flexibler.
>
>-- 
>Ralf Hildebrandt
>  Geschäftsbereich IT | Abteilung Netzwerk
>  Charité - Universitätsmedizin Berlin
>  Campus Benjamin Franklin
>  Hindenburgdamm 30 | D-12203 Berlin
>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>  ralf.hildebrandt at charite.de | https://www.charite.de
>	    

-- 
Diese Nachricht wurde von meinem Android-Gerät mit K-9 Mail gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/c20111c7/attachment.htm>

From ffiene at veka.com  Fri Apr 24 15:57:24 2020
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 24 Apr 2020 15:57:24 +0200
Subject: =?utf-8?Q?L=C3=BCcke_in_mail=2Eapp_unter_iOS_und_iPadOS?=
Message-ID: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>

Hat schon jemand eine einfache Möglichkeit gefunden, um diese gefährlichen Mails gar nicht erst auf die Mailserver kommen zu lassen?

Z.B. einfach RTF blockieren?

https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/d1e3e65e/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/d1e3e65e/attachment.asc>

From Ralf.Hildebrandt at charite.de  Fri Apr 24 16:01:53 2020
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 24 Apr 2020 16:01:53 +0200
Subject: [ext] Mailrelay Limitierung ausgehender Mailverkehr nach
 Einlieferndem Server
In-Reply-To: <0C4C5536-076A-4D19-B4B8-DA356A3944B2@debianfan.de>
References: <0a3fa59c4b6c4161b8b5a58d0eabfc93@mivitec.com>
 <20200424131633.727y6lsfz7yymmar@charite.de>
 <0C4C5536-076A-4D19-B4B8-DA356A3944B2@debianfan.de>
Message-ID: <20200424140153.6tipawlbp5a3hge6@charite.de>

* sebastian at debianfan.de <sebastian at debianfan.de>:

> Anvil kann auf IP Ebene eingeschränkt werden?
> 
> Wie denn?

smtpd_client_connection_rate_limit (default: 0)
smtpd_client_message_rate_limit (default: 0)
smtpd_client_event_limit_exceptions (default: $mynetworks)

Dmit kann man eine "el-cheapo" Lösung basteln wo ALLE (bis auf
smtpd_client_event_limit_exceptions) nur z.B. 30 Mails in 60s
einkippen können.


Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From Ralf.Hildebrandt at charite.de  Fri Apr 24 16:08:25 2020
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 24 Apr 2020 16:08:25 +0200
Subject: [ext] =?utf-8?B?TMO8Y2tl?= in mail.app unter iOS und iPadOS
In-Reply-To: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>
References: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>
Message-ID: <20200424140825.rl4zpr5fk325ft5q@charite.de>

* Frank Fiene <ffiene at veka.com>:
> Hat schon jemand eine einfache Möglichkeit gefunden, um diese gefährlichen Mails gar nicht erst auf die Mailserver kommen zu lassen?
> 
> Z.B. einfach RTF blockieren?
> 
> https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

Na, da stehen doch die Strings drin!
"Indicators of Compromise"

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/8e521472/attachment.asc>

From ffiene at veka.com  Fri Apr 24 16:20:53 2020
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 24 Apr 2020 16:20:53 +0200
Subject: =?utf-8?Q?Re=3A_=5Bext=5D_L=C3=BCcke_in_mail=2Eapp_unter_iOS_und_?=
 =?utf-8?Q?iPadOS?=
In-Reply-To: <20200424140825.rl4zpr5fk325ft5q@charite.de>
References: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>
 <20200424140825.rl4zpr5fk325ft5q@charite.de>
Message-ID: <73C2761C-F613-4F72-943E-5963F1E6D5E5@veka.com>

Ja, aber sind das nur Beispiele?

Und ist das AND Teil des Strings "AAAAATEy AND EA\r\nAABI? oder ein UND?

Das macht man am besten in rspamd, oder doch in body-checks in Postfix?




> Am 24.04.2020 um 16:08 schrieb Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
> 
> * Frank Fiene <ffiene at veka.com>:
>> Hat schon jemand eine einfache Möglichkeit gefunden, um diese gefährlichen Mails gar nicht erst auf die Mailserver kommen zu lassen?
>> 
>> Z.B. einfach RTF blockieren?
>> 
>> https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/
> 
> Na, da stehen doch die Strings drin!
> "Indicators of Compromise"
> 
> --
> Ralf Hildebrandt
>  Geschäftsbereich IT | Abteilung Netzwerk
>  Charité - Universitätsmedizin Berlin
>  Campus Benjamin Franklin
>  Hindenburgdamm 30 | D-12203 Berlin
>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>  ralf.hildebrandt at charite.de | https://www.charite.de
> 

Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/540873b4/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/540873b4/attachment.asc>

From ffiene at veka.com  Fri Apr 24 18:45:17 2020
From: ffiene at veka.com (Frank Fiene)
Date: Fri, 24 Apr 2020 18:45:17 +0200
Subject: =?utf-8?Q?Re=3A_=5Bext=5D_L=C3=BCcke_in_mail=2Eapp_unter_iOS_und_?=
 =?utf-8?Q?iPadOS?=
In-Reply-To: <73C2761C-F613-4F72-943E-5963F1E6D5E5@veka.com>
References: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>
 <20200424140825.rl4zpr5fk325ft5q@charite.de>
 <73C2761C-F613-4F72-943E-5963F1E6D5E5@veka.com>
Message-ID: <829F81E3-1FB9-46F8-9FA4-8C24C697F861@veka.com>

Ich habe es mal mit einer Multimap inklusive Force Action versucht.

Wenn ich type = ?content? und filter = ?body? nehme, sollte der RAW-Content nach den bekannten Strings durchsucht werden, oder?

Also ohne in EA\r\nAABI die \ als Steuerzeichen zu interpretieren, richtig?



Viele Grüße! Frank


> Am 24.04.2020 um 16:20 schrieb Frank Fiene <ffiene at veka.com>:
> 
> Ja, aber sind das nur Beispiele?
> 
> Und ist das AND Teil des Strings "AAAAATEy AND EA\r\nAABI? oder ein UND?
> 
> Das macht man am besten in rspamd, oder doch in body-checks in Postfix?
> 
> 
> 
> 
>> Am 24.04.2020 um 16:08 schrieb Ralf Hildebrandt <Ralf.Hildebrandt at charite.de <mailto:Ralf.Hildebrandt at charite.de>>:
>> 
>> * Frank Fiene <ffiene at veka.com <mailto:ffiene at veka.com>>:
>>> Hat schon jemand eine einfache Möglichkeit gefunden, um diese gefährlichen Mails gar nicht erst auf die Mailserver kommen zu lassen?
>>> 
>>> Z.B. einfach RTF blockieren?
>>> 
>>> https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ <https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/>
>> 
>> Na, da stehen doch die Strings drin!
>> "Indicators of Compromise"
>> 
>> --
>> Ralf Hildebrandt
>>  Geschäftsbereich IT | Abteilung Netzwerk
>>  Charité - Universitätsmedizin Berlin
>>  Campus Benjamin Franklin
>>  Hindenburgdamm 30 | D-12203 Berlin
>>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>>  ralf.hildebrandt at charite.de <mailto:ralf.hildebrandt at charite.de> | https://www.charite.de <https://www.charite.de/>
>> 
> 
> Viele Grüße!
> i.A. Frank Fiene
> --
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com <http://www.veka.com/>
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AKTIENGESELLSCHAFT
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> http://www.veka.com
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand
> 
> HRB 8282 AG Münster/District Court of Münster
> 

Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/3163d593/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/3163d593/attachment.asc>

From Ralf.Hildebrandt at charite.de  Fri Apr 24 16:36:24 2020
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 24 Apr 2020 16:36:24 +0200
Subject: [ext] =?utf-8?B?TMO8Y2tl?= in mail.app unter iOS und iPadOS
In-Reply-To: <73C2761C-F613-4F72-943E-5963F1E6D5E5@veka.com>
References: <E4F96AC8-6037-47C4-BBC5-1C812D387259@veka.com>
 <20200424140825.rl4zpr5fk325ft5q@charite.de>
 <73C2761C-F613-4F72-943E-5963F1E6D5E5@veka.com>
Message-ID: <20200424143624.lx4vs7pysh5vasg4@charite.de>

* Frank Fiene <ffiene at veka.com>:

> Ja, aber sind das nur Beispiele?

RTF wäre ja noch gröber! (mime_header_checks mit /\.rtf/ HOLD )

> Und ist das AND Teil des Strings "AAAAATEy AND EA\r\nAABI? oder ein UND?

Eiegntlich müsstest Du Dir da eine YARA Rule für clamd bauen.

> Das macht man am besten in rspamd, oder doch in body-checks in Postfix?

body_checks können ja kein und, da müsstest Du sowas machen wie:
/AAAAATEy.*EA\r\nAABI/ HOLD
/EA\r\nAABI.*AAAAATEy/ HOLD

Aber ja, es sind nur examples.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200424/2e5bece5/attachment.asc>

From daniel at mail24.vip  Sat Apr 25 04:29:40 2020
From: daniel at mail24.vip (Daniel)
Date: Sat, 25 Apr 2020 04:29:40 +0200
Subject: =?utf-8?Q?Re:_[ext]_L=C3=BCcke_in_mail.app_unter_iOS_und_iPadOS?=
In-Reply-To: <20200424143624.lx4vs7pysh5vasg4@charite.de>
References: <20200424143624.lx4vs7pysh5vasg4@charite.de>
Message-ID: <1DE2AA3B-C21F-45F1-816B-021C555A13D7@mail24.vip>

Eine direkte Gefahr besteht wohl nicht, so wie es bei teils dargestellt wird.

https://www.borncity.com/blog/2020/04/25/apple-bestreitet-richtigkeit-des-0-day-mail-bug-berichts/

Gruß Daniel
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200425/d3a5f1c6/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2333 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200425/d3a5f1c6/attachment.p7s>

From gjn at gjn.priv.at  Sat Apr 25 21:55:29 2020
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Sat, 25 Apr 2020 21:55:29 +0200
Subject: t-online.de Frage
Message-ID: <4065368.uUR3d0HTYm@techz>

Hallo,

kann mir jemand von Euch helfen zu erfahren warum t-online.de mir ein 554 
sendet?

Ich habe bei einer Freundin von mir diese Fehlermeldung gefunden und kann mir 
keinen Reim darauf machen was da wirklich passiert?
Apr 25 21:36:39 mx01 postfix/qmgr[27054]: D290E40F16A1: from=<gjn at example.at>, 
size=890, nrcpt=1 (queue active)
Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: host mx02.t-
online.de[194.25.134.9] refused to talk to me: 554 IP=217.196.154.218 - A 
problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
online.de to clarify.) (BL)
Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: host mx03.t-
online.de[194.25.134.73] refused to talk to me: 554 IP=217.196.154.218 - A 
problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
online.de to clarify.) (BL)
Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: host mx00.t-
online.de[194.25.134.8] refused to talk to me: 554 IP=217.196.154.218 - A 
problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
online.de to clarify.) (BL)
Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: to=<sea-deutschland at t-
online.de>, relay=mx01.t-online.de[194.25.134.72]:25, delay=8938, 
delays=8937/0.06/0.25/0, dsn=4.0.0, status=deferred (host mx01.t-
online.de[194.25.134.72] refused to talk to me: 554 IP=217.196.154.218 - A 
problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
online.de to clarify.) (BL))
Apr 25 21:37:13 mx01 clamd[2220]: SelfCheck: Database status OK.

Ich habe auch schon tosa at rx.t-online.de angeschrieben die Antworten aber nur 
ich soll eine Anbieterkennzeichnung auf der www Seite hinterlegen?

Braucht man eine Webseite damit man Emails bei t-online.de einliefern kann? 
jedenfalls google macht keine Schwierigkeiten bei Mails da kommt alles an?

-- 
mit freundlichen Grüßen / best regards

  Günther J. Niederwimmer




From list+postfixbuch at gcore.biz  Sat Apr 25 23:07:01 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Sat, 25 Apr 2020 23:07:01 +0200
Subject: t-online.de Frage
In-Reply-To: <4065368.uUR3d0HTYm@techz>
References: <4065368.uUR3d0HTYm@techz>
Message-ID: <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz>

Hallo,

> kann mir jemand von Euch helfen zu erfahren warum t-online.de mir ein 554 
> sendet?
> 
> Ich habe bei einer Freundin von mir diese Fehlermeldung gefunden und kann mir 
> keinen Reim darauf machen was da wirklich passiert?
> Apr 25 21:36:39 mx01 postfix/qmgr[27054]: D290E40F16A1: from=<gjn at example.at>, 
> size=890, nrcpt=1 (queue active)
> Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: host mx02.t-
> online.de[194.25.134.9] refused to talk to me: 554 IP=217.196.154.218 - A 
> problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
> online.de to clarify.) (BL)

das passiert z.B. wenn ein Spammer das SMTP-Passwort errät und über den
Server fleissig Spam an t-online schickt. (BL) heißt vermutlich blacklist.
Scheinbar kommt man von der Liste auch nach Wochen Wartezeit nicht
automatisch runter. Nach einer Mail an die angegebene Adresse, in der
Vorfall und Gegenmaßnahmen erklärt waren, wurde die IP problemlos
innerhalb eines Tages wieder freigeschalten.

Zwischenzeitlich kann man die Mails über eine andere IP rausschicken,
sofern verfügbar. Bei mir war nur diese eine IP gesperrt, die nächste
im Subnetz wurde akzeptiert.

Mit der Anbieterkennzeichnung meinen die vermutlich eine Webseite auf
der sie im Impressum erkennen können, dass Mailserver/IPs etwas mit
Dir zu tun haben.

Forward/Reverse DNS ist ok, mxtoolbox meldet aber dass der SMTP-Banner
nicht damit übereinstimmt.

Viele Grüße
Gerald

From joerg at backschues.de  Sun Apr 26 00:01:18 2020
From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=)
Date: Sun, 26 Apr 2020 00:01:18 +0200
Subject: t-online.de Frage
In-Reply-To: <4065368.uUR3d0HTYm@techz>
References: <4065368.uUR3d0HTYm@techz>
Message-ID: <92ef5cc8-db5a-92ad-2c27-6f0b9de00d71@backschues.de>

Am 25.04.20 um 21:55 schrieb Günther J. Niederwimmer:

> 
> Ich habe auch schon tosa at rx.t-online.de angeschrieben die Antworten aber nur
> ich soll eine Anbieterkennzeichnung auf der www Seite hinterlegen?
> 
> Braucht man eine Webseite damit man Emails bei t-online.de einliefern kann?

Was hat ein E-Mail Service mit einer Web-Seite zu tun, liebes T-Online 
Postmaster Team?

Nur weil T-Online über einen einfachen Whois den Ansprechpartner einer 
Domain nicht mehr so einfach ausfindig machen kann, kann es doch nicht 
sein, dass man zwingend eine Web-Seite mit der Anbieterkennzeichnung 
erstellen muss.

-- 
Gruß
Jörg Backschues


From gjn at gjn.priv.at  Sun Apr 26 02:54:18 2020
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Sun, 26 Apr 2020 02:54:18 +0200
Subject: t-online.de Frage
In-Reply-To: <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz>
References: <4065368.uUR3d0HTYm@techz>
 <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz>
Message-ID: <1624652.z9eA8aDhJO@techz>

Hallo,

Am Samstag, 25. April 2020, 23:07:01 CEST schrieb Gerald Galster:
> Hallo,
> 
> > kann mir jemand von Euch helfen zu erfahren warum t-online.de mir ein 554
> > sendet?
> > 
> > Ich habe bei einer Freundin von mir diese Fehlermeldung gefunden und kann
> > mir keinen Reim darauf machen was da wirklich passiert?
> > Apr 25 21:36:39 mx01 postfix/qmgr[27054]: D290E40F16A1:
> > from=<gjn at example.at>, size=890, nrcpt=1 (queue active)
> > Apr 25 21:36:39 mx01 postfix/smtp[3977]: D290E40F16A1: host mx02.t-
> > online.de[194.25.134.9] refused to talk to me: 554 IP=217.196.154.218 - A
> > problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-
> > online.de to clarify.) (BL)
> 
> das passiert z.B. wenn ein Spammer das SMTP-Passwort errät und über den
> Server fleissig Spam an t-online schickt. (BL) heißt vermutlich blacklist.
> Scheinbar kommt man von der Liste auch nach Wochen Wartezeit nicht
> automatisch runter. Nach einer Mail an die angegebene Adresse, in der
> Vorfall und Gegenmaßnahmen erklärt waren, wurde die IP problemlos
> innerhalb eines Tages wieder freigeschalten.

Ich habe das ganze mit DNSSEC usw abgesichert und extra eine kleine Webseite 
eingerichtet Tante G... hat keine Probleme mit diesem Server
 
> Zwischenzeitlich kann man die Mails über eine andere IP rausschicken,
> sofern verfügbar. Bei mir war nur diese eine IP gesperrt, die nächste
> im Subnetz wurde akzeptiert.

scheint auch nicht zu funktionieren (?). Ich glaube schön langsam es hat etwas 
mit der EMail Adresse zu tun? Die Frage ist jetzt, wem kann ich mit einer"*@ 
t-online.de" eine Mail senden, ich kenne leider keinen mit solch einer 
Adresse.
 
> Mit der Anbieterkennzeichnung meinen die vermutlich eine Webseite auf
> der sie im Impressum erkennen können, dass Mailserver/IPs etwas mit
> Dir zu tun haben.
> 
> Forward/Reverse DNS ist ok, mxtoolbox meldet aber dass der SMTP-Banner
> nicht damit übereinstimmt.

Wo findest Du diese Meldung, habe auch auf mxtoolbox nachgesehen, aber alles 
im grünen Bereich ?
 
> Viele Grüße
> Gerald


-- 
mit freundlichen Grüßen / best regards

  Günther J. Niederwimmer




From mailinglisten at pothe.de  Sun Apr 26 09:26:29 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Sun, 26 Apr 2020 09:26:29 +0200
Subject: t-online.de Frage
In-Reply-To: <1624652.z9eA8aDhJO@techz>
References: <4065368.uUR3d0HTYm@techz>
 <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz> <1624652.z9eA8aDhJO@techz>
Message-ID: <5f46e70e-bf44-6f63-3133-b5aed20b6e6d@pothe.de>


Am 26.04.2020 um 02:54 schrieb Günther J. Niederwimmer:
> scheint auch nicht zu funktionieren (?). Ich glaube schön langsam es
> hat etwas
> mit der EMail Adresse zu tun? Die Frage ist jetzt, wem kann ich mit einer"*@ 
> t-online.de" eine Mail senden, ich kenne leider keinen mit solch einer 
> Adresse.
>  

Das muss nicht mal etwas mit Deinem Server selbst zu tun haben, es kann
auch sein, dass deine IP aus einem gesperrten Bereich kommt, weil dieser
in der Vergangenheit verseucht war. Mich traf es z. B. mit einem Virtual
Server bei Hetzner, der eine IP aus einem ehemals Ukrainischen
IP-Adress-Bereich hatte.

Kurze Mail an die angegebene T-Online-Adresse und die IP wurde freigegeben.

VG
Andreas


From list+postfixbuch at gcore.biz  Sun Apr 26 10:29:40 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Sun, 26 Apr 2020 10:29:40 +0200
Subject: t-online.de Frage
In-Reply-To: <1624652.z9eA8aDhJO@techz>
References: <4065368.uUR3d0HTYm@techz>
 <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz> <1624652.z9eA8aDhJO@techz>
Message-ID: <F147DCE5-BA00-47ED-AF5C-BDC1C8771DBC@gcore.biz>


>> Zwischenzeitlich kann man die Mails über eine andere IP rausschicken,
>> sofern verfügbar. Bei mir war nur diese eine IP gesperrt, die nächste
>> im Subnetz wurde akzeptiert.
> 
> scheint auch nicht zu funktionieren (?). Ich glaube schön langsam es hat etwas

Dann kann es sein, dass die IP Beifang einer größeren Sperrung war.

Ich schlage vor dass die Person, die im Whois für das IP-Netz eingetragen ist
eine mail an tosa@ schickt, ersatzweise deren Provider falls keine Webseite
mit Firmennamen/Impressum existiert.

> mit der EMail Adresse zu tun? Die Frage ist jetzt, wem kann ich mit einer"*@ 
> t-online.de" eine Mail senden, ich kenne leider keinen mit solch einer 
> Adresse.
> 
>> Mit der Anbieterkennzeichnung meinen die vermutlich eine Webseite auf
>> der sie im Impressum erkennen können, dass Mailserver/IPs etwas mit
>> Dir zu tun haben.
>> 
>> Forward/Reverse DNS ist ok, mxtoolbox meldet aber dass der SMTP-Banner
>> nicht damit übereinstimmt.
> 
> Wo findest Du diese Meldung, habe auch auf mxtoolbox nachgesehen, aber alles 
> im grünen Bereich ?


Die Meldung kam als ich die IP unter Diagnostics eingegeben hab.
Gestern Abend hat der Test auch ziemlich lange gedauert, vielleicht weil
postscreen die 220 Meldung verzögert. Heute war der Test flott und es
wurde kein mismatch mehr angezeigt. Vermutlich hat mxtoolbox wegen des
timeouts so reagiert.

Viele Grüße
Gerald

From ml at irmawi.de  Sun Apr 26 10:49:55 2020
From: ml at irmawi.de (Markus Winkler)
Date: Sun, 26 Apr 2020 10:49:55 +0200
Subject: t-online.de Frage
In-Reply-To: <5f46e70e-bf44-6f63-3133-b5aed20b6e6d@pothe.de>
References: <4065368.uUR3d0HTYm@techz>
 <EAA6DFF8-425A-43E8-B69F-5D66E2CFBDD5@gcore.biz> <1624652.z9eA8aDhJO@techz>
 <5f46e70e-bf44-6f63-3133-b5aed20b6e6d@pothe.de>
Message-ID: <c6b0aed6-21e2-e08a-c3fc-648b08540c05@irmawi.de>

On 26.04.20 09:26, Andreas Pothe wrote:
> auch sein, dass deine IP aus einem gesperrten Bereich kommt, weil dieser
> in der Vergangenheit verseucht war. Mich traf es z. B. mit einem Virtual
> Server bei Hetzner, der eine IP aus einem ehemals Ukrainischen
> IP-Adress-Bereich hatte.
> 
> Kurze Mail an die angegebene T-Online-Adresse und die IP wurde freigegeben.

Yep, kann ich bestätigen. Habe ich u. a. bei Hetzner aus genau dem Grund 
ebenfalls mehrfach erlebt. Und ja: Nach Mail an tosa at rx.t-online.de hat 
T-Online ziemlich schnell die betroffene IP-Adresse freigeschaltet.

Gruß
Markus


From gjn at gjn.priv.at  Sun Apr 26 11:44:14 2020
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Sun, 26 Apr 2020 11:44:14 +0200
Subject: t-online.de Frage
In-Reply-To: <F147DCE5-BA00-47ED-AF5C-BDC1C8771DBC@gcore.biz>
References: <4065368.uUR3d0HTYm@techz> <1624652.z9eA8aDhJO@techz>
 <F147DCE5-BA00-47ED-AF5C-BDC1C8771DBC@gcore.biz>
Message-ID: <2359697.eO49xnmshP@techz>

Hallo,

Am Sonntag, 26. April 2020, 10:29:40 CEST schrieb Gerald Galster:
> >> Zwischenzeitlich kann man die Mails über eine andere IP rausschicken,
> >> sofern verfügbar. Bei mir war nur diese eine IP gesperrt, die nächste
> >> im Subnetz wurde akzeptiert.
> > 
> > scheint auch nicht zu funktionieren (?). Ich glaube schön langsam es hat
> > etwas
> Dann kann es sein, dass die IP Beifang einer größeren Sperrung war.
> 
> Ich schlage vor dass die Person, die im Whois für das IP-Netz eingetragen
> ist eine mail an tosa@ schickt, ersatzweise deren Provider falls keine
> Webseite mit Firmennamen/Impressum existiert.

Was ich in der zwischen Zeit annehme, die sperren ALLE "privaten" Mailserver. 
Erst wenn eine Website und eine Mail an t-online.de rausgegangen ist wird es 
geöffnet ?

//
Wir werden veranlassen, dass die Reputation dieser IP-Adresse bei
unserem System resettet wird. Bitte berücksichtigen Sie, dass es bis zu
24 Stunden dauern kann, bis die Änderung wirksam wird, erfahrungsgemäß
dürfte es allerdings in ein bis zwei Stunden erledigt sein.
//

Ich habe jetzt die Zusage der Server kommt von der BL runter ??
Ich wollte jetzt die Mail über meinen Server senden, Resultat jetzt ist mein 
Server BL, ich habe auch keine Webseite mit Impressum auf diese Domain.

Nur mir ist es egal ob ich an t-online eine Mail senden kann. ;-)

  
> > mit der EMail Adresse zu tun? Die Frage ist jetzt, wem kann ich mit
> > einer"*@ t-online.de" eine Mail senden, ich kenne leider keinen mit solch
> > einer Adresse.
> > 
> >> Mit der Anbieterkennzeichnung meinen die vermutlich eine Webseite auf
> >> der sie im Impressum erkennen können, dass Mailserver/IPs etwas mit
> >> Dir zu tun haben.
> >> 
> >> Forward/Reverse DNS ist ok, mxtoolbox meldet aber dass der SMTP-Banner
> >> nicht damit übereinstimmt.
> > 
> > Wo findest Du diese Meldung, habe auch auf mxtoolbox nachgesehen, aber
> > alles im grünen Bereich ?
> 
> Die Meldung kam als ich die IP unter Diagnostics eingegeben hab.
> Gestern Abend hat der Test auch ziemlich lange gedauert, vielleicht weil
> postscreen die 220 Meldung verzögert. Heute war der Test flott und es
> wurde kein mismatch mehr angezeigt. Vermutlich hat mxtoolbox wegen des
> timeouts so reagiert.
> 
> Viele Grüße
> Gerald


-- 
mit freundlichen Grüßen / best regards

  Günther J. Niederwimmer




From bjo at schafweide.org  Sun Apr 26 12:29:23 2020
From: bjo at schafweide.org (Bjoern Franke)
Date: Sun, 26 Apr 2020 12:29:23 +0200
Subject: t-online.de Frage
In-Reply-To: <2359697.eO49xnmshP@techz>
References: <4065368.uUR3d0HTYm@techz> <1624652.z9eA8aDhJO@techz>
 <F147DCE5-BA00-47ED-AF5C-BDC1C8771DBC@gcore.biz> <2359697.eO49xnmshP@techz>
Message-ID: <b85c619a-f55d-0061-e000-c5309fcb37e3@schafweide.org>

Moin,

> 
> Was ich in der zwischen Zeit annehme, die sperren ALLE "privaten" Mailserver.
> Erst wenn eine Website und eine Mail an t-online.de rausgegangen ist wird es
> geöffnet ?

Definitiv nicht. Ich nutze seit Jahren eine VM von ultravps.eu / 
AS29141, weniger Probleme als mit Hetzner Cloud VMs gehabt. Eine andere 
VM dort (mit anderer Domain) war dann mal auf der BL, wurde innerhalb 
von Stunden runtergenommen.
Und was wäre das für ein Aufwand, rauszufiltern, welche Mailserver 
"privat" sind?

> //
> Wir werden veranlassen, dass die Reputation dieser IP-Adresse bei
> unserem System resettet wird. Bitte berücksichtigen Sie, dass es bis zu
> 24 Stunden dauern kann, bis die Änderung wirksam wird, erfahrungsgemäß
> dürfte es allerdings in ein bis zwei Stunden erledigt sein.
> //
> 
> Ich habe jetzt die Zusage der Server kommt von der BL runter ??

Ja.

Grüße
Björn



From a.meyer at bitclusive.de  Sun Apr 26 13:29:16 2020
From: a.meyer at bitclusive.de (Andreas Meyer)
Date: Sun, 26 Apr 2020 13:29:16 +0200
Subject: t-online.de Frage
In-Reply-To: <b85c619a-f55d-0061-e000-c5309fcb37e3@schafweide.org>
References: <4065368.uUR3d0HTYm@techz> <1624652.z9eA8aDhJO@techz>
 <F147DCE5-BA00-47ED-AF5C-BDC1C8771DBC@gcore.biz>
 <2359697.eO49xnmshP@techz>
 <b85c619a-f55d-0061-e000-c5309fcb37e3@schafweide.org>
Message-ID: <20200426132916.4ee41a4f@bitclusive.de>

Bjoern Franke <bjo at schafweide.org> schrieb am 26.04.20 um 12:29:23 Uhr:

> > Was ich in der zwischen Zeit annehme, die sperren ALLE "privaten" Mailserver.
> > Erst wenn eine Website und eine Mail an t-online.de rausgegangen ist wird es
> > geöffnet ?  
> 
> Definitiv nicht. Ich nutze seit Jahren eine VM von ultravps.eu / 

Kann ich so nicht bestätigen. Ich konnte mit einer neu registrierten Domain
an t-online keine Email verschicken. Erst als ich an tosa at rx.t-online.de
geschrieben hatte, wurde die neue Domain freigeschaltet.

Die haben in ihren Routern ja auch eine "Liste der sicheren E-Mail-Server"
und präferieren so nur bestimmte Mailserver als sicher und diskreditieren
damit alle anderen.

  Andreas

> AS29141, weniger Probleme als mit Hetzner Cloud VMs gehabt. Eine andere 
> VM dort (mit anderer Domain) war dann mal auf der BL, wurde innerhalb 
> von Stunden runtergenommen.
> Und was wäre das für ein Aufwand, rauszufiltern, welche Mailserver 
> "privat" sind?
> 
> > //
> > Wir werden veranlassen, dass die Reputation dieser IP-Adresse bei
> > unserem System resettet wird. Bitte berücksichtigen Sie, dass es bis zu
> > 24 Stunden dauern kann, bis die Änderung wirksam wird, erfahrungsgemäß
> > dürfte es allerdings in ein bis zwei Stunden erledigt sein.
> > //
> > 
> > Ich habe jetzt die Zusage der Server kommt von der BL runter ??  
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 228 bytes
Beschreibung: Digitale Signatur von OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200426/29d5059d/attachment.sig>

From robert at redcor.ch  Tue Apr 28 15:42:23 2020
From: robert at redcor.ch (robert)
Date: Tue, 28 Apr 2020 15:42:23 +0200
Subject: nach einrichten from greylisting: einige emails brauchen SEEHR lange
 um anzukommen
Message-ID: <0e0cffb6-ee6b-1359-fd3e-4a6003383263@redcor.ch>

Hallo,

ich habe vor einiger Zeit Greylisting eingerichtet.

Seither ist die Menge von Spam-Mail wesentlich reduziert.

Hingegen ist es so, dass gewisse Mails über 2h brauchen, um anzukommen.

Dies ist mir speziell aufgefallen bei einem Partner, der Outlook braucht.


kann mir jemand einen Typ geben, wo ich schauen/schrauben könnte um dieses 
Verhalten zu korrigieren?


danke

Robert



From infoomatic at gmx.at  Tue Apr 28 15:52:55 2020
From: infoomatic at gmx.at (infoomatic)
Date: Tue, 28 Apr 2020 15:52:55 +0200
Subject: nach einrichten from greylisting: einige emails brauchen SEEHR
 lange um anzukommen
In-Reply-To: <0e0cffb6-ee6b-1359-fd3e-4a6003383263@redcor.ch>
References: <0e0cffb6-ee6b-1359-fd3e-4a6003383263@redcor.ch>
Message-ID: <61d09de2-7b43-39bb-ab38-0b47f04f0f0a@gmx.at>

Hi,

Ja, das ist normal. Die Zeit bis ein erneuter Zustellversuch vom Sender
unternommen wird liegt nicht in deiner Hand, das hängt davon ab wie der
versendende Mailserver konfiguriert wurde. Erschwert wird die Situation,
wenn die Mail dann wie zB bei Outlook an deren nächsten Server in der
Queue weitergereicht wird - der kommt nämlich wieder nicht übers
Greylisting hinaus.

Ich kann dir nur Postfix + Postscreen empfehlen und dazu das Tool
https://github.com/stevejenkins/postwhite

LG,

Robert


On 28.04.20 15:42, robert wrote:
> Hallo,
>
> ich habe vor einiger Zeit Greylisting eingerichtet.
>
> Seither ist die Menge von Spam-Mail wesentlich reduziert.
>
> Hingegen ist es so, dass gewisse Mails über 2h brauchen, um anzukommen.
>
> Dies ist mir speziell aufgefallen bei einem Partner, der Outlook braucht.
>
>
> kann mir jemand einen Typ geben, wo ich schauen/schrauben könnte um
> dieses Verhalten zu korrigieren?
>
>
> danke
>
> Robert
>


From mailinglisten at pothe.de  Thu Apr 30 08:52:52 2020
From: mailinglisten at pothe.de (Andreas Pothe)
Date: Thu, 30 Apr 2020 08:52:52 +0200
Subject: Postfix nutzt falsche IP-Adresse
Message-ID: <4f9ade30-6adb-d9c8-7382-017112297083@pothe.de>

Moin,

mir ist aufgefallen, dass Postfix eine falsche IP-Adresse nutzt, wenn
der Versand über IPv6 erfolgt.

In der master.cf habe ich dazu folgende Definition stehen:

smtp      unix  -       -       n       -       -       smtp
  -o smtp_bind_address=88.99.82.84
  -o smtp_bind_address6=2a01:4f8:1c17:4737::25:1
  -o smtp_helo_name=mail.pothe.com

Eigentlich sollte damit der Versand auf 2a01:4f8:1c17:4737::25:1
festgelegt sein, tatsächlich werden die ausgehenden Verbindungen aber
über 2a01:4f8:1c17:4737::53:1 aufgebaut. Warum, wo liegt der Fehler? Die
::53:1 ist im übrigen an keiner Stelle der Config erwähnt.

TIA!

Viele Grüße, bleibt gesund
Andreas



From Peer-Joachim.Koch at hki-jena.de  Thu Apr 30 08:49:50 2020
From: Peer-Joachim.Koch at hki-jena.de (Peer-Joachim Koch)
Date: Thu, 30 Apr 2020 08:49:50 +0200
Subject: Frage zum Absender umschreiben
Message-ID: <5EAA912E020000E90004EEAE@weida.hki-jena.de>

Hllo,

ich habe hier folgendes Problem. Das Institut verwendet 
zwei unterschiedliche Domains für die email Adressen.
Real gibt es nur hki-jena.de (kommt so aus dem Verzeichnisdienst)
und dann leibniz-hki.de.
Das ganze wird auf dem Mailgate umgeschrieben.
Ich wollte jetzt Request Tracker als neues Heldesk einführen und 
musste feststellen, dass unter bestimmten Umständen 
Mails mit leibniz-hki dort ankommen und da unbekannt abgelehnt werden.

Frage: wo kann/muss ich die mails umschreiben, also so dass das heldesk IMMER
nur hki-jena zugestllt bekommt ?
Geht es lokal auf dem System ? Die Queues sind in /etc/aliases definiert - 
kann man davor mit postfix noch eingreifen ?

Ciao 
      Peer

 ____________________________________

Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V.
Hans-Knöll-Institut (HKI)
Dr. Peer-Joachim Koch
 
Beutenbergstraße 11a
07745 Jena   
Tel.: +49 3641 5321029
Fax.: +49 3641 5322029
e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de 


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/26e31f66/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : PJKoch-hki.vcf
Dateityp    : text/x-vcard
Dateigröße  : 667 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/26e31f66/attachment.vcf>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 6018 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/26e31f66/attachment.bin>

From a.meyer at bitclusive.de  Thu Apr 30 10:23:15 2020
From: a.meyer at bitclusive.de (Andreas Meyer)
Date: Thu, 30 Apr 2020 10:23:15 +0200
Subject: Frage zu SPAM-score
Message-ID: <20200430102315.44560f0b@bitclusive.de>

Hallo!

Ich habe heute an eine Mailingliste geschrieben und die email wurde als
SPAM aussortiert.

Den höchsten score hat dabei
5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To: domain

Content analysis details:   (7.0 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-0.0 RCVD_IN_DNSWL_NONE     RBL: Sender listed at https://www.dnswl.org/, no
                            trust
                            [217.70.191.162 listed in list.dnswl.org]
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                            [score: 0.0000]
-0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
-0.0 SPF_PASS               SPF: sender matches SPF record
 5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To:
                            domain
 2.0 FROM_NOT_REPLYTO       From: does not match Reply-To:
 3.0 FROM_IS_TO             From: and To: is the same
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
                            domain
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
-1.0 MAILING_LIST_MULTI     Multiple indicators imply a widely-seen list
                            manager

Kann mir jemand sagen, warum das so ist? Bei anderen ML habe ich dieses Problem nicht.

Grüße

  Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 228 bytes
Beschreibung: Digitale Signatur von OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/595abacd/attachment.sig>

From klaus at tachtler.net  Thu Apr 30 18:01:09 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Thu, 30 Apr 2020 18:01:09 +0200
Subject: Frage zum Absender umschreiben
In-Reply-To: <5EAA912E020000E90004EEAE@weida.hki-jena.de>
Message-ID: <20200430180109.Horde.HS5gkyEvF00qSqzC_ezGqDt@buero.tachtler.net>

Hallo Peer,

schau mal hier, das habe ich mal für mich in meinem DokuWiki notiert,  
evtl. ist es das, was Du suchst?

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#canonical_maps

Oder siehe auch hier:

http://www.postfix.org/postconf.5.html#canonical_maps
http://www.postfix.org/canonical.5.html


Grüße
Klaus.


> Hllo,
>
> ich habe hier folgendes Problem. Das Institut verwendet
> zwei unterschiedliche Domains für die email Adressen.
> Real gibt es nur hki-jena.de (kommt so aus dem Verzeichnisdienst)
> und dann leibniz-hki.de.
> Das ganze wird auf dem Mailgate umgeschrieben.
> Ich wollte jetzt Request Tracker als neues Heldesk einführen und
> musste feststellen, dass unter bestimmten Umständen
> Mails mit leibniz-hki dort ankommen und da unbekannt abgelehnt werden.
>
> Frage: wo kann/muss ich die mails umschreiben, also so dass das heldesk IMMER
> nur hki-jena zugestllt bekommt ?
> Geht es lokal auf dem System ? Die Queues sind in /etc/aliases definiert -
> kann man davor mit postfix noch eingreifen ?
>
> Ciao
>       Peer
>
>  ____________________________________
>
> Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V.
> Hans-Knöll-Institut (HKI)
> Dr. Peer-Joachim Koch
>
> Beutenbergstraße 11a
> 07745 Jena
> Tel.: +49 3641 5321029
> Fax.: +49 3641 5322029
> e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de


----- Ende der Nachricht von Peer-Joachim Koch  
<Peer-Joachim.Koch at hki-jena.de> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/29509bd1/attachment.skr>

From klaus at tachtler.net  Thu Apr 30 18:02:34 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Thu, 30 Apr 2020 18:02:34 +0200
Subject: Postfix nutzt falsche IP-Adresse
In-Reply-To: <4f9ade30-6adb-d9c8-7382-017112297083@pothe.de>
Message-ID: <20200430180234.Horde.l8C8b0GK5n3boG16jSFLd1d@buero.tachtler.net>

Hallo Andreas,

was sagt den der Befehl --> [ ip ro ] auf dem Server, auf dem Dein  
Postfix läuft?


Grüße
Klaus.

> Moin,
>
> mir ist aufgefallen, dass Postfix eine falsche IP-Adresse nutzt, wenn
> der Versand über IPv6 erfolgt.
>
> In der master.cf habe ich dazu folgende Definition stehen:
>
> smtp&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; unix&nbsp;  
> -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  
> -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  
> n&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  
> -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  
> -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; smtp
> &nbsp; -o smtp_bind_address=88.99.82.84
> &nbsp; -o smtp_bind_address6=2a01:4f8:1c17:4737::25:1
> &nbsp; -o smtp_helo_name=mail.pothe.com
>
> Eigentlich sollte damit der Versand auf 2a01:4f8:1c17:4737::25:1
> festgelegt sein, tatsächlich werden die ausgehenden Verbindungen aber
> über 2a01:4f8:1c17:4737::53:1 aufgebaut. Warum, wo liegt der Fehler? Die
> ::53:1 ist im übrigen an keiner Stelle der Config erwähnt.
>
> TIA!
>
> Viele Grüße, bleibt gesund
> Andreas


----- Ende der Nachricht von Andreas Pothe <mailinglisten at pothe.de> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/0dacbba1/attachment.skr>

From klaus at tachtler.net  Thu Apr 30 18:08:12 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Thu, 30 Apr 2020 18:08:12 +0200
Subject: Frage zu SPAM-score
In-Reply-To: <20200430102315.44560f0b@bitclusive.de>
Message-ID: <20200430180812.Horde.19tNiHjAusbtVx7bXoBjfhS@buero.tachtler.net>

Hallo Andreas,

das sind Deine Punkte. Ich würde vermuten, das die Mailingliste ein  
Problem hat.

  5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To:
                             domain
  2.0 FROM_NOT_REPLYTO       From: does not match Reply-To:
  3.0 FROM_IS_TO             From: and To: is the same

Vor allem From is To läst auf ein Problem beim Bouncen der  
Listen-Nachrichten schließen?


Grüße
Klaus.



> Hallo!
>
> Ich habe heute an eine Mailingliste geschrieben und die email wurde als
> SPAM aussortiert.
>
> Den höchsten score hat dabei
> 5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To: domain
>
> Content analysis details:   (7.0 points, 5.0 required)
>
>  pts rule name              description
> ---- ----------------------  
> --------------------------------------------------
> -0.0 RCVD_IN_DNSWL_NONE     RBL: Sender listed at https://www.dnswl.org/, no
>                             trust
>                             [217.70.191.162 listed in list.dnswl.org]
> -1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
>                             [score: 0.0000]
> -0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
> -0.0 SPF_PASS               SPF: sender matches SPF record
>  5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To:
>                             domain
>  2.0 FROM_NOT_REPLYTO       From: does not match Reply-To:
>  3.0 FROM_IS_TO             From: and To: is the same
> -0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature  
> from author's
>                             domain
>  0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not  
> necessarily valid
> -0.1 DKIM_VALID             Message has at least one valid DKIM or  
> DK signature
> -1.0 MAILING_LIST_MULTI     Multiple indicators imply a widely-seen list
>                             manager
>
> Kann mir jemand sagen, warum das so ist? Bei anderen ML habe ich  
> dieses Problem nicht.
>
> Grüße
>
>   Andreas


----- Ende der Nachricht von Andreas Meyer <a.meyer at bitclusive.de> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/fa2339f8/attachment.skr>

From daniel at mail24.vip  Thu Apr 30 21:25:34 2020
From: daniel at mail24.vip (Daniel)
Date: Thu, 30 Apr 2020 21:25:34 +0200
Subject: Frage zu SPAM-score
In-Reply-To: <20200430180812.Horde.19tNiHjAusbtVx7bXoBjfhS@buero.tachtler.net>
References: <20200430180812.Horde.19tNiHjAusbtVx7bXoBjfhS@buero.tachtler.net>
Message-ID: <C1554AD2-0A44-43E5-BE53-0F08FB819847@mail24.vip>

Wie schon in anderen 2-3 Antworten geschrieben liegt es an DKIM Signatur, es wird der Reply to ungeschrieben, und wenn es zur Prüfung einbezogen wird ist Signatur ungültig und damit Spam.

Hatte einige auch angeschrieben, manche reagieren nicht, andere interessiert es nicht, andere haben es angepasst zum prüfen, und dann lief es.

Gruß Daniel

> Am 30.04.2020 um 18:10 schrieb Klaus Tachtler <klaus at tachtler.net>:
> 
> ?Hallo Andreas,
> 
> das sind Deine Punkte. Ich würde vermuten, das die Mailingliste ein Problem hat.
> 
> 5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To:
>                            domain
> 2.0 FROM_NOT_REPLYTO       From: does not match Reply-To:
> 3.0 FROM_IS_TO             From: and To: is the same
> 
> Vor allem From is To läst auf ein Problem beim Bouncen der Listen-Nachrichten schließen?
> 
> 
> Grüße
> Klaus.
> 
> 
> 
>> Hallo!
>> 
>> Ich habe heute an eine Mailingliste geschrieben und die email wurde als
>> SPAM aussortiert.
>> 
>> Den höchsten score hat dabei
>> 5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To: domain
>> 
>> Content analysis details:   (7.0 points, 5.0 required)
>> 
>> pts rule name              description
>> ---- ---------------------- --------------------------------------------------
>> -0.0 RCVD_IN_DNSWL_NONE     RBL: Sender listed at https://www.dnswl.org/, no
>>                            trust
>>                            [217.70.191.162 listed in list.dnswl.org]
>> -1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
>>                            [score: 0.0000]
>> -0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
>> -0.0 SPF_PASS               SPF: sender matches SPF record
>> 5.0 FROM_NOT_REPLYTO_SAME_DOMAIN From domain: does not match Reply-To:
>>                            domain
>> 2.0 FROM_NOT_REPLYTO       From: does not match Reply-To:
>> 3.0 FROM_IS_TO             From: and To: is the same
>> -0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
>>                            domain
>> 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
>> -0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
>> -1.0 MAILING_LIST_MULTI     Multiple indicators imply a widely-seen list
>>                            manager
>> 
>> Kann mir jemand sagen, warum das so ist? Bei anderen ML habe ich dieses Problem nicht.
>> 
>> Grüße
>> 
>>  Andreas
> 
> 
> ----- Ende der Nachricht von Andreas Meyer <a.meyer at bitclusive.de> -----
> 
> 
> 
> -- 
> 
> ---------------------------------------
> e-Mail  : klaus at tachtler.net
> Homepage: https://www.tachtler.net
> DokuWiki: https://dokuwiki.tachtler.net
> ---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : mime-attachment
Dateityp    : application/octet-stream
Dateigröße  : 3121 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/c29c8190/attachment.obj>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2333 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200430/c29c8190/attachment.p7s>