From fj.vorspohl at vorspohl.com  Mon Feb  3 23:39:40 2020
From: fj.vorspohl at vorspohl.com (Franz-Josef Vorspohl)
Date: Mon, 3 Feb 2020 22:39:40 +0000
Subject: Problem AMaVis
Message-ID: <fd0ee0d68bab495591d473797fede1f6@vorspohl.com>

Hallo Profis,

Ich beschäftige mich mit dem Buch: Das Postfix Buch Band 3. Peer Heinlein.
Ich Test im Moment folgendes Setup: Das Postfix Gateway soll Spam und Virus Mails nicht annehmen

Internet ---- Postfix Mail Gateway / Spam Filter ----- Exchange server lokales netz

Ich nutze Debian 10 mit Postfix 3.4.7
Und den Tools aus dem Debian 10 reposity.

Die Weiterleitung von Mails auf den Exchange funktioniert schonmal einwandfrei. Ich versuche nun den AMAVIS Filter in Betrieb zu bekommen.

Ich versuche alles nachzuvollziehen aber hänge schon sehr lange bei AMaVis fest.

Ports 10024 (amavisd-new)  und 10025 (Postfix) sind offen und scheinen in Ordnung zu sein. Telnet darauf geht.

Ich verstehe ehrlich gesagt nicht, wie ich nach Handbuch die master.cf und main.cf konfigurieren soll.

Kann es sein, dass man in die main.cf gar nichts einträgt für AMaVis?

Ich möchte die E-Mail Pre-Queue filtern. Also gar nicht erst annehmen, so wie das auch empfohlen wird. Ich habe den Eicar Virus versucht zu schicken. Die Mail kommt nicht an, es wird aber auch kein Fehler an den Sender zurückgegeben. Es sieht so aus, als wäre sie angekommen.

Ich denke, ich habe etwas übersehen, vielleicht kann mir jemand auf die Sprünge helfen...

Danke
Franz

Meine Configs:

[main.cf]
# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = /usr/share/doc/postfix

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2



# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail2.test.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, lin4.test.de, spamgate2.test.de, localhost.test.de, localhost
relayhost =
mynetworks = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
html_directory = /usr/share/doc/postfix/html
relay_domains = hash:/etc/postfix/relay_domains
transport_maps = hash:/etc/postfix/relay_domains
relay_recipient_maps = hash:/etc/postfix/relay_recipients
# example: https://www.syn-flut.de/mit-postfix-spam-blockieren

#smtpd_milters = inet:localhost:11332
#milter_default_action = accept
#
# debug Seite 201
# defer_if_permit
# defer_if_reject
# warn_if_reject # Eintrag im Logbuch statt Zurückweisung
#

smtpd_recipient_restrictions =
                permit_mynetworks,
#             permit_sasl_authenticated,
#whitelist and blacklist here, after change file: postfix reload
# ****** global whitelist, no checks:
                # ip adressen Sender
                check_client_access cidr:/etc/postfix/access-client,
                check_sender_access hash:/etc/postfix/check_sender,

#pruefe unsaubere Mail
                reject_unauth_destination,
                reject_unauth_pipelining,
#             reject_unknown_helo_hostname,
                reject_invalid_hostname,
                reject_non_fqdn_hostname,
                reject_non_fqdn_recipient,
                reject_unknown_sender_domain,
                reject_unknown_client_hostname,
#             permit_dnswl_client list.dnswl.org,
# ****** whitelist for blacklists
                check_client_access cidr:/etc/postfix/whitelist-rbl,
                reject_rbl_client ix.dnsbl.manitu.net,
                reject_rbl_client zen.spamhaus.org,
                reject_rbl_client b.barracudacentral.org,
                reject_rbl_client bl.spamcop.net,
                reject_rbl_client psbl.surriel.com,
                reject_rbl_client noptr.spamrats.com,
                reject_rbl_client dyna.spamrats.com,
                reject_rbl_client dnsbl.sorbs.net
# greylist, verzögert neue Mailserver um 10 Minuten
                check_policy_service inet:127.0.0.1:10023,
                permit
#Bei Fehler 4xx zurück geben. Für große Tests
soft_bounce = no
# ********+ mit virutal_maps beliebige Mails umleiten
# Postfixbuch ab Seite 113

##### ******** Amavis

[ponstconf -n]
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
mydestination = $myhostname, lin4.test.de, spamgate2.test.de, localhost.test.de, localhost
myhostname = mail2.test.de
mynetworks = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
relay_domains = hash:/etc/postfix/relay_domains
relay_recipient_maps = hash:/etc/postfix/relay_recipients
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = permit_mynetworks, check_client_access cidr:/etc/postfix/access-client, check_sender_access hash:/etc/postfix/check_sender, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_client_hostname, check_client_access cidr:/etc/postfix/whitelist-rbl, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client b.barracudacentral.org, reject_rbl_client bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client noptr.spamrats.com, reject_rbl_client dyna.spamrats.com, reject_rbl_client dnsbl.sorbs.net check_policy_service inet:127.0.0.1:10023, permit
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
soft_bounce = no
transport_maps = hash:/etc/postfix/relay_domains

(***

Config zu AMAVIS:


****)


[15-content-filter-mode]
use strict;

# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.

#
# Default antivirus checking mode
# Please note, that anti-virus checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:


@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);


#
# Default SPAM checking mode
# Please note, that anti-spam checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:


#@bypass_spam_checks_maps = (
#   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1;  # ensure a defined return

[20-debian_defaults]
use strict;

# ADMINISTRATORS:
# Debian suggests that any changes you need to do that should never
# be "updated" by the Debian package should be made in another file,
# overriding the settings in this file.
#
# The package will *not* overwrite your settings, but by keeping
# them separate, you will make the task of merging changes on these
# configuration files much simpler...

#   see /usr/share/doc/amavisd-new/examples/amavisd.conf-default for
#       a list of all variables with their defaults;
#   see /usr/share/doc/amavisd-new/examples/amavisd.conf-sample for
#       a traditional-style commented file
#   [note: the above files were not converted to Debian settings!]
#
#   for more details see documentation in /usr/share/doc/amavisd-new
#   and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html

$QUARANTINEDIR = "$MYHOME/virusmails";
$quarantine_subdir_levels = 1; # enable quarantine dir hashing

$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 1;              # log via syslogd (preferred)
$syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
$syslog_facility = 'mail';
$syslog_priority = 'debug';  # switch to info to drop debug output, etc

$enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP and nanny)
$enable_global_cache = 1;    # enable use of libdb-based cache if $enable_db=1

$inet_socket_port = 10024;   # default listening socket

$sa_spam_subject_tag = '***SPAM*** ';
$sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent

$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0;    # only tests which do not require internet access?

# Quota limits to avoid bombs (like 42.zip)

$MAXLEVELS = 14;
$MAXFILES = 1500;
$MIN_EXPANSION_QUOTA =      100*1024;  # bytes
$MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes

# You should:
#   Use D_DISCARD to discard data (viruses)
#   Use D_BOUNCE to generate local bounces by amavisd-new
#   Use D_REJECT to generate local or remote bounces by the calling MTA
#   Use D_PASS to deliver the message
#
# Whatever you do, *NEVER* use D_REJECT if you have other MTAs *forwarding*
# mail to your account.  Use D_BOUNCE instead, otherwise you are delegating
# the bounce work to your friendly forwarders, which might not like it at all.
#
# On dual-MTA setups, one can often D_REJECT, as this just makes your own
# MTA generate the bounce message.  Test it first.
#
# Bouncing viruses is stupid, always discard them after you are sure the AV
# is working correctly.  Bouncing real SPAM is also useless, if you cannot
# D_REJECT it (and don't D_REJECT mail coming from your forwarders!).

$final_virus_destiny      = D_REJECT;  # (data not lost, see virus quarantine)
$final_banned_destiny     = D_REJECT;
$final_spam_destiny       = D_REJECT;
#$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)

$enable_dkim_verification = 0; #disabled to prevent warning

$virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default

# Set to empty ("") to add no header
$X_HEADER_LINE = "Debian $myproduct_name at $mydomain";

# REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS

#
# DO NOT SEND VIRUS NOTIFICATIONS TO OUTSIDE OF YOUR DOMAIN. EVER.
#
# These days, almost all viruses fake the envelope sender and mail headers.
# Therefore, "virus notifications" became nothing but undesired, aggravating
# SPAM.  This holds true even inside one's domain.  We disable them all by
# default, except for the EICAR test pattern.
#

@viruses_that_fake_sender_maps = (new_RE(
  [qr'\bEICAR\b'i => 0],            # av test pattern name
  [qr/.*/ => 1],  # true for everything else
));

@keep_decoded_original_maps = (new_RE(
# qr'^MAIL$',   # retain full original message for virus checking (can be slow)
  qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables
  qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
# qr'^Zip archive data',     # don't trust Archive::Zip
));


# for $banned_namepath_re, a new-style of banned table, see amavisd.conf-sample

$banned_filename_re = new_RE(
# qr'^UNDECIPHERABLE$',  # is or contains any undecipherable components

  # block certain double extensions anywhere in the base name
  qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,

  qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?$'i, # Windows Class ID CLSID, strict

  qr'^application/x-msdownload$'i,                  # block these MIME types
  qr'^application/x-msdos-program$'i,
  qr'^application/hta$'i,

# qr'^application/x-msmetafile$'i,           # Windows Metafile MIME type
# qr'^\.wmf$',                                                  # Windows Metafile file(1) type

# qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 MIME types

# [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any in Unix-compressed
# [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
# [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives
# [ qr'^application/x-zip-compressed$'i => 0],  # allow any within such archives

  qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
# qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
#        inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
#        ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
#        wmf|wsc|wsf|wsh)$'ix,  # banned ext - long

# qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension - WinZip vulnerab.

  qr'^\.(exe-ms)$',                       # banned file(1) types
# qr'^\.(exe|lha|tnef|cab|dll)$',         # banned file(1) types
);
# See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
# and http://www.cknow.com/vtutor/vtextensions.htm


# ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING

@score_sender_maps = ({ # a by-recipient hash lookup table,
                        # results from all matching recipient tables are summed

# ## per-recipient personal tables  (NOTE: positive: black, negative: white)
# 'user1 at example.com'  => [{'bla-mobile.press at example.com' => 10.0}],
# 'user3 at example.com'  => [{'.ebay.com'                 => -3.0}],
# 'user4 at example.com'  => [{'cleargreen at cleargreen.com' => -7.0,
#                           '.cleargreen.com'           => -5.0}],

  ## site-wide opinions about senders (the '.' matches any recipient)
  '.' => [  # the _first_ matching sender determines the score boost

   new_RE(  # regexp-type lookup table, just happens to be all soft-blacklist
    [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i         => 5.0],
    [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
    [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
    [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i   => 5.0],
    [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i  => 5.0],
    [qr'^(your_friend|greatoffers)@'i                                => 5.0],
    [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i                    => 5.0],
   ),

#  read_hash("/var/amavis/sender_scores_sitewide"),

# This are some examples for whitelists, since envelope senders can be forged
# they are not enabled by default.
   { # a hash-type lookup table (associative array)
     #'nobody at cert.org'                        => -3.0,
     #'cert-advisory at us-cert.gov'              => -3.0,
     #'owner-alert at iss.net'                    => -3.0,
     #'slashdot at slashdot.org'                  => -3.0,
     #'securityfocus.com'                      => -3.0,
     #'ntbugtraq at listserv.ntbugtraq.com'       => -3.0,
     #'security-alerts at linuxsecurity.com'      => -3.0,
     #'mailman-announce-admin at python.org'      => -3.0,
     #'amavis-user-admin at lists.sourceforge.net'=> -3.0,
     #'amavis-user-bounces at lists.sourceforge.net' => -3.0,
     #'spamassassin.apache.org'                => -3.0,
     #'notification-return at lists.sophos.com'   => -3.0,
     #'owner-postfix-users at postfix.org'        => -3.0,
     #'owner-postfix-announce at postfix.org'     => -3.0,
     #'owner-sendmail-announce at lists.sendmail.org'   => -3.0,
     #'sendmail-announce-request at lists.sendmail.org' => -3.0,
     #'donotreply at sendmail.org'                => -3.0,
     #'ca+envelope at sendmail.org'               => -3.0,
     #'noreply at freshmeat.net'                  => -3.0,
     #'owner-technews at postel.acm.org'          => -3.0,
     #'ietf-123-owner at loki.ietf.org'           => -3.0,
     #'cvs-commits-list-admin at gnome.org'       => -3.0,
     #'rt-users-admin at lists.fsck.com'          => -3.0,
     #'clp-request at comp.nus.edu.sg'            => -3.0,
     #'surveys-errors at lists.nua.ie'            => -3.0,
     #'emailnews at genomeweb.com'                => -5.0,
     #'yahoo-dev-null at yahoo-inc.com'           => -3.0,
     #'returns.groups.yahoo.com'               => -3.0,
     #'clusternews at linuxnetworx.com'           => -3.0,
     #lc('lvs-users-admin at LinuxVirtualServer.org')    => -3.0,
     #lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0,

     # soft-blacklisting (positive score)
     #'sender at example.net'                     =>  3.0,
     #'.example.net'                           =>  1.0,

   },
  ],  # end of site-wide tables
});

1;  # ensure a defined return
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200203/8c99292f/attachment.htm>

From klaus at tachtler.net  Tue Feb  4 04:25:56 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Tue, 04 Feb 2020 04:25:56 +0100
Subject: Problem AMaVis
In-Reply-To: <fd0ee0d68bab495591d473797fede1f6@vorspohl.com>
Message-ID: <20200204042556.Horde.pA9PIK5g2NBe0l1A985NPAh@buero.tachtler.net>

Hallo Franz-Josef,

ich finde Deine Postfix-Konfiguration (master.cf) nicht?

Du solltest etwas wie nachfolgendes in Deiner master.cf haben:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_6#amavis_einbinden

(!!! So habe ich das früher auch gemacht - BESSER AMaViS-MILTER, siehe  
weiter unten !!!)

---- %< Beispiel - Ausschnitt master.cf ----

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
# Tachtler
# default: smtp      inet  n       -       n       -       -       smtpd
# AMaViS - Incoming and forward to AMaViS listen on Port 10024
smtp      inet  n       -       n       -       20       smtpd
         -o smtpd_proxy_filter=192.168.0.70:10024
         -o smtp_send_xforward_command=yes
         -o content_filter=
# Tachtler
# AMaViS - Outgoing from AMaViS, BACK to Postfix
192.168.0.60:10025 inet  n       -       n       -       20       smtpd
         -o content_filter=
         -o smtpd_proxy_filter=
         -o smtpd_authorized_xforward_hosts=192.168.0.0/24
         -o smtpd_client_restrictions=
         -o smtpd_helo_restrictions=
         -o smtpd_sender_restrictions=
         -o smtpd_recipient_restrictions=permit_mynetworks,reject
         -o smtpd_data_restrictions=
         -o mynetworks=0.0.0.0/32,127.0.0.0/8,192.168.0.0/24
         -o receive_override_options=no_unknown_recipient_checks

usw. ...

---- Beispiel - Ausschnitt master.cf >% ----

Hast Du in Deiner AMaViS-Konfiguration so etwas wie -->

$forward_method = 'smtp:[192.168.0.60]:10025';
$notify_method  = 'smtp:[192.168.0.60]:10025';

(Nachrichten an Postfix-Zurückgeben, habe ich nicht gesehen!)

Komfortabler und meiner Meinung BESSER, wäre eher der Einsatz eines  
AMaViS-MILTER, so wie unter nachfolgenden Links, auch aus meinem  
DokuWiki, welches ich mal für mich erstellt habe:

AMaViS CentOS 7
===============

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7

Konfiguration: amavisd-milter
=============================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7#konfigurationamavisd-milter

Postfix CentOS 7 - AMaViS anbinden (amavisd-milter)
===================================================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter


Grüße
Klaus.


> Hallo Profis,
>
> Ich beschäftige mich mit dem Buch: Das Postfix Buch Band 3. Peer Heinlein.
> Ich Test im Moment folgendes Setup: Das Postfix Gateway soll Spam  
> und Virus Mails nicht annehmen
>
> Internet ---- Postfix Mail Gateway / Spam Filter ----- Exchange  
> server lokales netz
>
> Ich nutze Debian 10 mit Postfix 3.4.7
> Und den Tools aus dem Debian 10 reposity.
>
> Die Weiterleitung von Mails auf den Exchange funktioniert schonmal  
> einwandfrei. Ich versuche nun den AMAVIS Filter in Betrieb zu  
> bekommen.
>
> Ich versuche alles nachzuvollziehen aber hänge schon sehr lange bei  
> AMaVis fest.
>
> Ports 10024 (amavisd-new)  und 10025 (Postfix) sind offen und  
> scheinen in Ordnung zu sein. Telnet darauf geht.
>
> Ich verstehe ehrlich gesagt nicht, wie ich nach Handbuch die  
> master.cf und main.cf konfigurieren soll.
>
> Kann es sein, dass man in die main.cf gar nichts einträgt für AMaVis?
>
> Ich möchte die E-Mail Pre-Queue filtern. Also gar nicht erst  
> annehmen, so wie das auch empfohlen wird. Ich habe den Eicar Virus  
> versucht zu schicken. Die Mail kommt nicht an, es wird aber auch  
> kein Fehler an den Sender zurückgegeben. Es sieht so aus, als wäre  
> sie angekommen.
>
> Ich denke, ich habe etwas übersehen, vielleicht kann mir jemand auf  
> die Sprünge helfen...
>
> Danke
> Franz
>
> Meine Configs:
>
> [main.cf]
> # See /usr/share/postfix/main.cf.dist for a commented, more complete version
>
> # Debian specific:  Specifying a file name will cause the first
> # line of that file to be used as the name.  The Debian default
> # is /etc/mailname.
> #myorigin = /etc/mailname
>
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> biff = no
>
> # appending .domain is the MUA's job.
> append_dot_mydomain = no
>
> # Uncomment the next line to generate "delayed mail" warnings
> #delay_warning_time = 4h
>
> readme_directory = /usr/share/doc/postfix
>
> # See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
> # fresh installs.
> compatibility_level = 2
>
>
>
> # TLS parameters
> smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_use_tls=yes
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
> # information on enabling SSL in the smtp client.
>
> smtpd_relay_restrictions = permit_mynetworks  
> permit_sasl_authenticated defer_unauth_destination
> myhostname = mail2.test.de
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = /etc/mailname
> mydestination = $myhostname, lin4.test.de, spamgate2.test.de,  
> localhost.test.de, localhost
> relayhost =
> mynetworks = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128
> mailbox_size_limit = 0
> recipient_delimiter = +
> inet_interfaces = all
> inet_protocols = all
> html_directory = /usr/share/doc/postfix/html
> relay_domains = hash:/etc/postfix/relay_domains
> transport_maps = hash:/etc/postfix/relay_domains
> relay_recipient_maps = hash:/etc/postfix/relay_recipients
> # example: https://www.syn-flut.de/mit-postfix-spam-blockieren
>
> #smtpd_milters = inet:localhost:11332
> #milter_default_action = accept
> #
> # debug Seite 201
> # defer_if_permit
> # defer_if_reject
> # warn_if_reject # Eintrag im Logbuch statt Zurückweisung
> #
>
> smtpd_recipient_restrictions =
>                 permit_mynetworks,
> #             permit_sasl_authenticated,
> #whitelist and blacklist here, after change file: postfix reload
> # ****** global whitelist, no checks:
>                 # ip adressen Sender
>                 check_client_access cidr:/etc/postfix/access-client,
>                 check_sender_access hash:/etc/postfix/check_sender,
>
> #pruefe unsaubere Mail
>                 reject_unauth_destination,
>                 reject_unauth_pipelining,
> #             reject_unknown_helo_hostname,
>                 reject_invalid_hostname,
>                 reject_non_fqdn_hostname,
>                 reject_non_fqdn_recipient,
>                 reject_unknown_sender_domain,
>                 reject_unknown_client_hostname,
> #             permit_dnswl_client list.dnswl.org,
> # ****** whitelist for blacklists
>                 check_client_access cidr:/etc/postfix/whitelist-rbl,
>                 reject_rbl_client ix.dnsbl.manitu.net,
>                 reject_rbl_client zen.spamhaus.org,
>                 reject_rbl_client b.barracudacentral.org,
>                 reject_rbl_client bl.spamcop.net,
>                 reject_rbl_client psbl.surriel.com,
>                 reject_rbl_client noptr.spamrats.com,
>                 reject_rbl_client dyna.spamrats.com,
>                 reject_rbl_client dnsbl.sorbs.net
> # greylist, verzögert neue Mailserver um 10 Minuten
>                 check_policy_service inet:127.0.0.1:10023,
>                 permit
> #Bei Fehler 4xx zurück geben. Für große Tests
> soft_bounce = no
> # ********+ mit virutal_maps beliebige Mails umleiten
> # Postfixbuch ab Seite 113
>
> ##### ******** Amavis
>
> [ponstconf -n]
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> compatibility_level = 2
> html_directory = /usr/share/doc/postfix/html
> inet_interfaces = all
> inet_protocols = all
> mailbox_size_limit = 0
> mydestination = $myhostname, lin4.test.de, spamgate2.test.de,  
> localhost.test.de, localhost
> myhostname = mail2.test.de
> mynetworks = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128
> myorigin = /etc/mailname
> readme_directory = /usr/share/doc/postfix
> recipient_delimiter = +
> relay_domains = hash:/etc/postfix/relay_domains
> relay_recipient_maps = hash:/etc/postfix/relay_recipients
> relayhost =
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_recipient_restrictions = permit_mynetworks,  
> check_client_access cidr:/etc/postfix/access-client,  
> check_sender_access hash:/etc/postfix/check_sender,  
> reject_unauth_destination, reject_unauth_pipelining,  
> reject_invalid_hostname, reject_non_fqdn_hostname,  
> reject_non_fqdn_recipient, reject_unknown_sender_domain,  
> reject_unknown_client_hostname, check_client_access  
> cidr:/etc/postfix/whitelist-rbl, reject_rbl_client  
> ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org,  
> reject_rbl_client b.barracudacentral.org, reject_rbl_client  
> bl.spamcop.net, reject_rbl_client psbl.surriel.com,  
> reject_rbl_client noptr.spamrats.com, reject_rbl_client  
> dyna.spamrats.com, reject_rbl_client dnsbl.sorbs.net  
> check_policy_service inet:127.0.0.1:10023, permit
> smtpd_relay_restrictions = permit_mynetworks  
> permit_sasl_authenticated defer_unauth_destination
> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_use_tls = yes
> soft_bounce = no
> transport_maps = hash:/etc/postfix/relay_domains
>
> (***
>
> Config zu AMAVIS:
>
>
> ****)
>
>
> [15-content-filter-mode]
> use strict;
>
> # You can modify this file to re-enable SPAM checking through spamassassin
> # and to re-enable antivirus checking.
>
> #
> # Default antivirus checking mode
> # Please note, that anti-virus checking is DISABLED by
> # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> @bypass_virus_checks_maps = (
>    \%bypass_virus_checks, \@bypass_virus_checks_acl,  
> \$bypass_virus_checks_re);
>
>
> #
> # Default SPAM checking mode
> # Please note, that anti-spam checking is DISABLED by
> # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> #@bypass_spam_checks_maps = (
> #   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
>
> 1;  # ensure a defined return
>
> [20-debian_defaults]
> use strict;
>
> # ADMINISTRATORS:
> # Debian suggests that any changes you need to do that should never
> # be "updated" by the Debian package should be made in another file,
> # overriding the settings in this file.
> #
> # The package will *not* overwrite your settings, but by keeping
> # them separate, you will make the task of merging changes on these
> # configuration files much simpler...
>
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-default for
> #       a list of all variables with their defaults;
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-sample for
> #       a traditional-style commented file
> #   [note: the above files were not converted to Debian settings!]
> #
> #   for more details see documentation in /usr/share/doc/amavisd-new
> #   and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html
>
> $QUARANTINEDIR = "$MYHOME/virusmails";
> $quarantine_subdir_levels = 1; # enable quarantine dir hashing
>
> $log_recip_templ = undef;    # disable by-recipient level-0 log entries
> $DO_SYSLOG = 1;              # log via syslogd (preferred)
> $syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
> $syslog_facility = 'mail';
> $syslog_priority = 'debug';  # switch to info to drop debug output, etc
>
> $enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP  
> and nanny)
> $enable_global_cache = 1;    # enable use of libdb-based cache if  
> $enable_db=1
>
> $inet_socket_port = 10024;   # default listening socket
>
> $sa_spam_subject_tag = '***SPAM*** ';
> $sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above  
> that level
> $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
> $sa_kill_level_deflt = 6.31; # triggers spam evasive actions
> $sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent
>
> $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if  
> mail is larger
> $sa_local_tests_only = 0;    # only tests which do not require  
> internet access?
>
> # Quota limits to avoid bombs (like 42.zip)
>
> $MAXLEVELS = 14;
> $MAXFILES = 1500;
> $MIN_EXPANSION_QUOTA =      100*1024;  # bytes
> $MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes
>
> # You should:
> #   Use D_DISCARD to discard data (viruses)
> #   Use D_BOUNCE to generate local bounces by amavisd-new
> #   Use D_REJECT to generate local or remote bounces by the calling MTA
> #   Use D_PASS to deliver the message
> #
> # Whatever you do, *NEVER* use D_REJECT if you have other MTAs *forwarding*
> # mail to your account.  Use D_BOUNCE instead, otherwise you are delegating
> # the bounce work to your friendly forwarders, which might not like  
> it at all.
> #
> # On dual-MTA setups, one can often D_REJECT, as this just makes your own
> # MTA generate the bounce message.  Test it first.
> #
> # Bouncing viruses is stupid, always discard them after you are sure the AV
> # is working correctly.  Bouncing real SPAM is also useless, if you cannot
> # D_REJECT it (and don't D_REJECT mail coming from your forwarders!).
>
> $final_virus_destiny      = D_REJECT;  # (data not lost, see virus  
> quarantine)
> $final_banned_destiny     = D_REJECT;
> $final_spam_destiny       = D_REJECT;
> #$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)
>
> $enable_dkim_verification = 0; #disabled to prevent warning
>
> $virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default
>
> # Set to empty ("") to add no header
> $X_HEADER_LINE = "Debian $myproduct_name at $mydomain";
>
> # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS
>
> #
> # DO NOT SEND VIRUS NOTIFICATIONS TO OUTSIDE OF YOUR DOMAIN. EVER.
> #
> # These days, almost all viruses fake the envelope sender and mail headers.
> # Therefore, "virus notifications" became nothing but undesired, aggravating
> # SPAM.  This holds true even inside one's domain.  We disable them all by
> # default, except for the EICAR test pattern.
> #
>
> @viruses_that_fake_sender_maps = (new_RE(
>   [qr'\bEICAR\b'i => 0],            # av test pattern name
>   [qr/.*/ => 1],  # true for everything else
> ));
>
> @keep_decoded_original_maps = (new_RE(
> # qr'^MAIL$',   # retain full original message for virus checking  
> (can be slow)
>   qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains  
> undecipherables
>   qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
> # qr'^Zip archive data',     # don't trust Archive::Zip
> ));
>
>
> # for $banned_namepath_re, a new-style of banned table, see  
> amavisd.conf-sample
>
> $banned_filename_re = new_RE(
> # qr'^UNDECIPHERABLE$',  # is or contains any undecipherable components
>
>   # block certain double extensions anywhere in the base name
>   qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,
>
>   qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?$'i, # Windows  
> Class ID CLSID, strict
>
>   qr'^application/x-msdownload$'i,                  # block these MIME types
>   qr'^application/x-msdos-program$'i,
>   qr'^application/hta$'i,
>
> # qr'^application/x-msmetafile$'i,           # Windows Metafile MIME type
> # qr'^\.wmf$',                                                  #  
> Windows Metafile file(1) type
>
> # qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 MIME types
>
> # [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any in Unix-compressed
> # [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
> # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives
> # [ qr'^application/x-zip-compressed$'i => 0],  # allow any within  
> such archives
>
>   qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
> # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
> #        inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
> #        ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
> #        wmf|wsc|wsf|wsh)$'ix,  # banned ext - long
>
> # qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension -  
> WinZip vulnerab.
>
>   qr'^\.(exe-ms)$',                       # banned file(1) types
> # qr'^\.(exe|lha|tnef|cab|dll)$',         # banned file(1) types
> );
> # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
> # and http://www.cknow.com/vtutor/vtextensions.htm
>
>
> # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING
>
> @score_sender_maps = ({ # a by-recipient hash lookup table,
>                         # results from all matching recipient tables  
> are summed
>
> # ## per-recipient personal tables  (NOTE: positive: black, negative: white)
> # 'user1 at example.com'  => [{'bla-mobile.press at example.com' => 10.0}],
> # 'user3 at example.com'  => [{'.ebay.com'                 => -3.0}],
> # 'user4 at example.com'  => [{'cleargreen at cleargreen.com' => -7.0,
> #                           '.cleargreen.com'           => -5.0}],
>
>   ## site-wide opinions about senders (the '.' matches any recipient)
>   '.' => [  # the _first_ matching sender determines the score boost
>
>    new_RE(  # regexp-type lookup table, just happens to be all soft-blacklist
>     [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i         => 5.0],
>     [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
>     [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
>     [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i   => 5.0],
>     [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i  => 5.0],
>     [qr'^(your_friend|greatoffers)@'i                                => 5.0],
>     [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i                    => 5.0],
>    ),
>
> #  read_hash("/var/amavis/sender_scores_sitewide"),
>
> # This are some examples for whitelists, since envelope senders can be forged
> # they are not enabled by default.
>    { # a hash-type lookup table (associative array)
>      #'nobody at cert.org'                        => -3.0,
>      #'cert-advisory at us-cert.gov'              => -3.0,
>      #'owner-alert at iss.net'                    => -3.0,
>      #'slashdot at slashdot.org'                  => -3.0,
>      #'securityfocus.com'                      => -3.0,
>      #'ntbugtraq at listserv.ntbugtraq.com'       => -3.0,
>      #'security-alerts at linuxsecurity.com'      => -3.0,
>      #'mailman-announce-admin at python.org'      => -3.0,
>      #'amavis-user-admin at lists.sourceforge.net'=> -3.0,
>      #'amavis-user-bounces at lists.sourceforge.net' => -3.0,
>      #'spamassassin.apache.org'                => -3.0,
>      #'notification-return at lists.sophos.com'   => -3.0,
>      #'owner-postfix-users at postfix.org'        => -3.0,
>      #'owner-postfix-announce at postfix.org'     => -3.0,
>      #'owner-sendmail-announce at lists.sendmail.org'   => -3.0,
>      #'sendmail-announce-request at lists.sendmail.org' => -3.0,
>      #'donotreply at sendmail.org'                => -3.0,
>      #'ca+envelope at sendmail.org'               => -3.0,
>      #'noreply at freshmeat.net'                  => -3.0,
>      #'owner-technews at postel.acm.org'          => -3.0,
>      #'ietf-123-owner at loki.ietf.org'           => -3.0,
>      #'cvs-commits-list-admin at gnome.org'       => -3.0,
>      #'rt-users-admin at lists.fsck.com'          => -3.0,
>      #'clp-request at comp.nus.edu.sg'            => -3.0,
>      #'surveys-errors at lists.nua.ie'            => -3.0,
>      #'emailnews at genomeweb.com'                => -5.0,
>      #'yahoo-dev-null at yahoo-inc.com'           => -3.0,
>      #'returns.groups.yahoo.com'               => -3.0,
>      #'clusternews at linuxnetworx.com'           => -3.0,
>      #lc('lvs-users-admin at LinuxVirtualServer.org')    => -3.0,
>      #lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0,
>
>      # soft-blacklisting (positive score)
>      #'sender at example.net'                     =>  3.0,
>      #'.example.net'                           =>  1.0,
>
>    },
>   ],  # end of site-wide tables
> });
>
> 1;  # ensure a defined return


----- Ende der Nachricht von Franz-Josef Vorspohl  
<fj.vorspohl at vorspohl.com> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3121 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200204/e5097416/attachment.skr>

From fj.vorspohl at vorspohl.com  Tue Feb  4 09:47:45 2020
From: fj.vorspohl at vorspohl.com (Franz-Josef Vorspohl)
Date: Tue, 4 Feb 2020 08:47:45 +0000
Subject: AW: Problem AMaVis
In-Reply-To: <20200204042556.Horde.pA9PIK5g2NBe0l1A985NPAh@buero.tachtler.net>
References: <fd0ee0d68bab495591d473797fede1f6@vorspohl.com>
 <20200204042556.Horde.pA9PIK5g2NBe0l1A985NPAh@buero.tachtler.net>
Message-ID: <c2355c31624f4f7fa93c38f90fa8912b@vorspohl.com>

Hi Klaus

In dem Buch steht das mit AMaViS-MILTER nicht, oder?

Sorry, die master.cf hatte ich wohl vergessen.

Ich würde es gerne im ersten Schritt so wie im Buch schaffen wenn das mit den aktuellen Versionnen noch geht und dann gerne auf eine bessere Lösung umstellen, wenn das sinnvoll ist.

Franz

[master.cf]
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or
# on-line: http://www.postfix.org/master.5.html).
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       y       -       -       smtpd
#smtp      inet  n       -       y       -       1       postscreen
#smtpd     pass  -       -       y       -       -       smtpd
#dnsblog   unix  -       -       y       -       0       dnsblog
#tlsproxy  unix  -       -       y       -       0       tlsproxy
#submission inet n       -       y       -       -       smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_tls_auth_only=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       y       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       y       -       -       qmqpd
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
        -o syslog_name=postfix/$service_name
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
postlog   unix-dgram n  -       n       -       1       postlogd
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}



# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
localhost:10025      inet  n       -       y       -       -       smtpd
	-o content_filter=
	-o smtpd_proxy_filter=
	-o smtpd_authorized_xforward_hosts=127.0.0.0/8
	-o smtpd_client_restrictions=
	-o smtpd_helo_restrictions=
	-o smtpd_sender_restrictions=
	-o smtpd_recipient_restrictions=permit_mynetworks,reject
	-o smtpd_data_restrictions=
	-o mynetworks=127.0.0.0/8
	-o receive_override_options=no_unknown_recipient_checks
	

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Klaus Tachtler
Gesendet: Dienstag, 4. Februar 2020 04:26
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Re: Problem AMaVis

Hallo Franz-Josef,

ich finde Deine Postfix-Konfiguration (master.cf) nicht?

Du solltest etwas wie nachfolgendes in Deiner master.cf haben:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_6#amavis_einbinden

(!!! So habe ich das früher auch gemacht - BESSER AMaViS-MILTER, siehe weiter unten !!!)

---- %< Beispiel - Ausschnitt master.cf ----

#
# Postfix master process configuration file.  For details on the format # of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
# Tachtler
# default: smtp      inet  n       -       n       -       -       smtpd
# AMaViS - Incoming and forward to AMaViS listen on Port 10024
smtp      inet  n       -       n       -       20       smtpd
         -o smtpd_proxy_filter=192.168.0.70:10024
         -o smtp_send_xforward_command=yes
         -o content_filter=
# Tachtler
# AMaViS - Outgoing from AMaViS, BACK to Postfix
192.168.0.60:10025 inet  n       -       n       -       20       smtpd
         -o content_filter=
         -o smtpd_proxy_filter=
         -o smtpd_authorized_xforward_hosts=192.168.0.0/24
         -o smtpd_client_restrictions=
         -o smtpd_helo_restrictions=
         -o smtpd_sender_restrictions=
         -o smtpd_recipient_restrictions=permit_mynetworks,reject
         -o smtpd_data_restrictions=
         -o mynetworks=0.0.0.0/32,127.0.0.0/8,192.168.0.0/24
         -o receive_override_options=no_unknown_recipient_checks

usw. ...

---- Beispiel - Ausschnitt master.cf >% ----

Hast Du in Deiner AMaViS-Konfiguration so etwas wie -->

$forward_method = 'smtp:[192.168.0.60]:10025'; $notify_method  = 'smtp:[192.168.0.60]:10025';

(Nachrichten an Postfix-Zurückgeben, habe ich nicht gesehen!)

Komfortabler und meiner Meinung BESSER, wäre eher der Einsatz eines AMaViS-MILTER, so wie unter nachfolgenden Links, auch aus meinem DokuWiki, welches ich mal für mich erstellt habe:

AMaViS CentOS 7
===============

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7

Konfiguration: amavisd-milter
=============================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7#konfigurationamavisd-milter

Postfix CentOS 7 - AMaViS anbinden (amavisd-milter) ===================================================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter


Grüße
Klaus.


> Hallo Profis,
>
> Ich beschäftige mich mit dem Buch: Das Postfix Buch Band 3. Peer Heinlein.
> Ich Test im Moment folgendes Setup: Das Postfix Gateway soll Spam und 
> Virus Mails nicht annehmen
>
> Internet ---- Postfix Mail Gateway / Spam Filter ----- Exchange server 
> lokales netz
>
> Ich nutze Debian 10 mit Postfix 3.4.7
> Und den Tools aus dem Debian 10 reposity.
>
> Die Weiterleitung von Mails auf den Exchange funktioniert schonmal 
> einwandfrei. Ich versuche nun den AMAVIS Filter in Betrieb zu 
> bekommen.
>
> Ich versuche alles nachzuvollziehen aber hänge schon sehr lange bei 
> AMaVis fest.
>
> Ports 10024 (amavisd-new)  und 10025 (Postfix) sind offen und scheinen 
> in Ordnung zu sein. Telnet darauf geht.
>
> Ich verstehe ehrlich gesagt nicht, wie ich nach Handbuch die master.cf 
> und main.cf konfigurieren soll.
>
> Kann es sein, dass man in die main.cf gar nichts einträgt für AMaVis?
>
> Ich möchte die E-Mail Pre-Queue filtern. Also gar nicht erst annehmen, 
> so wie das auch empfohlen wird. Ich habe den Eicar Virus versucht zu 
> schicken. Die Mail kommt nicht an, es wird aber auch kein Fehler an 
> den Sender zurückgegeben. Es sieht so aus, als wäre sie angekommen.
>
> Ich denke, ich habe etwas übersehen, vielleicht kann mir jemand auf 
> die Sprünge helfen...
>
> Danke
> Franz
>
> Meine Configs:
>
> [main.cf]
> # See /usr/share/postfix/main.cf.dist for a commented, more complete 
> version
>
> # Debian specific:  Specifying a file name will cause the first # line 
> of that file to be used as the name.  The Debian default # is 
> /etc/mailname.
> #myorigin = /etc/mailname
>
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
>
> # appending .domain is the MUA's job.
> append_dot_mydomain = no
>
> # Uncomment the next line to generate "delayed mail" warnings 
> #delay_warning_time = 4h
>
> readme_directory = /usr/share/doc/postfix
>
> # See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 
> on # fresh installs.
> compatibility_level = 2
>
>
>
> # TLS parameters
> smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_use_tls=yes
> smtpd_tls_session_cache_database = 
> btree:${data_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package 
> for # information on enabling SSL in the smtp client.
>
> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated 
> defer_unauth_destination myhostname = mail2.test.de alias_maps = 
> hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = 
> /etc/mailname mydestination = $myhostname, lin4.test.de, 
> spamgate2.test.de, localhost.test.de, localhost relayhost = mynetworks 
> = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128 
> mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all 
> inet_protocols = all html_directory = /usr/share/doc/postfix/html 
> relay_domains = hash:/etc/postfix/relay_domains transport_maps = 
> hash:/etc/postfix/relay_domains relay_recipient_maps = 
> hash:/etc/postfix/relay_recipients
> # example: https://www.syn-flut.de/mit-postfix-spam-blockieren
>
> #smtpd_milters = inet:localhost:11332
> #milter_default_action = accept
> #
> # debug Seite 201
> # defer_if_permit
> # defer_if_reject
> # warn_if_reject # Eintrag im Logbuch statt Zurückweisung #
>
> smtpd_recipient_restrictions =
>                 permit_mynetworks,
> #             permit_sasl_authenticated,
> #whitelist and blacklist here, after change file: postfix reload # 
> ****** global whitelist, no checks:
>                 # ip adressen Sender
>                 check_client_access cidr:/etc/postfix/access-client,
>                 check_sender_access hash:/etc/postfix/check_sender,
>
> #pruefe unsaubere Mail
>                 reject_unauth_destination,
>                 reject_unauth_pipelining,
> #             reject_unknown_helo_hostname,
>                 reject_invalid_hostname,
>                 reject_non_fqdn_hostname,
>                 reject_non_fqdn_recipient,
>                 reject_unknown_sender_domain,
>                 reject_unknown_client_hostname,
> #             permit_dnswl_client list.dnswl.org,
> # ****** whitelist for blacklists
>                 check_client_access cidr:/etc/postfix/whitelist-rbl,
>                 reject_rbl_client ix.dnsbl.manitu.net,
>                 reject_rbl_client zen.spamhaus.org,
>                 reject_rbl_client b.barracudacentral.org,
>                 reject_rbl_client bl.spamcop.net,
>                 reject_rbl_client psbl.surriel.com,
>                 reject_rbl_client noptr.spamrats.com,
>                 reject_rbl_client dyna.spamrats.com,
>                 reject_rbl_client dnsbl.sorbs.net # greylist, 
> verzögert neue Mailserver um 10 Minuten
>                 check_policy_service inet:127.0.0.1:10023,
>                 permit
> #Bei Fehler 4xx zurück geben. Für große Tests soft_bounce = no # 
> ********+ mit virutal_maps beliebige Mails umleiten # Postfixbuch ab 
> Seite 113
>
> ##### ******** Amavis
>
> [ponstconf -n]
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> compatibility_level = 2
> html_directory = /usr/share/doc/postfix/html inet_interfaces = all 
> inet_protocols = all mailbox_size_limit = 0 mydestination = 
> $myhostname, lin4.test.de, spamgate2.test.de, localhost.test.de, 
> localhost myhostname = mail2.test.de mynetworks = 127.0.0.0/8 
> 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = 
> /etc/mailname readme_directory = /usr/share/doc/postfix 
> recipient_delimiter = + relay_domains = 
> hash:/etc/postfix/relay_domains relay_recipient_maps = 
> hash:/etc/postfix/relay_recipients
> relayhost =
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
> smtpd_recipient_restrictions = permit_mynetworks, check_client_access 
> cidr:/etc/postfix/access-client, check_sender_access 
> hash:/etc/postfix/check_sender, reject_unauth_destination, 
> reject_unauth_pipelining, reject_invalid_hostname, 
> reject_non_fqdn_hostname, reject_non_fqdn_recipient, 
> reject_unknown_sender_domain, reject_unknown_client_hostname, 
> check_client_access cidr:/etc/postfix/whitelist-rbl, reject_rbl_client 
> ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, 
> reject_rbl_client b.barracudacentral.org, reject_rbl_client 
> bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client 
> noptr.spamrats.com, reject_rbl_client dyna.spamrats.com, 
> reject_rbl_client dnsbl.sorbs.net check_policy_service 
> inet:127.0.0.1:10023, permit smtpd_relay_restrictions = 
> permit_mynetworks permit_sasl_authenticated defer_unauth_destination 
> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_tls_session_cache_database = 
> btree:${data_directory}/smtpd_scache
> smtpd_use_tls = yes
> soft_bounce = no
> transport_maps = hash:/etc/postfix/relay_domains
>
> (***
>
> Config zu AMAVIS:
>
>
> ****)
>
>
> [15-content-filter-mode]
> use strict;
>
> # You can modify this file to re-enable SPAM checking through 
> spamassassin # and to re-enable antivirus checking.
>
> #
> # Default antivirus checking mode
> # Please note, that anti-virus checking is DISABLED by # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> @bypass_virus_checks_maps = (
>    \%bypass_virus_checks, \@bypass_virus_checks_acl,  
> \$bypass_virus_checks_re);
>
>
> #
> # Default SPAM checking mode
> # Please note, that anti-spam checking is DISABLED by
> # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> #@bypass_spam_checks_maps = (
> #   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
>
> 1;  # ensure a defined return
>
> [20-debian_defaults]
> use strict;
>
> # ADMINISTRATORS:
> # Debian suggests that any changes you need to do that should never
> # be "updated" by the Debian package should be made in another file,
> # overriding the settings in this file.
> #
> # The package will *not* overwrite your settings, but by keeping
> # them separate, you will make the task of merging changes on these
> # configuration files much simpler...
>
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-default for
> #       a list of all variables with their defaults;
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-sample for
> #       a traditional-style commented file
> #   [note: the above files were not converted to Debian settings!]
> #
> #   for more details see documentation in /usr/share/doc/amavisd-new
> #   and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html
>
> $QUARANTINEDIR = "$MYHOME/virusmails";
> $quarantine_subdir_levels = 1; # enable quarantine dir hashing
>
> $log_recip_templ = undef;    # disable by-recipient level-0 log entries
> $DO_SYSLOG = 1;              # log via syslogd (preferred)
> $syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
> $syslog_facility = 'mail';
> $syslog_priority = 'debug';  # switch to info to drop debug output, etc
>
> $enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP  
> and nanny)
> $enable_global_cache = 1;    # enable use of libdb-based cache if  
> $enable_db=1
>
> $inet_socket_port = 10024;   # default listening socket
>
> $sa_spam_subject_tag = '***SPAM*** ';
> $sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above  
> that level
> $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
> $sa_kill_level_deflt = 6.31; # triggers spam evasive actions
> $sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent
>
> $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if  
> mail is larger
> $sa_local_tests_only = 0;    # only tests which do not require  
> internet access?
>
> # Quota limits to avoid bombs (like 42.zip)
>
> $MAXLEVELS = 14;
> $MAXFILES = 1500;
> $MIN_EXPANSION_QUOTA =      100*1024;  # bytes
> $MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes
>
> # You should:
> #   Use D_DISCARD to discard data (viruses)
> #   Use D_BOUNCE to generate local bounces by amavisd-new
> #   Use D_REJECT to generate local or remote bounces by the calling MTA
> #   Use D_PASS to deliver the message
> #
> # Whatever you do, *NEVER* use D_REJECT if you have other MTAs *forwarding*
> # mail to your account.  Use D_BOUNCE instead, otherwise you are delegating
> # the bounce work to your friendly forwarders, which might not like  
> it at all.
> #
> # On dual-MTA setups, one can often D_REJECT, as this just makes your own
> # MTA generate the bounce message.  Test it first.
> #
> # Bouncing viruses is stupid, always discard them after you are sure the AV
> # is working correctly.  Bouncing real SPAM is also useless, if you cannot
> # D_REJECT it (and don't D_REJECT mail coming from your forwarders!).
>
> $final_virus_destiny      = D_REJECT;  # (data not lost, see virus  
> quarantine)
> $final_banned_destiny     = D_REJECT;
> $final_spam_destiny       = D_REJECT;
> #$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)
>
> $enable_dkim_verification = 0; #disabled to prevent warning
>
> $virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default
>
> # Set to empty ("") to add no header
> $X_HEADER_LINE = "Debian $myproduct_name at $mydomain";
>
> # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS
>
> #
> # DO NOT SEND VIRUS NOTIFICATIONS TO OUTSIDE OF YOUR DOMAIN. EVER.
> #
> # These days, almost all viruses fake the envelope sender and mail headers.
> # Therefore, "virus notifications" became nothing but undesired, aggravating
> # SPAM.  This holds true even inside one's domain.  We disable them all by
> # default, except for the EICAR test pattern.
> #
>
> @viruses_that_fake_sender_maps = (new_RE(
>   [qr'\bEICAR\b'i => 0],            # av test pattern name
>   [qr/.*/ => 1],  # true for everything else
> ));
>
> @keep_decoded_original_maps = (new_RE(
> # qr'^MAIL$',   # retain full original message for virus checking  
> (can be slow)
>   qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains  
> undecipherables
>   qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
> # qr'^Zip archive data',     # don't trust Archive::Zip
> ));
>
>
> # for $banned_namepath_re, a new-style of banned table, see  
> amavisd.conf-sample
>
> $banned_filename_re = new_RE(
> # qr'^UNDECIPHERABLE$',  # is or contains any undecipherable components
>
>   # block certain double extensions anywhere in the base name
>   qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,
>
>   qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?$'i, # Windows  
> Class ID CLSID, strict
>
>   qr'^application/x-msdownload$'i,                  # block these MIME types
>   qr'^application/x-msdos-program$'i,
>   qr'^application/hta$'i,
>
> # qr'^application/x-msmetafile$'i,           # Windows Metafile MIME type
> # qr'^\.wmf$',                                                  #  
> Windows Metafile file(1) type
>
> # qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 MIME types
>
> # [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any in Unix-compressed
> # [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
> # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives
> # [ qr'^application/x-zip-compressed$'i => 0],  # allow any within  
> such archives
>
>   qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
> # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
> #        inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
> #        ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
> #        wmf|wsc|wsf|wsh)$'ix,  # banned ext - long
>
> # qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension -  
> WinZip vulnerab.
>
>   qr'^\.(exe-ms)$',                       # banned file(1) types
> # qr'^\.(exe|lha|tnef|cab|dll)$',         # banned file(1) types
> );
> # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
> # and http://www.cknow.com/vtutor/vtextensions.htm
>
>
> # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING
>
> @score_sender_maps = ({ # a by-recipient hash lookup table,
>                         # results from all matching recipient tables  
> are summed
>
> # ## per-recipient personal tables  (NOTE: positive: black, negative: white)
> # 'user1 at example.com'  => [{'bla-mobile.press at example.com' => 10.0}],
> # 'user3 at example.com'  => [{'.ebay.com'                 => -3.0}],
> # 'user4 at example.com'  => [{'cleargreen at cleargreen.com' => -7.0,
> #                           '.cleargreen.com'           => -5.0}],
>
>   ## site-wide opinions about senders (the '.' matches any recipient)
>   '.' => [  # the _first_ matching sender determines the score boost
>
>    new_RE(  # regexp-type lookup table, just happens to be all soft-blacklist
>     [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i         => 5.0],
>     [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
>     [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
>     [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i   => 5.0],
>     [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i  => 5.0],
>     [qr'^(your_friend|greatoffers)@'i                                => 5.0],
>     [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i                    => 5.0],
>    ),
>
> #  read_hash("/var/amavis/sender_scores_sitewide"),
>
> # This are some examples for whitelists, since envelope senders can be forged
> # they are not enabled by default.
>    { # a hash-type lookup table (associative array)
>      #'nobody at cert.org'                        => -3.0,
>      #'cert-advisory at us-cert.gov'              => -3.0,
>      #'owner-alert at iss.net'                    => -3.0,
>      #'slashdot at slashdot.org'                  => -3.0,
>      #'securityfocus.com'                      => -3.0,
>      #'ntbugtraq at listserv.ntbugtraq.com'       => -3.0,
>      #'security-alerts at linuxsecurity.com'      => -3.0,
>      #'mailman-announce-admin at python.org'      => -3.0,
>      #'amavis-user-admin at lists.sourceforge.net'=> -3.0,
>      #'amavis-user-bounces at lists.sourceforge.net' => -3.0,
>      #'spamassassin.apache.org'                => -3.0,
>      #'notification-return at lists.sophos.com'   => -3.0,
>      #'owner-postfix-users at postfix.org'        => -3.0,
>      #'owner-postfix-announce at postfix.org'     => -3.0,
>      #'owner-sendmail-announce at lists.sendmail.org'   => -3.0,
>      #'sendmail-announce-request at lists.sendmail.org' => -3.0,
>      #'donotreply at sendmail.org'                => -3.0,
>      #'ca+envelope at sendmail.org'               => -3.0,
>      #'noreply at freshmeat.net'                  => -3.0,
>      #'owner-technews at postel.acm.org'          => -3.0,
>      #'ietf-123-owner at loki.ietf.org'           => -3.0,
>      #'cvs-commits-list-admin at gnome.org'       => -3.0,
>      #'rt-users-admin at lists.fsck.com'          => -3.0,
>      #'clp-request at comp.nus.edu.sg'            => -3.0,
>      #'surveys-errors at lists.nua.ie'            => -3.0,
>      #'emailnews at genomeweb.com'                => -5.0,
>      #'yahoo-dev-null at yahoo-inc.com'           => -3.0,
>      #'returns.groups.yahoo.com'               => -3.0,
>      #'clusternews at linuxnetworx.com'           => -3.0,
>      #lc('lvs-users-admin at LinuxVirtualServer.org')    => -3.0,
>      #lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0,
>
>      # soft-blacklisting (positive score)
>      #'sender at example.net'                     =>  3.0,
>      #'.example.net'                           =>  1.0,
>
>    },
>   ],  # end of site-wide tables
> });
>
> 1;  # ensure a defined return


----- Ende der Nachricht von Franz-Josef Vorspohl  
<fj.vorspohl at vorspohl.com> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

From fj.vorspohl at vorspohl.com  Tue Feb  4 13:52:42 2020
From: fj.vorspohl at vorspohl.com (Franz-Josef Vorspohl)
Date: Tue, 4 Feb 2020 12:52:42 +0000
Subject: AW: Problem AMaVis
In-Reply-To: <20200204042556.Horde.pA9PIK5g2NBe0l1A985NPAh@buero.tachtler.net>
References: <fd0ee0d68bab495591d473797fede1f6@vorspohl.com>
 <20200204042556.Horde.pA9PIK5g2NBe0l1A985NPAh@buero.tachtler.net>
Message-ID: <9ceaf3f13c854dd58349f4f10e49d74e@vorspohl.com>

So, das System läuft nun einwandfrei soweit ich das sehen kann.
In den Logifles gibt es keine Fehlermeldungen mehr. Die testmal mit Viren und Spam werden geblockt, so wie es geplant ist.

Postfix, amavis, clamav, postgrey und SpamAssassin.

Nochmals danke für die Hilfe

Franz

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Klaus Tachtler
Gesendet: Dienstag, 4. Februar 2020 04:26
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Re: Problem AMaVis

Hallo Franz-Josef,

ich finde Deine Postfix-Konfiguration (master.cf) nicht?

Du solltest etwas wie nachfolgendes in Deiner master.cf haben:

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_6#amavis_einbinden

(!!! So habe ich das früher auch gemacht - BESSER AMaViS-MILTER, siehe weiter unten !!!)

---- %< Beispiel - Ausschnitt master.cf ----

#
# Postfix master process configuration file.  For details on the format # of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
# Tachtler
# default: smtp      inet  n       -       n       -       -       smtpd
# AMaViS - Incoming and forward to AMaViS listen on Port 10024
smtp      inet  n       -       n       -       20       smtpd
         -o smtpd_proxy_filter=192.168.0.70:10024
         -o smtp_send_xforward_command=yes
         -o content_filter=
# Tachtler
# AMaViS - Outgoing from AMaViS, BACK to Postfix
192.168.0.60:10025 inet  n       -       n       -       20       smtpd
         -o content_filter=
         -o smtpd_proxy_filter=
         -o smtpd_authorized_xforward_hosts=192.168.0.0/24
         -o smtpd_client_restrictions=
         -o smtpd_helo_restrictions=
         -o smtpd_sender_restrictions=
         -o smtpd_recipient_restrictions=permit_mynetworks,reject
         -o smtpd_data_restrictions=
         -o mynetworks=0.0.0.0/32,127.0.0.0/8,192.168.0.0/24
         -o receive_override_options=no_unknown_recipient_checks

usw. ...

---- Beispiel - Ausschnitt master.cf >% ----

Hast Du in Deiner AMaViS-Konfiguration so etwas wie -->

$forward_method = 'smtp:[192.168.0.60]:10025'; $notify_method  = 'smtp:[192.168.0.60]:10025';

(Nachrichten an Postfix-Zurückgeben, habe ich nicht gesehen!)

Komfortabler und meiner Meinung BESSER, wäre eher der Einsatz eines AMaViS-MILTER, so wie unter nachfolgenden Links, auch aus meinem DokuWiki, welches ich mal für mich erstellt habe:

AMaViS CentOS 7
===============

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7

Konfiguration: amavisd-milter
=============================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:amavis_centos_7#konfigurationamavisd-milter

Postfix CentOS 7 - AMaViS anbinden (amavisd-milter) ===================================================

https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter


Grüße
Klaus.


> Hallo Profis,
>
> Ich beschäftige mich mit dem Buch: Das Postfix Buch Band 3. Peer Heinlein.
> Ich Test im Moment folgendes Setup: Das Postfix Gateway soll Spam und 
> Virus Mails nicht annehmen
>
> Internet ---- Postfix Mail Gateway / Spam Filter ----- Exchange server 
> lokales netz
>
> Ich nutze Debian 10 mit Postfix 3.4.7
> Und den Tools aus dem Debian 10 reposity.
>
> Die Weiterleitung von Mails auf den Exchange funktioniert schonmal 
> einwandfrei. Ich versuche nun den AMAVIS Filter in Betrieb zu 
> bekommen.
>
> Ich versuche alles nachzuvollziehen aber hänge schon sehr lange bei 
> AMaVis fest.
>
> Ports 10024 (amavisd-new)  und 10025 (Postfix) sind offen und scheinen 
> in Ordnung zu sein. Telnet darauf geht.
>
> Ich verstehe ehrlich gesagt nicht, wie ich nach Handbuch die master.cf 
> und main.cf konfigurieren soll.
>
> Kann es sein, dass man in die main.cf gar nichts einträgt für AMaVis?
>
> Ich möchte die E-Mail Pre-Queue filtern. Also gar nicht erst annehmen, 
> so wie das auch empfohlen wird. Ich habe den Eicar Virus versucht zu 
> schicken. Die Mail kommt nicht an, es wird aber auch kein Fehler an 
> den Sender zurückgegeben. Es sieht so aus, als wäre sie angekommen.
>
> Ich denke, ich habe etwas übersehen, vielleicht kann mir jemand auf 
> die Sprünge helfen...
>
> Danke
> Franz
>
> Meine Configs:
>
> [main.cf]
> # See /usr/share/postfix/main.cf.dist for a commented, more complete 
> version
>
> # Debian specific:  Specifying a file name will cause the first # line 
> of that file to be used as the name.  The Debian default # is 
> /etc/mailname.
> #myorigin = /etc/mailname
>
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no
>
> # appending .domain is the MUA's job.
> append_dot_mydomain = no
>
> # Uncomment the next line to generate "delayed mail" warnings 
> #delay_warning_time = 4h
>
> readme_directory = /usr/share/doc/postfix
>
> # See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 
> on # fresh installs.
> compatibility_level = 2
>
>
>
> # TLS parameters
> smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_use_tls=yes
> smtpd_tls_session_cache_database = 
> btree:${data_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package 
> for # information on enabling SSL in the smtp client.
>
> smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated 
> defer_unauth_destination myhostname = mail2.test.de alias_maps = 
> hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = 
> /etc/mailname mydestination = $myhostname, lin4.test.de, 
> spamgate2.test.de, localhost.test.de, localhost relayhost = mynetworks 
> = 127.0.0.0/8 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128 
> mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all 
> inet_protocols = all html_directory = /usr/share/doc/postfix/html 
> relay_domains = hash:/etc/postfix/relay_domains transport_maps = 
> hash:/etc/postfix/relay_domains relay_recipient_maps = 
> hash:/etc/postfix/relay_recipients
> # example: https://www.syn-flut.de/mit-postfix-spam-blockieren
>
> #smtpd_milters = inet:localhost:11332
> #milter_default_action = accept
> #
> # debug Seite 201
> # defer_if_permit
> # defer_if_reject
> # warn_if_reject # Eintrag im Logbuch statt Zurückweisung #
>
> smtpd_recipient_restrictions =
>                 permit_mynetworks,
> #             permit_sasl_authenticated,
> #whitelist and blacklist here, after change file: postfix reload # 
> ****** global whitelist, no checks:
>                 # ip adressen Sender
>                 check_client_access cidr:/etc/postfix/access-client,
>                 check_sender_access hash:/etc/postfix/check_sender,
>
> #pruefe unsaubere Mail
>                 reject_unauth_destination,
>                 reject_unauth_pipelining,
> #             reject_unknown_helo_hostname,
>                 reject_invalid_hostname,
>                 reject_non_fqdn_hostname,
>                 reject_non_fqdn_recipient,
>                 reject_unknown_sender_domain,
>                 reject_unknown_client_hostname,
> #             permit_dnswl_client list.dnswl.org,
> # ****** whitelist for blacklists
>                 check_client_access cidr:/etc/postfix/whitelist-rbl,
>                 reject_rbl_client ix.dnsbl.manitu.net,
>                 reject_rbl_client zen.spamhaus.org,
>                 reject_rbl_client b.barracudacentral.org,
>                 reject_rbl_client bl.spamcop.net,
>                 reject_rbl_client psbl.surriel.com,
>                 reject_rbl_client noptr.spamrats.com,
>                 reject_rbl_client dyna.spamrats.com,
>                 reject_rbl_client dnsbl.sorbs.net # greylist, 
> verzögert neue Mailserver um 10 Minuten
>                 check_policy_service inet:127.0.0.1:10023,
>                 permit
> #Bei Fehler 4xx zurück geben. Für große Tests soft_bounce = no # 
> ********+ mit virutal_maps beliebige Mails umleiten # Postfixbuch ab 
> Seite 113
>
> ##### ******** Amavis
>
> [ponstconf -n]
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> compatibility_level = 2
> html_directory = /usr/share/doc/postfix/html inet_interfaces = all 
> inet_protocols = all mailbox_size_limit = 0 mydestination = 
> $myhostname, lin4.test.de, spamgate2.test.de, localhost.test.de, 
> localhost myhostname = mail2.test.de mynetworks = 127.0.0.0/8 
> 192.168.26.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = 
> /etc/mailname readme_directory = /usr/share/doc/postfix 
> recipient_delimiter = + relay_domains = 
> hash:/etc/postfix/relay_domains relay_recipient_maps = 
> hash:/etc/postfix/relay_recipients
> relayhost =
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
> smtpd_recipient_restrictions = permit_mynetworks, check_client_access 
> cidr:/etc/postfix/access-client, check_sender_access 
> hash:/etc/postfix/check_sender, reject_unauth_destination, 
> reject_unauth_pipelining, reject_invalid_hostname, 
> reject_non_fqdn_hostname, reject_non_fqdn_recipient, 
> reject_unknown_sender_domain, reject_unknown_client_hostname, 
> check_client_access cidr:/etc/postfix/whitelist-rbl, reject_rbl_client 
> ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, 
> reject_rbl_client b.barracudacentral.org, reject_rbl_client 
> bl.spamcop.net, reject_rbl_client psbl.surriel.com, reject_rbl_client 
> noptr.spamrats.com, reject_rbl_client dyna.spamrats.com, 
> reject_rbl_client dnsbl.sorbs.net check_policy_service 
> inet:127.0.0.1:10023, permit smtpd_relay_restrictions = 
> permit_mynetworks permit_sasl_authenticated defer_unauth_destination 
> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_tls_session_cache_database = 
> btree:${data_directory}/smtpd_scache
> smtpd_use_tls = yes
> soft_bounce = no
> transport_maps = hash:/etc/postfix/relay_domains
>
> (***
>
> Config zu AMAVIS:
>
>
> ****)
>
>
> [15-content-filter-mode]
> use strict;
>
> # You can modify this file to re-enable SPAM checking through 
> spamassassin # and to re-enable antivirus checking.
>
> #
> # Default antivirus checking mode
> # Please note, that anti-virus checking is DISABLED by # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> @bypass_virus_checks_maps = (
>    \%bypass_virus_checks, \@bypass_virus_checks_acl,  
> \$bypass_virus_checks_re);
>
>
> #
> # Default SPAM checking mode
> # Please note, that anti-spam checking is DISABLED by
> # default.
> # If You wish to enable it, please uncomment the following lines:
>
>
> #@bypass_spam_checks_maps = (
> #   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
>
> 1;  # ensure a defined return
>
> [20-debian_defaults]
> use strict;
>
> # ADMINISTRATORS:
> # Debian suggests that any changes you need to do that should never
> # be "updated" by the Debian package should be made in another file,
> # overriding the settings in this file.
> #
> # The package will *not* overwrite your settings, but by keeping
> # them separate, you will make the task of merging changes on these
> # configuration files much simpler...
>
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-default for
> #       a list of all variables with their defaults;
> #   see /usr/share/doc/amavisd-new/examples/amavisd.conf-sample for
> #       a traditional-style commented file
> #   [note: the above files were not converted to Debian settings!]
> #
> #   for more details see documentation in /usr/share/doc/amavisd-new
> #   and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html
>
> $QUARANTINEDIR = "$MYHOME/virusmails";
> $quarantine_subdir_levels = 1; # enable quarantine dir hashing
>
> $log_recip_templ = undef;    # disable by-recipient level-0 log entries
> $DO_SYSLOG = 1;              # log via syslogd (preferred)
> $syslog_ident = 'amavis';    # syslog ident tag, prepended to all messages
> $syslog_facility = 'mail';
> $syslog_priority = 'debug';  # switch to info to drop debug output, etc
>
> $enable_db = 1;              # enable use of BerkeleyDB/libdb (SNMP  
> and nanny)
> $enable_global_cache = 1;    # enable use of libdb-based cache if  
> $enable_db=1
>
> $inet_socket_port = 10024;   # default listening socket
>
> $sa_spam_subject_tag = '***SPAM*** ';
> $sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above  
> that level
> $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
> $sa_kill_level_deflt = 6.31; # triggers spam evasive actions
> $sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent
>
> $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if  
> mail is larger
> $sa_local_tests_only = 0;    # only tests which do not require  
> internet access?
>
> # Quota limits to avoid bombs (like 42.zip)
>
> $MAXLEVELS = 14;
> $MAXFILES = 1500;
> $MIN_EXPANSION_QUOTA =      100*1024;  # bytes
> $MAX_EXPANSION_QUOTA = 300*1024*1024;  # bytes
>
> # You should:
> #   Use D_DISCARD to discard data (viruses)
> #   Use D_BOUNCE to generate local bounces by amavisd-new
> #   Use D_REJECT to generate local or remote bounces by the calling MTA
> #   Use D_PASS to deliver the message
> #
> # Whatever you do, *NEVER* use D_REJECT if you have other MTAs *forwarding*
> # mail to your account.  Use D_BOUNCE instead, otherwise you are delegating
> # the bounce work to your friendly forwarders, which might not like  
> it at all.
> #
> # On dual-MTA setups, one can often D_REJECT, as this just makes your own
> # MTA generate the bounce message.  Test it first.
> #
> # Bouncing viruses is stupid, always discard them after you are sure the AV
> # is working correctly.  Bouncing real SPAM is also useless, if you cannot
> # D_REJECT it (and don't D_REJECT mail coming from your forwarders!).
>
> $final_virus_destiny      = D_REJECT;  # (data not lost, see virus  
> quarantine)
> $final_banned_destiny     = D_REJECT;
> $final_spam_destiny       = D_REJECT;
> #$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)
>
> $enable_dkim_verification = 0; #disabled to prevent warning
>
> $virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default
>
> # Set to empty ("") to add no header
> $X_HEADER_LINE = "Debian $myproduct_name at $mydomain";
>
> # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS
>
> #
> # DO NOT SEND VIRUS NOTIFICATIONS TO OUTSIDE OF YOUR DOMAIN. EVER.
> #
> # These days, almost all viruses fake the envelope sender and mail headers.
> # Therefore, "virus notifications" became nothing but undesired, aggravating
> # SPAM.  This holds true even inside one's domain.  We disable them all by
> # default, except for the EICAR test pattern.
> #
>
> @viruses_that_fake_sender_maps = (new_RE(
>   [qr'\bEICAR\b'i => 0],            # av test pattern name
>   [qr/.*/ => 1],  # true for everything else
> ));
>
> @keep_decoded_original_maps = (new_RE(
> # qr'^MAIL$',   # retain full original message for virus checking  
> (can be slow)
>   qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains  
> undecipherables
>   qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
> # qr'^Zip archive data',     # don't trust Archive::Zip
> ));
>
>
> # for $banned_namepath_re, a new-style of banned table, see  
> amavisd.conf-sample
>
> $banned_filename_re = new_RE(
> # qr'^UNDECIPHERABLE$',  # is or contains any undecipherable components
>
>   # block certain double extensions anywhere in the base name
>   qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,
>
>   qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?$'i, # Windows  
> Class ID CLSID, strict
>
>   qr'^application/x-msdownload$'i,                  # block these MIME types
>   qr'^application/x-msdos-program$'i,
>   qr'^application/hta$'i,
>
> # qr'^application/x-msmetafile$'i,           # Windows Metafile MIME type
> # qr'^\.wmf$',                                                  #  
> Windows Metafile file(1) type
>
> # qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 MIME types
>
> # [ qr'^\.(Z|gz|bz2)$'           => 0 ],  # allow any in Unix-compressed
> # [ qr'^\.(rpm|cpio|tar)$'       => 0 ],  # allow any in Unix-type archives
> # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ],  # allow any within such archives
> # [ qr'^application/x-zip-compressed$'i => 0],  # allow any within  
> such archives
>
>   qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
> # qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
> #        inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
> #        ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
> #        wmf|wsc|wsf|wsh)$'ix,  # banned ext - long
>
> # qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i,  # banned extension -  
> WinZip vulnerab.
>
>   qr'^\.(exe-ms)$',                       # banned file(1) types
> # qr'^\.(exe|lha|tnef|cab|dll)$',         # banned file(1) types
> );
> # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
> # and http://www.cknow.com/vtutor/vtextensions.htm
>
>
> # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING
>
> @score_sender_maps = ({ # a by-recipient hash lookup table,
>                         # results from all matching recipient tables  
> are summed
>
> # ## per-recipient personal tables  (NOTE: positive: black, negative: white)
> # 'user1 at example.com'  => [{'bla-mobile.press at example.com' => 10.0}],
> # 'user3 at example.com'  => [{'.ebay.com'                 => -3.0}],
> # 'user4 at example.com'  => [{'cleargreen at cleargreen.com' => -7.0,
> #                           '.cleargreen.com'           => -5.0}],
>
>   ## site-wide opinions about senders (the '.' matches any recipient)
>   '.' => [  # the _first_ matching sender determines the score boost
>
>    new_RE(  # regexp-type lookup table, just happens to be all soft-blacklist
>     [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i         => 5.0],
>     [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
>     [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
>     [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i   => 5.0],
>     [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i  => 5.0],
>     [qr'^(your_friend|greatoffers)@'i                                => 5.0],
>     [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i                    => 5.0],
>    ),
>
> #  read_hash("/var/amavis/sender_scores_sitewide"),
>
> # This are some examples for whitelists, since envelope senders can be forged
> # they are not enabled by default.
>    { # a hash-type lookup table (associative array)
>      #'nobody at cert.org'                        => -3.0,
>      #'cert-advisory at us-cert.gov'              => -3.0,
>      #'owner-alert at iss.net'                    => -3.0,
>      #'slashdot at slashdot.org'                  => -3.0,
>      #'securityfocus.com'                      => -3.0,
>      #'ntbugtraq at listserv.ntbugtraq.com'       => -3.0,
>      #'security-alerts at linuxsecurity.com'      => -3.0,
>      #'mailman-announce-admin at python.org'      => -3.0,
>      #'amavis-user-admin at lists.sourceforge.net'=> -3.0,
>      #'amavis-user-bounces at lists.sourceforge.net' => -3.0,
>      #'spamassassin.apache.org'                => -3.0,
>      #'notification-return at lists.sophos.com'   => -3.0,
>      #'owner-postfix-users at postfix.org'        => -3.0,
>      #'owner-postfix-announce at postfix.org'     => -3.0,
>      #'owner-sendmail-announce at lists.sendmail.org'   => -3.0,
>      #'sendmail-announce-request at lists.sendmail.org' => -3.0,
>      #'donotreply at sendmail.org'                => -3.0,
>      #'ca+envelope at sendmail.org'               => -3.0,
>      #'noreply at freshmeat.net'                  => -3.0,
>      #'owner-technews at postel.acm.org'          => -3.0,
>      #'ietf-123-owner at loki.ietf.org'           => -3.0,
>      #'cvs-commits-list-admin at gnome.org'       => -3.0,
>      #'rt-users-admin at lists.fsck.com'          => -3.0,
>      #'clp-request at comp.nus.edu.sg'            => -3.0,
>      #'surveys-errors at lists.nua.ie'            => -3.0,
>      #'emailnews at genomeweb.com'                => -5.0,
>      #'yahoo-dev-null at yahoo-inc.com'           => -3.0,
>      #'returns.groups.yahoo.com'               => -3.0,
>      #'clusternews at linuxnetworx.com'           => -3.0,
>      #lc('lvs-users-admin at LinuxVirtualServer.org')    => -3.0,
>      #lc('owner-textbreakingnews at CNNIMAIL12.CNN.COM') => -5.0,
>
>      # soft-blacklisting (positive score)
>      #'sender at example.net'                     =>  3.0,
>      #'.example.net'                           =>  1.0,
>
>    },
>   ],  # end of site-wide tables
> });
>
> 1;  # ensure a defined return


----- Ende der Nachricht von Franz-Josef Vorspohl  
<fj.vorspohl at vorspohl.com> -----



-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

From daniel at mail24.vip  Sat Feb  8 16:43:27 2020
From: daniel at mail24.vip (Daniel)
Date: Sat, 8 Feb 2020 16:43:27 +0100
Subject: AW: Welche DNSBL verwendet ihr?
In-Reply-To: <56643BB6.8040103@dimejo.at>
References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de>
 <56635C49.1000709@netcologne.de>
 <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de>
 <56643BB6.8040103@dimejo.at>
Message-ID: <16b201d5de96$87774920$9665db60$@mail24.vip>

Moin Moin,

ich habe inzwischen neuere Variante in Verwendung, zusätzlich zu postfix, spamassassin, mailscanner nun noch postscreen und rspamd.

Entsprechend schaue ich nochmal diverse Sachen durch an DNSBL bzw. jetzt auch mit DNSWL.

Wie ist bei euch so die Empfehlung?

Bei mir ist aktuell so:
postscreen_dnsbl_threshold = 2
postscreen_dnsbl_sites = zen.spamhaus.org*2 dnsbl-1.uceprotect.net*1 dnsbl.sorbs.net*1 bl.spamcop.net*1 ix.dnsbl.manitu.net*1
list.dnswl.org*-2

Zuviele Listen muss ja auch nicht sein, und zudem ist dann fraglich wegen Datenschutz und co.

Macht ihr ganze eher allgemeiner, oder differenzierter wie z.B. aus so:
list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 
list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
[0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2

Nutzt ihr in Postscreen die Greylist Funktion?
Gibt leider manche Server die machen nur einen Versuch, und löschen Mail dann, egal ob die durch ist oder nicht.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Alex JOST
Gesendet: Sonntag, 6. Dezember 2015 14:44
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: Welche DNSBL verwendet ihr?

Am 06.12.2015 um 05:47 schrieb Daniel:
> Hi Gunther,
>
> danke für die PDF´s, ich habe Liste nun mal gekürzt, nicht viel übergeblieben.
>
> iX-Heise-NixSpam	ix.dnsbl.manitu.net.
> SORBS			dnsbl.sorbs.net.
> spamcop.net		bl.spamcop.net.
> spamhaus-ZEN		zen.spamhaus.org.
>
> NixSpam und ZEN direkt im Postfix für reject, und beiden anderen nur noch im Spamfilter zur Bewertung, oder wie würdest du es
> Handhaben?

Mit Zen haben wir gute Erfahrungen gemacht, aber Du hast grundsätzlich 
bei jeder DNSBL die Möglichkeit von false positives. Deshalb solltest Du 
Dir auch überlegen diese Test in Postscreen[1] zu verschieben. Damit 
kannst Du dann z.B. bestimmen, dass es mindestens 2 DNSBLs braucht um 
einen Sender zu blocken.

[1] http://www.postfix.org/POSTSCREEN_README.html


> Wie gesagt, wollt ich vermeiden das große Provider drauf stehen, nur weil bei denen auf gehackten Kundenseiten ggf. Spam
> verschleudert wird oder so.

Mit Postscreen kannst Du auch eine DNSWL wie z.B. dnswl.org abfragen, um 
"ordentliche" Sender von den Tests auszunehmen.


> sa-udates mache ich regelmäßig mit Channel von Spamassian und heinlein, aber hat ja nicht direkt mit DNSBL zutun.
>
> Gruß Daniel
>
> Hi,
>
> Am 05.12.2015 um 15:07 schrieb Daniel:
>> Hi,
>>
>> Welche DNSBL  verwendet ihr direkt im Postfix und welche für reine Spambewertung in Spamassian, MailScanner, ect. ?
>
> Vielleicht hilft noch ein Blick in
> https://e-mail.eco.de/wp-content/blogs.dir/26/files/auswahl-einer-dnsbl.pdf
>
> mit dem zugehörigen Anhang
>
> https://e-mail.eco.de/wp-content/blogs.dir/26/files/anhang-zu-auswahl-einer-dnsbl.pdf
>
>> Eine Liste ich mir zusammen gesammelt habe ist z.B.
>> abuse.ch-Drone	drone.abuse.ch.
>> abuse.ch-Spam	spam.abuse.ch.
>> abuseat.org		cbl.abuseat.org.
>> backscatterer		ips.backscatterer.org.
>> Barracuda		b.barracudacentral.org.
>> iX-Heise		ix.dnsbl.manitu.net.
>> Mailspike		bl.mailspike.net.
>> SORBS			dnsbl.sorbs.net.
>> Spamcannibal		bl.spamcannibal.org.
>> spamcop.net		bl.spamcop.net.
>> spamhaus-ZEN		zen.spamhaus.org.
>> Spamrats		spam.spamrats.com.
>> StopSpam		block.stopspam.org.
>> TorExit			torexit.dan.me.uk.
>> UCEPROTECT-Level1	dnsbl-1.uceprotect.net.
>> UCEPROTECT-Level2	dnsbl-2.uceprotect.net.
>> UCEPROTECT-Level3	dnsbl-3.uceprotect.net.
>>
>> Jedoch kommt es auch mal vor, dass manche Listen auch T-Online, 1&1 ect. mal mit drauf setzen, was nicht optimal ist. ;-)
>
> Da sind so einige drauf, von denen ich die Finger lassen würde.
> Siehe Link oben.
>
> Schönen Gruß
>
> Gunther
>
>> Daher möchte ich nicht alle direkt vom Postfix direkt abweisen lassen, sondern Großteil halt im Schritt weiter als Spambewertung
>> verwenden.
>>
>> Letzten Tage sind mal wieder so 10-20 verseuchte Mails im Spam gelandet. Daher schaue ich noch etwas, ob was sich ggf. noch
>> optimieren lässt.
>>
>> Gruß Daniel
>

-- 
Alex JOST



From jost+lists at dimejo.at  Sat Feb  8 19:06:45 2020
From: jost+lists at dimejo.at (Alex JOST)
Date: Sat, 8 Feb 2020 19:06:45 +0100
Subject: Welche DNSBL verwendet ihr?
In-Reply-To: <16b201d5de96$87774920$9665db60$@mail24.vip>
References: <001a01d12f66$4827e9c0$d877bd40$@ist-immer-online.de>
 <56635C49.1000709@netcologne.de>
 <000301d12fe1$38be2eb0$aa3a8c10$@ist-immer-online.de>
 <56643BB6.8040103@dimejo.at> <16b201d5de96$87774920$9665db60$@mail24.vip>
Message-ID: <1a330413-be68-e5aa-ac36-6538367459fa@dimejo.at>

Am 08.02.20 um 16:43 schrieb Daniel:
> Moin Moin,
> 
> ich habe inzwischen neuere Variante in Verwendung, zusätzlich zu postfix, spamassassin, mailscanner nun noch postscreen und rspamd.
> 
> Entsprechend schaue ich nochmal diverse Sachen durch an DNSBL bzw. jetzt auch mit DNSWL.
> 
> Wie ist bei euch so die Empfehlung?
> 
> Bei mir ist aktuell so:
> postscreen_dnsbl_threshold = 2
> postscreen_dnsbl_sites = zen.spamhaus.org*2 dnsbl-1.uceprotect.net*1 dnsbl.sorbs.net*1 bl.spamcop.net*1 ix.dnsbl.manitu.net*1
> list.dnswl.org*-2
> 
> Zuviele Listen muss ja auch nicht sein, und zudem ist dann fraglich wegen Datenschutz und co.

Nach dem Umstieg von Amavisd auf rspamd haben wir die DNSBL Tests von 
Postscreen weiter benutzt. Aber inzwischen ist bei Postscreen nur mehr 
der Pregreet Test aktiv. Rspamd bewertet die E-Mails einfach viel 
umfangreicher, wodurch die Wahrscheinlichkeit auf false-positives sinkt. 
Außerdem macht es Sinn, dass rspamd alle E-Mails sieht und bewertet, um 
die Bayes und Fuzzy Filter zu trainieren.


> Nutzt ihr in Postscreen die Greylist Funktion?
> Gibt leider manche Server die machen nur einen Versuch, und löschen Mail dann, egal ob die durch ist oder nicht.

'Deep protocol' tests machen mehr Schwierigkeiten, als sie nutzen haben. 
Soweit ich mich erinnere hatte Wietse Venema auch mal erwähnt, dass 
diese Tests praktisch keinen zusätzlichen Spam einfangen. Was wohl auch 
der Grund ist, warum diese Tests normalerweise deaktiviert sind.

-- 
Alex JOST


From ffiene at veka.com  Tue Feb 11 08:00:46 2020
From: ffiene at veka.com (Frank Fiene)
Date: Tue, 11 Feb 2020 08:00:46 +0100
Subject: Exchange Online
Message-ID: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>

Moin!

Wir kennt sich mit Szenarien der MS Exchange-Implementierungen aus?


Wir werden wahrscheinlich von HCL (IBM/Lotus) Domino auf Exchange wechseln, das betrifft aber lediglich die Mail-/Kalender-/Adressbuchfunktionalitäten.
Domino als Rapid-Developmentplattform kann im Moment noch kein Produkt von MS ersetzen.

Ich habe als CISO (außer meinem generellen Problem mit Outlook als MUA) nun zwei ?Herausforderungen?:

1.) Ich bezweifle das unsere Windows-Admins einen MDA überhaupt managen können,

aber 2.) Welchen Einfluss habe ich beim Filtern von SPAM und Malware, wenn man Exchange in der Cloud benutzen muss?


Exchange ist ja leider ein schlechter MTA und ich weiß nicht ob z.B. Exchange Online Protection (EoP) da ein gleichwertiger Ersatz für eine manuell konfigurierte und optimierte Lösung mit Postfix und rspamd ist.

Was kann EoP? Abweisen von SPAM/Viren anstatt zu markieren?
DKIM/SPF/DANE?
Erkennung von gefährlichen Office-Makros wie mit olefy?

Also eigentlich alles, was wir uns in den letzten Jahren mit Hilfe dieser Mailingliste erarbeitet haben?

Ihr seht schon worauf ich hinaus will: ;-)

Ich suche Argumente dagegen, unseren Postfix-MTA durch etwas von MS zu ersetzen.
Und was kostet eigentlich EoP?

Oder kann man sich in der MS-Cloud einen oder mehrere Linux-Server klicken, auf denen man seine eigenen MTAs betreibt, damit man nicht den MTA on-premise stehen hat, aber den MDA in der Cloud?

Hilfe!


Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200211/2411f9f9/attachment.asc>

From cr at ncxs.de  Tue Feb 11 08:27:08 2020
From: cr at ncxs.de (Carsten Rosenberg)
Date: Tue, 11 Feb 2020 08:27:08 +0100
Subject: Exchange Online
In-Reply-To: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
References: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
Message-ID: <79553f92-1c2c-122e-1cbc-59e6f9418571@ncxs.de>

Hey,

Soweit ich weiß kann man zumindest via Powershell so einiges bei
Exchange Online und EoP managen.

DKIM macht O365 flächendeckend.

Eingehend kannst du natürlich bei Postfix & Co bleiben. Da wird die
Kontrolle auf jeden Fall besser sein. Aber auch ausgehend kannst du in
Exchange Online Einfluss auf das Routing nehmen und die Mails auch über
Postfix routen.

In Azure bekommst du auch Linux Kisten ;)

Viele Grüße

Carsten

On 11.02.20 08:00, Frank Fiene wrote:
> Moin!
> 
> Wir kennt sich mit Szenarien der MS Exchange-Implementierungen aus?
> 
> 
> Wir werden wahrscheinlich von HCL (IBM/Lotus) Domino auf Exchange wechseln, das betrifft aber lediglich die Mail-/Kalender-/Adressbuchfunktionalitäten.
> Domino als Rapid-Developmentplattform kann im Moment noch kein Produkt von MS ersetzen.
> 
> Ich habe als CISO (außer meinem generellen Problem mit Outlook als MUA) nun zwei ?Herausforderungen?:
> 
> 1.) Ich bezweifle das unsere Windows-Admins einen MDA überhaupt managen können,
> 
> aber 2.) Welchen Einfluss habe ich beim Filtern von SPAM und Malware, wenn man Exchange in der Cloud benutzen muss?
> 
> 
> Exchange ist ja leider ein schlechter MTA und ich weiß nicht ob z.B. Exchange Online Protection (EoP) da ein gleichwertiger Ersatz für eine manuell konfigurierte und optimierte Lösung mit Postfix und rspamd ist.
> 
> Was kann EoP? Abweisen von SPAM/Viren anstatt zu markieren?
> DKIM/SPF/DANE?
> Erkennung von gefährlichen Office-Makros wie mit olefy?
> 
> Also eigentlich alles, was wir uns in den letzten Jahren mit Hilfe dieser Mailingliste erarbeitet haben?
> 
> Ihr seht schon worauf ich hinaus will: ;-)
> 
> Ich suche Argumente dagegen, unseren Postfix-MTA durch etwas von MS zu ersetzen.
> Und was kostet eigentlich EoP?
> 
> Oder kann man sich in der MS-Cloud einen oder mehrere Linux-Server klicken, auf denen man seine eigenen MTAs betreibt, damit man nicht den MTA on-premise stehen hat, aber den MDA in der Cloud?
> 
> Hilfe!
> 
> 
> Viele Grüße!
> Frank
> --
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AKTIENGESELLSCHAFT
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> http://www.veka.com
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand
> 
> HRB 8282 AG Münster/District Court of Münster
> 


From andreas at grabmueller.bayern  Tue Feb 11 13:54:26 2020
From: andreas at grabmueller.bayern (=?UTF-8?Q?Andreas_Grabm=C3=BCller?=)
Date: Tue, 11 Feb 2020 13:54:26 +0100
Subject: AW: Exchange Online
In-Reply-To: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
References: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
Message-ID: <024901d5e0da$71193f30$534bbd90$@grabmueller.bayern>

Servus,

was ich mich eher frage - kann man Exchange Online ohne ein eigenes Gateway davor überhaupt rechtskonform einsetzen?

Wie ich das sehe, dürfte man Microsoft dank CLOUD Act keine unverschlüsselten Mails anvertrauen, wenn man nicht ausschließen kann dass die personenbezogene Daten (sowas wie E-Mail-Adressen) enthalten. Und dafür müsste man ein Gateway davor setzen, das eingehende Mails verschlüsselt und ausgehende entschlüsselt. Das heißt dann aber auch, dass Spam- und Virenschutz in dem Gateway sein muss weil Microsoft dann die Mails ja nicht mehr lesen kann. Und ich nehme an man müsste dann irgendein Verschlüsselungsplugin für Outlook haben.

Oder gibt's dafür inzwischen andere Lösungen? Ich muss zugeben ich habe mich da in letzter Zeit nicht mehr mit beschäftigt.

Gruß,
Andreas

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Frank Fiene
Gesendet: Dienstag, 11. Februar 2020 08:01
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Exchange Online

Moin!

Wir kennt sich mit Szenarien der MS Exchange-Implementierungen aus?


Wir werden wahrscheinlich von HCL (IBM/Lotus) Domino auf Exchange wechseln, das betrifft aber lediglich die Mail-/Kalender-/Adressbuchfunktionalitäten.
Domino als Rapid-Developmentplattform kann im Moment noch kein Produkt von MS ersetzen.

Ich habe als CISO (außer meinem generellen Problem mit Outlook als MUA) nun zwei ?Herausforderungen?:

1.) Ich bezweifle das unsere Windows-Admins einen MDA überhaupt managen können,

aber 2.) Welchen Einfluss habe ich beim Filtern von SPAM und Malware, wenn man Exchange in der Cloud benutzen muss?


Exchange ist ja leider ein schlechter MTA und ich weiß nicht ob z.B. Exchange Online Protection (EoP) da ein gleichwertiger Ersatz für eine manuell konfigurierte und optimierte Lösung mit Postfix und rspamd ist.

Was kann EoP? Abweisen von SPAM/Viren anstatt zu markieren?
DKIM/SPF/DANE?
Erkennung von gefährlichen Office-Makros wie mit olefy?

Also eigentlich alles, was wir uns in den letzten Jahren mit Hilfe dieser Mailingliste erarbeitet haben?

Ihr seht schon worauf ich hinaus will: ;-)

Ich suche Argumente dagegen, unseren Postfix-MTA durch etwas von MS zu ersetzen.
Und was kostet eigentlich EoP?

Oder kann man sich in der MS-Cloud einen oder mehrere Linux-Server klicken, auf denen man seine eigenen MTAs betreibt, damit man nicht den MTA on-premise stehen hat, aber den MDA in der Cloud?

Hilfe!


Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster





From klaus at tachtler.net  Tue Feb 11 14:49:07 2020
From: klaus at tachtler.net (Klaus Tachtler)
Date: Tue, 11 Feb 2020 13:49:07 +0000 (UTC)
Subject: AW: Exchange Online
In-Reply-To: <024901d5e0da$71193f30$534bbd90$@grabmueller.bayern>
References: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
 <024901d5e0da$71193f30$534bbd90$@grabmueller.bayern>
Message-ID: <a930073c-1903-4c35-b308-747bbd48aada@localhost>


Hallo Andreas,

ein zentrales Ver- und Entschlüsselungsgateway würde eine mögliche Lösung sein (für den Ver- und Enstchlüsselubgsteil).

z.B. https://www.ciphermail.com/


Grüße
Klaus.
-- 

-- 
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.


-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------



From daniel at mail24.vip  Tue Feb 11 22:30:05 2020
From: daniel at mail24.vip (Daniel)
Date: Tue, 11 Feb 2020 22:30:05 +0100
Subject: AW: Kostenlose Anti Spam MX
In-Reply-To: <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de>
References: <000b01d2cc32$480e1800$d82a4800$@ist-immer-online.de>
 <88ceef7d-5c57-a768-afe3-00b7bc3f21e6@heinlein-support.de>
Message-ID: <001401d5e122$6d104c60$4730e520$@mail24.vip>

Moin Peer,

kann man auch mailbox.org als Backup MX nutzen?

Möchte die Emails für eigene Domains dann nicht im Webmailer, sondern auf dem Haupt MX wenn online ist.

Posteo bietet eigene Domains garnicht an, und sonst sieht Portunity noch ok aus für MX Backup.

Wenn es mit mailbox.org gehen würde, könnte ich Posteo auch als Relay ablösen. Und 2,50?/Monat sind schon recht Fair für die Leistung.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Peer Heinlein
Gesendet: Sonntag, 14. Mai 2017 09:36
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Re: Kostenlose Anti Spam MX

Am 13.05.2017 um 23:45 schrieb Daniel:

Hi.

> Ein Backup MX falls Haupt MX nicht erreichbar und noch ein MX welcher nur " 421 temporary error" ausliefert, für Spammer die gezielt
> sich an MX mit niedrigster Prio wendet.

Finde ich gut, unterrichten wir in unseren Kursen. Allerdings kann man
noch einen Schritt weitergehen und gleich einen DNS-MX-Record nehmen der
auf eine IP zeigt, dieGAR NICHT antwortet, idealerweise in der FW auf
DROP gesetzt ist und in einen Timeout liefert.

Schau Dir mal die MX-Records von mailbox.org an...

Ich hatte das mal getrackt wieviele IPs NICHT vom MX-50 auf die höheren
MXe hochrutschen. Zahlen habe ich leider vergessen, aber es war deutlich
sichtbar, daß man sich damit eine Menge Blödsinn vom Hals hält. -Mit
einem Rechner, den es noch nicht mal gibt...


> Also mal von abgesehen, dass man bei dem Dienst in den USA ist und nicht wirklich weiß wie die mit Mails umgehen.

Gib Deinem postfix eine zweite IP und mache in der master.cf einen smtpd
auf, der ein

-o smtpd_recipient_restrictions=defer

hat und schwupps ist der Dienst selber fertig. Dazu braucht man gar
keinen Dienst und offenbart auch nicht Dritten sensible Kommunikationsdaten.

Peer




From ffiene at veka.com  Thu Feb 13 07:44:29 2020
From: ffiene at veka.com (Frank Fiene)
Date: Thu, 13 Feb 2020 07:44:29 +0100
Subject: Exchange Online
In-Reply-To: <024901d5e0da$71193f30$534bbd90$@grabmueller.bayern>
References: <51883669-2A4F-4EB0-9895-4EC42FF4FE3B@veka.com>
 <024901d5e0da$71193f30$534bbd90$@grabmueller.bayern>
Message-ID: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>

> was ich mich eher frage - kann man Exchange Online ohne ein eigenes Gateway davor überhaupt rechtskonform einsetzen?
> 
> Wie ich das sehe, dürfte man Microsoft dank CLOUD Act keine unverschlüsselten Mails anvertrauen, wenn man nicht ausschließen kann dass die personenbezogene Daten (sowas wie E-Mail-Adressen) enthalten.

Huch! Gibt es dazu eine Quelle? Das würde ja alle Cloud-Lösungen als Mailsystem verhindern!


--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/52b2d0fc/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/52b2d0fc/attachment.asc>

From wn at neessen.net  Thu Feb 13 07:55:41 2020
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 13 Feb 2020 07:55:41 +0100
Subject: Exchange Online
In-Reply-To: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
Message-ID: <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>

Deine Annahme ist nicht korrekt. 
https://www.bsa.org/files/policy-filings/02282019CLOUDACTEUMythvsFact.pdf

Winni
-- 


> Am 13.02.2020 um 07:44 schrieb Frank Fiene <ffiene at veka.com>:
> 
> ?
>> was ich mich eher frage - kann man Exchange Online ohne ein eigenes Gateway davor überhaupt rechtskonform einsetzen?
>> 
>> Wie ich das sehe, dürfte man Microsoft dank CLOUD Act keine unverschlüsselten Mails anvertrauen, wenn man nicht ausschließen kann dass die personenbezogene Daten (sowas wie E-Mail-Adressen) enthalten. 
> 
> Huch! Gibt es dazu eine Quelle? Das würde ja alle Cloud-Lösungen als Mailsystem verhindern!
> 
> 
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AKTIENGESELLSCHAFT 
> Dieselstr. 8 
> 48324 Sendenhorst 
> Deutschland/Germany 
> http://www.veka.com 
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), 
> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, 
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand 
> 
> HRB 8282 AG Münster/District Court of Münster
> 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/552c20bf/attachment.htm>

From ffiene at veka.com  Thu Feb 13 08:06:35 2020
From: ffiene at veka.com (Frank Fiene)
Date: Thu, 13 Feb 2020 08:06:35 +0100
Subject: Exchange Online
In-Reply-To: <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
 <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
Message-ID: <1D5443D8-1107-4C8B-A2FE-CB415E6301BD@veka.com>

Hmm, schwierig.

"BSA?s members include: ?"

Genau das hätten die Member natürlich gerne.
Wenn die Gruppe der Anbieter dieser Cloud-Plattformen die einzige Quelle ist, sagt das erst mal gar nichts aus.
Im Moment sagen alle Quellen, die ich auf die schnelle gefunden habe, das Gegenteil aus.


Viele Grüße! Frank


> Am 13.02.2020 um 07:55 schrieb Winfried Neessen <wn at neessen.net>:
> 
> Deine Annahme ist nicht korrekt.
> https://www.bsa.org/files/policy-filings/02282019CLOUDACTEUMythvsFact.pdf <https://www.bsa.org/files/policy-filings/02282019CLOUDACTEUMythvsFact.pdf>
> 
> Winni
> --
> 
> 
>> Am 13.02.2020 um 07:44 schrieb Frank Fiene <ffiene at veka.com>:
>> 
>> ?
>>> was ich mich eher frage - kann man Exchange Online ohne ein eigenes Gateway davor überhaupt rechtskonform einsetzen?
>>> 
>>> Wie ich das sehe, dürfte man Microsoft dank CLOUD Act keine unverschlüsselten Mails anvertrauen, wenn man nicht ausschließen kann dass die personenbezogene Daten (sowas wie E-Mail-Adressen) enthalten.
>> 
>> Huch! Gibt es dazu eine Quelle? Das würde ja alle Cloud-Lösungen als Mailsystem verhindern!
>> 
>> 
>> --
>> Frank Fiene
>> IT-Security Manager VEKA Group
>> 
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
>> http://www.veka.com <http://www.veka.com/>
>> 
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>> 
>> VEKA AKTIENGESELLSCHAFT
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>> http://www.veka.com
>> 
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand
>> 
>> HRB 8282 AG Münster/District Court of Münster
>> 

Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AKTIENGESELLSCHAFT
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
http://www.veka.com

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand

HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/9dac1319/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/9dac1319/attachment.asc>

From kflesch at es-ag.com  Thu Feb 13 08:15:06 2020
From: kflesch at es-ag.com (Klaus Flesch)
Date: Thu, 13 Feb 2020 08:15:06 +0100
Subject: Exchange Online
In-Reply-To: <1D5443D8-1107-4C8B-A2FE-CB415E6301BD@veka.com>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
 <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
 <1D5443D8-1107-4C8B-A2FE-CB415E6301BD@veka.com>
Message-ID: <6b9293f7-a925-77e7-880d-fb3e0ab06288@es-ag.com>

Ich glaube der wichtigste Satz steht vorne:
> The CLOUD Act does not provide the US government with any *new* 
> authority to obtain content ? of either US, EU or other foreign 
> citizens ? on *national security grounds*. It also does not expand the 
> scope of who or what types of data can be subject to court-issued 
> warrants. 
Und da hat die USA schon bewiesen, das Sie dort skrupellos ist.

Gruß

Klaus Flesch

Am 13.02.20 um 08:06 schrieb Frank Fiene:
> Hmm, schwierig.
>
> "/BSA?s members include: ?"/
>
> Genau das hätten die Member natürlich gerne.
> Wenn die Gruppe der Anbieter dieser Cloud-Plattformen die einzige 
> Quelle ist, sagt das erst mal gar nichts aus.
> Im Moment sagen alle Quellen, die ich auf die schnelle gefunden habe, 
> das Gegenteil aus.
>
>
> Viele Grüße! Frank
>
>
>> Am 13.02.2020 um 07:55 schrieb Winfried Neessen <wn at neessen.net 
>> <mailto:wn at neessen.net>>:
>>
>> Deine Annahme ist nicht korrekt.
>> https://www.bsa.org/files/policy-filings/02282019CLOUDACTEUMythvsFact.pdf
>>
>> Winni
>> -- 
>>
>>
>>> Am 13.02.2020 um 07:44 schrieb Frank Fiene <ffiene at veka.com 
>>> <mailto:ffiene at veka.com>>:
>>>
>>> ?
>>>> was ich mich eher frage - kann man Exchange Online ohne ein eigenes 
>>>> Gateway davor überhaupt rechtskonform einsetzen?
>>>>
>>>> Wie ich das sehe, dürfte man Microsoft dank CLOUD Act keine 
>>>> unverschlüsselten Mails anvertrauen, wenn man nicht ausschließen 
>>>> kann dass die personenbezogene Daten (sowas wie E-Mail-Adressen) 
>>>> enthalten.
>>>
>>> Huch! Gibt es dazu eine Quelle? Das würde ja alle Cloud-Lösungen als 
>>> Mailsystem verhindern!
>>>
>>>
>>> -- 
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
>>> http://www.veka.com <http://www.veka.com/>
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>>
>>> VEKA AKTIENGESELLSCHAFT
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>> http://www.veka.com
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. 
>>> Andreas W. Hillebrand
>>>
>>> HRB 8282 AG Münster/District Court of Münster
>>>
>
> Viele Grüße!
> i.A. Frank Fiene
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AKTIENGESELLSCHAFT
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> http://www.veka.com
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. 
> Andreas W. Hillebrand
>
> HRB 8282 AG Münster/District Court of Münster
>

-- 
Klaus Flesch, Vorstand, Embedded Solutions AG
Kuehnheimerstrasse 21, D-79206 Breisach, Germany
Phone: +49 (7667) 933 876 Mobile: +49 (177) 913 95 96

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/14e58849/attachment.htm>

From driessen at fblan.de  Thu Feb 13 10:16:49 2020
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Thu, 13 Feb 2020 10:16:49 +0100
Subject: AW: Exchange Online
In-Reply-To: <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
 <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
Message-ID: <029601d5e24e$529faba0$f7df02e0$@fblan.de>

Im Auftrag von Winfried Neessen
> Betreff: Re: Exchange Online
> 
> Deine Annahme ist nicht korrekt.
> https://www.bsa.org/files/policy-
> filings/02282019CLOUDACTEUMythvsFact.pdf
> 
> Winni

Hallo Winni 
Schönes Paper :-) 

Für mich kommt cloud immer noch von "geklaut" die Frage ist nicht ob sondern nur wann :-) 

Eigene lokale Server auf denen Firmendaten gespeichert und gesichert werden ohne einmal um den Erdball gehen zu müssen ....

Da bin ich alte schule. Im Netz gibt es keine Sicherheit. Es gibt nur ziele die sich eher lohnen als andere. 
Deswegen eher die Angriffsfläche verteilen/verbreitern als viele Daten über zentrale Zugänge.

Wenn dann schon mit private und openkey verschlüsselt auf jedem Arbeitsplatz.

Wird noch bis zum nächsten "wir belauschen doch keine Verbündete" oder auch größeren Datenklau dauern bis das bei Anwendern wirklich ankommt.
Firmengeheimnisse und Personenbezogene Daten gehören verschlüsselt verschickt. 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "





From wn at neessen.net  Thu Feb 13 10:40:59 2020
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 13 Feb 2020 10:40:59 +0100
Subject: Exchange Online
In-Reply-To: <029601d5e24e$529faba0$f7df02e0$@fblan.de>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
 <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
 <029601d5e24e$529faba0$f7df02e0$@fblan.de>
Message-ID: <A590A769-2E48-443D-BC34-798EE65B59DF@neessen.net>

Hi,

On 13. Feb 2020, at 10:16, Uwe Drießen <driessen at fblan.de> wrote:

> Für mich kommt cloud immer noch von "geklaut" die Frage ist nicht ob sondern nur wann :-)
> 
Nunja... im Endeffekt ist "Cloud" nur ein modernes Hype-Wort fuer "Hosting bei einem Drittanbieter"
Dazu gehoert auch, wenn ich bei Hetzner einen Server anmiete und dort meine Daten speichere. Daher
finde ich, dass man solche Aussagen mit Vorsicht geniessen sollte, weil man sich schnell selbst in den
Fuss schiesst.

> Da bin ich alte schule. Im Netz gibt es keine Sicherheit. Es gibt nur ziele die sich eher lohnen als andere.
> Deswegen eher die Angriffsfläche verteilen/verbreitern als viele Daten über zentrale Zugänge.

Allgemein eine schoene Einstellung und in einem kleinen Umfeld laesst sich das sicherlich auch umsetzen.
Wenn man aber mit den "grossen Jungs" spielen moechte, kommt man nicht drumrum sich auch mit den
aktuell klassischen "Cloud"-Diensten wie Azure, AWS oder GCE auseinanderzusetzen und von vornherein
zu sagen: "Nee machen wir nicht" funktioniert in einem solchen Umfeld auch nicht. Man muss sich auf
Kompromisse einigen, die noch immer die beste Loesung in Sachen Sicherheit, Privacy und Flexibilitaet
bietet. Ich sage meinen Mitarbeitern immer: "Informationssicherheit soll ein 'Enabler' sein". Wenn man
generell alles abblockt, kommt man irgendwann an den Punkt, an dem die Mitarbeiter versuchen die
Sicherheitsmassnahmen zu umgehen oder dass die InfoSec Teams nicht mehr zu Entscheidungen ins
Boot geholt werden.

Aber ich philosophiere hier nur so rum. Das sind Grundsatzdiskussionen die man zwar fuehren kann, die
aber zu nichts fuehren und vermutlich auf dieser Liste auch am falschen Platz sind.


Winni
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200213/e83bc354/attachment.asc>

From infoomatic at gmx.at  Thu Feb 13 10:43:35 2020
From: infoomatic at gmx.at (infoomatic)
Date: Thu, 13 Feb 2020 10:43:35 +0100
Subject: AW: Exchange Online
In-Reply-To: <029601d5e24e$529faba0$f7df02e0$@fblan.de>
References: <6C9A5DD2-97DD-4AC8-83FA-03D4811317AB@veka.com>
 <D58F61F1-9D3C-44C7-93BF-5F493858F997@neessen.net>
 <029601d5e24e$529faba0$f7df02e0$@fblan.de>
Message-ID: <756c945c-e600-74b7-5f50-9488be0eef1b@gmx.at>

Da bin ich ganz deiner Meinung. Das Bild das andere auf mich haben hat
sich halt deswegen auch vom "hey fragen wir den der ist bei jeder
Hipstertech dabei" zum "fragen wir den besser nicht, der alte ist in
seiner Welt festgefahren und will keine Veränderungen" geändert :-D aber
naja, ich ich kann mit "ich habs euch ja gesagt" auch meinen Spass.

Wie sich CPU-Bugs in der Praxis ausnützen lassen weiss auch noch keiner,
und der nächste ist wahrscheinlich auch schon wieder um die Ecke.

Vor allem die jahrelange Erfahrung hat mich eins gelehrt: es kochen alle
nur mit Wasser! Ob es Facebook passiert dass irgendwelche Nachrichten
gelesen werden konnten oder Microsoft oder <egalwer>, Fehler passieren,
und auf einer großen Plattform mit unternehmensfremden Personen ist das
gewichtiger. Und es ist ja auch so dass die Software die läuft immer
komplexer wird - mehr Code, mehr Bugs. Recht viel mehr braucht man
eigentlich nicht sagen oder?

LG,
Robert



On 13.02.20 10:16, Uwe Drießen wrote:
> Im Auftrag von Winfried Neessen
>> Betreff: Re: Exchange Online
>>
>> Deine Annahme ist nicht korrekt.
>> https://www.bsa.org/files/policy-
>> filings/02282019CLOUDACTEUMythvsFact.pdf
>>
>> Winni
> Hallo Winni
> Schönes Paper :-)
>
> Für mich kommt cloud immer noch von "geklaut" die Frage ist nicht ob sondern nur wann :-)
>
> Eigene lokale Server auf denen Firmendaten gespeichert und gesichert werden ohne einmal um den Erdball gehen zu müssen ....
>
> Da bin ich alte schule. Im Netz gibt es keine Sicherheit. Es gibt nur ziele die sich eher lohnen als andere.
> Deswegen eher die Angriffsfläche verteilen/verbreitern als viele Daten über zentrale Zugänge.
>
> Wenn dann schon mit private und openkey verschlüsselt auf jedem Arbeitsplatz.
>
> Wird noch bis zum nächsten "wir belauschen doch keine Verbündete" oder auch größeren Datenklau dauern bis das bei Anwendern wirklich ankommt.
> Firmengeheimnisse und Personenbezogene Daten gehören verschlüsselt verschickt.
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
>
> Netzwerke, Server.
> Wir vernetzen Sie und Ihre Rechner !
>
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
> "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
>   dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren"
> "Programmierer müssen lernen wie Menschen denken."
>
>
>


From daniel at mail24.vip  Sat Feb 15 16:51:59 2020
From: daniel at mail24.vip (Daniel)
Date: Sat, 15 Feb 2020 16:51:59 +0100
Subject: Anfragen an list.dnswl.org scheitern
Message-ID: <002a01d5e417$e164d480$a42e7d80$@mail24.vip>

Hallo,

habt ihr auch Problem im Postscreen wenn man Google oder Cloudflare DNS verwendet dass DNSWL Anfragen von list.dnswl.org scheitern?
Anfrage an einen Telekom DNS klappen.

Mir ist immer wieder dnswl.org im Log aufgefallen
postfix/dnsblog[30318]: warning: dnsblog_query: lookup error for DNS query 105.219.234.185.list.dnswl.org: Host or domain name not
found. Name service error for name=105.219.234.185.list.dnswl.org type=A: Host not found, try again

Whitelist von Spamhaus (swl.spamhaus.org) fällt nicht im Log auf.

nslookup 105.219.234.185.list.dnswl.org. 8.8.8.8
Server:  dns.google
Address:  8.8.8.8
*** 105.219.234.185.list.dnswl.org. wurde von dns.google nicht gefunden: Query refused.

nslookup 105.219.234.185.list.dnswl.org. 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1
*** 105.219.234.185.list.dnswl.org. wurde von one.one.one.one nicht gefunden: Server failed.

nslookup 105.219.234.185.list.dnswl.org. 217.0.43.33
Server:  k-nxr-a01.isp.t-ipnet.de
Address:  217.0.43.33
Nicht autorisierende Antwort:
Name:    105.219.234.185.list.dnswl.org
Address:  127.0.0.255

Gruß Daniel




From mlpbu at admin.syntaxys.net  Sat Feb 15 17:14:47 2020
From: mlpbu at admin.syntaxys.net (Achim Lammerts)
Date: Sat, 15 Feb 2020 17:14:47 +0100
Subject: Anfragen an list.dnswl.org scheitern
In-Reply-To: <002a01d5e417$e164d480$a42e7d80$@mail24.vip>
References: <002a01d5e417$e164d480$a42e7d80$@mail24.vip>
Message-ID: <9ba3cb33-c261-386c-26ce-80ae5058dba7@admin.syntaxys.net>

Hallo Daniel,

vermutlich aus dem gleichen Grund, warum RBL's dicht machen, wenn zu 
viele Anfragen über stark frequentierte public resolver kommen. Wenn 
kein eigener named zur Verfügung steht, der solche Anfragen cachen kann, 
dann verwende z. B. Unbound als DNS-Cache auf dem Host, der die Anfragen 
stellt.

Gruß
Achim


Am 15.02.20 um 16:51 schrieb Daniel:
> Hallo,
>
> habt ihr auch Problem im Postscreen wenn man Google oder Cloudflare DNS verwendet dass DNSWL Anfragen von list.dnswl.org scheitern?
> Anfrage an einen Telekom DNS klappen.
>
> Mir ist immer wieder dnswl.org im Log aufgefallen
> postfix/dnsblog[30318]: warning: dnsblog_query: lookup error for DNS query 105.219.234.185.list.dnswl.org: Host or domain name not
> found. Name service error for name=105.219.234.185.list.dnswl.org type=A: Host not found, try again
>
> Whitelist von Spamhaus (swl.spamhaus.org) fällt nicht im Log auf.
>
> nslookup 105.219.234.185.list.dnswl.org. 8.8.8.8
> Server:  dns.google
> Address:  8.8.8.8
> *** 105.219.234.185.list.dnswl.org. wurde von dns.google nicht gefunden: Query refused.
>
> nslookup 105.219.234.185.list.dnswl.org. 1.1.1.1
> Server:  one.one.one.one
> Address:  1.1.1.1
> *** 105.219.234.185.list.dnswl.org. wurde von one.one.one.one nicht gefunden: Server failed.
>
> nslookup 105.219.234.185.list.dnswl.org. 217.0.43.33
> Server:  k-nxr-a01.isp.t-ipnet.de
> Address:  217.0.43.33
> Nicht autorisierende Antwort:
> Name:    105.219.234.185.list.dnswl.org
> Address:  127.0.0.255
>
> Gruß Daniel
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200215/d2ec8890/attachment.htm>

From daniel at mail24.vip  Sun Feb 16 18:39:06 2020
From: daniel at mail24.vip (Daniel)
Date: Sun, 16 Feb 2020 18:39:06 +0100
Subject: =?iso-8859-1?Q?Greylist_noch_zeitgem=E4=DF=3F?=
Message-ID: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>

Guten Tag,

ist Milter Greylist noch zeitgemäß? Sämtliche Infos zu wie z.B. Folien vom Peer auf seiner Heinlein Support Seite, ältere Mails wie
https://listi.jpberlin.de/pipermail/postfixbuch-users/2009-March/048962.html oder andere Blogbeiträge und so sind schon etwa 10
Jahre alt.

In der Config sind auch für broken MTA alte Einträge von AOL und co, ist doch auch schon eher toter Internet Dino.

Wenn ihr Greylist einsetzt, dann paar Wochen auf Whitelist zum trainieren, und dann auf greylist "scharf" schalten?

Habt ihr Script/Tools oder so womit ihr ggf. Whitelist anreichert mit ganzen SPF Einträgen von Microsoft, Google, Amazon, Steam, EA
und co?

Untrainiert ist ganze nicht sonderlich, hatte den mal für paar Stunden ausprobiert, einiges wurde erst korrekt abgelehnt, 10 Minuten
später normal durch, soweit so gut, jedoch Newsletter von Galaria Kaufhof haute gleich quer, über 4 Stunden Verzögerung, immer
wieder Ablehnung, da über 24 verschiedene Server verwendet wurden.

Wäre unschön wenn User sich irgendwo registrieren und Aktiverungslink anklicken müssen, oder zwei Wege Authentifizierung über Email
nutzen, und dann dort entsprechende Verzögerung sind.

Gruß Daniel




From infoomatic at gmx.at  Sun Feb 16 19:07:56 2020
From: infoomatic at gmx.at (infoomatic)
Date: Sun, 16 Feb 2020 19:07:56 +0100
Subject: =?UTF-8?B?UmU6IEdyZXlsaXN0IG5vY2ggemVpdGdlbcOkw58/?=
In-Reply-To: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
References: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
Message-ID: <95950497-fbdd-14b8-e883-0528860fe5b5@gmx.at>

Hi,

Zum Whitelisten verwende ich https://github.com/stevejenkins/postwhite -
ist ganz brauchbar, aber natürlich hat man von Sendern die man nicht
whitelistet und bei Zustellversuchen über mehrere Server iterieren schon
noch das Problem der Verzögerung.

LG,

Robert


On 16.02.20 18:39, Daniel wrote:
> Guten Tag,
>
> ist Milter Greylist noch zeitgemäß? Sämtliche Infos zu wie z.B. Folien vom Peer auf seiner Heinlein Support Seite, ältere Mails wie
> https://listi.jpberlin.de/pipermail/postfixbuch-users/2009-March/048962.html oder andere Blogbeiträge und so sind schon etwa 10
> Jahre alt.
>
> In der Config sind auch für broken MTA alte Einträge von AOL und co, ist doch auch schon eher toter Internet Dino.
>
> Wenn ihr Greylist einsetzt, dann paar Wochen auf Whitelist zum trainieren, und dann auf greylist "scharf" schalten?
>
> Habt ihr Script/Tools oder so womit ihr ggf. Whitelist anreichert mit ganzen SPF Einträgen von Microsoft, Google, Amazon, Steam, EA
> und co?
>
> Untrainiert ist ganze nicht sonderlich, hatte den mal für paar Stunden ausprobiert, einiges wurde erst korrekt abgelehnt, 10 Minuten
> später normal durch, soweit so gut, jedoch Newsletter von Galaria Kaufhof haute gleich quer, über 4 Stunden Verzögerung, immer
> wieder Ablehnung, da über 24 verschiedene Server verwendet wurden.
>
> Wäre unschön wenn User sich irgendwo registrieren und Aktiverungslink anklicken müssen, oder zwei Wege Authentifizierung über Email
> nutzen, und dann dort entsprechende Verzögerung sind.
>
> Gruß Daniel
>
>


From bjo at schafweide.org  Sun Feb 16 20:08:48 2020
From: bjo at schafweide.org (Bjoern Franke)
Date: Sun, 16 Feb 2020 20:08:48 +0100
Subject: =?UTF-8?B?UmU6IEdyZXlsaXN0IG5vY2ggemVpdGdlbcOkw58/?=
In-Reply-To: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
References: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
Message-ID: <a423a1dc-ce27-dd7a-7198-eb6a04676aa2@schafweide.org>

Moin,

> ist Milter Greylist noch zeitgemäß? Sämtliche Infos zu wie z.B. Folien vom Peer auf seiner Heinlein Support Seite, ältere Mails wie
> https://listi.jpberlin.de/pipermail/postfixbuch-users/2009-March/048962.html oder andere Blogbeiträge und so sind schon etwa 10
> Jahre alt.

meines Erachtens nach macht rspamd ohne postscreen davor mehr Sinn, 
welcher dann bei verdächtigen Mails auch nochmal Greylisting betreibt. 
ESP, die eh auf der DNSWL stehen, erhalten dann auch keine Verzögerung.

Viele Grüße
Björn




From karol at babioch.de  Sun Feb 16 20:49:08 2020
From: karol at babioch.de (Karol Babioch)
Date: Sun, 16 Feb 2020 20:49:08 +0100
Subject: =?UTF-8?B?UmU6IEdyZXlsaXN0IG5vY2ggemVpdGdlbcOkw58/?=
In-Reply-To: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
References: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
Message-ID: <ec3a57ef-25d4-5730-f838-f12061ded7f8@babioch.de>

Hallo,

Am 16.02.20 um 18:39 schrieb Daniel:
> Wäre unschön wenn User sich irgendwo registrieren und Aktiverungslink anklicken müssen, oder zwei Wege Authentifizierung über Email
> nutzen, und dann dort entsprechende Verzögerung sind.

Genau deswegen ist meiner Meinung nach Greylisting auch schon immer
"unschön" - zumindest der naive Ansatz bei welchem man alles Unbekannte
zunächst abweist.

Gefühlt hat die Notwendigkeit irgendwelche Aktivierungslinks bzw. das
Zusenden von Zwei-Faktor Codes via Mail in den letzten Jahren auch eher
zugenommen. Diese sind oft auch nur für wenige Minuten gültig.

Insofern sollte die E-Mail Zustellung in den allermeisten Fällen in
Echtzeit passieren.

Eine Integration in die Anti-Spam-Lösung macht da schon mehr Sinn. Wenn
die E-Mali eh schon verdächtig ist, dann schickt man sie ins ggf. ins
Greylsting. rspamd macht dies z.B. "out-of-the-box". Andererseits landen
in meinem Fall nur die wenigsten Mails im Greylisting, da sie entweder
so spammy sind, dass sie direkt abgewiesen werden, oder aber auf Anhieb
durchrutschen.

Letztendlich ist das aber Geschmacks- und Konfigurationssache - und
hängt wohl auch von der Erwartungshaltung der Benutzer ab.

Mit freundlichen Grüßen,
Karol Babioch

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200216/8fcdbcb2/attachment.asc>

From andreas.schulze at datev.de  Mon Feb 17 08:01:11 2020
From: andreas.schulze at datev.de (Andreas Schulze)
Date: Mon, 17 Feb 2020 08:01:11 +0100
Subject: Anfragen an list.dnswl.org scheitern
In-Reply-To: <002a01d5e417$e164d480$a42e7d80$@mail24.vip>
References: <002a01d5e417$e164d480$a42e7d80$@mail24.vip>
Message-ID: <145628a4-0c0b-e534-f999-ce6ebf828131@datev.de>

Am 15.02.20 um 16:51 schrieb Daniel:
> habt ihr auch Problem im Postscreen wenn man Google oder Cloudflare DNS verwendet dass DNSWL Anfragen von list.dnswl.org scheitern?
> Anfrage an einen Telekom DNS klappen.

dnswl.org liefert an einen "Fragenden" bis zu 100000 Antworten pro Tag ( dnswl.org -> Background -> Terms & Conditions )
Google oder Cloudflare DNS liegen wohl drüber, ev. betreibt die Telekom einen Mirror.

Ob der verwendete Resolver geblockt ist oder nicht, kann man selbst prüfen:

$ dig amiblocked.dnswl.org. txt +short
"no"

# dig @8.8.8.8 amiblocked.dnswl.org. txt +short
"You are blocked from using list.dnswl.org through public nameservers"
"yes"

Andreas


-- 
A. Schulze
DATEV eG


From daniel at mail24.vip  Mon Feb 17 11:33:16 2020
From: daniel at mail24.vip (Daniel)
Date: Mon, 17 Feb 2020 11:33:16 +0100
Subject: Noch altes TLS 1.0 und 1.1 einsetzen?
Message-ID: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>

Guten Tag,

setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B.
iPhone4, und nach dem Motto "lieber schlechte Verschlüsselung als keine"?

Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert, wenn diese auch keinen Wert auf aktuelles System legen?

Auszug von https://marius.bloggt-in-braunschweig.de/2018/02/21/mailserver-gebrochenes-tls-im-einsatz/ :
Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.

Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html

Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Gruß Daniel




From stse+postfixbuch at fsing.rootsland.net  Mon Feb 17 11:52:35 2020
From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz)
Date: Mon, 17 Feb 2020 11:52:35 +0100
Subject: Noch altes TLS 1.0 und 1.1 einsetzen?
In-Reply-To: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>
References: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>
Message-ID: <20200217T114548.GA.d89a9.stse@fsing.rootsland.net>

On Mo, Feb 17, 2020 at 11:33:16 +0100, Daniel wrote:
>setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere 
>Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B.
>iPhone4, und nach dem Motto "lieber schlechte Verschlüsselung als keine"?

Du bist auf einer Mailingliste zum Thema Postfix. Damit fragst du 
vermutlich im Zusammenhang zu SMTP und nicht HTTP.

Bei SMTP kannst du jetzt noch unterscheiden, ob es sich um die 
Transportverschlüsselung zw. Servern oder den Submission-Port für die 
direkte Mailabgabe von Clients mit Authentifizierung handelt.

Im ersten Fall solltest du alles ab TLSv1 (einschließlich) erlauben. Da 
ist es tatsächlich besser, wenn noch TLSv1 verwendet wird als wenn der 
Server dann gar keine Verschlüsselung verwendet.

Im zweiten Fall brauchst du tatsächlich nur TLSv1.2 und höher, denn das 
sollte jeder halbwegs moderne Client hinbekommen.

>Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert, 
>wenn diese auch keinen Wert auf aktuelles System legen?

Im Zweifel hast du dann gar keine Verschlüsselung zwischen den Servern.

Bei HTTP, POP3 oder IMAP würde ich allerdings auch nur TLSv1.2 und höher 
einsetzen.

Shade and sweet water!

	Stephan

-- 
|    If your life was a horse, you'd have to shoot it.    |


From tw at b-a-l-u.de  Mon Feb 17 17:13:45 2020
From: tw at b-a-l-u.de (Thomas Walter)
Date: Mon, 17 Feb 2020 17:13:45 +0100
Subject: Noch altes TLS 1.0 und 1.1 einsetzen?
In-Reply-To: <20200217T114548.GA.d89a9.stse@fsing.rootsland.net>
References: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>
 <20200217T114548.GA.d89a9.stse@fsing.rootsland.net>
Message-ID: <f81c1779-5972-8e91-dece-1bbdc9fdd911@b-a-l-u.de>

Moin,

On 17.02.20 11:52, Stephan Seitz wrote:
> On Mo, Feb 17, 2020 at 11:33:16 +0100, Daniel wrote:
> Im ersten Fall solltest du alles ab TLSv1 (einschließlich) erlauben. Da
> ist es tatsächlich besser, wenn noch TLSv1 verwendet wird als wenn der
> Server dann gar keine Verschlüsselung verwendet.
> 
> Im zweiten Fall brauchst du tatsächlich nur TLSv1.2 und höher, denn das
> sollte jeder halbwegs moderne Client hinbekommen.
> 
>> Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen
>> Wert, wenn diese auch keinen Wert auf aktuelles System legen?
> 
> Im Zweifel hast du dann gar keine Verschlüsselung zwischen den Servern.

oder Du machst es wie IT.Niedersachsen und nimmst keine
unverschlüsselten oder TLS!=1.2 E-Mails mehr an:

https://www.it.niedersachsen.de/startseite/it_news/aktuelles/tls-177563.html

Grüße,
     Balu


From p at sys4.de  Tue Feb 18 19:36:00 2020
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 18 Feb 2020 19:36:00 +0100
Subject: Noch altes TLS 1.0 und 1.1 einsetzen?
In-Reply-To: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>
References: <003801d5e57d$b01904c0$104b0e40$@mail24.vip>
Message-ID: <20200218183600.l2ahk7ccdu4helic@sys4.de>

Hallo Daniel!

* Daniel <postfixbuch-users at listen.jpberlin.de>:
> setzt ihr noch altes TLS ein, um möglichst kompatibel zu sein für ältere
> Systeme oder Benutzer mit alten Geräten bzw. Clieten z.B. iPhone4, und nach
> dem Motto "lieber schlechte Verschlüsselung als keine"?

Teilweise konfigurieren wir die Plattformen unserer Kunden nach der Devise
"besser schwache/alte Transportverschlüsselung als keine". Dem geht in der
Regel eine Analyse des SMTP-Verkehrs voraus und der Kunde kann dann nach
Datenlage entscheiden, für wen er die Standards senken möchte oder muss. Wir
raten den Kunden auch ihren (geschäftlichen) Kommunikationspartnern aber auch
klare Zeitziele zu setzen. Das Spiel nennt sich "comply or explain".

> Oder eher nur 1.2 und 1.3 und auf den Rest legt man einfach keinen Wert,
> wenn diese auch keinen Wert auf aktuelles System legen?
> 
> Auszug von https://marius.bloggt-in-braunschweig.de/2018/02/21/mailserver-gebrochenes-tls-im-einsatz/ :
> Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
> werden nicht mehr empfohlen.
> 
> Für die Bundesverwaltung hat das BSI einen Mindeststandard zum Einsatz von
> TLS entwickelt, der für die Stellen des Bundes verbindlich umzusetzen ist:
> https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindeststandards/Mindeststandard_BSI_TLS_1_2_Version_1_0.pdf 
> https://www.bsi.bund.de/DE/Themen/StandardsKriterien/Mindeststandards/SSL-TLS-Protokoll/SSL-TLS-Protokoll_node.html
> 
> Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
> fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

Die Betonung liegt auf "fordert". Die Mailplattformen der Behörden sind vielen
Herausforderungen unterworfen. Da gehören Migrationen, wie z.B. der Wechsel
vom IVBB zum NDB ? mit Featurefreeze, Upgrade-Stop und Reorganisation - ebenso
dazu wie Beschaffungszeiträume von 1-2 Jahren für einfache Dinge. Der
Forderung steht also die Fähigkeit dieser nachkommen zu können gegenüber.

Wichtig ist IMO ein klares Bekenntnis zu einem Ziel, wie z.B. "TR-02102-2
umsetzen", eine Standortbestimmung und ein Weg dorthin. Disruptiv, wie es so
viele Admins in ihrer eigenen Welt leben können, weil die Abhängigkeiten so
gering sind, ist bei den Behörden gar nichts.

Oder wie es ein Herr vom BSI kürzlich beim Treffen der KG E-Mail der eco.de
sagte: "Meine Damen und Herren, wenn man in der Verwaltung des Bundes tätig
ist denkt man in Jahrzehnten, um Features umzusetzen." Ich sehe das ähnlich
und bemühe dafür immer diesen Spruch von REWE: "Jeden Tag ein bisschen
besser?"

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



From postfix at linuxmaker.de  Thu Feb 20 08:14:41 2020
From: postfix at linuxmaker.de (Andreas)
Date: Thu, 20 Feb 2020 08:14:41 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
Message-ID: <3746207.db7uyXxo8x@stuttgart>

Guten Morgen zusammen,

mich interessiert es, ab wann eine eMail juristisch als zugestellt gilt.
Ist das der Fall, sobald die Mail die Netzwerkkarte erreicht hat oder erst bei 
Zustellung in das Postfach des jeweiligen Mailaccounts?

Wie verhält es sich, wenn die Mail durch Restrictions oder Blacklists einen 
REJECT erfährt?

Und wie sieht es aus, wenn die Mail als SPAM oder MALWARE identifiert und 
abgewiesen wird?

Gibt dazu auch rechtliche Bestimmungen?

Vielen Dank für eine rege Diskussion und beste Grüße

Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/f1447430/attachment.htm>

From p at sys4.de  Thu Feb 20 08:23:09 2020
From: p at sys4.de (Patrick Ben Koetter)
Date: Thu, 20 Feb 2020 08:23:09 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <3746207.db7uyXxo8x@stuttgart>
References: <3746207.db7uyXxo8x@stuttgart>
Message-ID: <20200220072309.5xworo4gj2uxfi7v@sys4.de>

Guten Morgen Andreas,

* Andreas <postfixbuch-users at listen.jpberlin.de>:
> mich interessiert es, ab wann eine eMail juristisch als zugestellt gilt.
> Ist das der Fall, sobald die Mail die Netzwerkkarte erreicht hat oder erst bei 
> Zustellung in das Postfach des jeweiligen Mailaccounts?
> 
> Wie verhält es sich, wenn die Mail durch Restrictions oder Blacklists einen 
> REJECT erfährt?
> 
> Und wie sieht es aus, wenn die Mail als SPAM oder MALWARE identifiert und 
> abgewiesen wird?

Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit geht die
Verantwortung für die Zustellung an den Betreiber des Servers über. Wenn er
die Nachricht dann nicht in die Mailbox legt oder den/die Empfänger*in über
das Rückhalten der Nachricht (Quarantäne) in Kenntnis setzt, macht der
Betreiber sich strafbar.

Alles was der Server "in Session" rejected, gilt als nicht angenommen. Aus
diesem Grund reden wir immer von "pre-Queue" scannen mit smtpd_proxy_filter
oder smtpd_milters, denn diese beiden Methoden setzen pre-Queue scannen um.


> Gibt dazu auch rechtliche Bestimmungen?

@Peer? (Der darf das. Der ist Anwalt?)

> Vielen Dank für eine rege Diskussion und beste Grüße

Bitte keinen Flamwar. Das Thema hatten wir schon hoch und runter. :-)

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



From postfix at linuxmaker.de  Thu Feb 20 10:07:27 2020
From: postfix at linuxmaker.de (Andreas)
Date: Thu, 20 Feb 2020 10:07:27 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <20200220072309.5xworo4gj2uxfi7v@sys4.de>
References: <3746207.db7uyXxo8x@stuttgart>
 <20200220072309.5xworo4gj2uxfi7v@sys4.de>
Message-ID: <3121524.am2frHi3PY@stuttgart>

Hallo Patrick,

vielen Dank für Dein Feedback.
> 
> Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit geht
> die Verantwortung für die Zustellung an den Betreiber des Servers über.
> Wenn er die Nachricht dann nicht in die Mailbox legt oder den/die
> Empfänger*in über das Rückhalten der Nachricht (Quarantäne) in Kenntnis
> setzt, macht der Betreiber sich strafbar.
> 
> Alles was der Server "in Session" rejected, gilt als nicht angenommen. Aus
> diesem Grund reden wir immer von "pre-Queue" scannen mit smtpd_proxy_filter
> oder smtpd_milters, denn diese beiden Methoden setzen pre-Queue scannen um.
> 
Fällt in diesen Bereich auch noch smtpd_recipient_restrictions und damit 
verbunden check_sender_access?
Ich frage deshalb, weil ich hier gezielt einen REJECT für Absender eintragen 
kann. 
Wenn nein, dann wäre meine Folgefrage, wie dieser Abesender-REJECT innerhalb 
der pre-Queue realisiert werden kann.

> Bitte keinen Flamwar. Das Thema hatten wir schon hoch und runter. :-)
Glaube ich sofort, dass das irgendwann schon mal hier aufgetaucht ist.

Beste Grüße

Andreas






From driessen at fblan.de  Thu Feb 20 10:12:10 2020
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Thu, 20 Feb 2020 10:12:10 +0100
Subject: AW: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <3121524.am2frHi3PY@stuttgart>
References: <3746207.db7uyXxo8x@stuttgart>
 <20200220072309.5xworo4gj2uxfi7v@sys4.de> <3121524.am2frHi3PY@stuttgart>
Message-ID: <007e01d5e7cd$d5734170$8059c450$@fblan.de>

Im Auftrag von Andreas
> 
> vielen Dank für Dein Feedback.
> >
> > Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit
> geht

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Hat dein Server sein 250 OK an den einliefernden Server geantwortet hast du die Verantwortung !!!

> Fällt in diesen Bereich auch noch smtpd_recipient_restrictions und damit
> verbunden check_sender_access?
> Ich frage deshalb, weil ich hier gezielt einen REJECT für Absender eintragen
> kann.
> Wenn nein, dann wäre meine Folgefrage, wie dieser Abesender-REJECT
> innerhalb
> der pre-Queue realisiert werden kann.
> 

Solange du KEIN 250 OK an den gegenüber sendest ....... s.o.

Trags ein und schau in dein Log was passiert wenn der Absender -> empfänger combi auftritt

> > Bitte keinen Flamwar. Das Thema hatten wir schon hoch und runter. :-)
> Glaube ich sofort, dass das irgendwann schon mal hier aufgetaucht ist.

Deswegen gibt es suchfunktion :-) 

> 
> Beste Grüße
> 
> Andreas
> 
> 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "





From daniel at mail24.vip  Thu Feb 20 11:03:33 2020
From: daniel at mail24.vip (Daniel)
Date: Thu, 20 Feb 2020 11:03:33 +0100
Subject: AW: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <3746207.db7uyXxo8x@stuttgart>
References: <3746207.db7uyXxo8x@stuttgart>
Message-ID: <001601d5e7d5$088d35a0$19a7a0e0$@mail24.vip>

Moin,

wie schon erwähnt wurde, wird ganze mit 250 angenommen gilt es als zugestellt, Betreiber für alles weitere Verantwortlich und Haftbar wenn er es nicht dem Nutzer bereitstellt. Egal ob es später feststellst dass es Spam ist, einen Virus ist oder sonst was, ist dann dein Problem.

Gibt da auch vom Peere einige nette Folien als PDF dazu.
https://www.heinlein-support.de/sites/default/files/rechtsfragen-fuer-postmaster.pdf

Der Nutzer hat auch ein Problem wenn er markierte (Spam) Mails nicht liest, siehe dazu z.B. https://www.lto.de/recht/job-karriere/j/lg-bonn-urteil-15-o-189-13-spam-mail-schadensersatz/ oder andere Quellen.

Soweit zumindest allgemeine Infos, konkrete individuelle Beratung macht dann ggf. ein Anwalt.

Sonst gibt es auf https://www.heinlein-support.de/vortrag auch noch andere nette Folien.

Gruß Daniel

Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Andreas
Gesendet: Donnerstag, 20. Februar 2020 08:15
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Ab wann gilt eine Mail als zugestellt?

Guten Morgen zusammen,
 
mich interessiert es, ab wann eine eMail juristisch als zugestellt gilt.
Ist das der Fall, sobald die Mail die Netzwerkkarte erreicht hat oder erst bei Zustellung in das Postfach des jeweiligen Mailaccounts?
 
Wie verhält es sich, wenn die Mail durch Restrictions oder Blacklists einen REJECT erfährt?
 
Und wie sieht es aus, wenn die Mail als SPAM oder MALWARE identifiert und abgewiesen wird?
 
Gibt dazu auch rechtliche Bestimmungen?
 
Vielen Dank für eine rege Diskussion und beste Grüße
 
Andreas



From martin at lichtvoll.de  Thu Feb 20 11:39:28 2020
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Thu, 20 Feb 2020 11:39:28 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <20200220072309.5xworo4gj2uxfi7v@sys4.de>
References: <3746207.db7uyXxo8x@stuttgart>
 <20200220072309.5xworo4gj2uxfi7v@sys4.de>
Message-ID: <3624057.A81JICtsCF@merkaba>

Hi Patrick,

Patrick Ben Koetter - 20.02.20, 08:23:09 CET:
> * Andreas <postfixbuch-users at listen.jpberlin.de>:
> > mich interessiert es, ab wann eine eMail juristisch als zugestellt
> > gilt. Ist das der Fall, sobald die Mail die Netzwerkkarte erreicht
> > hat oder erst bei Zustellung in das Postfach des jeweiligen
> > Mailaccounts?
> > 
> > Wie verhält es sich, wenn die Mail durch Restrictions oder
> > Blacklists einen REJECT erfährt?
> > 
> > Und wie sieht es aus, wenn die Mail als SPAM oder MALWARE
> > identifiert und abgewiesen wird?
> 
> Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit
> geht die Verantwortung für die Zustellung an den Betreiber des
> Servers über. Wenn er die Nachricht dann nicht in die Mailbox legt
> oder den/die Empfänger*in über das Rückhalten der Nachricht
> (Quarantäne) in Kenntnis setzt, macht der Betreiber sich strafbar.

Danke die für Deine Antwort auf die Frage von Andreas. So kannte ich das 
bislang auch. Demnach wäre auf SMTP-Ebene als Spam ablehnen oder 
Greylisten rechtssicher.

1) Wie ist es, wenn bei dem kaputten Spamfilter von Office 365 ? der 
funktioniert, zumindest soweit ich das kenne, um einige Stufen 
schlechter, als der von mir derzeit nur rudimentär konfigurierte und 
zusätzlich noch als Debian-Paket installierte und damit veraltete 
rspamd, der mittlerweile sogar ohne Hilfe von Postscreen werkelt, im 
Grunde ist das einer der schlechtesten Spamfilter, die ich bislang 
gesehen habe, keine Ahnung was Microsoft da macht ? die Nachricht, dass 
da eine Mail in Quarantäne ist, erst am *nächsten* Tag kommt?

2) Wie ist es, wenn Microsoft dann diese Mail dann auch nur für 15 Tage 
vorhält und der entsprechende Mitarbeiter für 4 Wochen in Urlaub ist, 
zurück kommt und sieht, dass die 15 Tage abgelaufen sind?

Kennst Du dazu irgendwelche Quellen? Ich bin ja der Meinung, dass das so 
rechtswidrig ist.

(Und ja, ich weiß: Ist alles keine Rechtsberatung hier. Aber wenn Du ein 
paar Hinweise oder URLs dazu hast, sehr gerne.)

Danke,
-- 
Martin




From postfix at linuxmaker.de  Thu Feb 20 11:47:03 2020
From: postfix at linuxmaker.de (Andreas)
Date: Thu, 20 Feb 2020 11:47:03 +0100
Subject: AW: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <007e01d5e7cd$d5734170$8059c450$@fblan.de>
References: <3746207.db7uyXxo8x@stuttgart> <3121524.am2frHi3PY@stuttgart>
 <007e01d5e7cd$d5734170$8059c450$@fblan.de>
Message-ID: <3923303.hXtOYKNcJ2@stuttgart>

> > > Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit
> > 
> > geht
> 
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Hat dein Server sein 250 OK an den einliefernden Server geantwortet hast du
> die Verantwortung !!!
> > Fällt in diesen Bereich auch noch smtpd_recipient_restrictions und damit
> > verbunden check_sender_access?
> > Ich frage deshalb, weil ich hier gezielt einen REJECT für Absender
> > eintragen kann.
> > Wenn nein, dann wäre meine Folgefrage, wie dieser Abesender-REJECT
> > innerhalb
> > der pre-Queue realisiert werden kann.
> 
> Solange du KEIN 250 OK an den gegenüber sendest ....... s.o.
> 
> Trags ein und schau in dein Log was passiert wenn der Absender -> empfänger
> combi auftritt

Okay,

soweit ist das klar. Im Übrigen geht es mir hier weniger darum, dass SPAM zu- 
oder nicht zugestellt wird, sondern ganz allgemein um den Zeitpunkt der 
erfolgreichen Zustellung.

An zwei Mailservern sehe ich das jetzt, wenn ich eine Mailadresse des 
sendenden Mailservers ich check_sender_access eintrage, wird zwar ein REJECT 
im Log-File des empfangenden Mailservers eingetragen. Ein OK bzw. 250 sehe ich 
nur wenn die Mail am Anderen durchgelassen wird.

Also mir geht es mehr darum, wo ich meine Restrictions eintrage für 
Mailadressen, die meinen Server erst gar nicht passieren dürfen. Ist mit dem 
554 Code bereits die Zustellung bei mir erfolgt oder kam es erst gar nicht zu 
einer Zustellung?

Beste Grüße

Andreas




From martin at lichtvoll.de  Thu Feb 20 11:43:20 2020
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Thu, 20 Feb 2020 11:43:20 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <001601d5e7d5$088d35a0$19a7a0e0$@mail24.vip>
References: <3746207.db7uyXxo8x@stuttgart>
 <001601d5e7d5$088d35a0$19a7a0e0$@mail24.vip>
Message-ID: <1618305.9OIMiaoXzx@merkaba>

Hi Daniel, hi Patrick, hi ihr.

@Patrick: Ich hab mal wieder erst geantwortet als alle Mails in dem 
Thread zu lesen. Ich denke, die Links dürften meine Fragen beantworten. 
Fühle Dich also frei, meine Mail zu ignorieren. Bist Du ja eh :)

Daniel - 20.02.20, 11:03:33 CET:
> Moin,
[?]
> Gibt da auch vom Peere einige nette Folien als PDF dazu.
> https://www.heinlein-support.de/sites/default/files/rechtsfragen-fuer-> postmaster.pdf
> 
> Der Nutzer hat auch ein Problem wenn er markierte (Spam) Mails nicht
> liest, siehe dazu z.B.
> https://www.lto.de/recht/job-karriere/j/lg-bonn-urteil-15-o-189-13-sp
> am-mail-schadensersatz/ oder andere Quellen.
> 
> Soweit zumindest allgemeine Infos, konkrete individuelle Beratung
> macht dann ggf. ein Anwalt.

Danke Dir für diese Links, Daniel.
 
> Sonst gibt es auf https://www.heinlein-support.de/vortrag auch noch
> andere nette Folien.
[?]
-- 
Martin




From daniel at mail24.vip  Thu Feb 20 12:51:13 2020
From: daniel at mail24.vip (Daniel)
Date: Thu, 20 Feb 2020 12:51:13 +0100
Subject: AW: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <3624057.A81JICtsCF@merkaba>
References: <3746207.db7uyXxo8x@stuttgart>
 <20200220072309.5xworo4gj2uxfi7v@sys4.de> <3624057.A81JICtsCF@merkaba>
Message-ID: <003901d5e7e4$12e624d0$38b26e70$@mail24.vip>

Moin,

meiner Auffassung nach handelt MS hier strafrechtlich, wenn der Nutzer diesem nicht ausdrücklich zugestimmt hat.

Wenn man die Mail nur Verschiebt aber zustellt, ist diese ja im Zugriff der Nutzers.

Ich habe mal im Online Outlook geschaut, dort steht beim Junk Ordner "Elemente in "Junk-E-Mail" werden nach 10 Tagen gelöscht". Sehe dort nicht mal ne Option dass man Zahl der Tage ändern kann, oder es komplett abschalten kann.

Halte ich nicht rechtens, da es sich hier um Standardeinstellungen handelt, also eher überraschend sind, also man diesem aktiv zugestimmt hat. Würde man bei der Einrichtung aktiv gefragt werden, und ggf. ne Regel dazu angelegt werden ok, aber so.

Dieses kann aber ein Anwalt wohl besser beurteilen, und letztendlich müsste man gegen MS vorgehen, auch wegen Datenschutz, dort stimmt Kunde auch nicht aktiv zu dass MS auswerten darf wann eine MS Anwendung startest im Windows, X-Box, usw..

Sind teils alles so Gründe wieso ich zumindest kein Outlook Online nutze über 365, sondern wenn nur Offline und mit eigenem Server. Die iOS/Android App von Outlook ist noch schlimmer, dort werden Anmeldedaten von deinem Server in USA gespeichert, von dort werden Mails abgerufen und verarbeitet und dann über eigene API an die App übermittelt, findet also kein direkter Kontakt zwischen App und deinem Mailanbieter statt, sondern immer mit MS zwischen.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Martin Steigerwald

2) Wie ist es, wenn Microsoft dann diese Mail dann auch nur für 15 Tage 
vorhält und der entsprechende Mitarbeiter für 4 Wochen in Urlaub ist, 
zurück kommt und sieht, dass die 15 Tage abgelaufen sind?

Kennst Du dazu irgendwelche Quellen? Ich bin ja der Meinung, dass das so 
rechtswidrig ist.

(Und ja, ich weiß: Ist alles keine Rechtsberatung hier. Aber wenn Du ein 
paar Hinweise oder URLs dazu hast, sehr gerne.)

Danke,
-- 
Martin





From martin at lichtvoll.de  Thu Feb 20 13:07:49 2020
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Thu, 20 Feb 2020 13:07:49 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <003901d5e7e4$12e624d0$38b26e70$@mail24.vip>
References: <3746207.db7uyXxo8x@stuttgart> <3624057.A81JICtsCF@merkaba>
 <003901d5e7e4$12e624d0$38b26e70$@mail24.vip>
Message-ID: <2282005.X9QReIZFy2@merkaba>

Danke Dir für ein Feedback.

Daniel - 20.02.20, 12:51:13 CET:
> Sind teils alles so Gründe wieso ich zumindest kein Outlook Online
> nutze über 365, sondern wenn nur Offline und mit eigenem Server. Die
> iOS/Android App von Outlook ist noch schlimmer, dort werden
> Anmeldedaten von deinem Server in USA gespeichert, von dort werden
> Mails abgerufen und verarbeitet und dann über eigene API an die App
> übermittelt, findet also kein direkter Kontakt zwischen App und
> deinem Mailanbieter statt, sondern immer mit MS zwischen.

Selbst gewählt ist das nicht. Privat mache ich weiterhin einen großen 
Bogen um Office 365, Googlemail usw.

-- 
Martin




From harald.witt at dpfa.de  Thu Feb 20 13:13:06 2020
From: harald.witt at dpfa.de (harald.witt at dpfa.de)
Date: Thu, 20 Feb 2020 13:13:06 +0100
Subject: =?iso-8859-1?Q?Namen_Postfix-Mailservers_=E4ndern?=
Message-ID: <000001d5e7e7$1b85e8c0$5291ba40$@dpfa.de>

Hallo an alle.

Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com auf
mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail.
sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client
bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse.
Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn
man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein
Zertifikat für den neuen Namen, während der Client eins für den alten Namen
erwartet.

Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix
mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

 

Vielen Dank

Harald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/7a1e0c50/attachment.htm>

From list+postfixbuch at gcore.biz  Thu Feb 20 13:14:50 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Thu, 20 Feb 2020 13:14:50 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <3923303.hXtOYKNcJ2@stuttgart>
References: <3746207.db7uyXxo8x@stuttgart> <3121524.am2frHi3PY@stuttgart>
 <007e01d5e7cd$d5734170$8059c450$@fblan.de> <3923303.hXtOYKNcJ2@stuttgart>
Message-ID: <76943D8F-8D76-4137-A327-16461B8D0CE5@gcore.biz>


> Also mir geht es mehr darum, wo ich meine Restrictions eintrage für 
> Mailadressen, die meinen Server erst gar nicht passieren dürfen. Ist mit dem 
> 554 Code bereits die Zustellung bei mir erfolgt oder kam es erst gar nicht zu 
> einer Zustellung?


es spielt keine Rolle wo man das einträgt, der Reject-Code könnte z.B. auch
von einem Policy-Server (postgrey, policyd-weight, ...) oder einer tcp map kommen.


Wichtig sind folgende Unterscheidungen:

2** E-Mail wurde von Postfix angenommen
    (im maillog: status=sent)

4** E-Mail wurde von Postfix temporär abgewiesen und der einliefernde MTA
    kann es später nochmal versuchen (z.B. greylisting, Platte voll, ...)
    (im maillog: status=deferred)

5** E-Mail wurde von Postfix final abgelehnt, der einliefernde MTA unternimmt
    keinen erneuten Zustellversuch und informiert den Absender über die
    fehlgeschlagene Zustellung (Bounce / MAILER-DAEMON Messages)
    (im maillog: status=bounced)

Bei 2** hast Du die Verantwortung für die Mail, bei 4** und 5** der einliefernde MTA.

Wichtig ist vor allem die erste Stelle des SMTP-Codes, die verschiedenen Varianten
dienen mehr zur Information, siehe

https://en.wikipedia.org/wiki/List_of_SMTP_server_return_codes

Der SMTP-Code kann in verschiedenen Phasen der SMTP-Session gesendet werden,
z.B. nach RCPT TO (E-Mail unbekannt) oder nach DATA (z.B. Mail ist Spam).
Wo das passiert spielt keine Rolle und der SMTP-Code wird auch nur einmal
ausgegeben, danach ist der Vorgang abgeschlossen. Im Maillog siehst Du deshalb
den Code, den auch der einliefernde MTA bekommt.

Viele Grüße
Gerald



From daniel at mail24.vip  Thu Feb 20 13:27:06 2020
From: daniel at mail24.vip (Daniel)
Date: Thu, 20 Feb 2020 13:27:06 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <2282005.X9QReIZFy2@merkaba>
References: <2282005.X9QReIZFy2@merkaba>
Message-ID: <19D47A7E-2A3D-47AC-A489-D2E9CB089AED@mail24.vip>

Moin,

Also offline kann man 365 schon nutzen. Daten aber alle auf eigenem Server oder NAS, und nicht in ner online Cloud. Cloudspeicher kann man aber für verschlüsselte Zusatz Backups nutzen. ;-)

Für Email mache ich auch Bogen um Outlook.com, gmail, gmx und co.

Manche wollen privat aber diese Dienste nutzen, beschweren sich aber zugleich über hunderte bitcoin spam mails und so. Naja selbst schuld, wenn man denen schon anbietet für lau nen Postfach bereitzustellen.

Gibt eben nichts über eigenen Postfix oder eben anständigen Provider wie mailbox.org oder Posteo wenn man eigenen Server betreiben möchte.

Gruß Daniel

> Am 20.02.2020 um 13:08 schrieb Martin Steigerwald <martin at lichtvoll.de>:
> 
> ?Danke Dir für ein Feedback.
> 
> Daniel - 20.02.20, 12:51:13 CET:
>> Sind teils alles so Gründe wieso ich zumindest kein Outlook Online
>> nutze über 365, sondern wenn nur Offline und mit eigenem Server. Die
>> iOS/Android App von Outlook ist noch schlimmer, dort werden
>> Anmeldedaten von deinem Server in USA gespeichert, von dort werden
>> Mails abgerufen und verarbeitet und dann über eigene API an die App
>> übermittelt, findet also kein direkter Kontakt zwischen App und
>> deinem Mailanbieter statt, sondern immer mit MS zwischen.
> 
> Selbst gewählt ist das nicht. Privat mache ich weiterhin einen großen 
> Bogen um Office 365, Googlemail usw.
> 
> -- 
> Martin
> 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2333 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/d8316e47/attachment.p7s>

From list+postfixbuch at gcore.biz  Thu Feb 20 13:39:14 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Thu, 20 Feb 2020 13:39:14 +0100
Subject: =?utf-8?Q?Re=3A_Namen_Postfix-Mailservers_=C3=A4ndern?=
In-Reply-To: <000001d5e7e7$1b85e8c0$5291ba40$@dpfa.de>
References: <000001d5e7e7$1b85e8c0$5291ba40$@dpfa.de>
Message-ID: <91A84094-E8E8-4068-8129-855BF8AFCA0F@gcore.biz>

Hi,

> Ich möchte den Namen meines Mailservers von mail.sehr-langer-name.com <http://mail.sehr-langer-name.com/> auf mail.kurz.de <http://mail.kurz.de/> ändern. Das ist severseitig ja kein Problem. Doch ist mail. sehr-langer-name.com <http://sehr-langer-name.com/> bei hunderten von Clients eingetragen.
> Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.
> Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com" -d "mail.sehr-langer-name.com" -d "mail.kurz.de"

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.

https://en.wikipedia.org/wiki/Subject_Alternative_Name

Viele Grüße
Gerald
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/6c1f3cdf/attachment.htm>

From django at nausch.org  Thu Feb 20 14:26:18 2020
From: django at nausch.org (Django)
Date: Thu, 20 Feb 2020 14:26:18 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <20200220072309.5xworo4gj2uxfi7v@sys4.de>
References: <3746207.db7uyXxo8x@stuttgart>
 <20200220072309.5xworo4gj2uxfi7v@sys4.de>
Message-ID: <b99c6cab-11d0-737e-e42f-598fc1d1afaf@nausch.org>

Ahoi!

Am 20.02.20 um 08:23 schrieb Patrick Ben Koetter:

> Sie gilt als angenommen, wenn der Server die Annahme quittiert. Damit geht die
> Verantwortung für die Zustellung an den Betreiber des Servers über. Wenn er
> die Nachricht dann nicht in die Mailbox legt oder den/die Empfänger*in über
> das Rückhalten der Nachricht (Quarantäne) in Kenntnis setzt, macht der
> Betreiber sich strafbar.

Ach watt! ;P Das sieht eine gewisse GmbH & Co. KG aus Frankfurt a.M.
aber anders...

Meine Tischplatte weist seit etwa 6 Wochen massive Tischspuren und meine
Stirn Abdrücke von einer Cherry-Tastatur auf ...


Have a nice day!
Django


From django at nausch.org  Thu Feb 20 14:39:39 2020
From: django at nausch.org (Django)
Date: Thu, 20 Feb 2020 14:39:39 +0100
Subject: =?UTF-8?B?UmU6IEdyZXlsaXN0IG5vY2ggemVpdGdlbcOkw58/?=
In-Reply-To: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
References: <003a01d5e4f0$02e4ca10$08ae5e30$@mail24.vip>
Message-ID: <9a96ab84-c895-f2b8-2252-75147555e8d6@nausch.org>

HI Daniel,

Am 16.02.20 um 18:39 schrieb Daniel:

> ist Milter Greylist noch zeitgemäß? 

Hatte es seinerzeit mal beleuchtet und zusammengefasst:
https://wiki.mailserver.guru/doku.php/centos:mail_c7:spam_1#fazit
und
https://wiki.mailserver.guru/doku.php/centos:mail_c7:spam_3#fazit

was mal gut war, muss nicht immer noch gut sein ... ;)

jm2ct
Django


From harald.witt at dpfa.de  Thu Feb 20 14:51:26 2020
From: harald.witt at dpfa.de (harald.witt at dpfa.de)
Date: Thu, 20 Feb 2020 14:51:26 +0100
Subject: =?utf-8?Q?AW:_Namen_Postfix-Mailservers_=C3=A4n?=
	=?utf-8?Q?dern?=
In-Reply-To: <91A84094-E8E8-4068-8129-855BF8AFCA0F@gcore.biz>
References: <000001d5e7e7$1b85e8c0$5291ba40$@dpfa.de>
 <91A84094-E8E8-4068-8129-855BF8AFCA0F@gcore.biz>
Message-ID: <000601d5e7f4$d871c9b0$89555d10$@dpfa.de>

Hallo Gerald,

 

super Idee. Bin ich ehrlich noch nicht drauf gekommen.

 

Danke

Harald

 

Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Gerald Galster
Gesendet: Donnerstag, 20. Februar 2020 13:39
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Betreff: Re: Namen Postfix-Mailservers ändern

 

Hi,

 

Ich möchte den Namen meines Mailservers von  <http://mail.sehr-langer-name.com/> mail.sehr-langer-name.com auf  <http://mail.kurz.de/> mail.kurz.de ändern. Das ist severseitig ja kein Problem. Doch ist mail.  <http://sehr-langer-name.com/> sehr-langer-name.com bei hunderten von Clients eingetragen.
Ich habe es mit einem CNAME-Eintrag versucht. Doch der liefert dem Client bei Abfrage des A-Records ja nicht den neuen Namen, sondern die IP-Adresse. Der Client behält den alten Namen bei. Das wird erst dann zum Problem, wenn man mit SSL arbeitet. Der Server präsentiert dem Client nämlich ein Zertifikat für den neuen Namen, während der Client eins für den alten Namen erwartet.

Gibt es da eine elegante Möglichkeit das per DNS zu lösen? Oder kann Postfix mit sowas wie SNI das richtige Zertifikat auswählen? Oder was ganz anderes?

 

das Problem ist, dass im Mailclient als SMTP-Server mail.sehr-langer-name.com <http://mail.sehr-langer-name.com>  steht. Entsprechend wird beim Verbindungsaufbau überprüft ob der Name im SSL Zertifikat angegeben ist.

 

Eine Lösung für Dein Problem wäre z.B. ein Multi-Domain Zertifikat von letsencrypt, bei dem mehrere FQDNs abgesichert sind.

 

/usr/bin/certbot certonly --no-self-upgrade --webroot -w "/var/www/html/.certbot" --cert-name "mail.sehr-langer-name.com <http://mail.sehr-langer-name.com> " -d "mail.sehr-langer-name.com <http://mail.sehr-langer-name.com> " -d "mail.kurz.de <http://mail.kurz.de> "

 

Mit -d kann man mehrere, auch verschiedene Domainnamen angeben (ich glaube bis zu 100).

 

Da postfix weiterhin nur ein Zertifikat ausliefert, mail.kurz.de <http://mail.kurz.de>  aber zusätzlich enthalten ist, kann der Client das Zertifikat erfolgreich überprüfen.

 

https://en.wikipedia.org/wiki/Subject_Alternative_Name

 

Viele Grüße

Gerald

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/63322e38/attachment.htm>

From postfix at linuxmaker.de  Thu Feb 20 16:34:43 2020
From: postfix at linuxmaker.de (Andreas)
Date: Thu, 20 Feb 2020 16:34:43 +0100
Subject: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <76943D8F-8D76-4137-A327-16461B8D0CE5@gcore.biz>
References: <3746207.db7uyXxo8x@stuttgart> <3923303.hXtOYKNcJ2@stuttgart>
 <76943D8F-8D76-4137-A327-16461B8D0CE5@gcore.biz>
Message-ID: <2567780.98boBsqOZ3@stuttgart>

Am Donnerstag, 20. Februar 2020, 13:14:50 CET schrieb Gerald Galster:
> > Also mir geht es mehr darum, wo ich meine Restrictions eintrage für
> > Mailadressen, die meinen Server erst gar nicht passieren dürfen. Ist mit
> > dem 554 Code bereits die Zustellung bei mir erfolgt oder kam es erst gar
> > nicht zu einer Zustellung?
> 
> es spielt keine Rolle wo man das einträgt, der Reject-Code könnte z.B. auch
> von einem Policy-Server (postgrey, policyd-weight, ...) oder einer tcp map
> kommen.
> 
> 
> Wichtig sind folgende Unterscheidungen:
> 
> 2** E-Mail wurde von Postfix angenommen
>     (im maillog: status=sent)
> 
> 4** E-Mail wurde von Postfix temporär abgewiesen und der einliefernde MTA
>     kann es später nochmal versuchen (z.B. greylisting, Platte voll, ...)
>     (im maillog: status=deferred)
> 
> 5** E-Mail wurde von Postfix final abgelehnt, der einliefernde MTA
> unternimmt keinen erneuten Zustellversuch und informiert den Absender über
> die fehlgeschlagene Zustellung (Bounce / MAILER-DAEMON Messages)
>     (im maillog: status=bounced)
> 
> Bei 2** hast Du die Verantwortung für die Mail, bei 4** und 5** der
> einliefernde MTA.
> 
> Wichtig ist vor allem die erste Stelle des SMTP-Codes, die verschiedenen
> Varianten dienen mehr zur Information, siehe
> 
> https://en.wikipedia.org/wiki/List_of_SMTP_server_return_codes
> 
> Der SMTP-Code kann in verschiedenen Phasen der SMTP-Session gesendet werden,
> z.B. nach RCPT TO (E-Mail unbekannt) oder nach DATA (z.B. Mail ist Spam).
> Wo das passiert spielt keine Rolle und der SMTP-Code wird auch nur einmal
> ausgegeben, danach ist der Vorgang abgeschlossen. Im Maillog siehst Du
> deshalb den Code, den auch der einliefernde MTA bekommt.
> 
> Viele Grüße
> Gerald

Prima,

das ist gut erklärt. Und das würde heißen bei 554 liegt die Verantwortung 
nicht mehr bei mir.

Besten Dank

Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200220/34de8546/attachment.htm>

From driessen at fblan.de  Fri Feb 21 08:38:57 2020
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Fri, 21 Feb 2020 08:38:57 +0100
Subject: AW: Ab wann gilt eine Mail als zugestellt?
In-Reply-To: <2567780.98boBsqOZ3@stuttgart>
References: <3746207.db7uyXxo8x@stuttgart> <3923303.hXtOYKNcJ2@stuttgart>
 <76943D8F-8D76-4137-A327-16461B8D0CE5@gcore.biz>
 <2567780.98boBsqOZ3@stuttgart>
Message-ID: <00c401d5e889$fa4ad730$eee08590$@fblan.de>

Im Auftrag von Andreas
> 
> 
> 
> Prima,
> 
> 
> 
> das ist gut erklärt. Und das würde heißen bei 554 liegt die Verantwortung
> nicht mehr bei mir.

Kommt auf die Richtung an 

Du sendest 
                 liegt die Verantwortung bei dir 

Du empfängst 
                Hat der andere die Verantwortung :-) 
> 
> 
> 
> Besten Dank


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "




From daniel at mail24.vip  Mon Feb 24 07:10:56 2020
From: daniel at mail24.vip (Daniel)
Date: Mon, 24 Feb 2020 07:10:56 +0100
Subject: =?iso-8859-1?Q?DKIM_Signatur_ung=FCltig_durch_Maillisting?=
Message-ID: <004101d5ead9$33374280$99a5c780$@mail24.vip>

Moin Moin,

da ich schon manche direkt angeschrieben habe, aber eben doch diverse Teilnehmer betrifft, prüft doch mal eure DKIM Konfig,
besonders reply-to ob diese in Signatur einbezogen wird.

Dieser wird durch Maillisting verändert und führt zur ungültigen Signatur. Sollte sich also wer wundern über entsprechende
Meldungen, habt ihr nun konkreten Ansatzpunkt, besonders wenn es nur Mails an Mailingliste betrifft und sonst alle anderen ok sind.

Gruß Daniel




From bjo at schafweide.org  Wed Feb 26 13:05:03 2020
From: bjo at schafweide.org (Bjoern Franke)
Date: Wed, 26 Feb 2020 13:05:03 +0100
Subject: =?UTF-8?Q?Re=3a_DKIM_Signatur_ung=c3=bcltig_durch_Maillisting?=
In-Reply-To: <004101d5ead9$33374280$99a5c780$@mail24.vip>
References: <004101d5ead9$33374280$99a5c780$@mail24.vip>
Message-ID: <e17621ff-8e46-ce1d-ac6c-e3b944c488c7@schafweide.org>

Moin,

> 
> da ich schon manche direkt angeschrieben habe, aber eben doch diverse Teilnehmer betrifft, prüft doch mal eure DKIM Konfig,
> besonders reply-to ob diese in Signatur einbezogen wird.
> 
> Dieser wird durch Maillisting verändert und führt zur ungültigen Signatur. Sollte sich also wer wundern über entsprechende
> Meldungen, habt ihr nun konkreten Ansatzpunkt, besonders wenn es nur Mails an Mailingliste betrifft und sonst alle anderen ok sind.
> 

eine alternative Abhilfe wäre, wenn die Listen selber DKIM-Signierungen
durchführen würden.

Grüße
Björn


From sebastian at debianfan.de  Wed Feb 26 21:13:55 2020
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Wed, 26 Feb 2020 21:13:55 +0100
Subject: Mail annehmen ohne Kontrolle FQDN
Message-ID: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>

Moin allerseits,

aus pragmatischen Gründen muss ich vorerst Mails von einem Server 
annehmen, der sich mit "system.localdomain" meldet.

Ich hätte hier eine IP des Servers (fremder-server.de) anzubieten.

Der meldet sich in den Postfix-Logs mit:

Feb 26 21:12:05 mail postfix/smtpd[1858]: NOQUEUE: reject: RCPT from 
nc.fremder-server.de[211.22.33.44]: 450 4.7.1 <nc.localdomain>: Helo 
command rejected: Host not found; from=<absender at fremder-server.de> 
to=<sebastian.deiszner at meinedomain.de> proto=ESMTP helo=<nc.localdomain>


Der Reverse kann erst nächste Woche eingetragen werden - das System 
steht nicht so direkt in meinem Einflussbereich :-/

gruß

Sebastian

postconf -d sagt:

2bounce_notice_recipient = postmaster
access_map_defer_code = 450
access_map_reject_code = 554
address_verify_cache_cleanup_interval = 12h
address_verify_default_transport = $default_transport
address_verify_local_transport = $local_transport
address_verify_map = btree:$data_directory/verify_cache
address_verify_negative_cache = yes
address_verify_negative_expire_time = 3d
address_verify_negative_refresh_time = 3h
address_verify_pending_request_limit = 5000
address_verify_poll_count = ${stress?{1}:{3}}
address_verify_poll_delay = 3s
address_verify_positive_expire_time = 31d
address_verify_positive_refresh_time = 7d
address_verify_relay_transport = $relay_transport
address_verify_relayhost = $relayhost
address_verify_sender = $double_bounce_sender
address_verify_sender_dependent_default_transport_maps = 
$sender_dependent_default_transport_maps
address_verify_sender_dependent_relayhost_maps = 
$sender_dependent_relayhost_maps
address_verify_sender_ttl = 0s
address_verify_service_name = verify
address_verify_transport_maps = $transport_maps
address_verify_virtual_transport = $virtual_transport
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases, nis:mail.aliases
allow_mail_to_commands = alias, forward
allow_mail_to_files = alias, forward
allow_min_user = no
allow_percent_hack = yes
allow_untrusted_routing = no
alternate_config_directories =
always_add_missing_headers = no
always_bcc =
anvil_rate_time_unit = 60s
anvil_status_update_time = 600s
append_at_myorigin = yes
append_dot_mydomain = ${{$compatibility_level} < {1} ? {yes} : {no}}
application_event_drain_time = 100s
authorized_flush_users = static:anyone
authorized_mailq_users = static:anyone
authorized_submit_users = static:anyone
backwards_bounce_logfile_compatibility = yes
berkeley_db_create_buffer_size = 16777216
berkeley_db_read_buffer_size = 131072
best_mx_transport =
biff = yes
body_checks =
body_checks_size_limit = 51200
bounce_notice_recipient = postmaster
bounce_queue_lifetime = 5d
bounce_service_name = bounce
bounce_size_limit = 50000
bounce_template_file =
broken_sasl_auth_clients = no
canonical_classes = envelope_sender, envelope_recipient, header_sender, 
header_recipient
canonical_maps =
cleanup_service_name = cleanup
command_directory = /usr/sbin
command_execution_directory =
command_expansion_filter = 
1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
command_time_limit = 1000s
compatibility_level = 0
config_directory = /etc/postfix
confirm_delay_cleared = no
connection_cache_protocol_timeout = 5s
connection_cache_service_name = scache
connection_cache_status_update_time = 600s
connection_cache_ttl_limit = 2s
content_filter =
cyrus_sasl_config_path =
daemon_directory = /usr/lib/postfix/sbin
daemon_table_open_error_is_fatal = no
daemon_timeout = 18000s
data_directory = /var/lib/postfix
debug_peer_level = 2
debug_peer_list =
debugger_command =
default_database_type = hash
default_delivery_slot_cost = 5
default_delivery_slot_discount = 50
default_delivery_slot_loan = 3
default_delivery_status_filter =
default_destination_concurrency_failed_cohort_limit = 1
default_destination_concurrency_limit = 20
default_destination_concurrency_negative_feedback = 1
default_destination_concurrency_positive_feedback = 1
default_destination_rate_delay = 0s
default_destination_recipient_limit = 50
default_extra_recipient_limit = 1000
default_filter_nexthop =
default_minimum_delivery_slots = 3
default_privs = nobody
default_process_limit = 100
default_rbl_reply = $rbl_code Service unavailable; $rbl_class 
[$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}
default_recipient_limit = 20000
default_recipient_refill_delay = 5s
default_recipient_refill_limit = 100
default_transport = smtp
default_transport_rate_delay = 0s
default_verp_delimiters = +=
defer_code = 450
defer_service_name = defer
defer_transports =
delay_logging_resolution_limit = 2
delay_notice_recipient = postmaster
delay_warning_time = 0h
deliver_lock_attempts = 20
deliver_lock_delay = 1s
destination_concurrency_feedback_debug = no
detect_8bit_encoding_header = yes
disable_dns_lookups = no
disable_mime_input_processing = no
disable_mime_output_conversion = no
disable_verp_bounces = no
disable_vrfy_command = no
dns_ncache_ttl_fix_enable = no
dnsblog_reply_delay = 0s
dnsblog_service_name = dnsblog
dont_remove = 0
double_bounce_sender = double-bounce
duplicate_filter_limit = 1000
empty_address_default_transport_maps_lookup_key = <>
empty_address_recipient = MAILER-DAEMON
empty_address_relayhost_maps_lookup_key = <>
enable_long_queue_ids = no
enable_original_recipient = yes
error_delivery_slot_cost = $default_delivery_slot_cost
error_delivery_slot_discount = $default_delivery_slot_discount
error_delivery_slot_loan = $default_delivery_slot_loan
error_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
error_destination_concurrency_limit = $default_destination_concurrency_limit
error_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
error_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
error_destination_rate_delay = $default_destination_rate_delay
error_destination_recipient_limit = $default_destination_recipient_limit
error_extra_recipient_limit = $default_extra_recipient_limit
error_initial_destination_concurrency = $initial_destination_concurrency
error_minimum_delivery_slots = $default_minimum_delivery_slots
error_notice_recipient = postmaster
error_recipient_limit = $default_recipient_limit
error_recipient_refill_delay = $default_recipient_refill_delay
error_recipient_refill_limit = $default_recipient_refill_limit
error_service_name = error
error_transport_rate_delay = $default_transport_rate_delay
execution_directory_expansion_filter = 
1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
expand_owner_alias = no
export_environment = TZ MAIL_CONFIG LANG
fallback_transport =
fallback_transport_maps =
fast_flush_domains = $relay_domains
fast_flush_purge_time = 7d
fast_flush_refresh_time = 12h
fault_injection_code = 0
flush_service_name = flush
fork_attempts = 5
fork_delay = 1s
forward_expansion_filter = 
1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
forward_path = $home/.forward${recipient_delimiter}${extension}, 
$home/.forward
frozen_delivered_to = yes
hash_queue_depth = 1
hash_queue_names = deferred, defer
header_address_token_limit = 10240
header_checks =
header_size_limit = 102400
helpful_warnings = yes
home_mailbox =
hopcount_limit = 50
html_directory = /usr/share/doc/postfix/html
ignore_mx_lookup_error = no
import_environment = MAIL_CONFIG MAIL_DEBUG MAIL_LOGTAG TZ XAUTHORITY 
DISPLAY LANG=C
in_flow_delay = 1s
inet_interfaces = all
inet_protocols = all
initial_destination_concurrency = 5
internal_mail_filter_classes =
invalid_hostname_reject_code = 501
ipc_idle = 5s
ipc_timeout = 3600s
ipc_ttl = 1000s
line_length_limit = 2048
lmdb_map_size = 16777216
lmtp_address_preference = any
lmtp_address_verify_target = rcpt
lmtp_assume_final = no
lmtp_bind_address =
lmtp_bind_address6 =
lmtp_body_checks =
lmtp_cname_overrides_servername = no
lmtp_connect_timeout = 0s
lmtp_connection_cache_destinations =
lmtp_connection_cache_on_demand = yes
lmtp_connection_cache_time_limit = 2s
lmtp_connection_reuse_count_limit = 0
lmtp_connection_reuse_time_limit = 300s
lmtp_data_done_timeout = 600s
lmtp_data_init_timeout = 120s
lmtp_data_xfer_timeout = 180s
lmtp_defer_if_no_mx_address_found = no
lmtp_delivery_slot_cost = $default_delivery_slot_cost
lmtp_delivery_slot_discount = $default_delivery_slot_discount
lmtp_delivery_slot_loan = $default_delivery_slot_loan
lmtp_delivery_status_filter = $default_delivery_status_filter
lmtp_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
lmtp_destination_concurrency_limit = $default_destination_concurrency_limit
lmtp_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
lmtp_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
lmtp_destination_rate_delay = $default_destination_rate_delay
lmtp_destination_recipient_limit = $default_destination_recipient_limit
lmtp_discard_lhlo_keyword_address_maps =
lmtp_discard_lhlo_keywords =
lmtp_dns_reply_filter =
lmtp_dns_resolver_options =
lmtp_dns_support_level =
lmtp_enforce_tls = no
lmtp_extra_recipient_limit = $default_extra_recipient_limit
lmtp_fallback_relay =
lmtp_generic_maps =
lmtp_header_checks =
lmtp_host_lookup = dns
lmtp_initial_destination_concurrency = $initial_destination_concurrency
lmtp_lhlo_name = $myhostname
lmtp_lhlo_timeout = 300s
lmtp_line_length_limit = 998
lmtp_mail_timeout = 300s
lmtp_mime_header_checks =
lmtp_minimum_delivery_slots = $default_minimum_delivery_slots
lmtp_mx_address_limit = 5
lmtp_mx_session_limit = 2
lmtp_nested_header_checks =
lmtp_per_record_deadline = no
lmtp_pix_workaround_delay_time = 10s
lmtp_pix_workaround_maps =
lmtp_pix_workaround_threshold_time = 500s
lmtp_pix_workarounds = disable_esmtp,delay_dotcrlf
lmtp_quit_timeout = 300s
lmtp_quote_rfc821_envelope = yes
lmtp_randomize_addresses = yes
lmtp_rcpt_timeout = 300s
lmtp_recipient_limit = $default_recipient_limit
lmtp_recipient_refill_delay = $default_recipient_refill_delay
lmtp_recipient_refill_limit = $default_recipient_refill_limit
lmtp_reply_filter =
lmtp_rset_timeout = 20s
lmtp_sasl_auth_cache_name =
lmtp_sasl_auth_cache_time = 90d
lmtp_sasl_auth_enable = no
lmtp_sasl_auth_soft_bounce = yes
lmtp_sasl_mechanism_filter =
lmtp_sasl_password_maps =
lmtp_sasl_path =
lmtp_sasl_security_options = noplaintext, noanonymous
lmtp_sasl_tls_security_options = $lmtp_sasl_security_options
lmtp_sasl_tls_verified_security_options = $lmtp_sasl_tls_security_options
lmtp_sasl_type = cyrus
lmtp_send_dummy_mail_auth = no
lmtp_send_xforward_command = no
lmtp_sender_dependent_authentication = no
lmtp_skip_5xx_greeting = yes
lmtp_skip_quit_response = no
lmtp_starttls_timeout = 300s
lmtp_tcp_port = 24
lmtp_tls_CAfile =
lmtp_tls_CApath =
lmtp_tls_block_early_mail_reply = no
lmtp_tls_cert_file =
lmtp_tls_ciphers = medium
lmtp_tls_dcert_file =
lmtp_tls_dkey_file = $lmtp_tls_dcert_file
lmtp_tls_eccert_file =
lmtp_tls_eckey_file = $lmtp_tls_eccert_file
lmtp_tls_enforce_peername = yes
lmtp_tls_exclude_ciphers =
lmtp_tls_fingerprint_cert_match =
lmtp_tls_fingerprint_digest = md5
lmtp_tls_force_insecure_host_tlsa_lookup = no
lmtp_tls_key_file = $lmtp_tls_cert_file
lmtp_tls_loglevel = 0
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
lmtp_tls_note_starttls_offer = no
lmtp_tls_per_site =
lmtp_tls_policy_maps =
lmtp_tls_protocols = !SSLv2, !SSLv3
lmtp_tls_scert_verifydepth = 9
lmtp_tls_secure_cert_match = nexthop
lmtp_tls_security_level =
lmtp_tls_session_cache_database =
lmtp_tls_session_cache_timeout = 3600s
lmtp_tls_trust_anchor_file =
lmtp_tls_verify_cert_match = hostname
lmtp_tls_wrappermode = no
lmtp_transport_rate_delay = $default_transport_rate_delay
lmtp_use_tls = no
lmtp_xforward_timeout = 300s
local_command_shell =
local_delivery_slot_cost = $default_delivery_slot_cost
local_delivery_slot_discount = $default_delivery_slot_discount
local_delivery_slot_loan = $default_delivery_slot_loan
local_delivery_status_filter = $default_delivery_status_filter
local_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
local_destination_concurrency_limit = 2
local_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
local_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
local_destination_rate_delay = $default_destination_rate_delay
local_destination_recipient_limit = 1
local_extra_recipient_limit = $default_extra_recipient_limit
local_header_rewrite_clients = permit_inet_interfaces
local_initial_destination_concurrency = $initial_destination_concurrency
local_minimum_delivery_slots = $default_minimum_delivery_slots
local_recipient_limit = $default_recipient_limit
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
local_recipient_refill_delay = $default_recipient_refill_delay
local_recipient_refill_limit = $default_recipient_refill_limit
local_transport = local:$myhostname
local_transport_rate_delay = $default_transport_rate_delay
luser_relay =
mail_name = Postfix
mail_owner = postfix
mail_release_date = 20190330
mail_spool_directory = /var/mail
mail_version = 3.1.12
mailbox_command =
mailbox_command_maps =
mailbox_delivery_lock = fcntl, dotlock
mailbox_size_limit = 51200000
mailbox_transport =
mailbox_transport_maps =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_domains =
maps_rbl_reject_code = 554
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions =
master_service_disable =
max_idle = 100s
max_use = 100
maximal_backoff_time = 4000s
maximal_queue_lifetime = 5d
message_drop_headers = bcc, content-length, resent-bcc, return-path
message_reject_characters =
message_size_limit = 10240000
message_strip_characters =
meta_directory = /etc/postfix
milter_command_timeout = 30s
milter_connect_macros = j {daemon_name} v
milter_connect_timeout = 30s
milter_content_timeout = 300s
milter_data_macros = i
milter_default_action = tempfail
milter_end_of_data_macros = i
milter_end_of_header_macros = i
milter_header_checks =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} 
{cert_issuer}
milter_macro_daemon_name = $myhostname
milter_macro_defaults =
milter_macro_v = $mail_name $mail_version
milter_mail_macros = i {auth_type} {auth_authen} {auth_author} 
{mail_addr} {mail_host} {mail_mailer}
milter_protocol = 6
milter_rcpt_macros = i {rcpt_addr} {rcpt_host} {rcpt_mailer}
milter_unknown_command_macros =
mime_boundary_length_limit = 2048
mime_header_checks = $header_checks
mime_nesting_limit = 100
minimal_backoff_time = 300s
multi_instance_directories =
multi_instance_enable = no
multi_instance_group =
multi_instance_name =
multi_instance_wrapper =
multi_recipient_bounce_reject_code = 550
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = meinedomain.de
myhostname = mail.meinedomain.de
mynetworks = 127.0.0.0/8 83.149.68.0/27
mynetworks_style = ${{$compatibility_level} < {2} ? {subnet} : {host}}
myorigin = $myhostname
nested_header_checks = $header_checks
newaliases_path = /usr/bin/newaliases
non_fqdn_reject_code = 504
non_smtpd_milters =
notify_classes = resource, software
openssl_path = openssl
owner_request_special = yes
parent_domain_matches_subdomains = 
debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
permit_mx_backup_networks =
pickup_service_name = pickup
pipe_delivery_status_filter = $default_delivery_status_filter
plaintext_reject_code = 450
postmulti_control_commands = reload flush
postmulti_start_commands = start
postmulti_stop_commands = stop abort drain quick-stop
postscreen_access_list = permit_mynetworks
postscreen_bare_newline_action = ignore
postscreen_bare_newline_enable = no
postscreen_bare_newline_ttl = 30d
postscreen_blacklist_action = ignore
postscreen_cache_cleanup_interval = 12h
postscreen_cache_map = btree:$data_directory/postscreen_cache
postscreen_cache_retention_time = 7d
postscreen_client_connection_count_limit = 
$smtpd_client_connection_count_limit
postscreen_command_count_limit = 20
postscreen_command_filter =
postscreen_command_time_limit = ${stress?{10}:{300}}s
postscreen_disable_vrfy_command = $disable_vrfy_command
postscreen_discard_ehlo_keyword_address_maps = 
$smtpd_discard_ehlo_keyword_address_maps
postscreen_discard_ehlo_keywords = $smtpd_discard_ehlo_keywords
postscreen_dnsbl_action = ignore
postscreen_dnsbl_max_ttl = 
${postscreen_dnsbl_ttl?{$postscreen_dnsbl_ttl}:{1}}h
postscreen_dnsbl_min_ttl = 60s
postscreen_dnsbl_reply_map =
postscreen_dnsbl_sites =
postscreen_dnsbl_threshold = 1
postscreen_dnsbl_timeout = 10s
postscreen_dnsbl_whitelist_threshold = 0
postscreen_enforce_tls = $smtpd_enforce_tls
postscreen_expansion_filter = $smtpd_expansion_filter
postscreen_forbidden_commands = $smtpd_forbidden_commands
postscreen_greet_action = ignore
postscreen_greet_banner = $smtpd_banner
postscreen_greet_ttl = 1d
postscreen_greet_wait = ${stress?{2}:{6}}s
postscreen_helo_required = $smtpd_helo_required
postscreen_non_smtp_command_action = drop
postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_ttl = 30d
postscreen_pipelining_action = enforce
postscreen_pipelining_enable = no
postscreen_pipelining_ttl = 30d
postscreen_post_queue_limit = $default_process_limit
postscreen_pre_queue_limit = $default_process_limit
postscreen_reject_footer = $smtpd_reject_footer
postscreen_tls_security_level = $smtpd_tls_security_level
postscreen_upstream_proxy_protocol =
postscreen_upstream_proxy_timeout = 5s
postscreen_use_tls = $smtpd_use_tls
postscreen_watchdog_timeout = 10s
postscreen_whitelist_interfaces = static:all
prepend_delivered_header = command, file, forward
process_id = 1739
process_id_directory = pid
process_name = postconf
propagate_unmatched_extensions = canonical, virtual
proxy_interfaces =
proxy_read_maps = $local_recipient_maps $mydestination 
$virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps 
$virtual_mailbox_domains $relay_recipient_maps $relay_domains 
$canonical_maps $sender_canonical_maps $recipient_canonical_maps 
$relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps 
$sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps 
$lmtp_generic_maps $alias_maps $smtpd_client_restrictions 
$smtpd_helo_restrictions $smtpd_sender_restrictions 
$smtpd_relay_restrictions $smtpd_recipient_restrictions 
$address_verify_sender_dependent_default_transport_maps 
$address_verify_sender_dependent_relayhost_maps 
$address_verify_transport_maps $fallback_transport_maps 
$lmtp_discard_lhlo_keyword_address_maps $lmtp_pix_workaround_maps 
$lmtp_sasl_password_maps $lmtp_tls_policy_maps $mailbox_command_maps 
$mailbox_transport_maps $postscreen_discard_ehlo_keyword_address_maps 
$rbl_reply_maps $sender_dependent_default_transport_maps 
$sender_dependent_relayhost_maps $smtp
  _discard_ehlo_keyword_address_maps $smtp_pix_workaround_maps 
$smtp_sasl_password_maps $smtp_tls_policy_maps 
$smtpd_discard_ehlo_keyword_address_maps $virtual_gid_maps $virtual_uid_maps
proxy_write_maps = $smtp_sasl_auth_cache_name $lmtp_sasl_auth_cache_name 
$address_verify_map $postscreen_cache_map
proxymap_service_name = proxymap
proxywrite_service_name = proxywrite
qmgr_clog_warn_time = 300s
qmgr_daemon_timeout = 1000s
qmgr_fudge_factor = 100
qmgr_ipc_timeout = 60s
qmgr_message_active_limit = 20000
qmgr_message_recipient_limit = 20000
qmgr_message_recipient_minimum = 10
qmqpd_authorized_clients =
qmqpd_client_port_logging = no
qmqpd_error_delay = 1s
qmqpd_timeout = 300s
queue_directory = /var/spool/postfix
queue_file_attribute_count_limit = 100
queue_minfree = 0
queue_run_delay = 300s
queue_service_name = qmgr
rbl_reply_maps =
readme_directory = /usr/share/doc/postfix
receive_override_options =
recipient_bcc_maps =
recipient_canonical_classes = envelope_recipient, header_recipient
recipient_canonical_maps =
recipient_delimiter =
reject_code = 554
reject_tempfail_action = defer_if_permit
relay_clientcerts =
relay_delivery_slot_cost = $default_delivery_slot_cost
relay_delivery_slot_discount = $default_delivery_slot_discount
relay_delivery_slot_loan = $default_delivery_slot_loan
relay_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
relay_destination_concurrency_limit = $default_destination_concurrency_limit
relay_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
relay_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
relay_destination_rate_delay = $default_destination_rate_delay
relay_destination_recipient_limit = $default_destination_recipient_limit
relay_domains = ${{$compatibility_level} < {2} ? {$mydestination} : {}}
relay_domains_reject_code = 554
relay_extra_recipient_limit = $default_extra_recipient_limit
relay_initial_destination_concurrency = $initial_destination_concurrency
relay_minimum_delivery_slots = $default_minimum_delivery_slots
relay_recipient_limit = $default_recipient_limit
relay_recipient_maps =
relay_recipient_refill_delay = $default_recipient_refill_delay
relay_recipient_refill_limit = $default_recipient_refill_limit
relay_transport = relay
relay_transport_rate_delay = $default_transport_rate_delay
relayhost =
relocated_maps =
remote_header_rewrite_domain =
require_home_directory = no
reset_owner_alias = no
resolve_dequoted_address = yes
resolve_null_domain = no
resolve_numeric_domain = no
retry_delivery_slot_cost = $default_delivery_slot_cost
retry_delivery_slot_discount = $default_delivery_slot_discount
retry_delivery_slot_loan = $default_delivery_slot_loan
retry_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
retry_destination_concurrency_limit = $default_destination_concurrency_limit
retry_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
retry_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
retry_destination_rate_delay = $default_destination_rate_delay
retry_destination_recipient_limit = $default_destination_recipient_limit
retry_extra_recipient_limit = $default_extra_recipient_limit
retry_initial_destination_concurrency = $initial_destination_concurrency
retry_minimum_delivery_slots = $default_minimum_delivery_slots
retry_recipient_limit = $default_recipient_limit
retry_recipient_refill_delay = $default_recipient_refill_delay
retry_recipient_refill_limit = $default_recipient_refill_limit
retry_transport_rate_delay = $default_transport_rate_delay
rewrite_service_name = rewrite
sample_directory = /etc/postfix
send_cyrus_sasl_authzid = no
sender_bcc_maps =
sender_canonical_classes = envelope_sender, header_sender
sender_canonical_maps =
sender_dependent_default_transport_maps =
sender_dependent_relayhost_maps =
sendmail_fix_line_endings = always
sendmail_path = /usr/sbin/sendmail
service_throttle_time = 60s
setgid_group = postdrop
shlib_directory = /usr/lib/postfix
show_user_unknown_table_name = yes
showq_service_name = showq
smtp_address_preference = any
smtp_address_verify_target = rcpt
smtp_always_send_ehlo = yes
smtp_bind_address =
smtp_bind_address6 =
smtp_body_checks =
smtp_cname_overrides_servername = no
smtp_connect_timeout = 30s
smtp_connection_cache_destinations =
smtp_connection_cache_on_demand = yes
smtp_connection_cache_time_limit = 2s
smtp_connection_reuse_count_limit = 0
smtp_connection_reuse_time_limit = 300s
smtp_data_done_timeout = 600s
smtp_data_init_timeout = 120s
smtp_data_xfer_timeout = 180s
smtp_defer_if_no_mx_address_found = no
smtp_delivery_slot_cost = $default_delivery_slot_cost
smtp_delivery_slot_discount = $default_delivery_slot_discount
smtp_delivery_slot_loan = $default_delivery_slot_loan
smtp_delivery_status_filter = $default_delivery_status_filter
smtp_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
smtp_destination_concurrency_limit = $default_destination_concurrency_limit
smtp_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
smtp_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
smtp_destination_rate_delay = $default_destination_rate_delay
smtp_destination_recipient_limit = $default_destination_recipient_limit
smtp_discard_ehlo_keyword_address_maps =
smtp_discard_ehlo_keywords =
smtp_dns_reply_filter =
smtp_dns_resolver_options =
smtp_dns_support_level =
smtp_enforce_tls = no
smtp_extra_recipient_limit = $default_extra_recipient_limit
smtp_fallback_relay = $fallback_relay
smtp_generic_maps =
smtp_header_checks =
smtp_helo_name = $myhostname
smtp_helo_timeout = 300s
smtp_host_lookup = dns
smtp_initial_destination_concurrency = $initial_destination_concurrency
smtp_line_length_limit = 998
smtp_mail_timeout = 300s
smtp_mime_header_checks =
smtp_minimum_delivery_slots = $default_minimum_delivery_slots
smtp_mx_address_limit = 5
smtp_mx_session_limit = 2
smtp_nested_header_checks =
smtp_never_send_ehlo = no
smtp_per_record_deadline = no
smtp_pix_workaround_delay_time = 10s
smtp_pix_workaround_maps =
smtp_pix_workaround_threshold_time = 500s
smtp_pix_workarounds = disable_esmtp,delay_dotcrlf
smtp_quit_timeout = 300s
smtp_quote_rfc821_envelope = yes
smtp_randomize_addresses = yes
smtp_rcpt_timeout = 300s
smtp_recipient_limit = $default_recipient_limit
smtp_recipient_refill_delay = $default_recipient_refill_delay
smtp_recipient_refill_limit = $default_recipient_refill_limit
smtp_reply_filter =
smtp_rset_timeout = 20s
smtp_sasl_auth_cache_name =
smtp_sasl_auth_cache_time = 90d
smtp_sasl_auth_enable = no
smtp_sasl_auth_soft_bounce = yes
smtp_sasl_mechanism_filter =
smtp_sasl_password_maps =
smtp_sasl_path =
smtp_sasl_security_options = noplaintext, noanonymous
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
smtp_sasl_type = cyrus
smtp_send_dummy_mail_auth = no
smtp_send_xforward_command = no
smtp_sender_dependent_authentication = no
smtp_skip_5xx_greeting = yes
smtp_skip_quit_response = yes
smtp_starttls_timeout = 300s
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_block_early_mail_reply = no
smtp_tls_cert_file =
smtp_tls_ciphers = medium
smtp_tls_dane_insecure_mx_policy = dane
smtp_tls_dcert_file =
smtp_tls_dkey_file = $smtp_tls_dcert_file
smtp_tls_eccert_file =
smtp_tls_eckey_file = $smtp_tls_eccert_file
smtp_tls_enforce_peername = yes
smtp_tls_exclude_ciphers =
smtp_tls_fingerprint_cert_match =
smtp_tls_fingerprint_digest = md5
smtp_tls_force_insecure_host_tlsa_lookup = no
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_loglevel = 0
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_note_starttls_offer = no
smtp_tls_per_site =
smtp_tls_policy_maps =
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_scert_verifydepth = 9
smtp_tls_secure_cert_match = nexthop, dot-nexthop
smtp_tls_security_level =
smtp_tls_session_cache_database =
smtp_tls_session_cache_timeout = 3600s
smtp_tls_trust_anchor_file =
smtp_tls_verify_cert_match = hostname
smtp_tls_wrappermode = no
smtp_transport_rate_delay = $default_transport_rate_delay
smtp_use_tls = no
smtp_xforward_timeout = 300s
smtpd_authorized_verp_clients = $authorized_verp_clients
smtpd_authorized_xclient_hosts =
smtpd_authorized_xforward_hosts =
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_auth_rate_limit = 0
smtpd_client_connection_count_limit = 50
smtpd_client_connection_rate_limit = 0
smtpd_client_event_limit_exceptions = 
${smtpd_client_connection_limit_exceptions:$mynetworks}
smtpd_client_message_rate_limit = 0
smtpd_client_new_tls_session_rate_limit = 0
smtpd_client_port_logging = no
smtpd_client_recipient_rate_limit = 0
smtpd_client_restrictions =
smtpd_command_filter =
smtpd_data_restrictions =
smtpd_delay_open_until_valid_rcpt = yes
smtpd_delay_reject = yes
smtpd_discard_ehlo_keyword_address_maps =
smtpd_discard_ehlo_keywords =
smtpd_dns_reply_filter =
smtpd_end_of_data_restrictions =
smtpd_enforce_tls = no
smtpd_error_sleep_time = 1s
smtpd_etrn_restrictions =
smtpd_expansion_filter = 
\t\40!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~
smtpd_forbidden_commands = CONNECT GET POST
smtpd_hard_error_limit = ${stress?{1}:{20}}
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_history_flush_threshold = 100
smtpd_junk_command_limit = ${stress?{1}:{100}}
smtpd_log_access_permit_actions =
smtpd_milters =
smtpd_noop_commands =
smtpd_null_access_lookup_key = <>
smtpd_peername_lookup = yes
smtpd_per_record_deadline = ${stress?{yes}:{no}}
smtpd_policy_service_default_action = 451 4.3.5 Server configuration problem
smtpd_policy_service_max_idle = 300s
smtpd_policy_service_max_ttl = 1000s
smtpd_policy_service_policy_context =
smtpd_policy_service_request_limit = 0
smtpd_policy_service_retry_delay = 1s
smtpd_policy_service_timeout = 100s
smtpd_policy_service_try_limit = 2
smtpd_proxy_ehlo = $myhostname
smtpd_proxy_filter =
smtpd_proxy_options =
smtpd_proxy_timeout = 100s
smtpd_recipient_limit = 1000
smtpd_recipient_overshoot_limit = 1000
smtpd_recipient_restrictions =
smtpd_reject_footer =
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = no
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, 
defer_unauth_destination
smtpd_restriction_classes =
smtpd_sasl_auth_enable = no
smtpd_sasl_authenticated_header = no
smtpd_sasl_exceptions_networks =
smtpd_sasl_local_domain =
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_service = smtp
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_type = cyrus
smtpd_sender_login_maps =
smtpd_sender_restrictions =
smtpd_service_name = smtpd
smtpd_soft_error_limit = 10
smtpd_starttls_timeout = ${stress?{10}:{300}}s
smtpd_timeout = ${stress?{10}:{300}}s
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_always_issue_session_ids = yes
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file =
smtpd_tls_ciphers = medium
smtpd_tls_dcert_file =
smtpd_tls_dh1024_param_file =
smtpd_tls_dh512_param_file =
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_eccert_file =
smtpd_tls_eckey_file = $smtpd_tls_eccert_file
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers =
smtpd_tls_fingerprint_digest = md5
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_loglevel = 0
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_received_header = no
smtpd_tls_req_ccert = no
smtpd_tls_security_level =
smtpd_tls_session_cache_database =
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_wrappermode = no
smtpd_upstream_proxy_protocol =
smtpd_upstream_proxy_timeout = 5s
smtpd_use_tls = no
smtputf8_autodetect_classes = sendmail, verify
smtputf8_enable = ${{$compatibility_level} < {1} ? {no} : {yes}}
soft_bounce = no
stale_lock_time = 500s
stress =
strict_7bit_headers = no
strict_8bitmime = no
strict_8bitmime_body = no
strict_mailbox_ownership = yes
strict_mime_encoding_domain = no
strict_rfc821_envelopes = no
strict_smtputf8 = no
sun_mailtool_compatibility = no
swap_bangpath = yes
syslog_facility = mail
syslog_name = ${multi_instance_name?{$multi_instance_name}:{postfix}}
tcp_windowsize = 0
tls_append_default_CA = no
tls_daemon_random_bytes = 32
tls_dane_digest_agility = on
tls_dane_digests = sha512 sha256
tls_dane_trust_anchor_digest_enable = yes
tls_disable_workarounds =
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_export_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:HIGH:@STRENGTH
tls_legacy_public_key_fingerprints = no
tls_low_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:+RC4:@STRENGTH
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_random_bytes = 32
tls_random_exchange_name = ${data_directory}/prng_exch
tls_random_prng_update_period = 3600s
tls_random_reseed_period = 3600s
tls_random_source = dev:/dev/urandom
tls_session_ticket_cipher = aes-256-cbc
tls_ssl_options =
tls_wildcard_matches_multiple_labels = yes
tlsmgr_service_name = tlsmgr
tlsproxy_enforce_tls = $smtpd_enforce_tls
tlsproxy_service_name = tlsproxy
tlsproxy_tls_CAfile = $smtpd_tls_CAfile
tlsproxy_tls_CApath = $smtpd_tls_CApath
tlsproxy_tls_always_issue_session_ids = $smtpd_tls_always_issue_session_ids
tlsproxy_tls_ask_ccert = $smtpd_tls_ask_ccert
tlsproxy_tls_ccert_verifydepth = $smtpd_tls_ccert_verifydepth
tlsproxy_tls_cert_file = $smtpd_tls_cert_file
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_dcert_file = $smtpd_tls_dcert_file
tlsproxy_tls_dh1024_param_file = $smtpd_tls_dh1024_param_file
tlsproxy_tls_dh512_param_file = $smtpd_tls_dh512_param_file
tlsproxy_tls_dkey_file = $smtpd_tls_dkey_file
tlsproxy_tls_eccert_file = $smtpd_tls_eccert_file
tlsproxy_tls_eckey_file = $smtpd_tls_eckey_file
tlsproxy_tls_eecdh_grade = $smtpd_tls_eecdh_grade
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_fingerprint_digest = $smtpd_tls_fingerprint_digest
tlsproxy_tls_key_file = $smtpd_tls_key_file
tlsproxy_tls_loglevel = $smtpd_tls_loglevel
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = 
$smtpd_tls_mandatory_exclude_ciphers
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
tlsproxy_tls_protocols = $smtpd_tls_protocols
tlsproxy_tls_req_ccert = $smtpd_tls_req_ccert
tlsproxy_tls_security_level = $smtpd_tls_security_level
tlsproxy_use_tls = $smtpd_use_tls
tlsproxy_watchdog_timeout = 10s
trace_service_name = trace
transport_maps =
transport_retry_time = 60s
trigger_timeout = 10s
undisclosed_recipients_header =
unknown_address_reject_code = 450
unknown_address_tempfail_action = $reject_tempfail_action
unknown_client_reject_code = 450
unknown_helo_hostname_tempfail_action = $reject_tempfail_action
unknown_hostname_reject_code = 450
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_defer_code = 450
unverified_recipient_reject_code = 450
unverified_recipient_reject_reason =
unverified_recipient_tempfail_action = $reject_tempfail_action
unverified_sender_defer_code = 450
unverified_sender_reject_code = 450
unverified_sender_reject_reason =
unverified_sender_tempfail_action = $reject_tempfail_action
verp_delimiter_filter = -=+
virtual_alias_address_length_limit = 1000
virtual_alias_domains = $virtual_alias_maps
virtual_alias_expansion_limit = 1000
virtual_alias_maps = $virtual_maps
virtual_alias_recursion_limit = 1000
virtual_delivery_slot_cost = $default_delivery_slot_cost
virtual_delivery_slot_discount = $default_delivery_slot_discount
virtual_delivery_slot_loan = $default_delivery_slot_loan
virtual_delivery_status_filter = $default_delivery_status_filter
virtual_destination_concurrency_failed_cohort_limit = 
$default_destination_concurrency_failed_cohort_limit
virtual_destination_concurrency_limit = 
$default_destination_concurrency_limit
virtual_destination_concurrency_negative_feedback = 
$default_destination_concurrency_negative_feedback
virtual_destination_concurrency_positive_feedback = 
$default_destination_concurrency_positive_feedback
virtual_destination_rate_delay = $default_destination_rate_delay
virtual_destination_recipient_limit = $default_destination_recipient_limit
virtual_extra_recipient_limit = $default_extra_recipient_limit
virtual_gid_maps =
virtual_initial_destination_concurrency = $initial_destination_concurrency
virtual_mailbox_base =
virtual_mailbox_domains = $virtual_mailbox_maps
virtual_mailbox_limit = 51200000
virtual_mailbox_lock = fcntl, dotlock
virtual_mailbox_maps =
virtual_minimum_delivery_slots = $default_minimum_delivery_slots
virtual_minimum_uid = 100
virtual_recipient_limit = $default_recipient_limit
virtual_recipient_refill_delay = $default_recipient_refill_delay
virtual_recipient_refill_limit = $default_recipient_refill_limit
virtual_transport = virtual
virtual_transport_rate_delay = $default_transport_rate_delay
virtual_uid_maps =



From wn at neessen.net  Thu Feb 27 08:11:58 2020
From: wn at neessen.net (Winfried Neessen)
Date: Thu, 27 Feb 2020 08:11:58 +0100
Subject: Mail annehmen ohne Kontrolle FQDN
In-Reply-To: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>
References: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>
Message-ID: <DD74AD64-48CC-4978-9AEC-C08F7F9B4DE1@neessen.net>

Hi,


On 26. Feb 2020, at 21:13, sebastian at debianfan.de wrote:

> Ich hätte hier eine IP des Servers (fremder-server.de) anzubieten.
> 
> Der Reverse kann erst nächste Woche eingetragen werden - das System steht nicht so direkt in meinem Einflussbereich :-/
> 
Du koenntest temporaer als erste Regel der "smtpd_recipient_restrictions" eine "check_client_access" Regel bauen in der
Du die IP dann mit "OK" durchwinkst.


Winni

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200227/ae54b1d6/attachment.asc>

From kai_postfix at fuerstenberg.ws  Thu Feb 27 09:42:39 2020
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Thu, 27 Feb 2020 09:42:39 +0100
Subject: Mail annehmen ohne Kontrolle FQDN
In-Reply-To: <DD74AD64-48CC-4978-9AEC-C08F7F9B4DE1@neessen.net>
References: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>
 <DD74AD64-48CC-4978-9AEC-C08F7F9B4DE1@neessen.net>
Message-ID: <d5186165-a73d-a2d3-548f-0fbe8ccf00e2@fuerstenberg.ws>

Am 27.02.2020 um 08:11 schrieb Winfried Neessen:
> Hi,
> 
> 
> On 26. Feb 2020, at 21:13, sebastian at debianfan.de wrote:
> 
>> Ich hätte hier eine IP des Servers (fremder-server.de) anzubieten.
>>
>> Der Reverse kann erst nächste Woche eingetragen werden - das System steht nicht so direkt in meinem Einflussbereich :-/
>>
> Du koenntest temporaer als erste Regel der "smtpd_recipient_restrictions" eine "check_client_access" Regel bauen in der
> Du die IP dann mit "OK" durchwinkst.

benutze besser "permit_auth_destination" ...

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From jost+lists at dimejo.at  Thu Feb 27 13:12:34 2020
From: jost+lists at dimejo.at (Alex JOST)
Date: Thu, 27 Feb 2020 13:12:34 +0100
Subject: Mail annehmen ohne Kontrolle FQDN
In-Reply-To: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>
References: <f7e43c1f-8412-b140-c3fd-341da5fca43e@debianfan.de>
Message-ID: <f974c759-7c2e-a1ce-27cb-61aa41b406b4@dimejo.at>

Am 26.02.2020 um 21:13 schrieb sebastian at debianfan.de:
> 
> postconf -d sagt:

postconf -d gibt dir die Standardwerte aus. postconf -n zeigt dir die 
geänderten Werte an.

-- 
Alex JOST


From stickybit at myhm.de  Thu Feb 27 16:19:48 2020
From: stickybit at myhm.de (Andre)
Date: Thu, 27 Feb 2020 16:19:48 +0100
Subject: Umlaut-Domains
Message-ID: <cf70a926-d1d9-69f9-08b0-6ad93ccd4350@myhm.de>

Hallo Liste,

ich nehme als Beispiel: umlaut [at] domäne.de

Ich frage mich ob es möglich ist, diese E-Mail-Adresse als Absender in
einem Mailclient so zu konfigurieren, dass Empfänger dann Umlaute sehen
und nicht die IDN-Variante? Das sieht nämlich ziemlich hässlich aus :-)

-- 
LG
Andre


From christian at bricart.de  Thu Feb 27 16:53:21 2020
From: christian at bricart.de (Christian Bricart)
Date: Thu, 27 Feb 2020 16:53:21 +0100
Subject: Umlaut-Domains
In-Reply-To: <cf70a926-d1d9-69f9-08b0-6ad93ccd4350@myhm.de>
References: <cf70a926-d1d9-69f9-08b0-6ad93ccd4350@myhm.de>
Message-ID: <b440da70e585507de40a6d4fd9c9cb3c@bricart.de>

Am 2020-02-27 16:19, schrieb Andre:
> Hallo Liste,
> 
> ich nehme als Beispiel: umlaut [at] domäne.de
> 
> Ich frage mich ob es möglich ist, diese E-Mail-Adresse als Absender in
> einem Mailclient so zu konfigurieren, dass Empfänger dann Umlaute sehen
> und nicht die IDN-Variante? Das sieht nämlich ziemlich hässlich aus :-)

Umlaute im local-part (also das vor dem [ät]) sind nach RFC5322 generell 
verboten. Zulässige Zeichen sind ausschliesslich:
> A-Za-z0-9.!#$%&'*+-/=?^_`{|}~
Oder sie werden eben wie sonst auch in UTF8 kodiert - RFC 6530, RFC 
6531, RFC 6532, und RFC 6533

Im Domain-Part (also nach dem [ät]) ist es Aufgabe und Fähigkeit jedes 
einzelnen MUA das in beide Richtungen (also: zu und von Punycode) 
umzusetzen.
Die Implementierungen in den verfügbaren Email Clients.. ööh... 
»variiert«? .. ;) vgl: 
https://en.wikipedia.org/wiki/International_email#Adoption

Christian


From driessen at fblan.de  Thu Feb 27 17:02:54 2020
From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Thu, 27 Feb 2020 17:02:54 +0100
Subject: AW: Umlaut-Domains
In-Reply-To: <cf70a926-d1d9-69f9-08b0-6ad93ccd4350@myhm.de>
References: <cf70a926-d1d9-69f9-08b0-6ad93ccd4350@myhm.de>
Message-ID: <004a01d5ed87$5f02e210$1d08a630$@fblan.de>

Im Auftrag von Andre
> 
> Hallo Liste,
> 
> ich nehme als Beispiel: umlaut [at] domäne.de
> 
> Ich frage mich ob es möglich ist, diese E-Mail-Adresse als Absender in
> einem Mailclient so zu konfigurieren, dass Empfänger dann Umlaute sehen
> und nicht die IDN-Variante? Das sieht nämlich ziemlich hässlich aus :-)

UTF8 ? 

Kannst auch UE AE OE SS schreiben :-) 
Ich lass das immer mit den Umlauten

> 
> --
> LG
> Andre




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten,
 dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "





From mwuttke at beuth-hochschule.de  Fri Feb 28 14:59:39 2020
From: mwuttke at beuth-hochschule.de (Michael Wuttke)
Date: Fri, 28 Feb 2020 14:59:39 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
Message-ID: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>

Hallo liebe Liste,

ich habe da mal eine Frage zu einer Erweiterung des Subjects. Mein
Arbeitgeber möchte gern aus Sicherheitsgründen, das eingehende E-Mails,
die nicht zur eigenen Domain gehören als [extern] im Betreff/Subject
markiert werden.

Meine Fragen dazu:
1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern
rechtlich machbar?
2. Und wenn ja, auf welcher rechtlichen Grundlage kann man dies tun?
3. Für diejenigen unter Euch, die das bereits tun, welche Erfahrungen
habt Ihr damit gemacht, insbesondere wie war die Resonanz der
Nutzer/innen, Eurer "Kunden"?

Danke & Gruß,
Michael Wuttke

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5367 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200228/f64ba5f5/attachment.p7s>

From Ralf.Hildebrandt at charite.de  Fri Feb 28 15:10:50 2020
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Fri, 28 Feb 2020 15:10:50 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
Message-ID: <20200228141050.z6u7qlobx36frlne@charite.de>

* Michael Wuttke <mwuttke at beuth-hochschule.de>:
> Hallo liebe Liste,
> 
> ich habe da mal eine Frage zu einer Erweiterung des Subjects. Mein
> Arbeitgeber möchte gern aus Sicherheitsgründen, das eingehende E-Mails,
> die nicht zur eigenen Domain gehören als [extern] im Betreff/Subject
> markiert werden.

Ja, das kann ziemlich sinnvoll sein, wenn die User wissen, wie das
funktioniert.
 
> Meine Fragen dazu:
> 1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern rechtlich machbar?
> 2. Und wenn ja, auf welcher rechtlichen Grundlage kann man dies tun?

Wenn die E-Mail nur dienstlich genutzt werden soll (Vereinbarung):
denke ja

> 3. Für diejenigen unter Euch, die das bereits tun, welche Erfahrungen
> habt Ihr damit gemacht, insbesondere wie war die Resonanz der
> Nutzer/innen, Eurer "Kunden"?

Es bringt zumindest etwas in Bezug auf Phishing.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 5023 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200228/a2b352a4/attachment.bin>

From kai_postfix at fuerstenberg.ws  Fri Feb 28 15:22:22 2020
From: kai_postfix at fuerstenberg.ws (=?UTF-8?Q?Kai_F=c3=bcrstenberg?=)
Date: Fri, 28 Feb 2020 15:22:22 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <20200228141050.z6u7qlobx36frlne@charite.de>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
 <20200228141050.z6u7qlobx36frlne@charite.de>
Message-ID: <d1ebba19-56f3-b717-4419-70354dbd382d@fuerstenberg.ws>

Am 28.02.2020 um 15:10 schrieb Ralf Hildebrandt:
>> Meine Fragen dazu:
>> 1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern rechtlich machbar?
>> 2. Und wenn ja, auf welcher rechtlichen Grundlage kann man dies tun?
> 
> Wenn die E-Mail nur dienstlich genutzt werden soll (Vereinbarung):
> denke ja

Ich bin jetzt kein Jurist, also korrigiert mich, wenn ich irre:

Grundsätzlich sind zwei Rechteinhaber zu beachten: Der Absender und der
Empfänger. Wenn du jetzt einen Deal mit dem Empfänger machst, dass das
Subject geändert wird, greifst du aber dadurch aber in die Rechte des
Absenders ein, allein weil du das Subject veränderst.

Jetzt ist es aber so, dass das Subject nur durch eine Kennzeichnung
ergänzt wird und zwar in der Art, dass das ursprüngliche Subject Wort
für Wort und Buchstabe für Buchstabe vollständig erhalten bleibt. Die
Kennzeichnung ist dabei auch als solche erkennbar.

Insofern findet eigentlich keine echte Veränderung der Mail statt. Das
Subject bleibt als solches erhalten, der Inhalt bleibt als solcher
erhalten, und keiner nimmt Kenntnis vom Inhalt außer den berechtigten
Personen.

Ich sehe hier kein Problem.

>> 3. Für diejenigen unter Euch, die das bereits tun, welche Erfahrungen
>> habt Ihr damit gemacht, insbesondere wie war die Resonanz der
>> Nutzer/innen, Eurer "Kunden"?
> 
> Es bringt zumindest etwas in Bezug auf Phishing.

Schon ein SPAM-Tagging ist ja eine Veränderung des Subjects. Da gibt es
keine Probleme. Das wollen die Nutzer sogar.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws



From gnitzsche at netcologne.de  Fri Feb 28 16:11:31 2020
From: gnitzsche at netcologne.de (Gunther Nitzsche)
Date: Fri, 28 Feb 2020 16:11:31 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <d1ebba19-56f3-b717-4419-70354dbd382d@fuerstenberg.ws>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
 <20200228141050.z6u7qlobx36frlne@charite.de>
 <d1ebba19-56f3-b717-4419-70354dbd382d@fuerstenberg.ws>
Message-ID: <b4245a72-483d-01c1-3606-c7cf595357cd@netcologne.de>

Hi,

On 28.02.20 15:22, Kai Fürstenberg wrote:
> Am 28.02.2020 um 15:10 schrieb Ralf Hildebrandt:
>>> Meine Fragen dazu:

> 
> Schon ein SPAM-Tagging ist ja eine Veränderung des Subjects. Da gibt es
> keine Probleme. Das wollen die Nutzer sogar.


Öhh..nein :)

Veränderung des Subjects ist imho rechtlich nicht sauber; wird bei
uns z.B. daher strikt unterlassen. (§303a StGB..)
Hinzufügen einer Kopfzeile geht aber anscheinend eher.
Dazu z.B.

https://wiki.gsi.de/foswiki/pub/Personalpages/MmuItSicherheit/download.pdf
https://www.oreilly.de/german/freebooks/spamvirger/pdf/313-318.pdf

Wenn es nur um Emails an die Mitarbeiter der eigenen Firma
geht, sollte dies aber mittels einer Betriebsvereinbarung
o.ä. (also mit Mitwirkung des Betriebsrates so vorhanden)
leicht umzusetzen sein. Bei Emails von oder an Kunden würde
ich definitiv davon absehen. Bei erlaubter privater Nutzung
der Mail würde ich ebenfalls das Einverständnis der Mitarbeiter
einholen.

(Was passiert mit dem Subject eigentlich bei einer Weiterleitung?)

Schönen Gruß
Gunther


From jc.pfbk15 at cynix.net  Fri Feb 28 16:17:14 2020
From: jc.pfbk15 at cynix.net (Juergen Christoffel)
Date: Fri, 28 Feb 2020 16:17:14 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
Message-ID: <20200228151714.GA19245@unser.net>

On Fri, Feb 28, 2020 at 02:59:39PM +0100, Michael Wuttke wrote:
>1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern
>rechtlich machbar?

Auch ich bin kein Jurist. Wenn ich eine Analogie zur Papierpost ziehen
darf, sehe ich da auch kein Probleme:

 - Papierpost wird und wurde schon immer mit Eingangsstempeln versehen,
   also "verändert" ... manchmal auch durch handschriftliche Anmerkungen.

 - eine Kennzeichung durch vorangestellten Prefix halte ich ein Analogon,
   da auch hier nur ein "Eingangsstempel" angebracht wird und nicht der
   eigentliche Text verändert wird.

 - die RFCs erlauben Veränderungen nicht (ausser hinzugefügten
   Received-Headern), allerdings bewerte ich das als unerwünschte
   Änderungen beim Transport unterwegs, nicht als Markierungen beim
   Posteingang auf Empfangsseite[*].

Am Rande bemerkt: bei uns werden Emails mit verdächtigen Anhängen demnächst
durch eine Appliance modifiziert, d.h. erst einmal erhält der Empfänger
eine Email ohne ein verdächtiges Attachment und statt dessen einen Link auf
eine Vorschau auf der Appliance. Die Original-Email kann der Addressat sich
dann ggf. nach Überprüfung zusenden lassen, weil er, sie oder es z.B. den
tatsächlichen Inhalt benötigt.

Gruss, JC

[*] Wobei z.B. bei unseren verschlüsselten Mailinglisten eine
Umschlüsselung für die Listen-Teilnehmer erfolgt. Ist aber auch "nur
Verpackung" und keine Änderung des Inhaltes.

-- 
  If universal surveillance were the answer, lots of us would have moved to the
  former East Germany. If surveillance cameras were the answer, camera-happy London,
  with something like 500,000 of them at a cost of $700 million, would be the safest
  city on the planet. -- Bruce Schneier


From list+postfixbuch at gcore.biz  Fri Feb 28 16:37:21 2020
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Fri, 28 Feb 2020 16:37:21 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <20200228151714.GA19245@unser.net>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
 <20200228151714.GA19245@unser.net>
Message-ID: <6A1C3AB3-CBA5-4760-8663-42B82D988DCA@gcore.biz>


>> 1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern
>> rechtlich machbar?

alternativ könnte man mit sieve beim Speichern in die Inbox ein Flag
setzen, das der Mailclient anzeigt (z.B. ein gelbes Fähnchen für extern).

https://kb.mailbox.org/display/MBOKB/Tipp%3A+Farbige+E-Mail-Flags+fuer+Thunderbird

Viele Grüße
Gerald



From mwuttke at beuth-hochschule.de  Fri Feb 28 19:39:09 2020
From: mwuttke at beuth-hochschule.de (Michael Wuttke)
Date: Fri, 28 Feb 2020 19:39:09 +0100
Subject: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <6A1C3AB3-CBA5-4760-8663-42B82D988DCA@gcore.biz>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
 <20200228151714.GA19245@unser.net>
 <6A1C3AB3-CBA5-4760-8663-42B82D988DCA@gcore.biz>
Message-ID: <4b60bbf6-8845-f6ed-bfde-8a22107d2f4f@beuth-hochschule.de>

Hallo noch mal in die Runde,

vielen Dank für die Rückmeldungen und Hinweise. Dann weiß ich noch vor
mir habe. ;-)

@Gerald: Gibt es dieses E-Mail-Flag ev. auch für Outlook/Exchange, denn
wir setzen nicht nur postfix & dovecot ein?

Danke & Gruß,
Michael

Am 28.02.20 um 16:37 schrieb Gerald Galster:
> 
>>> 1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern
>>> rechtlich machbar?
> 
> alternativ könnte man mit sieve beim Speichern in die Inbox ein Flag
> setzen, das der Mailclient anzeigt (z.B. ein gelbes Fähnchen für extern).
> 
> https://kb.mailbox.org/display/MBOKB/Tipp%3A+Farbige+E-Mail-Flags+fuer+Thunderbird
> 
> Viele Grüße
> Gerald


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5367 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200228/d7056e03/attachment.p7s>

From daniel at mail24.vip  Fri Feb 28 19:49:14 2020
From: daniel at mail24.vip (Daniel)
Date: Fri, 28 Feb 2020 19:49:14 +0100
Subject: AW: Frage zu einer Erweiterung des Subjects externer E-Mails
In-Reply-To: <4b60bbf6-8845-f6ed-bfde-8a22107d2f4f@beuth-hochschule.de>
References: <156e8fa3-1911-1bbe-68c4-15f5c7e35461@beuth-hochschule.de>
 <20200228151714.GA19245@unser.net>
 <6A1C3AB3-CBA5-4760-8663-42B82D988DCA@gcore.biz>
 <4b60bbf6-8845-f6ed-bfde-8a22107d2f4f@beuth-hochschule.de>
Message-ID: <003a01d5ee67$cbde8de0$639ba9a0$@mail24.vip>

Moin,

das Flag ist in Outlook eine rote Fahne, in anderen Programmen ggf. nen Stern, oder ähnliches.

In Dovecot Regel könnte man es z.B. so machen

# DWD Warnungen
in require "imap4flags"
if header :contains "from" "@newsletter.dwd.de" {
setflag "\\Flagged";
stop;
}

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Michael Wuttke
Gesendet: Freitag, 28. Februar 2020 19:39
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: Frage zu einer Erweiterung des Subjects externer E-Mails

Hallo noch mal in die Runde,

vielen Dank für die Rückmeldungen und Hinweise. Dann weiß ich noch vor
mir habe. ;-)

@Gerald: Gibt es dieses E-Mail-Flag ev. auch für Outlook/Exchange, denn
wir setzen nicht nur postfix & dovecot ein?

Danke & Gruß,
Michael

Am 28.02.20 um 16:37 schrieb Gerald Galster:
> 
>>> 1. Ist das Ändern des Subjects einer eingehenden E-Mail von Extern
>>> rechtlich machbar?
> 
> alternativ könnte man mit sieve beim Speichern in die Inbox ein Flag
> setzen, das der Mailclient anzeigt (z.B. ein gelbes Fähnchen für extern).
> 
> https://kb.mailbox.org/display/MBOKB/Tipp%3A+Farbige+E-Mail-Flags+fuer+Thunderbird
> 
> Viele Grüße
> Gerald


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5571 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200228/893acf18/attachment.p7s>

From stickybit at myhm.de  Sat Feb 29 22:34:53 2020
From: stickybit at myhm.de (Andre)
Date: Sat, 29 Feb 2020 22:34:53 +0100
Subject: E-Mail-Formatierung
Message-ID: <88f9348d-63b4-12e7-9ac1-988c355f8ee7@myhm.de>

Hallo Leute,

ich weiß, es gibt die Möglichkeit, reine Text-Mails zu formatieren.
Da müsste man doch sowas dann angeben

**This is bold**

Könnt ihr mir einen Hinweis oder ein Stichwort geben?
Was muss man im Header angeben, damit MUA das richtig interpretiert?

-- 
LG
Andre