From fk+postfix at celebrate.de Wed Dec 1 11:31:13 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Wed, 1 Dec 2021 11:31:13 +0100 Subject: OS Wechsel von CentOS zu ? Message-ID: Hallo liebe Leser dieser Liste, Ich nutze seit vielen Jahren Proxmox (angefangen mit OpenVZ mit CentOS 5 im Container), in welchem aktuell ein LXC Container mit CentOS 7 läuft unter Proxmox 6.4. Im Container dann Postfix, Dovecot, Amavis ... Nun gibt es Proxmox 7. Problem beim Upgrade von 6 auf 7 mit CentOS 7 ist: /CentOS 7 and Ubuntu 16.10 are two prominent Linux distributions releases, which have a systemd version that is too old to run in a cgroupv2 environment, for details and possible fixes see: https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat/ https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0 Aktuell läuft Postfix 2.10.1, Dovecot 2.2.36, SpamAssassin 3.4.0, Amavis 2.12.0-10, ClamAV 0.103.4-1 Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf Rocky, Debian oder Ubuntu? Gibt es Erfahrungen, in wie weit dann Konfigurationen übernommen werden können? Gibt es Statistiken, mit welchem OS (außer Windoof) Mailserver laufen? Viele Grüße, Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfix_ml at rirasoft.de Wed Dec 1 15:16:32 2021 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Wed, 1 Dec 2021 15:16:32 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: <8c4f6303-bc15-7350-3dc8-1f86c3f636a3@rirasoft.de> Hallo Frank, ich habe meine Systeme auf AlmaLinux umgestellt. Habe an der Konfiguration nichts ändern müssen. Gruß Andreas Am 01.12.21 um 11:31 schrieb fk+postfix at celebrate.de: > > Hallo liebe Leser dieser Liste, > > Ich nutze seit vielen Jahren Proxmox (angefangen mit OpenVZ mit CentOS > 5 im Container), in welchem aktuell ein LXC Container mit CentOS 7 > läuft unter Proxmox 6.4. Im Container dann Postfix, Dovecot, Amavis ... > > Nun gibt es Proxmox 7. Problem beim Upgrade von 6 auf 7 mit CentOS 7 ist: > > /CentOS 7 and Ubuntu 16.10 are two prominent Linux distributions > releases, which have a systemd version that is too old to run in a > cgroupv2 environment, for details and possible fixes see: > https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat/ > > https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0 > > Aktuell läuft Postfix 2.10.1, Dovecot 2.2.36, SpamAssassin 3.4.0, > Amavis 2.12.0-10, ClamAV 0.103.4-1 > > Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, > in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen > zu können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf > Rocky, Debian oder Ubuntu? > > Gibt es Erfahrungen, in wie weit dann Konfigurationen übernommen > werden können? > Gibt es Statistiken, mit welchem OS (außer Windoof) Mailserver laufen? > > Viele Grüße, > Frank > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From list+postfixbuch at gcore.biz Wed Dec 1 15:47:28 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 1 Dec 2021 15:47:28 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: Hallo Frank, > Ich nutze seit vielen Jahren Proxmox (angefangen mit OpenVZ mit CentOS 5 im Container), in welchem aktuell ein LXC Container mit CentOS 7 läuft unter Proxmox 6.4. Im Container dann Postfix, Dovecot, Amavis ... > > Nun gibt es Proxmox 7. Problem beim Upgrade von 6 auf 7 mit CentOS 7 ist: > > CentOS 7 and Ubuntu 16.10 are two prominent Linux distributions releases, which have a systemd version that is too old to run in a cgroupv2 environment, for details and possible fixes see: https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat > https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0 > Aktuell läuft Postfix 2.10.1, Dovecot 2.2.36, SpamAssassin 3.4.0, Amavis 2.12.0-10, ClamAV 0.103.4-1 > > Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf Rocky, Debian oder Ubuntu? > > Gibt es Erfahrungen, in wie weit dann Konfigurationen übernommen werden können? > Postfix läuft prinzipiell, je nachdem was Du konfiguriert hast gibt es compatibility levels: http://www.postfix.org/COMPATIBILITY_README.html Bei dovecot gibt es breaking changes wie z.B. ssl_protocols (jetzt ssl_min_protocol). Die Änderungen halten sich in Grenzen: https://wiki2.dovecot.org/Upgrading/2.3 Dovecot 2.3 mag für einen einzelnen Server in bestimmten Versionen lauffähig sein. Ich selbst hoffe, dass die nächste Version einigermaßen fehlerfrei ist. Bisher habe ich von einem Upgrade abgesehen, da neben Fixes auch immer neue Bugs eingezogen sind. Das reichte von Problemen mit Komprimierung über mdbox Korruption bis hin zu crashs. AlmaLinux und RockyLinux sind beides gute CentOS Nachfolger. AlmaLinux war mit 8.5 2-3 Tage früher fertig als Rocky, aber alles sehr zeitnah nach RHEL 8.5. AlmaLinux hatte nach der ersten Konvertierung Boot-Probleme auf Servern mit NVMe disks, diese wurden aber mit 8.4 behoben. Ich persönlich bin bei RockyLinux gelandet und bisher zufrieden. Anmerken sollte man vielleicht, dass einige spezielle Repos, wie z.B. für glusterfs, noch nicht verfügbar sind. Standard-Repos und auch EPEL funktionieren. Sollte postfix im Container nicht starten, könnte es helfen im postfix.service file (systemd) PrivateDevices=false zu setzen. Nötig war dies bei einem nspawn container, unter LXC vielleicht nicht. Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ad+lists at uni-x.org Wed Dec 1 18:56:17 2021 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Wed, 1 Dec 2021 18:56:17 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: Am 01.12.2021 um 11:31 schrieb fk+postfix at celebrate.de: > Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, > in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu > können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf > Rocky, Debian oder Ubuntu? Nur der Korrektheit halber: CentOS wird nicht eingestellt. Alexander From klaus at tachtler.net Wed Dec 1 19:09:09 2021 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 1 Dec 2021 18:09:09 +0000 (UTC) Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: <8f5f7f0a-0888-44dc-83d6-f0e49c5f0ddd@tachtler.net> Hallo Zusammen, CentOS wird nicht eingestellt, aber wenn es nicht mehr binär kompatibel zu REHL ist, sondern ähnlich wie Fedora aus "unstable", teilweise experimentellen Paketen besteht, ist es als Server OS schlecht zu nutzen. Ich persönlich habe von CentOS 5-7 lange CentOS beruflich wie auch privat genutzt, werde aber jetzt mal einen ganz anderen Weg gehen und auf Arch Linux umsteigen. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Alexander Dalloz An: postfixbuch-users at listen.jpberlin.de Datum: 01.12.2021 18:56:35 Betreff: Re: OS Wechsel von CentOS zu ? > Am 01.12.2021 um 11:31 schrieb fk+postfix at celebrate.de: >> Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf Rocky, Debian oder Ubuntu? > > Nur der Korrektheit halber: CentOS wird nicht eingestellt. > > Alexander -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From mittelstaedt-postfixbuch-users-list at monster-box.de Wed Dec 1 19:12:16 2021 From: mittelstaedt-postfixbuch-users-list at monster-box.de (mittelstaedt-postfixbuch-users-list at monster-box.de) Date: Wed, 01 Dec 2021 19:12:16 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: <8f5f7f0a-0888-44dc-83d6-f0e49c5f0ddd@tachtler.net> References: <8f5f7f0a-0888-44dc-83d6-f0e49c5f0ddd@tachtler.net> Message-ID: <1952953.x7xexGqOQs@tweety.monster-box.de> Hallo Klaus, Arch ist ja aber wirklich rolling-release. Also in dem Bereich effektiv das Gleiche was Centos wird? VG Tom Am Mittwoch, 1. Dezember 2021, 19:09:09 CET schrieb Klaus Tachtler: > Hallo Zusammen, > > CentOS wird nicht eingestellt, aber wenn es nicht mehr binär kompatibel zu > REHL ist, sondern ähnlich wie Fedora aus "unstable", teilweise > experimentellen Paketen besteht, ist es als Server OS schlecht zu nutzen. > > Ich persönlich habe von CentOS 5-7 lange CentOS beruflich wie auch privat > genutzt, werde aber jetzt mal einen ganz anderen Weg gehen und auf Arch > Linux umsteigen. > > > Grüße > Klaus. > > > Am 01.12.2021 um 11:31 schrieb fk+postfix at celebrate.de: > >> Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, in > >> der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu > >> können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf > >> Rocky, Debian oder Ubuntu?> > > Nur der Korrektheit halber: CentOS wird nicht eingestellt. > > > > Alexander -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From mittelstaedt-postfixbuch-users-list at monster-box.de Wed Dec 1 19:13:44 2021 From: mittelstaedt-postfixbuch-users-list at monster-box.de (mittelstaedt-postfixbuch-users-list at monster-box.de) Date: Wed, 01 Dec 2021 19:13:44 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: <1862744.AFzpZtjctv@tweety.monster-box.de> Hallo Frank, wir bereiten gerade die Migration der 8er-VMs zu Rocky vor. Die 7er sind dann im nächsten Schritt via 8 auf Rocky geplant im Q1 22. Erste Testes sahen vielversprechend aus. VG Tom Am Mittwoch, 1. Dezember 2021, 11:31:13 CET schrieb fk+postfix at celebrate.de: > Hallo liebe Leser dieser Liste, > > Ich nutze seit vielen Jahren Proxmox (angefangen mit OpenVZ mit CentOS 5 > im Container), in welchem aktuell ein LXC Container mit CentOS 7 läuft > unter Proxmox 6.4. Im Container dann Postfix, Dovecot, Amavis ... > > Nun gibt es Proxmox 7. Problem beim Upgrade von 6 auf 7 mit CentOS 7 ist: > > /CentOS 7 and Ubuntu 16.10 are two prominent Linux distributions > releases, which have a systemd version that is too old to run in a > cgroupv2 environment, for details and possible fixes see: > https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat/ > > https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0 > > Aktuell läuft Postfix 2.10.1, Dovecot 2.2.36, SpamAssassin 3.4.0, Amavis > 2.12.0-10, ClamAV 0.103.4-1 > > Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, > in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen zu > können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf > Rocky, Debian oder Ubuntu? > > Gibt es Erfahrungen, in wie weit dann Konfigurationen übernommen werden > können? > Gibt es Statistiken, mit welchem OS (außer Windoof) Mailserver laufen? > > Viele Grüße, > Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From list+postfixbuch at gcore.biz Wed Dec 1 21:18:29 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 1 Dec 2021 21:18:29 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: <8f5f7f0a-0888-44dc-83d6-f0e49c5f0ddd@tachtler.net> References: <8f5f7f0a-0888-44dc-83d6-f0e49c5f0ddd@tachtler.net> Message-ID: <3E38B7DD-9C14-4629-A34D-565A8B07F411@gcore.biz> > CentOS wird nicht eingestellt, aber wenn es nicht mehr binär kompatibel zu REHL ist, sondern ähnlich wie Fedora aus "unstable", teilweise experimentellen Paketen besteht, ist es als Server OS schlecht zu nutzen. Sehe ich auch so. CentOS Stream ist zwar nicht die allerneueste Software aber es werden Updates und zurückportierte Features getestet, die dann in die nächste RHEL 8.x Stableversion einfließen. Dadurch ist es z.B. passiert, dass man nach einem Kernel-Update und Reboot plötzlich keine nspawn Container mehr starten konnte. Das ist im Produktivbetrieb problematisch. Weiterhin gibt es Software die auf ein stabiles kABI angewiesen ist, das innerhalb einer RHEL 8.x Version gleich bleibt (z.B. zfsonlinux.org). Ich vermute das ist bei CentOS Stream nicht gegeben. Viele Grüße Gerald From fk+postfix at celebrate.de Thu Dec 2 06:38:13 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Thu, 2 Dec 2021 06:38:13 +0100 Subject: OS Wechsel von CentOS zu ? In-Reply-To: References: Message-ID: <46238f79-2838-d526-4bb5-07eb3c95930f@celebrate.de> Hallo zusammen, Danke für die hilfreichen Beiträge. Für Rocky und Alma gibt es von Proxmox fertige Templates. Die Chancen stehen 50 / 50 wer es über längere Zeit durchhalten wird. Die Sponsoren und Partnerlisten sind bei beiden voll. Am 01.12.2021 um 11:31 schrieb fk+postfix at celebrate.de: > > Hallo liebe Leser dieser Liste, > > Ich nutze seit vielen Jahren Proxmox (angefangen mit OpenVZ mit CentOS > 5 im Container), in welchem aktuell ein LXC Container mit CentOS 7 > läuft unter Proxmox 6.4. Im Container dann Postfix, Dovecot, Amavis ... > > Nun gibt es Proxmox 7. Problem beim Upgrade von 6 auf 7 mit CentOS 7 ist: > > /CentOS 7 and Ubuntu 16.10 are two prominent Linux distributions > releases, which have a systemd version that is too old to run in a > cgroupv2 environment, for details and possible fixes see: > https://pve.proxmox.com/pve-docs/chapter-pct.html#pct_cgroup_compat/ > > https://pve.proxmox.com/wiki/Upgrade_from_6.x_to_7.0 > > Aktuell läuft Postfix 2.10.1, Dovecot 2.2.36, SpamAssassin 3.4.0, > Amavis 2.12.0-10, ClamAV 0.103.4-1 > > Nun würde ich eigentlich einen neuen Container mit CentOS 8 aufsetzen, > in der Hoffnung die Konfigurationen ohne große Anpassungen übernehmen > zu können. Aber CentOS wird ja eingestellt. Daher vielleicht eher auf > Rocky, Debian oder Ubuntu? > > Gibt es Erfahrungen, in wie weit dann Konfigurationen übernommen > werden können? > Gibt es Statistiken, mit welchem OS (außer Windoof) Mailserver laufen? > > Viele Grüße, > Frank > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Fri Dec 3 10:19:11 2021 From: ffiene at veka.com (Frank Fiene) Date: Fri, 3 Dec 2021 10:19:11 +0100 Subject: Frage zu force_actions Message-ID: <7CB3E8E8-74D2-4C4A-8EE1-020426C2405C@veka.com> Moin! Ich habe mir folgende Regeln für force_actions angelegt, die über multimaps Dateien mit Domainnamen und IP-Adressen auswertet und blockiert oder durchlässt: 1.) blockiere alles von domain_blacklist_before_ip_whitelist.inc 2.) Lasse alles durch, was in ip_whilelist.inc steht 3.) blockiere Absender von internen Domains, die von außen kommen 4.) restliche Regelsätze. Die stehen in der Reihenfolge in den force_actions.conf. Gibt es da eine Reihenfolge zu beachten und wenn ja welche? Ich dachte, die erste Regel matcht und beendet die Regelauswertung, wenn da action = ?reject? steht. Ich versuche, eine Domain auszusperren, die über eine freigegebene IP reinkommt und habe diese in die domain_blacklist_before_ip_whitelist.inc geschrieben. rspamd lässt die Mails aber aufgrund der IP-Freigabe durch. Bei anderen Domains funktioniert das, da gibt es aber auch keinen Eintrag in der ip_whitelist.inc. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster From postfixer99 at gmail.com Sat Dec 4 07:31:40 2021 From: postfixer99 at gmail.com (Carsten) Date: Sat, 4 Dec 2021 07:31:40 +0100 Subject: Amavis: SMTP-Response bei Fehlern zu detailliert Message-ID: <8b31e176-c78c-8e31-8014-aceff5dd155f@gmail.com> Hallo zusammen, wir nutzen Postfix zusammen mit Amavis+Spamassassin und einer Maria-DB SQL-Datenbank im Backend, u.a. für das Amavis Logging. Nun hatten wir Probleme mit dem SQL-Server, was sich natürlich auch auf die Mailverarbeitung ausgewirkt hat. Ich finde es jedoch unschön bis bedenklich, wie dieser Status nach außen gespielt wird. Kann ich verhindern, dass derart technische Details einem Außenstehenden so detailliert in der 451er Meldung angezeigt werden, wenn es SQL-Probleme gibt? status=deferred (host myhost.foobar.de[111.222.333.444] said: 451 4.5.0 Error in processing, id=12345-67, gen_mail_id FAILED: connect_to_sql: unable to connect to any dataset at (eval 109) line 253, line 68. (in reply to end of DATA command)) status=deferred (host myhost.foobar.de[111.222.333.444] said: 451 4.5.0 Error in processing, id=111222-02, gen_mail_id FAILED: sql exec: err=1047, 08S01, DBD::mysql::st execute failed: WSREP has not yet prepared node for application use at (eval 109) line 173, line 51. (in reply to end of DATA command)) status=deferred (host myhost.foobar.de[111.222.333.444] said: 451 4.3.0 Error: queue file write error (in reply to end of DATA command)) Vielen Dank! From ffiene at veka.com Mon Dec 6 13:09:03 2021 From: ffiene at veka.com (Frank Fiene) Date: Mon, 6 Dec 2021 13:09:03 +0100 Subject: Frage zu force_actions Message-ID: Moin! Ich habe mir folgende Regeln für force_actions angelegt, die über multimaps Dateien mit Domainnamen und IP-Adressen auswertet und blockiert oder durchlässt: 1.) blockiere alles von domain_blacklist_before_ip_whitelist.inc 2.) Lasse alles durch, was in ip_whilelist.inc steht 3.) blockiere Absender von internen Domains, die von außen kommen 4.) restliche Regelsätze. Die stehen in der Reihenfolge in den force_actions.conf. Gibt es da eine Reihenfolge zu beachten und wenn ja welche? Ich dachte, die erste Regel matcht und beendet die Regelauswertung, wenn da action = ?reject? steht. Ich versuche, eine Domain auszusperren, die über eine freigegebene IP reinkommt und habe diese in die domain_blacklist_before_ip_whitelist.inc geschrieben. rspamd lässt die Mails aber aufgrund der IP-Freigabe durch. Bei anderen Domains funktioniert das, da gibt es aber auch keinen Eintrag in der ip_whitelist.inc. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From philipp.faeustlin at uni-hohenheim.de Mon Dec 6 16:21:07 2021 From: philipp.faeustlin at uni-hohenheim.de (=?UTF-8?Q?Philipp_F=c3=a4ustlin?=) Date: Mon, 6 Dec 2021 16:21:07 +0100 Subject: Frage zu force_actions In-Reply-To: References: Message-ID: <4e614117-6fac-025f-ddc1-fb76d6bd8277@uni-hohenheim.de> Ich glaube die Regeln werden nicht sequenziell abgearbeitet. Rspamd macht doch möglichst viel parallel. Ich würde es so in der Art aufbauen. 1.) DOM_BLACK -> reject 2.) IP_WHITE & !DOM_BLACK -> O.K. 3.) FROM_MY_DOM & !MY_IP -> reject Da sollte die Reihenfolge dann egal sein. Bei 3. wäre ich vorsichtig bzgl. weitergeleiteter Mails die dann eventuell abgelehnt werden. GGF. könnte man auf das R_SPF_FAIL Symbol verwerten. Gruß Philipp Am 06.12.21 um 13:09 schrieb Frank Fiene: > Moin! > > Ich habe mir folgende Regeln für force_actions angelegt, die über multimaps Dateien mit Domainnamen und IP-Adressen auswertet und blockiert oder durchlässt: > > 1.) blockiere alles von domain_blacklist_before_ip_whitelist.inc > 2.) Lasse alles durch, was in ip_whilelist.inc steht > 3.) blockiere Absender von internen Domains, die von außen kommen > 4.) restliche Regelsätze. > > Die stehen in der Reihenfolge in den force_actions.conf. > > Gibt es da eine Reihenfolge zu beachten und wenn ja welche? > > Ich dachte, die erste Regel matcht und beendet die Regelauswertung, wenn da action = ?reject? steht. > > Ich versuche, eine Domain auszusperren, die über eine freigegebene IP reinkommt und habe diese in die domain_blacklist_before_ip_whitelist.inc geschrieben. > rspamd lässt die Mails aber aufgrund der IP-Freigabe durch. > Bei anderen Domains funktioniert das, da gibt es aber auch keinen Eintrag in der ip_whitelist.inc. > > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5357 bytes Beschreibung: S/MIME Cryptographic Signature URL : From cr at ncxs.de Mon Dec 6 20:40:05 2021 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 6 Dec 2021 20:40:05 +0100 Subject: Frage zu force_actions In-Reply-To: <4e614117-6fac-025f-ddc1-fb76d6bd8277@uni-hohenheim.de> References: <4e614117-6fac-025f-ddc1-fb76d6bd8277@uni-hohenheim.de> Message-ID: Hi, Rspamd verarbeitet so gut wie alles asynchron also im Idealfall parallel. Um Dinge nacheinander zu verarbeiten, können Dependencies auf andere Symbole gesetzt werden. Genau das macht auch force_actions, damit deine Regel erst nach der Auswertung deines Symbols aus der Expression los läuft. Die Reihenfolge deiner Force Action Regeln sind nur abhängig von der Expression und nicht von der Reihenfolge in der Config. Ich würde das gleiche wie Phillip umsetzen (hint: die Symbole der Force Actions Regeln heißen dann z.B. FORCE_ACTION_DOM_BLACK) Alternativ würden dafür auch Conditional Multimaps oder die Abschaltung der Whitelist via Settings in Frage kommen. Viele Grüße Carsten On 06.12.21 16:21, Philipp Fäustlin wrote: > Ich glaube die Regeln werden nicht sequenziell abgearbeitet. Rspamd > macht doch möglichst viel parallel. > > Ich würde es so in der Art aufbauen. > > 1.) DOM_BLACK -> reject > 2.) IP_WHITE & !DOM_BLACK -> O.K. > 3.) FROM_MY_DOM & !MY_IP -> reject > > Da sollte die Reihenfolge dann egal sein. > Bei 3. wäre ich vorsichtig bzgl. weitergeleiteter Mails die dann > eventuell abgelehnt werden. GGF. könnte man auf das R_SPF_FAIL Symbol > verwerten. > > Gruß Philipp > > Am 06.12.21 um 13:09 schrieb Frank Fiene: >> Moin! >> >> Ich habe mir folgende Regeln für force_actions angelegt, die über >> multimaps Dateien mit Domainnamen und IP-Adressen auswertet und >> blockiert oder durchlässt: >> >> 1.) blockiere alles von domain_blacklist_before_ip_whitelist.inc >> 2.) Lasse alles durch, was in ip_whilelist.inc steht >> 3.) blockiere Absender von internen Domains, die von außen kommen >> 4.) restliche Regelsätze. >> >> Die stehen in der Reihenfolge in den force_actions.conf. >> >> Gibt es da eine Reihenfolge zu beachten und wenn ja welche? >> >> Ich dachte, die erste Regel matcht und beendet die Regelauswertung, >> wenn da action = ?reject? steht. >> >> Ich versuche, eine Domain auszusperren, die über eine freigegebene IP >> reinkommt und habe diese in die >> domain_blacklist_before_ip_whitelist.inc geschrieben. >> rspamd lässt die Mails aber aufgrund der IP-Freigabe durch. >> Bei anderen Domains funktioniert das, da gibt es aber auch keinen >> Eintrag in der ip_whitelist.inc. >> >> >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. >> Andreas W. Hillebrand >> >> HRB 8282 AG Münster/District Court of Münster >> > From ffiene at veka.com Mon Dec 6 21:24:32 2021 From: ffiene at veka.com (Frank Fiene) Date: Mon, 6 Dec 2021 21:24:32 +0100 Subject: Frage zu force_actions In-Reply-To: References: <4e614117-6fac-025f-ddc1-fb76d6bd8277@uni-hohenheim.de> Message-ID: <312E3370-9020-4E6B-8438-C326CAB556BD@veka.com> Alles klar, ich danke euch. Ich dachte, ich könnte ein kompliziertes Klammernkonstrukt umgehen. Wie üblich gilt & vor | , oder? Das versuche ich. > Am 06.12.2021 um 20:40 schrieb Carsten Rosenberg : > > Hi, > > Rspamd verarbeitet so gut wie alles asynchron also im Idealfall parallel. Um Dinge nacheinander zu verarbeiten, können Dependencies auf andere Symbole gesetzt werden. Genau das macht auch force_actions, damit deine Regel erst nach der Auswertung deines Symbols aus der Expression los läuft. Die Reihenfolge deiner Force Action Regeln sind nur abhängig von der Expression und nicht von der Reihenfolge in der Config. > > Ich würde das gleiche wie Phillip umsetzen (hint: die Symbole der Force Actions Regeln heißen dann z.B. FORCE_ACTION_DOM_BLACK) > > Alternativ würden dafür auch Conditional Multimaps oder die Abschaltung der Whitelist via Settings in Frage kommen. > > Viele Grüße > > Carsten > > On 06.12.21 16:21, Philipp Fäustlin wrote: >> Ich glaube die Regeln werden nicht sequenziell abgearbeitet. Rspamd macht doch möglichst viel parallel. >> Ich würde es so in der Art aufbauen. >> 1.) DOM_BLACK -> reject >> 2.) IP_WHITE & !DOM_BLACK -> O.K. >> 3.) FROM_MY_DOM & !MY_IP -> reject >> Da sollte die Reihenfolge dann egal sein. >> Bei 3. wäre ich vorsichtig bzgl. weitergeleiteter Mails die dann eventuell abgelehnt werden. GGF. könnte man auf das R_SPF_FAIL Symbol verwerten. >> Gruß Philipp >> Am 06.12.21 um 13:09 schrieb Frank Fiene: >>> Moin! >>> >>> Ich habe mir folgende Regeln für force_actions angelegt, die über multimaps Dateien mit Domainnamen und IP-Adressen auswertet und blockiert oder durchlässt: >>> >>> 1.) blockiere alles von domain_blacklist_before_ip_whitelist.inc >>> 2.) Lasse alles durch, was in ip_whilelist.inc steht >>> 3.) blockiere Absender von internen Domains, die von außen kommen >>> 4.) restliche Regelsätze. >>> >>> Die stehen in der Reihenfolge in den force_actions.conf. >>> >>> Gibt es da eine Reihenfolge zu beachten und wenn ja welche? >>> >>> Ich dachte, die erste Regel matcht und beendet die Regelauswertung, wenn da action = ?reject? steht. >>> >>> Ich versuche, eine Domain auszusperren, die über eine freigegebene IP reinkommt und habe diese in die domain_blacklist_before_ip_whitelist.inc geschrieben. >>> rspamd lässt die Mails aber aufgrund der IP-Freigabe durch. >>> Bei anderen Domains funktioniert das, da gibt es aber auch keinen Eintrag in der ip_whitelist.inc. >>> >>> >>> >>> Viele Grüße! >>> Frank >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AKTIENGESELLSCHAFT >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> http://www.veka.com >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>> >>> HRB 8282 AG Münster/District Court of Münster >>> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Thu Dec 9 18:40:36 2021 From: ffiene at veka.com (Frank Fiene) Date: Thu, 9 Dec 2021 18:40:36 +0100 Subject: Made my day Message-ID: Kennt jemand dmarcsaas.com? Ein Kollege hat gerade eine Mail von dem CEO dieser Firma bekommen der meinte, wir sollten doch mal jemanden bezahlen, um den spf-EIntrag auf -all und dmarc nicht auf p=none zu setzen. Außerdem will er Geld dafür haben, um anstatt eines eigenen DKIM-Selektors einen ?Default?-Selektor wie default, google, mail selektor1, selektor2 etc einzustellen. Da muss ich aber mal laut lachen. Ich glaube, der hat das grundsätzlich nicht verstanden. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From michael at linuxfox.de Thu Dec 9 20:01:45 2021 From: michael at linuxfox.de (Michael Grundmann) Date: Thu, 9 Dec 2021 20:01:45 +0100 Subject: Made my day In-Reply-To: References: Message-ID: <412e9ca4-1402-9baa-1b59-7f3eba19be93@linuxfox.de> Am 09.12.21 um 18:40 schrieb Frank Fiene: > Kennt jemand dmarcsaas.com ? > > Ein Kollege hat gerade eine Mail von dem CEO dieser Firma bekommen der > meinte, wir sollten doch mal jemanden bezahlen, um den spf-EIntrag auf > -all und dmarc nicht auf p=none zu setzen. Außerdem will er Geld dafür > haben, um anstatt eines eigenen DKIM-Selektors einen ?Default?-Selektor > wie default, google, mail selektor1, selektor2 etc einzustellen. > > Da muss ich aber mal laut lachen. > > Ich glaube, der hat das grundsätzlich nicht verstanden. > hehehehe - hatte ich letzte Woche was ähnliches ... Da hat jemand einen Benutzer als Mailempfänger von DMARC eingestellt - er sieht das als SPAM an - analog dein "Freung" ;) -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From fk+postfix at celebrate.de Thu Dec 16 14:10:10 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Thu, 16 Dec 2021 14:10:10 +0100 Subject: Schwache Algorithmen SSL Message-ID: Hallo zusammen, ich habe mal über https://de.ssl-tools.net/mailservers einen Mailserver geprüft. Im Ergebnis wurde eine schwacher Algo erkannt: ECDHE_ECDSA_WITH_RC4_128_SHA Postfix nutz dovecot für SASL: smtpd_sasl_type = dovecot In Dovecot config 10-ssl.conf habe ich: ssl_cipher_list = ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!AES256-SHA:AES:CAMELLIA:!CAMELLIA128-SHA:!DHE-RSA-CAMELLIA128-SHA:!CAMELLIA256-SHA:!DHE-RSA-CAMELLIA256-SHA stehen. Den beanstandeten schwachen Algo kann ich nicht finden oder suche ich an der falschen Stelle? Danke für einen Hinweis und viele Grüße, Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From r.sander at heinlein-support.de Thu Dec 16 14:52:29 2021 From: r.sander at heinlein-support.de (Robert Sander) Date: Thu, 16 Dec 2021 14:52:29 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: <38261b96-94fb-d0a4-e419-387f78443b51@heinlein-support.de> Hallo, der Mozilla SSL Configuration Generator spuckt eigentlich immer etwas hilfreiches aus: https://ssl-config.mozilla.org/#server=dovecot Viele Grüße -- Robert Sander Heinlein Consulting GmbH Schwedter Str. 8/9b, 10119 Berlin https://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Amtsgericht Berlin-Charlottenburg - HRB 220009 B Geschäftsführer: Peer Heinlein - Sitz: Berlin From postfixbuch-users at list-post.mks-mail.de Thu Dec 16 14:49:49 2021 From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=c3=b6nhaber?=) Date: Thu, 16 Dec 2021 14:49:49 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: Am 16.12.21, 14:10 +0100, fk+postfix at celebrate.de: > ich habe mal über https://de.ssl-tools.net/mailservers einen Mailserver > geprüft. > Im Ergebnis wurde eine schwacher Algo erkannt: ECDHE_ECDSA_WITH_RC4_128_SHA > > Postfix nutz dovecot für SASL: smtpd_sasl_type = dovecot Fein. Das hat aber damit, welche Arten von Transportverschlüsselung Dein Postfix anbietet, nichts zu tun. > In Dovecot config 10-ssl.conf habe ich: > > ssl_cipher_list = > ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!AES256-SHA:AES:CAMELLIA:!CAMELLIA128-SHA:!DHE-RSA-CAMELLIA128-SHA:!CAMELLIA256-SHA:!DHE-RSA-CAMELLIA256-SHA > > stehen. Den beanstandeten schwachen Algo kann ich nicht finden oder > suche ich an der falschen Stelle? Du suchst an der falschen Stelle. Wenn es Dir um die Einstellungen von Postfix geht, hilft dir das Betrachten der Dovecot-Konfiguration wenig. -- Gruß mks From joerg at backschues.de Thu Dec 16 18:46:15 2021 From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=) Date: Thu, 16 Dec 2021 18:46:15 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: <3679349f-637e-2cd1-e00c-5c589a8bc758@backschues.de> Am 16.12.21 um 14:10 schrieb fk+postfix at celebrate.de: > ich habe mal über https://de.ssl-tools.net/mailservers einen Mailserver > geprüft. > Im Ergebnis wurde eine schwacher Algo erkannt: ECDHE_ECDSA_WITH_RC4_128_SHA > > Postfix nutz dovecot für SASL: smtpd_sasl_type = dovecot Zitat von Viktor Dukhovni: "Postfix has sensible defaults for the low level cipher lists. Resist the temptation to "improve" them." -- Gruß Jörg Backsxchues From fk+postfix at celebrate.de Fri Dec 17 08:36:32 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Fri, 17 Dec 2021 08:36:32 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: Am 16.12.2021 um 14:10 schrieb fk+postfix at celebrate.de: > Hallo zusammen, > > ich habe mal über https://de.ssl-tools.net/mailservers einen > Mailserver geprüft. > Im Ergebnis wurde eine schwacher Algo erkannt: > ECDHE_ECDSA_WITH_RC4_128_SHA > Ich habe nun unter https://ssl-config.mozilla.org/ eine entsprechende Konfiguration generieren lassen und implementiert. Der schwache Algo wird nicht mehr bemängelt. Danke für Eure Hilfe und viele Grüße, Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Fri Dec 17 13:40:12 2021 From: daniel at mail24.vip (Daniel) Date: Fri, 17 Dec 2021 13:40:12 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> Moin, finde die Seite ist da ausführlicher für Tests was Sicherheit angeht. https://www.hardenize.com/ Gruß Daniel > Am 17.12.2021 um 08:36 schrieb fk+postfix at celebrate.de: > > ? >> Am 16.12.2021 um 14:10 schrieb fk+postfix at celebrate.de: >> Hallo zusammen, >> >> ich habe mal über https://de.ssl-tools.net/mailservers einen Mailserver geprüft. >> Im Ergebnis wurde eine schwacher Algo erkannt: ECDHE_ECDSA_WITH_RC4_128_SHA >> > Ich habe nun unter https://ssl-config.mozilla.org/ eine entsprechende Konfiguration generieren lassen und implementiert. > Der schwache Algo wird nicht mehr bemängelt. > > Danke für Eure Hilfe und viele Grüße, Frank -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2333 bytes Beschreibung: nicht verfügbar URL : From fk+postfix at celebrate.de Fri Dec 17 14:43:31 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Fri, 17 Dec 2021 14:43:31 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> Message-ID: <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> Danke für den Tipp, kannte ich noch nicht die Seite. Am 17.12.2021 um 13:40 schrieb Daniel: > Moin, > > finde die Seite ist da ausführlicher für Tests was Sicherheit angeht. > > https://www.hardenize.com/ > > Gruß Daniel > >> Am 17.12.2021 um 08:36 schrieb fk+postfix at celebrate.de: >> >> ? >> >> Am 16.12.2021 um 14:10 schrieb fk+postfix at celebrate.de: >> >>> Hallo zusammen, >>> >>> ich habe mal über https://de.ssl-tools.net/mailservers einen >>> Mailserver geprüft. >>> Im Ergebnis wurde eine schwacher Algo erkannt: >>> ECDHE_ECDSA_WITH_RC4_128_SHA >>> >> Ich habe nun unter https://ssl-config.mozilla.org/ >> >> eine entsprechende Konfiguration generieren lassen und implementiert. >> Der schwache Algo wird nicht mehr bemängelt. >> >> Danke für Eure Hilfe und viele Grüße, Frank >> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From fk+postfix at celebrate.de Fri Dec 17 14:52:10 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Fri, 17 Dec 2021 14:52:10 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> Message-ID: <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> Der Test meckert nun alle "anonymous ciphers" an. Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them. " eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. lg Frank Am 17.12.2021 um 14:43 schrieb fk+postfix at celebrate.de: > > Danke für den Tipp, kannte ich noch nicht die Seite. > > Am 17.12.2021 um 13:40 schrieb Daniel: >> Moin, >> >> finde die Seite ist da ausführlicher für Tests was Sicherheit angeht. >> >> https://www.hardenize.com/ >> >> Gruß Daniel >> >>> Am 17.12.2021 um 08:36 schrieb fk+postfix at celebrate.de: >>> >>> ? >>> >>> Am 16.12.2021 um 14:10 schrieb fk+postfix at celebrate.de: >>> >>>> Hallo zusammen, >>>> >>>> ich habe mal über https://de.ssl-tools.net/mailservers einen >>>> Mailserver geprüft. >>>> Im Ergebnis wurde eine schwacher Algo erkannt: >>>> ECDHE_ECDSA_WITH_RC4_128_SHA >>>> >>> Ich habe nun unter https://ssl-config.mozilla.org/ >>> >>> eine entsprechende Konfiguration generieren lassen und implementiert. >>> Der schwache Algo wird nicht mehr bemängelt. >>> >>> Danke für Eure Hilfe und viele Grüße, Frank >>> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From list+postfixbuch at gcore.biz Fri Dec 17 15:30:30 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 17 Dec 2021 15:30:30 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> Message-ID: <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> > Der Test meckert nun alle "anonymous ciphers" an. > > Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: > > "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them. " > > eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. > Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains). Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfixbuch-users at list-post.mks-mail.de Fri Dec 17 15:50:55 2021 From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=c3=b6nhaber?=) Date: Fri, 17 Dec 2021 15:50:55 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: Message-ID: <923f0364-09f5-61d3-9c06-5b4ddb708ae0@list-post.mks-mail.de> 17.12.21, 08:36 +0100, fk+postfix at celebrate.de: > Am 16.12.2021 um 14:10 schrieb fk+postfix at celebrate.de: > Ich habe nun unter https://ssl-config.mozilla.org/ > > eine entsprechende Konfiguration generieren lassen und implementiert. > Der schwache Algo wird nicht mehr bemängelt. Ich halte Jörgs Hinweis, dass man nicht an den Postfix-Einstellungen zu Verschlüsselung herumdoktern sollte, wenn man keinen konkreten (und vor allem guten) Grund dazu hat, für vollkommen richtig. Davon abgesehen, stellt sich mir die Frage, ob es nicht sinnvoller wäre, anstatt die TLS-Einstellungen von Postfix zu verbessern, lieber auf eine Postfix-Version zu aktualisieren, die nicht seit knapp 5 Jahren keine Upstream-Unterstützung mehr bekommt. -- Gruß mks From ad+lists at uni-x.org Fri Dec 17 17:36:01 2021 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Fri, 17 Dec 2021 17:36:01 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> Message-ID: Am 17.12.2021 um 15:30 schrieb Gerald Galster: >> Der Test meckert nun alle "anonymous ciphers" an. >> >> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: >> >> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them." >> >> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. >> > > Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains). > > Viele Grüße > Gerald Ich bin davon ausgegangen, dass es bei der Anfrage von Frank um TLS ausschließlich im Kontext von Client Authentifizierung, also Submission(s) - Port 587 oder 465, geht und _nicht_ um Kommunikation über SMTP Port 25. Alexander From list+postfixbuch at gcore.biz Fri Dec 17 18:44:55 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 17 Dec 2021 18:44:55 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> Message-ID: <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> >>> Der Test meckert nun alle "anonymous ciphers" an. >>> >>> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: >>> >>> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them." >>> >>> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. >>> >> Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains). >> Viele Grüße >> Gerald > > Ich bin davon ausgegangen, dass es bei der Anfrage von Frank um TLS ausschließlich im Kontext von Client Authentifizierung, also Submission(s) - Port 587 oder 465, geht und _nicht_ um Kommunikation über SMTP Port 25. Du meinst wegen smtpd_sasl_type/dovecot? Stimmt, da könntest Du Recht haben. Ich bin aufgrund des Links zu https://de.ssl-tools.net/mailservers/ nicht vom Client-Kontext ausgegangen, da man sasl eigentlich nicht mehr auf Port 25 konfiguriert und der Dienst vermutlich nicht 587/465 abfragt. Bei Submission sieht es natürlich anders aus, da sollte man auf starke Verschlüsselung setzen, damit das Passwort für die SMTP-Authentifizierung sicher bleibt. Viele Grüße Gerald From fk+postfix at celebrate.de Mon Dec 20 06:46:48 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Mon, 20 Dec 2021 06:46:48 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> Message-ID: Am 17.12.2021 um 18:44 schrieb Gerald Galster: >>>> Der Test meckert nun alle "anonymous ciphers" an. >>>> >>>> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: >>>> >>>> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them." >>>> >>>> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. >>>> >>> Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains). >>> Viele Grüße >>> Gerald >> Ich bin davon ausgegangen, dass es bei der Anfrage von Frank um TLS ausschließlich im Kontext von Client Authentifizierung, also Submission(s) - Port 587 oder 465, geht und _nicht_ um Kommunikation über SMTP Port 25. > Du meinst wegen smtpd_sasl_type/dovecot? Stimmt, da könntest Du Recht haben. Ich bin aufgrund des Links zu https://de.ssl-tools.net/mailservers/ nicht vom Client-Kontext ausgegangen, da man sasl eigentlich nicht mehr auf Port 25 konfiguriert und der Dienst vermutlich nicht 587/465 abfragt. Bei Submission sieht es natürlich anders aus, da sollte man auf starke Verschlüsselung setzen, damit das Passwort für die SMTP-Authentifizierung sicher bleibt. Dann wäre es ideal, auf Port 25 Auth zu deaktivieren, dort TLS in allen gängigen, auch nicht so starken Ciphers anzubieten, im worst case fallback auf plain. MUAs über submission Port 587 und Auth Zwang, starke Ciphers, kein plain. Prüfe ich per telnet auf Port 25, bekomme ich 250-PIPELINING 250-SIZE 15000000 250-ETRN 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN angezeigt. in master.cf gibt es auch für smtp (Port 25) nur den Standard-Eintrag: smtp      inet  n       -       n       -       -       smtpd Für submission und smtps: submission inet n       -       n       -       -       smtpd   -o syslog_name=postfix/submission   -o smtpd_tls_security_level=encrypt   -o smtpd_sasl_auth_enable=yes   -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject   -o milter_macro_daemon_name=ORIGINATING smtps     inet  n       -       n       -       -       smtpd   -o syslog_name=postfix/smtps   -o smtpd_tls_wrappermode=yes   -o smtpd_sasl_auth_enable=yes   -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject   -o milter_macro_daemon_name=ORIGINATING Demnach müsste die Konfiguration so passen. Bezüglich smtps (Port 465) habe ich mal in das Log gesehen. Auffällig ist, das lokale MUAs, in diesem Fall Thunderbird über 587 einliefert, K-9 MUAs (Android) über smtps (Port 465). Bezüglich smtps gab es ja in den letzten Jahren Einiges hin und her. Aber so wie ich es lese, wäre es wohl ok, Mail über Port 465 und 587 anzunehmen. Viele Grüße, Frank From ad+lists at uni-x.org Mon Dec 20 19:47:38 2021 From: ad+lists at uni-x.org (Alexander Dalloz) Date: Mon, 20 Dec 2021 19:47:38 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> Message-ID: <61940617-1299-ebc7-eca4-0517452ba754@uni-x.org> Am 20.12.2021 um 06:46 schrieb fk+postfix at celebrate.de: > > Prüfe ich per telnet auf Port 25, bekomme ich > > 250-PIPELINING > 250-SIZE 15000000 > 250-ETRN > 250-STARTTLS > 250-ENHANCEDSTATUSCODES > 250-8BITMIME > 250 DSN Es wäre noch möglich, dass Dein Postfix AUTH auf Port 25 anbietet nach einem erfolgreichen STARTTLS. Aber wie Du richtig schreibst, solltest Du Client AUTH nur über Port 587 oder 465 zulassen, um so die Schutzmechanismen sauber trennen zu können. Alexander From list+postfixbuch at gcore.biz Mon Dec 20 22:11:23 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Mon, 20 Dec 2021 22:11:23 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> Message-ID: <25E46AC2-DA9F-44BF-A9B5-F62F62B6BB80@gcore.biz> >>>>> Der Test meckert nun alle "anonymous ciphers" an. >>>>> >>>>> Wie ist Eure Meinung bezüglich deren Verwendung? Die Postfix Doku meint: >>>>> >>>>> "There is generally no need to take these measures. Anonymous ciphers save bandwidth and TLS session cache space, if certificates are ignored, there is little point in requesting them." >>>>> >>>>> eigentlich logisch. Checkt man mit dem Tool ein großes Klinikum sieht man, dass dort "anonymous ciphers" deaktiviert sind. >>>>> >>>> Das Wichtigste bei Mailservern ist nach wie vor, dass E-Mails ankommen. Deswegen sind die meisten Server mit security_level=may (oder dane) konfiguriert, d.h. sie verwenden TLS wenn möglich, auch mit selbstsignierten oder abgelaufenen Zertifikaten. Das bietet zwar weniger Schutz, ist aber immer noch besser als im Klartext zu senden. Unterstüzt die Gegenseite kein TLS würde das ohnehin passieren oder die Mail käme nicht an. In sofern ist es kein Sicherheitsvorteil wenn anonymous ciphers abgeschalten sind. Weiterhin muss ein Mailserver für eingehende Mails mit verschiedenen Clients zurechtkommen. Möchte man TLS erzwingen und verifizieren, konfiguriert man das besser clientseitig (z.B verify oder dane-only für bestimmte Zieldomains). >>>> Viele Grüße >>>> Gerald >>> Ich bin davon ausgegangen, dass es bei der Anfrage von Frank um TLS ausschließlich im Kontext von Client Authentifizierung, also Submission(s) - Port 587 oder 465, geht und _nicht_ um Kommunikation über SMTP Port 25. >> Du meinst wegen smtpd_sasl_type/dovecot? Stimmt, da könntest Du Recht haben. Ich bin aufgrund des Links zu https://de.ssl-tools.net/mailservers/ nicht vom Client-Kontext ausgegangen, da man sasl eigentlich nicht mehr auf Port 25 konfiguriert und der Dienst vermutlich nicht 587/465 abfragt. Bei Submission sieht es natürlich anders aus, da sollte man auf starke Verschlüsselung setzen, damit das Passwort für die SMTP-Authentifizierung sicher bleibt. > > Dann wäre es ideal, auf Port 25 Auth zu deaktivieren, dort TLS in allen gängigen, auch nicht so starken Ciphers anzubieten, im worst case fallback auf plain. MUAs über submission Port 587 und Auth Zwang, starke Ciphers, kein plain. Aus meiner Sicht ist das momentan die beste Lösung. > Prüfe ich per telnet auf Port 25, bekomme ich > > 250-PIPELINING > 250-SIZE 15000000 > 250-ETRN > 250-STARTTLS > 250-ENHANCEDSTATUSCODES > 250-8BITMIME > 250 DSN Wenn smtpd_tls_auth_only = yes konfiguriert ist, wird 250-AUTH erst ausgegeben wenn die SSL-Verbindung besteht: openssl s_client -connect mailserver.de:587 -starttls smtp EHLO localhost 250-mailserver.de 250-PIPELINING 250-SIZE 44040192 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 CHUNKING QUIT DONE > angezeigt. in master.cf gibt es auch für smtp (Port 25) nur den Standard-Eintrag: > smtp inet n - n - - smtpd > > Für submission und smtps: > > submission inet n - n - - smtpd > -o syslog_name=postfix/submission > -o smtpd_tls_security_level=encrypt > -o smtpd_sasl_auth_enable=yes > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o milter_macro_daemon_name=ORIGINATING Hier könntest Du mit -o smtpd_tls_ciphers eine abweichende Konfiguration zur main.cf angeben. > smtps inet n - n - - smtpd > -o syslog_name=postfix/smtps > -o smtpd_tls_wrappermode=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o milter_macro_daemon_name=ORIGINATING > > Demnach müsste die Konfiguration so passen. Bezüglich smtps (Port 465) habe ich mal in das Log gesehen. Auffällig ist, das lokale MUAs, in diesem Fall Thunderbird über 587 einliefert, K-9 MUAs (Android) über smtps (Port 465). > Bezüglich smtps gab es ja in den letzten Jahren Einiges hin und her. Aber so wie ich es lese, wäre es wohl ok, Mail über Port 465 und 587 anzunehmen. Man konnte bei STARTTLS wohl via Pipelining Kommandos unterschieben und Daten aus der Pre-SSL-Phase in die verschlüselte Verbindung einbringen. Wenn ich mich recht erinnere ist das Problem aber behoben. (Pipelining = mehrere Kommandos nacheinander schicken, ohne die Antwort vom Server abzuwarten) Die Situation ist historisch gewachsen. Zuerst hatte man open Relays, dann kamen die Spammer und es wurde SMTP-Auth auf Port 25 eingeführt, dann hat man auf 587 verlagert um eigene Benutzer besser vom Verkehr zwischen Mailservern zu trennen und ggf. Port 25 in Firewalls sperren zu können. Passwörter werden aus Datenschutzgründen mittlerweile eher gehasht/gesalzen am Server abgelegt, dadurch fallen Challenge-Response-Verfahren raus und das Passwort muss im Klartext übertragen werden. Deswegen begann man mit STARTTLS abzusichern und von da ist es dann nur noch ein kleiner Weg zu 465, der wie https von Beginn an verschlüsselte Verbindungen aufbaut. Bei neuen Mailaccounts tendiere ich zu 465 (993/995), sehe aber keine Notwendigkeit bestehende von 587 (110/143 mit STARTTLS) umzustellen. Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From joerg at backschues.de Tue Dec 21 14:15:57 2021 From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=) Date: Tue, 21 Dec 2021 14:15:57 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: <8AF3FE88-FE0E-456F-8F6C-A7B5EEAC89AF@mail24.vip> <97a30edb-ca9d-9fa6-e82b-a7ee58b51945@celebrate.de> <7c82c066-ba25-fc33-93eb-c77f96fa2808@celebrate.de> <3DD483DB-C0D0-4B31-AA89-32D560AE47F7@gcore.biz> <54D1EF18-CEA2-474E-BF02-16104F0B658F@gcore.biz> Message-ID: Am 20.12.2021 um 06:46 schrieb fk+postfix at celebrate.de: > Bezüglich smtps gab es ja in den letzten Jahren Einiges hin und her. > Aber so wie ich es lese, wäre es wohl ok, Mail über Port 465 und 587 > anzunehmen. Der RFC 8314 beschreibt die Vor- und Nachteile von Port 465 SMTPS und 587 Submission recht gut. -- Gruß Jörg Backschues From fk+postfix at celebrate.de Wed Dec 22 06:35:33 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Wed, 22 Dec 2021 06:35:33 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <84ae1648-112a-1ece-0a1d-ed4646c2c3c1@celebrate.de> References: <84ae1648-112a-1ece-0a1d-ed4646c2c3c1@celebrate.de> Message-ID: <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> Am 20.12.2021 um 19:47 schrieb Alexander Dalloz: > Am 20.12.2021 um 06:46 schrieb fk+postfix at celebrate.de: >> >> Prüfe ich per telnet auf Port 25, bekomme ich >> >> 250-PIPELINING >> 250-SIZE 15000000 >> 250-ETRN >> 250-STARTTLS >> 250-ENHANCEDSTATUSCODES >> 250-8BITMIME >> 250 DSN > > Es wäre noch möglich, dass Dein Postfix AUTH auf Port 25 anbietet nach > einem erfolgreichen STARTTLS. Du hast Recht, ich habe das mal getestet (nachfolgende Tabelle) und mal gegoogelt, wie ich das deaktivieren kann. Demnach müsste ja in der master.cf für den service smtp die Option -o smtpd_sasl_auth_enable=yes gesetzt sein, da Auth nach STARTTLS möglioch ist. Ist sie aber nicht. Für den service smtp habe ich gar keine Optionen. Laut Doku ist per default smtpd_sasl_auth_enable=no Wie kann ich Auth after STARTTLS für Port 25 deaktivieren? Viele Grüße, Frank seconds test stage and result [000.000] Trying TLS on xxx.xx.de[111.111.111.111:25] (-1) [000.094] Server answered [000.674] EHLO www11-do.CheckTLS.com [000.767] STARTTLS [000.861] EHLO www11-do.CheckTLS.com [001.380] <~~ 250-xxx.xx.de 250-PIPELINING 250-SIZE 15000000 250-ETRN 250-AUTH PLAIN 250-AUTH=PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN [001.380] TLS successfully started on this server [001.380] ~~> MAIL FROM: [001.474] <~~ 250 2.1.0 Ok [001.474] Sender is OK [001.475] ~~> QUIT [001.568] <~~ 221 2.0.0 Bye -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml at irmawi.de Wed Dec 22 09:28:11 2021 From: ml at irmawi.de (Markus Winkler) Date: Wed, 22 Dec 2021 09:28:11 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> References: <84ae1648-112a-1ece-0a1d-ed4646c2c3c1@celebrate.de> <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> Message-ID: Hallo Frank, On 22.12.21 06:35, fk+postfix at celebrate.de wrote: > Wie kann ich Auth after STARTTLS für Port 25 deaktivieren? schicke doch mal bitte die Ausgaben von 'postconf -n' und 'postconf -M' - sonst kann man ja nur raten, wie Deine aktuelle komplette Config aussieht. Danke und viele Grüße Markus From list+postfixbuch at gcore.biz Wed Dec 22 11:37:39 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 22 Dec 2021 11:37:39 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> References: <84ae1648-112a-1ece-0a1d-ed4646c2c3c1@celebrate.de> <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> Message-ID: >>> Prüfe ich per telnet auf Port 25, bekomme ich >>> >>> 250-PIPELINING >>> 250-SIZE 15000000 >>> 250-ETRN >>> 250-STARTTLS >>> 250-ENHANCEDSTATUSCODES >>> 250-8BITMIME >>> 250 DSN >> >> Es wäre noch möglich, dass Dein Postfix AUTH auf Port 25 anbietet nach einem erfolgreichen STARTTLS. > Du hast Recht, ich habe das mal getestet (nachfolgende Tabelle) und mal gegoogelt, wie ich das deaktivieren kann. > Demnach müsste ja in der master.cf für den service smtp die Option -o smtpd_sasl_auth_enable=yes gesetzt sein, da Auth nach STARTTLS möglioch ist. Ist sie aber nicht. > Für den service smtp habe ich gar keine Optionen. Laut Doku ist per default smtpd_sasl_auth_enable=no > > Wie kann ich Auth after STARTTLS für Port 25 deaktivieren? > Schau mal nach ob in der main.cf smtpd_sasl_auth_enable=yes gesetzt ist und füge ggf. smtpd_sasl_auth_enable=no hinzu. In der master.cf kannst Du das bei Submission (587/465) jeweils wieder einschalten (-o smtpd_sasl_auth_enable=yes). Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From gjn at gjn.priv.at Wed Dec 22 14:20:36 2021 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Wed, 22 Dec 2021 14:20:36 +0100 Subject: DANE Problem Message-ID: <1914477.vcx6FZHfaT@techz> Hallo Liste, seit neuestem dürfte ich ein DANE Problem Haben :( Könnte mir jemand dabei helfen, wie ich das wieder hinbekomme Ich würde gerne das letsenkrypt ec Zertifikat verwenden. Aber ich schaffe es nicht mehr, einen gültigen Dane Schlüssel zu erzeugen ?? Ich finde auch nichts im Internet was weiterhelfrn könnte aber ich war noch nie gut bei "Tante G....." Für jede Hilfe und Antwort dankbar, -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From klaus at tachtler.net Wed Dec 22 14:36:18 2021 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 22 Dec 2021 13:36:18 +0000 (UTC) Subject: DANE Problem In-Reply-To: <1914477.vcx6FZHfaT@techz> References: <1914477.vcx6FZHfaT@techz> Message-ID: <11d3e35c-3730-42d1-8cd3-f52d37f32b0d@tachtler.net> Hallo Günther, das habe ich mal für mich zu DANE notiert: https://dokuwiki.tachtler.net/doku.php?id=tachtler:let_s_encrypt_-_tlsa-record_-_dane Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Günther J. Niederwimmer An: postfixbuch-users at listi.jpberlin.de Datum: 22.12.2021 14:26:29 Betreff: DANE Problem > Hallo Liste, > seit neuestem dürfte ich ein DANE Problem Haben :( > > Könnte mir jemand dabei helfen, wie ich das wieder hinbekomme > Ich würde gerne das letsenkrypt ec Zertifikat verwenden. > > Aber ich schaffe es nicht mehr, einen gültigen Dane Schlüssel zu erzeugen ?? > > Ich finde auch nichts im Internet was weiterhelfrn könnte aber  ich war noch > nie gut bei "Tante G....." > > Für jede Hilfe und Antwort dankbar, > > -- > mit freundlichen Grüßen / best regards > >   Günther J. Niederwimmer -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From daniel at mail24.vip Wed Dec 22 17:54:24 2021 From: daniel at mail24.vip (Daniel) Date: Wed, 22 Dec 2021 17:54:24 +0100 Subject: AW: DANE Problem In-Reply-To: <1914477.vcx6FZHfaT@techz> References: <1914477.vcx6FZHfaT@techz> Message-ID: <003a01d7f754$933f9450$b9bebcf0$@mail24.vip> Moin, wenn LE pauschal erlauben möchtest mit DANE kannst aktuellen und zukünftigen Eintrag setzen. 2 0 1 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd 2 0 1 46494e30379059df18be52124305e606fc59070e5b21076ce113954b60517cda Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Günther J. Niederwimmer Gesendet: Mittwoch, 22. Dezember 2021 14:21 An: postfixbuch-users at listi.jpberlin.de Betreff: DANE Problem Hallo Liste, seit neuestem dürfte ich ein DANE Problem Haben :( Könnte mir jemand dabei helfen, wie ich das wieder hinbekomme Ich würde gerne das letsenkrypt ec Zertifikat verwenden. Aber ich schaffe es nicht mehr, einen gültigen Dane Schlüssel zu erzeugen ?? Ich finde auch nichts im Internet was weiterhelfrn könnte aber ich war noch nie gut bei "Tante G....." Für jede Hilfe und Antwort dankbar, -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5545 bytes Beschreibung: nicht verfügbar URL : From fk+postfix at celebrate.de Thu Dec 23 07:10:51 2021 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Thu, 23 Dec 2021 07:10:51 +0100 Subject: Schwache Algorithmen SSL In-Reply-To: References: <84ae1648-112a-1ece-0a1d-ed4646c2c3c1@celebrate.de> <36cc18ff-8b9f-067b-bd16-3fad79465992@celebrate.de> Message-ID: <64f41544-db1e-96ee-4a0c-cd842b6739bc@celebrate.de> >>>> Prüfe ich per telnet auf Port 25, bekomme ich >>>> >>>> 250-PIPELINING >>>> 250-SIZE 15000000 >>>> 250-ETRN >>>> 250-STARTTLS >>>> 250-ENHANCEDSTATUSCODES >>>> 250-8BITMIME >>>> 250 DSN >>> >>> Es wäre noch möglich, dass Dein Postfix AUTH auf Port 25 anbietet >>> nach einem erfolgreichen STARTTLS. >> >> Du hast Recht, ich habe das mal getestet (nachfolgende Tabelle) und >> mal gegoogelt, wie ich das deaktivieren kann. >> Demnach müsste ja in der master.cf für den service smtp die Option -o >> smtpd_sasl_auth_enable=yes gesetzt sein, da Auth nach STARTTLS >> möglioch ist. Ist sie aber nicht. >> Für den service smtp habe ich gar keine Optionen. Laut Doku ist per >> default smtpd_sasl_auth_enable=no >> >> Wie kann ich Auth after STARTTLS für Port 25 deaktivieren? >> > Schau mal nach ob in der main.cf smtpd_sasl_auth_enable=yes gesetzt > ist und füge ggf. smtpd_sasl_auth_enable=no hinzu. > > In der master.cf kannst Du das bei Submission (587/465) jeweils wieder > einschalten (-o smtpd_sasl_auth_enable=yes). > Genau so war es, smtpd_sasl_auth_enable=yes war sowohl in main.cf gesetzt als auch für submission in der master.cf Nachdem ich smtpd_sasl_auth_enable von yes auf no in der main.cf geändert habe, ist nun auch nach erfolgreichem STARTTLS das AUTH verschwunden / nicht mehr möglich auf Port 25. Vielen Dank für die Hilfe und allen ein frohes Fest. Bleibt gesund. Frank From Manfred.Nuding at komm.one Thu Dec 23 08:08:39 2021 From: Manfred.Nuding at komm.one (Manfred.Nuding at komm.one) Date: Thu, 23 Dec 2021 07:08:39 +0000 Subject: =?utf-8?B?U0xFUyAxNSBTUDMgdW50ZXJzdMO8dHp0IGtlaW4gQmVya2VsZXkgREItRm9y?= =?utf-8?Q?mat_mehr?= Message-ID: <497b63f4e3cf43939c60f4a881853a8d@komm.one> Hallo zusammen, SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken mehr (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#deprecated). Damit fallen für Postfix die bisher von uns verwendeten Formate btree und hash weg. Welche Alternativen sind empfehlenswert? # postconf -m cidr environ fail inline internal ldap lmdb memcache nis pcre pipemap proxy randmap regexp socketmap static tcp texthash unionmap unix Viele Grüße, Manfred Komm.ONE Anstalt des öffentlichen Rechts Manfred Nuding Integration-, Security- & Application-Management Unified Communication & Collaboration Telefon +49 711 8108 31848 Fax (zentral) +49 711 8108 40001 E-Mail Manfred.Nuding at komm.one www.komm.one ________________________________ Komm.ONE [Komm.ONE] Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : image9c4393.PNG Dateityp : image/png Dateigröße : 19594 bytes Beschreibung: image9c4393.PNG URL : From greinert at rz.uni-leipzig.de Thu Dec 23 08:43:23 2021 From: greinert at rz.uni-leipzig.de (Wolfram Greinert) Date: Thu, 23 Dec 2021 08:43:23 +0100 Subject: SLES 15 SP3 =?utf-8?Q?unterst?= =?utf-8?B?w7x0enQ=?= kein Berkeley DB-Format mehr In-Reply-To: <497b63f4e3cf43939c60f4a881853a8d@komm.one> References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> Message-ID: <20211223074323.GB7319@server1.rz.uni-leipzig.de> Hallo, im Repository SLE-Module-Legacy15-SP3-Pool/SLE-Module-Legacy15-SP3-Updates gibt es das Paket postfix-bdb mit Berkeley-Datenbanken, zur Zeit Version 3.5.9. Viele Grüße Wolfram Greinert On Thu, Dec 23, 2021 at 07:08:39AM +0000, Manfred.Nuding at komm.one wrote: > Hallo zusammen, > > SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken mehr (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#deprecated). Damit fallen für Postfix die bisher von uns verwendeten Formate btree und hash weg. > Welche Alternativen sind empfehlenswert? > > # postconf -m > cidr > environ > fail > inline > internal > ldap > lmdb > memcache > nis > pcre > pipemap > proxy > randmap > regexp > socketmap > static > tcp > texthash > unionmap > unix > > > Viele Grüße, > > Manfred > > > Komm.ONE > Anstalt des öffentlichen Rechts > > Manfred Nuding > Integration-, Security- & Application-Management > Unified Communication & Collaboration > Telefon +49 711 8108 31848 > Fax (zentral) +49 711 8108 40001 > E-Mail Manfred.Nuding at komm.one > www.komm.one > > > > ________________________________ > Komm.ONE [Komm.ONE] > Anstalt des öffentlichen Rechts > Krailenshaldenstraße 44, 70469 Stuttgart > Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg > und alle Kunden außerhalb Baden-Württembergs ist die civillent > GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur > Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, > per Lizenz berechtigt. > > > -- Wolfram Greinert Systemadministrator Universität Leipzig Universitätsrechenzentrum Augustusplatz 10, 04109 Leipzig T +49 341 97-33325 F +49 341 97-31133325 greinert at rz.uni-leipzig.de wolfram.greinert at uni-leipzig.de https://www.urz.uni-leipzig.de From Manfred.Nuding at komm.one Thu Dec 23 12:04:31 2021 From: Manfred.Nuding at komm.one (Manfred.Nuding at komm.one) Date: Thu, 23 Dec 2021 11:04:31 +0000 Subject: =?utf-8?B?QVc6IFNMRVMgMTUgU1AzIHVudGVyc3TDvHR6dCBrZWluIEJlcmtlbGV5IERC?= =?utf-8?Q?-Format_mehr?= In-Reply-To: <20211223074323.GB7319@server1.rz.uni-leipzig.de> References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> <20211223074323.GB7319@server1.rz.uni-leipzig.de> Message-ID: Hallo Wolfgang, vielen Dank. Mit dem Repo klappt alles wieder wie gewünscht. Gruß, Manfred Komm.ONE Anstalt des öffentlichen Rechts Manfred Nuding Integration-, Security- & Application-Management Unified Communication & Collaboration Telefon:+49 711 8108 31848 Fax (zentral):+49 711 8108 40001 Manfred.Nuding at komm.one www.komm.one __________________________________________________________ Komm.ONE Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Fon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Wolfram Greinert Gesendet: Donnerstag, 23. Dezember 2021 08:43 An: Diskussionen und Support rund um Postfix Betreff: Re: SLES 15 SP3 unterstützt kein Berkeley DB-Format mehr Hallo, im Repository SLE-Module-Legacy15-SP3-Pool/SLE-Module-Legacy15-SP3-Updates gibt es das Paket postfix-bdb mit Berkeley-Datenbanken, zur Zeit Version 3.5.9. Viele Grüße Wolfram Greinert On Thu, Dec 23, 2021 at 07:08:39AM +0000, Manfred.Nuding at komm.one wrote: > Hallo zusammen, > > SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken mehr (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#deprecated). Damit fallen für Postfix die bisher von uns verwendeten Formate btree und hash weg. > Welche Alternativen sind empfehlenswert? > > # postconf -m > cidr > environ > fail > inline > internal > ldap > lmdb > memcache > nis > pcre > pipemap > proxy > randmap > regexp > socketmap > static > tcp > texthash > unionmap > unix > > > Viele Grüße, > > Manfred > > > Komm.ONE > Anstalt des öffentlichen Rechts > > Manfred Nuding > Integration-, Security- & Application-Management > Unified Communication & Collaboration > Telefon +49 711 8108 31848 > Fax (zentral) +49 711 8108 40001 > E-Mail Manfred.Nuding at komm.one > www.komm.one > > > > ________________________________ > Komm.ONE [Komm.ONE] > Anstalt des öffentlichen Rechts > Krailenshaldenstraße 44, 70469 Stuttgart > Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg > und alle Kunden außerhalb Baden-Württembergs ist die civillent > GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur > Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, > per Lizenz berechtigt. > > > -- Wolfram Greinert Systemadministrator Universität Leipzig Universitätsrechenzentrum Augustusplatz 10, 04109 Leipzig T +49 341 97-33325 F +49 341 97-31133325 greinert at rz.uni-leipzig.de wolfram.greinert at uni-leipzig.de https://www.urz.uni-leipzig.de From Manfred.Nuding at komm.one Thu Dec 23 12:05:38 2021 From: Manfred.Nuding at komm.one (Manfred.Nuding at komm.one) Date: Thu, 23 Dec 2021 11:05:38 +0000 Subject: =?utf-8?B?QVc6IFNMRVMgMTUgU1AzIHVudGVyc3TDvHR6dCBrZWluIEJlcmtlbGV5IERC?= =?utf-8?Q?-Format_mehr?= In-Reply-To: References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> <20211223074323.GB7319@server1.rz.uni-leipzig.de> Message-ID: <070d9749715a40ab9e93e8360a94d19e@komm.one> Tschuldigung, Wolfram :-) , Komm.ONE Anstalt des öffentlichen Rechts Manfred Nuding Integration-, Security- & Application-Management Unified Communication & Collaboration Telefon:+49 711 8108 31848 Fax (zentral):+49 711 8108 40001 Manfred.Nuding at komm.one www.komm.one __________________________________________________________ Komm.ONE Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Fon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Manfred.Nuding at komm.one Gesendet: Donnerstag, 23. Dezember 2021 12:05 An: postfixbuch-users at listen.jpberlin.de Betreff: AW: SLES 15 SP3 unterstützt kein Berkeley DB-Format mehr Hallo Wolfgang, vielen Dank. Mit dem Repo klappt alles wieder wie gewünscht. Gruß, Manfred Komm.ONE Anstalt des öffentlichen Rechts Manfred Nuding Integration-, Security- & Application-Management Unified Communication & Collaboration Telefon:+49 711 8108 31848 Fax (zentral):+49 711 8108 40001 Manfred.Nuding at komm.one www.komm.one __________________________________________________________ Komm.ONE Anstalt des öffentlichen Rechts Krailenshaldenstraße 44, 70469 Stuttgart Fon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner Vertragspartner für gewerbliche Kunden in Baden-Württemberg und alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Wolfram Greinert Gesendet: Donnerstag, 23. Dezember 2021 08:43 An: Diskussionen und Support rund um Postfix Betreff: Re: SLES 15 SP3 unterstützt kein Berkeley DB-Format mehr Hallo, im Repository SLE-Module-Legacy15-SP3-Pool/SLE-Module-Legacy15-SP3-Updates gibt es das Paket postfix-bdb mit Berkeley-Datenbanken, zur Zeit Version 3.5.9. Viele Grüße Wolfram Greinert On Thu, Dec 23, 2021 at 07:08:39AM +0000, Manfred.Nuding at komm.one wrote: > Hallo zusammen, > > SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken mehr (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#deprecated). Damit fallen für Postfix die bisher von uns verwendeten Formate btree und hash weg. > Welche Alternativen sind empfehlenswert? > > # postconf -m > cidr > environ > fail > inline > internal > ldap > lmdb > memcache > nis > pcre > pipemap > proxy > randmap > regexp > socketmap > static > tcp > texthash > unionmap > unix > > > Viele Grüße, > > Manfred > > > Komm.ONE > Anstalt des öffentlichen Rechts > > Manfred Nuding > Integration-, Security- & Application-Management > Unified Communication & Collaboration > Telefon +49 711 8108 31848 > Fax (zentral) +49 711 8108 40001 > E-Mail Manfred.Nuding at komm.one > www.komm.one > > > > ________________________________ > Komm.ONE [Komm.ONE] > Anstalt des öffentlichen Rechts > Krailenshaldenstraße 44, 70469 Stuttgart > Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg > und alle Kunden außerhalb Baden-Württembergs ist die civillent > GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur > Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, > per Lizenz berechtigt. > > > -- Wolfram Greinert Systemadministrator Universität Leipzig Universitätsrechenzentrum Augustusplatz 10, 04109 Leipzig T +49 341 97-33325 F +49 341 97-31133325 greinert at rz.uni-leipzig.de wolfram.greinert at uni-leipzig.de https://www.urz.uni-leipzig.de From greinert at rz.uni-leipzig.de Thu Dec 23 12:23:37 2021 From: greinert at rz.uni-leipzig.de (Wolfram Greinert) Date: Thu, 23 Dec 2021 12:23:37 +0100 Subject: AW: SLES 15 SP3 =?utf-8?Q?unt?= =?utf-8?B?ZXJzdMO8dHp0?= kein Berkeley DB-Format mehr In-Reply-To: <070d9749715a40ab9e93e8360a94d19e@komm.one> References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> <20211223074323.GB7319@server1.rz.uni-leipzig.de> <070d9749715a40ab9e93e8360a94d19e@komm.one> Message-ID: <20211223112337.GK7319@server1.rz.uni-leipzig.de> On Thu, Dec 23, 2021 at 11:05:38AM +0000, Manfred.Nuding at komm.one wrote: > > Tschuldigung, Wolfram :-) kein Problem, daran bin ich gewöhnt :-) > , > > > Komm.ONE > Anstalt des öffentlichen Rechts > Manfred Nuding > Integration-, Security- & Application-Management > Unified Communication & Collaboration > Telefon:+49 711 8108 31848 > Fax (zentral):+49 711 8108 40001 > Manfred.Nuding at komm.one > www.komm.one > __________________________________________________________ > Komm.ONE > Anstalt des öffentlichen Rechts > Krailenshaldenstraße 44, 70469 Stuttgart > Fon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg und > alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, > eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke > Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. > > > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Manfred.Nuding at komm.one > Gesendet: Donnerstag, 23. Dezember 2021 12:05 > An: postfixbuch-users at listen.jpberlin.de > Betreff: AW: SLES 15 SP3 unterstützt kein Berkeley DB-Format mehr > > > Hallo Wolfgang, > > vielen Dank. > Mit dem Repo klappt alles wieder wie gewünscht. > > Gruß, Manfred > > > > Komm.ONE > Anstalt des öffentlichen Rechts > Manfred Nuding > Integration-, Security- & Application-Management > Unified Communication & Collaboration > Telefon:+49 711 8108 31848 > Fax (zentral):+49 711 8108 40001 > Manfred.Nuding at komm.one > www.komm.one > __________________________________________________________ > Komm.ONE > Anstalt des öffentlichen Rechts > Krailenshaldenstraße 44, 70469 Stuttgart > Fon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg und > alle Kunden außerhalb Baden-Württembergs ist die civillent GmbH, > eine Tochtergesellschaft der Komm.ONE. civillent ist zur Nutzung der Marke > Komm.ONE, eine Marke der Komm.ONE AöR, per Lizenz berechtigt. > > > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Wolfram Greinert > Gesendet: Donnerstag, 23. Dezember 2021 08:43 > An: Diskussionen und Support rund um Postfix > Betreff: Re: SLES 15 SP3 unterstützt kein Berkeley DB-Format mehr > > Hallo, > > im Repository SLE-Module-Legacy15-SP3-Pool/SLE-Module-Legacy15-SP3-Updates > gibt es das Paket postfix-bdb mit Berkeley-Datenbanken, zur Zeit Version 3.5.9. > > Viele Grüße > > Wolfram Greinert > > On Thu, Dec 23, 2021 at 07:08:39AM +0000, Manfred.Nuding at komm.one wrote: > > Hallo zusammen, > > > > SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken mehr (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#deprecated). Damit fallen für Postfix die bisher von uns verwendeten Formate btree und hash weg. > > Welche Alternativen sind empfehlenswert? > > > > # postconf -m > > cidr > > environ > > fail > > inline > > internal > > ldap > > lmdb > > memcache > > nis > > pcre > > pipemap > > proxy > > randmap > > regexp > > socketmap > > static > > tcp > > texthash > > unionmap > > unix > > > > > > Viele Grüße, > > > > Manfred > > > > > > Komm.ONE > > Anstalt des öffentlichen Rechts > > > > Manfred Nuding > > Integration-, Security- & Application-Management > > Unified Communication & Collaboration > > Telefon +49 711 8108 31848 > > Fax (zentral) +49 711 8108 40001 > > E-Mail Manfred.Nuding at komm.one > > www.komm.one > > > > > > > > ________________________________ > > Komm.ONE [Komm.ONE] > > Anstalt des öffentlichen Rechts > > Krailenshaldenstraße 44, 70469 Stuttgart > > Telefon +49 711 8108 20, Fax (zentral) +49 711 8108 40001 > > Verwaltungsratsvorsitzender: LR Dr. Ulrich Fiedler > > Vorstand: William Schmitt (Vorsitzender), Andreas Pelzner > > > > Vertragspartner für gewerbliche Kunden in Baden-Württemberg > > und alle Kunden außerhalb Baden-Württembergs ist die civillent > > GmbH, eine Tochtergesellschaft der Komm.ONE. civillent ist zur > > Nutzung der Marke Komm.ONE, eine Marke der Komm.ONE AöR, > > per Lizenz berechtigt. > > > > > > > > > -- > > Wolfram Greinert > Systemadministrator > > Universität Leipzig > Universitätsrechenzentrum > Augustusplatz 10, 04109 Leipzig > > T +49 341 97-33325 > F +49 341 97-31133325 > > greinert at rz.uni-leipzig.de > wolfram.greinert at uni-leipzig.de > > https://www.urz.uni-leipzig.de -- Wolfram Greinert Systemadministrator Universität Leipzig Universitätsrechenzentrum Augustusplatz 10, 04109 Leipzig T +49 341 97-33325 F +49 341 97-31133325 greinert at rz.uni-leipzig.de wolfram.greinert at uni-leipzig.de https://www.urz.uni-leipzig.de From gjn at gjn.priv.at Thu Dec 23 15:43:22 2021 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 23 Dec 2021 15:43:22 +0100 Subject: SLES 15 SP3 =?UTF-8?B?dW50ZXJzdMO8dHp0?= kein Berkeley DB-Format mehr In-Reply-To: <497b63f4e3cf43939c60f4a881853a8d@komm.one> References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> Message-ID: <2792543.9pLz2S1N0c@techz> Am Donnerstag, 23. Dezember 2021, 08:08:39 CET schrieb Manfred.Nuding at komm.one: > Hallo zusammen, > > SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken > mehr > (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#depre > cated). Damit fallen für Postfix die bisher von uns verwendeten Formate > btree und hash weg. Welche Alternativen sind empfehlenswert? Anscheinend setzt SUSE in ZUkunft auf "lmdb" Jedefalls ist bei meiner Tubleweed installation schon lmdb als default configuriert? -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From lists at xunil.at Wed Dec 29 08:38:05 2021 From: lists at xunil.at (Stefan G. Weichinger) Date: Wed, 29 Dec 2021 08:38:05 +0100 Subject: 2 v6-Adressen, nur eine verwenden Message-ID: Auf einer Linode-VM habe ich mittlerweile 2 IPv6-Adressen. Die erste ist leider in einem Range, der manchmal auf Blacklists landet, daher wollte ich eine neue IP. Der Support gab mir einen zusätzlichen Range, der ursprüngliche muss aber laut denen bestehen bleiben, weil die ihr internes Routing an diese Adresse hängen. Jetzt will ich also nur noch die neue v6-IP für postfix-Versand und Empfang verwenden. Mein Versuch: inet_interfaces = [2a01:7e01:abcd:xxyy::4711], 85.90.2xx.1xx Postfix startet manchmal und manchmal nicht mit diesem Setting, teils findet er die IP nicht im OS, auch wenn ich sie per "ip -6 a" sehr wohl sehe. Die IPs setze ich per systemd-networkd, die VM läuft (noch) unter Gentoo. Was mach ich falsch? Syntax? Danke für jegliche Tips, wenn ich nämlich das Setting raus nehme, passt der SPF-Record nicht mehr (MX zeigt nur auf die neue IP). From webmaster at fitonbit.de Wed Dec 29 09:03:00 2021 From: webmaster at fitonbit.de (Mathias Jung) Date: Wed, 29 Dec 2021 09:03:00 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: References: Message-ID: Hallo, smtp_bind_address sollte da helfen. Von meinem iPhone gesendet > Am 29.12.2021 um 08:44 schrieb Stefan G. Weichinger : > > ? > Auf einer Linode-VM habe ich mittlerweile 2 IPv6-Adressen. > > Die erste ist leider in einem Range, der manchmal auf Blacklists landet, daher wollte ich eine neue IP. > > Der Support gab mir einen zusätzlichen Range, der ursprüngliche muss aber laut denen bestehen bleiben, weil die ihr internes Routing an diese Adresse hängen. > > Jetzt will ich also nur noch die neue v6-IP für postfix-Versand und Empfang verwenden. > > Mein Versuch: > > inet_interfaces = [2a01:7e01:abcd:xxyy::4711], 85.90.2xx.1xx > > Postfix startet manchmal und manchmal nicht mit diesem Setting, teils findet er die IP nicht im OS, auch wenn ich sie per "ip -6 a" sehr wohl sehe. > > Die IPs setze ich per systemd-networkd, die VM läuft (noch) unter Gentoo. > > Was mach ich falsch? Syntax? > > Danke für jegliche Tips, wenn ich nämlich das Setting raus nehme, passt der SPF-Record nicht mehr (MX zeigt nur auf die neue IP). From lists at xunil.at Wed Dec 29 09:17:19 2021 From: lists at xunil.at (Stefan G. Weichinger) Date: Wed, 29 Dec 2021 09:17:19 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: References: Message-ID: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> Am 29.12.21 um 09:03 schrieb Mathias Jung: > Hallo, > > smtp_bind_address sollte da helfen. Ah, danke. Ich versuche: smtp_bind_address6 = [2a01:7e01:e001:xyzd::4711] und nehme inet_interfaces erst mal wieder raus. From webmaster at fitonbit.de Wed Dec 29 09:41:57 2021 From: webmaster at fitonbit.de (Mathias Jung) Date: Wed, 29 Dec 2021 09:41:57 +0100 Subject: Dmarc Probleme Message-ID: Hallo, womöglich etwas Off Tonic?. Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? Gruß Mathias From daniel at mail24.vip Wed Dec 29 12:13:04 2021 From: daniel at mail24.vip (Daniel) Date: Wed, 29 Dec 2021 12:13:04 +0100 Subject: AW: Dmarc Probleme In-Reply-To: References: Message-ID: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> Moin, kannst froh sein wenn überhaupt wer die Email zum lesen bekommt. dkim=fail reason="signature verification failed" (2048-bit key) Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen. Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Mathias Jung Gesendet: Mittwoch, 29. Dezember 2021 09:42 An: Diskussionen und Support rund um Postfix Betreff: Dmarc Probleme Hallo, womöglich etwas Off Tonic?. Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? Gruß Mathias -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5545 bytes Beschreibung: nicht verfügbar URL : From webmaster at fitonbit.de Wed Dec 29 12:26:46 2021 From: webmaster at fitonbit.de (Mathias Jung) Date: Wed, 29 Dec 2021 12:26:46 +0100 Subject: Dmarc Probleme In-Reply-To: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> Message-ID: <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> Hallo Daniel, Da bin ich dann tatsächlich froh. Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden? Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ?jeden? Whitelisten muss? Und was bedeutet ?zumindest den SPF erweitern? ? Gruß Mathias > Am 29.12.2021 um 12:13 schrieb Daniel : > > Moin, > > kannst froh sein wenn überhaupt wer die Email zum lesen bekommt. > > dkim=fail reason="signature verification failed" (2048-bit key) > > Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen. > > Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Mathias Jung > Gesendet: Mittwoch, 29. Dezember 2021 09:42 > An: Diskussionen und Support rund um Postfix > Betreff: Dmarc Probleme > > Hallo, > > womöglich etwas Off Tonic?. > > Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. > Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? > > Gruß > Mathias From daniel at mail24.vip Wed Dec 29 12:49:10 2021 From: daniel at mail24.vip (Daniel) Date: Wed, 29 Dec 2021 12:49:10 +0100 Subject: AW: Dmarc Probleme In-Reply-To: <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> Message-ID: <008001d7fcaa$18336420$489a2c60$@mail24.vip> Moin, musst ja nicht jeden Whitelisten, sondern die in deinen Namen versenden. Und dass sollte i.d.R. nur dein Mailprovider sein sowie Maillinglisten. Den SPF Eintrag im DNS hast ja nun ergänzt, müsste man schauen es nun passt, oder DKIM teile signiert, welche durch Maillingliste verändert werden. Was Datenschutz angeht, ist dein Mailserver wohl auch sehr großzügig mit Daten herausgeben, wenn dort jedem mitteilen möchtest dass von einem Apple Gerät an einem Vodafoneanschluss aus sendest. ;-) Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Mathias Jung Gesendet: Mittwoch, 29. Dezember 2021 12:27 An: Diskussionen und Support rund um Postfix Betreff: Re: Dmarc Probleme Hallo Daniel, Da bin ich dann tatsächlich froh. Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden? Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ?jeden? Whitelisten muss? Und was bedeutet ?zumindest den SPF erweitern? ? Gruß Mathias > Am 29.12.2021 um 12:13 schrieb Daniel : > > Moin, > > kannst froh sein wenn überhaupt wer die Email zum lesen bekommt. > > dkim=fail reason="signature verification failed" (2048-bit key) > > Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen. > > Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen. > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Mathias Jung > Gesendet: Mittwoch, 29. Dezember 2021 09:42 > An: Diskussionen und Support rund um Postfix > Betreff: Dmarc Probleme > > Hallo, > > womöglich etwas Off Tonic?. > > Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. > Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? > > Gruß > Mathias -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5545 bytes Beschreibung: nicht verfügbar URL : From lists at xunil.at Wed Dec 29 18:04:47 2021 From: lists at xunil.at (Stefan G. Weichinger) Date: Wed, 29 Dec 2021 18:04:47 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> References: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> Message-ID: Am 29.12.21 um 09:17 schrieb Stefan G. Weichinger: > Am 29.12.21 um 09:03 schrieb Mathias Jung: >> Hallo, >> >> smtp_bind_address sollte da helfen. > > Ah, danke. > > Ich versuche: > > smtp_bind_address6 = [2a01:7e01:e001:xyzd::4711] > > und nehme inet_interfaces erst mal wieder raus. Auch das scheint manchmal zu scheitern: fatal: smtp_connect_addr: bad smtp_bind_address6 parameter: [2a01:7e01:e001:xyzd::4711]: Name or service not known Obwohl "ip -6 a" 3: eth0: mtu 1500 state UP qlen 1000 inet6 2a01:7e01::f03c:xxxx:yyyy:8118/64 scope global valid_lft forever preferred_lft forever inet6 2a01:7e01:e001:xyzd::4711/64 scope global valid_lft forever preferred_lft forever inet6 fe80::f03c:91ff:fe89:8118/64 scope link valid_lft forever preferred_lft forever Die IP ist also aktiv, aber postfix scheint sie nicht zu "finden", bzw. als verfügbar anzusehen (?) From wn at neessen.net Wed Dec 29 20:32:04 2021 From: wn at neessen.net (Winfried Neessen) Date: Wed, 29 Dec 2021 20:32:04 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: References: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> Message-ID: Hi Stefan, Am 2021-12-29 18:04, schrieb Stefan G. Weichinger: > Ich versuche: > smtp_bind_address6 = [2a01:7e01:e001:xyzd::4711] > Nimm mal die [] weg: http://www.postfix.org/postconf.5.html#smtp_bind_address6 Winni From florian at bodici.de Wed Dec 29 21:49:10 2021 From: florian at bodici.de (Florian) Date: Wed, 29 Dec 2021 21:49:10 +0100 Subject: Dmarc Probleme In-Reply-To: <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> Message-ID: Hallo Mathias, um einen DMARC=pass zu bekommen benötigst du: 1. Gültige *Authentifizierung *über SPF oder DKIM 2. *Alignment *zwischen deiner Display From ("5322.FROM" / "Friendly From") und spf-Domain ("Envelope From" / "Return Path") oder DKIM Domain. _Zur Authentifizierung:_ Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt hast, bleibt nur DKIM als Option: Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen, einmal über deine Domain "fitonbit.de" und einmal von der Mailingliste über "listen.jpberlin.de": DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d= listen.jpberlin.de; h=reply-to:list-subscribe:list-help :list-post:list-archive:list-unsubscribe:list-id:precedence :x-mailer:message-id:in-reply-to:references:date:date:subject :subject:mime-version:content-transfer-encoding:content-type :content-type:from:from:received:received:received:received :received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...] DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fitonbit.de; s=default; t=1640777207; h=from:from:reply-to:subject:subject:date:date:message-id:message-id: to:to:cc:mime-version:mime-version:content-type:content-type: content-transfer-encoding:content-transfer-encoding: in-reply-to:in-reply-to:references:references; bh=[...] Wenn du über Felder signerst (h=...), die später durch die Mailingliste verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, hast du dann weder DKIM noch DMARC. _Zum Alignment:_ SPF Alignment hast du keins, da die From nicht mir der Envelope aligned (= gleiche domain) ist: From: Mathias Jung Return-Path: Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen Signatur, siehe oben). Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir gesendeten Mails alle eine gültige Signatur haben, solltest du auf quarantine oder reject gehen, sonst gehen dir Mails verloren. "v=DMARC1; p=quarantine; rua=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com; ruf=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com; fo=0:1:d:s; rf=afrf:iodef" Viele Grüße Florian Motto des Monats: Aujourd'hui, il fait beau. Am 29.12.2021 um 12:26 schrieb Mathias Jung: > Hallo Daniel, > > Da bin ich dann tatsächlich froh. > Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden? > Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ?jeden? Whitelisten muss? > > Und was bedeutet ?zumindest den SPF erweitern? ? > > Gruß > Mathias > > > >> Am 29.12.2021 um 12:13 schrieb Daniel: >> >> Moin, >> >> kannst froh sein wenn überhaupt wer die Email zum lesen bekommt. >> >> dkim=fail reason="signature verification failed" (2048-bit key) >> >> Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen. >> >> Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen. >> >> Gruß Daniel >> >> -----Ursprüngliche Nachricht----- >> Von: Postfixbuch-users Im Auftrag von Mathias Jung >> Gesendet: Mittwoch, 29. Dezember 2021 09:42 >> An: Diskussionen und Support rund um Postfix >> Betreff: Dmarc Probleme >> >> Hallo, >> >> womöglich etwas Off Tonic?. >> >> Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. >> Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? >> >> Gruß >> Mathias -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From juri at koschikode.com Thu Dec 30 00:16:54 2021 From: juri at koschikode.com (Juri Haberland) Date: Thu, 30 Dec 2021 00:16:54 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> Message-ID: <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> On 29/12/2021 21:49, Florian wrote: > Wenn du über Felder signerst (h=...), die später durch die Mailingliste > verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur > über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen > gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM > Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen > DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, > hast du dann weder DKIM noch DMARC. Richtig. Wenn ich das richtig sehe, signiert ihr beide (der OP und du, Florian) den Reply-To Header, der aber von vielen Mailinglisten gesetzt wird - so auch von dieser. Deshalb sind eure beiden DKIM-Signaturen ungültig und euer DMARC-Ergebnis "fail". Ihr solltet das IMHO ändern. > dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=bodici.de header.i=@bodici.de header.b=fUbwJqgN; > dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=fitonbit.de header.i=@fitonbit.de header.b=MnoC9mSm; > Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen > und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC > records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir > gesendeten Mails alle eine gültige Signatur haben, solltest du auf > quarantine oder reject gehen, sonst gehen dir Mails verloren. Ack. Viele Grüße, Juri From webmaster at fitonbit.de Thu Dec 30 00:53:06 2021 From: webmaster at fitonbit.de (Mathias Jung) Date: Thu, 30 Dec 2021 00:53:06 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> Message-ID: <59BF9546-F215-4E9E-BB59-C719755B52D8@fitonbit.de> Hallo Florian, Danke für Deine Hinweise. Kurz gesagt, muss ich nur wieder den Include für listen.jpberlin.de entfernen und beim DMarc erst mal wieder p=none setzen. Das hatte ich vorher so, aber immer wieder Meldungen wie diese (kleiner Ausschnitt aus dem ersten Absatz der Meldung): dkim=pass (4096-bit key; secure) header.d=listen.jpberlin.de header.i=@listen.jpberlin.de header.b="rQLvJPu6"; dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=fitonbit.de header.i=@fitonbit.de header.b="PoneKwS1"; dkim-atps=neutral Gruß Mathias > Am 29.12.2021 um 21:49 schrieb Florian : > > Hallo Mathias, > > um einen DMARC=pass zu bekommen benötigst du: > > Gültige Authentifizierung über SPF oder DKIM > Alignment zwischen deiner Display From ("5322.FROM" / "Friendly From") und spf-Domain ("Envelope From" / "Return Path") oder DKIM Domain. > > > Zur Authentifizierung: > > Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt hast, bleibt nur DKIM als Option: > > Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen, einmal über deine Domain "fitonbit.de" und einmal von der Mailingliste über "listen.jpberlin.de": > > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d= > listen.jpberlin.de; h=reply-to:list-subscribe:list-help > :list-post:list-archive:list-unsubscribe:list-id:precedence > :x-mailer:message-id:in-reply-to:references:date:date:subject > :subject:mime-version:content-transfer-encoding:content-type > :content-type:from:from:received:received:received:received > :received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...] > > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fitonbit.de; s=default; > t=1640777207; > h=from:from:reply-to:subject:subject:date:date:message-id:message-id: > to:to:cc:mime-version:mime-version:content-type:content-type: > content-transfer-encoding:content-transfer-encoding: > in-reply-to:in-reply-to:references:references; > bh=[...] > Wenn du über Felder signerst (h=...), die später durch die Mailingliste verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, hast du dann weder DKIM noch DMARC. > > > > Zum Alignment: > > SPF Alignment hast du keins, da die From nicht mir der Envelope aligned (= gleiche domain) ist: > > From: Mathias Jung > > Return-Path: > > Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen Signatur, siehe oben). > > Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir gesendeten Mails alle eine gültige Signatur haben, solltest du auf quarantine oder reject gehen, sonst gehen dir Mails verloren. > > "v=DMARC1; p=quarantine; rua=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com ; ruf=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com ; fo=0:1:d:s; rf=afrf:iodef" > > > Viele Grüße > > Florian > Motto des Monats: Aujourd'hui, il fait beau. > > > > > > Am 29.12.2021 um 12:26 schrieb Mathias Jung: >> Hallo Daniel, >> >> Da bin ich dann tatsächlich froh. >> Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden? >> Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ?jeden? Whitelisten muss? >> >> Und was bedeutet ?zumindest den SPF erweitern? ? >> >> Gruß >> Mathias >> >> >> >>> Am 29.12.2021 um 12:13 schrieb Daniel : >>> >>> Moin, >>> >>> kannst froh sein wenn überhaupt wer die Email zum lesen bekommt. >>> >>> dkim=fail reason="signature verification failed" (2048-bit key) >>> >>> Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen. >>> >>> Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen. >>> >>> Gruß Daniel >>> >>> -----Ursprüngliche Nachricht----- >>> Von: Postfixbuch-users Im Auftrag von Mathias Jung >>> Gesendet: Mittwoch, 29. Dezember 2021 09:42 >>> An: Diskussionen und Support rund um Postfix >>> Betreff: Dmarc Probleme >>> >>> Hallo, >>> >>> womöglich etwas Off Tonic?. >>> >>> Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt. >>> Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten? >>> >>> Gruß >>> Mathias -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From lists at xunil.at Thu Dec 30 07:02:22 2021 From: lists at xunil.at (Stefan G. Weichinger) Date: Thu, 30 Dec 2021 07:02:22 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: References: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> Message-ID: <180ca857-cba7-4fb0-ae99-13c73807a95c@xunil.at> Am 29.12.21 um 20:32 schrieb Winfried Neessen: > Hi Stefan, > > Am 2021-12-29 18:04, schrieb Stefan G. Weichinger: >> Ich versuche: >> smtp_bind_address6 = [2a01:7e01:e001:xyzd::4711] >> > Nimm mal die [] weg: > http://www.postfix.org/postconf.5.html#smtp_bind_address6 Hatte ich gestern schon versucht, hatte nicht geklappt. Jetzt noch mal, jetzt tut es. Sieht aber wieder nach Wackeln aus für mich. danke erstmal From fstoyan at swapon.de Thu Dec 30 10:18:21 2021 From: fstoyan at swapon.de (Friedemann Stoyan) Date: Thu, 30 Dec 2021 10:18:21 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: <180ca857-cba7-4fb0-ae99-13c73807a95c@xunil.at> References: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> <180ca857-cba7-4fb0-ae99-13c73807a95c@xunil.at> Message-ID: On 30.12.21 07:02, Stefan G. Weichinger wrote: > Hatte ich gestern schon versucht, hatte nicht geklappt. > > Jetzt noch mal, jetzt tut es. Sieht aber wieder nach Wackeln aus für mich. Das kommt (vermutlich) daher, dass postfix zu früh startet und der systemd-networkd das Netz (die IPv6-Adresse) noch nicht fertig konfiguriert hat. Weise postfix mal an, erst später zu starten: # /etc/systemd/system/postfix.service.d/override.conf [Unit] After=network-online.target mfg Friedemann From w.flamme at web.de Fri Dec 31 22:28:54 2021 From: w.flamme at web.de (Werner Flamme) Date: Fri, 31 Dec 2021 22:28:54 +0100 Subject: =?UTF-8?Q?Re=3a_SLES_15_SP3_unterst=c3=bctzt_kein_Berkeley_DB-Forma?= =?UTF-8?Q?t_mehr?= In-Reply-To: <2792543.9pLz2S1N0c@techz> References: <497b63f4e3cf43939c60f4a881853a8d@komm.one> <2792543.9pLz2S1N0c@techz> Message-ID: <15297793-f4a3-536a-bab8-5c10bf9f3786@web.de> Am 23.12.21 um 15:43 schrieb Günther J. Niederwimmer: > Am Donnerstag, 23. Dezember 2021, 08:08:39 CET schrieb > Manfred.Nuding at komm.one: >> Hallo zusammen, >> >> SUSE liefert im SLES 15 SP3 keine Unterstützung für Berkeley-Datenbanken >> mehr >> (https://www.suse.com/releasenotes/x86_64/SUSE-SLES/15-SP3/index.html#depre >> cated). Damit fallen für Postfix die bisher von uns verwendeten Formate >> btree und hash weg. > Welche Alternativen sind empfehlenswert? > > Anscheinend setzt SUSE in ZUkunft auf "lmdb" > > Jedefalls ist bei meiner Tubleweed installation schon lmdb als default > configuriert? > SLES 15 SP3 nutzt auch lmdb. Da ja ohnehin alles im Textformat vorliegt und per "postmap" umgesetzt wird, habe ich nun halt alles in anderem Binärformat vorliegen. Mit anderen Tools greife ich eh nicht auf die Binärdateien zu. saacht Werner --