From maillistpostfixgerman at mytelpbx.com Mon Dec 5 09:37:29 2022 From: maillistpostfixgerman at mytelpbx.com (maillistpostfixgerman at mytelpbx.com) Date: Mon, 5 Dec 2022 09:37:29 +0100 Subject: Emailannahme und Antwort 4XX oder 5XX Message-ID: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> Hallo, wie kann ich eine Email "komplett" annehmen und anzeigen aber dem Sender den Nichtempfang über 4XX oder 5XX quittieren. Gruss From dominik at kupschke.net Mon Dec 5 12:06:53 2022 From: dominik at kupschke.net (Dominik Kupschke) Date: Mon, 5 Dec 2022 12:06:53 +0100 Subject: Emailannahme und Antwort 4XX oder 5XX In-Reply-To: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> References: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> Message-ID: <00d1920b-9cff-a61a-ad94-5d8696fc6f15@kupschke.net> Hallo, wenn du rspamd einsetzt kannst du den Metadata Exporter einsetzen: https://rspamd.com/doc/modules/metadata_exporter.html In meiner Config sieht es bspw. so aus: rules {    EMAIL_ALERT {        backend = "send_mail";        smtp = "127.0.0.1";        mail_to = "spam at kupschke.net";        selector = "is_reject";        formatter = "default";    } } Alle vom rspamd abgewiesenen E-Mails werden an mein SPAM Postfach weitergeleitet. Dies gilt aber nur für Rejects durch den rspamd, alle anderen Rejects bspw. durch den Postfix kannst du damit nicht abgreifen. VG Dominik Am 05.12.22 um 09:37 schrieb maillistpostfixgerman at mytelpbx.com: > Hallo, > wie kann ich eine Email "komplett" annehmen und anzeigen aber dem > Sender den Nichtempfang über 4XX oder 5XX quittieren. > Gruss -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ronny at seffner.de Mon Dec 5 12:40:57 2022 From: ronny at seffner.de (ronny at seffner.de) Date: Mon, 5 Dec 2022 12:40:57 +0100 Subject: AW: Emailannahme und Antwort 4XX oder 5XX In-Reply-To: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> References: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> Message-ID: <011b01d9089e$72243210$566c9630$@seffner.de> Hallo, ich mache mich mal unbeliebt und trage nicht zur gesuchten Lösung bei, sondern rege nur das Nachdenken über die mir unbekannte Motivation an. Mit 4xx quittieren, heißt ja "temporärer Fehler, komme doch nochmal wieder oder geh zu einem anderen MX". D.h. Du bekommst die Mail wieder und wieder vorgesetzt - und nimmst Sie so ja auch wiederholt an. Das ist sicher nicht gewollt. Mit 5xx quittieren und trotzdem annehmen ist ein bewusstes Widersetzen gegen das RFC. Da die Mail(s) ja an dich gerichtet waren, wird man da wohl keinen Stick draus drehen können, dass Du die Mail trotzdem "heimlich" angenommen hast. Aber im Grunde kannst Du auch hier mit dem 4xx-Szenario rechnen - Anwender lesen den Fehler nicht richtig und schicken einfach nochmal oder gehen Dir dann telefonisch auf den Nerv, weil sie die Post nicht durchbekommen. Die gehen auch Ihrem Admin auf den Nerv - Du bist also "asozial", weil du mit Ressourcen anderer spielst. Mit freundlichen Grüßen / Kind regards Ronny Seffner From driessen at fblan.de Mon Dec 5 15:25:06 2022 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Mon, 5 Dec 2022 15:25:06 +0100 Subject: AW: Emailannahme und Antwort 4XX oder 5XX In-Reply-To: <011b01d9089e$72243210$566c9630$@seffner.de> References: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> <011b01d9089e$72243210$566c9630$@seffner.de> Message-ID: <12e501d908b5$5fb41340$1f1c39c0$@fblan.de> Im Auftrag von ronny at seffner.de > > ich mache mich mal unbeliebt und trage nicht zur gesuchten Lösung bei, > sondern rege nur das Nachdenken über die mir unbekannte Motivation an. Dazu ist die Liste da :-) > > Mit 4xx quittieren, heißt ja "temporärer Fehler, komme doch nochmal > wieder oder geh zu einem anderen MX". D.h. Du bekommst die Mail wieder > und wieder vorgesetzt - und nimmst Sie so ja auch wiederholt an. Das ist > sicher nicht gewollt. > Wenn dann mit 5 XX > Mit 5xx quittieren und trotzdem annehmen ist ein bewusstes Widersetzen > gegen das RFC. Da die Mail(s) ja an dich gerichtet waren, wird man da wohl > keinen Stick draus drehen können, dass Du die Mail trotzdem "heimlich" > angenommen hast. Aber im Grunde kannst Du auch hier mit dem 4xx- > Szenario rechnen - Anwender lesen den Fehler nicht richtig und schicken > einfach nochmal oder gehen Dir dann telefonisch auf den Nerv, weil sie die > Post nicht durchbekommen. Die gehen auch Ihrem Admin auf den Nerv - Du > bist also "asozial", weil du mit Ressourcen anderer spielst. Das KOMMT drauf an Legitim zur späteren Begutachtung >>> SPAM <<<< klassifizierte Mails Und das wäre auch die Lösung Mit RspamD oder Amavis dem Absender so hohe Punkte geben das die Mail als Spam klassifiziert wird und in die Mailquarantäne rein schieben. Wird dann mit 55X abgelehnt. Viel spaß beim lesen So mach ich das mit so um 50 oder 60 Gmail/hotmail adressen die immer wieder eine "Spamtrap" Adresse anschreiben aber alle anderen Postfächer bekommen komischerweise keine Mails von diesen Adressen Da wundert man sich wieviel Resourcen da wohl nur zum Spamversand der Mitglieder von den Großen bereitgehalten werden :-) > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From maillistpostfixgerman at mytelpbx.com Mon Dec 5 21:21:56 2022 From: maillistpostfixgerman at mytelpbx.com (maillistpostfixgerman at mytelpbx.com) Date: Mon, 5 Dec 2022 21:21:56 +0100 Subject: Emailannahme und Antwort 4XX oder 5XX In-Reply-To: <011b01d9089e$72243210$566c9630$@seffner.de> References: <3a9638fa-b55a-eefc-d4c6-4f9ffb077ced@mytelpbx.com> <011b01d9089e$72243210$566c9630$@seffner.de> Message-ID: <55eb3469-8e9e-3871-bf9d-70e310a172d2@mytelpbx.com> Hallo, ob 4XX oder 5XX ist in dem Fall egal. Soll er halt immer wieder kommen. Im Kern geht es darum die Email zu empfangen aber den Zustellnachweis oder Zustellung zu verweigern. Email wird mehr und mehr in der Kommunikation eingesetzt, die Frage ist wie leicht kann ein Empfänger den Nachweis eines Empfangs verhindern und trotzdem die "komplette" Nachricht erhalten. Sende ich ihn ein FAX und ein Einschreiben kann er das kaum tun. Auf zwei Wegen zu behaupten, habe ich nicht bekommen, ist wenig glaubhaft. Gruss Am 05.12.22 um 12:40 schrieb ronny at seffner.de: > Hallo, > > ich mache mich mal unbeliebt und trage nicht zur gesuchten Lösung bei, sondern rege nur das Nachdenken über die mir unbekannte Motivation an. > > Mit 4xx quittieren, heißt ja "temporärer Fehler, komme doch nochmal wieder oder geh zu einem anderen MX". D.h. Du bekommst die Mail wieder und wieder vorgesetzt - und nimmst Sie so ja auch wiederholt an. Das ist sicher nicht gewollt. > > Mit 5xx quittieren und trotzdem annehmen ist ein bewusstes Widersetzen gegen das RFC. Da die Mail(s) ja an dich gerichtet waren, wird man da wohl keinen Stick draus drehen können, dass Du die Mail trotzdem "heimlich" angenommen hast. Aber im Grunde kannst Du auch hier mit dem 4xx-Szenario rechnen - Anwender lesen den Fehler nicht richtig und schicken einfach nochmal oder gehen Dir dann telefonisch auf den Nerv, weil sie die Post nicht durchbekommen. Die gehen auch Ihrem Admin auf den Nerv - Du bist also "asozial", weil du mit Ressourcen anderer spielst. > > > Mit freundlichen Grüßen / Kind regards > Ronny Seffner > From driessen at fblan.de Fri Dec 9 09:46:58 2022 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 9 Dec 2022 09:46:58 +0100 Subject: Mail schrumpft auf dem weg vom Server auf den PC Message-ID: <006401d90baa$cc64e350$652ea9f0$@fblan.de> Guten morgen Seit etwa 14 Tagen sehe ich Mails (sind zwar nur spammails) die auf dem Server 500K , 2MB, 2,2 MB in der Auflistung im Directory haben aber in Outlook kommen nur Zwischen 12 und 20 KB an -rw-rw---- 1 vmail mail 271K Dec 9 04:42 1670557362.M20394P21770.mail,S=276935,W=280539:2,S -rw-rw---- 1 vmail mail 38K Dec 9 05:54 1670561671.M325011P24716.mail,S=38302,W=38827:2,S -rw-rw---- 1 vmail mail 2.2M Dec 9 06:04 1670562267.M848397P25191.mail,S=2287907,W=2317648:2,S -rw-rw---- 1 vmail mail 566K Dec 9 06:40 1670564431.M688436P27005.mail,S=579352,W=586905:2,S 04:43 22 KB 05:55 12 KB 06:04 12 KB 06:41 12 KB Auf dem Server sind anhänge in den Dateien (z.b. Bilder) Base 64 codiert Die Bilder sind in Outlook nicht mehr drin Irgendwie komme ich nicht hinter das Geheimnis Wenn die mir schon ein spamtrap zumüllen dann will ich ja wenigstens meinen spaß haben :-) Ich sammel die gmail,hotmail,outlook... adressen und schieß die sofort ab for i in `grep -i "^from:" /var/mail/virtual/$domain/$user/cur/* |cut -d'<' -f2|cut -d'>' -f1`; do echo -e "$i \t\t\t\t\t550 reject we have no more sex" >>/etc/postfix/maps/sexspamer ; done | cat /etc/postfix/maps/sexspamer |sort | uniq >/etc/postfix/maps/sexspamer2|cp -a /etc/postfix/maps/sexspamer2 /etc/postfix/maps/sexspamer |postmap /etc/postfix/maps/sexspamer | postfix reload kürzere schreibweise und besser funktion nehm ich natürlich gerne :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From webmaster at fitonbit.de Fri Dec 9 13:34:31 2022 From: webmaster at fitonbit.de (Mathias Jung) Date: Fri, 9 Dec 2022 13:34:31 +0100 Subject: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> Message-ID: <61625716-2811-4db8-9ff3-a69323bbd259@Spark> Hallo, folgender Fall: ServerA: mein Postfix Server ServerB: Externer Mailserver - zB. Microsoft 365 Emailadressen: eins at meinedomain.de und zwei at meinedomain.de Ich hab öfter mal Leute die sonst immer lokale Emailadressen auf ServerA genutzt haben. Somit stehen diese in der virtual_map. Dann kommen diese auf die Idee Ihre Emailadressen auf zB. Microsoft 365 zu verlegen, passen den MX an, vergessen aber die lokalen Emailadressen auf ServerA zu löschen. Nachdem Sie die Änderungen gemacht haben senden Sie nach wie vor über den SMTP von ServerA zB. Eine Email von eins at meinedomain.de an zwei at meinedomain.de Da dann natürlich die virtual_map greift wird die Email direkt intern auf ServerA zugestellt und nicht an ServerB gesendet. Kann man das irgendwie umgehen? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ronny at seffner.de Fri Dec 9 13:58:37 2022 From: ronny at seffner.de (ronny at seffner.de) Date: Fri, 9 Dec 2022 13:58:37 +0100 Subject: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: <61625716-2811-4db8-9ff3-a69323bbd259@Spark> References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> Message-ID: <076801d90bcd$f6450560$e2cf1020$@seffner.de> > Da dann natürlich die virtual_map greift wird die Email direkt intern auf > ServerA zugestellt und nicht an ServerB gesendet. > > Kann man das irgendwie umgehen? > Postfix guckt by design zuerst lokal bevor irgendwelches routing beginnt. Lösung a) aufräumen (und den Kunden an seinem Schmerz lernen lassen) Lösung b) zwei Postfix-Instanzen (das steiget die Komplexität und wird daher fehleranfällig): - eine für den Versand (smtp-auth) an den Ports 465/587, die nix von lokalen Konten weiß (ohne virtual_maps) [die guckt dann ins DNS] - eine für den Empfang an Port 25 (kann ja auch StartTLS), welche wie jetzt lokal oder remote zustellt - das erfordert, dass ggf. die Kunden nun ihrerseits den Postausgang umstellen - bestimmt habe ich noch was übersehen, warum man das NICHT will Mit freundlichen Grüßen / Kind regards Ronny Seffner From webmaster at fitonbit.de Fri Dec 9 14:29:22 2022 From: webmaster at fitonbit.de (Mathias Jung) Date: Fri, 9 Dec 2022 14:29:22 +0100 Subject: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: <076801d90bcd$f6450560$e2cf1020$@seffner.de> References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> <076801d90bcd$f6450560$e2cf1020$@seffner.de> Message-ID: <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> Am 9. Dez. 2022, 14:08 +0100 schrieb ronny at seffner.de: > > Da dann natürlich die virtual_map greift wird die Email direkt intern auf > > ServerA zugestellt und nicht an ServerB gesendet. > > > > Kann man das irgendwie umgehen? > > > > Postfix guckt by design zuerst lokal bevor irgendwelches routing beginnt. > > Ja das ist mir bekannt - ich dachte nur es gibt da was das ich womöglich überlesen habe?. > > > > Lösung a) aufräumen (und den Kunden an seinem Schmerz lernen lassen) > > Das ist was ich jetzt mache, schmerzt aber auch mich da ich den Aufwand habe :-( > > Lösung b) zwei Postfix-Instanzen (das steiget die Komplexität und wird daher fehleranfällig): > > - eine für den Versand (smtp-auth) an den Ports 465/587, die nix von lokalen Konten weiß (ohne virtual_maps) [die guckt dann ins DNS] > > - eine für den Empfang an Port 25 (kann ja auch StartTLS), welche wie jetzt lokal oder remote zustellt > > - das erfordert, dass ggf. die Kunden nun ihrerseits den Postausgang umstellen > > - bestimmt habe ich noch was übersehen, warum man das NICHT will > > Klingt tatsächlich komplex. Wenn ich das richtig verstehe müsste der Benutzer dann getrennte Logindaten für Postaus- und Eingang hinterlegen. Ich hab irgendwo aufgeschnappt das man sowas mit einer Transport Map umsetzen kann, aber das klappt irgendwie bei meinen Tests nicht wirklich.. MfG Mathias -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ronny at seffner.de Fri Dec 9 14:40:48 2022 From: ronny at seffner.de (ronny at seffner.de) Date: Fri, 9 Dec 2022 14:40:48 +0100 Subject: AW: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> <076801d90bcd$f6450560$e2cf1020$@seffner.de> <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> Message-ID: <078301d90bd3$da35bc60$8ea13520$@seffner.de> > Klingt tatsächlich komplex. Wenn ich das richtig verstehe müsste der > Ist eigentlich kein Hexenwerk. [postmulti] > Benutzer dann getrennte Logindaten für Postaus- und Eingang hinterlegen. > Ich hab irgendwo aufgeschnappt das man sowas mit einer Transport Map > umsetzen kann, aber das klappt irgendwie bei meinen Tests nicht wirklich.. > Macht er doch eh: Eingang IMAP||POP3; Ausgang SMTP - Server, Nutzer und Kennwort können je nach Konfiguration gleichbleiben, nur die Ports (und Protokolle) unterscheiden sich. Jetzt hat er vielleicht aus Ausgang: mout.server.tld/user/GEHEIM mit StartTLS (das würde dann i.d.R. Port 25 bedienen) ... und müsste geändert werden in: mout.server.tld:587/user/GEHEIM Du willst halt den postfix an 25 auch lokal zustellen lassen, am zweiten postfix (hier Port 587) aber genau das verhindern. Also müssen diese Einliefernden auch an diesen "besonderen" Ports abgeben. Ist alles Stand der Technik und sollte auch in der Kunde Firewall offen sein. Mit freundlichen Grüßen / Kind regards Ronny Seffner From webmaster at fitonbit.de Fri Dec 9 16:29:51 2022 From: webmaster at fitonbit.de (Mathias Jung) Date: Fri, 9 Dec 2022 16:29:51 +0100 Subject: AW: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: <078301d90bd3$da35bc60$8ea13520$@seffner.de> References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> <076801d90bcd$f6450560$e2cf1020$@seffner.de> <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> <078301d90bd3$da35bc60$8ea13520$@seffner.de> Message-ID: Danke Ronny, dann werde ich mich damit mal beschäftigen. Mit freundlichen Grüßen Mathias Am 9. Dez. 2022, 14:41 +0100 schrieb ronny at seffner.de: > > Klingt tatsächlich komplex. Wenn ich das richtig verstehe müsste der > > > Ist eigentlich kein Hexenwerk. [postmulti] > > > Benutzer dann getrennte Logindaten für Postaus- und Eingang hinterlegen. > > Ich hab irgendwo aufgeschnappt das man sowas mit einer Transport Map > > umsetzen kann, aber das klappt irgendwie bei meinen Tests nicht wirklich.. > > > Macht er doch eh: Eingang IMAP||POP3; Ausgang SMTP - Server, Nutzer und Kennwort können je nach Konfiguration gleichbleiben, nur die Ports (und Protokolle) unterscheiden sich. > > Jetzt hat er vielleicht aus Ausgang: mout.server.tld/user/GEHEIM mit StartTLS (das würde dann i.d.R. Port 25 bedienen) > ... und müsste geändert werden in: mout.server.tld:587/user/GEHEIM > Du willst halt den postfix an 25 auch lokal zustellen lassen, am zweiten postfix (hier Port 587) aber genau das verhindern. Also müssen diese Einliefernden auch an diesen "besonderen" Ports abgeben. > Ist alles Stand der Technik und sollte auch in der Kunde Firewall offen sein. > > > Mit freundlichen Grüßen / Kind regards > Ronny Seffner > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Fri Dec 9 17:23:08 2022 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 9 Dec 2022 17:23:08 +0100 Subject: AW: AW: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> <076801d90bcd$f6450560$e2cf1020$@seffner.de> <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> <078301d90bd3$da35bc60$8ea13520$@seffner.de> Message-ID: <008401d90bea$868e3620$93aaa260$@fblan.de> Im Auftrag von Mathias Jung via Postfixbuch- > users > Betreff: Re: AW: AW: MX Check erzwingen oder immer externen Relay > nutzen - auch wenn Domain/Emailadresse lokal > > Danke Ronny, > > dann werde ich mich damit mal beschäftigen. main.cf: amavis = inet:127.0.0.1:10024 smfs = inet:[::1]:30065 opendkim = inet:[::1]:8891 opendmarc = inet:[::1]:8893 inet_interfaces = IP.adr.esse.185, 127.0.0.1, ::1, 2a05:4f8:202:206::185 submission_smtpd_relay_restrictions = reject_non_fqdn_sender, permit_mynetworks, reject_non_fqdn_recipient, check_sender_access hash:/etc/postfix/adress_maps/kuendigt, check_sender_access proxy:mysql:${config_directory}/sql/account_status_.cf, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_sender_login_mismatch, reject_unlisted_sender, check_sender_access pcre:/etc/postfix/maps/leere_Absender, permit_sasl_authenticated, reject intern_smtpd_recipient_restrictions = reject_non_fqdn_sender, check_sender_access hash:/etc/postfix/adress_maps/kuendigt, (kann mailadresse oder acuh Domain sein für die man nimmer zuständig ist) permit_mynetworks, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unknown_sender_domain reject_sender_login_mismatch, check_sender_access pcre:/etc/postfix/maps/leere_Absender, permit_sasl_authenticated, reject testing_smtpd_relay_restrictions = check_sender_access proxy:mysql:${config_directory}/sql/account_status_.cf, reject_non_fqdn_recipient, permit_sasl_authenticated, reject map kuendigt: @hundeschulexyz.de REJECT not hosted Master.cf : Für submission,465 usw. eigene IPadresse und transport Ip.adre.sse.184:submission inet n - - 0 - smtpd -o myhostname=meine.servername.de -o syslog_name=postfix-mail -o smtpd_client_connection_count_limit=10 -o smtpd_client_connection_rate_limit=15 -o smtpd_client_message_rate_limit=30 -o smtpd_client_recipient_rate_limit=20 -o smtpd_sasl_auth_enable=yes -o anvil_rate_time_unit=120s -o smtpd_relay_restrictions=${submission_smtpd_relay_restrictions} -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o cleanup_service_name=cleanup2 -o milter_macro_daemon_name=SUBMISSION -o smtpd_tls_security_level=may -o smtpd_milters=${amavis} Ip.adre.ss.184:465 inet n - - 0 - smtpd -o myhostname=mail.fblan.de -o syslog_name=postfix-mail -o smtpd_client_connection_count_limit=10 -o smtpd_client_connection_rate_limit=15 -o smtpd_client_message_rate_limit=30 -o smtpd_client_recipient_rate_limit=20 -o smtpd_sasl_auth_enable=yes -o anvil_rate_time_unit=120s -o smtpd_relay_restrictions=${submission_smtpd_relay_restrictions} -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o cleanup_service_name=cleanup2 -o milter_macro_daemon_name=SUBMISSION -o smtpd_tls_security_level=may -o smtpd_milters=${amavis} IP.Adre.sse.184:smtps inet n - n - - smtpd -o myhostname=mail.fblan.de -o syslog_name=postfix-mail -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_tls_wrappermode=yes -o smtpd_tls_security_level=encrypt -o smtpd_milters=${outgoing},${amavis} Da kannste dann alles so gestalten das da nur noch das geht was soll Die maps kuendigt wäre die einfachste art keine mails von und für die anzunehmen :-) > > Mit freundlichen Grüßen > Mathias Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From webmaster at fitonbit.de Fri Dec 9 17:28:18 2022 From: webmaster at fitonbit.de (Mathias Jung) Date: Fri, 9 Dec 2022 17:28:18 +0100 Subject: AW: AW: AW: MX Check erzwingen oder immer externen Relay nutzen - auch wenn Domain/Emailadresse lokal In-Reply-To: <008401d90bea$868e3620$93aaa260$@fblan.de> References: <5336b54a-c8b6-47a7-9911-9fc7d15c647e@Spark> <61625716-2811-4db8-9ff3-a69323bbd259@Spark> <076801d90bcd$f6450560$e2cf1020$@seffner.de> <6f3d399c-d8fd-432e-9151-66688b0dcfe5@Spark> <078301d90bd3$da35bc60$8ea13520$@seffner.de> <008401d90bea$868e3620$93aaa260$@fblan.de> Message-ID: Danke Uwe, auch das schaue ich mir an. Am 9. Dez. 2022, 17:24 +0100 schrieb Uwe Drießen : > Im Auftrag von Mathias Jung via Postfixbuch- > > users > > Betreff: Re: AW: AW: MX Check erzwingen oder immer externen Relay > > nutzen - auch wenn Domain/Emailadresse lokal > > > > Danke Ronny, > > > > dann werde ich mich damit mal beschäftigen. > > main.cf: > > amavis = inet:127.0.0.1:10024 > smfs = inet:[::1]:30065 > opendkim = inet:[::1]:8891 > opendmarc = inet:[::1]:8893 > > inet_interfaces = IP.adr.esse.185, 127.0.0.1, ::1, 2a05:4f8:202:206::185 > > > > submission_smtpd_relay_restrictions = reject_non_fqdn_sender, > permit_mynetworks, > reject_non_fqdn_recipient, > check_sender_access hash:/etc/postfix/adress_maps/kuendigt, > check_sender_access proxy:mysql:${config_directory}/sql/account_status_.cf, > reject_unknown_sender_domain, > reject_unknown_recipient_domain, > reject_sender_login_mismatch, > reject_unlisted_sender, > check_sender_access pcre:/etc/postfix/maps/leere_Absender, > permit_sasl_authenticated, > reject > > intern_smtpd_recipient_restrictions = reject_non_fqdn_sender, > check_sender_access hash:/etc/postfix/adress_maps/kuendigt, (kann mailadresse oder acuh Domain sein für die man nimmer zuständig ist) > permit_mynetworks, > reject_non_fqdn_recipient, > reject_unknown_recipient_domain, > reject_unknown_sender_domain > reject_sender_login_mismatch, > check_sender_access pcre:/etc/postfix/maps/leere_Absender, > permit_sasl_authenticated, > reject > > testing_smtpd_relay_restrictions = > check_sender_access proxy:mysql:${config_directory}/sql/account_status_.cf, > reject_non_fqdn_recipient, > permit_sasl_authenticated, > reject > > map kuendigt: > > @hundeschulexyz.de REJECT not hosted > > > Master.cf : > > Für submission,465 usw. eigene IPadresse und transport > > Ip.adre.sse.184:submission inet n - - 0 - smtpd > -o myhostname=meine.servername.de > -o syslog_name=postfix-mail > -o smtpd_client_connection_count_limit=10 > -o smtpd_client_connection_rate_limit=15 > -o smtpd_client_message_rate_limit=30 > -o smtpd_client_recipient_rate_limit=20 > -o smtpd_sasl_auth_enable=yes > -o anvil_rate_time_unit=120s > -o smtpd_relay_restrictions=${submission_smtpd_relay_restrictions} > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o cleanup_service_name=cleanup2 > -o milter_macro_daemon_name=SUBMISSION > -o smtpd_tls_security_level=may > -o smtpd_milters=${amavis} > > Ip.adre.ss.184:465 inet n - - 0 - smtpd > -o myhostname=mail.fblan.de > -o syslog_name=postfix-mail > -o smtpd_client_connection_count_limit=10 > -o smtpd_client_connection_rate_limit=15 > -o smtpd_client_message_rate_limit=30 > -o smtpd_client_recipient_rate_limit=20 > -o smtpd_sasl_auth_enable=yes > -o anvil_rate_time_unit=120s > -o smtpd_relay_restrictions=${submission_smtpd_relay_restrictions} > -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject > -o cleanup_service_name=cleanup2 > -o milter_macro_daemon_name=SUBMISSION > -o smtpd_tls_security_level=may > -o smtpd_milters=${amavis} > > > IP.Adre.sse.184:smtps inet n - n - - smtpd > -o myhostname=mail.fblan.de > -o syslog_name=postfix-mail > -o smtpd_tls_wrappermode=yes > -o smtpd_sasl_auth_enable=yes > -o smtpd_tls_wrappermode=yes > -o smtpd_tls_security_level=encrypt > -o smtpd_milters=${outgoing},${amavis} > > > > Da kannste dann alles so gestalten das da nur noch das geht was soll > Die maps kuendigt wäre die einfachste art keine mails von und für die anzunehmen :-) > > > > > > Mit freundlichen Grüßen > > Mathias > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > Mobil 01726688122 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " > "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." > "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." > " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Sat Dec 10 00:57:26 2022 From: daniel at mail24.vip (Daniel) Date: Sat, 10 Dec 2022 00:57:26 +0100 Subject: =?utf-8?Q?Mailer_von_Webhostern_k=C3=B6nnen_Mails_nicht_an_Googl?= =?utf-8?Q?e_GMail_zustellen?= Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From klaus at tachtler.net Sat Dec 10 06:29:47 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Sat, 10 Dec 2022 06:29:47 +0100 (GMT+01:00) Subject: =?UTF-8?Q?Re:_Mailer_von_Webhostern_k=C3=B6nnen_Ma?= =?UTF-8?Q?ils_nicht_an_Google_GMail_zustellen?= In-Reply-To: References: Message-ID: <91ba75de-40f5-442d-a5fe-e99bcc2eeef4@tachtler.net> Hallo Daniel, das ist einfach ein SPF-record den Google/GMail da haben möchte. https://de.m.wikipedia.org/wiki/Sender_Policy_Framework Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Daniel via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Daniel Datum: 10.12.2022 00:57:51 Betreff: Mailer von Webhostern können Mails nicht an Google GMail zustellen > Moin, > > habt ihr Probleme mit GMail? > > Mir ist bisher nichts aufgefallen. > > Grüße Daniel > > > Zitat: > > Seit Anfang letzter Woche beklagen sich viele Kunden von Webhostern, bei denen auch E-Mail-Server gebucht wurden, dass sie keine Nachrichten mehr an GMail-Postfächer senden lassen. Die Nachrichten werden schlicht abgewiesen, weil Google in seiner Policy etwas geändert hat. Blog-Leser Christian ? Weiterlesen ?[https://www.borncity.com/blog/2022/12/10/mailer-von-webhostern-knnen-mails-nicht-an-google-gmail-zustellen/] > > > Quelle: https://www.borncity.com/blog/2022/12/10/mailer-von-webhostern-knnen-mails-nicht-an-google-gmail-zustellen/ -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From postfixbuch at cboltz.de Sun Dec 11 17:46:12 2022 From: postfixbuch at cboltz.de (Christian Boltz) Date: Sun, 11 Dec 2022 17:46:12 +0100 Subject: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <006401d90baa$cc64e350$652ea9f0$@fblan.de> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> Message-ID: <2539257.Lt9SDvczpP@tux.boltz.de.vu> Hallo Uwe, hallo zusammen, Am Freitag, 9. Dezember 2022, 09:46:58 CET schrieb Uwe Drießen: > for i in `grep -i "^from:" /var/mail/virtual/$domain/$user/cur/* |cut > -d'<' -f2|cut -d'>' -f1`; do echo -e "$i \t\t\t\t\t550 reject we have > no more sex" >/etc/postfix/maps/sexspamer ; done | cat > /etc/postfix/maps/sexspamer|sort | uniq >/etc/postfix/maps/sexspamer2| > cp -a /etc/postfix/maps/sexspamer2 > /etc/postfix/maps/sexspamer |postmap /etc/postfix/maps/sexspamer | > postfix reload > > kürzere schreibweise und besser funktion nehm ich natürlich gerne :-) Du hast es nicht anders gewollt ;-) Die for-Schleife ist überflüssig, die cuts und echo kann sed besser. Davon abgesehen bekommst Du einen useless use of cat-Award (sort kann selbst lesen), und sort -u ersetzt uniq. Außerdem frage ich mich, warum Du alle Befehle mit einer Pipe verbunden hast. Bei den meisten (außer grep + sed) ist das unnötig. Dein Script funktioniert übrigens nur mit sowas wie From: foo aber nicht mit From: foo at example.com Das behebt die zweite Hälfte meines sed-Befehls (nach dem Semikolon). grep -i "^from:" /var/mail/virtual/$domain/$user/cur/* | \ sed 's/.*<\(.*\)>.*/\1\t\t\t550 reject go away/ ; s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/' >>/etc/postfix/maps/sexspamer sort -u /etc/postfix/maps/sexspamer > /etc/postfix/maps/sexspamer2 cp -a /etc/postfix/maps/sexspamer2 /etc/postfix/maps/sexspamer postmap /etc/postfix/maps/sexspamer postfix reload Wenn Du das Schreiben der Datei sexspamer atomar haben willst, geht auch (braucht dann aber ein cat) { grep -i "^from:" /var/mail/virtual/$domain/$user/cur/* | \ sed 's/.*<\(.*\)>.*/\1\t\t\t550 reject go away/ ; s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/' cat /etc/postfix/maps/sexspamer } | sort -u >/etc/postfix/maps/sexspamer2 cp -a /etc/postfix/maps/sexspamer2 /etc/postfix/maps/sexspamer postmap /etc/postfix/maps/sexspamer postfix reload Statt des cp -a würde ich eher mv nehmen, aber das nur am Rand. Alles ungetestet, sollte aber funktionieren ;-) Ach ja, set -o pipefail und set -e am Anfang des Scripts können nicht schaden ;-) Gruß Christian Boltz -- AV is homeopathy for computers: This software was in contact with mal- ware in the past, so it'll recognize other malware in the future. $79 [https://twitter.com/thegrugq/status/297177182848049152] From atann at alphasrv.net Mon Dec 12 10:33:00 2022 From: atann at alphasrv.net (Andre Tann) Date: Mon, 12 Dec 2022 10:33:00 +0100 Subject: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <2539257.Lt9SDvczpP@tux.boltz.de.vu> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> <2539257.Lt9SDvczpP@tux.boltz.de.vu> Message-ID: <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> Moin Christian, On 11.12.22 17:46, Christian Boltz wrote: > Davon abgesehen bekommst Du einen useless use of cat-Award (sort kann > selbst lesen), und sort -u ersetzt uniq. Dann bekommst Du aber den useless use of grep-Award: sed kann selbst greppen :) sed -ne '/^from:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/;          s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/p' \          /var/mail/virtual/$domain/$user/cur/* \          >> /etc/postfix/maps/sexspamer ... -- Andre Tann From atann at alphasrv.net Mon Dec 12 15:44:17 2022 From: atann at alphasrv.net (Andre Tann) Date: Mon, 12 Dec 2022 15:44:17 +0100 Subject: AW: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <011c01d90e34$dc361380$94a23a80$@fblan.de> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> <2539257.Lt9SDvczpP@tux.boltz.de.vu> <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> <011c01d90e34$dc361380$94a23a80$@fblan.de> Message-ID: Ich antwort mal wieder an die Liste: On 12.12.22 15:20, Uwe Drießen wrote: > Ja haut euch :-)) Nö, wir sind friedlich, und denken laut nach :D > \1 ist was ? \1 referenziert, was in der ersten Klammer gefunden wurde. Uwe Du mußt aufpassen, daß Dir Dein Thunderbird alles anzeigt, und nicht /text/ einfach nur kursiv anzeigt, ohne die slashes. So sah der sed aus: /^from:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/ Der Witz an .*<(.*)>.* ist: | | | | | +--alles nach der letzten schließenden | | spitzen Klammer | +--alles innerhalb der spitzen Klammern +--alles vor der letzten spitzen Klammer - wegen der .* am Anfang und am Ende wird auf jeden Fall die ganze Zeile getroffen, d.h. also ersetzt mit dem, was rechts angegeben ist - die Klammern in der Mitte umfassen alles, was zwischen spitzen Klammern notiert ist. Das funktioniert nur richtig, wenn < und > nur einmal vorkommen in der Zeile, was aber hier der Fall ist, und nur wenn < vor > steht, und nicht wenn > vor < kommt :) \( und \) statt ( und ) nur, weil sed da bißl komisch ist, und die Klammern sonst buchstäblich auffassen würde statt als Schiebs-in-den-ersten-Buffer-Aufforderung. Also heißt die ganze Sache übersetzt so: 1. Suche nur in Zeilen, in denen from: am Zeilenanfang steht 2. Suche komplette Zeilen, die < und > enthalten, und schiebe alles zwischen < und > in den ersten Buffer, sprich also die E-Mail-Adresse. 3. Ersetze alles, was gefunden wurde (nämlich die ganze Zeile, wegen .* vorn und hinten), mit dem Inhalt des ersten Buffers (\1), also der E-Mail-Adresse, gefolgt von "\t\t\t550 reject go away" -- Andre Tann From postfixbuch at cboltz.de Mon Dec 12 19:57:19 2022 From: postfixbuch at cboltz.de (Christian Boltz) Date: Mon, 12 Dec 2022 19:57:19 +0100 Subject: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> <2539257.Lt9SDvczpP@tux.boltz.de.vu> <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> Message-ID: <1883423.taCxCBeP46@tux.boltz.de.vu> Hallo Andre, hallo zusammen, Am Montag, 12. Dezember 2022, 10:33:00 CET schrieb Andre Tann via Postfixbuch-users: > On 11.12.22 17:46, Christian Boltz wrote: > > Davon abgesehen bekommst Du einen useless use of cat-Award (sort > > kann > > selbst lesen), und sort -u ersetzt uniq. > > Dann bekommst Du aber den useless use of grep-Award: sed kann selbst > greppen :) Stimmt, das grep hätte ich auch noch wegoptimieren können ;-) > sed -ne '/^from:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/; > s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/p' \ > /var/mail/virtual/$domain/$user/cur/* \ > >> /etc/postfix/maps/sexspamer Irgendwas ist an Deiner sed-Variante kaputt ;-) # cat /tmp/testfile From: foo1 at example From: foobar ignore_me # sed -ne '/^from:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/; s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/p' /tmp/testfile foo1 at example 550 reject go away foobar 550 reject go away In der foo2 at -Zeile sollte noch der Realname weggelöscht werden. So funktioniert es: sed -ne '/^From:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/p; s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/p' /tmp/testfile foo1 at example 550 reject go away foo2 at example 550 reject go away Unterschiede (in der ersten Zeile des sed-Befehls): - ^From statt ^from (alternativ ginge auch /i ) - am Ende ein p angehängt, damit die Zeile auch ausgegeben wird Gruß Christian Boltz -- > > Moin Moin, > Wann stehst Du denn üblicherwiese auf ;-) So grüßt man sich z. B. in Hamburg von 0 bis ca. 23:59:59 Uhr. Faulpelze und Rucksack-Fischköppe wie ich sagen nur einmal *Moin* :-) P.S.: Wer jetzt fragt, wie man sich hier in der restlichen Zeit grüßt, ist doof ;-) [>> Mathias Bölke, > Manfred Tremmel und Jan Trippler in suse-linux] From driessen at fblan.de Mon Dec 12 23:35:11 2022 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Mon, 12 Dec 2022 23:35:11 +0100 Subject: AW: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <1883423.taCxCBeP46@tux.boltz.de.vu> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> <2539257.Lt9SDvczpP@tux.boltz.de.vu> <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> <1883423.taCxCBeP46@tux.boltz.de.vu> Message-ID: <012a01d90e79$fef7e1b0$fce7a510$@fblan.de> Okay weil scheinbar doch nix los ist und irgendwie auch zu Mail gehört dann wieder über die liste :-) Im Auftrag von Christian Boltz > > > So funktioniert es: > > sed -ne '/^From:/s/.*<\(.*\)>.*/\1\t\t\t550 reject go away/p; > s/^From:\s*\(.*\)$/\1\t\t\t550 reject go away/p' /tmp/testfile > foo1 at example 550 reject go away > foo2 at example 550 reject go away > > Unterschiede (in der ersten Zeile des sed-Befehls): > - ^From statt ^from (alternativ ginge auch /i ) > - am Ende ein p angehängt, damit die Zeile auch ausgegeben wird > Öhm ja und das 2. Suchmuster könnte in das erste doch noch mit ? Oder auch | im ersten eingebunden werden ? Zeichen kann aber muss nicht da sein sed -ne '/^From:/s/.*?.*/\1\t\t\t550 reject go away/p' sed -ne '/^From:/s/[.*<\(.*\)>|.*\(.*\)$].*|/\1\t\t\t550 reject go away/p' sed -ne '/^From:/s/.*[< ]\(.*\)[> ]?.*/\1\t\t\t550 reject go away/p' 3 versuche 3 nieten wo ist der fehler oder geht das gar nicht funzt nur nicht weil SED anderes REGEX macht? Oder wieder falsche denke ? und eins für Log sed -ne '/ - spam.*to= to=.*/\1\t\t\t550 reject go away/p' /var/log/mail.log / |sort -u das funktioniert zumindest :-) > > Gruß > > Christian Boltz Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From atann at alphasrv.net Tue Dec 13 09:12:30 2022 From: atann at alphasrv.net (Andre Tann) Date: Tue, 13 Dec 2022 09:12:30 +0100 Subject: AW: Mail schrumpft auf dem weg vom Server auf den PC In-Reply-To: <012a01d90e79$fef7e1b0$fce7a510$@fblan.de> References: <006401d90baa$cc64e350$652ea9f0$@fblan.de> <2539257.Lt9SDvczpP@tux.boltz.de.vu> <85957d3c-b400-b880-8678-dd07dca52524@alphasrv.net> <1883423.taCxCBeP46@tux.boltz.de.vu> <012a01d90e79$fef7e1b0$fce7a510$@fblan.de> Message-ID: On 12.12.22 23:35, Uwe Drießen wrote: > Öhm ja und das 2. Suchmuster könnte in das erste doch noch mit ? Oder nee, das geht nicht, denn wie kriegst Du raus wo die E-Mail-Adresse ist? Dieser Pattern .*?.* Könnte auch gleich übersetzt werden mit .* Regexen sind (normalerweise) gierig, und die Regex-Engine arbeitet so: .* => trifft vom ersten bis zum letzten Zeichen. Danach ein ? -- Andre Tann From stickybit at myhm.de Tue Dec 13 16:27:23 2022 From: stickybit at myhm.de (Andre) Date: Tue, 13 Dec 2022 16:27:23 +0100 Subject: Ausgehende Mails landen im SPAM bei gmx & Co. Message-ID: <3241201f-9ee3-1e7f-1c34-b52666412cd9@myhm.de> Servus, eigene ausgehende Mails landen im SPAM bei gmx & Co. DKIM/SPF/DMARC sind aktiv. Das GLEICHE Setup auf einem anderen Server mit einer anderen IP geht einwandfrei. Zumindest bei web.de landen Mails von dieser anderen IP nicht im Spam-Ordner. Was kann man da machen? -- LG Andre From driessen at fblan.de Tue Dec 13 18:30:16 2022 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 13 Dec 2022 18:30:16 +0100 Subject: AW: Ausgehende Mails landen im SPAM bei gmx & Co. In-Reply-To: <3241201f-9ee3-1e7f-1c34-b52666412cd9@myhm.de> References: <3241201f-9ee3-1e7f-1c34-b52666412cd9@myhm.de> Message-ID: <016301d90f18$910a8dc0$b31fa940$@fblan.de> Im Auftrag von Andre > eigene ausgehende Mails landen im SPAM bei gmx & Co. > > DKIM/SPF/DMARC sind aktiv. > > Das GLEICHE Setup auf einem anderen Server mit einer anderen IP geht > einwandfrei. Zumindest bei web.de landen Mails von dieser anderen IP > nicht im Spam-Ordner. > > Was kann man da machen? > IP ändern? Nett anschreiben , die sollten auch deutsch sprechen :-) Filter bei gmx und co checken ? Ich hatte das mal als mein Server von einem Rechenzentrum in ein anderes und neue IP bekommen hat Ich hab da nett nachgefragt warum die mich mit 3 mails am Tag als Spamer einstufen :-) Nach 2 Tagen war der käse gegessen (nie wieder Probleme seit dem) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From florian at bodici.de Wed Dec 14 09:00:27 2022 From: florian at bodici.de (Florian) Date: Wed, 14 Dec 2022 09:00:27 +0100 Subject: Ausgehende Mails landen im SPAM bei gmx & Co. In-Reply-To: <016301d90f18$910a8dc0$b31fa940$@fblan.de> References: <3241201f-9ee3-1e7f-1c34-b52666412cd9@myhm.de> <016301d90f18$910a8dc0$b31fa940$@fblan.de> Message-ID: <5d43e5cc-41c8-c268-3833-0b0db4ee7957@bodici.de> Guten Morgen, läßt sich denn im Header irgend etwas erkennen, was einen Hinweis auf die Spamkategorisierung gibt? Wenn nicht: Ticket aufmachen: https://postmaster.gmx.net/de/kontakt Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 13.12.2022 um 18:30 schrieb Uwe Drießen: > Im Auftrag von Andre > > >> eigene ausgehende Mails landen im SPAM bei gmx & Co. >> >> DKIM/SPF/DMARC sind aktiv. >> >> Das GLEICHE Setup auf einem anderen Server mit einer anderen IP geht >> einwandfrei. Zumindest bei web.de landen Mails von dieser anderen IP >> nicht im Spam-Ordner. >> >> Was kann man da machen? >> > IP ändern? > Nett anschreiben , die sollten auch deutsch sprechen :-) > Filter bei gmx und co checken ? > > Ich hatte das mal als mein Server von einem Rechenzentrum in ein anderes und neue IP bekommen hat > Ich hab da nett nachgefragt warum die mich mit 3 mails am Tag als Spamer einstufen :-) > Nach 2 Tagen war der käse gegessen (nie wieder Probleme seit dem) > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > Mobil 01726688122 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" > "Programmierer müssen lernen wie Menschen denken." > "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." > "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." > " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." > > From stickybit at myhm.de Mon Dec 19 21:59:11 2022 From: stickybit at myhm.de (Andre) Date: Mon, 19 Dec 2022 21:59:11 +0100 Subject: Wildcard SPF Message-ID: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> Hallo Leute, sehe ich das richtig, dass man einen SPF-Record für alle Subdomains einer Domain (wildcard) nicht setzen kann? Bspw.: *.example.com 3600 IN TXT "v=spf1 -all" Zumindest liefrt bspw.: test.example.com TXT kein Ergenis. :( Eine Idee? -- LG Andre From klaus at tachtler.net Mon Dec 19 22:08:49 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 19 Dec 2022 22:08:49 +0100 (GMT+01:00) Subject: Wildcard SPF In-Reply-To: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> Message-ID: <619bd559-a390-4a9d-960f-645370cc4a77@tachtler.net> Hallo Andre, https://www.rfc-editor.org/rfc/rfc4592 https://www.rfc-editor.org/rfc/rfc7208#page-11 (Sektion 3.5) sollte eigentlich gehen. > *.example.com 3600 IN TXT "v=spf1 -all" Mach doch mal hinter *.example.com noch einen Punkt. > *.example.com. 3600 IN TXT "v=spf1 -all" Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Andre via Postfixbuch-users An: Diskussionen und Support rund um Postfix Kopie: Andre Datum: 19.12.2022 21:59:41 Betreff: Wildcard SPF > Hallo Leute, > > sehe ich das richtig, dass man einen SPF-Record für alle Subdomains einer Domain (wildcard) nicht setzen kann? Bspw.: > > *.example.com 3600 IN TXT "v=spf1 -all" > > Zumindest liefrt bspw.: > > test.example.com TXT > > kein Ergenis. :( > > Eine Idee? > > -- > LG > Andre -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From daniel at mail24.vip Mon Dec 19 22:12:29 2022 From: daniel at mail24.vip (Daniel) Date: Mon, 19 Dec 2022 22:12:29 +0100 Subject: AW: Wildcard SPF In-Reply-To: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> Message-ID: <009801d913ee$9a7b8230$cf728690$@mail24.vip> Moin, wohl eher DNS Problem (cache), beim Test klappt bei mir sowas. Alternativ wäre evt. noch auf * Domain nen CNAME auf Hauptdomain möglich. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Andre via Postfixbuch-users Gesendet: Montag, 19. Dezember 2022 21:59 An: Diskussionen und Support rund um Postfix Cc: Andre Betreff: Wildcard SPF Hallo Leute, sehe ich das richtig, dass man einen SPF-Record für alle Subdomains einer Domain (wildcard) nicht setzen kann? Bspw.: *.example.com 3600 IN TXT "v=spf1 -all" Zumindest liefrt bspw.: test.example.com TXT kein Ergenis. :( Eine Idee? -- LG Andre -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5984 bytes Beschreibung: nicht verfügbar URL : From kevin at k-ten.de Tue Dec 20 08:03:05 2022 From: kevin at k-ten.de (Kevin) Date: Tue, 20 Dec 2022 08:03:05 +0100 Subject: Wildcard SPF In-Reply-To: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> Message-ID: <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> Guten Morgen, ein SPF-Record für alle (nicht vergebenen) Subdomains mit einem Wildcard * ist problemlos möglich. Wichtig ist hierbei allerdings die Eigenschaft, dass dieser nur für nicht vergebene Subdomains gilt. Angenommen wir haben folgende Subdomains: *.example.com. 3600 IN TXT "v=spf1 -all" test.example.com. 3600 IN A 1.1.1.1 So wird der SPF Record von *.example.com. in diesem Beispiel für efhusi.example.com. gelten (nicht vergeben), allerdings nicht für test.example.com. (vergeben), da diese Subdomain bereits definiert wurde und der Wildcard anschließend nicht mehr gilt. Wenn der DNS Record test.example.com. nicht existiert und *.example.com. erfolgreich angelegt ist, sollte dies, wie Klaus und Daniel bereits beschrieben haben, (nach Ablauf der TTL) wie gewünscht funktionieren. Viele Grüße Kevin On 12/19/22 21:59, Andre via Postfixbuch-users wrote: > Hallo Leute, > > sehe ich das richtig, dass man einen SPF-Record für alle Subdomains > einer Domain (wildcard) nicht setzen kann? Bspw.: > > *.example.com 3600 IN TXT "v=spf1 -all" > > Zumindest liefrt bspw.: > > test.example.com TXT > > kein Ergenis. :( > > Eine Idee? > > -- > LG > Andre From stickybit at myhm.de Wed Dec 21 18:24:49 2022 From: stickybit at myhm.de (Andre) Date: Wed, 21 Dec 2022 18:24:49 +0100 Subject: Wildcard SPF In-Reply-To: <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> Message-ID: <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> Hallo, danke für eure Antworten. > Angenommen wir haben folgende Subdomains: > *.example.com. 3600 IN TXT "v=spf1 -all" > test.example.com. 3600 IN A 1.1.1.1 Das war bei mir in der Tat die Ursache. Das ist ja interessant. Also darf der Host, der versendet, keinen A-Record besitzen. D.h. der Absender mail at test.example.com darf keine eigene explizit definierte IP haben, wenn ich einen Wildcard-SPF verwenden möchte. Gut zu wissen... :-) Vielen Dank nochmal! -- LG Andre From florian at bodici.de Wed Dec 21 21:38:31 2022 From: florian at bodici.de (Florian) Date: Wed, 21 Dec 2022 21:38:31 +0100 Subject: Wildcard SPF In-Reply-To: <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> Message-ID: <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> Hi zusammen, SPF ist eine Wissenschaft für sich. Man kann dort unglaublich komplizierte Konstrukte bauen (siehe z.B. https://www.netmeister.org/blog/spf.html ). Allerdings ist SPF alles andere als unumstritten: Insbesondere für die Zustellung bei den "großen" ISPs verliert SPF zunehmend an Bedeutung, zugunsten von DKIM. Die wichtigsten Gründe hierfür sind, dass der Versender erkennbar und unterscheidbar sein soll. Das bekommt man mit auf IP Basis arbeitendem SPF in Shared-IP Umgebungen nicht hin. SPF scheitert an Weiterleitungen und bei Mailinglisten. Und spätestens beim Thema IPv6 ist die Reputation an IPs nicht mehr sinnvoll verankert. Viel wichtiger als sich in die Untiefen von SPF zu begeben ist es also, DKIM zu signieren und FROM und ENVELOPE Domain aligned zu halten. SPF sollte man als Fallback zwar auch noch aufsetzen, aber möglichst in einer einfachen, wenig fehleranfälligen Form, die wenige bis keine zusätzlichen Lookups benötigt. Viele Grüße Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 21.12.2022 um 18:24 schrieb Andre via Postfixbuch-users: > Hallo, > > danke für eure Antworten. > > > Angenommen wir haben folgende Subdomains: > > *.example.com. 3600 IN TXT "v=spf1 -all" > > test.example.com. 3600 IN A 1.1.1.1 > > Das war bei mir in der Tat die Ursache. > > Das ist ja interessant. > Also darf der Host, der versendet, keinen A-Record besitzen. > > D.h. der Absender mail at test.example.com darf keine eigene explizit > definierte IP haben, wenn ich einen Wildcard-SPF verwenden möchte. > > Gut zu wissen... :-) > > Vielen Dank nochmal! > > -- > LG > Andre From stickybit at myhm.de Fri Dec 23 13:54:34 2022 From: stickybit at myhm.de (Andre) Date: Fri, 23 Dec 2022 13:54:34 +0100 Subject: Wildcard SPF In-Reply-To: <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> Message-ID: <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> Moin, > Allerdings ist SPF alles andere als unumstritten... Ja, sehe ich auch so. Schwachstellen im Design, wie hier die Erfahrung mit den Subdomains zeigt. Hab hier noch einen Fall. Ich verwalte die Domain und habe SPF, DKIM und DMARC ist eingerichtet, nennen wir sie hier example.com. Der Kunde versendet vom google Mailserver und hat in seinem Thunderbird kunde at gmail.com als Benutzername und Absender mail at example.com eingerichtet. Im SPF von example.com habe ich google-Mailserver inkludiert, sodass SPF nachweislich passt. Die Mails von dem Kunden werden nicht signiert versendet. Hier mein DMARC-Eintrag. v=DMARC1; p=reject; Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird diese von google mit folgender Begründung nicht angenommen: ------------------------------- Action: failed Status: 5.7.26 Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from example.com is not accepted due to 550-5.7.26 domain's DMARC policy. Please contact the administrator of 550-5.7.26 example.com domain if this was a legitimate mail. Please visit ------------------------------- Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem Fall stimmt ja der SPF. Warum wird die Mail trotzdem nicht angenommen? Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? -- LG Andre From lists at wessel-nienburg.de Fri Dec 23 14:23:45 2022 From: lists at wessel-nienburg.de (Jan) Date: Fri, 23 Dec 2022 14:23:45 +0100 Subject: Wildcard SPF In-Reply-To: <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> Message-ID: Moin, bei DMARC müssen SPF und DKIM passen, sonst tritt "p" in Kraft (siehe Fehlermeldung). SPF wird nur auf die Envelope-Adresse angewendet. Bei DMARC zusätzlich auch die From-Adresse. Viele Grüße Jan Am 23.12.2022 13:54, schrieb Andre via Postfixbuch-users: > Moin, > >> Allerdings ist SPF alles andere als unumstritten... > > Ja, sehe ich auch so. Schwachstellen im Design, wie hier die Erfahrung > mit den Subdomains zeigt. > > Hab hier noch einen Fall. > > Ich verwalte die Domain und habe SPF, DKIM und DMARC ist eingerichtet, > nennen wir sie hier example.com. > > Der Kunde versendet vom google Mailserver und hat in seinem Thunderbird > kunde at gmail.com als Benutzername und Absender mail at example.com > eingerichtet. > > Im SPF von example.com habe ich google-Mailserver inkludiert, sodass > SPF nachweislich passt. > > Die Mails von dem Kunden werden nicht signiert versendet. > > Hier mein DMARC-Eintrag. > > v=DMARC1; p=reject; > > Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird diese > von google mit folgender Begründung nicht angenommen: > > ------------------------------- > Action: failed > Status: 5.7.26 > Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from > example.com is not accepted due to > 550-5.7.26 domain's DMARC policy. Please contact the administrator of > 550-5.7.26 example.com domain if this was a legitimate mail. Please > visit > ------------------------------- > > Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM stimmen, > oder halt beide, damit die Prüfung durchgeht. In diesem Fall stimmt ja > der SPF. > > Warum wird die Mail trotzdem nicht angenommen? > Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? > > -- > LG > Andre From florian at bodici.de Fri Dec 23 15:45:51 2022 From: florian at bodici.de (Florian) Date: Fri, 23 Dec 2022 15:45:51 +0100 Subject: Wildcard SPF In-Reply-To: References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> Message-ID: <47f0fce2-a754-39ee-f34d-44d880b94c42@bodici.de> Hi zusammen, André hat recht: für einen gültigen DMARC reicht SPF _ODER _DKIM - allerdings plus Alignment. Der Alignment part wird oft übersehen, da vermute ich auch dein Problem. Beispiel: Du verwendest foo.com im FROM, signierst aber (gültig) DKIM mit bar.com - im Ergebnis hast du aus DMARC Sicht keine gültige DKIM Prüfung, weil du nicht mit der im FROM verwendeten Domain signierst hast. Das gleiche gilt für SPF: Wenn du im FROM eine andere Domain verwendest wie im ENVELOPE ("Return-Path"), dann fehlt das Alignment, egal ob der reine SPF Eintrag passt oder nicht. Wenn du nicht weiterkommst, schick mir mal den kompletten Header deiner abgelehnten Mail, dann sag ich dir, woran es gehakt hat. Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 23.12.2022 um 14:23 schrieb Jan via Postfixbuch-users: > Moin, > > bei DMARC müssen SPF und DKIM passen, sonst tritt "p" in Kraft (siehe > Fehlermeldung). SPF wird nur auf die Envelope-Adresse angewendet. Bei > DMARC zusätzlich auch die From-Adresse. > > Viele Grüße > Jan > > Am 23.12.2022 13:54, schrieb Andre via Postfixbuch-users: >> Moin, >> >>> Allerdings ist SPF alles andere als unumstritten... >> >> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die >> Erfahrung mit den Subdomains zeigt. >> >> Hab hier noch einen Fall. >> >> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist >> eingerichtet, nennen wir sie hier example.com. >> >> Der Kunde versendet vom google Mailserver und hat in seinem >> Thunderbird kunde at gmail.com als Benutzername und Absender >> mail at example.com eingerichtet. >> >> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass >> SPF nachweislich passt. >> >> Die Mails von dem Kunden werden nicht signiert versendet. >> >> Hier mein DMARC-Eintrag. >> >> v=DMARC1; p=reject; >> >> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird >> diese von google mit folgender Begründung nicht angenommen: >> >> ------------------------------- >> Action: failed >> Status: 5.7.26 >> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from >> example.com is not accepted due to >>  550-5.7.26 domain's DMARC policy. Please contact the administrator of >>  550-5.7.26 example.com domain if this was a legitimate mail. Please >> visit >> ------------------------------- >> >> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM >> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem Fall >> stimmt ja der SPF. >> >> Warum wird die Mail trotzdem nicht angenommen? >> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? >> >> -- >> LG >> Andre > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From florian at bodici.de Fri Dec 23 15:53:24 2022 From: florian at bodici.de (Florian) Date: Fri, 23 Dec 2022 15:53:24 +0100 Subject: Wildcard SPF In-Reply-To: <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> Message-ID: // v=DMARC1; p=reject; PS: Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, dir auch die Reports zusenden zu lassen, insbesondere wenn du eine reject policy fährst. Sonst kann es Dir passieren, dass irgendein mailversendendes Tool oder Prozess kein gültiges DMARC macht und die Mails dann verloren gehen - und du bekommst es nicht einmal mit. Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie gesagt, es gibt viele Anbieter :) Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users: > Moin, > > > Allerdings ist SPF alles andere als unumstritten... > > Ja, sehe ich auch so. Schwachstellen im Design, wie hier die Erfahrung > mit den Subdomains zeigt. > > Hab hier noch einen Fall. > > Ich verwalte die Domain und habe SPF, DKIM und DMARC ist eingerichtet, > nennen wir sie hier example.com. > > Der Kunde versendet vom google Mailserver und hat in seinem > Thunderbird kunde at gmail.com als Benutzername und Absender > mail at example.com eingerichtet. > > Im SPF von example.com habe ich google-Mailserver inkludiert, sodass > SPF nachweislich passt. > > Die Mails von dem Kunden werden nicht signiert versendet. > > Hier mein DMARC-Eintrag. > > v=DMARC1; p=reject; > > Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird > diese von google mit folgender Begründung nicht angenommen: > > ------------------------------- > Action: failed > Status: 5.7.26 > Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from > example.com is not accepted due to >  550-5.7.26 domain's DMARC policy. Please contact the administrator of >  550-5.7.26 example.com domain if this was a legitimate mail. Please > visit > ------------------------------- > > Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM stimmen, > oder halt beide, damit die Prüfung durchgeht. In diesem Fall stimmt ja > der SPF. > > Warum wird die Mail trotzdem nicht angenommen? > Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? > > -- > LG > Andre From stickybit at myhm.de Fri Dec 23 16:07:12 2022 From: stickybit at myhm.de (Andre) Date: Fri, 23 Dec 2022 16:07:12 +0100 Subject: Wildcard SPF In-Reply-To: References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> Message-ID: <0812c076-953d-d01d-79ae-ece44712e09c@myhm.de> > // v=DMARC1; p=reject; > Falls das dein echter Eintrag ist... Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt wozu ich das Ganze gemacht hab. -- LG Andre Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users: > // v=DMARC1; p=reject; > > PS: > > Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, dir > auch die Reports zusenden zu lassen, insbesondere wenn du eine reject > policy fährst. Sonst kann es Dir passieren, dass irgendein > mailversendendes Tool oder Prozess kein gültiges DMARC macht und die > Mails dann verloren gehen - und du bekommst es nicht einmal mit. > > Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch > aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles > selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend > empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis zu > 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie > gesagt, es gibt viele Anbieter :) > > Viele Grüße, > > Florian Vierke > mobile: +49 177 8079538 > Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am > 30. April? > > Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users: >> Moin, >> >> > Allerdings ist SPF alles andere als unumstritten... >> >> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die Erfahrung >> mit den Subdomains zeigt. >> >> Hab hier noch einen Fall. >> >> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist eingerichtet, >> nennen wir sie hier example.com. >> >> Der Kunde versendet vom google Mailserver und hat in seinem >> Thunderbird kunde at gmail.com als Benutzername und Absender >> mail at example.com eingerichtet. >> >> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass >> SPF nachweislich passt. >> >> Die Mails von dem Kunden werden nicht signiert versendet. >> >> Hier mein DMARC-Eintrag. >> >> v=DMARC1; p=reject; >> >> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird >> diese von google mit folgender Begründung nicht angenommen: >> >> ------------------------------- >> Action: failed >> Status: 5.7.26 >> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from >> example.com is not accepted due to >>  550-5.7.26 domain's DMARC policy. Please contact the administrator of >>  550-5.7.26 example.com domain if this was a legitimate mail. Please >> visit >> ------------------------------- >> >> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM stimmen, >> oder halt beide, damit die Prüfung durchgeht. In diesem Fall stimmt ja >> der SPF. >> >> Warum wird die Mail trotzdem nicht angenommen? >> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? >> >> -- >> LG >> Andre From florian at bodici.de Fri Dec 23 19:27:12 2022 From: florian at bodici.de (Florian) Date: Fri, 23 Dec 2022 19:27:12 +0100 Subject: Wildcard SPF In-Reply-To: <0812c076-953d-d01d-79ae-ece44712e09c@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> <0812c076-953d-d01d-79ae-ece44712e09c@myhm.de> Message-ID: Hi André, Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee. Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du es gemacht hast ;) 1. DMARC Record mit policy none erstellen, um Reports zu empfangen und somit ein Bild darüber zu erlangen, wie die Authentifizierung der eigenen Domains bereits richtig eingerichtet ist 2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt. 3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen über deine Domain korrekt authentifizieren, kannst du die Policy auf reject stellen, um die Domain abzusichern. Jede Versendung, die nun von extern probiert, deine Domain im FROM zu versenden (zB Phishing) wird künftig scheitern, weil externe weder einen gültigen SPF in dein DNS bekommen, noch einen DKIM key (daher auch das Erfordernis "aligned". Mit fremden Domains kann man schließlich signieren was man will) 4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu abusen (verhindrn kannst du es nicht, aber du hast einen Informationsvorteil. Und mit reject Policy wird hoffentlich ein Großteil des Traffics von den teilnehmenden Mailservern abgelehnt). Und natürlich auch, um zu beobachten, ob SPF / DKIM bei deinen eigenen Prozessen mal kaputt geht. Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit rspamd läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC reporting aktivieren und automatisieren: https://rspamd.com/doc/modules/dmarc.html Schöne Weihnachten und einen guten Rutsch :) Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users: > > // v=DMARC1; p=reject; > > Falls das dein echter Eintrag ist... > > Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt > wozu ich das Ganze gemacht hab. > > -- > LG > Andre > > Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users: >> // v=DMARC1; p=reject; >> >> PS: >> >> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, >> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine >> reject policy fährst. Sonst kann es Dir passieren, dass irgendein >> mailversendendes Tool oder Prozess kein gültiges DMARC macht und die >> Mails dann verloren gehen - und du bekommst es nicht einmal mit. >> >> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch >> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles >> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend >> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis >> zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie >> gesagt, es gibt viele Anbieter :) >> >> Viele Grüße, >> >> Florian Vierke >> mobile: +49 177 8079538 >> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am >> 30. April? >> >> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users: >>> Moin, >>> >>> > Allerdings ist SPF alles andere als unumstritten... >>> >>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die >>> Erfahrung mit den Subdomains zeigt. >>> >>> Hab hier noch einen Fall. >>> >>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist >>> eingerichtet, nennen wir sie hier example.com. >>> >>> Der Kunde versendet vom google Mailserver und hat in seinem >>> Thunderbird kunde at gmail.com als Benutzername und Absender >>> mail at example.com eingerichtet. >>> >>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass >>> SPF nachweislich passt. >>> >>> Die Mails von dem Kunden werden nicht signiert versendet. >>> >>> Hier mein DMARC-Eintrag. >>> >>> v=DMARC1; p=reject; >>> >>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird >>> diese von google mit folgender Begründung nicht angenommen: >>> >>> ------------------------------- >>> Action: failed >>> Status: 5.7.26 >>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from >>> example.com is not accepted due to >>>  550-5.7.26 domain's DMARC policy. Please contact the administrator of >>>  550-5.7.26 example.com domain if this was a legitimate mail. Please >>> visit >>> ------------------------------- >>> >>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM >>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem >>> Fall stimmt ja der SPF. >>> >>> Warum wird die Mail trotzdem nicht angenommen? >>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? >>> >>> -- >>> LG >>> Andre From stickybit at myhm.de Fri Dec 23 23:43:01 2022 From: stickybit at myhm.de (Andre) Date: Fri, 23 Dec 2022 23:43:01 +0100 Subject: Wildcard SPF In-Reply-To: References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> <0812c076-953d-d01d-79ae-ece44712e09c@myhm.de> Message-ID: <8d3628c4-fd33-a0ea-d69f-a3f5b6d5203e@myhm.de> Hallo, danke für eure Erklärungen und eure Tipps! Schließlich bedeutet das Ganze Folgendes für E-Mail-Weiterleitungen bei meinem(einem) Mailserver. DMARC-Eintrag muss bei allen Domains auf "none" oder ganz weg. Denn, hat der Absender DKIM nicht richtig gesetzt UND wertet der Empfänger den Eintrag aus UND ich setze ich auf reject => Mails werden vom Empfänger abgewiesen quarantine => Mails landen im Spam-Ordner (wohl noch schlimmer als reject) none => keine Wirkung, wozu dann der DMARC-Eintrag? Habe ich es richtig interpretiert? -- LG Andre Am 23.12.22 um 19:27 schrieb Florian via Postfixbuch-users: > Hi André, > > Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee. > > Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du es > gemacht hast ;) > > 1. DMARC Record mit policy none erstellen, um Reports zu empfangen und > somit ein Bild darüber zu erlangen, wie die Authentifizierung der > eigenen Domains bereits richtig eingerichtet ist > > 2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt. > > 3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen über > deine Domain korrekt authentifizieren, kannst du die Policy auf reject > stellen, um die Domain abzusichern. Jede Versendung, die nun von extern > probiert, deine Domain im FROM zu versenden (zB Phishing) wird künftig > scheitern, weil externe weder einen gültigen SPF in dein DNS bekommen, > noch einen DKIM key (daher auch das Erfordernis "aligned". Mit fremden > Domains kann man schließlich signieren was man will) > > 4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu > abusen (verhindrn kannst du es nicht, aber du hast einen > Informationsvorteil. Und mit reject Policy wird hoffentlich ein Großteil > des Traffics von den teilnehmenden Mailservern abgelehnt). Und natürlich > auch, um zu beobachten, ob SPF / DKIM bei deinen eigenen Prozessen mal > kaputt geht. > > Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, > desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht > nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit rspamd > läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC reporting > aktivieren und automatisieren: https://rspamd.com/doc/modules/dmarc.html > > Schöne Weihnachten und einen guten Rutsch :) > > > Florian Vierke > mobile: +49 177 8079538 > Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am > 30. April? > > Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users: >> > // v=DMARC1; p=reject; >> > Falls das dein echter Eintrag ist... >> >> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt >> wozu ich das Ganze gemacht hab. >> >> -- >> LG >> Andre >> >> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users: >>> // v=DMARC1; p=reject; >>> >>> PS: >>> >>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, >>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine >>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein >>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und die >>> Mails dann verloren gehen - und du bekommst es nicht einmal mit. >>> >>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch >>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles >>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend >>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise bis >>> zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. Aber wie >>> gesagt, es gibt viele Anbieter :) >>> >>> Viele Grüße, >>> >>> Florian Vierke >>> mobile: +49 177 8079538 >>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am >>> 30. April? >>> >>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users: >>>> Moin, >>>> >>>> > Allerdings ist SPF alles andere als unumstritten... >>>> >>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die >>>> Erfahrung mit den Subdomains zeigt. >>>> >>>> Hab hier noch einen Fall. >>>> >>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist >>>> eingerichtet, nennen wir sie hier example.com. >>>> >>>> Der Kunde versendet vom google Mailserver und hat in seinem >>>> Thunderbird kunde at gmail.com als Benutzername und Absender >>>> mail at example.com eingerichtet. >>>> >>>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass >>>> SPF nachweislich passt. >>>> >>>> Die Mails von dem Kunden werden nicht signiert versendet. >>>> >>>> Hier mein DMARC-Eintrag. >>>> >>>> v=DMARC1; p=reject; >>>> >>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird >>>> diese von google mit folgender Begründung nicht angenommen: >>>> >>>> ------------------------------- >>>> Action: failed >>>> Status: 5.7.26 >>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from >>>> example.com is not accepted due to >>>>  550-5.7.26 domain's DMARC policy. Please contact the administrator of >>>>  550-5.7.26 example.com domain if this was a legitimate mail. Please >>>> visit >>>> ------------------------------- >>>> >>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM >>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem >>>> Fall stimmt ja der SPF. >>>> >>>> Warum wird die Mail trotzdem nicht angenommen? >>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? >>>> >>>> -- >>>> LG >>>> Andre From florian at bodici.de Sat Dec 24 14:02:54 2022 From: florian at bodici.de (Florian Vierke) Date: Sat, 24 Dec 2022 14:02:54 +0100 Subject: Wildcard SPF In-Reply-To: <8d3628c4-fd33-a0ea-d69f-a3f5b6d5203e@myhm.de> References: <6677f8e8-a1ba-9d2b-dd13-a980f7e276f9@myhm.de> <0d4530f5-104b-908b-9178-285840f0a26f@k-ten.de> <4bd65d05-a3d6-19b6-3989-d6f20308fd2a@myhm.de> <6a95999e-b2f7-fa25-174a-bfad6deaedb5@bodici.de> <789c1a20-eef2-5f9f-3af7-764bd53c0e39@myhm.de> <0812c076-953d-d01d-79ae-ece44712e09c@myhm.de> <8d3628c4-fd33-a0ea-d69f-a3f5b6d5203e@myhm.de> Message-ID: <1803fdc6-8f7e-1b95-22e7-cf7ef732c90a@bodici.de> Hi Andre, nicht ganz: der DMARC none Eintrag ist hilfreich, weil er Reports liefert ohne bereits aktiv Traffic zu blocken. Es ist also der "dry-run" für deine Mailserverkonfiguration. Und DKIM geht bei Weiterleitungen normalerweise (im Gegensatz zu SPF) nicht kaputt - daher ist es unter anderem so wichtig, DKIM zu machen! Schöne Weihnachten , Florian Vierke mobile: +49 177 8079538 Motto des Jahres: ... und wo warst du am 12. Februar 2022? ... und wo am 30. April!? Am 23.12.22 um 23:43 schrieb Andre via Postfixbuch-users: > Hallo, > > danke für eure Erklärungen und eure Tipps! > > Schließlich bedeutet das Ganze Folgendes für E-Mail-Weiterleitungen > bei meinem(einem) Mailserver. > > DMARC-Eintrag muss bei allen Domains auf "none" oder ganz weg. > > Denn, hat der Absender DKIM nicht richtig gesetzt UND wertet der > Empfänger den Eintrag aus UND ich setze ich auf > > reject => Mails werden vom Empfänger abgewiesen > quarantine => Mails landen im Spam-Ordner (wohl noch schlimmer als > reject) > none => keine Wirkung, wozu dann der DMARC-Eintrag? > > Habe ich es richtig interpretiert? > > -- > LG > Andre > Am 23.12.22 um 19:27 schrieb Florian via Postfixbuch-users: >> Hi André, >> >> Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee. >> >> Der übliche Weg zur Einrichtung ist allerdings etwas anders, als du >> es gemacht hast ;) >> >> 1. DMARC Record mit policy none erstellen, um Reports zu empfangen >> und somit ein Bild darüber zu erlangen, wie die Authentifizierung der >> eigenen Domains bereits richtig eingerichtet ist >> >> 2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es fehlt. >> >> 3. Sobald du dir sicher bist, dass alle deine eigenen Versendungen >> über deine Domain korrekt authentifizieren, kannst du die Policy auf >> reject stellen, um die Domain abzusichern. Jede Versendung, die nun >> von extern probiert, deine Domain im FROM zu versenden (zB Phishing) >> wird künftig scheitern, weil externe weder einen gültigen SPF in dein >> DNS bekommen, noch einen DKIM key (daher auch das Erfordernis >> "aligned". Mit fremden Domains kann man schließlich signieren was man >> will) >> >> 4. DMARC Reports weiter beobachten, ob jemand probiert die Domain zu >> abusen (verhindrn kannst du es nicht, aber du hast einen >> Informationsvorteil. Und mit reject Policy wird hoffentlich ein >> Großteil des Traffics von den teilnehmenden Mailservern abgelehnt). >> Und natürlich auch, um zu beobachten, ob SPF / DKIM bei deinen >> eigenen Prozessen mal kaputt geht. >> >> Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer mitmachen, >> desto besser. Daher auch der Apell an alle Mailserverbetreiber, nicht >> nur DMARC zu konsumieren, sondern auch Reports zu versenden. Mit >> rspamd läßt sich im Zusammenspiel it dem Postfix recht einfach DMARC >> reporting aktivieren und automatisieren: >> https://rspamd.com/doc/modules/dmarc.html >> >> Schöne Weihnachten und einen guten Rutsch :) >> >> >> Florian Vierke >> mobile: +49 177 8079538 >> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am >> 30. April? >> >> Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users: >>> > // v=DMARC1; p=reject; >>> > Falls das dein echter Eintrag ist... >>> >>> Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich jetzt >>> wozu ich das Ganze gemacht hab. >>> >>> -- >>> LG >>> Andre >>> >>> Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users: >>>> // v=DMARC1; p=reject; >>>> >>>> PS: >>>> >>>> Falls das dein echter Eintrag ist, würde ich stärkstens empfehlen, >>>> dir auch die Reports zusenden zu lassen, insbesondere wenn du eine >>>> reject policy fährst. Sonst kann es Dir passieren, dass irgendein >>>> mailversendendes Tool oder Prozess kein gültiges DMARC macht und >>>> die Mails dann verloren gehen - und du bekommst es nicht einmal mit. >>>> >>>> Es gibt kostenlose oder kostenpflichtige Möglichkeiten, grafisch >>>> aufbearbeitete, wöchentliche Mails zu bekommen (wenn man icht alles >>>> selber aufsetzen will). Das würde ich in jedem Fall IMMER dringend >>>> empfehlen aufzusetzen. Bei DMARCadvisor kannst du beispielsweise >>>> bis zu 2 Domains und 10.000 Mails pro Monat im Free tier testen. >>>> Aber wie gesagt, es gibt viele Anbieter :) >>>> >>>> Viele Grüße, >>>> >>>> Florian Vierke >>>> mobile: +49 177 8079538 >>>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und >>>> am 30. April? >>>> >>>> Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users: >>>>> Moin, >>>>> >>>>> > Allerdings ist SPF alles andere als unumstritten... >>>>> >>>>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die >>>>> Erfahrung mit den Subdomains zeigt. >>>>> >>>>> Hab hier noch einen Fall. >>>>> >>>>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist >>>>> eingerichtet, nennen wir sie hier example.com. >>>>> >>>>> Der Kunde versendet vom google Mailserver und hat in seinem >>>>> Thunderbird kunde at gmail.com als Benutzername und Absender >>>>> mail at example.com eingerichtet. >>>>> >>>>> Im SPF von example.com habe ich google-Mailserver inkludiert, >>>>> sodass SPF nachweislich passt. >>>>> >>>>> Die Mails von dem Kunden werden nicht signiert versendet. >>>>> >>>>> Hier mein DMARC-Eintrag. >>>>> >>>>> v=DMARC1; p=reject; >>>>> >>>>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird >>>>> diese von google mit folgender Begründung nicht angenommen: >>>>> >>>>> ------------------------------- >>>>> Action: failed >>>>> Status: 5.7.26 >>>>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from >>>>> example.com is not accepted due to >>>>>  550-5.7.26 domain's DMARC policy. Please contact the >>>>> administrator of >>>>>  550-5.7.26 example.com domain if this was a legitimate mail. >>>>> Please visit >>>>> ------------------------------- >>>>> >>>>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM >>>>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem >>>>> Fall stimmt ja der SPF. >>>>> >>>>> Warum wird die Mail trotzdem nicht angenommen? >>>>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen? >>>>> >>>>> -- >>>>> LG >>>>> Andre -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From consulting at hennig-consulting.com Thu Dec 29 17:35:25 2022 From: consulting at hennig-consulting.com (Bernd Werner Hennig) Date: Thu, 29 Dec 2022 17:35:25 +0100 Subject: noreply@paketankuendighung.myherrmes.de Message-ID: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> G?Day, Liebe Admins, M E I N MTA lehnt SMTP Verbindungen von Absendern AB die nicht bei der Absende-Domain als User eingetragen sind -wie es bei eurem noreplay at paketankuendigung.myhermes.de der Fall ist. Ihr könnte es euch als sparen E-Mails mit diesem Absender zu senden, ggf. wäre das ja schon mal jemanden bei euch aufgefallen wenn ihr Logfiles LESEN würdet Dec 29 17:27:40 mail postfix/smtpd[1341]: Anonymous TLS connection established from mailtsyip1rz3-1.paketankuendigung.myhermes.de[195.68.198.231]: TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits) Dec 29 17:27:40 mail postfix/smtpd[1341]: NOQUEUE: reject: RCPT from mailtsyip1rz3-1.paketankuendigung.myhermes.de[195.68.198.231]: 450 4.1.7 : Sender address rejected: unverified address: host mailtsyip1rz2.paketankuendigung.myhermes.de[195.68.198.221] said: 554 5.7.1 : Recipient address rejected: An diese Adresse koennen keine Mails gesendet werden, die Mails werden abgelehnt. (in reply to RCPT ; from= to= proto=ESMTP helo= -- Hennig Consulting Head of everything Bernd Werner Hennig Am Schnappen 23 D-49832 Freren Phone: +49 (0)5902 50297-50 Fax: +49 (0)5902 50297-51 Mobile: +49 (0)173 4516667 0700: 0700-BWHENNIG (0,12Cent/Minute aus dem Festnetz der Telekom) E-Mail: consulting at hennig-consulting.com -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 902 bytes Beschreibung: Message signed with OpenPGP URL : From klaus at tachtler.net Thu Dec 29 19:05:53 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 29 Dec 2022 19:05:53 +0100 (GMT+01:00) Subject: noreply@paketankuendighung.myherrmes.de In-Reply-To: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> References: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> Message-ID: Hallo Bernd, nur ein Gedanke von mir dazu. Wenn ich eine E-Mail mit dem Absender noreply at ... versende und ich tatsächlich für diese keine E-Mails annehmen will, auch keine bouncen E-Mails (warum auch immer) dann ist das Verhalten von > paketankuendigung.myhermes.de[noreplay at paketankuendigung.myhermes.de] doch zumindest nachvollziehbar? Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Bernd Werner Hennig via Postfixbuch-users An: Diskussionen und Support rund um Postfix Kopie: Bernd Werner Hennig ; Isabelle Ritter Datum: 29.12.2022 17:35:55 Betreff: noreply at paketankuendighung.myherrmes.de > G?Day, > > > Liebe Admins, M E I N MTA lehnt SMTP Verbindungen von Absendern AB die nicht bei der Absende-Domain als User eingetragen sind -wie es bei eurem > > noreplay at paketankuendigung.myhermes.de > > der Fall ist. > > > Ihr könnte es euch als sparen E-Mails mit diesem Absender zu senden, ggf. wäre das ja schon mal jemanden bei euch aufgefallen wenn ihr Logfiles LESEN würdet > > > > Dec 29 17:27:40 mail postfix/smtpd[1341]: Anonymous TLS connection established from mailtsyip1rz3-1.paketankuendigung.myhermes.de[http://mailtsyip1rz3-1.paketankuendigung.myhermes.de][195.68.198.231]: TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits) > Dec 29 17:27:40 mail postfix/smtpd[1341]: NOQUEUE: reject: RCPT from mailtsyip1rz3-1.paketankuendigung.myhermes.de[http://mailtsyip1rz3-1.paketankuendigung.myhermes.de][195.68.198.231]: 450 4.1.7 : Sender address rejected: unverified address: host mailtsyip1rz2.paketankuendigung.myhermes.de[http://mailtsyip1rz2.paketankuendigung.myhermes.de][195.68.198.221] said: 554 5.7.1 : Recipient address rejected: An diese Adresse koennen keine Mails gesendet werden, die Mails werden abgelehnt. (in reply to RCPT ; from= to= proto=ESMTP helo= > > > > --  > Hennig Consulting > Head of everything > Bernd Werner Hennig > Am Schnappen 23    > D-49832 Freren > > Phone: +49 (0)5902 50297-50  > Fax: +49 (0)5902 50297-51 > Mobile: +49 (0)173 4516667 > 0700: 0700-BWHENNIG (0,12Cent/Minute aus dem Festnetz der Telekom) > E-Mail: consulting at hennig-consulting.com > > > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From rainer at wiesi.info Thu Dec 29 20:35:37 2022 From: rainer at wiesi.info (R. Wiesenfarth) Date: Thu, 29 Dec 2022 20:35:37 +0100 Subject: =?UTF-8?Q?Refresh_/_Reload_im_F=c3=bcnf-Minuten-Takt?= Message-ID: <3de8a45c-343a-2ec4-ddd0-da2248ba0128@wiesi.info> Hallo, kein wirkliches Problem, aber vielleicht weiß jemand von Euch gleich, woran das liegt: Ich bekomme im mail.log alle fünf Minuten Einträge der Art: ... postfix/postfix-script[5270]: refreshing the Postfix mail system ... postfix/master[4803]: reload -- version 3.6.4, configuration /etc/postfix ... postfix/postfix-script[5294]: refreshing the Postfix mail system ... postfix/master[4803]: reload -- version 3.6.4, configuration /etc/postfix ... postfix/postfix-script[5313]: refreshing the Postfix mail system ... postfix/master[4803]: reload -- version 3.6.4, configuration /etc/postfix Vom Timing könnte das zum wakeup-Intervall des qmgr ("300") passen. Werde ich diese Einträge irgendwie los? Der Informationsgehalt ist ja nicht sooo groß... Viele Grüße Rainer -- # Rainer Wiesenfarth From driessen at fblan.de Sat Dec 31 00:34:49 2022 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Sat, 31 Dec 2022 00:34:49 +0100 Subject: =?iso-8859-1?Q?den_=22gro=DFen=22_betreibern_automatisch_ihre_Spammail_me?= =?iso-8859-1?Q?lden_?= Message-ID: <009401d91ca7$4fadd9d0$ef098d70$@fblan.de> Moin zusammen Kennt wer eine Möglichkeit den GROßEN ihr spammail so wieder zurückzusenden das diese mal ihre Filter für ausgehenden Spam überprüfen Auf meinem minipups server sind auf einer einzigen spamtrabmail in der Zwischenzeit so die letzten 4 Wochen 880 gmail 149 outlook 65 hotmail Adressen die praktisch alle für den selben Anbieter eindeutiger Webseiten in Zypern Werbung machen Alles einzeln geprüft, automatisiert ausgewertet und für zukünftigen Versand nicht mehr zugelassen. Aber es kommen tgl. NEUE Mailadressen dazu. Das ist irgendwie unbefriedigend wenn es nicht weniger wird und die Betreiber einfach neue Serverfarmen in Betrieb nehmen statt zu schauen das ihre Dienste nicht missbraucht werden. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From driessen at fblan.de Sat Dec 31 08:34:46 2022 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Sat, 31 Dec 2022 08:34:46 +0100 Subject: AW: noreply@paketankuendighung.myherrmes.de In-Reply-To: References: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> Message-ID: <00a801d91cea$5c3da890$14b8f9b0$@fblan.de> Im Auftrag von Klaus Tachtler via Postfixbuch- > users > Betreff: Re: noreply at paketankuendighung.myherrmes.de > > Hallo Bernd, > > nur ein Gedanke von mir dazu. Wenn ich eine E-Mail mit dem Absender > noreply at ... versende und ich tatsächlich für diese keine E-Mails annehmen > will, auch keine bouncen E-Mails (warum auch immer) dann ist das Verhalten > von > > > paketankuendigung.myhermes.de[noreplay at paketankuendigung.myherme > s.de] > doch zumindest nachvollziehbar? Nachvollziehbar schon Aber nun hast du auf die schnelle was an denjenigen zurückzuschreiben Und dann findest du KEINE antwortmailadresse sondern nur den hinweis Wenn sie uns darauf antworten wollen dann benutzen sie unser Kontaktformular unsrer Webseite.... (mal abgesehen davon das ich sowas unterirdisch finde) Dann wird aus einem was auch immer gleich ein stundenaufwand den man mit antwortmailadresse in 10 Sekunden erledigt hat .... Besonders schön finde ich das wenn große Firmen den Versand von Rechnungen über noreply erledigen, nicht überwachen ob die Mails auch zugestellt wurden ..... da kommste dir dann wie asterix in der römischen Verwaltung vor weil dafür ist keiner zuständig :-(( da nicht Maschinen miteinander kommunizieren sondern Menschen ist die Frage durchaus legitim wer muss sich denn hier nach wem richten? Ich hab mal gelernt der Versender ist für die Einhaltung der Regeln des Empfängers zuständig. Der Versender muss den Zugang nachweisen ... Diese noreply ist irgendwie ausgeartet und wird in der Zwischenzeit für vieles verwendet wo unter Umständen noch Kommunikation stattfindet (und sei es nur ein unberechtigte Rechnung zu reklamieren) > > > Grüße > Klaus. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From klaus at tachtler.net Sat Dec 31 08:55:08 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Sat, 31 Dec 2022 08:55:08 +0100 (GMT+01:00) Subject: noreply@paketankuendighung.myherrmes.de In-Reply-To: <00a801d91cea$5c3da890$14b8f9b0$@fblan.de> References: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> <00a801d91cea$5c3da890$14b8f9b0$@fblan.de> Message-ID: <566d1d5d-4e06-4136-95a1-cf08ee67546b@tachtler.net> Hallo Uwe, ich gebe Dir vollkommen Recht, wenn es darum geht auch noreply at ... Adressen zu monitoren und ich würde auch bounce gerne sehen, als Betreiber. Aber so ist es eben, das nicht nur "Werbung" , sondern auch "Rechnung" usw. mit dem Absender versendet werden. Ich denke nur, das es nichts bringt, Hermes über diese Liste hier zum umdenken bringen zu wollen und das es Hermes vollkommen egal ist, ob die E-Mail mit den Zustellbenachrichtigungen ankommen oder nicht, sonst würden sie es ja anders machen. Ich denke es geht hier nur um "fire and forget", was diese Art von E-Mails betrifft und das kann ich aus wirtschaftlicher Sicht in diesem Bezug und in gewisser Weise sogar nachvollziehen. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Uwe Drießen An: 'Diskussionen und Support rund um Postfix' Datum: 31.12.2022 08:35:32 Betreff: AW: noreply at paketankuendighung.myherrmes.de > Im Auftrag von Klaus Tachtler via Postfixbuch- >> users >> Betreff: Re: noreply at paketankuendighung.myherrmes.de >> >> Hallo Bernd, >> >> nur ein Gedanke von mir dazu. Wenn ich eine E-Mail mit dem Absender >> noreply at ... versende und ich tatsächlich für diese keine E-Mails annehmen >> will, auch keine bouncen E-Mails (warum auch immer) dann ist das Verhalten >> von >>> >> paketankuendigung.myhermes.de[noreplay at paketankuendigung.myherme >> s.de] >> doch zumindest nachvollziehbar? > > Nachvollziehbar schon > Aber nun hast du auf die schnelle was an denjenigen zurückzuschreiben > > Und dann findest du KEINE antwortmailadresse sondern nur den hinweis > > Wenn sie uns darauf antworten wollen dann benutzen sie unser Kontaktformular unsrer Webseite.... (mal abgesehen davon das ich sowas unterirdisch finde) > > Dann wird aus einem was auch immer gleich ein stundenaufwand den man mit antwortmailadresse in 10 Sekunden erledigt hat .... > > Besonders schön finde ich das wenn große Firmen den Versand von Rechnungen über noreply erledigen, > nicht überwachen ob die Mails auch zugestellt wurden ..... > da kommste dir dann wie asterix in der römischen Verwaltung vor weil dafür ist keiner zuständig :-(( > > da nicht  Maschinen miteinander kommunizieren sondern Menschen ist die Frage durchaus legitim wer muss sich denn hier nach wem richten?  > > Ich hab mal gelernt der Versender ist für die Einhaltung der Regeln des Empfängers zuständig. > Der Versender muss den Zugang nachweisen ... > > Diese noreply ist irgendwie ausgeartet und wird in der Zwischenzeit für vieles verwendet wo unter Umständen noch Kommunikation stattfindet > (und sei es nur ein unberechtigte Rechnung zu reklamieren) > >> >> >> Grüße >> Klaus. > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > Mobil 01726688122 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " > "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." > "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." > " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net ---------------------------------------