From postfix_ml at rirasoft.de Mon Feb 7 15:52:09 2022 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Mon, 7 Feb 2022 15:52:09 +0100 Subject: =?UTF-8?Q?Liste_der_erlaubten_Rechner_die_Mails_verschicken_d=c3=bc?= =?UTF-8?Q?rfen?= Message-ID: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> Hallo zusammen, ich will meinen Mailserver etwas absichern. Dazu habe ich eine Liste: /etc/postfix/relay_hosts mit dem Inhalt rechner1.domain.de rechner2.domain.de Und in der main.cf mynetworks = 127.0.0.0/8, /etc/postfix/relay_hosts rechner1.domain.de und rechner2.domain.de können Mails verschicken, soweit gut. Aber auch Mails von Rechner100.domain.de kommen durch. Frage: wie kann ich das verhindern? Gruß Andreas From klaus at tachtler.net Mon Feb 7 16:08:31 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 07 Feb 2022 16:08:31 +0100 Subject: Liste der erlaubten Rechner die Mails verschicken =?utf-8?b?ZMO8cmZlbg==?= In-Reply-To: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> Message-ID: <20220207160831.Horde.QrrsHoZPDtjK_yyWalFCWeD@buero.tachtler.net> Hallo Andreas, schau doch mal hier: http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions http://www.postfix.org/SMTPD_ACCESS_README.html Grüße Klaus. ----- Nachricht von Andreas Reschke --------- Datum: Mon, 7 Feb 2022 15:52:09 +0100 Von: Andreas Reschke Antwort an: Diskussionen und Support rund um Postfix Betreff: Liste der erlaubten Rechner die Mails verschicken dürfen An: postfixbuch-users at listen.jpberlin.de > Hallo zusammen, > > ich will meinen Mailserver etwas absichern. Dazu habe ich eine Liste: > > /etc/postfix/relay_hosts mit dem Inhalt > > rechner1.domain.de > > rechner2.domain.de > > Und in der main.cf > > mynetworks = 127.0.0.0/8, /etc/postfix/relay_hosts > > > rechner1.domain.de und rechner2.domain.de können Mails verschicken, > soweit gut. Aber auch Mails von Rechner100.domain.de kommen durch. > > > Frage: wie kann ich das verhindern? > > > Gruß > > Andreas ----- Ende der Nachricht von Andreas Reschke ----- -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From list+postfixbuch at gcore.biz Mon Feb 7 16:13:02 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Mon, 7 Feb 2022 16:13:02 +0100 Subject: =?utf-8?Q?Re=3A_Liste_der_erlaubten_Rechner_die_Mails_verschicken?= =?utf-8?Q?_d=C3=BCrfen?= In-Reply-To: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> References: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> Message-ID: Hallo Andreas, > ich will meinen Mailserver etwas absichern. Dazu habe ich eine Liste: > > /etc/postfix/relay_hosts mit dem Inhalt > > rechner1.domain.de > > rechner2.domain.de > > Und in der main.cf > > mynetworks = 127.0.0.0/8, /etc/postfix/relay_hosts > > > rechner1.domain.de und rechner2.domain.de können Mails verschicken, soweit gut. Aber auch Mails von Rechner100.domain.de kommen durch. > > > Frage: wie kann ich das verhindern? ich würde das aus mynetworks rausnehmen, stattdessen: smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, check_client_access cidr:/etc/postfix/client_relay.cidr, ... reject_unauth_destination /etc/postfix/client_relay.cidr # Rule order matters. Put more specific whitelist entries # before more general blacklist entries. 192.168.1.1 OK 192.168.0.0/16 REJECT 2001:db8::1 OK 2001:db8::/32 REJECT man cidr_table Viele Grüße Gerald From postfix_ml at rirasoft.de Tue Feb 8 10:36:24 2022 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Tue, 8 Feb 2022 10:36:24 +0100 Subject: =?UTF-8?Q?Re=3a_Liste_der_erlaubten_Rechner_die_Mails_verschicken_d?= =?UTF-8?B?w7xyZmVu?= In-Reply-To: References: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> Message-ID: Am 07.02.22 um 16:13 schrieb Gerald Galster: > Hallo Andreas, > >> ich will meinen Mailserver etwas absichern. Dazu habe ich eine Liste: >> >> /etc/postfix/relay_hosts mit dem Inhalt >> >> rechner1.domain.de >> >> rechner2.domain.de >> >> Und in der main.cf >> >> mynetworks = 127.0.0.0/8, /etc/postfix/relay_hosts >> >> >> rechner1.domain.de und rechner2.domain.de können Mails verschicken, soweit gut. Aber auch Mails von Rechner100.domain.de kommen durch. >> >> >> Frage: wie kann ich das verhindern? > ich würde das aus mynetworks rausnehmen, stattdessen: > > smtpd_relay_restrictions = permit_mynetworks, > permit_sasl_authenticated, > check_client_access cidr:/etc/postfix/client_relay.cidr, > ... > reject_unauth_destination > > > /etc/postfix/client_relay.cidr > # Rule order matters. Put more specific whitelist entries > # before more general blacklist entries. > 192.168.1.1 OK > 192.168.0.0/16 REJECT > 2001:db8::1 OK > 2001:db8::/32 REJECT > > man cidr_table > > Viele Grüße > Gerald Hallo Gerald, dieser Vorschlag ist soweit nicht schlecht. Hintergrund der ganzen Geschichte: ich betreibe einen Mailhub, auf dem wird täglich eine Liste mit Rechnernamen (derzeit ca. 600) generiert, die Mails verschicken dürfen. Alle Rechner, die nicht auf dieser Liste sind, müssen blockiert werden.werden. Mal sehen, wie ich das mit dem OK hinbekomme. Grüße Andreas From fk+postfix at celebrate.de Tue Feb 8 11:56:41 2022 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Tue, 8 Feb 2022 11:56:41 +0100 Subject: =?UTF-8?Q?Re=3a_Liste_der_erlaubten_Rechner_die_Mails_verschicken_d?= =?UTF-8?B?w7xyZmVu?= In-Reply-To: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> References: <5f730487-dad7-9ebe-5bec-f09a64b6c83d@rirasoft.de> Message-ID: Am 07.02.2022 um 15:52 schrieb Andreas Reschke: > Hallo zusammen, > > ich will meinen Mailserver etwas absichern. Dazu habe ich eine Liste: > > /etc/postfix/relay_hosts mit dem Inhalt > > rechner1.domain.de > > rechner2.domain.de > > Und in der main.cf > > mynetworks = 127.0.0.0/8, /etc/postfix/relay_hosts > > > rechner1.domain.de und rechner2.domain.de können Mails verschicken, > soweit gut. Aber auch Mails von Rechner100.domain.de kommen durch. > > > Frage: wie kann ich das verhindern? > Wenn es nur ein Mailhub ist, der quasi nur weiterleitet, wäre dann "smtpd_recipient_restrictions" eine Option? Darin dann ein "check_helo_access pcre*"* auf eine Textdatei, wo Du eine Antwort / Rückgabewert individuell formulieren kannst: /^test.com\.de$/    550 Don't use my own domain /^23\.63\.141\.160$/               550 No, not this IP! -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Thu Feb 10 12:18:08 2022 From: ffiene at veka.com (Frank Fiene) Date: Thu, 10 Feb 2022 12:18:08 +0100 Subject: RSPAMD Multimap mit 3rd Level Domain Message-ID: Moin, Ich habe folgendes Problem: Ich lasse keine verschlüsselten Mails durch unser Mailgateway und definiere eine Whitelist für Absender, die das unbedingt benötigen. In der Whitelist habe ich die Domains eingetragen. Jetzt verschickt Covimedical die Ergebnisse ihrer Covid-19 Tests verschlüsselt (kann ich verstehen) mit den Absendern ergebnis at covimedical.de;bounces at em7898.covimedical.de. Ja, zwei Adressen. Nach Murphy?s Law nimmt rspamd wohl auch die zweite Adresse. Keine Ahnung, was sich der Laden dabei gedacht hat, dort eine generische Domain reinzuschreiben. Ich habe keine Lust, 9999 Domains freizuschalten, gibt es da einen Mechanismus, in dem ich alle 3rd-Level-Domains erlauben kann? Die Multimap sieht so aus: sender_av_whitelist_domain { type = "from"; filter = "email:domain"; map = "file:///etc/rspamd/local.d/av_whitelist.map.inc"; symbol = "SENDER_AV_WHITELIST_DOMAIN"; } Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From consulting at hennig-consulting.com Thu Feb 10 12:34:40 2022 From: consulting at hennig-consulting.com (Bernd Werner Hennig) Date: Thu, 10 Feb 2022 12:34:40 +0100 Subject: Spamassassin Warnung In-Reply-To: References: Message-ID: G?Day, ich komme bei der Meldung nicht weiter: info: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_pyzor2 1 Ich habe schon mal den Output mit debug-Option angeschaut, ?finde? aber nichts (ggf. überlesen) ? Hintergrund: Ich wollte in der local.cf bestimmte Eintrag im Betreff gleich mal ausfiltern: header HB Subject =~ /(.*[aA]bnehmen.*|.*[gG]eldsystem.*)/ score HB 10.0 header HB1 Subject =~ /(.*[eE]ntgiftung.*|.*[gG]eldsystem.*)/ score HB1 10.0 Danke für eure Hilfe?.. (Und sorry wenn ich mit Anfängerfragen nerve) -- Bernd W. Hennig Am Schnappen 23 D-49832 Freren Phone: +49 (0)5902 502561 Fax: +49 (0)5902 502562 E-Mail: bernd.hennig at hennig.de http://www.hennig.de/bernd.html DL4LAD | D.O.N.A.L.D.-Member | GUUG-Member | USENIX-Member | bee master GnuPGP-Key: http://www.segelflug.de/pgp.txt -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : QR-Code Bernd W Hennig.jpg Dateityp : image/jpeg Dateigröße : 111301 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : familie-zebra.jpg Dateityp : image/jpeg Dateigröße : 10392 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 861 bytes Beschreibung: Message signed with OpenPGP URL : From helge.wiethoff at thga.de Thu Feb 10 12:40:26 2022 From: helge.wiethoff at thga.de (Wiethoff, Helge) Date: Thu, 10 Feb 2022 11:40:26 +0000 Subject: RSPAMD Multimap mit 3rd Level Domain In-Reply-To: References: Message-ID: <88b491e2606e22d90ec248aa0d719134c3ebb0ac.camel@thga.de> Hallo Frank, kannst du nicht einfach "regexp = true;" in deine Multimap einfügen? Falls du schon viele Einträge dort drin hast, mach einfach eine zweite Multimap: local_bl_from_regexp { score = 11; symbol = "LOCAL_BL_FROM_REGEXP"; type = "header"; header = "from"; regexp = true; description = "Local from blacklist regexp"; map = "$LOCAL_CONFDIR/local.d/local_bl_from_regexp.map.inc"; } Viele Grüße Helge Am Donnerstag, dem 10.02.2022 um 12:18 +0100 schrieb Frank Fiene: > > Die Multimap sieht so aus: > > sender_av_whitelist_domain { > type = "from"; > filter = "email:domain"; > map = "file:///etc/rspamd/local.d/av_whitelist.map.inc"; > symbol = "SENDER_AV_WHITELIST_DOMAIN"; > } From wn at neessen.net Thu Feb 10 12:41:35 2022 From: wn at neessen.net (Winfried Neessen) Date: Thu, 10 Feb 2022 12:41:35 +0100 Subject: Spamassassin Warnung In-Reply-To: References: Message-ID: <3bcfea48f7eb2af279811d3fe1e030a5@neessen.net> Hi, Am 2022-02-10 12:34, schrieb Bernd Werner Hennig: > ich komme bei der Meldung nicht weiter: > > info: config: failed to parse line, skipping, in > "/etc/spamassassin/local.cf": use_pyzor2 1 > Meines Wissens nach lautet der Parameter: "use_pyzor" nicht "use_pyzor2". Nimm mal die 2 raus und versuchs nochmal. Winni -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : QR-Code Bernd W Hennig.jpg Dateityp : image/jpeg Dateigröße : 111301 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : familie-zebra.jpg Dateityp : image/jpeg Dateigröße : 10392 bytes Beschreibung: nicht verfügbar URL : From consulting at hennig-consulting.com Fri Feb 11 09:21:10 2022 From: consulting at hennig-consulting.com (Bernd Werner Hennig) Date: Fri, 11 Feb 2022 09:21:10 +0100 Subject: spamassasin local.cf Headerfilterung In-Reply-To: <3bcfea48f7eb2af279811d3fe1e030a5@neessen.net> References: <3bcfea48f7eb2af279811d3fe1e030a5@neessen.net> Message-ID: <9711ED9B-862F-478C-B5DC-189BF5475D54@hennig-consulting.com> G?Day, a.) Danke, das war die Warning b.) Ist denn die Idee der Filterung von Subject-Zeilen in der local.cf so machbar wie ich das gepostet hatte ? header HB Subject =~ /(.*[aA]bnehmen.*|.*[gG]eldsystem.*)/ score HB 10.0 header HB1 Subject =~ /(.*[eE]ntgiftung.*|.*[gG]eldsystem.*)/ score HB1 10.0 ?? > Am 10.02.2022 um 12:41 schrieb Winfried Neessen : > > Hi, > > Am 2022-02-10 12:34, schrieb Bernd Werner Hennig: > >> ich komme bei der Meldung nicht weiter: >> info: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_pyzor2 1 > > Meines Wissens nach lautet der Parameter: "use_pyzor" nicht "use_pyzor2". Nimm mal die 2 raus und > versuchs nochmal. > > > Winni -- Bernd W. Hennig Am Schnappen 23 D-49832 Freren Phone: +49 (0)5902 502561 Fax: +49 (0)5902 502562 E-Mail: bernd.hennig at hennig.de http://www.hennig.de/bernd.html DL4LAD | D.O.N.A.L.D.-Member | GUUG-Member | USENIX-Member | bee master GnuPGP-Key: http://www.segelflug.de/pgp.txt -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : QR-Code Bernd W Hennig.jpg Dateityp : image/jpeg Dateigröße : 111301 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : familie-zebra.jpg Dateityp : image/jpeg Dateigröße : 10392 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 861 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Fri Feb 11 09:23:42 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 11 Feb 2022 09:23:42 +0100 Subject: [ext] spamassasin local.cf Headerfilterung In-Reply-To: <9711ED9B-862F-478C-B5DC-189BF5475D54@hennig-consulting.com> References: <3bcfea48f7eb2af279811d3fe1e030a5@neessen.net> <9711ED9B-862F-478C-B5DC-189BF5475D54@hennig-consulting.com> Message-ID: * Bernd Werner Hennig : > G?Day, > > > a.) Danke, das war die Warning > b.) Ist denn die Idee der Filterung von Subject-Zeilen in der local.cf so machbar wie ich das gepostet hatte ? > > > header HB Subject =~ /(.*[aA]bnehmen.*|.*[gG]eldsystem.*)/ > score HB 10.0 > header HB1 Subject =~ /(.*[eE]ntgiftung.*|.*[gG]eldsystem.*)/ > score HB1 10.0 Oder kürzer: header HB Subject =~ /([aA]bnehmen|[gG]eldsystem|[eE]ntgiftung)/ score HB 10.0 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Fri Feb 11 23:48:48 2022 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 11 Feb 2022 23:48:48 +0100 Subject: Subject utf8 Base 64 codiert Message-ID: <00ea01d81f99$88a8c990$99fa5cb0$@fblan.de> Moin zusammen Immer wieder kommen mails mit Subject: =?utf-8?B?U3Bhcmthc3NlOiBJaHIgWnVncmlmZiB3dXJkZSBlaW5nZXNjaHLDpG5rdA==?= Durch Klartext "Sparkasse: Ihr Zugriff wurde eingeschränkt" Wo sperre ich denn so einen mist weil Headerchecks auf Base64 .... ?? Ich hab schon in Amavis geschaut aber irgendwie finde ich nicht die richtige Stelle :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From list+postfixbuch at gcore.biz Sat Feb 12 00:36:57 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Sat, 12 Feb 2022 00:36:57 +0100 Subject: Subject utf8 Base 64 codiert In-Reply-To: <00ea01d81f99$88a8c990$99fa5cb0$@fblan.de> References: <00ea01d81f99$88a8c990$99fa5cb0$@fblan.de> Message-ID: Moin Uwe, > Immer wieder kommen mails mit > > Subject: > =?utf-8?B?U3Bhcmthc3NlOiBJaHIgWnVncmlmZiB3dXJkZSBlaW5nZXNjaHLDpG5rdA==?= > > Durch > Klartext "Sparkasse: Ihr Zugriff wurde eingeschränkt" > > Wo sperre ich denn so einen mist weil Headerchecks auf Base64 .... ?? > > Ich hab schon in Amavis geschaut aber irgendwie finde ich nicht die richtige > Stelle :-) Header werden scheinbar vor dem Check automatisch dekodiert: https://users.spamassassin.apache.narkive.com/K6oRuBZe/operations-on-headers-in-utf-8 z.B. in der /etc/mail/spamassassin/local.cf header CHECK123 Subject =~ /sparkasse/i score CHECK123 3 Danach amavis neu starten. Viele Grüße Gerald From postfix at linuxmaker.de Wed Feb 16 10:26:55 2022 From: postfix at linuxmaker.de (Andreas) Date: Wed, 16 Feb 2022 10:26:55 +0100 Subject: Centos =?UTF-8?B?4oCccm9vdEAvZXRjL21haWxuYW1l4oCd?= als Absender Message-ID: <21669027.qVadCq0YkT@stuttgart> Hallo zusammen, ich habe hier eine auf Debian funktionierende main.cf, die ich auf CentOS 7 (FreePBX) übertragen habe: alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no canonical_maps = hash:/etc/postfix/canonical config_directory = /etc/postfix inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 mydestination = pbx.postfixserver.tld, localhost.postfixserver.tld, localhost myhostname = pbx.postfixserver.tld mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = [mx.example.tld]:587 smtp_sasl_auth_enable = yes smtp_sasl_mechanism_filter = plain smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth smtp_sasl_security_options = noanonymous smtp_sasl_tls_security_options = noanonymous smtp_tls_security_level = may smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps postconf: warning: /etc/postfix/main.cf: unused parameter: compatibility_level=2 Auf dem bisherigen FreePBX-Server (Debian) funktioniert der Mail Versand zum Relayhost. Ich habe lediglich ?mydestination?, ?myhostname? und die ?/etc/ mailname? mit dem richtigen Hostnamen angepasst. caconical: FaxMaster at pbx.postfixserver.tld fax at example.tld root at pbx.postfixserver.tld root-asterisk at example.tld asterisk at pbx.postfixserver.tld asterisk at example.tld Wenn ich jetzt eine Testmail senden will, sehe ich das hier im LogFile: Feb 16 08:53:15 pbx postfix/pickup[10471]: 0936C41D41BE: uid=0 from= Feb 16 08:53:15 pbx postfix/cleanup[10536]: 0936C41D41BE: message- id=<20220216085315.0936C41D41BE at pbx.postfixserver.tld> Feb 16 08:53:15 pbx postfix/qmgr[10472]: 0936C41D41BE: from=, size=454, nrcpt=1 (queue active) Feb 16 08:53:18 pbx postfix/smtp[10538]: 0936C41D41BE: to=, relay=mx.example.tld[2a01:4f8:120:4268::24]:587, delay=3.6, delays=0.08/0.04/3.5/0.01, dsn=5.1.7, status=bounced (host mx.example.tld[2a01:4f8:120:4268::24] said: 501 5.1.7 Bad sender address syntax (in reply to MAIL FROM command)) Wie zu sehen ist, trägt Postfix (Centos) als Absender "" anstatt root-asterisk at example.tld. Was mache ich bei Centos falsch? Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Christian.Schmidt at chemie.uni-hamburg.de Wed Feb 16 10:57:11 2022 From: Christian.Schmidt at chemie.uni-hamburg.de (Christian Schmidt) Date: Wed, 16 Feb 2022 10:57:11 +0100 Subject: =?UTF-8?B?UmU6IENlbnRvcyDigJxyb290QC9ldGMvbWFpbG5hbWXigJ0gYWxzIEFi?= =?UTF-8?Q?sender?= In-Reply-To: <21669027.qVadCq0YkT@stuttgart> References: <21669027.qVadCq0YkT@stuttgart> Message-ID: <70e84f4e-0d05-0e57-73e8-8d35c8d119dd@chemie.uni-hamburg.de> Moin, Andreas, 16.02.22: > Wie zu sehen ist, trägt Postfix (Centos) als Absender "" > anstattroot-asterisk at example.tld. > > Was mache ich bei Centos falsch? Ich würde den Eintrag /etc/mailname durch den *Inhalt* dieser Datei ersetzen. Mit freundlichen Grüßen / Kind Regards Christian Schmidt -- Signature not available. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5444 bytes Beschreibung: S/MIME Cryptographic Signature URL : From christian at bricart.de Wed Feb 16 11:12:02 2022 From: christian at bricart.de (Christian Bricart) Date: Wed, 16 Feb 2022 11:12:02 +0100 Subject: =?UTF-8?B?UmU6IENlbnRvcyDigJxyb290QC9ldGMvbWFpbG5hbWXigJ0gYWxzIEFi?= =?UTF-8?Q?sender?= In-Reply-To: <21669027.qVadCq0YkT@stuttgart> References: <21669027.qVadCq0YkT@stuttgart> Message-ID: <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> Am 16.02.22 um 10:26 schrieb Andreas: > Hallo zusammen, > > > ich habe hier eine auf Debian funktionierende main.cf, die ich auf > CentOS 7 (FreePBX) übertragen habe: > [..] > myorigin = /etc/mailname > [..] > Auf dem bisherigen FreePBX-Server (Debian) funktioniert der Mail Versand > zum Relayhost. Ich habe lediglich ?mydestination?, ?myhostname? und die > ?/etc/mailname? mit dem richtigen Hostnamen angepasst. > [..] > Wie zu sehen ist, trägt Postfix (Centos) als Absender > /""/  anstatt > /root-asterisk at example.tld./ > > > Was mache ich bei Centos falsch? myorigin Auflösung aus dem Inhalt von /etc/mailname ist Debian(-Package) spezifisch nach deren Policy[1], und funktioniert daher nur mit und auf Debian (und Derivaten) [1] https://wiki.debian.org/EtcMailName Christian From postfix at linuxmaker.de Wed Feb 16 11:30:56 2022 From: postfix at linuxmaker.de (Andreas) Date: Wed, 16 Feb 2022 11:30:56 +0100 Subject: Centos =?UTF-8?B?4oCccm9vdEAvZXRjL21haWxuYW1l4oCd?= als Absender In-Reply-To: <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> References: <21669027.qVadCq0YkT@stuttgart> <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> Message-ID: <14462255.uKU9J8caUe@stuttgart> Am Mittwoch, 16. Februar 2022, 11:12:02 CET schrieb Christian Bricart: > > myorigin Auflösung aus dem Inhalt von /etc/mailname ist Debian(-Package) > spezifisch nach deren Policy[1], und funktioniert daher nur mit und auf > Debian (und Derivaten) > > [1] https://wiki.debian.org/EtcMailName > > Christian Danke, für Deinen Hinweis. Das vermutete ich bereits. Was wäre dann in Kürze die Vorgehensweise bei Centos? Besten Gruß Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From fk+postfix at celebrate.de Wed Feb 16 13:06:35 2022 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Wed, 16 Feb 2022 13:06:35 +0100 Subject: =?UTF-8?B?UmU6IENlbnRvcyDigJxyb290QC9ldGMvbWFpbG5hbWXigJ0gYWxzIEFi?= =?UTF-8?Q?sender?= In-Reply-To: <14462255.uKU9J8caUe@stuttgart> References: <21669027.qVadCq0YkT@stuttgart> <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> <14462255.uKU9J8caUe@stuttgart> Message-ID: <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> mydomain = bricart.de myorigin = $mydomain Viele Grüße, Frank Am 16.02.2022 um 11:30 schrieb Andreas: > > Am Mittwoch, 16. Februar 2022, 11:12:02 CET schrieb Christian Bricart: > > > > > > myorigin Auflösung aus dem Inhalt von /etc/mailname ist Debian(-Package) > > > spezifisch nach deren Policy[1], und funktioniert daher nur mit und auf > > > Debian (und Derivaten) > > > > > > [1] https://wiki.debian.org/EtcMailName > > > > > > Christian > > > Danke, für Deinen Hinweis. Das vermutete ich bereits. Was wäre dann in > Kürze die Vorgehensweise bei Centos? > > > Besten Gruß > > > Andreas > > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From christian at bricart.de Wed Feb 16 14:03:28 2022 From: christian at bricart.de (Christian Bricart) Date: Wed, 16 Feb 2022 14:03:28 +0100 Subject: =?UTF-8?B?UmU6IENlbnRvcyDigJxyb290QC9ldGMvbWFpbG5hbWXigJ0gYWxzIEFi?= =?UTF-8?Q?sender?= In-Reply-To: <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> References: <21669027.qVadCq0YkT@stuttgart> <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> <14462255.uKU9J8caUe@stuttgart> <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> Message-ID: <79d0d54b-76ab-776f-c7fa-377c5d402349@bricart.de> Am 16.02.22 um 13:06 schrieb fk+postfix at celebrate.de: > mydomain = bricart.de > myorigin = $mydomain .. ich glaube, dann bin ich jemandem böse .. ;-) Christian From postfix at linuxmaker.de Wed Feb 16 15:47:50 2022 From: postfix at linuxmaker.de (Andreas) Date: Wed, 16 Feb 2022 15:47:50 +0100 Subject: Centos =?UTF-8?B?4oCccm9vdEAvZXRjL21haWxuYW1l4oCd?= als Absender In-Reply-To: <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> References: <21669027.qVadCq0YkT@stuttgart> <14462255.uKU9J8caUe@stuttgart> <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> Message-ID: <3287505.TQ8QYlz7vx@stuttgart> Am Mittwoch, 16. Februar 2022, 13:06:35 CET schrieb fk+postfix at celebrate.de: > mydomain = bricart.de > myorigin = $mydomain > > Viele Grüße, > Frank > Oh, vielen Dank. Das hatte ich ganz übersehen. Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From florian at bodici.de Thu Feb 17 10:23:57 2022 From: florian at bodici.de (Florian) Date: Thu, 17 Feb 2022 10:23:57 +0100 Subject: Postfixbuch-Users Mailingliste macht DKIM-Signatur kaputt (Reply-To) In-Reply-To: <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> References: <21669027.qVadCq0YkT@stuttgart> <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> <14462255.uKU9J8caUe@stuttgart> <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> Message-ID: Hallo zusammen, hat zufällig jemand Kontakt zum Listenbetreiber? Auf die angegebene Adresse habe ich keine Antwort bekommen. Mein Anliegen ist das folgende: Die Postfixbuch-Users Mailingliste macht meine DKIM Signatur (und auch die anderer Listenteilnehmer) kaputt - dadurch schlägt der DMARC check fehl und Mails werden bei reject-policy verworfen, bzw. bei quarantine-policy in den Junk-Ordner gelegt. Das konnte ich sowohl bei eigenen Mails verfolgen, als auch denen anderer Listenteilnehmer (je nach eingestellter Policy). Vermutlich liegt es daran, dass die Mailingliste einen Reply-To Header einfügt oder ändert. Man könnte das Feld natürlich aus der DKIM-Signatur herausnehmen, jedoch ist die Reply-To Headerzeile gemäß rspamd Standardkonfiguration strictly oversigned. Das macht auch durchaus so Sinn. Meiner Meinung nach sollte hier eher die Mailingliste angepasst werden, indem entweder ein eigener FROM verwendet wird, oder zumindest der  Reply-To header nicht verändert wird. Bei meinem eigenen rspamd den DMARC - Check zu deaktivieren, nur weil die Liste meiner Meinung nach technisch nicht sauber arbeitet, fänd ich irgendwie keine so elegante Lösung. Andere Meinungen? Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: Kopf hoch, bald ist wieder Sommer! From juri at koschikode.com Thu Feb 17 10:46:44 2022 From: juri at koschikode.com (Juri Haberland) Date: Thu, 17 Feb 2022 10:46:44 +0100 Subject: Postfixbuch-Users Mailingliste macht DKIM-Signatur kaputt (Reply-To) In-Reply-To: References: <21669027.qVadCq0YkT@stuttgart> <863c31ac-7321-7acd-7d7d-0dd885ceb8ff@bricart.de> <14462255.uKU9J8caUe@stuttgart> <1963593f-d943-9cf2-70f0-38e4ee6fa958@celebrate.de> Message-ID: <046195e9-1ee9-5b6f-1aca-26097e350c21@koschikode.com> On 17.02.22 10:23, Florian wrote: > Mein Anliegen ist das folgende: Die Postfixbuch-Users Mailingliste macht > meine DKIM Signatur (und auch die anderer Listenteilnehmer) kaputt - > dadurch schlägt der DMARC check fehl und Mails werden bei reject-policy > verworfen, bzw. bei quarantine-policy in den Junk-Ordner gelegt. Das > konnte ich sowohl bei eigenen Mails verfolgen, als auch denen anderer > Listenteilnehmer (je nach eingestellter Policy). > > Vermutlich liegt es daran, dass die Mailingliste einen Reply-To Header > einfügt oder ändert. Man könnte das Feld natürlich aus der DKIM-Signatur > herausnehmen, jedoch ist die Reply-To Headerzeile gemäß rspamd > Standardkonfiguration strictly oversigned. Das macht auch durchaus so > Sinn. Meiner Meinung nach sollte hier eher die Mailingliste angepasst > werden, indem entweder ein eigener FROM verwendet wird, oder zumindest > der  Reply-To header nicht verändert wird. > Andere Meinungen? Viele Mailinglisten, nicht nur diese, setzen den Reply-To Header. Du bist also gut beraten, diesen Header nicht zu signieren. Viele Grüße, Juri From ml-pbu at syntaxys.de Sun Feb 20 09:51:10 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sun, 20 Feb 2022 09:51:10 +0100 Subject: DMARC fail, obwohl scheinbar alles passt Message-ID: <93200316-5b6e-a413-6b0e-83d8d172422e@syntaxys.de> Hallo Liste, seit dem Umzug meines Mailsystems stimmt wohl etwas nicht mehr bei der DKIM-Konfiguration für eine Domain und ich komme nicht drauf, wo der Fehler liegt. Laut den Online-Testtools passt alles und wenn ich mir an GMail/Outlook/Yahoo eine Testmail aus dieser Domain sende, wird auch nichts moniert, wenn ich mir die Header ansehe. Aus dieser Domain werden in der Regel nur Bestellbestätigungen eines Shops versendet und aus den täglich eintreffenden DMARC-Reports geht hervor, dass es mit SPF passt, aber der DKIM-Check führt zu einem fail. Über den selben MTA werden auch E-Mails aus anderen Domains versendet, die auf die gleiche Weise mit rspamd signiert werden und bei denen wird nichts moniert. Daher bin ich gerade etwas ratlos, wie ich das debuggen könnte. Hat jemand eine Idee? Vielen Dank! Achim -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Sun Feb 20 15:59:32 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sun, 20 Feb 2022 15:59:32 +0100 Subject: =?UTF-8?Q?=5bgel=c3=b6st=5d_Re=3a_DMARC_fail=2c_obwohl_scheinbar_al?= =?UTF-8?Q?les_passt?= In-Reply-To: <93200316-5b6e-a413-6b0e-83d8d172422e@syntaxys.de> References: <93200316-5b6e-a413-6b0e-83d8d172422e@syntaxys.de> Message-ID: Den Fehler habe ich gefunden, wobei ich nicht vermutet habe, daß es einer ist ;-) Der Host, auf dem der Shop läuft, liefert die Mails über ein eigenes Relaykonto auf dem Host mit dem MTA ein. Die IPs des Shop-Host standen in einer Whitelist des rspamd, damit die Prüfungen gegen Spam ausfallen, die sind für diesen Host wirklich unnötig. Ich hatte allerdings nicht damit gerechnet, daß dann ausgehende Mails auch nicht mehr durch rspamd signiert werden. Die DMARC-Reports bezogen sich auf die fehlende Signatur, nicht auf eine falsche. Aber bei dem Wetter heute wollte ich eh nicht vor die Tür ? Am 20.02.22 um 09:51 schrieb Achim Lammerts: > Hallo Liste, > > seit dem Umzug meines Mailsystems stimmt wohl etwas nicht mehr bei der > DKIM-Konfiguration für eine Domain und ich komme nicht drauf, wo der > Fehler liegt. > > Laut den Online-Testtools passt alles und wenn ich mir an > GMail/Outlook/Yahoo eine Testmail aus dieser Domain sende, wird auch > nichts moniert, wenn ich mir die Header ansehe. Aus dieser Domain werden > in der Regel nur Bestellbestätigungen eines Shops versendet und aus den > täglich eintreffenden DMARC-Reports geht hervor, dass es mit SPF passt, > aber der DKIM-Check führt zu einem fail. Über den selben MTA werden auch > E-Mails aus anderen Domains versendet, die auf die gleiche Weise mit > rspamd signiert werden und bei denen wird nichts moniert. Daher bin ich > gerade etwas ratlos, wie ich das debuggen könnte. Hat jemand eine Idee? > > Vielen Dank! > Achim > From sebastian at debianfan.de Mon Feb 21 03:54:04 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 Feb 2022 03:54:04 +0100 Subject: Postfix, milter before queue und der reject Message-ID: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> Moin zusammen, ich habe eine Konfiguration um spamass-milter erweitert. Die ankommenden Mails werden gescannt und entsprechend bewertet. Auch die GTUBE-Testmail (von einer externen Mailadresse an den Server) wurde gescannt & bewertet - mit -1000. Eigentlich sollte Postfix ja Mails welche Spam sind, rejecten. Habe ich hier eine Konfigurationsoption übersehen? milter ist in der main.cf so eingebunden: # Milter configuration milter_default_action = accept milter_protocol = 6 smtpd_milters = local:spamass/spamass.sock non_smtpd_milters = $smtpd_milters die /etc/default/spamass-milter sieht so aus: OPTIONS="-u spamass-milter -i 127.0.0.1 -R SPAM_ARE_NOT_ALLOWED_HERE" gruß Sebastian From klaus at tachtler.net Mon Feb 21 04:12:49 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 21 Feb 2022 03:12:49 +0000 (UTC) Subject: Postfix, milter before queue und der reject In-Reply-To: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> Message-ID: <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> Hallo Sebastian, ja, Dein > milter_default_action = accept ist das Problem: The milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] parameter specifies how Postfix handles Milter application errors. The default action is to respond with a temporary error status, so that the client will try again later. Specify "accept" if you want to receive mail as if the filter does not exist, and "reject" to reject mail with a permanent status. The "quarantine" action is like "accept" but freezes the message in the "hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue], and is available with Postfix 2.6 or later. /etc/postfix/main.cf[http://www.postfix.org/postconf.5.html]:     # What to do in case of errors? Specify accept, reject, tempfail,     # or quarantine (Postfix 2.6 or later).     milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] = tempfail See "Different settings for different Milter applications[http://www.postfix.org/MILTER_README.html#per-milter]" for advanced configuration options. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian at debianfan.de An: Diskussionen und Support rund um Postfix Datum: 21.02.2022 03:54:28 Betreff: Postfix, milter before queue und der reject > Moin zusammen, > > ich habe eine Konfiguration um spamass-milter erweitert. > > Die ankommenden Mails werden gescannt und entsprechend bewertet. > > Auch die GTUBE-Testmail (von einer externen Mailadresse an den Server) wurde gescannt & bewertet - mit -1000. > > Eigentlich sollte Postfix ja Mails welche Spam sind, rejecten. > > Habe ich hier eine Konfigurationsoption übersehen? > > milter ist in der main.cf so eingebunden: > # Milter configuration > milter_default_action = accept > milter_protocol = 6 > smtpd_milters = local:spamass/spamass.sock > non_smtpd_milters = $smtpd_milters > > > die /etc/default/spamass-milter sieht so aus: > > OPTIONS="-u spamass-milter -i 127.0.0.1 -R SPAM_ARE_NOT_ALLOWED_HERE" > > gruß > > Sebastian -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From sebastian at debianfan.de Mon Feb 21 05:54:11 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 Feb 2022 05:54:11 +0100 Subject: Postfix, milter before queue und der reject In-Reply-To: <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> Message-ID: Moin, # postconf | grep version mail_version = 3.5.6 Dann wäre "= reject" hier die Lösung? gruß Sebastian Am 21.02.2022 um 04:12 schrieb Klaus Tachtler: > Hallo Sebastian, > > ja, Dein >> milter_default_action = accept > ist das Problem: > > The milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] parameter specifies how Postfix handles Milter application errors. The default action is to respond with a temporary error status, so that the client will try again later. > > Specify "accept" if you want to receive mail as if the filter does not exist, and "reject" to reject mail with a permanent status. > > The "quarantine" action is like "accept" but freezes the message in the "hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue], and is available with Postfix 2.6 or later. > > /etc/postfix/main.cf[http://www.postfix.org/postconf.5.html]: >     # What to do in case of errors? Specify accept, reject, tempfail, >     # or quarantine (Postfix 2.6 or later). >     milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] = tempfail > > See "Different settings for different Milter applications[http://www.postfix.org/MILTER_README.html#per-milter]" for advanced configuration options. > > > Grüße > Klaus. > From klaus at tachtler.net Mon Feb 21 06:03:23 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 21 Feb 2022 05:03:23 +0000 (UTC) Subject: Postfix, milter before queue und der reject In-Reply-To: References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> Message-ID: <1df98302-786d-4691-a4ab-aaf78d5f3adf@tachtler.net> Hallo Sebastian, Du kannst auch "nur" den MILTER definieren und alles was Du nicht explizit setzt, bleibt auf "Standard". Ich habe z.B. den AMaViS wie folgt angebunden (Beispiel mit IP/Port, anstelle wie Du, via Socket) https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter Zur Information: ---------------- **milter_default_action (default: tempfail)** /The default action when a Milter (mail filter) response is unavailable (for example, bad Postfix configuration or Milter failure). Specify one of the following:/ /*accept*/ //Proceed as if the mail filter was not present.// /*reject*/ //Reject all further commands in this session with a permanent status code.// /*tempfail*/ //Reject all further commands in this session with a temporary status code.// /*quarantine*/ //Like "accept", but freeze the message in the "////hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue]////. Available with Postfix 2.6 and later.// /This feature is available in Postfix 2.3 and later./ Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian at debianfan.de An: postfixbuch-users at listen.jpberlin.de Datum: 21.02.2022 05:54:36 Betreff: Re: Postfix, milter before queue und der reject > Moin, > > # postconf | grep version > mail_version = 3.5.6 > > > Dann wäre "= reject" hier die Lösung? > > gruß > > Sebastian > > > Am 21.02.2022 um 04:12 schrieb Klaus Tachtler: >> Hallo Sebastian, >> ja, Dein >>> milter_default_action = accept >> ist das Problem: >> The milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] parameter specifies how Postfix handles Milter application errors. The default action is to respond with a temporary error status, so that the client will try again later. >> Specify "accept" if you want to receive mail as if the filter does not exist, and "reject" to reject mail with a permanent status. >> The "quarantine" action is like "accept" but freezes the message in the "hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue], and is available with Postfix 2.6 or later. >> /etc/postfix/main.cf[http://www.postfix.org/postconf.5.html]: >>     # What to do in case of errors? Specify accept, reject, tempfail, >>     # or quarantine (Postfix 2.6 or later). >>     milter_default_action[http://www.postfix.org/postconf.5.html#milter_default_action] = tempfail >> See "Different settings for different Milter applications[http://www.postfix.org/MILTER_README.html#per-milter]" for advanced configuration options. >> >> Grüße >> Klaus. >> -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From sebastian at debianfan.de Mon Feb 21 06:40:38 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 Feb 2022 06:40:38 +0100 Subject: Postfix, milter before queue und der reject In-Reply-To: <1df98302-786d-4691-a4ab-aaf78d5f3adf@tachtler.net> References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> <1df98302-786d-4691-a4ab-aaf78d5f3adf@tachtler.net> Message-ID: Ob ich dort reject oder accept reinschreibe hat keinen Einfluss - die GTUBE-Nachricht wird nach wie vor mit 1000 Punkten bewertet - ohne das diese Nachricht abgelehnt wird. Am 21.02.2022 um 06:03 schrieb Klaus Tachtler: > Hallo Sebastian, > > Du kannst auch "nur" den MILTER definieren und alles was Du nicht explizit setzt, bleibt auf "Standard". > > Ich habe z.B. den AMaViS wie folgt angebunden (Beispiel mit IP/Port, anstelle wie Du, via Socket) > > https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter > > Zur Information: > ---------------- > > **milter_default_action (default: tempfail)** > > /The default action when a Milter (mail filter) response is unavailable (for example, bad Postfix configuration or Milter failure). Specify one of the following:/ > > /*accept*/ > //Proceed as if the mail filter was not present.// > > /*reject*/ > //Reject all further commands in this session with a permanent status code.// > > /*tempfail*/ > //Reject all further commands in this session with a temporary status code.// > > /*quarantine*/ > //Like "accept", but freeze the message in the "////hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue]////. Available with Postfix 2.6 and later.// > > /This feature is available in Postfix 2.3 and later./ > > > Grüße > Klaus. > From ml-pbu at syntaxys.de Mon Feb 21 15:14:26 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 21 Feb 2022 15:14:26 +0100 Subject: Dmarc Probleme In-Reply-To: <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> Message-ID: Ich hänge mich da noch mal dran, da es auch meine DKIM-Signatur in Listen immer wieder zerbröselt. Vor ein paar Wochen hatte ich einen ähnlichen Thread dazu eröffnet, da war der Tipp dann, von ?p=none? auf ?p=reject? umzustellen, damit in Mailman die Mitigation erfolgt. Am 30.12.21 um 00:16 schrieb Juri Haberland: > Richtig. Wenn ich das richtig sehe, signiert ihr beide (der OP und du, > Florian) den Reply-To Header, der aber von vielen Mailinglisten gesetzt > wird - so auch von dieser. Deshalb sind eure beiden DKIM-Signaturen > ungültig und euer DMARC-Ergebnis "fail". Ihr solltet das IMHO ändern Was wären denn die generell überlebensfähigen Teile einer Signatur und welche sollten zumindest verwendet, bzw. sollte nur auf den Reply-To Header verzichtet werden? Aktuell habe ich in rspamd folgendes eingestellt, laut https://rspamd.com/doc/modules/dkim_signing.html: sign_headers = "date:from:to:in-reply-to:references:subject:from:content-type:message-id"; Andererseits: Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei den Empfängern auch keine Prüfung gegen DMARC erfolgt ? und zwar aus der gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren? Laut diversen Online-Tools passt eigentlich alles prima, bis auf das Gezicke mit den Listen. Eine weitere Frage zum Thema: Wie wird mit ?p=reject? i. d. R. umgegangen? Angenommen ein Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den Reports gesehen, daß etwas nicht passt, aber nie einen reject beim Einliefern ? Vielen Dank für Eure Hilfe! Achim From list+postfixbuch at gcore.biz Mon Feb 21 15:44:09 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Mon, 21 Feb 2022 15:44:09 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> Message-ID: <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> > Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei den Empfängern auch keine Prüfung gegen DMARC erfolgt ? und zwar aus der gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren? > Laut diversen Online-Tools passt eigentlich alles prima, bis auf das Gezicke mit den Listen. Man hat keinen Einfluss darauf wie die Empfänger prüfen. Beispiel aus dem Maillog: DMARC_POLICY_REJECT:2.00:domain.de : SPF not aligned (strict), No valid DKIM;reject Rspamd vergibt in dem Fall Spampunkte (standardmäßig), man kann aber auch einstellen, dass abgelehnt wird. https://rspamd.com/doc/modules/dmarc.html dmarc { actions { reject="reject"; ... > Eine weitere Frage zum Thema: > Wie wird mit ?p=reject? i. d. R. umgegangen? Angenommen ein Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den Reports gesehen, daß etwas nicht passt, aber nie einen reject beim Einliefern ? Verloren gehen Mails bei SMTP so gut wie nie. Wenn abgelehnt wird ist es Sache des einliefernden Mailservers den Absender zu benachrichtigen (bounce). Viele Grüße Gerald From ml-pbu at syntaxys.de Mon Feb 21 17:54:19 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 21 Feb 2022 17:54:19 +0100 Subject: Anleitung zur Konfiguration von Rspamd In-Reply-To: <8677594.oeWW9ohj8v@stuttgart> References: <8677594.oeWW9ohj8v@stuttgart> Message-ID: Hallo, das ist auch ein Thema, das mich noch beschäftigt. Die Doku zu rspamd gibt nicht auf alle Fragen antworten. Ich hab's zwar hinbekommen, daß BAYES automatisch trainiert wird, den eigenen FUZZY STORE kann ich jedoch nur händisch trainieren. Dafür funktioniert die Abfrage darauf recht gut, während BAYES irgendwie noch nicht getriggert wird, obwohl da ausreichend Tokens zur Verfügung stehen. Eine interessante Anleitung habe ich hier gefunden, die die Tokens von BAYES_HAM, BAYES_SPAM und FUZZY_LOCAL in verschiedenen Redis-DBs verwaltet, das kann sehr nützlich sein: https://kb.linuxlove.xyz/mail-server-rspamd.html Umgesetzt habe ich das noch nicht, kann also keine praktischen Erfahrungen dazu nennen. Aber nach diesem Konzept könnte man das auch per user nutzen, oder? Was mich interessiert: Kann man eine Art dump erzeugen, anhand dem man sieht, was in der DB enthalten ist? Die Daten in der DB sind so nicht wirklich lesbar. Es geht mir eher darum einen Token ggfls. umzudeklarieren, oder zu entfernen. Am 10.02.21 um 16:54 schrieb Andreas: > Hallo zusammen, > > jetzt hätte ich noch die Frage nach einer guten Anleitung zu Rspamd auf > Postfix/Dovecot. > Mir wären wichtig: > - SPAM-Erkennung und Markierung im Header > - Virenscan via ClamAV > - Automatische Lernmöglichkeit von SPAM > > Alles was ich bisher gefunden hatte, geht weniger auf die Konfiguration > im Detail ein als auf das Gesamte Postfix+Rspamd. > > Mit besten Grüßen > > Andreas > > From ml-pbu at syntaxys.de Mon Feb 21 18:16:28 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 21 Feb 2022 18:16:28 +0100 Subject: Dmarc Probleme In-Reply-To: <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> Message-ID: Also inzwischen bin ich mit der Signatur des Headers bei sign_headers = "from:subject:date:to"; angelangt und trotzdem wird sie von der Liste zerbröselt. Ich hab mir mal die Header von anderen Emails angesehen, ein paar mit DKIM-Signatur schaffen's ja ohne Beanstandungen durch die Liste. Was läuft da anders? Am 21.02.22 um 15:44 schrieb Gerald Galster: >> Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei den Empfängern auch keine Prüfung gegen DMARC erfolgt ? und zwar aus der gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren? >> Laut diversen Online-Tools passt eigentlich alles prima, bis auf das Gezicke mit den Listen. > > Man hat keinen Einfluss darauf wie die Empfänger prüfen. > > Beispiel aus dem Maillog: > DMARC_POLICY_REJECT:2.00:domain.de : SPF not aligned (strict), No valid DKIM;reject > > Rspamd vergibt in dem Fall Spampunkte (standardmäßig), man kann aber auch einstellen, dass abgelehnt wird. > https://rspamd.com/doc/modules/dmarc.html > dmarc { actions { reject="reject"; ... > >> Eine weitere Frage zum Thema: >> Wie wird mit ?p=reject? i. d. R. umgegangen? Angenommen ein Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den Reports gesehen, daß etwas nicht passt, aber nie einen reject beim Einliefern ? > > Verloren gehen Mails bei SMTP so gut wie nie. Wenn abgelehnt wird ist es Sache des einliefernden Mailservers den Absender zu benachrichtigen (bounce). > > Viele Grüße > Gerald From klaus at tachtler.net Mon Feb 21 18:27:53 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 21 Feb 2022 17:27:53 +0000 (UTC) Subject: Postfix, milter before queue und der reject In-Reply-To: References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> <1df98302-786d-4691-a4ab-aaf78d5f3adf@tachtler.net> Message-ID: <25030bbe-510b-4ee3-9f40-4ae1b43ae503@tachtler.net> Hallo Sebastian, bist Du sicher, das der spamass-milter auch genutzt wird? Das habe ich dazu gefunden, evtl. überprüfst Du noch mal die Socket-Konfiguration? https://www.nesono.com/book/export/html/220 Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian at debianfan.de An: postfixbuch-users at listen.jpberlin.de Datum: 21.02.2022 06:40:55 Betreff: Re: Postfix, milter before queue und der reject > Ob ich dort reject oder accept reinschreibe hat keinen Einfluss - die GTUBE-Nachricht wird nach wie vor mit 1000 Punkten bewertet - ohne das diese Nachricht abgelehnt wird. > > Am 21.02.2022 um 06:03 schrieb Klaus Tachtler: >> Hallo Sebastian, >> Du kannst auch "nur" den MILTER definieren und alles was Du nicht explizit setzt, bleibt auf "Standard". >> Ich habe z.B. den AMaViS wie folgt angebunden (Beispiel mit IP/Port, anstelle wie Du, via Socket) >> https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_amavis_anbinden_amavisd-milter >> Zur Information: >> ---------------- >> **milter_default_action (default: tempfail)** >> /The default action when a Milter (mail filter) response is unavailable (for example, bad Postfix configuration or Milter failure). Specify one of the following:/ >> /*accept*/ >> //Proceed as if the mail filter was not present.// >> /*reject*/ >> //Reject all further commands in this session with a permanent status code.// >> /*tempfail*/ >> //Reject all further commands in this session with a temporary status code.// >> /*quarantine*/ >> //Like "accept", but freeze the message in the "////hold" queue[http://www.postfix.org/QSHAPE_README.html#hold_queue]////. Available with Postfix 2.6 and later.// >> /This feature is available in Postfix 2.3 and later./ >> >> Grüße >> Klaus. >> -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From sebastian at debianfan.de Mon Feb 21 19:35:56 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 Feb 2022 19:35:56 +0100 Subject: Postfix, milter before queue und der reject In-Reply-To: <25030bbe-510b-4ee3-9f40-4ae1b43ae503@tachtler.net> References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> <2bba5e66-96f2-4ea0-960d-53851a7dec7b@tachtler.net> <1df98302-786d-4691-a4ab-aaf78d5f3adf@tachtler.net> <25030bbe-510b-4ee3-9f40-4ae1b43ae503@tachtler.net> Message-ID: Danke für das Dokument, aber das habe ich auch so. Gegenargument: Wenn milter den Spamassassin nicht zu der eingegangenen Mail "befragen" würde, hätte ich in der Testmail nicht diese Header - oder ? X-Spam-Status: No, score=1.0 required=5.0 tests=BODY_SINGLE_WORD,SPF_HELO_NONE, SPF_NONE autolearn=no autolearn_force=no version=3.4.6 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 3.4.6 (2021-04-09) on mail Die Frage ist halt, warum er z.B. den GTUBE als Spam markiert, aber nicht während des SMTP-Prozesses rejected :-( gruß Sebastian Am 21.02.2022 um 18:27 schrieb Klaus Tachtler: > Hallo Sebastian, > > bist Du sicher, das der spamass-milter auch genutzt wird? > > Das habe ich dazu gefunden, evtl. überprüfst Du noch mal die Socket-Konfiguration? > > https://www.nesono.com/book/export/html/220 > > > Grüße > Klaus. > From klaus at tachtler.net Mon Feb 21 19:57:21 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 21 Feb 2022 18:57:21 +0000 (UTC) Subject: Postfix, milter before queue und der reject In-Reply-To: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> Message-ID: Hallo Sebastian, kann es sein, das Du in Deiner OPTIONS-Definition ein "kleines" -r und nicht ein "großes" -R setzen musst? https://linux.die.net/man/1/spamass-milter Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian at debianfan.de An: Diskussionen und Support rund um Postfix Datum: 21.02.2022 03:54:28 Betreff: Postfix, milter before queue und der reject > Moin zusammen, > > ich habe eine Konfiguration um spamass-milter erweitert. > > Die ankommenden Mails werden gescannt und entsprechend bewertet. > > Auch die GTUBE-Testmail (von einer externen Mailadresse an den Server) wurde gescannt & bewertet - mit -1000. > > Eigentlich sollte Postfix ja Mails welche Spam sind, rejecten. > > Habe ich hier eine Konfigurationsoption übersehen? > > milter ist in der main.cf so eingebunden: > # Milter configuration > milter_default_action = accept > milter_protocol = 6 > smtpd_milters = local:spamass/spamass.sock > non_smtpd_milters = $smtpd_milters > > > die /etc/default/spamass-milter sieht so aus: > > OPTIONS="-u spamass-milter -i 127.0.0.1 -R SPAM_ARE_NOT_ALLOWED_HERE" > > gruß > > Sebastian -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From sebastian at debianfan.de Mon Feb 21 20:16:42 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 21 Feb 2022 20:16:42 +0100 Subject: Postfix, milter before queue und der reject In-Reply-To: References: <300bbe1b-5926-6e40-b089-231646412e4f@debianfan.de> Message-ID: Ein Kollege sagt immer "wenn man es richtig macht, funktioniert es auch" ;-) Das war der Fehler - was auch immer das kleine 'r' für eine Auswirkung hat - das werde ich nun mal eruieren :-) Am 21.02.2022 um 19:57 schrieb Klaus Tachtler: > Hallo Sebastian, > > kann es sein, das Du in Deiner OPTIONS-Definition ein "kleines" -r und nicht ein "großes" -R setzen musst? > > https://linux.die.net/man/1/spamass-milter > > > Grüße > Klaus. > From florian at bodici.de Mon Feb 21 21:20:51 2022 From: florian at bodici.de (Florian Vierke) Date: Mon, 21 Feb 2022 21:20:51 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> Message-ID: <75500483-139b-6bfa-45ca-1c160372e2e1@bodici.de> Hallo Gerald, das kann ja nicht Sinn der Sache sein, dass man so gut wie kein Headerfeld mehr signieren kann. Vielleicht macht irgend etwas anderes deine DKIM Signatur kaputt - ein Milter, eine 7BIT -> 8BIT Konvertierung, etc? Ich habe jetzt mal zähneknirschend den Reply-To auf den signierten Feldern entfernt. Mal sehen, ob jetzt bereits alles passt. Zum DMARC: Mit der gleichen Domain kannst du das leider nicht erreichen, dass bei Mails an Listen kein DMARC ausgewertet werden soll. Extra für Mailinglisten eine Subdomain o.Ä. einzurichten ist aber natürlich auch nicht besonders schön.. Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Dezember 2022? Am 21.02.22 um 18:16 schrieb Achim Lammerts: > Also inzwischen bin ich mit der Signatur des Headers bei > sign_headers = "from:subject:date:to"; > angelangt und trotzdem wird sie von der Liste zerbröselt. > > Ich hab mir mal die Header von anderen Emails angesehen, ein paar mit > DKIM-Signatur schaffen's ja ohne Beanstandungen durch die Liste. Was > läuft da anders? > > Am 21.02.22 um 15:44 schrieb Gerald Galster: >>> Bekomme ich es hin, daß Emails an Listen nicht signiert werden und >>> bei den Empfängern auch keine Prüfung gegen DMARC erfolgt ? und zwar >>> aus der gleichen Domain, für die bisher restriktive Einstellungen >>> gut funktionieren? >>> Laut diversen Online-Tools passt eigentlich alles prima, bis auf das >>> Gezicke mit den Listen. >> >> Man hat keinen Einfluss darauf wie die Empfänger prüfen. >> >> Beispiel aus dem Maillog: >> DMARC_POLICY_REJECT:2.00:domain.de : SPF not aligned (strict), No >> valid DKIM;reject >> >> Rspamd vergibt in dem Fall Spampunkte (standardmäßig), man kann aber >> auch einstellen, dass abgelehnt wird. >> https://rspamd.com/doc/modules/dmarc.html >> dmarc { actions { reject="reject"; ... >> >>> Eine weitere Frage zum Thema: >>> Wie wird mit ?p=reject? i. d. R. umgegangen? Angenommen ein >>> Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die >>> dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur >>> in den Reports gesehen, daß etwas nicht passt, aber nie einen reject >>> beim Einliefern ? >> >> Verloren gehen Mails bei SMTP so gut wie nie. Wenn abgelehnt wird ist >> es Sache des einliefernden Mailservers den Absender zu >> benachrichtigen (bounce). >> >> Viele Grüße >> Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From list+postfixbuch at gcore.biz Mon Feb 21 21:38:25 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Mon, 21 Feb 2022 21:38:25 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> Message-ID: <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> > Sorry, die Mail sollte eigentlich an die Liste gehen ? > Über die Liste bekomme ich von rspamd: DMARC_POLICY_QUARANTINE:1.50:syntaxys.de : SPF not aligned (relaxed), DKIM not aligned (relaxed);quarantine https://datatracker.ietf.org/doc/html/rfc7960#section-2.2 ------------------------ 2.2. Message Forwarding Section 3 describes forwarding behavior as it relates to the components of the Internet Mail Architecture. All forwarding operations involve the retransmission of email. As discussed above, in order for SPF to yield an Authenticated Identifier that is pertinent to DMARC, the domain of the RFC7208.MAILFROM must be in alignment with the RFC5322.From header field. Forwarding introduces specific issues to the availability of SPF-based Authenticated Identifiers: - If the RFC5321.MailFrom is present and the forwarder maintains the original RFC5321.MailFrom, SPF validation will fail unless the forwarder is an authorized part of the originator's email sending infrastructure. If the forwarder replaces the RFC5321.MailFrom with its own domain, SPF might pass, but Identifier Alignment with the RFC5322.From header field will fail. - If the RFC5321.MailFrom is empty (as in the case of Delivery Status Notifications), the RFC5321.HELO/.EHLO domain of the forwarder will likely be in a different Organizational Domain than the original RFC5322.From header field's domain. SPF may pass, but Identifier Alignment with the RFC5322.From header field will fail. In both cases, SPF cannot yield relevant Authenticated Identifiers, and DKIM must be relied upon to produce results that are relevant to DMARC. ------------------------- Ich verstehe das so: normalerweise wird für SPF nur der envelope-sender angeschaut (= "MAIL FROM" im SMTP-Protokoll). In Verbindung mit DMARC muss dieser zusätzlich mit dem "From:" innerhalb der Mail übereinstimmen um einen "Authenticated Identifier" zu liefern. Die Mailingliste ersetzt den envelope-sender mit postfixbuch-users-bounces at listen.jpberlin.de. Damit kann der SPF an sich verifiziert werden, fällt aber für DMARC raus. Bzgl. DKIM: https://datatracker.ietf.org/doc/html/rfc6376#section-3.1 ABNF: selector = sub-domain *( "." sub-domain ) sub-domain ist definiert in https://datatracker.ietf.org/doc/html/rfc5321 als sub-domain = Let-dig [Ldh-str] Let-dig = ALPHA / DIGIT Ldh-str = *( ALPHA / DIGIT / "-" ) Let-dig ALPHA wiederum in https://datatracker.ietf.org/doc/html/rfc5234#appendix-B ALPHA = %x41-5A / %x61-7A ; A-Z / a-z Falls ich nichts übersehen hab sollten im Selektor weder "_" noch "." vorkommen: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=syntaxys.de; s=2022-02-20_syntaxys.de Probier vielleicht mal s=dkim20220220 In der Mail gibt es zwei DKIM-Signature Header, einen von der Liste und einen von Dir. Falls Deiner wegen der Syntax nicht ausgewertet wird würde das "DKIM not aligned (relaxed)" von DMARC_POLICY_QUARANTINE erklären. Viele Grüße Gerald > Am 21.02.22 um 18:14 schrieb Achim Lammerts: >> Also inzwischen bin ich mit der Signatur des Headers bei >> sign_headers = "from:subject:date:to"; >> angelangt und trotzdem wird sie von der Liste zerbröselt. >> >> Ich hab mir mal die Header von anderen Emails angesehen, ein paar mit DKIM-Signatur schaffen's ja ohne Beanstandungen durch die Liste. Was läuft da anders? >> >> >> Am 21.02.22 um 15:44 schrieb Gerald Galster: >>>> Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei den Empfängern auch keine Prüfung gegen DMARC erfolgt ? und zwar aus der gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren? >>>> Laut diversen Online-Tools passt eigentlich alles prima, bis auf das Gezicke mit den Listen. >>> >>> Man hat keinen Einfluss darauf wie die Empfänger prüfen. >>> >>> Beispiel aus dem Maillog: >>> DMARC_POLICY_REJECT:2.00:domain.de : SPF not aligned (strict), No valid DKIM;reject >>> >>> Rspamd vergibt in dem Fall Spampunkte (standardmäßig), man kann aber auch einstellen, dass abgelehnt wird. >>> https://rspamd.com/doc/modules/dmarc.html >>> dmarc { actions { reject="reject"; ... >>> >>>> Eine weitere Frage zum Thema: >>>> Wie wird mit ?p=reject? i. d. R. umgegangen? Angenommen ein Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den Reports gesehen, daß etwas nicht passt, aber nie einen reject beim Einliefern ? >>> >>> Verloren gehen Mails bei SMTP so gut wie nie. Wenn abgelehnt wird ist es Sache des einliefernden Mailservers den Absender zu benachrichtigen (bounce). >>> >>> Viele Grüße >>> Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Tue Feb 22 06:58:47 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 06:58:47 +0100 Subject: Dmarc Probleme In-Reply-To: <75500483-139b-6bfa-45ca-1c160372e2e1@bodici.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <75500483-139b-6bfa-45ca-1c160372e2e1@bodici.de> Message-ID: <2ed4ebe6-a164-778e-3a51-5e022ac7901f@syntaxys.de> Guten Morgen, das hat leider nicht geklappt, hier die Auswertung von meinem Server: Authentication-Results: taurus.syntaxys.de; dkim=pass header.d=listen.jpberlin.de header.s=dkim20210312 header.b=SROA8+Lq; dkim=fail ("body hash did not verify") header.d=bodici.de header.s=jan21 header.b=kGs4tc9W; dmarc=fail reason="SPF not aligned (relaxed), DKIM not aligned (relaxed)" header.from=bodici.de (policy=reject); spf=pass (taurus.syntaxys.de: domain of postfixbuch-users-bounces at listen.jpberlin.de designates 91.198.250.5 as permitted sender) smtp.mailfrom=postfixbuch-users-bounces at listen.jpberlin.de Die gleichen Fehler entstehen auch bei Mails von mir an die Liste. Am 21.02.22 um 21:20 schrieb Florian Vierke: > Ich habe jetzt mal zähneknirschend den Reply-To auf den signierten > Feldern entfernt. Mal sehen, ob jetzt bereits alles passt. From postfixer99 at gmail.com Tue Feb 22 07:06:39 2022 From: postfixer99 at gmail.com (Carsten) Date: Tue, 22 Feb 2022 07:06:39 +0100 Subject: =?UTF-8?Q?Mails_von_au=c3=9fen_im_Betreff_markieren?= Message-ID: Hallo zusammen, ich komme bei folgendem Problem leider nicht weiter. Ich möchte gerne alle extern eingehenden Mails durch Postfix im Betreff markieren lassen. Bislang wird dies durch PCRE-Header-Checks realisiert: if !/^Subject: \[INTERNET\]/ /^Subject:(.*?)$/ REPLACE Subject: [INTERNET]$1 endif Das Problem ist jedoch, dass das Subject nur umgeschrieben wird, wenn es auch existiert. Wenn eine Nachricht keinen Betreff hat, kann das Feld natürlich auch nicht geändert werden und die Markierung entfällt. Wie löst Ihr das Problem? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Tue Feb 22 07:24:06 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 07:24:06 +0100 Subject: Dmarc Probleme In-Reply-To: <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> Message-ID: <3b35b67e-b744-745c-db1e-6e64a731c3e9@syntaxys.de> Die Fragen, die sich mir inzwischen stellen: Warum hält man an einer Software fest, die augenscheinlich nicht dazu in der Lage ist, mit modernen Konzepten gegen den Schutz von Spam richtig umzugehen? Warum wird der ganze Header-Krempel von meinem Server überhaupt in die Liste gejagt, wenn eh alles umgeschrieben wird? Es wäre doch kaum ein großer Aufwand, eine Mailingliste mit dem Archiv in ein Forum zu migrieren. Das hätte dann auch den Vorteil, daß man die alten Beiträge auch gut durchstöbern kann ? Am 21.02.22 um 21:38 schrieb Gerald Galster: > Ich verstehe das so: normalerweise wird für SPF nur der envelope-sender > angeschaut (= "MAIL FROM" im SMTP-Protokoll). In Verbindung mit DMARC muss > dieser zusätzlich mit dem "From:" innerhalb der Mail übereinstimmen um einen > "Authenticated Identifier" zu liefern. > > Die Mailingliste ersetzt den envelope-sender mit > postfixbuch-users-bounces at listen.jpberlin.de > . > Damit kann der SPF an sich verifiziert werden, fällt aber für DMARC raus. Mir wäre es recht, wenn ich das Konzept von DKIM ohne Schlupflöcher für Spammer abdichten könnte. Eine meiner Hauptaliasse, den ich seit gut 25 Jahren verwende, wird ganz sicher auch von Spammern genutzt. Da wäre es eine gute Idee, das Alignment beizubehalten (und sogar auf ?strict? zu stellen). > Falls ich nichts übersehen hab sollten im Selektor weder "_" noch "." > vorkommen: > > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=syntaxys.de > ; >  s=2022-02-20_syntaxys.de > > Probier vielleicht mal s=dkim20220220 > > In der Mail gibt es zwei DKIM-Signature Header, einen von der Liste und > einen von Dir. > Falls Deiner wegen der Syntax nicht ausgewertet wird würde das "DKIM not > aligned (relaxed)" > von DMARC_POLICY_QUARANTINE erklären. Den Selektor habe ich mal umbenannt, was jedoch keine Abhilfe bringt. Doof ist ja, daß man das kaum debuggen kann, ohne Mails an die Liste zu senden. Trotzdem, vielen Dank für die Unterstützung! Achim From sebastian at debianfan.de Tue Feb 22 09:55:49 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 22 Feb 2022 09:55:49 +0100 Subject: =?UTF-8?Q?Re=3a_Mails_von_au=c3=9fen_im_Betreff_markieren?= In-Reply-To: References: Message-ID: Ich nutze "altermime" bei einem System für ausgehende Mails - das gleiche müsste doch auch umgedreht funktionieren? Am 22.02.2022 um 07:06 schrieb Carsten: > Hallo zusammen, > > ich komme bei folgendem Problem leider nicht weiter. > Ich möchte gerne alle extern eingehenden Mails durch Postfix im Betreff > markieren lassen. > > Bislang wird dies durch PCRE-Header-Checks realisiert: > > if !/^Subject: \[INTERNET\]/ > /^Subject:(.*?)$/ REPLACE Subject: [INTERNET]$1 > endif > > Das Problem ist jedoch, dass das Subject nur umgeschrieben wird, wenn es > auch existiert. > Wenn eine Nachricht keinen Betreff hat, kann das Feld natürlich auch > nicht geändert werden und die Markierung entfällt. > > Wie löst Ihr das Problem? > From ml-pbu at syntaxys.de Tue Feb 22 10:00:11 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 10:00:11 +0100 Subject: Dmarc Probleme In-Reply-To: <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> Message-ID: <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Sorry, mir lässt's keine Ruhe. Ich habe mir mal testweise OpenDKIM aufgesetzt, diese Mail wurde damit signiert ? From ml-pbu at syntaxys.de Tue Feb 22 10:11:20 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 10:11:20 +0100 Subject: Dmarc Probleme In-Reply-To: <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: <7a15a179-754a-0ded-4796-fdd24b708447@syntaxys.de> Und jetzt mit ? SignHeaders From, Subject, Date, To OmitHeaders References, In-Reply-To, Reply-To Am 22.02.22 um 10:00 schrieb Achim Lammerts: > Sorry, mir lässt's keine Ruhe. Ich habe mir mal testweise OpenDKIM > aufgesetzt, diese Mail wurde damit signiert ? From katharina.knuth at icloud.com Tue Feb 22 10:12:36 2022 From: katharina.knuth at icloud.com (Katharina Knuth) Date: Tue, 22 Feb 2022 10:12:36 +0100 Subject: Mailbox full Message-ID: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> Hallo, wie kann ich das denn realisieren, dass bei einer vollen Mailbox der Absender und der Empfänger eine entsprechende Nachricht bekommt? Postfix Version 3.5.9 Dovecot Version 2.3.17.1 -- freundliche Grüße, Sincerely yours, Katharina Knuth From wn at neessen.net Tue Feb 22 10:19:42 2022 From: wn at neessen.net (Winfried Neessen) Date: Tue, 22 Feb 2022 10:19:42 +0100 Subject: Mailbox full In-Reply-To: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> References: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> Message-ID: Hi, Am 2022-02-22 10:12, schrieb Katharina Knuth: > Hallo, wie kann ich das denn realisieren, dass bei einer vollen > Mailbox der Absender und der Empfänger eine entsprechende Nachricht > bekommt? > Mit einem Monitoring-System (checkmk, Nagios, Zabbix, InfluxDB/Kapacitor, etc.) und den passenden Checks dazu. Winni From florian at bodici.de Tue Feb 22 10:21:46 2022 From: florian at bodici.de (Florian Vierke) Date: Tue, 22 Feb 2022 10:21:46 +0100 Subject: Dmarc Probleme In-Reply-To: <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Hallo Achim, ich stimme Dir zu - Debugging ohne Tests und Damit die Liste zu nerven ist im Prinzip unmöglich.. Daher entschuldige ich mich ebenfalls schon mal im Voraus für diesen Test. Bei deinem Test bekommt ich den gleichen Fehler wie vorher: DMARC_POLICY_QUARANTINE(1.50)[syntaxys.de : SPF not aligned (relaxed), DKIM not aligned (relaxed),quarantine]; Interessanterweise habe ich von Dir am 20.02. auf die Mail von 9:51 Uhr einen DMARC policy reject bekommen und auf die Mail am 20.02. 15:59 Uhr sehe ich gar keine Policy (und die Mail kam durch). Seitdem steht die Policy auf "quarantine" und landet im Spam. Ich probiere jetzt mit dieser Mail noch einmal aus, durch ein *smtpd_discard_ehlo_keywords = 8BITMIME * im Postfix zu erzwingen, dass die Mail mit 7BIT gesendet wird. Anscheinend gibt es hier ja mit dem AMAVIS Probleme, und da für die Mailingliste auch einer eingesetzt wird, könnte das ja des Rätsels Lösung sein?**Hat ansonsten noch einer eine Idee, wie man am einfachsten Debuggen kann, was die DKIM Signatur kaputt macht? Viele Grüße** Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Dezember 2022? Am 22.02.22 um 10:00 schrieb Achim Lammerts: > Sorry, mir lässt's keine Ruhe. Ich habe mir mal testweise OpenDKIM > aufgesetzt, diese Mail wurde damit signiert ? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From beat at juckers.ch Tue Feb 22 10:17:51 2022 From: beat at juckers.ch (Beat Jucker) Date: Tue, 22 Feb 2022 10:17:51 +0100 Subject: Mailbox full In-Reply-To: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> References: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> Message-ID: <3a180dba-def7-0f9f-5af8-a3d61377d45c@juckers.ch> Hallo Katharina Am 22.02.2022 um 10:12 schrieb Katharina Knuth: > Hallo, wie kann ich das denn realisieren, dass bei einer vollen > Mailbox der Absender und der Empfänger eine entsprechende Nachricht > bekommt? Empfänger: volle Mailbox sagt alles, d.h. per Email keine Nachrichtenübermittlung möglich --> zur Benachrichtigung (Hinweis auf sein Problem) alternativen Kommunikationsfluss wählen Empfänger: erhält eine DSN (Delivery Status Notification) Gruss, Beat From florian at bodici.de Tue Feb 22 10:27:20 2022 From: florian at bodici.de (Florian Vierke) Date: Tue, 22 Feb 2022 10:27:20 +0100 Subject: =?UTF-8?Q?Test=2c_bitte_ignorieren_und_l=c3=b6schen?= Message-ID: 123 abc äöü -- Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Dezember 2022? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Tue Feb 22 10:32:13 2022 From: wn at neessen.net (Winfried Neessen) Date: Tue, 22 Feb 2022 10:32:13 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Hi, Am 2022-02-22 10:21, schrieb Florian Vierke: > ich stimme Dir zu - Debugging ohne Tests und Damit die Liste zu nerven > ist im Prinzip unmöglich.. > Das sehe ich anders. Eine kleine Gruppe von Usern hat ein spezielles Problem und um das Problem zu "debuggen" spammt diese kleine Gruppe eine grosse Empfaengergruppe mit Testmails voll. Das ist nicht Sinn und Zweck einer Mailingliste. Wenn ihr euer Problem isolieren wollt, setzt bitte eine eigene Mailman Instanz dafuer auf und spammt diese soviel voll wie ihr moegt, aber bitte lasst den Rest dieser Liste aus euren Tests raus. Danke. Winni From ml-pbu at syntaxys.de Tue Feb 22 10:34:14 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 10:34:14 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Am 22.02.22 um 10:21 schrieb Florian Vierke: > DMARC_POLICY_QUARANTINE(1.50)[syntaxys.de : SPF not aligned (relaxed), DKIM not aligned (relaxed),quarantine]; > > > Interessanterweise habe ich von Dir am 20.02. auf die Mail von 9:51 Uhr einen DMARC policy reject bekommen und auf die Mail > am 20.02. 15:59 Uhr sehe ich gar keine Policy (und die Mail kam durch). Seitdem steht die Policy auf "quarantine" und landet im Spam. Zu dem Zeitpunkt hatte ich nur die keys mal wieder rotiert, aber an der Konfiguration an sich nichts geändert. > Ich probiere jetzt mit dieser Mail noch einmal aus, durch ein > > *smtpd_discard_ehlo_keywords = 8BITMIME * > im Postfix zu erzwingen, dass die Mail mit 7BIT gesendet wird. Anscheinend gibt es hier ja mit dem AMAVIS Probleme, und da für > die Mailingliste auch einer eingesetzt wird, könnte das ja des Rätsels Lösung sein?**Hat ansonsten noch einer eine Idee, wie man am einfachsten Debuggen kann, was die DKIM Signatur kaputt macht? Meine Frage ist noch immer, warum es einige Signaturen unbeschadet durch die Liste schaffen. Was läuft da anders? Ich habe jetzt für diese E-Mail in OpenDKIM nochmal die zu signierenden Header geändert und den milter zu rspamd deaktiviert. > > Viele Grüße** > > > Florian Vierke > mobile: +49 177 8079538 > Motto des Monats: ... und wo warst du am 12. Dezember 2022? > > Am 22.02.22 um 10:00 schrieb Achim Lammerts: >> Sorry, mir lässt's keine Ruhe. Ich habe mir mal testweise OpenDKIM >> aufgesetzt, diese Mail wurde damit signiert ? From klaus at tachtler.net Tue Feb 22 10:39:30 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 22 Feb 2022 09:39:30 +0000 (UTC) Subject: Mailbox full In-Reply-To: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> References: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> Message-ID: <67ac3e0f-9ba7-4f8f-a943-499a1a957d6a@tachtler.net> Hallo Katharina, der Absender sollte eine Fehlermeldung bei der Einlieferung bekommen, da Dovecot bei einer wirklich vollen Mailbox keine E-Mails mehr speichern kann und dies dann ablehnt. Für den Absender sollte es gar nicht so weit kommen. Der sollte schon benachrichtigt werden, wenn die Mailbox noch nicht ganz voll ist. Das kannst Du wie nachfolgend lösen, was ich wie folgt mal in meinem DokuWiki für mich aufgeschrieben habe: https://dokuwiki.tachtler.net/doku.php?id=tachtler:dovecot_quotas#konfiguration_-_quota-warnings Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Katharina Knuth An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Datum: 22.02.2022 10:13:00 Betreff: Mailbox full > Hallo, wie kann ich das denn realisieren, dass bei einer vollen Mailbox der Absender und der Empfänger eine entsprechende Nachricht bekommt? > > Postfix Version 3.5.9 > Dovecot Version 2.3.17.1 > > -- > freundliche Grüße, > Sincerely yours, > > Katharina Knuth -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From florian at bodici.de Tue Feb 22 10:56:11 2022 From: florian at bodici.de (Florian Vierke) Date: Tue, 22 Feb 2022 10:56:11 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Hallo Winfried, dafür bräuchten wir nur leider eine identisch konfigurierte Instanz von Mailman - wenn es eine zum Testen gibt, sehr gerne! Oder wir vereinbaren ein Subject-Keyword (z.B. "Testmail", das jeder per Sieve-Regel direkt löschen kann, wenn er grad nicht selber testen will? Ich weiß, leider auch wieder Aufwand für jeden Einzelnen und nicht ideal :( Aber irgendwas scheint es ja mit der Konfiguration der Liste zu tun zu haben. Außerhalb dieser Mailingliste klappt mein DKIM zuverlässig.. Auch mit anderen Mailinglisten, auch über Mailman. Ich habe meine Policy jetzt mal auf quarantine gestellt, damit ich die Mails zumindest wieder selber bekomme und den Header zeilenweise prüfen kann, wo was kaputt geht. Ich hoffe, das klärt sich damit schnell auf. PS: Das DKIM Problem betrifft dich auch - auch deine DKIM Signatur geht kaputt: DMARC_POLICY_SOFTFAIL(0.10)[neessen.net : SPF not aligned (strict), DKIM not aligned (strict),none]; Klar könnten wir einfach alle DKIM ausstellen oder die Policy auf "none" setzen, aber das ist ja nicht wirklich Sinn der Sache.. Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Dezember 2022? Am 22.02.22 um 10:32 schrieb Winfried Neessen: > Hi, > > Am 2022-02-22 10:21, schrieb Florian Vierke: > >> ich stimme Dir zu - Debugging ohne Tests und Damit die Liste zu >> nerven ist im Prinzip unmöglich.. >> > Das sehe ich anders. Eine kleine Gruppe von Usern hat ein spezielles > Problem und um das Problem zu "debuggen" > spammt diese kleine Gruppe eine grosse Empfaengergruppe mit Testmails > voll. Das ist nicht Sinn und Zweck > einer Mailingliste. > > Wenn ihr euer Problem isolieren wollt, setzt bitte eine eigene Mailman > Instanz dafuer auf und spammt diese > soviel voll wie ihr moegt, aber bitte lasst den Rest dieser Liste aus > euren Tests raus. > > > Danke. > Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Tue Feb 22 11:14:37 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 11:14:37 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Ich finde, es macht kein Spaß, sich an der Lösung von Problemen anderer User zu beteiligen oder um Hilfe bei eigenen Problemen zu bitten, wenn man ? a) ? weiß, daß die Mails vielleicht nie gelesen werden, weil sie aus einer Fehlkonfiguration heraus im Spamordner landen und b) bei jedem Beitrag mit Dutzenden unnötigen failure-Reports zugemüllt wird. Das würde ich gerne abstellen und trotzdem eine sichere DKIM/DMARC-Konfiguration behalten. Also, vielleicht liest ja jemand mit, dem es die Signatur hier nicht zerbröselt und eine Idee hat, woran das liegt. Danke für die Hilfe! Achim Am 22.02.22 um 10:56 schrieb Florian Vierke: > Hallo Winfried, > > dafür bräuchten wir nur leider eine identisch konfigurierte Instanz von > Mailman - wenn es eine zum Testen gibt, sehr gerne! Oder wir vereinbaren > ein Subject-Keyword (z.B. "Testmail", das jeder per Sieve-Regel direkt > löschen kann, wenn er grad nicht selber testen will? Ich weiß, leider > auch wieder Aufwand für jeden Einzelnen und nicht ideal :( Aber > irgendwas scheint es ja mit der Konfiguration der Liste zu tun zu haben. > Außerhalb dieser Mailingliste klappt mein DKIM zuverlässig.. Auch mit > anderen Mailinglisten, auch über Mailman. > > Ich habe meine Policy jetzt mal auf quarantine gestellt, damit ich die > Mails zumindest wieder selber bekomme und den Header zeilenweise prüfen > kann, wo was kaputt geht. Ich hoffe, das klärt sich damit schnell auf. > > PS: Das DKIM Problem betrifft dich auch - auch deine DKIM Signatur geht > kaputt: > > DMARC_POLICY_SOFTFAIL(0.10)[neessen.net : SPF not aligned (strict), DKIM not aligned (strict),none]; > > Klar könnten wir einfach alle DKIM ausstellen oder die Policy auf "none" setzen, aber das ist ja nicht wirklich Sinn der Sache.. > > Florian Vierke > mobile: +49 177 8079538 > Motto des Monats: ... und wo warst du am 12. Dezember 2022? > > Am 22.02.22 um 10:32 schrieb Winfried Neessen: >> Hi, >> >> Am 2022-02-22 10:21, schrieb Florian Vierke: >> >>> ich stimme Dir zu - Debugging ohne Tests und Damit die Liste zu >>> nerven ist im Prinzip unmöglich.. >>> >> Das sehe ich anders. Eine kleine Gruppe von Usern hat ein spezielles >> Problem und um das Problem zu "debuggen" >> spammt diese kleine Gruppe eine grosse Empfaengergruppe mit Testmails >> voll. Das ist nicht Sinn und Zweck >> einer Mailingliste. >> >> Wenn ihr euer Problem isolieren wollt, setzt bitte eine eigene Mailman >> Instanz dafuer auf und spammt diese >> soviel voll wie ihr moegt, aber bitte lasst den Rest dieser Liste aus >> euren Tests raus. >> >> >> Danke. >> Winni From michael at linuxfox.de Tue Feb 22 12:59:08 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 22 Feb 2022 12:59:08 +0100 Subject: Mailbox full In-Reply-To: References: <8814a618-247a-e8f6-f67a-f9be82b01e93@icloud.com> Message-ID: Am 22.02.22 um 10:19 schrieb Winfried Neessen: Hi, >> > Mit einem Monitoring-System (checkmk, Nagios, Zabbix, > InfluxDB/Kapacitor, etc.) und den passenden > Checks dazu. > > > Winni na, mit Kanonen auf Spatzen ;) Dovecot kann das von Haus aus: quota = dict:User quota::proxy::quotadict quota_exceeded_message = Sorry, the mailbox of %u has exceeded the limit. Please consider deleting e-mails to free space. quota_rule2 = Trash:storage=+10% quota_warning = storage=85%% quota-warning 85 %u quota_warning2 = storage=90%% quota-warning 90 %u quota_warning3 = storage=95%% quota-warning 95 %u -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From juri at koschikode.com Tue Feb 22 15:39:08 2022 From: juri at koschikode.com (Juri Haberland) Date: Tue, 22 Feb 2022 15:39:08 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: On 22.02.22 10:34, Achim Lammerts wrote: > Meine Frage ist noch immer, warum es einige Signaturen unbeschadet durch > die Liste schaffen. Was läuft da anders? > > Ich habe jetzt für diese E-Mail in OpenDKIM nochmal die zu signierenden > Header geändert und den milter zu rspamd deaktiviert. Ich kann in deinen lezten Mails keine DKIM-Signatur von dir entdecken. Ich vermute, dass ihr, so wir ich hoffentlich nicht mehr, 8bit-Content verschickt, der dann auf dem Listserver in 7bit/quoted printable umgewandelt wird, da auch der Listserver signiert. Damit wäre eure Signature dann kaputt. Falls ihr einen Zweit-Account habt (vorzugsweise auf einem anderen Server), sendet euch Testmails mit Umlauten zu und schaut in die Header, ob das als 8bit oder quoted printable ankommt. Grüße, Juri From ml-pbu at syntaxys.de Tue Feb 22 16:00:16 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 16:00:16 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: Am 22.02.22 um 15:39 schrieb Juri Haberland: > Ich kann in deinen lezten Mails keine DKIM-Signatur von dir entdecken. Möglicherweise gingen die während der try&error-Orgie temporär verlustig, ich kann's grad nicht mehr nachvollziehen. In dieser Mail sollte sie dabei sein ? falls nicht, dann greift wohl die Mitigation von Mailman, wie es auch sein sollte, wenn der Absender umgeschrieben wird. > > Ich vermute, dass ihr, so wir ich hoffentlich nicht mehr, 8bit-Content > verschickt, der dann auf dem Listserver in 7bit/quoted printable > umgewandelt wird, da auch der Listserver signiert. Damit wäre eure > Signature dann kaputt. Falls ihr einen Zweit-Account habt (vorzugsweise auf > einem anderen Server), sendet euch Testmails mit Umlauten zu und schaut in > die Header, ob das als 8bit oder quoted printable ankommt. Das. scheint die Ursache zu sein. Man muss in Thunderbird 97 explizit in der Konfiguration den Parameter mail.strictly_mime auf true setzen, damit der nicht 8-bit-codiert versendet. Bin gespannt wie ein Flitzebogen ... > > Grüße, > Juri From florian at bodici.de Tue Feb 22 16:39:01 2022 From: florian at bodici.de (Florian) Date: Tue, 22 Feb 2022 16:39:01 +0100 Subject: Dmarc Probleme In-Reply-To: References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> Message-ID: <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> Hi Achim, dein DKIM geht jetzt nicht mehr kaputt! Es lag also tatsächlich am 8bit Content. Einziger Wermutstropfen der Einstellung mail.strictly_mime = true ist aus meiner Sicht, dass die Mail base64 kodiert wird, eine Option zum Erzwingen von 7bit quoted-printable habe ich noch nicht entdeckt. Rspamd gefällt das auch nicht ideal, es gibt aber nur einen kleinen Malus von 0.1 Punkten in der Standardkonfiguration. MIME_BASE64_TEXT(0.10)[]; DKIM_TRACE(0.00)[listen.jpberlin.de:+,syntaxys.de:+]; Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: Kopf hoch, bald ist wieder Sommer! Am 22.02.2022 um 16:00 schrieb Achim Lammerts: > Am 22.02.22 um 15:39 schrieb Juri Haberland: >> Ich kann in deinen lezten Mails keine DKIM-Signatur von dir entdecken. > > Möglicherweise gingen die während der try&error-Orgie temporär > verlustig, ich kann's grad nicht mehr nachvollziehen. > In dieser Mail sollte sie dabei sein ? falls nicht, dann greift wohl die > Mitigation von Mailman, wie es auch sein sollte, wenn der Absender > umgeschrieben wird. > >> >> Ich vermute, dass ihr, so wir ich hoffentlich nicht mehr, 8bit-Content >> verschickt, der dann auf dem Listserver in 7bit/quoted printable >> umgewandelt wird, da auch der Listserver signiert. Damit wäre eure >> Signature dann kaputt. Falls ihr einen Zweit-Account habt >> (vorzugsweise auf >> einem anderen Server), sendet euch Testmails mit Umlauten zu und >> schaut in >> die Header, ob das als 8bit oder quoted printable ankommt. > > Das. scheint die Ursache zu sein. Man muss in Thunderbird 97 explizit in > der Konfiguration den Parameter mail.strictly_mime auf true setzen, > damit der nicht 8-bit-codiert versendet. > > Bin gespannt wie ein Flitzebogen ... >> >> Grüße, >>    Juri From hanns at hannsmattes.de Tue Feb 22 16:51:20 2022 From: hanns at hannsmattes.de (Hanns Mattes) Date: Tue, 22 Feb 2022 16:51:20 +0100 Subject: Ratelimit =?utf-8?Q?f=C3=BCr?= sasl_username Message-ID: Hallo, liebe Liste, ganz leicht OT, aber vielleicht hat doch jemand einen Tip: Ich will mit postfwd3 ein Limit für ausgehende Mails verhängen, damit z.B. bei einem geknackten Account der Schaden begrenzt wird. Erst einmal hatte ich so etwas angelegt: id=R001; action=rate(sender/1000/86400/450 4.7.1 only 1000 messages per day for $$sender [$$ratecount hits]) id=R002; action=rate(sender/250/3600/450 4.7.2 only 250 messages per hour for for $$sender [$$ratecount hits]) ... aber das trifft nach meinem Verständnis ja auch einliefernde Absender, was ich ja gar nicht will. Also dachte ich mir, das etwa so zu lösen: id=R001; sasl_username=~/./ ; action=rate(sasl_username/1000/86400/450 4.7.1\ only 1000 messages per day for $$sasl_username) id=R002; sasl_username=~^/./ ; action=rate(sasl_username/250/3600/450 4.7.2 o\ nly 250 messages per hour for $$sasl_username) Klappt aber nicht. Falscher regulärer Ausdruck? Ganz anderer Fehler? Mit Dank im Voraus Hanns Mattes From list+postfixbuch at gcore.biz Tue Feb 22 17:31:10 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 22 Feb 2022 17:31:10 +0100 Subject: Dmarc Probleme In-Reply-To: <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> Message-ID: <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> > dein DKIM geht jetzt nicht mehr kaputt! Es lag also tatsächlich am 8bit Content. Einziger Wermutstropfen der Einstellung > > mail.strictly_mime = true > > ist aus meiner Sicht, dass die Mail base64 kodiert wird, eine Option zum Erzwingen von 7bit quoted-printable habe ich noch nicht entdeckt. > Rspamd gefällt das auch nicht ideal, es gibt aber nur einen kleinen Malus von 0.1 Punkten in der Standardkonfiguration. Bei mir auch. Sollte die Mail aber base64 kodiert sein obwohl kein 8bit-Zeichen vorkommt, gefällt das rspamd nicht (MIME_BASE64_TEXT_BOGUS). Weitere Varianten wie FROM/TO/SUBJECT_EXCESS_BASE64 langen ganz schön zu (1,5 Punkte), bei quoted printable 1,2. Keine schöne Lösung: man könnte bei postfix das 8BITMIME EHLO keyword für Submission unterdrücken: http://www.postfix.org/postconf.5.html#smtpd_discard_ehlo_keywords (oder postscreen-Variante) Vielleicht könnte jemand von Heinlein mal schauen ob die 8/7-Bit Konvertierung bei amavisd-new noch sein muss, denn an sich wird 8BITMIME angeboten (SMTPUTF8 ist in postfix deaktiviert): [root at mx2 ~]# nc -C 127.0.0.1 10024 220 [127.0.0.1] ESMTP amavisd-new service ready EHLO localhost 250-[127.0.0.1] 250-VRFY 250-PIPELINING 250-SIZE 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-SMTPUTF8 250-DSN 250 XFORWARD NAME ADDR PORT PROTO HELO IDENT SOURCE QUIT 221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel Viele Grüße Gerald From florian at bodici.de Tue Feb 22 17:42:21 2022 From: florian at bodici.de (Florian) Date: Tue, 22 Feb 2022 17:42:21 +0100 Subject: Dmarc Probleme In-Reply-To: <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> Message-ID: <44a463ea-79e4-4087-79da-7c7a785ada1f@bodici.de> > Bei mir auch. Sollte die Mail aber base64 kodiert sein obwohl kein 8bit-Zeichen vorkommt, gefällt das rspamd nicht (MIME_BASE64_TEXT_BOGUS). > Weitere Varianten wie FROM/TO/SUBJECT_EXCESS_BASE64 langen ganz schön zu (1,5 Punkte), bei quoted printable 1,2. Wenn kein 8bit-Zeichen vorkommt, dann codiert mein Thunderbird ganz brav auch nicht base64, sonder bleibt bei 7bit: Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 7bit :) Viele Grüße Florian From ml-pbu at syntaxys.de Tue Feb 22 17:47:15 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 17:47:15 +0100 Subject: =?UTF-8?Q?Re=3a_Ratelimit_f=c3=bcr_sasl=5fusername?= In-Reply-To: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> References: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> Message-ID: Man kann das auch direkt mit Postfix abbilden: https://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit smtpd_client_message_rate_limit = 2 anvil_rate_time_unit = 60s Diese Einstellung erlaubt z. B. 2 Nachrichten pro Minute. Was spricht dagegen, auch eingehenden Traffic zu limitieren? Was machst Du bei einer DDOS-Attacke auf den Dienst? LG/A Am 22.02.22 um 16:51 schrieb Hanns Mattes: > Hallo, liebe Liste, > > ganz leicht OT, aber vielleicht hat doch jemand einen Tip: > > Ich will mit postfwd3 ein Limit für ausgehende Mails verhängen, damit > z.B. bei einem geknackten Account der Schaden begrenzt wird. From hanns at hannsmattes.de Tue Feb 22 18:00:20 2022 From: hanns at hannsmattes.de (Hanns Mattes) Date: Tue, 22 Feb 2022 18:00:20 +0100 Subject: =?UTF-8?Q?Re=3a_Ratelimit_f=c3=bcr_sasl=5fusername?= In-Reply-To: References: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> Message-ID: <46dcb2f2-a8ef-958d-de2d-e86af634259b@hannsmattes.de> Hei,Achim, Am 22.02.22 um 17:47 schrieb Achim Lammerts: > Man kann das auch direkt mit Postfix abbilden: > https://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit > > smtpd_client_message_rate_limit = 2 > anvil_rate_time_unit = 60s Ja, das kenne ich. Auf postfwd kam ich eigentlich, weil das extrem vielseitig ist - mal sehen, was ich irgendwann noch brauche. > Diese Einstellung erlaubt z. B. 2 Nachrichten pro Minute. > Was spricht dagegen, auch eingehenden Traffic zu limitieren? Was machst > Du bei einer DDOS-Attacke auf den Dienst? Gegen eine Limitierung der eingehenden Nachrichten spricht überhaupt nichts, nur möchte ich da andere Grenzen setzen. Bei den gezeigten Beispielen habe ich auch schon Absender limitiert, auf die ich gar nicht gezielt habe. Dank und Gruß Hanns From klaus at tachtler.net Tue Feb 22 18:14:19 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 22 Feb 2022 17:14:19 +0000 (UTC) Subject: =?UTF-8?Q?Re:_Ratelimit_f=C3=BCr_sasl=5Fusername?= In-Reply-To: <20220222155701.98E6E6AD34@ilpostino.jpberlin.de> References: <20220222155701.98E6E6AD34@ilpostino.jpberlin.de> Message-ID: <1cb2ecb3-aa65-4c59-b9a4-42c0753cca28@tachtler.net> Hallo Hanns, schau Dir dich das mal an, evtl. kann diese Einstellung Dir weiter helfen? http://www.postfix.org/postconf.5.html#default_destination_rate_delay Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Hanns Mattes An: postfixbuch-users at listen.jpberlin.de Datum: 22.02.2022 16:57:09 Betreff: Ratelimit für sasl_username > Hallo, liebe Liste, > > ganz leicht OT, aber vielleicht hat doch jemand einen Tip: > > Ich will mit postfwd3 ein Limit für ausgehende Mails verhängen, damit > z.B. bei einem geknackten Account der Schaden begrenzt wird. > > Erst einmal hatte ich so etwas angelegt: > > id=R001; action=rate(sender/1000/86400/450 4.7.1 only 1000 messages per > day for $$sender [$$ratecount hits]) > > id=R002; action=rate(sender/250/3600/450 4.7.2 only 250 messages per > hour for  for $$sender [$$ratecount hits]) > > ... aber das trifft nach meinem Verständnis ja auch einliefernde > Absender, was ich ja gar nicht will. > > Also dachte ich mir, das etwa so zu lösen: > > id=R001; sasl_username=~/./ ; action=rate(sasl_username/1000/86400/450 4.7.1\ > only 1000 messages per day for $$sasl_username) > id=R002; sasl_username=~^/./ ; action=rate(sasl_username/250/3600/450 4.7.2 o\ > nly 250 messages per hour for $$sasl_username) > > Klappt aber nicht. Falscher regulärer Ausdruck? Ganz anderer Fehler? > > Mit Dank im Voraus > > Hanns Mattes -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From ml-pbu at syntaxys.de Tue Feb 22 18:23:40 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 18:23:40 +0100 Subject: =?UTF-8?Q?Re=3a_Ratelimit_f=c3=bcr_sasl=5fusername?= In-Reply-To: <46dcb2f2-a8ef-958d-de2d-e86af634259b@hannsmattes.de> References: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> <46dcb2f2-a8ef-958d-de2d-e86af634259b@hannsmattes.de> Message-ID: <7905754a-0791-30be-1f19-223bad11eb1a@syntaxys.de> Hi Hanns, auch das lässt sich für smtps oder submission getrennt setzen, z. B.: submission inet n - n - - smtpd ... -o smtpd_client_message_rate_limit=2 -o anvil_rate_time_unit=60s ... Ich versuche immer, die vorhandenen Mittel auszureizen, bevor ich noch ein weiteres Tool installiere. Vielleicht hilft Dir diese Regel bei postfwd weiter (ungetestet): sasl_username=~/^(\S+)$/ action=rcpt(sasl_username/1000/86400/450 4.7.1\ only 1000 messages per day for $$sasl_username) Außerdem sollte permit_mynetworks NACH permit_sasl_authenticated in den smtpd_*_restrictions gelistet werden ? LG/A Am 22.02.22 um 18:00 schrieb Hanns Mattes: > Hei,Achim, > > Am 22.02.22 um 17:47 schrieb Achim Lammerts: >> Man kann das auch direkt mit Postfix abbilden: >> https://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit >> >> smtpd_client_message_rate_limit = 2 >> anvil_rate_time_unit = 60s > > Ja, das kenne ich. Auf postfwd kam ich eigentlich, weil das extrem > vielseitig ist - mal sehen, was ich irgendwann noch brauche. > >> Diese Einstellung erlaubt z. B. 2 Nachrichten pro Minute. >> Was spricht dagegen, auch eingehenden Traffic zu limitieren? Was >> machst Du bei einer DDOS-Attacke auf den Dienst? > > Gegen eine Limitierung der eingehenden Nachrichten spricht überhaupt > nichts, nur möchte ich da andere Grenzen setzen. Bei den gezeigten > Beispielen habe ich auch schon Absender limitiert, auf die ich gar nicht > gezielt habe. > > Dank und Gruß > > Hanns From juri at koschikode.com Tue Feb 22 18:25:49 2022 From: juri at koschikode.com (Juri Haberland) Date: Tue, 22 Feb 2022 18:25:49 +0100 Subject: Dmarc Probleme In-Reply-To: <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> Message-ID: <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> On 22/02/2022 17:31, Gerald Galster wrote: > Keine schöne Lösung: man könnte bei postfix das 8BITMIME EHLO keyword für Submission unterdrücken: > http://www.postfix.org/postconf.5.html#smtpd_discard_ehlo_keywords > (oder postscreen-Variante) Das bringt leider nichts, denn Thunderbird ignoriert meinen Tests nach das Fehlen von 8BITMIME und liefert *immer* 8bit ab. > Vielleicht könnte jemand von Heinlein mal schauen ob die 8/7-Bit Konvertierung bei amavisd-new noch sein muss, > denn an sich wird 8BITMIME angeboten (SMTPUTF8 ist in postfix deaktiviert): Dann wäre es zwar für diese Liste gelöst, aber du weißt nicht, welche Listen da draußen das genauso handhaben, wie Heinlein. Nicht zuletzt sieht man das erzwungene Konvertieren in 7bit in vielen HowTos zum Thema Postfix/Amavis/DKIM... Viele Grüße, Juri From michael at linuxfox.de Tue Feb 22 18:37:56 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 22 Feb 2022 18:37:56 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) Message-ID: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> Hallo Listlinge, bei einem Kollegen von mir hat sich die IP das Mailservers geändert, soweit so gut. Mails an die Telekom gehen natürlich nicht mehr, also eMail an tosa at rx.t-online.de gesendet (über relayhost). Bekomme ich tatsächlich die Meldung zurück, dass ich eine Internetseite bauen muss, wo extra der Name des Betreibers der Internetseite drin steht. Grmpf - ich baue also eine index.html -> indexdoofeteledoof.html: Ja, ich kann auch einen Webserver (nicht benötigt) für smtp aufsetzen - PTR reicht nicht mehr. "!!-->> ....sicherzustellen, dass die Domain zu einer Website führt, die eine Anbieterkennzeichnung mit sämtlichen Kontaktdaten beinhaltet.... <<--!!" Die Welt verblödet -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From ml-pbu at syntaxys.de Tue Feb 22 18:54:02 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 18:54:02 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> Message-ID: <30e51989-1f3d-e69c-6344-e5d30206690a@syntaxys.de> Ich hatte das gleiche Problem vor ein paar Monaten. Beim Umzug von einem dedizierten Server auf einen vServer konnte ich mein 29er Subnetz mit guter Reputation nicht mitnehmen, da ging das Theater los. Die Telekomiker sind ja recht schnell und hilfsbereit, aber versuch mal bei Microsoft eine IP freizuschalten. LG/A Am 22.02.22 um 18:37 schrieb Michael Grundmann: > Hallo Listlinge, > > bei einem Kollegen von mir hat sich die IP das Mailservers geändert, > soweit so gut. Mails an die Telekom gehen natürlich nicht mehr, also > eMail an tosa at rx.t-online.de gesendet (über relayhost). > > Bekomme ich tatsächlich die Meldung zurück, dass ich eine Internetseite > bauen muss, wo extra der Name des Betreibers der Internetseite drin steht. > > Grmpf - ich baue also eine index.html -> indexdoofeteledoof.html: > Ja, ich kann auch einen Webserver (nicht benötigt) für smtp aufsetzen - > PTR reicht nicht mehr. > > >    "!!-->> ....sicherzustellen, dass die Domain zu einer Website >    führt, die eine Anbieterkennzeichnung mit sämtlichen Kontaktdaten >    beinhaltet.... <<--!!" > > > Die Welt verblödet > From boris at cation.de Tue Feb 22 19:11:24 2022 From: boris at cation.de (Boris) Date: Tue, 22 Feb 2022 19:11:24 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> Message-ID: <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> Am 22.02.22 um 18:37 schrieb Michael Grundmann: > Hallo Listlinge, > > > Die Welt verblödet > Was erwartest Du von Rosa-Brille-Trägern?? Grüße, Boris From ml-pbu at syntaxys.de Tue Feb 22 20:28:14 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Feb 2022 20:28:14 +0100 Subject: =?UTF-8?Q?=2A=2A=2A_SPAM_=2A=2A=2A_Oliver_B?= =?UTF-8?Q?ohlen=2C_Manuel_Welke=2C_?= =?UTF-8?Q?Dieter_Neuer_=2E=2E=2E_=2D_od?= =?UTF-8?Q?er_so_=C3=A4hnlich=2E?= Message-ID: <337f6b6a-5181-819f-c133-d9e574620e45@syntaxys.de> Hallo Liste, dieser äußerst penetrante IMG-Spam schlägt ja nicht nur bei mir auf. Ich habe meinen lokalen FUZZY STORE damit trainiert, aber wenn die JPEGs 2-3x rekomprimiert wurden, bringt das nicht mehr viel. Der frei zugängliche FUZZY STORE von rspamd schlägt auch nicht immer an. Ansonsten vergebe ich über eine REGEXP-Map noch ein paar Extrapunkte an Oli, Manu & Didi. Da die meistens aus dem selben Adressbereich penetrieren, gibt's dafür auch noch Extrapunkte mehr bei rspamd. Trotzdem, gelegentlich schaffen es die Jungs unterhalb des REJECT-Scores durchzuschlüpfen. Wie geht Ihr damit um? Es ist ja auch ein unverschämtes Abgreifen von Ressourcen, da jede Nachricht mit im Schnitt 200 kB ja auch erst mal geprüft werden muss. Wie kann man das genauso unverschämt ausbremsen? LG/A From harald.witt at dpfa.de Tue Feb 22 20:23:35 2022 From: harald.witt at dpfa.de (harald.witt at dpfa.de) Date: Tue, 22 Feb 2022 20:23:35 +0100 Subject: AW: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <30e51989-1f3d-e69c-6344-e5d30206690a@syntaxys.de> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <30e51989-1f3d-e69c-6344-e5d30206690a@syntaxys.de> Message-ID: <000c01d82821$b12b5af0$138210d0$@dpfa.de> Kann ich nur bestätigen. Die Telekomik hat die Reputation auf Grund der veränderten IP nochmal zurückgesetzt und nach 24 Stunden war alles gut. Aber das mit gmail & Co. war der Hass! LG Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Achim Lammerts Gesendet: Dienstag, 22. Februar 2022 18:54 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: jetzt hab ich auch mal was - einfach Luft ablassen ;) Ich hatte das gleiche Problem vor ein paar Monaten. Beim Umzug von einem dedizierten Server auf einen vServer konnte ich mein 29er Subnetz mit guter Reputation nicht mitnehmen, da ging das Theater los. Die Telekomiker sind ja recht schnell und hilfsbereit, aber versuch mal bei Microsoft eine IP freizuschalten. LG/A Am 22.02.22 um 18:37 schrieb Michael Grundmann: > Hallo Listlinge, > > bei einem Kollegen von mir hat sich die IP das Mailservers geändert, > soweit so gut. Mails an die Telekom gehen natürlich nicht mehr, also > eMail an tosa at rx.t-online.de gesendet (über relayhost). > > Bekomme ich tatsächlich die Meldung zurück, dass ich eine > Internetseite bauen muss, wo extra der Name des Betreibers der Internetseite drin steht. > > Grmpf - ich baue also eine index.html -> indexdoofeteledoof.html: > Ja, ich kann auch einen Webserver (nicht benötigt) für smtp aufsetzen > - PTR reicht nicht mehr. > > > "!!-->> ....sicherzustellen, dass die Domain zu einer Website > führt, die eine Anbieterkennzeichnung mit sämtlichen Kontaktdaten > beinhaltet.... <<--!!" > > > Die Welt verblödet > From postfix at linuxmaker.de Wed Feb 23 08:38:22 2022 From: postfix at linuxmaker.de (Andreas) Date: Wed, 23 Feb 2022 08:38:22 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> Message-ID: <1863355.9nceEGd3Zo@stuttgart> Am Dienstag, 22. Februar 2022, 19:11:24 CET schrieb Boris: > Am 22.02.22 um 18:37 schrieb Michael Grundmann: > > Hallo Listlinge, > > > > > > Die Welt verblödet > > Was erwartest Du von Rosa-Brille-Trägern?? > > Grüße, > > > Boris Ich finde das zu einseitig, die Probleme solcher Konzerne mit Attributen und Farben zu versehen. Fakt ist, dass irgendjemand die Infrastruktur stellen und betreiben muss. Das macht in Deutschland der private Nachfolger der Deutschen Bundespost. Mal ehrlich, sind die Anderen, wie 1&1, Vodafone, Unitymedia etc., besser? Wohl kaum, zumal die auf derselben Infrastruktur aufsetzen. Und an den Schnittstellen zum Kunden sitzen meistens Menschen, die kaum das Fachwissen haben werden, das wir in der IT mitbringen. Für den normalen Alltagskunden reicht das meistens aus, allerdings auch nicht immer, vor allem wenn der Kunde mehr denkt als der Kundensupport. Ich hatte bei einem neuen Root-Server von Hetzner das gleiche Problem, dass Mails an @t-online.de-Adressen zurück kamen: https://www.spamresource.com/2020/06/whoops-t-onlinede-not-accepting-mail.html Ich denke, da wird sich so leicht auch nichts daran ändern, solange das große Heer unwissender Kunden glaubt, das Beste vom Besten bestellt zu haben. Was wiederum Aufklärung bedeuten würde. Eine Lösung dieser Telekom-Sicherheitsrichtlinien wären automatisierte Mails einmal im Monat an t-online-Adressen, damit der eigene Mailserver nicht ?vergessen? wird. Wer einen Telekom-Anschluss hat, hat ja automatisch so eine t-online-Adresse. Aber ob sich die Telekom da einen Gefallen tut, wenn alle Mailserver monatlich nur zu diesem Zweck Erinnerungsmails schicken? Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Wed Feb 23 08:47:57 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Wed, 23 Feb 2022 08:47:57 +0100 Subject: Dmarc Probleme In-Reply-To: <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> Message-ID: <9d86e3d6-f8be-ad3e-5c98-c128fe98856a@syntaxys.de> Guten Morgen zusammen, ich habe mir mal verschiedene Header in der Liste von rspamd angesehen, auch hier sind verschiedene Fallstricke zu überwinden. Zwar haben die keinen amavisd im Prozessablauf hängen, der eine Konvertierung erfordert, aber an jede Nachricht wird ein Abbinder angefügt. Dadurch wird die Signatur dann auch ungültig und führt zu Fehlern in der Auswertung bei den Empfängern. Man kann das verhindern, in dem man die DMARC policy auf quarantine oder reject stellt. Dann greift die Mitigation von Mailman, entfernt die Signatur des Users, schreibt FROM um und signiert die Nachricht neu. Weitere Info dazu hier: https://wiki.list.org/DEV/DMARC Das Problem ist: Man kann nicht von allen Mitgliedern einer Liste erwarten, daß sie Einfluss auf die DMARC-Einstellungen haben. Ein User ist z. B. über seine Adresse bei GMX bei lists.rspamd.com angemeldet und die Policy von GMX.net steht auf none, also greift die Mitigation nicht. Man kann auch nicht erwarten, daß alle User über veraltete MUAs in Listen kommunizieren, bei denen man wenigstens noch über ein normales Einstellungsmenü etwas auf 7bit oder quoted-printable umstellen kann. Ich hatte in einer anderen Mail schon gemeint, daß ein Forum gegenüber einer Mailinglist große Vorteile hat. Das SMTP ist m. E. einfach kaputt und für moderne Anforderungen einfach so nicht mehr brauchbar, weil es zu einfach zu missbrauchen ist. So ein Thread wie dieser wird daher immer wieder aufgemacht, da bin ich mir sicher. Die Listenbetreiber sollten schon auf den Anmeldeseiten oder in den Bestätigungs-Emails zur Anmeldung auf diese Problematik hinweisen. LG/A Am 22.02.22 um 18:25 schrieb Juri Haberland: > On 22/02/2022 17:31, Gerald Galster wrote: >> Keine schöne Lösung: man könnte bei postfix das 8BITMIME EHLO keyword für Submission unterdrücken: >> http://www.postfix.org/postconf.5.html#smtpd_discard_ehlo_keywords >> (oder postscreen-Variante) > > Das bringt leider nichts, denn Thunderbird ignoriert meinen Tests nach > das Fehlen von 8BITMIME und liefert *immer* 8bit ab. > >> Vielleicht könnte jemand von Heinlein mal schauen ob die 8/7-Bit Konvertierung bei amavisd-new noch sein muss, >> denn an sich wird 8BITMIME angeboten (SMTPUTF8 ist in postfix deaktiviert): > > Dann wäre es zwar für diese Liste gelöst, aber du weißt nicht, welche > Listen da draußen das genauso handhaben, wie Heinlein. Nicht zuletzt > sieht man das erzwungene Konvertieren in 7bit in vielen HowTos zum Thema > Postfix/Amavis/DKIM... > > Viele Grüße, > Juri From harald.witt at dpfa.de Wed Feb 23 08:49:59 2022 From: harald.witt at dpfa.de (harald.witt at dpfa.de) Date: Wed, 23 Feb 2022 08:49:59 +0100 Subject: AW: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <1863355.9nceEGd3Zo@stuttgart> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> <1863355.9nceEGd3Zo@stuttgart> Message-ID: <000601d82889$f589a9a0$e09cfce0$@dpfa.de> Danke, Andreas. Genau das habe ich auch gedacht. Aber du hast es mal aufgeschrieben ? Ich finde das zu einseitig, die Probleme solcher Konzerne mit Attributen und Farben zu versehen. Fakt ist, dass irgendjemand die Infrastruktur stellen und betreiben muss. Das macht in Deutschland der private Nachfolger der Deutschen Bundespost. Mal ehrlich, sind die Anderen, wie 1&1, Vodafone, Unitymedia etc., besser? Wohl kaum, zumal die auf derselben Infrastruktur aufsetzen. Und an den Schnittstellen zum Kunden sitzen meistens Menschen, die kaum das Fachwissen haben werden, das wir in der IT mitbringen. Für den normalen Alltagskunden reicht das meistens aus, allerdings auch nicht immer, vor allem wenn der Kunde mehr denkt als der Kundensupport. Ich hatte bei einem neuen Root-Server von Hetzner das gleiche Problem, dass Mails an @t-online.de-Adressen zurück kamen: https://www.spamresource.com/2020/06/whoops-t-onlinede-not-accepting-mail.html Ich denke, da wird sich so leicht auch nichts daran ändern, solange das große Heer unwissender Kunden glaubt, das Beste vom Besten bestellt zu haben. Was wiederum Aufklärung bedeuten würde. Eine Lösung dieser Telekom-Sicherheitsrichtlinien wären automatisierte Mails einmal im Monat an t-online-Adressen, damit der eigene Mailserver nicht ?vergessen? wird. Wer einen Telekom-Anschluss hat, hat ja automatisch so eine t-online-Adresse. Aber ob sich die Telekom da einen Gefallen tut, wenn alle Mailserver monatlich nur zu diesem Zweck Erinnerungsmails schicken? Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From juri at koschikode.com Wed Feb 23 09:07:45 2022 From: juri at koschikode.com (Juri Haberland) Date: Wed, 23 Feb 2022 09:07:45 +0100 Subject: Dmarc Probleme In-Reply-To: <9d86e3d6-f8be-ad3e-5c98-c128fe98856a@syntaxys.de> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> <9d86e3d6-f8be-ad3e-5c98-c128fe98856a@syntaxys.de> Message-ID: <95a5bcac-49be-2328-c04c-56ddab9f9fd7@koschikode.com> On 23.02.22 08:47, Achim Lammerts wrote: > ich habe mir mal verschiedene Header in der Liste von rspamd angesehen, > auch hier sind verschiedene Fallstricke zu überwinden. Zwar haben die > keinen amavisd im Prozessablauf hängen, der eine Konvertierung > erfordert, aber an jede Nachricht wird ein Abbinder angefügt. Dadurch > wird die Signatur dann auch ungültig und führt zu Fehlern in der > Auswertung bei den Empfängern. Nur eine kurze Anmerkung: Amavis *erfordert* es nicht - wie man an meinen älteren Mails sehen kann, signiert Amavis die Mails auch brav in 8bit - alles kein Problem. Nur wenn *jemand anderes* dann die Mail im Nachgang konvertiert, wie hier der Heinlein-Server, *dann* wird es zum Problem. Deshalb ist es proaktiv besser, alle Mails schon vor dem signieren zu konvertieren. > Man kann das verhindern, in dem man die DMARC policy auf quarantine oder > reject stellt. Dann greift die Mitigation von Mailman, entfernt die > Signatur des Users, schreibt FROM um und signiert die Nachricht neu. > Weitere Info dazu hier: https://wiki.list.org/DEV/DMARC Das ist leider eine Fehleinschätzung, denn deine DMARC-Policy ändert nichts an der Konvertierungsproblematik. Was andere Workarounds von z.B. Mailman angeht - die werden nur aktiviert, wenn der Betreiber auch einen halbwegs aktuellen Mailman einsetzt *und* die Workarounds auch aktiviert hat. > Das Problem ist: > Man kann nicht von allen Mitgliedern einer Liste erwarten, daß sie > Einfluss auf die DMARC-Einstellungen haben. Ein User ist z. B. über Deshalb sollte der Betreiber des Mailservers dieser User die Konvertierung erzwingen und am besten nicht eine DMARC-Policy von quarantine oder reject setzen, denn das ML-Problem ist nach wie vor nicht zufriedenstellend gelöst. Und ML-Betreiber sollten tunlichst auf Änderungen des Subjects und des Bodies (Footer!) verzichten... > Ich hatte in einer anderen Mail schon gemeint, daß ein Forum gegenüber > einer Mailinglist große Vorteile hat. Das SMTP ist m. E. einfach kaputt > und für moderne Anforderungen einfach so nicht mehr brauchbar, weil es > zu einfach zu missbrauchen ist. Ich weiß nicht, was alle Leute an Foren finden. Katastrophal in der Übersicht und blöde zu handeln. Ich persönlich hasse Foren. Viele Grüße, Juri From juri at koschikode.com Wed Feb 23 09:21:47 2022 From: juri at koschikode.com (Juri Haberland) Date: Wed, 23 Feb 2022 09:21:47 +0100 Subject: Dmarc Probleme In-Reply-To: <95a5bcac-49be-2328-c04c-56ddab9f9fd7@koschikode.com> References: <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> <9d86e3d6-f8be-ad3e-5c98-c128fe98856a@syntaxys.de> <95a5bcac-49be-2328-c04c-56ddab9f9fd7@koschikode.com> Message-ID: On 23.02.22 09:07, Juri Haberland wrote: > Was andere Workarounds von z.B. Mailman > angeht - die werden nur aktiviert, wenn der Betreiber auch einen halbwegs > aktuellen Mailman einsetzt *und* die Workarounds auch aktiviert hat. Dazu muss ich sagen, dass ich mir noch nicht Mailman 3 angesehen habe, da mag es anders sein. Viele Grüße, Juri From hanns at hannsmattes.de Wed Feb 23 10:34:39 2022 From: hanns at hannsmattes.de (Hanns Mattes) Date: Wed, 23 Feb 2022 10:34:39 +0100 Subject: =?UTF-8?Q?Re=3a_Ratelimit_f=c3=bcr_sasl=5fusername?= In-Reply-To: <7905754a-0791-30be-1f19-223bad11eb1a@syntaxys.de> References: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> <46dcb2f2-a8ef-958d-de2d-e86af634259b@hannsmattes.de> <7905754a-0791-30be-1f19-223bad11eb1a@syntaxys.de> Message-ID: <431b7cf2-0ba7-5d3f-292d-1e4750bfe238@hannsmattes.de> Hei, Am 22.02.22 um 18:23 schrieb Achim Lammerts: > [...] > Vielleicht hilft Dir diese Regel bei postfwd weiter (ungetestet): > sasl_username=~/^(\S+)$/ > action=rcpt(sasl_username/1000/86400/450 4.7.1\ only 1000 messages per > day for $$sasl_username) Danke, klappt. Grüße Hanns From list+postfixbuch at gcore.biz Wed Feb 23 12:27:11 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 23 Feb 2022 12:27:11 +0100 Subject: Dmarc Probleme In-Reply-To: <95a5bcac-49be-2328-c04c-56ddab9f9fd7@koschikode.com> References: <003f01d7fca5$0ccd3f20$2667bd60$@mail24.vip> <10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de> <46bcf61e-8cdd-e0fa-b028-6d46e6c7455c@koschikode.com> <317D63B4-1A58-4D6D-B704-D46B0585F592@gcore.biz> <6C4E8ADC-E59E-44C7-BF4D-8CC9A48B23B8@gcore.biz> <58d1e214-0eea-882a-05d8-fc8581109788@syntaxys.de> <05a9c0a1-ee89-b338-2a46-c2e23bbe9f69@bodici.de> <0CC5B575-BDD4-4356-B6F1-EC5828E2F1C2@gcore.biz> <9d6ee068-265b-33ac-0620-5184bfa04d1b@koschikode.com> <9d86e3d6-f8be-ad3e-5c98-c128fe98856a@syntaxys.de> <95a5bcac-49be-2328-c04c-56ddab9f9fd7@koschikode.com> Message-ID: >> Ich hatte in einer anderen Mail schon gemeint, daß ein Forum gegenüber >> einer Mailinglist große Vorteile hat. Das SMTP ist m. E. einfach kaputt >> und für moderne Anforderungen einfach so nicht mehr brauchbar, weil es >> zu einfach zu missbrauchen ist. > > Ich weiß nicht, was alle Leute an Foren finden. Katastrophal in der > Übersicht und blöde zu handeln. Ich persönlich hasse Foren. Ich bin froh, dass es nach wie vor Mailinglisten gibt. Man hat alle Infos lokal im Mailprogramm und kann schnell sein Archiv durchsuchen. Über Sicherheitslücken oder ähnliches ist man durch Mailinglisten viel schneller informiert als wenn man erst diverse Foren durchschauen muss. Es gibt zwar Benachrichtigungsmails aber dann muss man sich im Forum einloggen. So kann man einfach auf eine Mail antworten. Die zunehmende Verlagerung hin zu "wir haben ein tolles neues Portal, log dich ein um ein Dokument herunterzuladen" gefällt mir immer weniger weil es im Endeffekt mehr Zeit verschlingt. In Foren melden sich die Leute meist nur an wenn sie ein Problem haben und sind wieder weg sobald es gelöst ist. Bei Mailinglisten finde ich die Hemmschwelle niedriger vielleicht doch mal auf ein Problem eines anderen Benutzers zu antworten. Die Entwicklung geht auch bei Mailinglisten weiter. Bei Mailman 3 gibt es z.B. Postorious als Verwaltungsoberfläche und Hyperkitty als Archivierer. Damit sind Mailinglisten ähnlich nutzbar wie Foren, siehe z.B. die Fedora Mailinglisten: https://lists.fedoraproject.org/archives/list/devel at lists.fedoraproject.org/ Ich sehe dort einen Button "Start a new thread", vermutlich kann man so auch direkt im Webinterface auf eine Mail antworten. Was die DMARC-Mitigation betrifft hat man bei Mailman 3 folgende Optionen: - No DMARC mitigations - Replace From: with list address - Wrap the message in an outer message From: the list - Reject the message - Discard the message und die Option "DMARC Mitigate unconditionally" yes/no. Vielleicht sind mittlerweile weitere Optionen dazugekommen, meine Version ist nicht die aktuellste. Viele Grüße Gerald From fk+postfix at celebrate.de Wed Feb 23 13:58:14 2022 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Wed, 23 Feb 2022 13:58:14 +0100 Subject: =?UTF-8?Q?Re=3a_***_SPAM_***_Oliver_Bohlen=2c_Manuel_Welke=2c_Diete?= =?UTF-8?Q?r_Neuer_=2e=2e=2e_-_oder_so_=c3=a4hnlich=2e?= In-Reply-To: <337f6b6a-5181-819f-c133-d9e574620e45@syntaxys.de> References: <337f6b6a-5181-819f-c133-d9e574620e45@syntaxys.de> Message-ID: Am 22.02.2022 um 20:28 schrieb Achim Lammerts: > Hallo Liste, > dieser äußerst penetrante IMG-Spam schlägt ja nicht nur bei mir auf. > Wie geht Ihr damit um? Ich habe seit Jahren eine mittlerweile relativ große IP Liste, wo ich diese Server blocke. Dabei monitore ich auch erneute Anklopfversuche => Die Katze lässt das Mausen nicht. Bislang keine Falsch Positive, dazu noch alle Shodan-Census und DigitalOcean Verbrecher weggeblockt. lg Frank From florian at bodici.de Wed Feb 23 16:49:20 2022 From: florian at bodici.de (Florian) Date: Wed, 23 Feb 2022 16:49:20 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <1863355.9nceEGd3Zo@stuttgart> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> <1863355.9nceEGd3Zo@stuttgart> Message-ID: <99b1a879-da82-03e7-10bb-4bd06b430ce2@bodici.de> Hallo zusammen, die Aufgabe der ISPs ist nun einmal Spam von Ham zu unterscheiden. Wenn ihr keine Massen an Mails von eurer Domäne verschickt, die der Empfängerseite messbar gefallen und ihm zu einer guten Reputation verhelfen (mails werden geöffnet und geklickt, wenig Hard bounces, Spamtraps, Beschwerden, etc.), dann seid ihr als Sender auf einer Stufe mit unbekannten Versendern, möglicherweise Spammern. Die beste Möglichkeit, sich vor ungewollten Spamzustellungen zu schützen, ist technisch korrekt zu Authentifizieren. SPF, DKIM, am besten auch eine DMARC policy. Wenn möglich mit aligned Domains (SMTP FROM, MAIL FROM, DKIM d=). Insbesondere Alignment wird zunehmend wichtiger und kritischer gesehen. Zum Prüfen der Vertrauenswürdigkeit gehört auch, dass bei kommerziellen Mails Impressum und Abmeldelinks vorhanden sind (am besten one-click). Auch eine Website unter der verwendeten Absendedomain mit Hinweisen auf den Versender können Vertrauen schaffen. Das kann man doof finden, aber je mehr Hinwese der ISP auf Eure Vertrauenswürdigkeit haben kann, desto besser. Seid ihr blockiert, z.B. bei T-Online, dann schreibt doch eine nette Mail mit Hinweis darauf was ihr tut (privater Mailserver), mit Euren dazugehörigen IPs und Domains und schon sind die Probleme meist direkt gelöst. Bei Microsoft und Gmail bekommt man zwar meist keine (menschengeschriebene) Antwort, aber Anfragen haben dennoch den gewünschten Effekt. Und ja: eine "neue" IP kann durchaus Historie haben und sich über lange Jahre halten. Es sei denn man schreibt die Blocklists an, bei denen es Probleme gibt, erklärt die neue Nutzung, IPs, Domains und meist wird einem dann sehr schnell und unkompliziert geholfen :) Viele Grüße, Florian Vierke mobile: +49 177 8079538 Motto des Monats: Kopf hoch, bald ist wieder Sommer! Am 23.02.2022 um 08:38 schrieb Andreas: > > Ich finde das zu einseitig, die Probleme solcher Konzerne mit Attributen > und Farben zu versehen. > > Fakt ist, dass irgendjemand die Infrastruktur stellen und betreiben > muss. Das macht in Deutschland der private Nachfolger der Deutschen > Bundespost. > > Mal ehrlich, sind die Anderen, wie 1&1, Vodafone, Unitymedia etc., > besser? Wohl kaum, zumal die auf derselben Infrastruktur aufsetzen. > > > Und an den Schnittstellen zum Kunden sitzen meistens Menschen, die kaum > das Fachwissen haben werden, das wir in der IT mitbringen. Für den > normalen Alltagskunden reicht das meistens aus, allerdings auch nicht > immer, vor allem wenn der Kunde mehr denkt als der Kundensupport. > > > Ich hatte bei einem neuen Root-Server von Hetzner das gleiche Problem, > dass Mails an @t-online.de-Adressen zurück kamen: > > https://www.spamresource.com/2020/06/whoops-t-onlinede-not-accepting-mail.html > > > > > Ich denke, da wird sich so leicht auch nichts daran ändern, solange das > große Heer unwissender Kunden glaubt, das Beste vom Besten bestellt zu > haben. Was wiederum Aufklärung bedeuten würde. > > > Eine Lösung dieser Telekom-Sicherheitsrichtlinien wären automatisierte > Mails einmal im Monat an t-online-Adressen, damit der eigene Mailserver > nicht ?vergessen? wird. Wer einen Telekom-Anschluss hat, hat ja > automatisch so eine t-online-Adresse. Aber ob sich die Telekom da einen > Gefallen tut, wenn alle Mailserver monatlich nur zu diesem Zweck > Erinnerungsmails schicken? > > > Beste Grüße > > > Andreas > > From michael at linuxfox.de Wed Feb 23 16:55:49 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Wed, 23 Feb 2022 16:55:49 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <99b1a879-da82-03e7-10bb-4bd06b430ce2@bodici.de> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> <1863355.9nceEGd3Zo@stuttgart> <99b1a879-da82-03e7-10bb-4bd06b430ce2@bodici.de> Message-ID: Am 23.02.22 um 16:49 schrieb Florian: Hi, > Die beste Möglichkeit, sich vor ungewollten Spamzustellungen zu > schützen, ist technisch korrekt zu Authentifizieren. SPF, DKIM, am > besten auch eine DMARC policy. Wenn möglich mit aligned Domains (SMTP > FROM, MAIL FROM, DKIM d=). Insbesondere Alignment wird zunehmend > wichtiger und kritischer gesehen. da bin ich ja absolut bei dir, ABER doch bitte nicht bei einem WebServer :) -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From daniel at mail24.vip Wed Feb 23 17:05:38 2022 From: daniel at mail24.vip (Daniel) Date: Wed, 23 Feb 2022 17:05:38 +0100 Subject: Dmarc Probleme In-Reply-To: References: Message-ID: <117080DE-40A4-48B9-B304-6FA0F345EC78@mail24.vip> Moin, seid ihr bald fertig mit testen? Durch die ganzen Fehler hat mich die Mail Liste schon rausgeschmissen wegen zuvielen bounces. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2333 bytes Beschreibung: nicht verfügbar URL : From boris at cation.de Wed Feb 23 23:16:08 2022 From: boris at cation.de (Boris) Date: Wed, 23 Feb 2022 23:16:08 +0100 Subject: jetzt hab ich auch mal was - einfach Luft ablassen ;) In-Reply-To: <1863355.9nceEGd3Zo@stuttgart> References: <197808eb-4ca6-8ce3-6468-3fde68f51a4e@linuxfox.de> <84716267-ed39-ca64-0776-ff6ce3c60b7e@cation.de> <1863355.9nceEGd3Zo@stuttgart> Message-ID: <3eba473b-48ac-4093-0a0b-d85f0309327d@cation.de> Am 23.02.22 um 08:38 schrieb Andreas: > Am Dienstag, 22. Februar 2022, 19:11:24 CET schrieb Boris: > > > Am 22.02.22 um 18:37 schrieb Michael Grundmann: > > > > Hallo Listlinge, > > > > > > > > > > > > Die Welt verblödet > > > > > > Was erwartest Du von Rosa-Brille-Trägern?? > > > > > > Grüße, > > > > > > > > > Boris > > > Ich finde das zu einseitig, die Probleme solcher Konzerne mit Attributen > und Farben zu versehen. > > Fakt ist, dass irgendjemand die Infrastruktur stellen und betreiben > muss. Das macht in Deutschland der private Nachfolger der Deutschen > Bundespost. > > Mal ehrlich, sind die Anderen, wie 1&1, Vodafone, Unitymedia etc., > besser? Wohl kaum, zumal die auf derselben Infrastruktur aufsetzen. > 'n Abend zusammen, sorry, mein Beitrag war nicht besonders sachlich. Aktuell empfinde ich Frust mit dem Ex-Monopolisten. Der Netzausbau ist im internationalen Vergleich ordentlich hinterher. Dafür trägt der Reise neben den politischen Instanzen Verantwortung. Gerade 'draußen' sieht es übel aus. Durch die Division des Riesen in kleinere Teilunternehmen entsteht dort eine eklatante Koordinationsschwäche, die sich in solchen Auswüchsen darstellt, wie sie der OP aufgezeigt hat. Aber ja, die anderen Genannten machen's auch nicht besser. Servicewüste. Grüße, Boris From mailinglisten at pothe.de Thu Feb 24 06:42:08 2022 From: mailinglisten at pothe.de (Andreas Pothe) Date: Thu, 24 Feb 2022 06:42:08 +0100 Subject: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: References: Message-ID: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> Moin, was habt ihr denn hier kaputt gemacht, dass die Mailingliste ihre User rausschmeißt? Spam verteilt, sodass der Server die Annahme verweigert hat oder was ist hier los? VG Andreas -------- Weitergeleitete Nachricht -------- Betreff: confirm c42b5bde9f9e0483d6ebdc5e8cb0e473fe9bc3c1 Datum: Wed, 23 Feb 2022 16:59:40 +0100 Von: postfixbuch-users-request at listen.jpberlin.de An: mailinglisten at pothe.de Ihre Mitgliedschaft in der Mailingliste Postfixbuch-users wurde wegen due to excessive bounces The last bounce received from you was dated 23-Feb-2022 vorübergehend deaktiviert. Sie werden so lange keine Nachrichten dieser Liste mehr erhalten, bis Sie Ihre Mitgliedschaft wieder aktivieren. Unser System sendet Ihnen noch 3 weitere Mitteilungen, danach wird Ihre Mitgliedschaft hier komplett gelöscht werden. -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Thu Feb 24 06:44:45 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 24 Feb 2022 06:44:45 +0100 Subject: =?UTF-8?Q?Re=3a_Ratelimit_f=c3=bcr_sasl=5fusername?= In-Reply-To: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> References: <20220222155702.256DA6AD62@ilpostino.jpberlin.de> Message-ID: <06782a0b-a2de-a114-d4de-a08760d6a1d7@syntaxys.de> Guten Morgen Liste, das Problem hat sich zwar für Hanns gelöst, aber ich würde den Thread doch gerne noch etwas weiterführen, da ich das Thema interessant finde. Aktuell habe ich globale Einstellungen im Postfix gesetzt als Prävention gegen gehackte Nutzerkonten. Es gibt jedoch auch die Möglichkeit, ein rate limit mit rspamd abzubilden. Damit wären dann auch Vorgaben pro Nutzerkonto möglich. Hat jemand eine Anleitung dazu, wie man das umsetzt? Vielen Dank! Achim Am 22.02.22 um 16:51 schrieb Hanns Mattes: > Hallo, liebe Liste, > > ganz leicht OT, aber vielleicht hat doch jemand einen Tip: > > Ich will mit postfwd3 ein Limit für ausgehende Mails verhängen, damit > z.B. bei einem geknackten Account der Schaden begrenzt wird. > > Erst einmal hatte ich so etwas angelegt: > > id=R001; action=rate(sender/1000/86400/450 4.7.1 only 1000 messages per > day for $$sender [$$ratecount hits]) > > id=R002; action=rate(sender/250/3600/450 4.7.2 only 250 messages per > hour for for $$sender [$$ratecount hits]) > > ... aber das trifft nach meinem Verständnis ja auch einliefernde > Absender, was ich ja gar nicht will. > > Also dachte ich mir, das etwa so zu lösen: > > id=R001; sasl_username=~/./ ; action=rate(sasl_username/1000/86400/450 4.7.1\ > only 1000 messages per day for $$sasl_username) > id=R002; sasl_username=~^/./ ; action=rate(sasl_username/250/3600/450 4.7.2 o\ > nly 250 messages per hour for $$sasl_username) > > Klappt aber nicht. Falscher regulärer Ausdruck? Ganz anderer Fehler? > > Mit Dank im Voraus > > Hanns Mattes From ml-pbu at syntaxys.de Thu Feb 24 06:51:12 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 24 Feb 2022 06:51:12 +0100 Subject: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> Message-ID: Es liegt an den vielen ungültigen DKIM-Signaturen, die die Liste erzeugt. Es gab in den letzten Tagen einen langen Thread dazu. Ich vermute mal, daß auch viele Nachrichten zu anderen Threads deshalb von Euch gebounced werden, wenn eine ansonsten gültige DKIM-Signatur durch die Liste ungültig wird. Ihr müsst die Liste deshalb whitelisten oder zumindest einen negativen Score vergeben. Besser wäre es, wenn der Listenbetreiber eine Lösung finden würde. Am 24.02.22 um 06:42 schrieb Andreas Pothe: > Moin, > > was habt ihr denn hier kaputt gemacht, dass die Mailingliste ihre User > rausschmeißt? Spam verteilt, sodass der Server die Annahme verweigert > hat oder was ist hier los? > > VG > Andreas > > > > -------- Weitergeleitete Nachricht -------- > Betreff: confirm c42b5bde9f9e0483d6ebdc5e8cb0e473fe9bc3c1 > Datum: Wed, 23 Feb 2022 16:59:40 +0100 > Von: postfixbuch-users-request at listen.jpberlin.de > An: mailinglisten at pothe.de > > > > Ihre Mitgliedschaft in der Mailingliste Postfixbuch-users wurde wegen > due to excessive bounces The last bounce received from you was dated > 23-Feb-2022 vorübergehend deaktiviert. > > Sie werden so lange keine Nachrichten dieser Liste mehr erhalten, bis > Sie Ihre Mitgliedschaft wieder aktivieren. > > Unser System sendet Ihnen noch 3 weitere Mitteilungen, danach wird > Ihre Mitgliedschaft hier komplett gelöscht werden. > > From daniel at mail24.vip Thu Feb 24 07:10:43 2022 From: daniel at mail24.vip (Daniel) Date: Thu, 24 Feb 2022 07:10:43 +0100 Subject: AW: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> Message-ID: <001601d82945$418cd320$c4a67960$@mail24.vip> Moin, Hier sollten manche die Einstellungen prüfen. Folgende Domains sind zumindest im Log erschienen: milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for pothe.de milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for linuxfox.de milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for bodici.de milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for syntaxys.de milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for koschikode.com milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for schafweide.org Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Achim Lammerts Gesendet: Donnerstag, 24. Februar 2022 06:51 An: postfixbuch-users at listen.jpberlin.de Betreff: Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx Es liegt an den vielen ungültigen DKIM-Signaturen, die die Liste erzeugt. Es gab in den letzten Tagen einen langen Thread dazu. Ich vermute mal, daß auch viele Nachrichten zu anderen Threads deshalb von Euch gebounced werden, wenn eine ansonsten gültige DKIM-Signatur durch die Liste ungültig wird. Ihr müsst die Liste deshalb whitelisten oder zumindest einen negativen Score vergeben. Besser wäre es, wenn der Listenbetreiber eine Lösung finden würde. Am 24.02.22 um 06:42 schrieb Andreas Pothe: > Moin, > > was habt ihr denn hier kaputt gemacht, dass die Mailingliste ihre User > rausschmeißt? Spam verteilt, sodass der Server die Annahme verweigert > hat oder was ist hier los? > > VG > Andreas > > > > -------- Weitergeleitete Nachricht -------- > Betreff: confirm c42b5bde9f9e0483d6ebdc5e8cb0e473fe9bc3c1 > Datum: Wed, 23 Feb 2022 16:59:40 +0100 > Von: postfixbuch-users-request at listen.jpberlin.de > An: mailinglisten at pothe.de > > > > Ihre Mitgliedschaft in der Mailingliste Postfixbuch-users wurde wegen > due to excessive bounces The last bounce received from you was dated > 23-Feb-2022 vorübergehend deaktiviert. > > Sie werden so lange keine Nachrichten dieser Liste mehr erhalten, bis > Sie Ihre Mitgliedschaft wieder aktivieren. > > Unser System sendet Ihnen noch 3 weitere Mitteilungen, danach wird > Ihre Mitgliedschaft hier komplett gelöscht werden. > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5545 bytes Beschreibung: nicht verfügbar URL : From mailinglisten at pothe.de Thu Feb 24 07:29:16 2022 From: mailinglisten at pothe.de (Andreas Pothe) Date: Thu, 24 Feb 2022 07:29:16 +0100 Subject: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> Message-ID: <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> Am 24.02.2022 um 06:51 schrieb Achim Lammerts: > Es liegt an den vielen ungültigen DKIM-Signaturen, die die Liste > erzeugt. Es gab in den letzten Tagen einen langen Thread dazu. > Ich vermute mal, daß auch viele Nachrichten zu anderen Threads deshalb > von Euch gebounced werden, wenn eine ansonsten gültige DKIM-Signatur > durch die Liste ungültig wird. Danke für den Hinweis. Ich hatte den Thread nicht verfolgt. Aber ja, mir fällt gerade auf, dass meine eigenen Nachrichten mir auch nicht zugestellt werden und wegen eines vermeindlich kaputten DKIM/DMARC abgelehnt werden. Ich schließe mich den Aussagen im Thread an, dass da mal der mailman heile gemacht werden sollte :( Falls Du in dem Thread Recht hast, müsste diese Mail auch bei mir ankommen, habe im Thunderbird mal Strictly Mime eingeschaltet. VG Andreas From ml-pbu at syntaxys.de Thu Feb 24 07:58:39 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 24 Feb 2022 07:58:39 +0100 Subject: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <001601d82945$418cd320$c4a67960$@mail24.vip> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <001601d82945$418cd320$c4a67960$@mail24.vip> Message-ID: <5db21973-2e2a-371a-60c0-e378832ff76b@syntaxys.de> Es wäre völlig absurd, möglichst lasche oder gar keine DMARC-Einträge zu führen, nur damit die veraltete Software der Liste (oder Konfiguration derer) halbwegs damit klar kommt. Am 24.02.22 um 07:10 schrieb Daniel: > Moin, > > Hier sollten manche die Einstellungen prüfen. > > Folgende Domains sind zumindest im Log erschienen: > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for pothe.de > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for linuxfox.de > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for bodici.de > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for syntaxys.de > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for koschikode.com > milter-reject for END-OF-MESSAGE. 5.7.1 rejected by DMARC policy for schafweide.org > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Achim Lammerts > Gesendet: Donnerstag, 24. Februar 2022 06:51 > An: postfixbuch-users at listen.jpberlin.de > Betreff: Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx > > Es liegt an den vielen ungültigen DKIM-Signaturen, die die Liste > erzeugt. Es gab in den letzten Tagen einen langen Thread dazu. > Ich vermute mal, daß auch viele Nachrichten zu anderen Threads deshalb > von Euch gebounced werden, wenn eine ansonsten gültige DKIM-Signatur > durch die Liste ungültig wird. > > Ihr müsst die Liste deshalb whitelisten oder zumindest einen negativen > Score vergeben. > > Besser wäre es, wenn der Listenbetreiber eine Lösung finden würde. > > Am 24.02.22 um 06:42 schrieb Andreas Pothe: >> Moin, >> >> was habt ihr denn hier kaputt gemacht, dass die Mailingliste ihre User >> rausschmeißt? Spam verteilt, sodass der Server die Annahme verweigert >> hat oder was ist hier los? >> >> VG >> Andreas >> >> >> >> -------- Weitergeleitete Nachricht -------- >> Betreff: confirm c42b5bde9f9e0483d6ebdc5e8cb0e473fe9bc3c1 >> Datum: Wed, 23 Feb 2022 16:59:40 +0100 >> Von: postfixbuch-users-request at listen.jpberlin.de >> An: mailinglisten at pothe.de >> >> >> >> Ihre Mitgliedschaft in der Mailingliste Postfixbuch-users wurde wegen >> due to excessive bounces The last bounce received from you was dated >> 23-Feb-2022 vorübergehend deaktiviert. >> >> Sie werden so lange keine Nachrichten dieser Liste mehr erhalten, bis >> Sie Ihre Mitgliedschaft wieder aktivieren. >> >> Unser System sendet Ihnen noch 3 weitere Mitteilungen, danach wird >> Ihre Mitgliedschaft hier komplett gelöscht werden. >> >> From cr at ncxs.de Thu Feb 24 18:41:34 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 24 Feb 2022 18:41:34 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> Message-ID: <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> Hi, Die vielen Bounces lag scheinbar daran, dass in den letzten Tagen scheinbar ein paar Provider mehr DMARC Reject auch wirklich auslösen. Eigentlich eine gute Sache. Wir haben fürs erste DMARC Munging aktiviert, das heißt alle Einsender mit DMARC policy werden im Mailman umgeschrieben und unter der Listen-Adressen rausgeschickt. Wie andere Listen eben auch. Wie man Mailman abgewöhnt immer noch teilweise nach US-ASCII zu konvertieren, suchen wir aber noch :) Viele Grüße Carsten On 24.02.22 07:29, Andreas Pothe wrote: > > > Am 24.02.2022 um 06:51 schrieb Achim Lammerts: >> Es liegt an den vielen ungültigen DKIM-Signaturen, die die Liste >> erzeugt. Es gab in den letzten Tagen einen langen Thread dazu. >> Ich vermute mal, daß auch viele Nachrichten zu anderen Threads deshalb >> von Euch gebounced werden, wenn eine ansonsten gültige DKIM-Signatur >> durch die Liste ungültig wird. > > Danke für den Hinweis. Ich hatte den Thread nicht verfolgt. Aber ja, mir > fällt gerade auf, dass meine eigenen Nachrichten mir auch nicht > zugestellt werden und wegen eines vermeindlich kaputten DKIM/DMARC > abgelehnt werden. > > Ich schließe mich den Aussagen im Thread an, dass da mal der mailman > heile gemacht werden sollte :( > > Falls Du in dem Thread Recht hast, müsste diese Mail auch bei mir > ankommen, habe im Thunderbird mal Strictly Mime eingeschaltet. > > VG > Andreas From juri at koschikode.com Thu Feb 24 21:38:59 2022 From: juri at koschikode.com (Juri Haberland) Date: Thu, 24 Feb 2022 21:38:59 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> Message-ID: <384fc613-40ab-9776-fb02-61ac60421a1a@koschikode.com> On 24/02/2022 18:41, Carsten Rosenberg via Postfixbuch-users wrote: > Wie man Mailman abgewöhnt immer noch teilweise nach US-ASCII zu > konvertieren, suchen wir aber noch :) Das wird Postfix machen, getriggert durch euren Amavis - sucht mal in der Amavis-Config nach smtpd_discard_ehlo_keywords => ['8BITMIME'] Viele Grüße, Juri From juri at koschikode.com Thu Feb 24 21:55:22 2022 From: juri at koschikode.com (Juri Haberland) Date: Thu, 24 Feb 2022 21:55:22 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <384fc613-40ab-9776-fb02-61ac60421a1a@koschikode.com> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> <384fc613-40ab-9776-fb02-61ac60421a1a@koschikode.com> Message-ID: <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> Und das ist einer der Nachteile dieses DMARC-From-Mungings: Diese Mail sollte eigentlich nur an Carsten gehen, weshalb ich in Thunderbird auf "Reply" anstatt "Reply to list" gedrückt hatte - ging vorher, jetzt aber geht es immer an die Liste. :-( Ich hasse DMARC und Yahoo, die dafür verantwortlich sind, dass DMARC auf normale Nutzerdomains losgelassen wurde... Grüße, Juri On 24/02/2022 21:38, Juri Haberland via Postfixbuch-users wrote: > On 24/02/2022 18:41, Carsten Rosenberg via Postfixbuch-users wrote: > >> Wie man Mailman abgewöhnt immer noch teilweise nach US-ASCII zu >> konvertieren, suchen wir aber noch :) > > Das wird Postfix machen, getriggert durch euren Amavis - sucht mal in > der Amavis-Config n > > smtpd_discard_ehlo_keywords => ['8BITMIME'] > > > Viele Grüße, > Juri From mailinglisten at pothe.de Fri Feb 25 07:23:53 2022 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 25 Feb 2022 07:23:53 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> Message-ID: Am 24.02.2022 um 18:41 schrieb Carsten Rosenberg via Postfixbuch-users: > Wir haben fürs erste DMARC Munging aktiviert, das heißt alle Einsender > mit DMARC policy werden im Mailman umgeschrieben und unter der > Listen-Adressen rausgeschickt. Wie andere Listen eben auch. > > Wie man Mailman abgewöhnt immer noch teilweise nach US-ASCII zu > konvertieren, suchen wir aber noch :) Danke für den schnellen Workaround, ich drücke Euch die Daumen, dass Ihr schnell fündig werdet. VG Andreas From ml-pbu at syntaxys.de Fri Feb 25 07:31:09 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Fri, 25 Feb 2022 07:31:09 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> <384fc613-40ab-9776-fb02-61ac60421a1a@koschikode.com> <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> Message-ID: Guten Morgen! Am 24.02.22 um 21:55 schrieb Juri Haberland via Postfixbuch-users: > Und das ist einer der Nachteile dieses DMARC-From-Mungings: > Diese Mail sollte eigentlich nur an Carsten gehen, weshalb ich in > Thunderbird auf "Reply" anstatt "Reply to list" gedrückt hatte - ging > vorher, jetzt aber geht es immer an die Liste. :-( Man kann zumindest im TB unter "Liste antworten > allen antworten" auch den Verfasser ins CC-Feld setzen und das dann ggfls. umstellen. Ja klar, das ist umständlich. Aber wie oft antwortest Du jemandem direkt? Bei mir ist's eher umgekehrt. Ich hab schon ein paar Mal in der Eile per Strg+R direkt geantwortet, anstatt an die Liste. > Ich hasse DMARC und Yahoo, die dafür verantwortlich sind, dass DMARC auf > normale Nutzerdomains losgelassen wurde... Ok, wie hättest Du es denn angegangen, Spam und gefälschte Absender zu erschweren? Ich finde es ganz gut und würde es konsequent genutzt werden, hätten wir weniger Probleme in der Hinsicht. Außerdem habe ich heute meinen hassfreien Tag. -- Direktkontakt: ml-pbu at syntaxys.de From mailinglisten at pothe.de Fri Feb 25 07:32:06 2022 From: mailinglisten at pothe.de (Andreas Pothe) Date: Fri, 25 Feb 2022 07:32:06 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> References: <40760637-c78b-afd1-c827-8258ea350734@pothe.de> <25a4437b-03d7-de08-8ea6-40b3a943cf21@pothe.de> <099cc2a2-f2f5-27b8-47f9-bdceaec67399@ncxs.de> <384fc613-40ab-9776-fb02-61ac60421a1a@koschikode.com> <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> Message-ID: Am 24.02.2022 um 21:55 schrieb Juri Haberland via Postfixbuch-users: > Und das ist einer der Nachteile dieses DMARC-From-Mungings: > Diese Mail sollte eigentlich nur an Carsten gehen, weshalb ich in > Thunderbird auf "Reply" anstatt "Reply to list" gedrückt hatte - ging > vorher, jetzt aber geht es immer an die Liste. :-( Das ist natürlich nicht so schön, aber da es ein Dirty Fix/Workaround ist, kann man IMHO damit für ein paar Tage leben. Besser, als wenn Nachrichten bei vielen nicht zugestellt werden können oder man gar aus der Liste fliegt, obwohl man selbst alles richtig gemacht hat. > Ich hasse DMARC und Yahoo, die dafür verantwortlich sind, dass DMARC auf > normale Nutzerdomains losgelassen wurde... Und ich finde DMARC eine tolle Sache. Seitdem das von den großen Providern ausgewertet wird, habe ich keine Beschwerden mehr gehabt, weil ich angeblich Spam verschickt hätte. Hatte ich auch vorher nicht, aber meine Domains wurden häufig von Spamversendern als Absender missbraucht, was jetzt dazu führt, dass diese Spammails bei vielen nicht mehr angenommen werden, da die passende DKIM-Signatur fehlt und auch der SPF nicht passt und ich im DMARC ein hartes Reject eingetragen habe. Also, ich finde es top! Schade halt, dass manche Mailingliste damit Probleme hat. Da ich selber keine betreibe, weiß ich aber nicht, ob ein Upgrade von Mailman 2 auf Mailman 3 Abhilfe schaffen würde oder ob das Problem woanders liegt. Du hattest ja schon einen Hinweis auf Postfix/Amavis gegeben. VG Andreas From ffiene at veka.com Fri Feb 25 09:15:37 2022 From: ffiene at veka.com (Frank Fiene) Date: Fri, 25 Feb 2022 09:15:37 +0100 Subject: AntiVirus Message-ID: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> Wir hatten ja letztens die Frage, welche AntiVirus Alternativen es für rspamd gibt, nachdem Sophos nicht mehr supportet wird. Jetzt fällt auch noch Kaspersky aus, oder? Cloud und Firmensitz in der Schweiz, aber Entwicklung in Russland. Schon jemand bei der Migration weg von Kaspersky? In den falschen Händen ist so eine AV-Software ja der IT-Super-GAU. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From michael at linuxfox.de Fri Feb 25 11:21:51 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 25 Feb 2022 11:21:51 +0100 Subject: AntiVirus In-Reply-To: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> References: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> Message-ID: Am 25.02.22 um 09:15 schrieb Frank Fiene via Postfixbuch-users: > Wir hatten ja letztens die Frage, welche AntiVirus Alternativen es für rspamd gibt, nachdem Sophos nicht mehr supportet wird. > > Jetzt fällt auch noch Kaspersky aus, oder? Cloud und Firmensitz in der Schweiz, aber Entwicklung in Russland. > > > Schon jemand bei der Migration weg von Kaspersky? In den falschen Händen ist so eine AV-Software ja der IT-Super-GAU. genau diese Frage habe ich gestern Abend auch meinen IT-Kollegen gestellt - ich schaue mir Bitdefender mal näher an -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From ml-pbu at syntaxys.de Fri Feb 25 12:14:33 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Fri, 25 Feb 2022 12:14:33 +0100 Subject: AntiVirus In-Reply-To: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> References: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> Message-ID: <43346b71-b067-3fe1-5bd4-751b4f9e11dd@syntaxys.de> Hallo, in erster Linie würde ich das grundlegende Konzept überdenken. Seit Trump wissen wir ja, wie es mit der Demokratie in Amerika steht. Falls die auch mal der Allmachtswahnsinn packt, ist ein Virenscanner das kleinere Problem. Ich würde den Spamschutz und den Virenschutz getrennt handhaben. Alles was durch den rspamd durch kommt, wird über einen weiteren MX geleitet, der nur für den Virencheck sein Dasein berechtigt. Von dort geht's dann weiter zum Mailstore oder in Quarantäne. Den reinen Scan-Service bietet auch BitDefender, so daß man völlig systemunabhängig die Mails gecheckt bekommt. LG/A Am 25.02.22 um 09:15 schrieb Frank Fiene via Postfixbuch-users: > Wir hatten ja letztens die Frage, welche AntiVirus Alternativen es für rspamd gibt, nachdem Sophos nicht mehr supportet wird. > > Jetzt fällt auch noch Kaspersky aus, oder? Cloud und Firmensitz in der Schweiz, aber Entwicklung in Russland. > > > Schon jemand bei der Migration weg von Kaspersky? In den falschen Händen ist so eine AV-Software ja der IT-Super-GAU. > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > -- Direktkontakt: ml-pbu at syntaxys.de From cr at ncxs.de Fri Feb 25 12:25:07 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 25 Feb 2022 12:25:07 +0100 Subject: AntiVirus In-Reply-To: <43346b71-b067-3fe1-5bd4-751b4f9e11dd@syntaxys.de> References: <8C5EFE50-C8AD-486B-B4EA-64CB4E7BAE32@veka.com> <43346b71-b067-3fe1-5bd4-751b4f9e11dd@syntaxys.de> Message-ID: <709ee793-c0b4-572e-45c6-2fdc6eae75be@ncxs.de> Hallo, wir empfehlen eigentlich immer Tools die Analysen durchführen vom Anti-Spam Check abzutrennen. Ich glaube irgendwann ist jedes Tool beim Auspacken oder Analysieren von Zips oder PDF oder Office schon einmal auf die Nase gefallen. Bei uns laufen die Viren Scanner auf extra Maschinen und machen derzeit auch keine Remote-"Cloud"-Abfragen, In der kommenden Rspamd 3.2 wird das vollständige ICAP Protokoll enthalten sein. Ich habe das soweit auch mit den üblichen Verdächtigen getestet (Doku fehlt aber noch). Damit könntet ihr alles einsetzen was ICAP spricht (und der Hersteller den Einsatz erlaubt - Hallo Eset o/). Typischerweise heißen die Produkte Web Security oder so. Von Bitdefender habe ich leider keine Rückmeldung für ein Trial bekommen, daher kenne ich deren Software nicht. Prinzipiell ließe sich auch alles was HTTP spricht sehr schnell im Rspamd implementieren. Viele Grüße Carsten On 25.02.22 12:14, Achim Lammerts via Postfixbuch-users wrote: > Hallo, > in erster Linie würde ich das grundlegende Konzept überdenken. Seit > Trump wissen wir ja, wie es mit der Demokratie in Amerika steht. Falls > die auch mal der Allmachtswahnsinn packt, ist ein Virenscanner das > kleinere Problem. > > Ich würde den Spamschutz und den Virenschutz getrennt handhaben. Alles > was durch den rspamd durch kommt, wird über einen weiteren MX geleitet, > der nur für den Virencheck sein Dasein berechtigt. Von dort geht's dann > weiter zum Mailstore oder in Quarantäne. > Den reinen Scan-Service bietet auch BitDefender, so daß man völlig > systemunabhängig die Mails gecheckt bekommt. > > LG/A > > Am 25.02.22 um 09:15 schrieb Frank Fiene via Postfixbuch-users: >> Wir hatten ja letztens die Frage, welche AntiVirus Alternativen es für >> rspamd gibt, nachdem Sophos nicht mehr supportet wird. >> >> Jetzt fällt auch noch Kaspersky aus, oder? Cloud und Firmensitz in der >> Schweiz, aber Entwicklung in Russland. >> >> >> Schon jemand bei der Migration weg von Kaspersky? In den falschen >> Händen ist so eine AV-Software ja der IT-Super-GAU. >> >> >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. >> Andreas W. Hillebrand >> >> HRB 8282 AG Münster/District Court of Münster >> > From ml-pbu at syntaxys.de Fri Feb 25 17:31:07 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Fri, 25 Feb 2022 17:31:07 +0100 Subject: Training des BAYES Filters Message-ID: Hallo Liste, eine generelle Frage zum manuellen Training eines BAYES Filter, hier rspamd: Werden die Header dabei berücksichtigt oder nur der Body? Wie sieht es mit umgeschriebenem Subject aus und der Auswertung, die der Dienst in die Header schreibt? Ich habe vor, die Spamordner einfach neu scannen zu lassen. Hintergrund ist der, daß ich in den letzten Wochen den Filter auf autolearn per user eingestellt hatte und der BAYES in rspamd hat dann pro E-Mailadresse gelernt. Das ist so nicht wirklich nützlich. Wie handhabt Ihr das? Danke für die Hilfe & ein schönes Wochenende! Achim -- Direktkontakt: ml-pbu at syntaxys.de From list+postfixbuch at gcore.biz Fri Feb 25 22:57:40 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 25 Feb 2022 22:57:40 +0100 Subject: Training des BAYES Filters In-Reply-To: References: Message-ID: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> > eine generelle Frage zum manuellen Training eines BAYES Filter, hier rspamd: > Werden die Header dabei berücksichtigt oder nur der Body? Wie sieht es mit umgeschriebenem Subject aus und der Auswertung, die der Dienst in die Header schreibt? Vermutlich die ganze Mail: https://github.com/rspamd/rspamd/issues/340 > Ich habe vor, die Spamordner einfach neu scannen zu lassen. Hintergrund ist der, daß ich in den letzten Wochen den Filter auf autolearn per user eingestellt hatte und der BAYES in rspamd hat dann pro E-Mailadresse gelernt. Das ist so nicht wirklich nützlich. Wie handhabt Ihr das? Die meisten Benutzer wollen nichts mit dem Spamfilter zu tun haben, es soll nur funktionieren. Deswegen lass ich global lernen und ausgewählte Personen erhalten einen IMAP-Ordner, in den sie nicht erkannte Spammails legen können. Ein Programm holt diese periodisch ab und legt sie zur Prüfung vor. So verhindere ich, dass ungewollte Newsletter als Spam gelernt werden und bei Bedarf kann man gleich noch ein paar Regeln anpassen. Viele Grüße Gerald From ml-pbu at syntaxys.de Sat Feb 26 06:42:07 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sat, 26 Feb 2022 06:42:07 +0100 Subject: Training des BAYES Filters In-Reply-To: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> Message-ID: Guten Morgen, > > Vermutlich die ganze Mail: https://github.com/rspamd/rspamd/issues/340 > Ja, so cool der rspamd ist, das ?vermutlich? zieht sich leider durch die ganze Dokumentation. Ich habe noch andere Fragen offen, aber in der offiziellen Mailingliste ist recht wenig los. Ich habe schon überlegt, selbst eine rein deutschsprachige Liste zu starten, so wie diese hier zum Postfix, aber ich kann den administrativen Aufwand dafür nicht einschätzen. Und es wäre wohl besser, wenn sich die Verantwortung dafür auf 2-3 Leute verteilt. > Die meisten Benutzer wollen nichts mit dem Spamfilter zu tun haben, es soll nur funktionieren. > Deswegen lass ich global lernen und ausgewählte Personen erhalten einen IMAP-Ordner, in den sie nicht erkannte Spammails legen können. > Ein Programm holt diese periodisch ab und legt sie zur Prüfung vor. So verhindere ich, dass ungewollte Newsletter als Spam gelernt werden und bei Bedarf kann man gleich noch ein paar Regeln anpassen. Das Konzept finde ich auch besser, zumal es bei mir nur noch um wenige Mailboxen geht. Zum Training von BAYES: Es ist wohl besser, man bereitet das Trainingsmaterial insoweit vor, daß es dem rspamc so erscheint, als stünde die E-Mail vor der Einlieferung. Also am besten die Spam-Reports und internen Hops bis zum Mailstore aus den Headern entfernen, so wie den Betreff ggfls. wieder zurücksetzen. Aus früheren Versuchen habe ich in Erinnerung, daß eine interne IP im Header zu False Positives geführt hatte. Noch ein Tipp: In dieser Anleitung wird die Verwaltung des rspamd auf verschiedene Instanzen von Redis aufgeteilt. Das finde ich sehr nützlich, falls doch mal etwas vergiftet ist. https://kb.linuxlove.xyz/mail-server-rspamd.html LG/A -- Direktkontakt: ml-pbu at syntaxys.de From list+postfixbuch at gcore.biz Sat Feb 26 14:20:19 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Sat, 26 Feb 2022 14:20:19 +0100 Subject: Training des BAYES Filters In-Reply-To: <7a2b9c39-a1a8-da82-c913-a0c48d1352d9@syntaxys.de> References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> <7a2b9c39-a1a8-da82-c913-a0c48d1352d9@syntaxys.de> Message-ID: <5E84D2DD-3ABD-47CE-8F05-4D3F6D2509D8@gcore.biz> Hallo Achim, >> Vermutlich die ganze Mail: https://github.com/rspamd/rspamd/issues/340 > Ja, so cool der rspamd ist, das ?vermutlich? zieht sich leider durch die ganze Dokumentation. Ich habe noch andere Fragen offen, aber in der offiziellen Mailingliste ist recht wenig los. > Ich habe schon überlegt, selbst eine rein deutschsprachige Liste zu starten, so wie diese hier zum Postfix, aber ich kann den administrativen Aufwand dafür nicht einschätzen. Und es wäre wohl besser, wenn sich die Verantwortung dafür auf 2-3 Leute verteilt. wahrscheinlich bekommt man hier noch am ehesten eine Antwort auf Fragen zu rspamd. Eine deutschsprachige, inoffizielle Mailingliste gab es schon mal: https://roessner-network-solutions.com/tag/rspamd/ >> Die meisten Benutzer wollen nichts mit dem Spamfilter zu tun haben, es soll nur funktionieren. >> Deswegen lass ich global lernen und ausgewählte Personen erhalten einen IMAP-Ordner, in den sie nicht erkannte Spammails legen können. >> Ein Programm holt diese periodisch ab und legt sie zur Prüfung vor. So verhindere ich, dass ungewollte Newsletter als Spam gelernt werden und bei Bedarf kann man gleich noch ein paar Regeln anpassen. > > Das Konzept finde ich auch besser, zumal es bei mir nur noch um wenige Mailboxen geht. > > Zum Training von BAYES: > Es ist wohl besser, man bereitet das Trainingsmaterial insoweit vor, daß es dem rspamc so erscheint, als stünde die E-Mail vor der Einlieferung. Also am besten die Spam-Reports und internen Hops bis zum Mailstore aus den Headern entfernen, so wie den Betreff ggfls. wieder zurücksetzen. > Aus früheren Versuchen habe ich in Erinnerung, daß eine interne IP im Header zu False Positives geführt hatte. Kommt wohl auf Mailflow und Durchsatz an. Wenn man genügend ein-/ausgehende Verbindungen von den selben IPs hat, sind diese normalerweise kein Kriterium mehr. Alternativ kann man interne Hops entfernen, damit die Netzstruktur nicht nach außen dringt, z.B. via header_checks: /^Received:.*by mx\d+\.intern \(Postfix\) with ESMTP/ IGNORE > Noch ein Tipp: > In dieser Anleitung wird die Verwaltung des rspamd auf verschiedene Instanzen von Redis aufgeteilt. Das finde ich sehr nützlich, falls doch mal etwas vergiftet ist. > https://kb.linuxlove.xyz/mail-server-rspamd.html Auch eine gute Idee wenn RAM/CPU knapp werden und man einzelne Dienste auf andere Server auslagern will. Glücklicherweise kann man Redis-Dateien zum Backup einfach kopieren. Viele Grüße Gerald From katharina.knuth at icloud.com Sat Feb 26 14:33:07 2022 From: katharina.knuth at icloud.com (Katharina Knuth) Date: Sat, 26 Feb 2022 14:33:07 +0100 Subject: Training des BAYES Filters In-Reply-To: <5E84D2DD-3ABD-47CE-8F05-4D3F6D2509D8@gcore.biz> References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> <7a2b9c39-a1a8-da82-c913-a0c48d1352d9@syntaxys.de> <5E84D2DD-3ABD-47CE-8F05-4D3F6D2509D8@gcore.biz> Message-ID: <7aae0ef4-f243-97c3-3e35-f4456e7d5492@icloud.com> Am 26.02.22 um 14:20 schrieb Gerald Galster: > Hallo Achim, > >>> Vermutlich die ganze Mail: https://github.com/rspamd/rspamd/issues/340 >> Ja, so cool der rspamd ist, das ?vermutlich? zieht sich leider durch die ganze Dokumentation. Ich habe noch andere Fragen offen, aber in der offiziellen Mailingliste ist recht wenig los. >> Ich habe schon überlegt, selbst eine rein deutschsprachige Liste zu starten, so wie diese hier zum Postfix, aber ich kann den administrativen Aufwand dafür nicht einschätzen. Und es wäre wohl besser, wenn sich die Verantwortung dafür auf 2-3 Leute verteilt. > > wahrscheinlich bekommt man hier noch am ehesten eine Antwort auf Fragen zu rspamd. > Eine deutschsprachige, inoffizielle Mailingliste gab es schon mal: > https://roessner-network-solutions.com/tag/rspamd/ Richtig. Gab. Was ist draus geworden? > >>> Die meisten Benutzer wollen nichts mit dem Spamfilter zu tun haben, es soll nur funktionieren. >>> Deswegen lass ich global lernen und ausgewählte Personen erhalten einen IMAP-Ordner, in den sie nicht erkannte Spammails legen können. >>> Ein Programm holt diese periodisch ab und legt sie zur Prüfung vor. So verhindere ich, dass ungewollte Newsletter als Spam gelernt werden und bei Bedarf kann man gleich noch ein paar Regeln anpassen. >> >> Das Konzept finde ich auch besser, zumal es bei mir nur noch um wenige Mailboxen geht. >> >> Zum Training von BAYES: >> Es ist wohl besser, man bereitet das Trainingsmaterial insoweit vor, daß es dem rspamc so erscheint, als stünde die E-Mail vor der Einlieferung. Also am besten die Spam-Reports und internen Hops bis zum Mailstore aus den Headern entfernen, so wie den Betreff ggfls. wieder zurücksetzen. >> Aus früheren Versuchen habe ich in Erinnerung, daß eine interne IP im Header zu False Positives geführt hatte. > > Kommt wohl auf Mailflow und Durchsatz an. Wenn man genügend ein-/ausgehende Verbindungen von den selben IPs hat, sind diese normalerweise kein Kriterium mehr. > > Alternativ kann man interne Hops entfernen, damit die Netzstruktur nicht nach außen dringt, z.B. via header_checks: > /^Received:.*by mx\d+\.intern \(Postfix\) with ESMTP/ IGNORE > >> Noch ein Tipp: >> In dieser Anleitung wird die Verwaltung des rspamd auf verschiedene Instanzen von Redis aufgeteilt. Das finde ich sehr nützlich, falls doch mal etwas vergiftet ist. >> https://kb.linuxlove.xyz/mail-server-rspamd.html > > Auch eine gute Idee wenn RAM/CPU knapp werden und man einzelne Dienste auf andere Server auslagern will. > Glücklicherweise kann man Redis-Dateien zum Backup einfach kopieren. > > Viele Grüße > Gerald -- freundliche Grüße, Sincerely yours, Katharina Knuth From ml-pbu at syntaxys.de Sat Feb 26 15:14:15 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sat, 26 Feb 2022 15:14:15 +0100 Subject: Training des BAYES Filters In-Reply-To: <7aae0ef4-f243-97c3-3e35-f4456e7d5492@icloud.com> References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> <7a2b9c39-a1a8-da82-c913-a0c48d1352d9@syntaxys.de> <5E84D2DD-3ABD-47CE-8F05-4D3F6D2509D8@gcore.biz> <7aae0ef4-f243-97c3-3e35-f4456e7d5492@icloud.com> Message-ID: Hallo, ich dachte eher an eine Diskussionsliste zum Thema Spamschutz, also alles rund um DKIM/DMARC/SPF, amavisd, rspamd, etc. Da wären dann vielleicht auch Teilnehmer dabei, die z. B. nicht auf Postfix setzen, trotzdem Ahnung haben und Ideen/Lösungen einbringen. Ich würde so eine Liste auf alle Fälle abonnieren. LG/A Am 26.02.22 um 14:33 schrieb Katharina Knuth via Postfixbuch-users: >> https://roessner-network-solutions.com/tag/rspamd/ > > Richtig. Gab. Was ist draus geworden? > -- Direktkontakt: ml-pbu at syntaxys.de From cr at ncxs.de Sat Feb 26 16:07:59 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Sat, 26 Feb 2022 16:07:59 +0100 Subject: Training des BAYES Filters In-Reply-To: References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> Message-ID: Hi, On 26.02.22 06:42, Achim Lammerts via Postfixbuch-users wrote: > Guten Morgen, >> >> Vermutlich die ganze Mail: https://github.com/rspamd/rspamd/issues/340 >> > Ja, so cool der rspamd ist, das ?vermutlich? zieht sich leider durch die > ganze Dokumentation. Ich habe noch andere Fragen offen, aber in der > offiziellen Mailingliste ist recht wenig los. Rspamd ist so umfangreich und flexibel, dass die Doku da natürlich etwas nachsteht. Im Endeffekt ist Rspamd derzeit eine One-Man-Show. Die Doku ist aber auch auf Github gehostet ;) > Ich habe schon überlegt, selbst eine rein deutschsprachige Liste zu > starten, so wie diese hier zum Postfix, aber ich kann den > administrativen Aufwand dafür nicht einschätzen. Und es wäre wohl > besser, wenn sich die Verantwortung dafür auf 2-3 Leute verteilt. > Ich erstelle Montag gern eine Anti-Spam bzw eine Rspamd Liste hier auf dem Server. Bisher gab es zu dem Thema immer recht wenige Topics und der MTA war das zentrale Thema. In unserer Arbeit wird der Rspamd immer zentraler und der MTA damit weniger komplex. >> Die meisten Benutzer wollen nichts mit dem Spamfilter zu tun haben, es >> soll nur funktionieren. >> Deswegen lass ich global lernen und ausgewählte Personen erhalten >> einen IMAP-Ordner, in den sie nicht erkannte Spammails legen können. >> Ein Programm holt diese periodisch ab und legt sie zur Prüfung vor. So >> verhindere ich, dass ungewollte Newsletter als Spam gelernt werden und >> bei Bedarf kann man gleich noch ein paar Regeln anpassen. > > Das Konzept finde ich auch besser, zumal es bei mir nur noch um wenige > Mailboxen geht. Vom Per-User Bayes bin ich nicht mehr so überzeugt. Man vervielfacht seine Datenhaltung und im Endeffekt liegen die Statistiken sehr nah am globalen Bayes. Dadurch dass man eine Mindestzahl an gelernten Mails (200+) und das für HAM als auch SPAM braucht, ist der Einfluss angelernter Mail für den User außerdem recht klein. Außer der User lernt schon zu Beginn eine gewisse Zahl an HAM und SPAM. > Zum Training von BAYES: > Es ist wohl besser, man bereitet das Trainingsmaterial insoweit vor, daß > es dem rspamc so erscheint, als stünde die E-Mail vor der Einlieferung. > Also am besten die Spam-Reports und internen Hops bis zum Mailstore aus > den Headern entfernen, so wie den Betreff ggfls. wieder zurücksetzen. > Aus früheren Versuchen habe ich in Erinnerung, daß eine interne IP im > Header zu False Positives geführt hatte. Rspamd verwendet nur ganz wenige Header, wobei Received und From/To nicht dabei sind. Ihr könnt also einfach die Mails direkt aus dem Postfach anlernen. https://rspamd.com/doc/usage_policy.html classify_headers = [ "User-Agent", "X-Mailer", "Content-Type", "X-MimeOLE", ]; > > Noch ein Tipp: > In dieser Anleitung wird die Verwaltung des rspamd auf verschiedene > Instanzen von Redis aufgeteilt. Das finde ich sehr nützlich, falls doch > mal etwas vergiftet ist. > https://kb.linuxlove.xyz/mail-server-rspamd.html > > LG/A > Viele Grüße Carsten From cr at ncxs.de Sat Feb 26 16:16:33 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Sat, 26 Feb 2022 16:16:33 +0100 Subject: Training des BAYES Filters In-Reply-To: References: Message-ID: <6720bc30-0efd-d9db-0e77-818bb5b5cd31@ncxs.de> Hallo Achim, Ich wäre bei Spam Ordnern der User immer vorsichtig ;) Außerdem sollten es auch keine zu alten Daten sein. Bayes Statistiken verändern sich ja über die Zeit. Wir arbeiten mit globalem Autolearn, schauen aber, dass wir so gut es geht False Positives ausschließen. Wenn Bayes anfängt Newsletter zu lernen, ist bald die ganze Statistik hinüber. Ich finde auch den Fuzzy Algorithmus viel wirkungsvoller, da sich hier dediziert Kategorien angeben lassen. Außerdem matcht Fuzzy viel genauer. Fuzzy läßt sich auch gut für automatisiertes Lernen von Userrückmeldungen verwenden, da es eine Gewichtung gibt. Zu den Headern, wie schon in meiner anderen Mail: https://rspamd.com/doc/configuration/statistic.html#classifier-and-headers Viele Grüße Carsten On 25.02.22 17:31, Achim Lammerts via Postfixbuch-users wrote: > Hallo Liste, > eine generelle Frage zum manuellen Training eines BAYES Filter, hier > rspamd: > Werden die Header dabei berücksichtigt oder nur der Body? Wie sieht es > mit umgeschriebenem Subject aus und der Auswertung, die der Dienst in > die Header schreibt? > Ich habe vor, die Spamordner einfach neu scannen zu lassen. Hintergrund > ist der, daß ich in den letzten Wochen den Filter auf autolearn per user > eingestellt hatte und der BAYES in rspamd hat dann pro E-Mailadresse > gelernt. Das ist so nicht wirklich nützlich. Wie handhabt Ihr das? > > Danke für die Hilfe & ein schönes Wochenende! > Achim > From ml-pbu at syntaxys.de Sat Feb 26 17:04:07 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sat, 26 Feb 2022 17:04:07 +0100 Subject: Training des BAYES Filters In-Reply-To: References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> Message-ID: <35a07544-bd12-50c0-da70-73b69529ab0f@syntaxys.de> Hallo Carsten, vielen Dank für Deine Hilfe. Am 26.02.22 um 16:07 schrieb Carsten Rosenberg via Postfixbuch-users: > > Rspamd ist so umfangreich und flexibel, dass die Doku da natürlich etwas > nachsteht. Im Endeffekt ist Rspamd derzeit eine One-Man-Show. Die Doku > ist aber auch auf Github gehostet ;) > Das habe ich auch so bemerkt, manchmal hilft's die Issues zu lesen ;-) > Ich erstelle Montag gern eine Anti-Spam bzw eine Rspamd Liste hier auf > dem Server. Bisher gab es zu dem Thema immer recht wenige Topics und der > MTA war das zentrale Thema. In unserer Arbeit wird der Rspamd immer > zentraler und der MTA damit weniger komplex. > Das wäre super! Ich hab da einige Topics in der Pipeline, die hier nicht so recht rein passen. Die Liste würde ich aber eher allgemein in Richtung Anti-Spam-Techniken beschreiben, so daß auch Nutzer von anderen Tools, MTAs & Plattformen sich dafür interessieren. > Vom Per-User Bayes bin ich nicht mehr so überzeugt. Man vervielfacht > seine Datenhaltung und im Endeffekt liegen die Statistiken sehr nah am > globalen Bayes. Dadurch dass man eine Mindestzahl an gelernten Mails > (200+) und das für HAM als auch SPAM braucht, ist der Einfluss > angelernter Mail für den User außerdem recht klein. Außer der User lernt > schon zu Beginn eine gewisse Zahl an HAM und SPAM. Ich hatte Dutzende E-Mailadressen mit ein paar gelernten E-Mails angesammelt und der Filter wurde nie getriggert ;-) Man kann zwar mit dem Parameter -u den rspamc anweisen, auf einen bestimmten Nutzer hin zu trainieren, aber bekommt rspamd diese Info, wenn er die Mail vom MTA entgegen nimmt? Postfix prüft ja vor Übergabe an den Milter gegen die virtual alias table, sonst würde ja reject_unlisted_recipient nicht vorab schon greifen. Bei "per user" hatte ich angenommen, dass der BAYES pro Mailbox lernt und nicht pro Alias. > Rspamd verwendet nur ganz wenige Header, wobei Received und From/To > nicht dabei sind. Ihr könnt also einfach die Mails direkt aus dem > Postfach anlernen. > > https://rspamd.com/doc/usage_policy.html > > classify_headers = [ >     "User-Agent", >     "X-Mailer", >     "Content-Type", >     "X-MimeOLE", > ]; Ich werde das mal genauer anschauen. Bei dem zuletzt genutzen Lernmaterial habe ich mal sicherheitshalber alles raus genommen, was mein Server in den Mails hinzugefügt hatte. Der LOCAL_FUZZY ist da unproblematischer und arbeitet recht präzise. Soweit ich weiß, checkt der nur den Body und keine Header, oder? Der FUZZY Filter erkennt auch den penetranten IMG-Spam sehr gut, auch wenn das Bildmaterial neu komprimiert wurde. -- Direktkontakt: ml-pbu at syntaxys.de From ml-pbu at syntaxys.de Sun Feb 27 13:28:24 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sun, 27 Feb 2022 13:28:24 +0100 Subject: [rspamd] Tipp: Penetrante Hosts ausbremsen mit fail2ban Message-ID: <5e97b02d-498b-c444-cbd0-8c3c59448ee6@syntaxys.de> Hallo Liste, es gibt ja penetrante Hosts, die trotz permanentem reject immer wieder die Einlieferung von Spam versuchen. Zwar kann man den reject aus dem Milter in der f2b-Konfiguration auch gut in die vorhandenen Regeln für den Postfix integrieren, allerdings werden damit dann nur die rejects abgefangen. Manche Spam-Mails schlüpfen ja unterhalb des reject score durch und die Spammer nutzen das dann gnadenlos aus. Abhilfe bringt ein eigenes Jail mit Filter für den rspamd. ----------------------------------------------- /etc/fail2ban/filter.d/rspamd-ipblacklist.conf: [INCLUDES] before = common.conf datepattern = {^LN-BEG}%%Y-%%m-%%d %%H:%%M:%%S [Definition] _daemon = rspamd_proxy failregex = ^.* ,.*reject.* ^.* ,.*rewrite.* Der Eintrag im Logfile enthält die komplette Auswertung des rspamd, daher kann man die failregex auch gut auf bestimmte Symbole hin verfeinern, bzw. eine ignoreregex definieren. ---------------------------------------------- Aktivierung des Jail: [rspamd-ipblacklist] enabled = true usedns = no # DNS-Abragen zur IP aus dem Log sind sinnlos filter = rspamd-ipblacklist logpath = /var/log/rspamd/rspamd.log maxretry = 2 findtime = 10800 # 3 h bantime = 21600 # 6 h service fail2ban restart Test: fail2ban-regex /var/log/rspamd/rspamd.log \ /etc/fail2ban/filter.d/rspamd-ipblacklist.conf \ --print-all-matched > /var/log/rspamd/f2bmatched.txt Nutzt man auch das recidive jail in f2b, hält man sich durch die Eskalation der Sperrzeit die Jungs auch mal wochenlang vom Leib, ohne händische Pflege von IP-Blacklists. Guten Start in die Woche! LG/A -- Direktkontakt: ml-pbu at syntaxys.de From postfix_ml at rirasoft.de Sun Feb 27 19:12:49 2022 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Sun, 27 Feb 2022 19:12:49 +0100 Subject: [rspamd] Tipp: Penetrante Hosts ausbremsen mit fail2ban In-Reply-To: <5e97b02d-498b-c444-cbd0-8c3c59448ee6@syntaxys.de> References: <5e97b02d-498b-c444-cbd0-8c3c59448ee6@syntaxys.de> Message-ID: <454ba7b2-0ca8-baa3-76cd-3521f844840f@rirasoft.de> Am 27.02.22 um 13:28 schrieb Achim Lammerts via Postfixbuch-users: > Hallo Liste, > es gibt ja penetrante Hosts, die trotz permanentem reject immer wieder > die Einlieferung von Spam versuchen. Zwar kann man den reject aus dem > Milter in der f2b-Konfiguration auch gut in die vorhandenen Regeln für > den Postfix integrieren, allerdings werden damit dann nur die rejects > abgefangen. > Manche Spam-Mails schlüpfen ja unterhalb des reject score durch und > die Spammer nutzen das dann gnadenlos aus. Abhilfe bringt ein eigenes > Jail mit Filter für den rspamd. > > ----------------------------------------------- > /etc/fail2ban/filter.d/rspamd-ipblacklist.conf: > > [INCLUDES] > before = common.conf > datepattern = {^LN-BEG}%%Y-%%m-%%d %%H:%%M:%%S > [Definition] > _daemon = rspamd_proxy > failregex = ^.* ,.*reject.* >             ^.* ,.*rewrite.* > > Der Eintrag im Logfile enthält die komplette Auswertung des rspamd, > daher kann man die failregex auch gut auf bestimmte Symbole hin > verfeinern, bzw. eine ignoreregex definieren. > > ---------------------------------------------- > Aktivierung des Jail: > > [rspamd-ipblacklist] > enabled = true > usedns = no # DNS-Abragen zur IP aus dem Log sind sinnlos > filter = rspamd-ipblacklist > logpath = /var/log/rspamd/rspamd.log > maxretry = 2 > findtime = 10800 # 3 h > bantime = 21600 # 6 h > > service fail2ban restart > > Test: > fail2ban-regex /var/log/rspamd/rspamd.log \ >     /etc/fail2ban/filter.d/rspamd-ipblacklist.conf \ >     --print-all-matched > /var/log/rspamd/f2bmatched.txt > > Nutzt man auch das recidive jail in f2b, hält man sich durch die > Eskalation der Sperrzeit die Jungs auch mal wochenlang vom Leib, ohne > händische Pflege von IP-Blacklists. > > > Guten Start in die Woche! > LG/A > Danke für den Tipp ! Werde ich demnächst mal ausprobieren. Andreas From sebastian at debianfan.de Sun Feb 27 20:08:04 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sun, 27 Feb 2022 20:08:04 +0100 Subject: [OT] Ansinnen der Telekom Message-ID: <0770f23e-f849-14d8-8bc7-dc52fbf2c43c@debianfan.de> Moin, bei einem System - saubere IP, keinerlei Spamvorkommen, keine Backscatter - werden seit kurzem Mails von der Telekom abgelehnt. Feb 26 10:10:10 meinserver postfix/smtp[22221]: A10FF14DDFD: host mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=200.201.202.203 - A problem occurred. (Ask your postmaster for help or to contact tosa at rx.t-online.de to clarify.) Ich habe das Formular benutzt, um die 'Freischaltung' der IP zu erreichen. Mir wurde von den Mitarbeitern der Telekom geantwortet: [...] Wir erwarten unter der Domäne im PTR Daten zu finden, die üblicherweise auch bei einer whois Angabe zu finden sind. Es müssten mindestens der Name, die vollständige geografische Anschrift und Kontaktdaten zur "schnellen" elektronischen Kontaktaufnahme(*) einschließlich elektronischer Postadresse der für den Server verantwortlichen Person enthalten sein. (*) Das kann entweder eine telefonische Rufnummer oder alternativ ein Kontaktformular sein, sofern die Reaktionszeit kurz sein sollte. [...] Ein Whois einer Domain zeigt ja heute nur noch die DNS-Daten --> Datenschutz. Mein Colocation-Provider sagte mir, dass die Eintragung von Whois-Daten welche dann bei einem whois 200.201.202.203 meiner IP angezeigt werden würden, ist vom Rechenzentrum her nicht vorgesehen. ...jetzt drehe ich mich irgendwie im Kreis und weiss nicht, was ich machen soll. Hattet Ihr schon einmal so ein Problem und wenn ja, wie habt Ihr das gelöst ? gruß Sebastian From juri at koschikode.com Sun Feb 27 21:16:48 2022 From: juri at koschikode.com (Juri Haberland) Date: Sun, 27 Feb 2022 21:16:48 +0100 Subject: [OT] Ansinnen der Telekom In-Reply-To: <0770f23e-f849-14d8-8bc7-dc52fbf2c43c@debianfan.de> References: <0770f23e-f849-14d8-8bc7-dc52fbf2c43c@debianfan.de> Message-ID: <05517a6f-5723-3472-a2bc-1eb0b64c9ca7@koschikode.com> On 27/02/2022 20:08, sebastian at debianfan.de wrote: > Wir erwarten unter der Domäne im PTR Daten zu finden, die üblicherweise > auch bei einer whois Angabe zu finden sind. Es müssten mindestens der > Name, die vollständige geografische Anschrift und Kontaktdaten zur > "schnellen" elektronischen Kontaktaufnahme(*) einschließlich > elektronischer Postadresse der für den Server verantwortlichen Person > enthalten sein. > Hattet Ihr schon einmal so ein Problem und wenn ja, wie habt Ihr das > gelöst ? Das war ja neulich erst hier auf der Liste Thema: https://listi.jpberlin.de/pipermail/postfixbuch-users/2022-February/067834.html Aber auch auf der mailop-Liste war es schon Thema (leider nur für Mitgleider lesbar): https://list.mailop.org/private/mailop/2020-August/017497.html In Kürze: Sie erwarten ein Impressum auf der Seite, die zu deinem PTR-RR passt. Wenn also der PTR-RR für deinen MX z.B. mx.example.com zurückliefert, dann erwartet die Telekom ein Impressum unter z.B. www.example.com. So habe ich es jedenfalls verstanden und entnehme ich den anderen Threads. Viele Grüße, Juri From ml-pbu at syntaxys.de Mon Feb 28 08:24:23 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 28 Feb 2022 08:24:23 +0100 Subject: [rspamd] Tipp: Penetrante Hosts ausbremsen mit fail2ban In-Reply-To: <454ba7b2-0ca8-baa3-76cd-3521f844840f@rirasoft.de> References: <5e97b02d-498b-c444-cbd0-8c3c59448ee6@syntaxys.de> <454ba7b2-0ca8-baa3-76cd-3521f844840f@rirasoft.de> Message-ID: Guten Morgen, ich habe das seit dem Wochenende so wie beschrieben im Einsatz und kann sagen, daß es recht gut funktioniert. Zwar habe ich auf meinem Host nur noch wenige Mailboxen/Aliasse in Betrieb, aber diese Bremse macht sich trotzdem bemerkbar. Gerade bei dem ganzen Spam mit schwerem Bildmaterial lässt sich auf einem Host mit vielen Aliassen die Last sicher damit gut reduzieren. Angenommen, auf einem Host mit 1000 E-Mailadressen trifft pro Stunde 1 unerwünschte E-Mail ein, die 150 kB wiegt. Das sind dann rund 3,6 GB pro Tag, die das System checken muss. Es mag sein, dass in der heutigen Zeit das für einen Host betrachtet ökonomisch eher marginaler Traffic ist. Da die Spammer ihre Systeme aber z. T. so betreiben, daß auch auf Greylisting reagiert werden kann, haben sie den Mist erst mal selbst im deferred queue hängen. Auch wenn die Mail dann bei einem TimeOut verworfen wird, dauert das sicher länger, als eine funktionierende Zustellung. Und ich vermute mal, die spammen mehr als 1000 Aliasse pro Stunde. LG/A Am 27.02.22 um 19:12 schrieb Andreas Reschke: > Danke für den Tipp ! > > Werde ich demnächst mal ausprobieren. > > Andreas > > -- Direktkontakt: ml-pbu at syntaxys.de From rog7993 at web.de Mon Feb 28 11:59:33 2022 From: rog7993 at web.de (rog7993 at web.de) Date: Mon, 28 Feb 2022 11:59:33 +0100 Subject: =?UTF-8?Q?Rate_Limit_f=c3=bcr_bestimmte_IP-Adressen_bzw=2e_Subnetze?= Message-ID: Hallo, ich suche nach einer Möglichkeit, die Anzahl der Mails zu begrenzen, die ein bestimmter Rechner pro Zeiteinheit an unser Mailgateway versenden darf. Es geht um einen Rechner in der DMZ, wo die Webanwendung gelegentlich mal eine Mail an den Nutzer verschickt. Hauptsächlich möchte ich mitbekommen, wenn der Rechner auffällig wird und z.B. Massenspam verschickt, bzw. den Schaden zumindest begrenzen. Ich hege ein gewisses Misstrauen gegen diesen Rechner. ;-) Der normale ein- und ausgehende Mailverkehr soll nicht reguliert werden. Dies wären wohl die passenden Parameter: smtpd_client_connection_rate_limit smtpd_client_message_rate_limit in Verbindung mit anvil_rate_time_unit Wie begrenzt man deren Wirkung, so dass sie nur auf die IP-Adresse dieses einen Rechners wirken bzw. auf ein ganzes Subnetz? Wäre dies das Mittel der Wahl? smtpd_client_event_limit_exceptions Der Default ist offenbar "$mynetworks", also der ausgehende Mailverkehr. Wenn ich den normalen eingehenden Mailverkehr ebenfalls nicht beschränken will, müsste ich also die IP-Adressbereiche, die von extern an das Mailgateway schicken dürfen, ebenfalls dort eintragen, oder? In unserem Fall geht dies, da wir nicht direkt aus dem Internet Mails empfangen, sondern noch ein Dienstleister dazwischen hängt, der auf Spam und Schadsoftware filtert. Bzw. man könnte ja mit Negation arbeiten, also z.B. smtpd_client_event_limit_exceptions = !dmz_network Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem zweiten Port oder einer eigenen IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber das gefällt mir nicht so wirklich. Liege ich mit meinem Lösungsansatz richtig? Viele Grüße, Ingo PS: Ich habe in der Postfix-Dokumentation diese Warnung gelesen, halte die Nutzung dieser Parameter in diesem Fall aber für akzeptabel: "WARNING: The purpose of this feature is to limit abuse. It must not be used to regulate legitimate mail traffic." From ml-pbu at syntaxys.de Mon Feb 28 14:28:11 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 28 Feb 2022 14:28:11 +0100 Subject: =?UTF-8?Q?Re=3a_Rate_Limit_f=c3=bcr_bestimmte_IP-Adressen_bzw=2e_Su?= =?UTF-8?Q?bnetze?= In-Reply-To: References: Message-ID: Am 28.02.22 um 11:59 schrieb rog7993--- via Postfixbuch-users: > Dies wären wohl die passenden Parameter: > >   smtpd_client_connection_rate_limit >   smtpd_client_message_rate_limit > > in Verbindung mit > >   anvil_rate_time_unit > Ja, so kann man das mit den Mitteln machen, die der Postfix mitbringt. > Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem > zweiten Port oder einer eigenen > IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber > das gefällt mir nicht so wirklich. Warum nicht? So mache ich das auch, wenn ich eine spezielle Konfiguration für nur wenige Clients benötige. Du hast dann weitreichende Optionen nur für diese Instanz. Das kannst Du ja dann noch mit der Firewall einschränken, so daß der Port nur für diesen Client nutzbar ist. -- Wietse, I am so grateful. From list+postfixbuch at gcore.biz Mon Feb 28 15:28:48 2022 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Mon, 28 Feb 2022 15:28:48 +0100 Subject: =?utf-8?Q?Re=3A_Rate_Limit_f=C3=BCr_bestimmte_IP-Adressen_bzw=2E_?= =?utf-8?Q?Subnetze?= In-Reply-To: References: Message-ID: >> Dies wären wohl die passenden Parameter: >> smtpd_client_connection_rate_limit >> smtpd_client_message_rate_limit >> in Verbindung mit >> anvil_rate_time_unit > Ja, so kann man das mit den Mitteln machen, die der Postfix mitbringt. > >> Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem zweiten Port oder einer eigenen >> IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber das gefällt mir nicht so wirklich. > Warum nicht? So mache ich das auch, wenn ich eine spezielle Konfiguration für nur wenige Clients benötige. Du hast dann weitreichende Optionen nur für diese Instanz. Das kannst Du ja dann noch mit der Firewall einschränken, so daß der Port nur für diesen Client nutzbar ist. Individuelle Limits lassen sich bei Postfix gut über das Access Policy Delegation Protokoll umsetzen. Hierbei werden Parameter wie sender oder client_address über ein einfaches, textbasiertes Protokoll an ein externes Programm übergeben. Dort kann man Limits sehr individuell umsetzen, man hat allerdings auch einen gewissen Programmieraufwand. http://www.postfix.org/SMTPD_POLICY_README.html Viele Grüße Gerald From cr at ncxs.de Mon Feb 28 22:08:14 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 28 Feb 2022 22:08:14 +0100 Subject: =?UTF-8?Q?Re=3a_Rate_Limit_f=c3=bcr_bestimmte_IP-Adressen_bzw=2e_Su?= =?UTF-8?Q?bnetze?= In-Reply-To: References: Message-ID: On 28.02.22 15:28, Gerald Galster wrote: >>> Dies wären wohl die passenden Parameter: >>> smtpd_client_connection_rate_limit >>> smtpd_client_message_rate_limit >>> in Verbindung mit >>> anvil_rate_time_unit >> Ja, so kann man das mit den Mitteln machen, die der Postfix mitbringt. >> >>> Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem zweiten Port oder einer eigenen >>> IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber das gefällt mir nicht so wirklich. >> Warum nicht? So mache ich das auch, wenn ich eine spezielle Konfiguration für nur wenige Clients benötige. Du hast dann weitreichende Optionen nur für diese Instanz. Das kannst Du ja dann noch mit der Firewall einschränken, so daß der Port nur für diesen Client nutzbar ist. > > Individuelle Limits lassen sich bei Postfix gut über das Access Policy Delegation Protokoll umsetzen. > Hierbei werden Parameter wie sender oder client_address über ein einfaches, textbasiertes Protokoll an ein externes Programm übergeben. > Dort kann man Limits sehr individuell umsetzen, man hat allerdings auch einen gewissen Programmieraufwand. > > http://www.postfix.org/SMTPD_POLICY_README.html > > Viele Grüße > Gerald Ich denke auch, dass es sich mit einem externen Service schicker lösen läßt. Postfwd würde sich hier perfekt anbieten. Mit dem Rspamd wäre es noch flexibler machbar. Der Config Aufwand wäre aber anfangs höher. Viele Grüße Carsten From rog7993 at web.de Mon Feb 28 23:43:30 2022 From: rog7993 at web.de (rog7993 at web.de) Date: Mon, 28 Feb 2022 23:43:30 +0100 Subject: =?UTF-8?Q?Re=3a_Rate_Limit_f=c3=bcr_bestimmte_IP-Adressen_bzw=2e_Su?= =?UTF-8?Q?bnetze?= In-Reply-To: References: Message-ID: Hallo, Am 28.02.22 um 14:28 schrieb Achim Lammerts via Postfixbuch-users: >> Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem zweiten Port oder einer eigenen >> IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber das gefällt mir nicht so >> wirklich. > Warum nicht? Es kostet eine IP-Adresse. Oder man muss eben einen Port ungleich 25 verwenden, was zumindest für die Kommunikation zwischen zwei MTAs eher unüblich ist. Technisch spricht natürlich nichts dagegen, dies zu tun. Viele Grüße, Ingo