From lists at xunil.at Sat Jan 1 09:24:54 2022 From: lists at xunil.at (Stefan G. Weichinger) Date: Sat, 1 Jan 2022 09:24:54 +0100 Subject: 2 v6-Adressen, nur eine verwenden In-Reply-To: References: <61f43d89-6f0f-343c-c047-381b0b41ed03@xunil.at> <180ca857-cba7-4fb0-ae99-13c73807a95c@xunil.at> Message-ID: <531b07eb-fe8d-e0a4-b520-b682f8a27df9@xunil.at> Am 30.12.21 um 10:18 schrieb Friedemann Stoyan: > On 30.12.21 07:02, Stefan G. Weichinger wrote: > >> Hatte ich gestern schon versucht, hatte nicht geklappt. >> >> Jetzt noch mal, jetzt tut es. Sieht aber wieder nach Wackeln aus für mich. > > Das kommt (vermutlich) daher, dass postfix zu früh startet und der > systemd-networkd das Netz (die IPv6-Adresse) noch nicht fertig konfiguriert > hat. Weise postfix mal an, erst später zu starten: > > # /etc/systemd/system/postfix.service.d/override.conf > [Unit] > After=network-online.target Der Fehler trat aber auch auf, wenn das network schon lange online war ;-) Anyway, ich hab das hinzugefügt, beim Booten zB sicherlich sinnvoll. Seit gestern läuft es nun soweit gut. Ich hatte aber letztens teilweise den Fall, dass es auf einmal nicht mehr ging, und Mails in der Queue stecken blieben. Ich dachte, es wäre versandt worden, und erst durch zB fehlende Rückmeldung eines Kunden kam ich auf die Idee, das zu checken. Das will ich klarerweise vermeiden. Danke, Stefan From Peer-Joachim.Koch at hki-jena.de Wed Jan 5 08:55:56 2022 From: Peer-Joachim.Koch at hki-jena.de (Peer-Joachim Koch) Date: Wed, 5 Jan 2022 08:55:56 +0100 Subject: Kurze Frage zu erlaubter =?UTF-8?B?TWFpbGdyw7bDn2U=?= Message-ID: <61D55D1C020000E90006C05F@weida.hki-jena.de> Hallo, kurze Frage: Was lasst Ihr als maximale Mailgröße zu ? Bei uns im Haus wird mal wieder darüber diskutiert.... Für solche Dinge Freigaben in Nextcloud zu verwenden ist zu komplex :( Was ist bei euch so erlaubt ? Scanned der Virenscanner auch die großen Emails (einige erlauben ja 100M..) ? Ciao Peer ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at HKI-Jena.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : PJKoch-hki.vcf Dateityp : text/x-vcard Dateigröße : 664 bytes Beschreibung: nicht verfügbar URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 6078 bytes Beschreibung: S/MIME Cryptographic Signature URL : From klaus at tachtler.net Wed Jan 5 11:28:49 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 5 Jan 2022 10:28:49 +0000 (UTC) Subject: =?UTF-8?Q?Re:_Kurze_Frage_zu_erlaubter_Mailgr=C3=B6=C3=9Fe?= In-Reply-To: <61D55D1C020000E90006C05F@weida.hki-jena.de> References: <61D55D1C020000E90006C05F@weida.hki-jena.de> Message-ID: <2e26557f-999d-4830-8a9e-b19c81f41bd3@tachtler.net> Hallo Peer, ich sehe bei vielen Mail-Servern 50 MB. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Peer-Joachim Koch An: postfixbuch-users at listen.jpberlin.de Datum: 05.01.2022 09:02:47 Betreff: Kurze Frage zu erlaubter Mailgröße > Hallo, > > kurze Frage: Was lasst Ihr als maximale Mailgröße zu ? > Bei uns im Haus wird mal wieder darüber diskutiert.... > Für solche Dinge Freigaben in Nextcloud zu verwenden ist zu komplex :( > > Was ist bei euch so erlaubt ? > Scanned der Virenscanner auch die großen Emails (einige erlauben ja 100M..) ? > > > Ciao  >       Peer > >  ____________________________________ > Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. > Hans-Knöll-Institut (HKI) > Dr. Peer-Joachim Koch >   > Beutenbergstraße 11a > 07745 Jena   > Tel.: +49 3641 5321029 > Fax.: +49 3641 5322029 > e-Mail: Peer-Joachim.Koch at HKI-Jena.de  > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From pascal.weisshaupt at metagmbh.de Wed Jan 5 12:16:16 2022 From: pascal.weisshaupt at metagmbh.de (=?utf-8?Q?Pascal_Wei=C3=9Fhaupt?=) Date: Wed, 5 Jan 2022 11:16:16 +0000 Subject: =?utf-8?Q?AW=3A_Kurze_Frage_zu_erlaubter_Mailgr=C3=B6=C3=9Fe?= In-Reply-To: <61D55D1C020000E90006C05F@weida.hki-jena.de> References: <61D55D1C020000E90006C05F@weida.hki-jena.de> Message-ID: Hi,   50 MB und wir scannen alles ? ja.   Ich hätte auch gerne weniger, aber ich kann mich nicht durchsetzen?     Pascal _____________________________________________________________________________________   Pascal Weißhaupt                                                                            Teamleiter IT Team Manager IT   Meta Motoren- und Energie-Technik GmbH   Kaiserstraße 100, D-52134 Herzogenrath  Phone: +49 (0) 2407 9554-715 Fax:     +49 (0) 2407 9554-89 pascal.weisshaupt at metagmbh.de www.metagmbh.de Location: Aachen, Commercial Register: Handelsregister AG Aachen HRB 5174                Chairman of Supervisory Board: Liu Ming, Management Board: Nie Botang, Dr.-Ing. Joachim Reinicke _____________________________________________________________________________________   Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Peer-Joachim Koch Gesendet: Mittwoch, 5. Januar 2022 08:56 An: postfixbuch-users at listen.jpberlin.de Betreff: Kurze Frage zu erlaubter Mailgröße   Hallo,   kurze Frage: Was lasst Ihr als maximale Mailgröße zu ? Bei uns im Haus wird mal wieder darüber diskutiert.... Für solche Dinge Freigaben in Nextcloud zu verwenden ist zu komplex :( Was ist bei euch so erlaubt ? Scanned der Virenscanner auch die großen Emails (einige erlauben ja 100M..) ?   Ciao        Peer  ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch   Beutenbergstraße 11a 07745 Jena   Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at HKI-Jena.de    -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From driessen at fblan.de Wed Jan 5 13:03:19 2022 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 5 Jan 2022 13:03:19 +0100 Subject: =?utf-8?Q?AW:_Kurze_Frage_zu_erlaubter_Mai?= =?utf-8?Q?lgr=C3=B6=C3=9Fe?= In-Reply-To: References: <61D55D1C020000E90006C05F@weida.hki-jena.de> Message-ID: <009801d8022c$3ad42d70$b07c8850$@fblan.de> Im Auftrag von Pascal Weißhaupt > Gesendet: Mittwoch, 5. Januar 2022 12:16 > > Hi, > > > > 50 MB und wir scannen alles ? ja. > > > > Ich hätte auch gerne weniger, aber ich kann mich nicht durchsetzen? Ich lasse nur 30MB zu durchsetzen ? alles was größer ist wird erst gescannt wenn Zeit ist und da dauert die Zustellung dann etwas länger :-) Und schon achten die User drauf das die Mail nicht mit dem 48Megapixelfoto verschickt wird Sag deinem Vorgesetzten das du bei der Größe an Mails einen neuen 2 Prozessor Oktakern Server mit 128 GB RAM und mindesten 20 TB SSD Speicherplatz benötigst ..... Raid ist natürlich auch von Nöten und ans Internet müssen wir mindestens mit einer 10G Leitung sonst machen die Mails die Leitung dicht. Es wird Zeit das Mailporto eingeführt wird dann wirste sehen wie schnell die Leute so viel weniger zu sagen haben und das richtige Medium für den Austausch von diesen Datenmengen finden. Schon mal jemand ausgerechnet wieviel unterschied im Stromverbrauch von einer "hallo ich komme in 5 Minuten" Mail zu einer 100MB großen Mail liegt? Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From fk+postfix at celebrate.de Thu Jan 6 13:48:51 2022 From: fk+postfix at celebrate.de (fk+postfix at celebrate.de) Date: Thu, 6 Jan 2022 13:48:51 +0100 Subject: =?UTF-8?Q?Re=3a_Kurze_Frage_zu_erlaubter_Mailgr=c3=b6=c3=9fe?= In-Reply-To: <61D55D1C020000E90006C05F@weida.hki-jena.de> References: <61D55D1C020000E90006C05F@weida.hki-jena.de> Message-ID: <1cbfd282-45a1-b2ff-1a39-07d10bbe13b1@celebrate.de> Hallo Peer, Ich habe mich mit 15 MB seit 2004 durchgesetzt. Da wir mittels Mailpiler die Emails archivieren (aktuelle Speicherzeit für 11 Jahre) würde sonst das System aus allen Nähten platzen. Ich rechne ja auch IMAP Backup auf Disk und Tape mit in meine Speicherkalkulation mit dazu. Email ist bei uns das wichtigste Kommunikationsmittel, das im Worst case asap wieder laufen müsste. Hatte der GF eine Tabellenkalkulation gemacht, wo man an Hand der Emailgröße sehen konnten, wie sich die Hardware- und Betriebskosten nach Größe des Anhangs verhalten. Dabei eine 3-2-1 Backup Strategie. Wir sind nur eine kleine Firma (20 bis 25) Mitarbeiter, aber im Audio Business, da juckt der Finger Audio- und Druckdaten durch den Mailserver zu quälen. Hier die aktuellen Angaben der Speicherschätzung (Archiv Storage "/srv/gluster/piler" ist 5,8 TB groß): Speicherplatzschätzung Durchschnittliche Nachrichtenanzahl pro Tag 161 Durchschnittl. Nachricht + Metadaten + Indexgröße 181 k + 2 k + 2 k Durchschnittlicher Speicherplatzbedarf pro Tag 55 M "/srv/gluster/piler" Partition voraussichtlich voll in 126 years, 6 months, 7 days Nutzungstendenz zunehmend vlg Frank Am 05.01.2022 um 08:55 schrieb Peer-Joachim Koch: > Hallo, > > kurze Frage: Was lasst Ihr als maximale Mailgröße zu ? > Bei uns im Haus wird mal wieder darüber diskutiert.... > Für solche Dinge Freigaben in Nextcloud zu verwenden ist zu komplex :( > > Was ist bei euch so erlaubt ? > Scanned der Virenscanner auch die großen Emails (einige erlauben ja > 100M..) ? > > > Ciao >       Peer > >  ____________________________________ > Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. > Hans-Knöll-Institut (HKI) > Dr. Peer-Joachim Koch > > Beutenbergstraße 11a > 07745 Jena > Tel.: +49 3641 5321029 > Fax.: +49 3641 5322029 > e-Mail: Peer-Joachim.Koch at HKI-Jena.de > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Tue Jan 11 16:00:40 2022 From: ffiene at veka.com (Frank Fiene) Date: Tue, 11 Jan 2022 16:00:40 +0100 Subject: Spamhaus und rspamd ab Februar Message-ID: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> Moin! Kurze Frage: Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf Oder hat der rspamd-Entwickler da schon etwas vorbereitet? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From cr at ncxs.de Wed Jan 12 15:26:17 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 12 Jan 2022 15:26:17 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> Message-ID: <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> Hi Frank, das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net. Viele Grüße Carsten On 11.01.22 16:00, Frank Fiene wrote: > Moin! > > Kurze Frage: > > Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? > > Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? > https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf > > Oder hat der rspamd-Entwickler da schon etwas vorbereitet? > > > Viele Grüße! > Frank > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > From ffiene at veka.com Wed Jan 12 18:19:27 2022 From: ffiene at veka.com (Frank Fiene) Date: Wed, 12 Jan 2022 18:19:27 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> Message-ID: Hi Carsten, Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. OK, wenn es nur die DBL betrifft, ist es ja einfach. WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch dafür geeignet? Viele Grüße! Frank > Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg : > > Hi Frank, > > das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. > > Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. > > Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net. > > Viele Grüße > > Carsten > > On 11.01.22 16:00, Frank Fiene wrote: >> Moin! >> Kurze Frage: >> Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? >> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >> Viele Grüße! >> Frank >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >> HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Wed Jan 12 19:57:09 2022 From: ffiene at veka.com (Frank Fiene) Date: Wed, 12 Jan 2022 19:57:09 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> Message-ID: <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> Ich traue mich nicht so recht. :-D Ich habe mir die 4 .conf-Dateien und das lua-script aus dem git in den local.d Ordner gepackt. Die DBL-Beta neu und meinen zusätzlichen URIBL Datafeed hinzugefügt. rspamadm configtest meint, alles wäre gut. @Carsten: Möchtest du dir meinen configdump mal anschauen? Ich glaube, ich muss da mal aufräumen. HBL hatte ich noch gar nicht eingerichtet, habe ich ja dann jetzt auch. Viele Grüße! Frank > Am 12.01.2022 um 18:19 schrieb Frank Fiene : > > Hi Carsten, > > Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. > > OK, wenn es nur die DBL betrifft, ist es ja einfach. > > WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch dafür geeignet? > > > > Viele Grüße! Frank > > >> Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg >: >> >> Hi Frank, >> >> das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net ) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. >> >> Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. >> >> Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net . >> >> Viele Grüße >> >> Carsten >> >> On 11.01.22 16:00, Frank Fiene wrote: >>> Moin! >>> Kurze Frage: >>> Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? >>> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >>> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >>> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >>> Viele Grüße! >>> Frank >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> VEKA AKTIENGESELLSCHAFT >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> http://www.veka.com >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>> HRB 8282 AG Münster/District Court of Münster > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Wed Jan 12 20:16:23 2022 From: ffiene at veka.com (Frank Fiene) Date: Wed, 12 Jan 2022 20:16:23 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> Message-ID: <3817B3C7-AD73-49B4-A3D6-E3789C67A59C@veka.com> Wobei im git schon die rbl mit der produktiven URL drin ist. Funktioniert die denn schon? > Am 12.01.2022 um 19:57 schrieb Frank Fiene : > > Ich traue mich nicht so recht. :-D > > Ich habe mir die 4 .conf-Dateien und das lua-script aus dem git in den local.d Ordner gepackt. > > Die DBL-Beta neu und meinen zusätzlichen URIBL Datafeed hinzugefügt. > > rspamadm configtest meint, alles wäre gut. > > @Carsten: Möchtest du dir meinen configdump mal anschauen? > > Ich glaube, ich muss da mal aufräumen. HBL hatte ich noch gar nicht eingerichtet, habe ich ja dann jetzt auch. > > > Viele Grüße! Frank > >> Am 12.01.2022 um 18:19 schrieb Frank Fiene >: >> >> Hi Carsten, >> >> Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. >> >> OK, wenn es nur die DBL betrifft, ist es ja einfach. >> >> WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch dafür geeignet? >> >> >> >> Viele Grüße! Frank >> >> >>> Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg >: >>> >>> Hi Frank, >>> >>> das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net ) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. >>> >>> Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. >>> >>> Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net . >>> >>> Viele Grüße >>> >>> Carsten >>> >>> On 11.01.22 16:00, Frank Fiene wrote: >>>> Moin! >>>> Kurze Frage: >>>> Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? >>>> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >>>> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >>>> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >>>> Viele Grüße! >>>> Frank >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> http://www.veka.com >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> VEKA AKTIENGESELLSCHAFT >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> http://www.veka.com >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>>> HRB 8282 AG Münster/District Court of Münster >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >> >> HRB 8282 AG Münster/District Court of Münster >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From sebastian at debianfan.de Thu Jan 13 15:47:11 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 13 Jan 2022 15:47:11 +0100 Subject: 'Weak Ciphers' Message-ID: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> Moin allerseits, ich habe im Rahmen von Updates ein Testsystem aufgesetzt - der Server funktioniert soweit, aber der Test von ssllabs.com sagt, das bei mir noch einiges möglich wäre: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256 TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 (0xc077) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128 TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (0xc076) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128 TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256 TLS_RSA_WITH_AES_256_CCM_8 (0xc0a1) WEAK 256 TLS_RSA_WITH_AES_256_CCM (0xc09d) WEAK 256 TLS_RSA_WITH_ARIA_256_GCM_SHA384 (0xc051) WEAK 256 TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128 TLS_RSA_WITH_AES_128_CCM_8 (0xc0a0) WEAK 128 TLS_RSA_WITH_AES_128_CCM (0xc09c) WEAK 128 TLS_RSA_WITH_ARIA_128_GCM_SHA256 (0xc050) WEAK 128 TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 (0xc0) WEAK 256 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 (0xba) WEAK 128 TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) WEAK 256 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128 TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) WEAK Wie kann ich diese abschalten - oder kann ich das getrost ignorieren? gruß Sebastian Deißner From stickybit at myhm.de Thu Jan 13 15:53:06 2022 From: stickybit at myhm.de (Andre) Date: Thu, 13 Jan 2022 15:53:06 +0100 Subject: =?UTF-8?Q?relayhost_nach_Empf=c3=a4nger?= Message-ID: <105809a7-aa7b-a338-c048-ce1a48e73015@myhm.de> Moin, aus aktuellem Anlass möchte ich folgendes hinbekommen. IST-Zustand: Alle ausgehende E-Mails werden per relayhost = xx.xx.xx.xx (ip1) beim Mailserver mit der ip1 eingeliefert, der dann Mails an die in MX-Records hinterlegten Server verteilt. SOLL: Alle Mails, die an Empfänger eines bestimmten Anbieters, bspw. t-online.de, sollen aber ausnahmsweise über einen anderen Relayhost gehen. Wie realisiere ich das denn das am einfachsten? -- LG Andre Matus From Ralf.Hildebrandt at charite.de Thu Jan 13 15:56:59 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 13 Jan 2022 15:56:59 +0100 Subject: [ext] relayhost nach =?utf-8?Q?Empf?= =?utf-8?B?w6RuZ2Vy?= In-Reply-To: <105809a7-aa7b-a338-c048-ce1a48e73015@myhm.de> References: <105809a7-aa7b-a338-c048-ce1a48e73015@myhm.de> Message-ID: * Andre : > Moin, > > aus aktuellem Anlass möchte ich folgendes hinbekommen. > > IST-Zustand: > > Alle ausgehende E-Mails werden per > > relayhost = xx.xx.xx.xx (ip1) > > beim Mailserver mit der ip1 eingeliefert, der dann Mails an die in > MX-Records hinterlegten Server verteilt. > > SOLL: > > Alle Mails, die an Empfänger eines bestimmten Anbieters, bspw. t-online.de, > sollen aber ausnahmsweise über einen anderen Relayhost gehen. > > Wie realisiere ich das denn das am einfachsten? transport_maps t-online.de smtp:[kiste1] gmx.de smtp:[kiste2] -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From wn at neessen.net Thu Jan 13 16:04:45 2022 From: wn at neessen.net (Winfried Neessen) Date: Thu, 13 Jan 2022 16:04:45 +0100 Subject: 'Weak Ciphers' In-Reply-To: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> References: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> Message-ID: Hi, Am 2022-01-13 15:47, schrieb sebastian at debianfan.de: > ich habe im Rahmen von Updates ein Testsystem aufgesetzt - der Server > funktioniert soweit, aber der Test von ssllabs.com sagt, das bei mir > noch einiges möglich wäre: > ssllabs.com spricht doch m. W. n. nur https. Das Ergebnis, das Du bekommst, hat also nichts mit Postfix zu tun. Winni From sebastian at debianfan.de Thu Jan 13 16:09:22 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 13 Jan 2022 16:09:22 +0100 Subject: 'Weak Ciphers' In-Reply-To: References: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> Message-ID: <17b053a0-d6c3-8f66-f693-5382474345eb@debianfan.de> wenn man nicht aufpasst ;-) Danke Am 13.01.2022 um 16:04 schrieb Winfried Neessen: > Hi, > > Am 2022-01-13 15:47, schrieb sebastian at debianfan.de: > >> ich habe im Rahmen von Updates ein Testsystem aufgesetzt - der Server >> funktioniert soweit, aber der Test von ssllabs.com sagt, das bei mir >> noch einiges möglich wäre: >> > > ssllabs.com spricht doch m. W. n. nur https. Das Ergebnis, das Du > bekommst, hat also nichts mit Postfix zu tun. > > > Winni From Ralf.Hildebrandt at charite.de Thu Jan 13 17:23:56 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 13 Jan 2022 17:23:56 +0100 Subject: [ext] relayhost nach =?utf-8?Q?Empf?= =?utf-8?B?w6RuZ2Vy?= In-Reply-To: References: <105809a7-aa7b-a338-c048-ce1a48e73015@myhm.de> Message-ID: > transport_maps > > t-online.de smtp:[kiste1] > gmx.de smtp:[kiste2] https://www.linuxbabe.com/mail-server/postfix-transport-map-relay-map-flexible-email-delivery -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From daniel at mail24.vip Thu Jan 13 17:25:52 2022 From: daniel at mail24.vip (Daniel) Date: Thu, 13 Jan 2022 17:25:52 +0100 Subject: =?iso-8859-1?Q?Manche_Anbieter_gem=E4=DF_Elster_nicht_BSI_Konform?= Message-ID: <001401d8089a$3ba1e0c0$b2e5a240$@mail24.vip> Für euch zur Info von Elster, falls wer betroffen sein sollte. Zitat: „Die Anbieter kabelmail.de, directbox.com, paderborn.com, superkabel.de, kdwelt.de, mail-buero.de, mettingen.eu und maksimo.de bieten derzeit keine bei ELSTER zulässige BSI-konforme Transportverschlüsselung an. Aus diesem Grund können im Moment leider keine E-Mails von ELSTER an Adressen dieses Anbieters versandt werden. Bitte verwenden Sie bei Registrierungen eine E-Mail-Adresse eines anderen Anbieters und ändern Sie in bereits bestehenden Benutzerkonten ggf. die hinterlegte E-Mail-Adresse, um weiterhin E-Mails von ELSTER empfangen zu können. Der Versand von E-Mails an t-online.de verzögert sich derzeit. Bitte prüfen Sie ihr Mail-Postfach am nächsten Tag erneut.“ Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5545 bytes Beschreibung: nicht verfügbar URL : From cr at ncxs.de Thu Jan 13 21:32:53 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 13 Jan 2022 21:32:53 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: <3817B3C7-AD73-49B4-A3D6-E3789C67A59C@veka.com> References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> <3817B3C7-AD73-49B4-A3D6-E3789C67A59C@veka.com> Message-ID: Hallo Frank, ich habe mir die aktuelle rbl.conf von https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf mal angeschaut. Die kannst du so übernehmen. Nur bis 1.2. noch dbl-beta nutzen. > rbl = "your_DQS_key.dbl-beta.dq.spamhaus.net"; Ich finde auch die HBL Geschichten ziemlich gut. Da die neue Abfrage eigentlich nur neue Return Codes sind und das alte DBL Setting unangetastet bleibt, kann auch nix kaputt gehen. -- Wir haben die ganze Rspamd RBL Config für uns noch einmal neu strukturiert, damit die ganzen Namen einmal konsistent. Außerdem wird es immer mal wieder zu Erkennungen der gleichen Domains bei verschiedenen Abfragen kommen. z.B. ZRD + DBL oder AUTH + DBL + SH_EMAIL_DBL. Das kannst du mit ein paar extra Gruppen und max_score für die Gruppe gut anpassen. Ich schau mal ob das vorzeigbar ist ;) Viele Grüße Carsten On 12.01.22 20:16, Frank Fiene wrote: > Wobei im git schon die rbl mit der produktiven URL drin ist. > > Funktioniert die denn schon? > > >> Am 12.01.2022 um 19:57 schrieb Frank Fiene > >: >> >> Ich traue mich nicht so recht. :-D >> >> Ich habe mir die 4 .conf-Dateien und das lua-script aus dem git in den >> local.d Ordner gepackt. >> >> Die DBL-Beta neu und meinen zusätzlichen URIBL Datafeed hinzugefügt. >> >> rspamadm configtest meint, alles wäre gut. >> >> @Carsten: Möchtest du dir meinen configdump mal anschauen? >> >> Ich glaube, ich muss da mal aufräumen. HBL hatte ich noch gar nicht >> eingerichtet, habe ich ja dann jetzt auch. >> >> >> Viele Grüße! Frank >> >>> Am 12.01.2022 um 18:19 schrieb Frank Fiene >> >: >>> >>> Hi Carsten, >>> >>> Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. >>> >>> OK, wenn es nur die DBL betrifft, ist es ja einfach. >>> >>> WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch >>> dafür geeignet? >>> >>> >>> >>> Viele Grüße! Frank >>> >>> >>>> Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg >>> >: >>>> >>>> Hi Frank, >>>> >>>> das betrifft soweit nur die DataQuery Service Account (also wenn du >>>> via xxx.dbl.dq.spamhaus.net ) >>>> abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains >>>> gepflegt. >>>> >>>> Bei dbl.spamhaus.org ändert sich meines >>>> Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. >>>> >>>> Wenn du DQS hast, würde ich die dbl abschalten und die Config von >>>> Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net >>>> einrichten und nach dem 1.2 >>>> umkonfigurieren zu dbl.dq.spamhaus.net . >>>> >>>> Viele Grüße >>>> >>>> Carsten >>>> >>>> On 11.01.22 16:00, Frank Fiene wrote: >>>>> Moin! >>>>> Kurze Frage: >>>>> Hat schon jemand die neue Domain Blocklist mit Hostnamen von >>>>> Spamhaus getestet? >>>>> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >>>>> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >>>>> >>>>> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >>>>> Viele Grüße! >>>>> Frank >>>>> -- >>>>> Frank Fiene >>>>> IT-Security Manager VEKA Group >>>>> Fon: +49 2526 29-6200 >>>>> Fax: +49 2526 29-16-6200 >>>>> mailto: ffiene at veka.com >>>>> http://www.veka.com >>>>> PGP-ID: 62112A51 >>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>>> Threema: VZK5NDWW >>>>> VEKA AKTIENGESELLSCHAFT >>>>> Dieselstr. 8 >>>>> 48324 Sendenhorst >>>>> Deutschland/Germany >>>>> http://www.veka.com >>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. >>>>> Andreas W. Hillebrand >>>>> HRB 8282 AG Münster/District Court of Münster >>> >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AKTIENGESELLSCHAFT >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> http://www.veka.com >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. >>> Andreas W. Hillebrand >>> >>> HRB 8282 AG Münster/District Court of Münster >>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. >> Andreas W. Hillebrand >> >> HRB 8282 AG Münster/District Court of Münster >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. > Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > From ffiene at veka.com Fri Jan 14 07:39:30 2022 From: ffiene at veka.com (Frank Fiene) Date: Fri, 14 Jan 2022 07:39:30 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> <3817B3C7-AD73-49B4-A3D6-E3789C67A59C@veka.com> Message-ID: Perfekt, danke! > Am 13.01.2022 um 21:32 schrieb Carsten Rosenberg : > > Hallo Frank, > > ich habe mir die aktuelle rbl.conf von > > https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf > > mal angeschaut. Die kannst du so übernehmen. > Nur bis 1.2. noch dbl-beta nutzen. > > > rbl = "your_DQS_key.dbl-beta.dq.spamhaus.net"; > > Ich finde auch die HBL Geschichten ziemlich gut. > > Da die neue Abfrage eigentlich nur neue Return Codes sind und das alte DBL Setting unangetastet bleibt, kann auch nix kaputt gehen. > > -- > > Wir haben die ganze Rspamd RBL Config für uns noch einmal neu strukturiert, damit die ganzen Namen einmal konsistent. Außerdem wird es immer mal wieder zu Erkennungen der gleichen Domains bei verschiedenen Abfragen kommen. z.B. ZRD + DBL oder AUTH + DBL + SH_EMAIL_DBL. Das kannst du mit ein paar extra Gruppen und max_score für die Gruppe gut anpassen. > > Ich schau mal ob das vorzeigbar ist ;) > > Viele Grüße > > Carsten > > On 12.01.22 20:16, Frank Fiene wrote: >> Wobei im git schon die rbl mit der produktiven URL drin ist. >> Funktioniert die denn schon? >>> Am 12.01.2022 um 19:57 schrieb Frank Fiene >: >>> >>> Ich traue mich nicht so recht. :-D >>> >>> Ich habe mir die 4 .conf-Dateien und das lua-script aus dem git in den local.d Ordner gepackt. >>> >>> Die DBL-Beta neu und meinen zusätzlichen URIBL Datafeed hinzugefügt. >>> >>> rspamadm configtest meint, alles wäre gut. >>> >>> @Carsten: Möchtest du dir meinen configdump mal anschauen? >>> >>> Ich glaube, ich muss da mal aufräumen. HBL hatte ich noch gar nicht eingerichtet, habe ich ja dann jetzt auch. >>> >>> >>> Viele Grüße! Frank >>> >>>> Am 12.01.2022 um 18:19 schrieb Frank Fiene >: >>>> >>>> Hi Carsten, >>>> >>>> Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. >>>> >>>> OK, wenn es nur die DBL betrifft, ist es ja einfach. >>>> >>>> WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch dafür geeignet? >>>> >>>> >>>> >>>> Viele Grüße! Frank >>>> >>>> >>>>> Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg >: >>>>> >>>>> Hi Frank, >>>>> >>>>> das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net ) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. >>>>> >>>>> Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. >>>>> >>>>> Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net . >>>>> >>>>> Viele Grüße >>>>> >>>>> Carsten >>>>> >>>>> On 11.01.22 16:00, Frank Fiene wrote: >>>>>> Moin! >>>>>> Kurze Frage: >>>>>> Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? >>>>>> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >>>>>> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >>>>>> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >>>>>> Viele Grüße! >>>>>> Frank >>>>>> -- >>>>>> Frank Fiene >>>>>> IT-Security Manager VEKA Group >>>>>> Fon: +49 2526 29-6200 >>>>>> Fax: +49 2526 29-16-6200 >>>>>> mailto: ffiene at veka.com >>>>>> http://www.veka.com >>>>>> PGP-ID: 62112A51 >>>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>>>> Threema: VZK5NDWW >>>>>> VEKA AKTIENGESELLSCHAFT >>>>>> Dieselstr. 8 >>>>>> 48324 Sendenhorst >>>>>> Deutschland/Germany >>>>>> http://www.veka.com >>>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>>>>> HRB 8282 AG Münster/District Court of Münster >>>> >>>> Viele Grüße! >>>> i.A. Frank Fiene >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> http://www.veka.com >>>> >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> >>>> VEKA AKTIENGESELLSCHAFT >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> http://www.veka.com >>>> >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>>> >>>> HRB 8282 AG Münster/District Court of Münster >>>> >>> >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AKTIENGESELLSCHAFT >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> http://www.veka.com >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>> >>> HRB 8282 AG Münster/District Court of Münster >>> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >> HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From consulting at hennig-consulting.com Fri Jan 14 07:49:49 2022 From: consulting at hennig-consulting.com (Bernd Werner Hennig) Date: Fri, 14 Jan 2022 07:49:49 +0100 Subject: Frage: Optimale Spamassassin Einstellung Message-ID: G?Day, ich hoffe ich darf hier auch nach einer Spamassassin Einstellung fragen. Hintergrund: ich suche mir aus dem Internet Anregungen und Infos zusammen und bin ständig am ?basteln?. Frage: Gibt es EINE optimale (?) Anleitung/Hilfe für halbwissende wie mich um hier eine optimale Konfiguration zu erstellen ? Ich beschäftige mich (bis jetzt) nicht jeden Tag mit dem Thema (auch dem Thema postfix) sondern ?immer mal wieder?. Nachteil: Ich vergesse in der Zwischenzeit oft WAS ich so alles gemacht habe (Abhilfe: Mittlerweile schreibe ich eine .txt Datei und packe da meine Änderungen rein?) Ich habe den ?Verdacht? das ich neue Entwicklungen nicht mitbekomme (deshalb auch der Eintrag in diese Liste), bin vom Niveau eher im unteren Drittel zu finden. Danke für eure Hilfe -- Hennig Consulting Head of everything Bernd Werner Hennig Am Schnappen 23 D-49832 Freren Phone: +49 (0)5902 50297-50 Fax: +49 (0)5902 50297-51 Mobile: +49 (0)173 4516667 0700: 0700-BWHENNIG (0,12Cent/Minute aus dem Festnetz der Telekom) E-Mail: consulting at hennig-consulting.com -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 861 bytes Beschreibung: Message signed with OpenPGP URL : From joerg at backschues.de Fri Jan 14 09:42:10 2022 From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=) Date: Fri, 14 Jan 2022 09:42:10 +0100 Subject: 'Weak Ciphers' In-Reply-To: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> References: <7f01dc2c-e325-3ab7-ce01-bb1949fd131f@debianfan.de> Message-ID: <15faeaec-f69d-3fc6-046a-7f90881dbfad@backschues.de> Am 13.01.2022 um 15:47 schrieb sebastian at debianfan.de: > ich habe im Rahmen von Updates ein Testsystem aufgesetzt - der Server > funktioniert soweit, aber der Test von ssllabs.com sagt, das bei mir > noch einiges möglich wäre: Bezogen auf SMTP dürfte der Test von eher valide sein. Ich möchte aber explizit auf die Aussage von Viktor Dukhovni hinweisen: "Postfix has sensible defaults for the low level cipher lists. Resist the temptation to "improve" them." -- Gruß Jörg Backschues From joerg at backschues.de Fri Jan 14 09:58:39 2022 From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=) Date: Fri, 14 Jan 2022 09:58:39 +0100 Subject: =?UTF-8?Q?Re=3a_Manche_Anbieter_gem=c3=a4=c3=9f_Elster_nicht_BSI_Ko?= =?UTF-8?Q?nform?= In-Reply-To: <001401d8089a$3ba1e0c0$b2e5a240$@mail24.vip> References: <001401d8089a$3ba1e0c0$b2e5a240$@mail24.vip> Message-ID: <9fd5d8b4-93e0-41eb-69ae-28ab3f352fd2@backschues.de> Am 13.01.2022 um 17:25 schrieb Daniel: > Zitat: ?Die Anbieter kabelmail.de, directbox.com, paderborn.com, superkabel.de, kdwelt.de, mail-buero.de, mettingen.eu und > maksimo.de bieten derzeit keine bei ELSTER zulässige BSI-konforme Transportverschlüsselung an. Die o.g. Domains greifen alle auf die Services der mediaBEAM GmbH aus Ahaus zurück. Hm, und diese Firma zeichnet sich übrigens auch für die Vodafone E-Mail & Cloud (Vodafone.de, Arcor.de, Unity-Mail ....) aus. Just my two cents... -- Gruß Jörg Backschues From ffiene at veka.com Fri Jan 21 11:39:26 2022 From: ffiene at veka.com (Frank Fiene) Date: Fri, 21 Jan 2022 11:39:26 +0100 Subject: Spamhaus und rspamd ab Februar In-Reply-To: References: <25CA738E-9897-4E0D-888B-38C432220323@veka.com> <905d9483-7d94-e568-f7b4-6c0efa475d26@ncxs.de> <0EFE12AA-14A4-4A29-9260-EBD8143EBDE6@veka.com> <3817B3C7-AD73-49B4-A3D6-E3789C67A59C@veka.com> Message-ID: <665BECF3-A1BD-40C3-B3EF-378520586A37@veka.com> Ich habe das jetzt mal aktiviert und bekomme folgende Meldungen: Jan 20 11:43:41 smtp1 rspamd[15198]: <11ae96>; proxy; rspamd_symcache_finalize_item: slow rule: SPAMHAUS_DBL_FULLURLS(302): 1221.09 ms; enable slow timer delay Jan 20 19:34:17 smtp1 rspamd[15201]: <6ac361>; lua; rbl.lua:888: cannot send invalid DNS request www...dbl-beta.dq.spamhaus.net for SPAMHAUS_DBL_FULLURLS Die erste Meldung ist wahrscheinlich wegen dem Beta-Status, die zweite sieht aber nach einem Fehler in der Funktion aus. spamhaus_dbl_fullurls { ignore_defaults = true; no_ip = true; rbl = ?.dbl-beta.dq.spamhaus.net"; selector = 'urls:get_host' returncodes { DBLABUSED_SPAM_FULLURLS = "127.0.1.102"; DBLABUSED_PHISH_FULLURLS = "127.0.1.104"; DBLABUSED_MALWARE_FULLURLS = "127.0.1.105"; DBLABUSED_BOTNET_FULLURLS = "127.0.1.106"; } } Wobei, wenn ich mir das hier anschaue: Jan 20 19:34:17 smtp1 rspamd[15201]: <6ac361>; lua; rbl.lua:888: cannot send invalid DNS request www..multi.surbl.org for SURBL_MULTI Könnte es auch sein, dass jemand https://www . In die Mail reingeschrieben hat. :-D > Am 13.01.2022 um 21:32 schrieb Carsten Rosenberg : > > Hallo Frank, > > ich habe mir die aktuelle rbl.conf von > > https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf > > mal angeschaut. Die kannst du so übernehmen. > Nur bis 1.2. noch dbl-beta nutzen. > > > rbl = "your_DQS_key.dbl-beta.dq.spamhaus.net"; > > Ich finde auch die HBL Geschichten ziemlich gut. > > Da die neue Abfrage eigentlich nur neue Return Codes sind und das alte DBL Setting unangetastet bleibt, kann auch nix kaputt gehen. > > -- > > Wir haben die ganze Rspamd RBL Config für uns noch einmal neu strukturiert, damit die ganzen Namen einmal konsistent. Außerdem wird es immer mal wieder zu Erkennungen der gleichen Domains bei verschiedenen Abfragen kommen. z.B. ZRD + DBL oder AUTH + DBL + SH_EMAIL_DBL. Das kannst du mit ein paar extra Gruppen und max_score für die Gruppe gut anpassen. > > Ich schau mal ob das vorzeigbar ist ;) > > Viele Grüße > > Carsten > > On 12.01.22 20:16, Frank Fiene wrote: >> Wobei im git schon die rbl mit der produktiven URL drin ist. >> Funktioniert die denn schon? >>> Am 12.01.2022 um 19:57 schrieb Frank Fiene >: >>> >>> Ich traue mich nicht so recht. :-D >>> >>> Ich habe mir die 4 .conf-Dateien und das lua-script aus dem git in den local.d Ordner gepackt. >>> >>> Die DBL-Beta neu und meinen zusätzlichen URIBL Datafeed hinzugefügt. >>> >>> rspamadm configtest meint, alles wäre gut. >>> >>> @Carsten: Möchtest du dir meinen configdump mal anschauen? >>> >>> Ich glaube, ich muss da mal aufräumen. HBL hatte ich noch gar nicht eingerichtet, habe ich ja dann jetzt auch. >>> >>> >>> Viele Grüße! Frank >>> >>>> Am 12.01.2022 um 18:19 schrieb Frank Fiene >: >>>> >>>> Hi Carsten, >>>> >>>> Ja, wir haben DQS bei Peer gekauft. Hatte ich vergessen zu erwähnen. >>>> >>>> OK, wenn es nur die DBL betrifft, ist es ja einfach. >>>> >>>> WIr haben allerdings rspamd-3.1, sind die Dateien im git für 2.0 auch dafür geeignet? >>>> >>>> >>>> >>>> Viele Grüße! Frank >>>> >>>> >>>>> Am 12.01.2022 um 15:26 schrieb Carsten Rosenberg >: >>>>> >>>>> Hi Frank, >>>>> >>>>> das betrifft soweit nur die DataQuery Service Account (also wenn du via xxx.dbl.dq.spamhaus.net ) abfragst. Dort werden ab 1.2. Subdomains anstatt First-Level Domains gepflegt. >>>>> >>>>> Bei dbl.spamhaus.org ändert sich meines Wissens nix. Daher ist Rspamd auch erst einmal nicht betroffen. >>>>> >>>>> Wenn du DQS hast, würde ich die dbl abschalten und die Config von Spamhaus jetzt mit der dbl-beta.dq.spamhaus.net einrichten und nach dem 1.2 umkonfigurieren zu dbl.dq.spamhaus.net . >>>>> >>>>> Viele Grüße >>>>> >>>>> Carsten >>>>> >>>>> On 11.01.22 16:00, Frank Fiene wrote: >>>>>> Moin! >>>>>> Kurze Frage: >>>>>> Hat schon jemand die neue Domain Blocklist mit Hostnamen von Spamhaus getestet? >>>>>> Reicht es, in rspamd den Code vom GitHub Repository zu integrieren? >>>>>> https://github.com/spamhaus/rspamd-dqs/blob/dbl-beta/2.x/rbl.conf >>>>>> Oder hat der rspamd-Entwickler da schon etwas vorbereitet? >>>>>> Viele Grüße! >>>>>> Frank >>>>>> -- >>>>>> Frank Fiene >>>>>> IT-Security Manager VEKA Group >>>>>> Fon: +49 2526 29-6200 >>>>>> Fax: +49 2526 29-16-6200 >>>>>> mailto: ffiene at veka.com >>>>>> http://www.veka.com >>>>>> PGP-ID: 62112A51 >>>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>>>> Threema: VZK5NDWW >>>>>> VEKA AKTIENGESELLSCHAFT >>>>>> Dieselstr. 8 >>>>>> 48324 Sendenhorst >>>>>> Deutschland/Germany >>>>>> http://www.veka.com >>>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>>>>> HRB 8282 AG Münster/District Court of Münster >>>> >>>> Viele Grüße! >>>> i.A. Frank Fiene >>>> -- >>>> Frank Fiene >>>> IT-Security Manager VEKA Group >>>> >>>> Fon: +49 2526 29-6200 >>>> Fax: +49 2526 29-16-6200 >>>> mailto: ffiene at veka.com >>>> http://www.veka.com >>>> >>>> PGP-ID: 62112A51 >>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>>> Threema: VZK5NDWW >>>> >>>> VEKA AKTIENGESELLSCHAFT >>>> Dieselstr. 8 >>>> 48324 Sendenhorst >>>> Deutschland/Germany >>>> http://www.veka.com >>>> >>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>>> >>>> HRB 8282 AG Münster/District Court of Münster >>>> >>> >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AKTIENGESELLSCHAFT >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> http://www.veka.com >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >>> >>> HRB 8282 AG Münster/District Court of Münster >>> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> VEKA AKTIENGESELLSCHAFT >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> http://www.veka.com >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand >> HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From sebastian at debianfan.de Tue Jan 25 09:15:20 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 09:15:20 +0100 Subject: smtpd_tls - Optionen Message-ID: <6eea8fc2-f591-921d-0612-af12022011fd@debianfan.de> Guten Morgen, so wie ich das verstanden habe, beeinflussen die Parameter: smtpd_tls_CAfile = smtpd_tls_CApath = smtpd_tls_always_issue_session_ids = yes smtpd_tls_ask_ccert = no smtpd_tls_auth_only = no smtpd_tls_ccert_verifydepth = 9 smtpd_tls_cert_file = /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem smtpd_tls_chain_files = smtpd_tls_ciphers = high smtpd_tls_dcert_file = smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem smtpd_tls_dkey_file = $smtpd_tls_dcert_file smtpd_tls_eccert_file = smtpd_tls_eckey_file = $smtpd_tls_eccert_file smtpd_tls_eecdh_grade = auto smtpd_tls_exclude_ciphers = smtpd_tls_fingerprint_digest = md5 smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem smtpd_tls_loglevel = 0 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_received_header = no smtpd_tls_req_ccert = no smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_tls_wrappermode = no die Möglichkeiten von externen Mailservern, bei der Maschine hier Mails abzugeben. Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok, aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden". Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen - oder gibt es noch 'größere relevante Versender', welche immer noch unverschlüsselt senden ? Könnte man damit vielleicht auch Spam eindämmen ? gruß Sebastian From klaus at tachtler.net Tue Jan 25 09:29:40 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 25 Jan 2022 09:29:40 +0100 Subject: smtpd_tls - Optionen In-Reply-To: <6eea8fc2-f591-921d-0612-af12022011fd@debianfan.de> Message-ID: <20220125092940.Horde.owagqdi-B9CbjRMoL9LX32T@buero.tachtler.net> Hallo Sebastian, wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als Spammer unterhalte. Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann der große Provider bestimmt auch "encrypt"? Grüße Klaus. ----- Nachricht von sebastian at debianfan.de --------- Datum: Tue, 25 Jan 2022 09:15:20 +0100 Von: sebastian at debianfan.de Antwort an: Diskussionen und Support rund um Postfix Betreff: smtpd_tls - Optionen An: Diskussionen und Support rund um Postfix > Guten Morgen, > > so wie ich das verstanden habe, beeinflussen die Parameter: > > smtpd_tls_CAfile = > smtpd_tls_CApath = > smtpd_tls_always_issue_session_ids = yes > smtpd_tls_ask_ccert = no > smtpd_tls_auth_only = no > smtpd_tls_ccert_verifydepth = 9 > smtpd_tls_cert_file = /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem > smtpd_tls_chain_files = > smtpd_tls_ciphers = high > smtpd_tls_dcert_file = > smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem > smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem > smtpd_tls_dkey_file = $smtpd_tls_dcert_file > smtpd_tls_eccert_file = > smtpd_tls_eckey_file = $smtpd_tls_eccert_file > smtpd_tls_eecdh_grade = auto > smtpd_tls_exclude_ciphers = > smtpd_tls_fingerprint_digest = md5 > smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem > smtpd_tls_loglevel = 0 > smtpd_tls_mandatory_ciphers = high > smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 > smtpd_tls_protocols = !SSLv2, !SSLv3 > smtpd_tls_received_header = no > smtpd_tls_req_ccert = no > smtpd_tls_security_level = may > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtpd_tls_session_cache_timeout = 3600s > smtpd_tls_wrappermode = no > > > die Möglichkeiten von externen Mailservern, bei der Maschine hier > Mails abzugeben. > > Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind > ok, aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung > senden". > > Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen - > oder gibt es noch 'größere relevante Versender', welche immer noch > unverschlüsselt senden ? > > Könnte man damit vielleicht auch Spam eindämmen ? > > gruß > > Sebastian ----- Ende der Nachricht von sebastian at debianfan.de ----- -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-keys Dateigröße : 3121 bytes Beschreibung: Öffentlicher PGP-Schlüssel URL : From sebastian at debianfan.de Tue Jan 25 09:40:07 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 09:40:07 +0100 Subject: smtpd_tls - Optionen In-Reply-To: <20220125092940.Horde.owagqdi-B9CbjRMoL9LX32T@buero.tachtler.net> References: <20220125092940.Horde.owagqdi-B9CbjRMoL9LX32T@buero.tachtler.net> Message-ID: Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn man nur noch 'encrypt' anbietet ? Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu verbinden? Am 25.01.2022 um 09:29 schrieb Klaus Tachtler: > > Hallo Sebastian, > > wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch > "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt > Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als > Spammer unterhalte. > > Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann > der große Provider bestimmt auch "encrypt"? > > > Grüße > Klaus. > > ----- Nachricht von sebastian at debianfan.de --------- >      Datum: Tue, 25 Jan 2022 09:15:20 +0100 >        Von: sebastian at debianfan.de > Antwort an: Diskussionen und Support rund um Postfix > >    Betreff: smtpd_tls - Optionen >         An: Diskussionen und Support rund um Postfix > > > >> Guten Morgen, >> >> so wie ich das verstanden habe, beeinflussen die Parameter: >> >> smtpd_tls_CAfile = >> smtpd_tls_CApath = >> smtpd_tls_always_issue_session_ids = yes >> smtpd_tls_ask_ccert = no >> smtpd_tls_auth_only = no >> smtpd_tls_ccert_verifydepth = 9 >> smtpd_tls_cert_file = >> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem >> smtpd_tls_chain_files = >> smtpd_tls_ciphers = high >> smtpd_tls_dcert_file = >> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem >> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem >> smtpd_tls_dkey_file = $smtpd_tls_dcert_file >> smtpd_tls_eccert_file = >> smtpd_tls_eckey_file = $smtpd_tls_eccert_file >> smtpd_tls_eecdh_grade = auto >> smtpd_tls_exclude_ciphers = >> smtpd_tls_fingerprint_digest = md5 >> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem >> smtpd_tls_loglevel = 0 >> smtpd_tls_mandatory_ciphers = high >> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 >> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >> smtpd_tls_protocols = !SSLv2, !SSLv3 >> smtpd_tls_received_header = no >> smtpd_tls_req_ccert = no >> smtpd_tls_security_level = may >> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >> smtpd_tls_session_cache_timeout = 3600s >> smtpd_tls_wrappermode = no >> >> >> die Möglichkeiten von externen Mailservern, bei der Maschine hier >> Mails abzugeben. >> >> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok, >> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden". >> >> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen - >> oder gibt es noch 'größere relevante Versender', welche immer noch >> unverschlüsselt senden ? >> >> Könnte man damit vielleicht auch Spam eindämmen ? >> >> gruß >> >> Sebastian > > > ----- Ende der Nachricht von sebastian at debianfan.de ----- > > > From w.flamme at web.de Tue Jan 25 10:13:45 2022 From: w.flamme at web.de (Werner Flamme) Date: Tue, 25 Jan 2022 10:13:45 +0100 Subject: smtpd_tls - Optionen In-Reply-To: References: <20220125092940.Horde.owagqdi-B9CbjRMoL9LX32T@buero.tachtler.net> Message-ID: Am 25.01.22 um 09:40 schrieb sebastian at debianfan.de: > Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber > die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn > man nur noch 'encrypt' anbietet ? > > Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da > irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu > verbinden? Wenn Du "smtpd_tls_loglevel = 1" gesetzt hättest, müsste Dein Log zumindest verschlüsselte Verbindungen mit entsprechendem Text zeigen. Zum Beispiel ... postfix/smtpd ... Anonymous TLS connection established from hostname[ipaddress]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits) Da ich nur internen Mailverkehr habe und keine unverschlüsselt sendenden Gegenstellen beteiligt sind, kann ich Dir nicht sagen, wie es zum Vergleich ohne TLS aussieht ;) Da Du aber ohnehin keine CAs vorgibst, die hinter den Zertifikaten stehen müssen, ist das eigentlich egal. Ein x-beliebiges (selbsterstelltes) Zertifikat reicht doch, um Verbindungen aufzubauen. Und ein geknacktes Mailkonto auf dem Desktop ist doch eh i.d.R. auf verschlüsselte Verbindungen konfiguriert - ich denke nicht, dass die Verschlüsselung dazu führt, dass Du weniger Spam annimmst. Maximal ein illegaler uralter Spambot auf einem Server würde abgewehrt, aber wie oft tritt das auf? Solange der RFC für Mailtransport nicht zwingend eine Verschlüsselung vorgibt, würde ich davon absehen, sowas einzuführen. Ich bin ja nicht Microsoft, die ihre eigenen Standards definieren und dann von der Welt erwarten, dass sie sich danach richtet. Gruß Werner > > > Am 25.01.2022 um 09:29 schrieb Klaus Tachtler: >> >> Hallo Sebastian, >> >> wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch >> "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt >> Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als >> Spammer unterhalte. >> >> Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann >> der große Provider bestimmt auch "encrypt"? >> >> >> Grüße >> Klaus. >> >> ----- Nachricht von sebastian at debianfan.de --------- >>      Datum: Tue, 25 Jan 2022 09:15:20 +0100 >>        Von: sebastian at debianfan.de >> Antwort an: Diskussionen und Support rund um Postfix >> >>    Betreff: smtpd_tls - Optionen >>         An: Diskussionen und Support rund um Postfix >> >> >> >>> Guten Morgen, >>> >>> so wie ich das verstanden habe, beeinflussen die Parameter: >>> >>> smtpd_tls_CAfile = >>> smtpd_tls_CApath = >>> smtpd_tls_always_issue_session_ids = yes >>> smtpd_tls_ask_ccert = no >>> smtpd_tls_auth_only = no >>> smtpd_tls_ccert_verifydepth = 9 >>> smtpd_tls_cert_file = >>> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem >>> smtpd_tls_chain_files = >>> smtpd_tls_ciphers = high >>> smtpd_tls_dcert_file = >>> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem >>> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem >>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file >>> smtpd_tls_eccert_file = >>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file >>> smtpd_tls_eecdh_grade = auto >>> smtpd_tls_exclude_ciphers = >>> smtpd_tls_fingerprint_digest = md5 >>> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem >>> smtpd_tls_loglevel = 0 >>> smtpd_tls_mandatory_ciphers = high >>> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 >>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >>> smtpd_tls_protocols = !SSLv2, !SSLv3 >>> smtpd_tls_received_header = no >>> smtpd_tls_req_ccert = no >>> smtpd_tls_security_level = may >>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >>> smtpd_tls_session_cache_timeout = 3600s >>> smtpd_tls_wrappermode = no >>> >>> >>> die Möglichkeiten von externen Mailservern, bei der Maschine hier >>> Mails abzugeben. >>> >>> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok, >>> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden". >>> >>> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen - >>> oder gibt es noch 'größere relevante Versender', welche immer noch >>> unverschlüsselt senden ? >>> >>> Könnte man damit vielleicht auch Spam eindämmen ? >>> >>> gruß >>> >>> Sebastian >> >> >> ----- Ende der Nachricht von sebastian at debianfan.de ----- >> >> >> From florian at bodici.de Tue Jan 25 10:26:31 2022 From: florian at bodici.de (Florian) Date: Tue, 25 Jan 2022 10:26:31 +0100 Subject: smtpd_tls - Optionen In-Reply-To: References: <20220125092940.Horde.owagqdi-B9CbjRMoL9LX32T@buero.tachtler.net> Message-ID: <51d45d86-9c9a-add2-eb41-0cb0cac2b69d@bodici.de> Hallo Sebastian, ich frage mich gerade, was genau du Dir davon versprichst, keine unverschlüsselten Mails anzunehmen? Das Problem an unverschlüsselten Mails ist ja in erster Linie, dass sie nicht mitgelesen werden können. Sie tragen aber nicht zur Authentifizierung bei (dafür benötigst du dann SPF/DKIM/DMARC) und auch nicht zur Spamabwehr (hier würde ich rspamd empfehlen). Viel wichtiger ist eigentlich, dass du sicherstellst, ausgehend eine bestmögliche Verschlüsselung anzubieten. Wenn du auf keinen Fall unverschlüsselt ausgehend senden willst, kannst du das deinem Postfix ja verbieten (wenn die Gegenseite kein oder nur unsicheres TLS anbietet). Ansonsten würde ich, wie Werner geschrieben hat, den smtp_tls_loglevel erhöhen und mal eine Weile beobachten, was da so reinkommt und ob du das haben willst. Zu über 99% wird TLS 1.2 oder höher verwendet, aber es gibt auch noch ein paar größere Sender, die nur <= TLS 1.0 oder keine Verschlüsselung verwenden. Viele Grüße, Florian Vierke Motto des Monats: Kopf hoch, bald ist wieder Sommer! Am 25.01.2022 um 10:13 schrieb Werner Flamme: > Am 25.01.22 um 09:40 schrieb sebastian at debianfan.de: >> Die Sache mit dem "Spammer fernhalten" war nur so eine Nebenidee, aber >> die Hauptfrage ist, ob man damit wirklich jemanden ausschliesst, wenn >> man nur noch 'encrypt' anbietet ? >> >> Ich habe noch Logfiles der letzten 2 Jahre liegen - kann ich da >> irgendwie auswerten, wer versucht hat, sich ohne Verschlüsselung zu >> verbinden? > Wenn Du "smtpd_tls_loglevel = 1" gesetzt hättest, müsste Dein Log > zumindest verschlüsselte Verbindungen mit entsprechendem Text zeigen. > Zum Beispiel > ... postfix/smtpd ... Anonymous TLS connection established from > hostname[ipaddress]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits) > > Da ich nur internen Mailverkehr habe und keine unverschlüsselt sendenden > Gegenstellen beteiligt sind, kann ich Dir nicht sagen, wie es zum > Vergleich ohne TLS aussieht ;) > > Da Du aber ohnehin keine CAs vorgibst, die hinter den Zertifikaten > stehen müssen, ist das eigentlich egal. Ein x-beliebiges > (selbsterstelltes) Zertifikat reicht doch, um Verbindungen aufzubauen. > Und ein geknacktes Mailkonto auf dem Desktop ist doch eh i.d.R. auf > verschlüsselte Verbindungen konfiguriert - ich denke nicht, dass die > Verschlüsselung dazu führt, dass Du weniger Spam annimmst. Maximal ein > illegaler uralter Spambot auf einem Server würde abgewehrt, aber wie oft > tritt das auf? > > Solange der RFC für Mailtransport nicht zwingend eine Verschlüsselung > vorgibt, würde ich davon absehen, sowas einzuführen. Ich bin ja nicht > Microsoft, die ihre eigenen Standards definieren und dann von der Welt > erwarten, dass sie sich danach richtet. > > Gruß > Werner > >> >> Am 25.01.2022 um 09:29 schrieb Klaus Tachtler: >>> Hallo Sebastian, >>> >>> wenn ich ein Spammer wäre, was ich nicht bin, obwohl mein Vorname auch >>> "Klaus" ist, wäre es doch auch ein leichtes, mir ein Let's Encrypt >>> Zertifikat zu besorgen, wenn ich schon einen eigenen Mail-Server als >>> Spammer unterhalte. >>> >>> Falls ich aber ein Mailkonto eines großen Providers gehackt habe, kann >>> der große Provider bestimmt auch "encrypt"? >>> >>> >>> Grüße >>> Klaus. >>> >>> ----- Nachricht von sebastian at debianfan.de --------- >>>      Datum: Tue, 25 Jan 2022 09:15:20 +0100 >>>        Von: sebastian at debianfan.de >>> Antwort an: Diskussionen und Support rund um Postfix >>> >>>    Betreff: smtpd_tls - Optionen >>>         An: Diskussionen und Support rund um Postfix >>> >>> >>> >>>> Guten Morgen, >>>> >>>> so wie ich das verstanden habe, beeinflussen die Parameter: >>>> >>>> smtpd_tls_CAfile = >>>> smtpd_tls_CApath = >>>> smtpd_tls_always_issue_session_ids = yes >>>> smtpd_tls_ask_ccert = no >>>> smtpd_tls_auth_only = no >>>> smtpd_tls_ccert_verifydepth = 9 >>>> smtpd_tls_cert_file = >>>> /etc/letsencrypt/live/mail.meinserver.de/fullchain.pem >>>> smtpd_tls_chain_files = >>>> smtpd_tls_ciphers = high >>>> smtpd_tls_dcert_file = >>>> smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem >>>> smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem >>>> smtpd_tls_dkey_file = $smtpd_tls_dcert_file >>>> smtpd_tls_eccert_file = >>>> smtpd_tls_eckey_file = $smtpd_tls_eccert_file >>>> smtpd_tls_eecdh_grade = auto >>>> smtpd_tls_exclude_ciphers = >>>> smtpd_tls_fingerprint_digest = md5 >>>> smtpd_tls_key_file = /etc/letsencrypt/live/mail.meinserver.de/privkey.pem >>>> smtpd_tls_loglevel = 0 >>>> smtpd_tls_mandatory_ciphers = high >>>> smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 >>>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 >>>> smtpd_tls_protocols = !SSLv2, !SSLv3 >>>> smtpd_tls_received_header = no >>>> smtpd_tls_req_ccert = no >>>> smtpd_tls_security_level = may >>>> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache >>>> smtpd_tls_session_cache_timeout = 3600s >>>> smtpd_tls_wrappermode = no >>>> >>>> >>>> die Möglichkeiten von externen Mailservern, bei der Maschine hier >>>> Mails abzugeben. >>>> >>>> Im aktuellen Fall heisst das ja "Verschlüsselte Verbindungen sind ok, >>>> aber wenns nicht geht, dann kannst Du auch ohne Verschlüsselung senden". >>>> >>>> Wäre es nicht sinnvoller, auf "encrypt" anstatt auf "may" zu gehen - >>>> oder gibt es noch 'größere relevante Versender', welche immer noch >>>> unverschlüsselt senden ? >>>> >>>> Könnte man damit vielleicht auch Spam eindämmen ? >>>> >>>> gruß >>>> >>>> Sebastian >>> >>> ----- Ende der Nachricht von sebastian at debianfan.de ----- >>> >>> >>> From atann at alphasrv.net Tue Jan 25 12:13:51 2022 From: atann at alphasrv.net (Andre Tann) Date: Tue, 25 Jan 2022 12:13:51 +0100 Subject: Hetzner - unfreundliche Nachbarn? Message-ID: Servus beisammen, neuerdings wird Hotmail bei mir mit solchen Meldungen vorstellig: : host hotmail-com.olc.protection.outlook.com[104.47.57.161] said: 550 5.7.1 Unfortunately, messages from [95.217.28.6] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). Mittels Tools wie mxtoolbox.com stelle ich fest, daß die IP auf keiner Blacklist steht, und auch sonst sind die meisten Tests grün. Von daher denke ich, daß es tatsächlich so ist, daß die Nachbarn dieser IP unfreundliche Dinge tun (oder daß zumindest Hotmail denkt, daß das so sei). Hat jemand gute Ideen, wie man am besten damit umgeht? Andere IP besorgen und hoffen, daß die Nachbarn dann netter sind? Hetzner meiden - aber wohin dann? Viele Grüße -- Andre Tann From sebastian at debianfan.de Tue Jan 25 12:26:10 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 12:26:10 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: <71ea4fc5-7ee8-5375-6970-6ff4ca3039cd@debianfan.de> Es gibt bei MS ein Formular: https://support.microsoft.com/en-us/supportrequestform/8ad563e3-288e-2a61-8122-3ba03d6b8d75 Am 25.01.2022 um 12:13 schrieb Andre Tann: > Servus beisammen, > > neuerdings wird Hotmail bei mir mit solchen Meldungen vorstellig: > > : host > hotmail-com.olc.protection.outlook.com[104.47.57.161] said: 550 5.7.1 > Unfortunately, messages from [95.217.28.6] weren't sent. Please contact > your Internet service provider since part of their network is on our > block list (S3150). > > Mittels Tools wie mxtoolbox.com stelle ich fest, daß die IP auf keiner > Blacklist steht, und auch sonst sind die meisten Tests grün. > > Von daher denke ich, daß es tatsächlich so ist, daß die Nachbarn dieser > IP unfreundliche Dinge tun (oder daß zumindest Hotmail denkt, daß das so > sei). > > Hat jemand gute Ideen, wie man am besten damit umgeht? Andere IP > besorgen und hoffen, daß die Nachbarn dann netter sind? Hetzner meiden - > aber wohin dann? > > Viele Grüße > From florian at effenberger.org Tue Jan 25 12:32:53 2022 From: florian at effenberger.org (Florian Effenberger) Date: Tue, 25 Jan 2022 12:32:53 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: Hallo, Andre Tann wrote on 25.01.22 at 12:13: > Hat jemand gute Ideen, wie man am besten damit umgeht? Andere IP > besorgen und hoffen, daß die Nachbarn dann netter sind? Hetzner meiden - > aber wohin dann? Hetzner selbst hat da gute Informationen zu: https://docs.hetzner.com/de/robot/dedicated-server/troubleshooting/microsoft-blacklist/ Meistens genügt es, das Formular auszufüllen und bei Bedarf nochmal auf die Mail zu antworten, falls kein automatisches Delisting erfolgt. Das Anmelden bei SNDS kann ebenfalls hilfreich sein. Viele Grüße Florian From atann at alphasrv.net Tue Jan 25 13:11:55 2022 From: atann at alphasrv.net (Andre Tann) Date: Tue, 25 Jan 2022 13:11:55 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: Servus Florian & Sebastian, vielen Dank für den Hinweis auf das MS-Formular. Ich hatte das schon mal ausgefüllt, aber habe es jetzt einfach nochmal wiederholt. So im Nachhinein bin ich mir nicht mal mehr sicher, ob ich IP/32 angegeben hatte, oder /24, oder vielleicht mit gar keiner Maske. Schau ich mal, was jetzt rauskommt. On 25.01.22 12:32, Florian Effenberger wrote: > Hetzner selbst hat da gute Informationen zu: > https://docs.hetzner.com/de/robot/dedicated-server/troubleshooting/microsoft-blacklist/ das ist ein guter Hinweis, vielen Dank. -- Andre Tann From ml-pbu at syntaxys.de Tue Jan 25 13:14:12 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 25 Jan 2022 13:14:12 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: Mir hatte leider nichts anderes geholfen, als eine unverseuchte IP zu finden. Man hat diesen Ärger auch nur mit Microsoft, sie sperren grundlos ganze Adressbereiche. Bei der Telekom läuft es ähnlich, aber wenigstens bekommt man dort die IP recht flott frei, falls alles passt. Generell sollte man pingelig auf korrekte Einstellungen achten: * der PTR record sollte mit dem Hostnamen des sendenden MTA übeinstimmen. Ein bissl Zeit für die Propagierung im DNS einplanen und den record auch für IPv6 nicht vergessen ? * die Domäne des sendenden MTA sollte rechtliche Informationen und Ansprechpartner bereithalten und diese z. B. per postmaster@ erreichbar sein. * zumindest für die Domäne des sendenden MTA sollte ein SPF record zur Verfügung stehen. Das Problem entsteht sicher auch dadurch, daß man in weniger als 10 Minuten eine gut konfigurierte Spamschleuder aufgesetzt hat, die sekundengenau vom Provider abgerechnet wird. Wenn dann von der IP nichts mehr raus geht, wird der vServer einfach gelöscht und der nächste aufgesetzt. Das ist aber nicht nur bei Hetzner so, ich war auch als Kunde bei strato in microsoft'sche Geiselhaft gekommen. Mit einer IP, von der aus in 5 Jahren nicht eine einzige Spam-Mail verschickt wurde. Am 25.01.22 um 12:13 schrieb Andre Tann: > Hat jemand gute Ideen, wie man am besten damit umgeht? Andere IP > besorgen und hoffen, daß die Nachbarn dann netter sind? Hetzner meiden - > aber wohin dann? From florian at effenberger.org Tue Jan 25 14:32:10 2022 From: florian at effenberger.org (Florian Effenberger) Date: Tue, 25 Jan 2022 14:32:10 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: Hallo, Andre Tann wrote on 25.01.22 at 13:11: > vielen Dank für den Hinweis auf das MS-Formular. Ich hatte das schon mal > ausgefüllt, aber habe es jetzt einfach nochmal wiederholt. es kann passieren, dass du beim ersten Mal eine Rückmeldung bekommst, dass die IP nicht entfernt werden kann (not qualified for mitigation, oder ähnlich). Dann einfach auf die Mail antworten, nochmal Informationen geben, z.B. falls die IP neu zugeteilt wurde oder du sicherstellen kannst, dass kein Spam versandt wurde - dann sollte das an einen Menschen eskaliert werden. Hilfreich sind möglicherweise Kontaktdaten oder der Link auf ein Impressum. > So im Nachhinein bin ich mir nicht mal mehr sicher, ob ich IP/32 > angegeben hatte, oder /24, oder vielleicht mit gar keiner Maske. Ich hab mal gehört (ist aber nur Hörensagen), dass ggf. ganze Blöcke gesperrt sind, man über obigen Prozess dann einzelne IPs freischalten kann. Es kann leider passieren, dass die IPs ab und an "zurückspringen" und man nochmal freischalten lassen muss. > Schau ich mal, was jetzt rauskommt. Ich drück die Daumen! Viele Grüße Flo From sebastian at debianfan.de Tue Jan 25 16:59:14 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 16:59:14 +0100 Subject: postfix-policyd-spf-perl Problem Message-ID: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Hallo zusammen, mühsam nährt sich das Eichhörnchen... Nachdem das Thema "encrypted vs. may" geklärt wurde, wollte ich nun auch SPF zum rennen bringen. Es funktioniert schon, aber scheinbar nicht so richtig. Ich vermute einen Fehler bei den SPF-Records im DNS oder vielleicht auch den DNS-Records. Die IP des Servers läuft auf den Hostnamen mail.meinserver.de - die Namensauflösung geht in beide Richtungen für hostname <-> ip - die Mails werden mit ich at meinserver.de verschickt. Das Setup funktioniert problemlos, die Mails kommen auch auf allen Empfängermailadressen bei unterschiedlichen Mailprovidern an - bis ich policyd-spf-perl zugefügt habe. Mails werden zwar verschickt, aber bei den Mails auf Empfängerseite steht dann drin: Received-SPF: softfail (meinserver.de: Sender is not authorized by default to use 'ich at meinserver.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=mail.meinserver.de; identity=mailfrom; envelope-from="ich at meinserver.de"; helo="[192.168.178.33]"; client-ip=91.97.120.210 Im DNS ergibt ein dig txt mail.meinserver.de ein: "v=spf1 a mx ~all" Genauso sieht die ausgabe von dig txt meinserver.de aus. ...und jetzt bin ich ratlos wo die Lösung liegen könnte. Der MX lautet auf mail.meinserver.de und die Subdomain läuft auf die gleiche IP wie meinserver.de gruß sd From klaus at tachtler.net Tue Jan 25 17:45:44 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 25 Jan 2022 16:45:44 +0000 (UTC) Subject: postfix-policyd-spf-perl Problem In-Reply-To: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: Hallo, was sagt denn: https://www.spf-record.de/spf-lookup Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian at debianfan.de An: Diskussionen und Support rund um Postfix Datum: 25. Januar 2022 16:59:35 MEZ Betreff: postfix-policyd-spf-perl Problem > Hallo zusammen, > > mühsam nährt sich das Eichhörnchen... > > Nachdem das Thema "encrypted vs. may" geklärt wurde, wollte ich nun auch SPF zum rennen bringen. > > Es funktioniert schon, aber scheinbar nicht so richtig. > > Ich vermute einen Fehler bei den SPF-Records im DNS oder vielleicht auch den DNS-Records. > > Die IP des Servers läuft auf den Hostnamen mail.meinserver.de - die Namensauflösung geht in beide Richtungen für hostname <-> ip  - die Mails werden mit ich at meinserver.de verschickt. > > Das Setup funktioniert problemlos, die Mails kommen auch auf allen Empfängermailadressen bei unterschiedlichen Mailprovidern an - bis ich policyd-spf-perl zugefügt habe. > > Mails werden zwar verschickt, aber bei den Mails auf Empfängerseite steht dann drin: > > Received-SPF: softfail (meinserver.de: Sender is not authorized by default to use 'ich at meinserver.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=mail.meinserver.de; identity=mailfrom; envelope-from="ich at meinserver.de"; helo="[192.168.178.33]"; client-ip=91.97.120.210 > > Im DNS ergibt ein > > dig txt mail.meinserver.de > > ein: > > "v=spf1 a mx ~all" > > Genauso sieht die ausgabe von dig txt meinserver.de aus. > > ...und jetzt bin ich ratlos wo die Lösung liegen könnte. > > Der MX lautet auf mail.meinserver.de und die Subdomain läuft auf die gleiche IP wie meinserver.de > > gruß > > sd -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From klaus at tachtler.net Tue Jan 25 17:49:48 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 25 Jan 2022 16:49:48 +0000 (UTC) Subject: postfix-policyd-spf-perl Problem In-Reply-To: References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: <6e7fa2df-5a21-42c5-b966-96598c4f2c91@tachtler.net> Hallo, oder noch detaillierter: https://mxtoolbox.com/spf.aspx Grüße Klaus. -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From martin at lichtvoll.de Tue Jan 25 17:20:46 2022 From: martin at lichtvoll.de (Martin Steigerwald) Date: Tue, 25 Jan 2022 17:20:46 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: <1716421.R51oUqHyHB@ananda> Achim Lammerts - 25.01.22, 13:14:12 CET: > Mir hatte leider nichts anderes geholfen, als eine unverseuchte IP zu > finden. Man hat diesen Ärger auch nur mit Microsoft, sie sperren > grundlos ganze Adressbereiche. Kein Wunder bei dem dermaßen schlechten Spamfilter von Office 365. Selbst mein Privat-Denn-sie-wissen-nicht-was-sie-tun-rspamd-Setup performt besser. Noch nie so einen schlechten Spamfilter gesehen. Unterirdisch. -- Martin From sebastian at debianfan.de Tue Jan 25 18:22:30 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 18:22:30 +0100 Subject: postfix-policyd-spf-perl Problem In-Reply-To: References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: für meinserver.de Syntax-Prüfung bestanden: 0 Fehler für mail.meinserver.de (mail.meinserver.de) Invalide Mechanismen in SPF-Record 'mx' kann nicht aufgelöst werden (IPv4) Mein Gegenargument wäre, dass mail.meinserver.de auf die IP auflöst und die IP auf mail.meinserver.de mail.meinserver.de ist auch der mx record für meinserver.de Der Mailversand funktioniert ja auch - also verstehe ich das Problem nicht. Oder muss ich für mail.meinserver.de auch als mx mail.meinserver.de festlegen ? Das wäre ja eigentlich blödsinnig - oder ? Am 25.01.2022 um 17:45 schrieb Klaus Tachtler: > Hallo, > > was sagt denn: > > https://www.spf-record.de/spf-lookup > > > Grüße > Klaus. > From klaus at tachtler.net Tue Jan 25 18:56:06 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 25 Jan 2022 17:56:06 +0000 (UTC) Subject: postfix-policyd-spf-perl Problem In-Reply-To: References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: Hallo, Was sagt denn: https://www.heise.de/netze/tools/dns/ MX Record für mein.mailserver.de Grüße Klaus. -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From sebastian at debianfan.de Tue Jan 25 19:35:23 2022 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Tue, 25 Jan 2022 19:35:23 +0100 Subject: postfix-policyd-spf-perl Problem In-Reply-To: References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: <7c7267b1-1192-52f8-7697-bd3322c0d389@debianfan.de> Ich habe den mx-Record gesetzt - jetzt ist der SPF-Lookup für mail.meinserver.de und meinserver.de 'grün' - aber es kommt trotzdem: Received-SPF: softfail (meinserver.de: Sender is not authorized by default to use 'ich at meinserver.de.de' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=mail.meinserver.de; identity=mailfrom; envelope-from="ich at meinserver.de"; helo="[192.168.178.33]"; client-ip=91.97.120.25 Ich habe das mit mehreren 'externen Providern' als Mailempfänger getestet - immer die gleiche Meldung. Am 25.01.2022 um 18:56 schrieb Klaus Tachtler: > Hallo, > > Was sagt denn: > > https://www.heise.de/netze/tools/dns/ > > MX Record für mein.mailserver.de > > > Grüße > Klaus. > From michael at linuxfox.de Tue Jan 25 17:03:23 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 25 Jan 2022 17:03:23 +0100 Subject: postfix-policyd-spf-perl Problem In-Reply-To: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> Message-ID: <130468e2-6c8b-9e56-2910-0f20ab65273b@linuxfox.de> Am 25.01.22 um 16:59 schrieb sebastian at debianfan.de: > > "v=spf1 a mx ~all" > a:mail.meinserver.de -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From florian at bodici.de Tue Jan 25 22:14:47 2022 From: florian at bodici.de (Florian) Date: Tue, 25 Jan 2022 22:14:47 +0100 Subject: postfix-policyd-spf-perl Problem In-Reply-To: <7c7267b1-1192-52f8-7697-bd3322c0d389@debianfan.de> References: <64f87094-825f-c42b-aafe-9ec31b122747@debianfan.de> <7c7267b1-1192-52f8-7697-bd3322c0d389@debianfan.de> Message-ID: <1c00a12a-4a25-533e-8961-befb95db2561@bodici.de> Guten Abend, ist das doppelte .de ein copy/paste Fehler oder liegt da schon der hase im Pfeffer? Schick ansonsten mal einen kompletten Header, dann schau ich gerne mal :) Florian Vierke Motto des Monats: Kopf hoch, bald ist wieder Sommer! Am 25.01.2022 um 19:35 schrieb sebastian at debianfan.de: > Ich habe den mx-Record gesetzt - jetzt ist der SPF-Lookup für > mail.meinserver.de und meinserver.de 'grün' - aber es kommt trotzdem: > > Received-SPF: softfail (meinserver.de: Sender is not authorized by > default to use 'ich at meinserver.de.de' in 'mfrom' identity, however > domain is not currently prepared for false failures (mechanism '~all' > matched)) receiver=mail.meinserver.de; identity=mailfrom; > envelope-from="ich at meinserver.de"; helo="[192.168.178.33]"; > client-ip=91.97.120.25 > > Ich habe das mit mehreren 'externen Providern' als Mailempfänger > getestet - immer die gleiche Meldung. > > > Am 25.01.2022 um 18:56 schrieb Klaus Tachtler: >> Hallo, >> >> Was sagt denn: >> >> https://www.heise.de/netze/tools/dns/ >> >> MX Record für mein.mailserver.de >> >> >> Grüße >> Klaus. >> From atann at alphasrv.net Wed Jan 26 10:35:00 2022 From: atann at alphasrv.net (Andre Tann) Date: Wed, 26 Jan 2022 10:35:00 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: <7299c4b4-068b-175f-ec47-5988eaa6db59@alphasrv.net> Moin, hier mal eine kleine Fortsetzung der Story: Den Antrag auf Mitigation hab ich gestellt, er wurde abgelehnt, und jetzt hab ich eskaliert, damit sich ein Mensch das anguckt. Außerdem kann man sich den Status der eigenen IP anschauen, wenn man sich bei SNDS anmeldet. Da steht jetzt: Blocked: No Details: Junked due to user complaints or other evidence of spamming Komischer Status, denn hotmail nimmt die Mails ja nicht an, also müßte da blocked Yes stehen. Wie auch immer, der Grund für die User Complaints dürfte sein, daß die Leute einen Newsletter abonnieren, und dann keine Lust haben ihn wieder abzubestellen. Oder sie erinnern sich nicht mehr, daß sie ihn vor Jahren abonniert haben. Also klicken sie auf Spam, weil das einfacher ist als bis ans Ende zu scrollen und dort auf unsubscribe draufzuklicken. Dann haben sie Ruhe, und die IP landet auf der Blacklist :( -- Andre Tann From florian at effenberger.org Wed Jan 26 10:52:15 2022 From: florian at effenberger.org (Florian Effenberger) Date: Wed, 26 Jan 2022 10:52:15 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: <7299c4b4-068b-175f-ec47-5988eaa6db59@alphasrv.net> References: <7299c4b4-068b-175f-ec47-5988eaa6db59@alphasrv.net> Message-ID: Hallo, Andre Tann wrote on 26.01.22 at 10:35: > Den Antrag auf Mitigation hab ich gestellt, er wurde abgelehnt, und > jetzt hab ich eskaliert, damit sich ein Mensch das anguckt. das ist das richtige Vorgehen, erfahrungsgemäß meldet sich dann relativ zeitnah jemand bei dir und die IP wird entsperrt. > Außerdem kann man sich den Status der eigenen IP anschauen, wenn man > sich bei SNDS anmeldet. Da steht jetzt: > >    Blocked: No >    Details: Junked due to user complaints or other evidence of spamming > > Komischer Status, denn hotmail nimmt die Mails ja nicht an, also müßte > da blocked Yes stehen. Da bin ich überfragt. Ich erinnere mich nur, dass in der Unblock-Mail geschrieben wird, dass es ggf. einige Zeit dauert, bis die Änderungen auf allen Systemen sichtbar sind. > Wie auch immer, der Grund für die User Complaints dürfte sein, daß die > Leute einen Newsletter abonnieren, und dann keine Lust haben ihn wieder > abzubestellen. Oder sie erinnern sich nicht mehr, daß sie ihn vor Jahren > abonniert haben. > Also klicken sie auf Spam, weil das einfacher ist als bis ans Ende zu > scrollen und dort auf unsubscribe draufzuklicken. Dann haben sie Ruhe, > und die IP landet auf der Blacklist :( Bei Microsoft gibt's das JMRP-Programm, bei denen du Rückmeldung bei Spammarkierung bekommst (vermutlich ein Feedback Loop?). Ich weiß nicht, ob das bei jeder Mail funktioniert, ich hatte gehört, dass nur ein Bruchteil der Mails gemeldet wird und das entsprechend nur bei hohem Mailaufkommen klappt. Viele Grüße Flo From ml-pbu at infopool.syntaxys.de Wed Jan 26 11:23:41 2022 From: ml-pbu at infopool.syntaxys.de (Achim Lammerts) Date: Wed, 26 Jan 2022 11:23:41 +0100 Subject: Mailman-Listen und DKIM/DMARC Message-ID: Hallo Liste, bei der aktuellen Aktivität in verschiedenen Listen habe ich bemerkt, daß es meine sauber gepflegte DKIM/DMARC-Konfiguration zerbröselt. Durch die ruf/rua-Paramter trudeln dann jede Menge Berichte über Fehlkonfigurationen ein, was ja so nicht stimmt. Die Header werden ja durch Mailman umgeschrieben und dadurch zerbricht die Verschlüsselung. Wie geht Ihr damit um? Grüße Achim -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Wed Jan 26 12:02:05 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 26 Jan 2022 12:02:05 +0100 Subject: [ext] Mailman-Listen und DKIM/DMARC In-Reply-To: References: Message-ID: * Achim Lammerts : > Hallo Liste, > > bei der aktuellen Aktivität in verschiedenen Listen habe ich bemerkt, daß es > meine sauber gepflegte DKIM/DMARC-Konfiguration zerbröselt. Durch die > ruf/rua-Paramter trudeln dann jede Menge Berichte über Fehlkonfigurationen > ein, was ja so nicht stimmt. Die Header werden ja durch Mailman > umgeschrieben und dadurch zerbricht die Verschlüsselung. Wie geht Ihr damit > um? Mailman hat da mitigation options, unter https://wiki.list.org/DEV/DMARC zu finden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ml-pbu at infopool.syntaxys.de Wed Jan 26 12:45:36 2022 From: ml-pbu at infopool.syntaxys.de (Achim Lammerts) Date: Wed, 26 Jan 2022 12:45:36 +0100 Subject: [ext] Mailman-Listen und DKIM/DMARC In-Reply-To: References: Message-ID: <0a61f41f-c29f-4a8c-0ab7-c9cd88733db2@infopool.syntaxys.de> Ich bin nur nicht der Betreiber der Liste(n). Sowohl hier, als auch mit der Liste von rspamd habe ich das Problem mit den Failure Reports. Meine DMARC policy steht auf "none" und die ruf/rua-Parameter habe ich aktuell entfernt, weils ein bisl nervt. Damit meine E-Mails an Listen zumindest mal ohne DKIM-Signatur raus gehen, habe ich einen Bypass am milter vorbei gesetzt, aber der DMARC record wird trotzdem geprüft und moniert. Ich meinte also, was kann ich als User tun? Am 26.01.22 um 12:02 schrieb Ralf Hildebrandt: > > Mailman hat da mitigation options, unter https://wiki.list.org/DEV/DMARC > zu finden. > From mailinglisten at pothe.de Wed Jan 26 12:47:36 2022 From: mailinglisten at pothe.de (Andreas Pothe) Date: Wed, 26 Jan 2022 12:47:36 +0100 Subject: [ext] Mailman-Listen und DKIM/DMARC In-Reply-To: References: Message-ID: <9ef7cf10-6493-eaf6-245b-ae97518b8b26@pothe.de> Am 26.01.2022 um 12:02 schrieb Ralf Hildebrandt: > Mailman hat da mitigation options, unterhttps://wiki.list.org/DEV/DMARC > zu finden. Das Problem muss aber der Betreiber dieser Liste beheben. VG Andreas From bjo at schafweide.org Wed Jan 26 12:58:19 2022 From: bjo at schafweide.org (Bjoern Franke) Date: Wed, 26 Jan 2022 12:58:19 +0100 Subject: [ext] Mailman-Listen und DKIM/DMARC In-Reply-To: <0a61f41f-c29f-4a8c-0ab7-c9cd88733db2@infopool.syntaxys.de> References: <0a61f41f-c29f-4a8c-0ab7-c9cd88733db2@infopool.syntaxys.de> Message-ID: Moin, > Ich bin nur nicht der Betreiber der Liste(n). Sowohl hier, als auch mit > der Liste von rspamd habe ich das Problem mit den Failure Reports. Meine > DMARC policy steht auf "none" und die ruf/rua-Parameter habe ich aktuell > entfernt, weils ein bisl nervt. das ist das Problem. Wenn die policy auf reject oder quarantine steht, wird die Mitigation aktiviert, aber nicht, wenn sie auf none steht. HTH Björn From stickybit at myhm.de Thu Jan 27 20:15:56 2022 From: stickybit at myhm.de (Andre) Date: Thu, 27 Jan 2022 20:15:56 +0100 Subject: inet_socket_port Message-ID: Moin, hab in der amavis new config das hier stehen: $inet_socket_port = [10024, 10025]; Der Dienst öffnet Ports NUR auf lokalen IP's. # netstat -tulpen Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 108 107571918 1949/amavisd-new (m tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 108 107571920 1949/amavisd-new (m tcp6 0 0 ::1:10024 :::* LISTEN 108 107571919 1949/amavisd-new (m tcp6 0 0 ::1:10025 :::* LISTEN 108 107571921 1949/amavisd-new (m Wie gebe ich es denn an, damit Amavis an einer LAN-IP hört? -- LG Andre From max at freecards.de Thu Jan 27 20:52:50 2022 From: max at freecards.de (Markus Heinze) Date: Thu, 27 Jan 2022 20:52:50 +0100 Subject: inet_socket_port In-Reply-To: References: Message-ID: Moin, Am 27.01.2022 um 20:15 schrieb Andre: > Moin, > > hab in der amavis new config das hier stehen: > > $inet_socket_port = [10024, 10025]; > > Der Dienst öffnet Ports NUR auf lokalen IP's. > > # netstat -tulpen > Active Internet connections (only servers) > Proto Recv-Q Send-Q Local Address           Foreign Address > State       User       Inode      PID/Program name > tcp        0      0 127.0.0.1:10024         0.0.0.0:* LISTEN > 108        107571918  1949/amavisd-new (m > tcp        0      0 127.0.0.1:10025         0.0.0.0:* LISTEN > 108        107571920  1949/amavisd-new (m > tcp6       0      0 ::1:10024               :::* LISTEN 108        > 107571919  1949/amavisd-new (m > tcp6       0      0 ::1:10025               :::* LISTEN 108        > 107571921  1949/amavisd-new (m > > > Wie gebe ich es denn an, damit Amavis an einer LAN-IP hört? > Mal schräg gefragt, warum sollte er das tun?? > -- > LG > Andre From max at freecards.de Thu Jan 27 20:46:41 2022 From: max at freecards.de (Markus Heinze) Date: Thu, 27 Jan 2022 20:46:41 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: References: Message-ID: <85b177bc-ef16-f60f-6244-61acb62fd5d6@freecards.de> Moin, Am 25.01.2022 um 12:13 schrieb Andre Tann: > Servus beisammen, > > neuerdings wird Hotmail bei mir mit solchen Meldungen vorstellig: > > : host > hotmail-com.olc.protection.outlook.com[104.47.57.161] said: 550 5.7.1 > Unfortunately, messages from [95.217.28.6] weren't sent. Please contact > your Internet service provider since part of their network is on our > block list (S3150). > Ja das ist inzwischen Standard bei neuen SMTP IP's bei Microsoft und Anhang, da ist die Reputation im Keller, übrigens meist auch bei t-online.de. Bevor ich neue IP's in produktiv Status setze mach ich immer eine Mail an tosa at t-online.de fertig und melde sie im SNDS an. Desweiteren DMARC & DKIM macht einen schmalen Fuss bei den üblichen Verdächtigen. SPF, DNS Records, TLS etc. sind selbstredend. Wenn das alles passt sollte der Spuk vorbei sein. Btw. das ist kein Hetzner spezifisches Problem. lg > Mittels Tools wie mxtoolbox.com stelle ich fest, daß die IP auf keiner > Blacklist steht, und auch sonst sind die meisten Tests grün. > > Von daher denke ich, daß es tatsächlich so ist, daß die Nachbarn > dieser IP unfreundliche Dinge tun (oder daß zumindest Hotmail denkt, > daß das so sei). > > Hat jemand gute Ideen, wie man am besten damit umgeht? Andere IP > besorgen und hoffen, daß die Nachbarn dann netter sind? Hetzner meiden > - aber wohin dann? > > Viele Grüße > From klaus at tachtler.net Thu Jan 27 21:24:17 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 27 Jan 2022 20:24:17 +0000 (UTC) Subject: inet_socket_port In-Reply-To: References: Message-ID: <3823c6da-e400-4bdb-8ae7-5e3276984676@tachtler.net> Hallo Andre, bei mir sieht das standardmäßig so aus: netstat -tulpen | grep amavisd tcp        0      0 0.0.0.0:10024          0.0.0.0:*       LISTEN    399     52815    6189/amavisd (maste tcp        0      0 0.0.0.0:10025          0.0.0.0:*       LISTEN Wie sieht denn Deine amavisd.conf aus? Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Andre An: postfixbuch-users at listen.jpberlin.de Datum: 27. Januar 2022 20:25:06 MEZ Betreff: inet_socket_port > Moin, > > hab in der amavis new config das hier stehen: > > $inet_socket_port = [10024, 10025]; > > Der Dienst öffnet Ports NUR auf lokalen IP's. > > # netstat -tulpen > Active Internet connections (only servers) > Proto Recv-Q Send-Q Local Address           Foreign Address State       User       Inode      PID/Program name > tcp        0      0 127.0.0.1:10024         0.0.0.0:* LISTEN      108        107571918  1949/amavisd-new (m > tcp        0      0 127.0.0.1:10025         0.0.0.0:* LISTEN      108        107571920  1949/amavisd-new (m > tcp6       0      0 ::1:10024               :::* LISTEN      108        107571919  1949/amavisd-new (m > tcp6       0      0 ::1:10025               :::* LISTEN      108        107571921  1949/amavisd-new (m > > > Wie gebe ich es denn an, damit Amavis an einer LAN-IP hört? > > -- > LG > Andre -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From herbert at gojira.at Fri Jan 28 09:12:07 2022 From: herbert at gojira.at (Herbert J. Skuhra) Date: Fri, 28 Jan 2022 09:12:07 +0100 Subject: inet_socket_port In-Reply-To: References: Message-ID: <871r0se0tk.wl-herbert@gojira.at> On Thu, 27 Jan 2022 20:15:56 +0100, Andre wrote: > > Moin, > > hab in der amavis new config das hier stehen: > > $inet_socket_port = [10024, 10025]; > > Der Dienst öffnet Ports NUR auf lokalen IP's. > > # netstat -tulpen > Active Internet connections (only servers) > Proto Recv-Q Send-Q Local Address Foreign Address State > User Inode PID/Program name > tcp 0 0 127.0.0.1:10024 0.0.0.0:* LISTEN 108 > 107571918 1949/amavisd-new (m > tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 108 > 107571920 1949/amavisd-new (m > tcp6 0 0 ::1:10024 :::* LISTEN 108 > 107571919 1949/amavisd-new (m > tcp6 0 0 ::1:10025 :::* LISTEN 108 > 107571921 1949/amavisd-new (m > > > Wie gebe ich es denn an, damit Amavis an einer LAN-IP hört? $inet_socket_bind ? -- Herbert From atann at alphasrv.net Sun Jan 30 11:40:33 2022 From: atann at alphasrv.net (Andre Tann) Date: Sun, 30 Jan 2022 11:40:33 +0100 Subject: Hetzner - unfreundliche Nachbarn? In-Reply-To: <85b177bc-ef16-f60f-6244-61acb62fd5d6@freecards.de> References: <85b177bc-ef16-f60f-6244-61acb62fd5d6@freecards.de> Message-ID: <39d8b577-c7a8-ea8b-1ac1-19d7707bddc7@alphasrv.net> Moin, On 27.01.22 20:46, Markus Heinze wrote: > Bevor ich neue IP's in produktiv Status setze mach ich immer eine Mail > an tosa at t-online.de fertig und melde sie im SNDS an. Desweiteren DMARC & > DKIM macht einen schmalen Fuss bei den üblichen Verdächtigen. SPF, DNS > Records, TLS etc. sind selbstredend. Wenn das alles passt sollte der > Spuk vorbei sein. T-Online macht bei mir kein Problem, und auch hotmail usw. hatte keins bis vor kurzem. Was heißt "einen schmalen Fuß bei üblichen Verdächtigen machen"? Das Problem ist, daß der Spuk immer noch nicht vorbei ist. Ich bin der Meinung, daß SPF/DMARK/DNS/DKIM korrekt ist. Selbst wenn es nicht korrekt gewesen wäre und ich es dann behebe kriegt MS davon nichts mit, denn sie nehmen ja keine Mails mehr an. Im Moment bin ich etwas ratlos, denn auf die automatische Absage hin habe ich nun schon eskaliert, aber passiert ist nichts, und eine Reaktion habe ich auch nicht bekommen. Sehr unschön, das... -- Andre Tann