From cr at ncxs.de Tue Mar 1 08:46:53 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 1 Mar 2022 08:46:53 +0100 Subject: Training des BAYES Filters In-Reply-To: <35a07544-bd12-50c0-da70-73b69529ab0f@syntaxys.de> References: <27866262-5E54-4CAA-B4C8-AB28D6A70805@gcore.biz> <35a07544-bd12-50c0-da70-73b69529ab0f@syntaxys.de> Message-ID: Hey On 26.02.22 17:04, Achim Lammerts via Postfixbuch-users wrote: > >> Vom Per-User Bayes bin ich nicht mehr so überzeugt. Man vervielfacht >> seine Datenhaltung und im Endeffekt liegen die Statistiken sehr nah am >> globalen Bayes. Dadurch dass man eine Mindestzahl an gelernten Mails >> (200+) und das für HAM als auch SPAM braucht, ist der Einfluss >> angelernter Mail für den User außerdem recht klein. Außer der User >> lernt schon zu Beginn eine gewisse Zahl an HAM und SPAM. > > Ich hatte Dutzende E-Mailadressen mit ein paar gelernten E-Mails > angesammelt und der Filter wurde nie getriggert ;-) > Man kann zwar mit dem Parameter -u den rspamc anweisen, auf einen > bestimmten Nutzer hin zu trainieren, aber bekommt rspamd diese Info, > wenn er die Mail vom MTA entgegen nimmt? Postfix prüft ja vor Übergabe > an den Milter gegen die virtual alias table, sonst würde ja > reject_unlisted_recipient nicht vorab schon greifen. > Bei "per user" hatte ich angenommen, dass der BAYES pro Mailbox lernt > und nicht pro Alias. Das ist das min_learns in der Bayes Config. Meiner Meinung nach macht sein Setting kleiner 200 wenig Sinn für eine sinnvolle Statistik. Milter und Postfix Restriktions werden parallel abgearbeitet. Rspamd startet den Scan aber erst beim end-of-body. Daher ist Postfix immer schneller. Die Virtual-Umschreibung passiert ja dann erst im cleanup, also wenn der Rspamd schon fertig gescannt hat. Vorher prüft Postfix nur ob er sich für diese Adresse zuständig fühlt. Welche Adressen zu einem Account gehören, musst du Rspamd also extra zugänglich machen. Dann kannst du wie beim Parameter learn_condition auch bei per_user anstatt true eine Lua Funktion anhängen. (Das geht sogar auch bei autolearn=) per_user = < >> Rspamd verwendet nur ganz wenige Header, wobei Received und From/To >> nicht dabei sind. Ihr könnt also einfach die Mails direkt aus dem >> Postfach anlernen. >> >> https://rspamd.com/doc/usage_policy.html >> >> classify_headers = [ >>      "User-Agent", >>      "X-Mailer", >>      "Content-Type", >>      "X-MimeOLE", >> ]; > > Ich werde das mal genauer anschauen. Bei dem zuletzt genutzen > Lernmaterial habe ich mal sicherheitshalber alles raus genommen, was > mein Server in den Mails hinzugefügt hatte. > > Der LOCAL_FUZZY ist da unproblematischer und arbeitet recht präzise. > Soweit ich weiß, checkt der nur den Body und keine Header, oder? > Der FUZZY Filter erkennt auch den penetranten IMG-Spam sehr gut, auch > wenn das Bildmaterial neu komprimiert wurde. > Fuzzy erstellt auch einen extra Header Hash, der aber unabhängig von den Mime-Part Hashed funktioniert. Im Code sind diese Header vordefiniert: "Subject,Content-Type,Reply-To,X-Mailer"; Ein Subject Rewrite könnte also für ein nachträgliches Lernen also kontraproduktiv sein. Aber Subject Rewrite ist ja eh doof ;) Viele Grüße Carsten From ml-pbu at syntaxys.de Tue Mar 1 13:53:39 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 1 Mar 2022 13:53:39 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren Message-ID: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> Hallo Liste, ich spiele gerade etwas mit Lua herum und versuche, ein eigenes Modul zum Laufen zu bekommen. Unter /etc/rspamd/plugins.d/ habe ich eine maildump.lua angelegt, die laut Doku automatisch geladen wird: rspamd_config.MAILDUMP = function(task) local messRaw = task:get_message() file = io.open("/etc/rspamd/maildump/test", "w") io.write(messRaw) io.close(file) end Es wird aber keine Datei geschrieben und es entsteht auch kein Fehler, der Rückschlüsse zulässt. Ich habe dann unter /etc/rspamd/local.d/ eine maildump.conf angelegt: maildump { enabled = true; } Jeweils immer den Dienst neu gestartet, aber es passiert nichts. Aktuell spiele ich nach diesen Anleitungen: https://rspamd.com/doc/modules/ und https://rspamd.com/doc/lua/ Was mache ich falsch? Vielen Dank für die Hilfe! LG/A -- Wietse, I am so grateful. From cr at ncxs.de Tue Mar 1 21:30:05 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 1 Mar 2022 21:30:05 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren In-Reply-To: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> References: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> Message-ID: Moin, On 01.03.22 13:53, Achim Lammerts via Postfixbuch-users wrote: > Hallo Liste, > ich spiele gerade etwas mit Lua herum und versuche, ein eigenes Modul > zum Laufen zu bekommen. > > Unter /etc/rspamd/plugins.d/ habe ich eine maildump.lua angelegt, die > laut Doku automatisch geladen wird: > > rspamd_config.MAILDUMP = function(task) >     local messRaw = task:get_message() >     file = io.open("/etc/rspamd/maildump/test", "w") >     io.write(messRaw) >     io.close(file) > end Rspamd möchte an der Stelle einen Table an options in der ein Callback enthalten ist. Hinter Callback steht immer die Funktion, die aufgerufen wird, wenn das Symbol (MAILDUMP) an der Reihe ist Das minimum wäre also so: rspamd_config.MAILDUMP = { callback = function(task) local messRaw = task:get_message() file = io.open("/etc/rspamd/maildump/test", "w") io.write(messRaw) io.close(file) end } > > Es wird aber keine Datei geschrieben und es entsteht auch kein Fehler, > der Rückschlüsse zulässt. Ich habe dann unter /etc/rspamd/local.d/ eine > maildump.conf angelegt: > > maildump { >     enabled = true; > } Siehst du deine Config denn in rspamadm configdump? Was sagt denn rspamadm configtest dazu? Wenn du ein ganzes Modul/Plugin schreiben willst möchte Rspamd hier ein registriertes Modul und die passende Config dazu. Sonst wird es nicht "gestartet". Die Configs werden aus modules.d eingelesen und erst von dort Dateien in local.d included. Mindestens da fehlt die also eine Config. Ich bin mir auch nicht ganz sicher ob rspamd_config.MAILDUMP hier reicht oder ob es für ein Plugin nicht rspamd_config:register_symbol sein sollte. > > Jeweils immer den Dienst neu gestartet, aber es passiert nichts. Aktuell > spiele ich nach diesen Anleitungen: > https://rspamd.com/doc/modules/ und https://rspamd.com/doc/lua/ > > Was mache ich falsch? Vielen Dank für die Hilfe! > > LG/A > https://rspamd.com/doc/tutorials/writing_rules.html Das Einfachste fürs Testen ist: Lege dir eine Datei /etc/rspamd/local.d/rspamd.lua an und pack das da rein. Dann brauchst du keine extra Config. Beim neu Starten such nach dem verwendeten Symbol wegen Fehlern. Mit ein bisschen Logging gibt er dir wenn auch ein Lebenszeichen: local rspamd_logger = require "rspamd_logger" rspamd_config.MAILDUMP = { callback = function(task) rspamd_logger.infox(task, 'MAILDUMP - I'm alive') local messRaw = task:get_message() file = io.open("/etc/rspamd/maildump/test", "w") io.write(messRaw) io.close(file) end } Viele Grüße Carsten From ml-pbu at syntaxys.de Wed Mar 2 12:10:05 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Wed, 2 Mar 2022 12:10:05 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren In-Reply-To: References: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> Message-ID: <5080cc08-6a31-2f2c-14c2-bbaed6d3bf2e@syntaxys.de> Hallo Carsten, vielen Dank für die Hilfe, im Laufen habe ich den Test noch nicht ganz, aber Deine Lösungsansätze helfen mir weiter. Ich melde mich nochmal dazu. LG/A Am 01.03.22 um 21:30 schrieb Carsten Rosenberg via Postfixbuch-users: > Rspamd möchte an der Stelle einen Table an options in der ein Callback > enthalten ist. Hinter Callback steht immer die Funktion, die aufgerufen > wird, wenn das Symbol (MAILDUMP) an der Reihe ist > > Das minimum wäre also so: > > rspamd_config.MAILDUMP = { >   callback = function(task) > >     local messRaw = task:get_message() >     file = io.open("/etc/rspamd/maildump/test", "w") >     io.write(messRaw) >     io.close(file) > >   end > } -- Wietse, I am so grateful. From cr at ncxs.de Wed Mar 2 14:15:38 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 2 Mar 2022 14:15:38 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste Message-ID: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> Hallo, ich möchte euch kurz unsere neue Antispam Mailingliste vorstellen. https://listi.jpberlin.de/mailman/listinfo/antispam Die Idee dahinter ist das Thema Antispam und E-Mail Sicherheit ein wenig vom Postfix-zentrierten Ansatz zu trennen und eine Liste zu schaffen, die in der Postfixbuch-Users eher Off-Topic wäre. Also Software- bzw Hersteller-unabhängig und auch für Themen, die jede Mailinfrastruktur betrifft. So was wie Anti-Virus, DKIM, DMARC, ARC, RBL, Reputationen, SMIME/PGP, Firewalls und Fail2ban (und warum das doof ist) und Co. Ansonsten natürlich *Rspamd* (bei uns weiterhin heiß geliebt mit Postfix), Amavis, Spamassassin, Fuglu (anyone?), Milter Tools oder auch Appliances oder Webservices. Und zuletzt sehr gern auch moderne SMTP-Mailinfrastrukturen, denn den Rspamd als eigentliches Antispam Tool nutzen wir mittlerweile als ein Mail-Framework und zentrale Intelligenz im Herzen der Postfix Server eines Netzwerks. Ich freu mich auf Diskussionen. Viele Grüße Carsten From postfixbuch at cboltz.de Wed Mar 2 21:16:28 2022 From: postfixbuch at cboltz.de (Christian Boltz) Date: Wed, 02 Mar 2022 21:16:28 +0100 Subject: DMARC Rejects/Bounces / Re: Fwd: confirm c42b5bde9f9e04xxxxxxxxxxxxxxx In-Reply-To: References: <59c477ec-e19f-1e5b-e2ed-65f762ede120@koschikode.com> Message-ID: <2663359.JMPbIHXZag@tux.boltz.de.vu> Hallo Andreas, hallo Juri, hallo Carsten, hallo zusammen, Am Freitag, 25. Februar 2022, 07:32:06 CET schrieb Andreas Pothe via Postfixbuch-users: > Am 24.02.2022 um 21:55 schrieb Juri Haberland via Postfixbuch-users: > > > Und das ist einer der Nachteile dieses DMARC-From-Mungings: > > Diese Mail sollte eigentlich nur an Carsten gehen, weshalb ich in > > Thunderbird auf "Reply" anstatt "Reply to list" gedrückt hatte - > > ging vorher, jetzt aber geht es immer an die Liste. :-( > > > Das ist natürlich nicht so schön, aber da es ein Dirty Fix/Workaround > ist, kann man IMHO damit für ein paar Tage leben. Besser, als wenn > Nachrichten bei vielen nicht zugestellt werden können oder man gar > aus der Liste fliegt, obwohl man selbst alles richtig gemacht hat. Kein Widerspruch, trotzdem wundere ich mich etwas über das Reply-To zur Liste. Ich kenne es von anderen MLs (z. B. mailop, läuft AFAIK auch mit Mailman), dass zwar das From: umgeschrieben wird, aber Reply-To: enthält die Mailadresse des ursprünglichen Absenders (= ursprüngliches From:). Vorteil dieser Lösung ist, dass man wie gewohnt (nur) dem Absender antworten kann, ohne sich ein Bein auszureißen ;-) (Von den möglichen Folgen einer Mail, die versehentlich an die Liste statt nur an den Absender geht, mal ganz abgesehen - auch wenn ich hoffe, dass hier niemand irgendwelche Passwörter postet ;-) Daher die Frage an Carsten: Wäre es möglich, den ursprünglichen Absender statt der ML ins Reply-To zu packen? Das sollte immer noch DMARC-konform sein [1] und gleichzeitig das gewohnte Verhalten von "Antwort an Absender" und "Antwort an Mailingliste" im Mailprogramm wieder herstellen. Die IMHO erwünschten Header würden so aussehen: From: irgendwer via Postfixbuch-users Reply-To: irgendwer (Bonuspunkte, wenn trotzdem weiterhin CC: irgendwer (= ursprüngliches From:) eingebaut wird - aber das ist im Vergleich zum Reply-To: ein eher unwichtiger Punkt.) Gruß Christian Boltz [1] Ich gebe zu, dass ich kein DMARC-Experte bin - aber ich wäre ziemlich überrascht, wenn eine externe Adresse im Reply-To ein Problem wäre. -- > Ist doch laut Deinen Schilderungen von den Hardwareanforderungen her > eine perfekte Konkurrenz zu Vista *renn* ;-) Da hast du recht ! Aber warum rennen :-) es wird dir kaum jemand hinterherlaufen weil alle vor der Kiste sitzen um auf die Katalogupdates zu warten ... [> Benjamin Zeller und Helmut Zengerling in suse-linux] From bjo at schafweide.org Thu Mar 3 10:44:10 2022 From: bjo at schafweide.org (Bjoern Franke) Date: Thu, 3 Mar 2022 10:44:10 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> Message-ID: Moin, > > ich möchte euch kurz unsere neue Antispam Mailingliste vorstellen. > > https://listi.jpberlin.de/mailman/listinfo/antispam > sehr schön, danke! VG From ffiene at veka.com Thu Mar 3 11:12:47 2022 From: ffiene at veka.com (Frank Fiene) Date: Thu, 3 Mar 2022 11:12:47 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> Message-ID: <9F77D3A7-8D64-4E3E-9E9C-BB6E2C417AD4@veka.com> Ja, super, schon direkt angemeldet! :-D > Am 03.03.2022 um 10:44 schrieb Bjoern Franke via Postfixbuch-users : > > Moin, > >> ich möchte euch kurz unsere neue Antispam Mailingliste vorstellen. >> https://listi.jpberlin.de/mailman/listinfo/antispam > > sehr schön, danke! > > VG Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ml-pbu at syntaxys.de Thu Mar 3 15:12:34 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 3 Mar 2022 15:12:34 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> Message-ID: Ich bin da auch dabei, danke! Am 02.03.22 um 14:15 schrieb Carsten Rosenberg via Postfixbuch-users: > https://listi.jpberlin.de/mailman/listinfo/antispam > > ? und Fail2ban (und warum das doof ist) und Co. Warum ist f2b doof? Mich beruhigt das eher ? -- Wietse, I am so grateful. From atann at alphasrv.net Thu Mar 3 15:34:45 2022 From: atann at alphasrv.net (Andre Tann) Date: Thu, 3 Mar 2022 15:34:45 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> Message-ID: <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> On 02.03.22 14:15, Carsten Rosenberg via Postfixbuch-users wrote: > Firewalls und Fail2ban (und warum das doof > ist) Darf man erfahren, wieso Firewalls und/oder Fail2ban "doof" sind? -- Andre Tann From ffiene at veka.com Thu Mar 3 16:21:24 2022 From: ffiene at veka.com (Frank Fiene) Date: Thu, 3 Mar 2022 16:21:24 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> Message-ID: <600B54DB-0822-421B-AEED-A279A278B909@veka.com> Fail2ban ist nicht generell doof. Hängt stark vom Anwendungsfall ab. > Am 03.03.2022 um 15:34 schrieb Andre Tann via Postfixbuch-users : > > On 02.03.22 14:15, Carsten Rosenberg via Postfixbuch-users wrote: > >> Firewalls und Fail2ban (und warum das doof ist) > > Darf man erfahren, wieso Firewalls und/oder Fail2ban "doof" sind? > > -- > Andre Tann Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ml-pbu at syntaxys.de Fri Mar 4 11:10:38 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Fri, 4 Mar 2022 11:10:38 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren In-Reply-To: References: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> Message-ID: <4f1567be-dc4d-0437-3b4f-f9ae223813d4@syntaxys.de> Guten Morgen, inzwischen bin ich dem Fehler bzgl. der Initialisierung von Modulen auf die Schliche gekommen. Allerdings gibt es nun einen anderen Fehler, den ich noch nicht verstehe: 2022-03-04 11:03:10 #1152774(rspamd_proxy) ; proxy; lua_metric_symbol_callback: call to (MAIL2FILE) failed (2): /etc/rspamd/plugins.d//mail2file.lua:12: bad argument #1 to 'write' (string expected, got userdata); trace: [1]:{[C]:-1 - write [C]}; [2]:{/etc/rspamd/plugins.d//mail2file.lua:12 - [Lua]}; Das Script: rspamd_config.MAIL2FILE = { callback = function(task) local messRaw = task:get_message() local rspamd_logger = require 'rspamd_logger' rspamd_logger.infox(task, 'MAIL2FILE - I am alive') rspamd_logger.infox(task, messRaw) local messFile, err = io.open('/tmp/maildump/test', 'w') if messFile==nil then rspamd_logger.infox(task, 'MAIL2FILE Couldn't open file: '..err) else messFile:write(messRaw) messFile:close() end end } Laut Doku liefert die Funktion einen String zurück: https://rspamd.com/doc/lua/rspamd_task.html#mcea29 Also probiere ich es mal mit *messFile:write('Test')* Dann funktioniert es. Es soll jedoch die Nachricht im Rohformat in die Datei gespeichert werden ? Bei *rspamd_logger.infox(task, messRaw)* kommt übrigens auch nichts im log an. Was ist falsch? Vielen Dank für die Hilfe! LG/A Am 01.03.22 um 21:30 schrieb Carsten Rosenberg via Postfixbuch-users: > Moin, > > On 01.03.22 13:53, Achim Lammerts via Postfixbuch-users wrote: >> Hallo Liste, >> ich spiele gerade etwas mit Lua herum und versuche, ein eigenes Modul >> zum Laufen zu bekommen. >> >> Unter /etc/rspamd/plugins.d/ habe ich eine maildump.lua angelegt, die >> laut Doku automatisch geladen wird: >> >> rspamd_config.MAILDUMP = function(task) >>      local messRaw = task:get_message() >>      file = io.open("/etc/rspamd/maildump/test", "w") >>      io.write(messRaw) >>      io.close(file) >> end > > Rspamd möchte an der Stelle einen Table an options in der ein Callback > enthalten ist. Hinter Callback steht immer die Funktion, die aufgerufen > wird, wenn das Symbol (MAILDUMP) an der Reihe ist > > Das minimum wäre also so: > > rspamd_config.MAILDUMP = { >   callback = function(task) > >     local messRaw = task:get_message() >     file = io.open("/etc/rspamd/maildump/test", "w") >     io.write(messRaw) >     io.close(file) > >   end > } > >> >> Es wird aber keine Datei geschrieben und es entsteht auch kein Fehler, >> der Rückschlüsse zulässt. Ich habe dann unter /etc/rspamd/local.d/ >> eine maildump.conf angelegt: >> >> maildump { >>      enabled = true; >> } > > Siehst du deine Config denn in rspamadm configdump? Was sagt denn > rspamadm configtest dazu? > > Wenn du ein ganzes Modul/Plugin schreiben willst möchte Rspamd hier ein > registriertes Modul und die passende Config dazu. Sonst wird es nicht > "gestartet". Die Configs werden aus modules.d eingelesen und erst von > dort Dateien in local.d included. Mindestens da fehlt die also eine Config. > > Ich bin mir auch nicht ganz sicher ob rspamd_config.MAILDUMP hier reicht > oder ob es für ein Plugin nicht rspamd_config:register_symbol sein sollte. > >> >> Jeweils immer den Dienst neu gestartet, aber es passiert nichts. >> Aktuell spiele ich nach diesen Anleitungen: >> https://rspamd.com/doc/modules/ und https://rspamd.com/doc/lua/ >> >> Was mache ich falsch? Vielen Dank für die Hilfe! >> >> LG/A >> > > https://rspamd.com/doc/tutorials/writing_rules.html > > Das Einfachste fürs Testen ist: Lege dir eine Datei > /etc/rspamd/local.d/rspamd.lua an und pack das da rein. Dann brauchst du > keine extra Config. Beim neu Starten such nach dem verwendeten Symbol > wegen Fehlern. > > > Mit ein bisschen Logging gibt er dir wenn auch ein Lebenszeichen: > > local rspamd_logger = require "rspamd_logger" > > rspamd_config.MAILDUMP = { >   callback = function(task) > >     rspamd_logger.infox(task, 'MAILDUMP - I'm alive') > >     local messRaw = task:get_message() >     file = io.open("/etc/rspamd/maildump/test", "w") >     io.write(messRaw) >     io.close(file) > >   end > } > > Viele Grüße > > Carsten > > -- Wietse, I am so grateful. From cr at ncxs.de Fri Mar 4 16:29:05 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 4 Mar 2022 16:29:05 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren In-Reply-To: <4f1567be-dc4d-0437-3b4f-f9ae223813d4@syntaxys.de> References: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> <4f1567be-dc4d-0437-3b4f-f9ae223813d4@syntaxys.de> Message-ID: <156e8514-5712-f1a0-18c0-2b99c640614b@ncxs.de> Hey On 04.03.22 11:10, Achim Lammerts via Postfixbuch-users wrote: > Guten Morgen, > inzwischen bin ich dem Fehler bzgl. der Initialisierung von Modulen auf > die Schliche gekommen. Allerdings gibt es nun einen anderen Fehler, den > ich noch nicht verstehe: > > 2022-03-04 11:03:10 #1152774(rspamd_proxy) ; proxy; > lua_metric_symbol_callback: call to (MAIL2FILE) failed (2): > /etc/rspamd/plugins.d//mail2file.lua:12: bad argument #1 to 'write' > (string expected, got userdata); trace: [1]:{[C]:-1 - write [C]}; > [2]:{/etc/rspamd/plugins.d//mail2file.lua:12 - [Lua]}; > Laut Doku liefert die Funktion einen String zurück: > https://rspamd.com/doc/lua/rspamd_task.html#mcea29 > task:get_message() gibt dir den Typ rspamd_text (userdata) zurück. Der müsste für write erst mit tostring(messRaw) umgewandelt werden. > > Also probiere ich es mal mit *messFile:write('Test')* > Dann funktioniert es. Es soll jedoch die Nachricht im Rohformat in die > Datei gespeichert werden ? > > Bei *rspamd_logger.infox(task, messRaw)* kommt übrigens auch nichts im > log an. Was ist falsch? > rspamd_logger.infox sollte eigentlich userdata ausgeben können, aber als 2. Option wird wahrscheinlich auch hier ein String erwartet. Vielleicht brauchts hier aber doch auch ein tostring. Rspamd meckert wenn aber immer recht ordentlich. > Vielen Dank für die Hilfe! > LG/A Rspamd hat eigentlich für alles auch schon interne Funktionen. Es geht eigentlich immer recht gut im Lua Teil zu stöbern. Probiers mal so: rspamd_config.MAIL2FILE = { callback = function(task) local messRaw = task:get_message() local rspamd_logger = require 'rspamd_logger' local rspamd_util = require "rspamd_util" rspamd_logger.infox(task, 'MAIL2FILE - I am alive') rspamd_logger.infox(task, 'MAIL2FILE - message: %s', tostring(messRaw)) local messFile = rspamd_util.create_file('/tmp/maildump/test') if not messFile then rspamd_logger.infox(task, "MAIL2FILE Couldn't open file: %s", err) else messRaw:save_in_file(messFile) end end } Viele Grüße Carsten From ml-pbu at syntaxys.de Fri Mar 4 18:24:15 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Fri, 4 Mar 2022 18:24:15 +0100 Subject: [rspamd] Frage: Eigenes Modul aktivieren In-Reply-To: <156e8514-5712-f1a0-18c0-2b99c640614b@ncxs.de> References: <59c789b7-c382-d6d5-1b39-27978c4e314d@syntaxys.de> <4f1567be-dc4d-0437-3b4f-f9ae223813d4@syntaxys.de> <156e8514-5712-f1a0-18c0-2b99c640614b@ncxs.de> Message-ID: <2d4e6f60-2e6c-e291-f5a7-fddea126234f@syntaxys.de> Hi Carsten, so funktioniert es, herzlichen Dank! Ich werde mir am Wochenende den Code unter/usr/share/rspamd genauer ansehen. Die Syntax von Lua ist etwas ungewohnt, aber man kann sich gut rein denken. Die HTML-Doku ist halt ein bissl sparsam mit Infos & Beispielen, damit kommt man nur schwer weiter. LG/A Am 04.03.22 um 16:29 schrieb Carsten Rosenberg via Postfixbuch-users: > rspamd_config.MAIL2FILE = { >   callback = function(task) >     local messRaw = task:get_message() >     local rspamd_logger = require 'rspamd_logger' >     local rspamd_util = require "rspamd_util" > >     rspamd_logger.infox(task, 'MAIL2FILE - I am alive') >     rspamd_logger.infox(task, 'MAIL2FILE - message: %s', > tostring(messRaw)) > >     local messFile = rspamd_util.create_file('/tmp/maildump/test') > >     if not messFile then >       rspamd_logger.infox(task, "MAIL2FILE Couldn't open file: %s", err) >     else >       messRaw:save_in_file(messFile) >     end >   end > } -- Wietse, I am so grateful. From cr at ncxs.de Fri Mar 4 18:44:31 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 4 Mar 2022 18:44:31 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> Message-ID: <4ec41fd9-fb1c-aa3c-8f17-93fb3a8ea501@ncxs.de> Hey, On 03.03.22 15:34, Andre Tann via Postfixbuch-users wrote: > On 02.03.22 14:15, Carsten Rosenberg via Postfixbuch-users wrote: > >> Firewalls und Fail2ban (und warum das doof ist) > > Darf man erfahren, wieso Firewalls und/oder Fail2ban "doof" sind? Per se sind Firewalls und Fail2ban natürlich nicht doof, aber vielleicht kontraproduktiv für das was du ggf. erreichen willst. Grundlegend hat man 2 Ansätze seine User vor Spam zu bewahren. Entweder ich blockiere so früh wie möglich: Postfix Restrictions, Header Checks, noch früher mit Postscreen oder noch früher per IP Block (Firewall/Fail2ban). Das hält einem das System sauber und der Host der 100% Spam schickt belästigt mich gar nicht mehr. Hier bist du darauf angewiesen Spam 100%tig zu erkennen. Das klappt mit externer Hilfe wie RBL's auch ganz gut. Oder ich versuche aus jeder Spam Mail eigene Erkenntnisse zu ziehen und meine eigene Datenbasis damit zu verbessern. Dafür muss ich mir den E-Mail Inhalt anschauen. Dann wird das gehackte Wordpress versuchen am Tag dutzende Mails bei mir einzuliefern und das nervt im Log. Ablehnt werden die ja sowieso. Früher war Ansatz 1 definitiv der Richtige, weil mir der Server abgebrannt wäre, wenn ich alle eingehenden Zustellversuche mit Spamassassin gescannt hätte. Rspamd ist in Hinsicht des Ressourcenverbrauchs ein Meilensprung und hat Funktionen, die weit über die statische Analyse hinaus gehen. (Keine Frage viele Ansätze gab es schon früher, im Rspamd sind aber viel besser kombinierbar). Ich präferiere den 2. Ansatz. Ich lasse alle Zustellversuche vom Rspamd analysieren. Auch wenn ich die Mail, weil sie in Spamhaus gelistet ist, eh ablehne. Denn dadurch werden die selbstlernenden Module verbessert. Bayes, Fuzzy, Reputation, Ratelimit, Neural Network, Spamtrap. Und das hilft mir dann wenn Spams plötzlich von einer neuen IP kommen. Oder wenn die Spammer ihre Templates leicht verändern oder neue Kampagnen ausrollen. Rspamd hat dann einen ähnlichen Text schon einmal gesehen, hat eine sehr schlechte Reputation für ein Netzwerk oder eine Reply-To Adresse. Genauso hilft es mir False Postives zu vermeiden. Wenn ich alles so früh wie möglich blockiere, bekommt Rspamd von den sich ändernden Kampagnen nichts mit und steht dann ggf. vor einer Mail, die er nicht gut einschätzen kann. Dann kann ich nur noch darauf vertrauen, dass die IP oder die URL's schon auf einer RBL stehen oder im Fall von Spamassassin die Rules das schon abdecken. Daher wäre mein Ansatz, die eigenen Regeln für ablehnenswerte Mails beizubehalten, aber im Rspamd (nicht als prefilter-reject) abzulehnen. Wir arbeiten mittlerweile in Projekten ohne Fail2Ban, Postscreen, mit minimalen Postfix Restrictions (ohne RBL), ohne Postgrey, Policyd-Weight - aber arbeiten das Regelwerk in den Rspamd ein. Und die teuer bezahlte Palo Alto mit SMTP Interception? Könnte man auch vom Rspamd abfragen und damit die eigene Datenbasis verbessern. Viele Grüße Carsten From ffiene at veka.com Fri Mar 4 22:11:56 2022 From: ffiene at veka.com (Frank Fiene) Date: Fri, 4 Mar 2022 22:11:56 +0100 Subject: dedizierte Antispam / E-Mail-Sicherheit Mailingliste In-Reply-To: <4ec41fd9-fb1c-aa3c-8f17-93fb3a8ea501@ncxs.de> References: <135370e1-a625-dd3a-9add-f9a34e9bcbb5@ncxs.de> <638b09cd-5e82-602b-e948-5bee630eb1f3@alphasrv.net> <4ec41fd9-fb1c-aa3c-8f17-93fb3a8ea501@ncxs.de> Message-ID: > Am 04.03.2022 um 18:44 schrieb Carsten Rosenberg via Postfixbuch-users : > > Hey, > > On 03.03.22 15:34, Andre Tann via Postfixbuch-users wrote: >> On 02.03.22 14:15, Carsten Rosenberg via Postfixbuch-users wrote: >>> Firewalls und Fail2ban (und warum das doof ist) >> Darf man erfahren, wieso Firewalls und/oder Fail2ban "doof" sind? > > > Per se sind Firewalls und Fail2ban natürlich nicht doof, aber vielleicht kontraproduktiv für das was du ggf. erreichen willst. > [...] > Wir arbeiten mittlerweile in Projekten ohne Fail2Ban, Postscreen, mit minimalen Postfix Restrictions (ohne RBL), ohne Postgrey, Policyd-Weight - aber arbeiten das Regelwerk in den Rspamd ein. Und die teuer bezahlte Palo Alto mit SMTP Interception? Könnte man auch vom Rspamd abfragen und damit die eigene Datenbasis verbessern. Fail2ban ist ein Muss, nur nicht für smtp ohne Authentifizierung. Ansonsten: genauso wie Carsten sagt. -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESDELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Peer-Joachim.Koch at leibniz-hki.de Mon Mar 7 10:37:05 2022 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Mon, 07 Mar 2022 10:37:05 +0100 Subject: Frage zu Support Message-ID: <6225D241020000E90006F391@weida.hki-jena.de> Hallo, wir suchen eine Firma die uns bei der Aktualisierung unserer Mailgates unterstützt. Ursprünglich hatte ich an den Listenbetreiber gedacht, der scheint aber kein Interesse zu haben (seit 2 Monaten Funkstille)..... Empfehlungen und nicht so gute Erfahrungen gerne auch in einer persönlichen e-Mail. Vielen Dank! Ciao Peer ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at HKI-Jena.de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- BEGIN:VCARD VERSION:2.1 N;CHARSET=ISO-8859-1:Koch;Peer-Joachim;;Dr.;Peer-Joachim Koch FN;CHARSET=ISO-8859-1:Dr. Peer-Joachim Koch ORG;CHARSET=ISO-8859-1:Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI);IT URL;type=WORK;CHARSET=ISO-8859-1:www.Leibniz-hki.de EMAIL;CHARSET=ISO-8859-1;type=WORK;type=PREF:Peer-Joachim.Koch at HKI-Jena.de TEL;type=WORK;type=VOICE:+49 3641 5321029 TEL;type=HOME;type=VOICE: ADR;CHARSET=ISO-8859-1;type=WORK;type=pref:;;Beutenbergstraße 11a ;Jena;;07745;Deutschland LABEL;WORK;PREF;ENCODING=QUOTED-PRINTABLE;CHARSET=ISO-8859-1:Beutenbergstraße 11a =0D=0A= 07745 Jena Deutschland END:VCARD From klaus at tachtler.net Mon Mar 7 10:38:38 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Mon, 7 Mar 2022 09:38:38 +0000 (UTC) Subject: Frage zu Support In-Reply-To: <6225D241020000E90006F391@weida.hki-jena.de> References: <6225D241020000E90006F391@weida.hki-jena.de> Message-ID: <5bbab4bb-8e71-444a-9ec3-fb5de3601a75@tachtler.net> Hallo Peer, sys4.de Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Peer-Joachim Koch An: postfixbuch-users at listen.jpberlin.de Datum: 07.03.2022 10:37:47 Betreff: Frage zu Support > Hallo, > > wir suchen eine Firma die uns bei der Aktualisierung unserer Mailgates unterstützt. > Ursprünglich hatte ich an den Listenbetreiber gedacht, der scheint aber kein Interesse > zu haben (seit 2 Monaten Funkstille)..... > Empfehlungen und nicht so gute Erfahrungen gerne auch in einer persönlichen e-Mail. > Vielen Dank! > > Ciao  >       Peer > >  ____________________________________ > Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. > Hans-Knöll-Institut (HKI) > Dr. Peer-Joachim Koch >   > Beutenbergstraße 11a > 07745 Jena   > Tel.: +49 3641 5321029 > Fax.: +49 3641 5322029 > e-Mail: Peer-Joachim.Koch at HKI-Jena.de  > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From ml-pbu at syntaxys.de Wed Mar 9 10:36:09 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Wed, 9 Mar 2022 10:36:09 +0100 Subject: Postfix HOLD queue Message-ID: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> Hallo Liste, ich bekomme Nachrichten vom milter on hold markiert und möchte diesen queue in eine bestimmte Quarantäne-Mailbox umleiten, unabhängig vom finalen Empfänger. Wie kann ich das am besten anstellen? Mit postsuper -r kann ich das wohl umleiten, aber aus der Doku werde ich nicht schlau. Im Prinzip sollen alle E-Mails im hold queue per lmtp an Dovecot weitergeleitet werden, allerdings nicht an den Originalempfänger. Vielen Dank für die Hilfe! LG/A -- Wietse, I am so grateful. From Ralf.Hildebrandt at charite.de Wed Mar 9 11:14:14 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 9 Mar 2022 11:14:14 +0100 Subject: [ext] Postfix HOLD queue In-Reply-To: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> References: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> Message-ID: * Achim Lammerts via Postfixbuch-users : > ich bekomme Nachrichten vom milter on hold markiert und möchte diesen queue > in eine bestimmte Quarantäne-Mailbox umleiten, unabhängig vom finalen > Empfänger. Wie kann ich das am besten anstellen? postcat -q -h -b $QID > $tempfile /usr/sbin/sendmail -f\"\" -i $ZIELADRESSE < $tempfile oder so. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ml-pbu at syntaxys.de Wed Mar 9 19:04:18 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Wed, 9 Mar 2022 19:04:18 +0100 Subject: [ext] Postfix HOLD queue In-Reply-To: References: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> Message-ID: Hallo Ralf, vielen Dank! Auf dieser Basis habe ich einen One-Liner hingebastelt bekommen ? Am 09.03.22 um 11:14 schrieb Ralf Hildebrandt via Postfixbuch-users: > postcat -q -h -b $QID > $tempfile > /usr/sbin/sendmail -f\"\" -i $ZIELADRESSE < $tempfile > > oder so. for i in `mailq | egrep "^[0-9A-F]" | cut -c1-10`; do postcat -qbh $i > /var/vmail/QUARANTINE/reject/$i; postsuper -d $i; done -- Wietse, I am so grateful. From cr at ncxs.de Wed Mar 9 19:21:22 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 9 Mar 2022 18:21:22 +0000 (UTC) Subject: [ext] Postfix HOLD queue In-Reply-To: References: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> Message-ID: <869409cb-a862-41f8-b634-d42f19e36b89@ncxs.de> Hallo Achim, Was willst du eigentlich erreichen? Das sieht irgendwie nach einer komplizierten Umsetzung einer einfachen Sache aus. VG Carsten 09.03.2022 19:04:37 Achim Lammerts via Postfixbuch-users : > Hallo Ralf, > > vielen Dank! Auf dieser Basis habe ich einen One-Liner hingebastelt bekommen ? > > Am 09.03.22 um 11:14 schrieb Ralf Hildebrandt via Postfixbuch-users: >> postcat -q -h -b $QID > $tempfile >> /usr/sbin/sendmail -f\"\" -i $ZIELADRESSE < $tempfile >> oder so. > > for i in `mailq | egrep "^[0-9A-F]" | cut -c1-10`; do postcat -qbh $i > /var/vmail/QUARANTINE/reject/$i; postsuper -d $i; done > > -- > Wietse, I am so grateful. From ml-pbu at syntaxys.de Wed Mar 9 20:27:24 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Wed, 9 Mar 2022 20:27:24 +0100 Subject: [ext] Postfix HOLD queue In-Reply-To: <869409cb-a862-41f8-b634-d42f19e36b89@ncxs.de> References: <3ddbccd0-0783-7d21-874c-8aeb73dcf669@syntaxys.de> <869409cb-a862-41f8-b634-d42f19e36b89@ncxs.de> Message-ID: <83be493f-8546-b716-ed1f-2346b4a6818e@syntaxys.de> Hi Carsten, ich wollte die einfach nur die rejects aus rspamd zeitgleich in Quarantäne halten. Einerseits möchte ich die rejects noch für den Fuzzy Store verwenden und ich scanne auch Mails für einen Mailstore, auf den ich keinen direkten Zugriff habe. Andererseits will ich fehlende Mails noch liefern können, falls da ein False Positive entsteht. Und ich will die Mailboxen von dem ganzen Dreck sauber halten. Kurze Historie: Den rspamd habe ich seit etwa 2 Jahren im Einsatz und out-of-the-box als Vorstufe zur Zimbra Collection Suite geschaltet, die ja auf den Spamassassin setzt. Aber von Zimbra war ich vor einem Jahr so angefressen, daß ich wieder auf Postfix/Dovecot umgestiegen bin. Seither beschäftige ich mich intensiver mit dem rspamd. Als Webentwickler bin ich PHP gewohnt und seit über 20 Jahren bin ich in der bash daheim, aber Lua kenne ich noch nicht so gut. Auch die Dokumentation von rspamd ist ein bissl anstrengend, wobei man dem Entwickler da keine Vorwürfe machen darf. Ich habe selbst vor etwa 10 Jahren ein kleines Shopsystem entwickelt und weiß ganz genau, daß man unmöglich alle Anforderungen allein bewältigen kann. Wirklich vielen Dank für Deine Hilfe bei den Threads, die ich in den letzten Tagen dazu aufgemacht habe! Mir hat es sehr geholfen, das Konzept besser zu verstehen und ich bleibe da auch dran, da sind noch andere Fragen offen ? LG/A Am 09.03.22 um 19:21 schrieb Carsten Rosenberg via Postfixbuch-users: > Hallo Achim, > > Was willst du eigentlich erreichen? > Das sieht irgendwie nach einer komplizierten Umsetzung einer einfachen Sache aus. > > VG Carsten > > 09.03.2022 19:04:37 Achim Lammerts via Postfixbuch-users : > >> Hallo Ralf, >> >> vielen Dank! Auf dieser Basis habe ich einen One-Liner hingebastelt bekommen ? >> >> Am 09.03.22 um 11:14 schrieb Ralf Hildebrandt via Postfixbuch-users: >>> postcat -q -h -b $QID > $tempfile >>> /usr/sbin/sendmail -f\"\" -i $ZIELADRESSE < $tempfile >>> oder so. >> >> for i in `mailq | egrep "^[0-9A-F]" | cut -c1-10`; do postcat -qbh $i > /var/vmail/QUARANTINE/reject/$i; postsuper -d $i; done -- Wietse, I am so grateful. From frank.duerring at condero.com Thu Mar 10 13:03:22 2022 From: frank.duerring at condero.com (=?utf-8?B?IkZyYW5rIEouIETDvHJyaW5nIg==?=) Date: Thu, 10 Mar 2022 13:03:22 +0100 Subject: E-Mails an CC werden nicht verarbeitet Message-ID: Hallo zusammen, gerade habe ich ein Problem gefunden, das so wohl nicht sein dürfte?! Wenn eine E-Mail an einen Account (z.B. info at joerg-nachname.de ) geht und zusätzlich noch ein CC (chor at abendsterne.de auf dem selben MX) eingetragen ist, wird wohl der CC erst gar nicht verarbeitet. Die E-Mail wird sauber an den Empfänger ausgeliefert und dann ist Schluss. Der CC wird komplett ignoriert. Wenn ich direkt an die Adresse vom CC schriebe, wird sie sauber zugestellt. Kann mir jemand sagen, wo ich da anfangen kann zu suchen? Danke und Gruß Frank. Postfix 3.4.14 Hier ein Auszug von Log > Mar 9 18:50:29 mx10 postfix/smtpd[2759]: 2CAB65F152: client=gw.w3man.com[2a01:4f8:c0c:3906::1] > Mar 9 18:50:29 mx10 postfix/cleanup[2886]: 2CAB65F152: message-id=<004401d833de$221cf8f0$6656ead0$@nachname-net.com> > Mar 9 18:50:30 mx10 postfix/qmgr[27931]: 2CAB65F152: from=, size=11529, nrcpt=1 (queue active) > Mar 9 18:50:30 mx10 postfix/smtpd[2759]: disconnect from gw.w3man.com[2a01:4f8:c0c:3906::1] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 > Mar 9 18:50:30 mx10 dovecot: lmtp(3291): Connect from local > Mar 9 18:50:30 mx10 dovecot: lmtp(info at joerg-nachname.de)<3291>: sieve: msgid=<004401d833de$221cf8f0$6656ead0$@ nachname-net.com>: stored mail into mailbox 'INBOX' > Mar 9 18:50:30 mx10 dovecot: lmtp(3291): Disconnect from local: Client has quit the connection (state=READY) > Mar 9 18:50:30 mx10 postfix/lmtp[3034]: 2CAB65F152: to=, relay=mx10.w3man.com[private/dovecot-lmtp], delay=1.1, delays=1.1/0/0.02/0.06, dsn=2.0.0, status=sent (250 2.0.0 vLLmD+boKGLbDAAAQEGcbA Saved) > Mar 9 18:50:30 mx10 postfix/qmgr[27931]: 2CAB65F152: removed Hier der Header an den Empfänger > Return-Path: > Delivered-To: info at joerg-nachname.de > Received: from mx10.w3man.com > by mx10 with LMTP > id vLLmD+boKGLbDAAAQEGcbA > (envelope-from ) > for ; Wed, 09 Mar 2022 18:50:30 +0100 > Received: from gw.w3man.com (gw.w3man.com [IPv6:2a01:4f8:c0c:3906::1]) > by mx10.w3man.com (Postfix) with ESMTPS id 2CAB65F152 > for ; Wed, 9 Mar 2022 18:50:29 +0100 (CET) > Received: from gw (localhost [127.0.0.1]) > by gw.w3man.com (Proxmox) with ESMTP id EB5DB208A4 > for ; Wed, 9 Mar 2022 18:50:28 +0100 (CET) > Received-SPF: pass (nachname-net.com: Sender is authorized to use 'heidrun at nachname-net.com' in 'mfrom' identity (mechanism 'include:_spf.webhosting.systems' matched)) receiver=gw.w3man.com; identity=mailfrom; envelope-from="heidrun at nachname-net.com"; helo=relay.yourmailgateway.de; client-ip=185.244.192.xxx > Received: from relay.yourmailgateway.de (relay.yourmailgateway.de [185.244.192.xxx]) > by gw.w3man.com (Proxmox) with ESMTPS > for ; Wed, 9 Mar 2022 18:50:27 +0100 (CET) > Received: from relay01-mors.netcup.net (localhost [127.0.0.1]) > by relay01-mors.netcup.net (Postfix) with ESMTPS id 4KDKV53JLGz7wm6; > Wed, 9 Mar 2022 18:50:21 +0100 (CET) > DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=nachname-net.com; > s=key2; t=1646848221; > bh=h+QPIMj4uSJUFBZc0LVnLHA0HmABrl4bORku/GVp6Vg=; > h=From:To:Cc:Subject:Date:From; > b=GKO3lQARJnIzODbs9cyp1kDnHge/6F1w92Vtk8n5+xj0K3vclUIj8cqpqB7W00y1o > pleCbLIQvSOwHnbnLIS9xvqZMYqwEFDxYK0t7R3GpmqlqsnLXxKneDXNgm167UxgJr > FgKN0Ssd1dnwkhJuLYyZ0Po4OHlOJF8b1v/dvuDa9l4xN3ZpSu6wBWP31FVg1mocHf > sB+8K3MOTd2brJbe0qH7I6G/CQKgVE4RNQ5ikupYrq4pfCPAttmg7U6NBUYKiZ9DYS > JZ+aNabkpMjFFgD9cWeSQ3HS+XyqqfB03+mrSjHtjNZl7Mua7iOygcCuswCkiAhI4M > FLzRCrgWbM1dg== > Received: from policy02-mors.netcup.net (unknown [46.38.225.53]) > by relay01-mors.netcup.net (Postfix) with ESMTPS id 4KDKV52vzwz7wj6; > Wed, 9 Mar 2022 18:50:21 +0100 (CET) > X-Virus-Scanned: Debian amavisd-new at policy02-mors.netcup.net > X-Spam-Flag: NO > X-Spam-Score: -2.899 > X-Spam-Status: No, score=-2.899 required=6.31 tests=[ALL_TRUSTED=-1, > BAYES_00=-1.9, HTML_MESSAGE=0.001, SPF_PASS=-0.001, > URIBL_BLOCKED=0.001] autolearn=ham autolearn_force=no > Received: from mx2f6e.netcup.net (unknown [10.243.12.53]) > (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) > (No client certificate requested) > by policy02-mors.netcup.net (Postfix) with ESMTPS id 4KDKV45t89z8sgM; > Wed, 9 Mar 2022 18:50:20 +0100 (CET) > Received: from uhm (ip-046-223-148-036.um13.pools.vodafone-ip.de [46.223.148.36]) > by mx2f6e.netcup.net (Postfix) with ESMTPA id CE7DC60FDA; > Wed, 9 Mar 2022 18:50:19 +0100 (CET) > Received-SPF: pass (mx2f6e: connection is authenticated) > From: "Heidrun" > To: "'JOERG nachname'" > Cc: > Subject: Kelterplatzfest 2022 > Date: Wed, 9 Mar 2022 18:50:15 +0100 > Message-ID: <004401d833de$221cf8f0$6656ead0$@nachname-net.com> > MIME-Version: 1.0 > Content-Type: multipart/alternative; > boundary="----=_NextPart_000_0045_01D833E6.83E2C080" > X-Priority: 1 (Highest) > X-MSMail-Priority: High > X-Mailer: Microsoft Outlook 14.0 > Thread-Index: Adgz3iHEMpAUZ19nTEyxnybLcSyuDQ== > Content-Language: de > Importance: High > X-PPP-Message-ID: <164684822031.19775.11382264664305573941 at mx2f6e.netcup.net> > X-PPP-Vhost: nachname-net.com > X-NC-CID: VQ3PSWMN7yCjUCw8SRo0oumBAgLDH28NKbmYicRkHEK0A5ev255w > X-SPAM-LEVEL: Spam detection results: 0 > BAYES_00 -1.9 Bayes spam probability is 0 to 1% > DKIM_SIGNED 0.1 Message has a DKIM or DK signature, not necessarily valid > DKIM_VALID -0.1 Message has at least one valid DKIM or DK signature > DKIM_VALID_AU -0.1 Message has a valid DKIM or DK signature from author's domain > DKIM_VALID_EF -0.1 Message has a valid DKIM or DK signature from envelope-from domain > HTML_MESSAGE 0.001 HTML included in message > SPF_HELO_PASS -0.001 SPF: HELO matches SPF record > SPF_PASS -0.001 SPF: sender matches SPF record > T_SCC_BODY_TEXT_LINE -0.01 - > URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [nachname-net.com] > ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=joerg-nachname.de; > s=2020; t=1646848229; > h=from:from:reply-to:subject:subject:date:date:message-id:message-id: > to:to:cc:cc:mime-version:mime-version:content-type:content-type: > dkim-signature; bh=8Q3a8NCHgsOeUbir3lQF5rq1xOAzKxcxymPTMBq2cW4=; > b=P/WvkLKA4ee5ih/kPxpD0PvzTVLMD3e+1+OtLlhFl2xm8hcxHfku7r2zDM4Hyh5zrI3b77 > aSTYzI2Db24EfSKK40Cbvse0DtgoFT7IouQoIgTAoxWhP6eBri//GgShhuESyIFCPclWLa > 2GX9xIR5XtZtRNZ2S/kUxULhnffwIZCD6do5kBclXtPGluZH4uikH2GyGDFmR3DvUbMPHF > f8cpsAR9zkiGg70QgmfTEU0Lwo+I2LeKhn3E95Q8U87OJHJESaVvk5kGbC/NEXMI9gDzcw > fOdpJ7GH5QyUnukxHRb4SUHqxVFPiM1pXy4mrdD/aYSY2uJyQe2CCW332WxDKg== > ARC-Authentication-Results: i=1; > mx10.w3man.com; > dkim=pass header.d=nachname-net.com header.s=key2 header.b=GKO3lQAR; > dmarc=none; > spf=softfail (mx10.w3man.com: 2a01:4f8:c0c:3906::1 is neither permitted nor denied by domain of heidrun at nachname-net.com) smtp.mailfrom=heidrun at nachname-net.com > ARC-Seal: i=1; s=2020; d=joerg-nachname.de; t=1646848229; a=rsa-sha256; > cv=none; > b=ks/MWcbheTZAXcLtpPZxOWvk7QgsOflN/5a2jTSEFsnDmx9JKQHSfVnq0RIaaELSr36MjF > VEzwXZGUIPcSgcoG1QQQlcQdp/wVr8gcx9xF8LR4ShxImJHc4lxyLI2ZMofx9EiVPg0XUB > C2rWaM0/kTppEZyTkqQ5l6Yfdr6sxcJM0H8jI7VO/FyuWkpJGy2gAdHhDyZiY1Zj3D0LKo > dc/+9wxxK+N1EoajHOLsrW8Bq3QK7tKEqQOrdfbyvwHsUVG8/wYjUx6iPGwAgv44H/qO+y > ArYx8wjP0Y2gXwxb16vHfxcyCKoIxaLq8hlaSgRfBGPn1Tb1wxjswadoADL61w== > X-Spamd-Bar: / > Authentication-Results: mx10.w3man.com; > dkim=pass header.d=nachname-net.com header.s=key2 header.b=GKO3lQAR; > dmarc=none; > spf=softfail (mx10.w3man.com: 2a01:4f8:c0c:3906::1 is neither permitted nor denied by domain of heidrun at nachname-net.com) smtp.mailfrom=heidrun at nachname-net.com -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Thu Mar 10 13:30:21 2022 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 10 Mar 2022 13:30:21 +0100 Subject: [ext] E-Mails an CC werden nicht verarbeitet In-Reply-To: References: Message-ID: * "Frank J. Dürring" via Postfixbuch-users : > > Mar 9 18:50:29 mx10 postfix/smtpd[2759]: 2CAB65F152: client=gw.w3man.com[2a01:4f8:c0c:3906::1] > > Mar 9 18:50:29 mx10 postfix/cleanup[2886]: 2CAB65F152: message-id=<004401d833de$221cf8f0$6656ead0$@nachname-net.com> > > Mar 9 18:50:30 mx10 postfix/qmgr[27931]: 2CAB65F152: from=, size=11529, nrcpt=1 (queue active) "nrcpt=1" == genau 1 Empfänger. Der Fehler ist "vorher", ggf. auf gw.w3man.com > > Received: from gw.w3man.com (gw.w3man.com [IPv6:2a01:4f8:c0c:3906::1]) > > by mx10.w3man.com (Postfix) with ESMTPS id 2CAB65F152 > > for ; Wed, 9 Mar 2022 18:50:29 +0100 (CET) Wenn Solche Header drinstehen (for ), dann war nur ein Empfänger adressiert worden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From frank.duerring at condero.com Fri Mar 11 10:27:05 2022 From: frank.duerring at condero.com (=?utf-8?B?IkZyYW5rIEouIETDvHJyaW5nIg==?=) Date: Fri, 11 Mar 2022 10:27:05 +0100 Subject: [ext] E-Mails an CC werden nicht verarbeitet In-Reply-To: References: Message-ID: <1A170050-CE21-48A1-84A5-9CE072FBBA3B@condero.com> Hallo Ralf Danke, hat sich geklärt. Da hat jemand am DNS Änderungen gemacht und einen CNAME für Domain im CC eingetragen ???? Die fehlende E-Mail wurde dann sogar noch ausgeliefert ;-) Gruß Frank. > Am 10.03.2022 um 13:30 schrieb Ralf Hildebrandt via Postfixbuch-users : > > * "Frank J. Dürring" via Postfixbuch-users : > >>> Mar 9 18:50:29 mx10 postfix/smtpd[2759]: 2CAB65F152: client=gw.w3man.com[2a01:4f8:c0c:3906::1] >>> Mar 9 18:50:29 mx10 postfix/cleanup[2886]: 2CAB65F152: message-id=<004401d833de$221cf8f0$6656ead0$@nachname-net.com> >>> Mar 9 18:50:30 mx10 postfix/qmgr[27931]: 2CAB65F152: from=, size=11529, nrcpt=1 (queue active) > > "nrcpt=1" == genau 1 Empfänger. Der Fehler ist "vorher", ggf. auf > gw.w3man.com > >>> Received: from gw.w3man.com (gw.w3man.com [IPv6:2a01:4f8:c0c:3906::1]) >>> by mx10.w3man.com (Postfix) with ESMTPS id 2CAB65F152 >>> for ; Wed, 9 Mar 2022 18:50:29 +0100 (CET) > > Wenn Solche Header drinstehen (for ), dann > war nur ein Empfänger adressiert worden. From atann at alphasrv.net Fri Mar 11 10:42:54 2022 From: atann at alphasrv.net (Andre Tann) Date: Fri, 11 Mar 2022 10:42:54 +0100 Subject: Frage zum Verhalten von Address-Verify Message-ID: <82a78276-8fbf-64be-5920-dac99222fdd3@alphasrv.net> Moin, in meinen Logs habe ich gerade das hier gesehen: Mar 11 10:05:10 head01 postfix_port_25/smtpd[4917]: NOQUEUE: reject: RCPT from m32-11.eu.mailgun.net[141.193.32.11]: 550 5.1.1 : Recipient address rejected: undeliverable address: Unknown User.; from= to= proto=ESMTP helo= Mar 11 10:05:10 head01 postfix/smtp[4921]: 2EFD63E8F5: to=, relay=...[...]:25, delay=0.3, delays=0.01/0.02/0.23/0.04, dsn=2.1.5, status=deliverable (250 2.1.5 Ok) Diese Zeilen stehen in dieser Reihenfolge direkt hintereinander im Log. Die Adresse r8fzoz at XXX.net gibt es, und das auch schon länger. Wieso lehnt address-verify zunächst ab, und prüft direkt anschließend, obs die Adresse gibt? Bis jetzt ist mir nicht aufgefallen, daß address-verify nicht ordentlich funktionieren würde. Aber das hier hat mich stutzig gemacht. Hier noch die Config: # postconf | grep address.verify address_verify_cache_cleanup_interval = 12h address_verify_default_transport = $default_transport address_verify_local_transport = $local_transport address_verify_map = btree:$data_directory/verify_cache address_verify_negative_cache = yes address_verify_negative_expire_time = 3d address_verify_negative_refresh_time = 3h address_verify_pending_request_limit = 5000 address_verify_poll_count = ${stress?{1}:{3}} address_verify_poll_delay = 3s address_verify_positive_expire_time = 31d address_verify_positive_refresh_time = 7d address_verify_relay_transport = $relay_transport address_verify_relayhost = $relayhost address_verify_sender = address-verify at alphasrv.net address_verify_sender_dependent_default_transport_maps = $sender_dependent_default_transport_maps address_verify_sender_dependent_relayhost_maps = $sender_dependent_relayhost_maps address_verify_sender_ttl = 0s address_verify_service_name = verify address_verify_transport_maps = $transport_maps address_verify_virtual_transport = $virtual_transport lmtp_address_verify_target = rcpt -- Andre Tann From lists at localguru.de Tue Mar 15 18:39:09 2022 From: lists at localguru.de (Marcus Schopen) Date: Tue, 15 Mar 2022 18:39:09 +0100 Subject: escape @ in spamassassin_heinlein-support_de/70_HS_body.cf Message-ID: <156f764a3ac64c953bf353025aea9d5941a4ce8a.camel@localguru.de> Hallo Peer, könntet Ihr bitte das @ in der 70_HS_header.cf bei nachfolgenden, neuen Regeln in \@ escape'n. Ältere spamassassins "hängen" sich daran auf. ---------- Possible unintended interpolation of @jpberlin in string at /tmp/.spamassassin127937NmP9mtmp/70_HS_body.cf, rule HS_BODY_2326, line 1. rules: failed to compile Mail::SpamAssassin::Plugin::Check::_body_tests_0_1, skipping: (Global symbol "@jpberlin" requires explicit package name at /tmp/.spamassassin127937NmP9mtmp/70_HS_body.cf, rule HS_BODY_2326, line 1.) channel: lint check of update failed, channel failed sa-update failed for unknown reasons ---------- Danke und Cheers! Marcus From cr at ncxs.de Tue Mar 15 19:53:40 2022 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 15 Mar 2022 19:53:40 +0100 Subject: escape @ in spamassassin_heinlein-support_de/70_HS_body.cf In-Reply-To: <156f764a3ac64c953bf353025aea9d5941a4ce8a.camel@localguru.de> References: <156f764a3ac64c953bf353025aea9d5941a4ce8a.camel@localguru.de> Message-ID: <3f6bdd62-9276-1e66-be40-d6604c011c33@ncxs.de> Moin, hab noch ein altes Escape in der Kammer gefunden ;) sollte wieder passen. Danke auch an Gerald für die offlist Meldung Viele Grüße Carsten On 15.03.22 18:39, Marcus Schopen wrote: > Hallo Peer, > > könntet Ihr bitte das @ in der 70_HS_header.cf bei nachfolgenden, neuen > Regeln in \@ escape'n. Ältere spamassassins "hängen" sich daran auf. > > ---------- > Possible unintended interpolation of @jpberlin in string at > /tmp/.spamassassin127937NmP9mtmp/70_HS_body.cf, rule HS_BODY_2326, line > 1. > rules: failed to compile > Mail::SpamAssassin::Plugin::Check::_body_tests_0_1, skipping: > (Global symbol "@jpberlin" requires explicit package name at > /tmp/.spamassassin127937NmP9mtmp/70_HS_body.cf, rule HS_BODY_2326, line > 1.) > channel: lint check of update failed, channel failed > sa-update failed for unknown reasons > ---------- > > Danke und Cheers! > Marcus > > From michael at linuxfox.de Fri Mar 18 09:10:51 2022 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 18 Mar 2022 09:10:51 +0100 Subject: nach einem 451 stellt mein Postfix sofort an den Backup MX zu Message-ID: <64c9f14c-65f0-0441-fd6c-5c93b6365f14@linuxfox.de> Hallo, ist dieses Verhalten richtig, dass mein Postfix sofort an den MX 20 ausliefert, nachdem er von dem MX 10 ein 451 (Greylisting) bekommen hat? Mar 17 10:03:18 ... said: 451 4.7.1 Try again later (in reply to end of DATA command) dann sofort an seinen Backup MX Mar 17 10:03:19 ... delay=0.99, delays=0.1/0.01/0.73/0.14, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 05588DBD4) -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From ffiene at veka.com Fri Mar 18 09:39:04 2022 From: ffiene at veka.com (Frank Fiene) Date: Fri, 18 Mar 2022 09:39:04 +0100 Subject: nach einem 451 stellt mein Postfix sofort an den Backup MX zu In-Reply-To: <64c9f14c-65f0-0441-fd6c-5c93b6365f14@linuxfox.de> References: <64c9f14c-65f0-0441-fd6c-5c93b6365f14@linuxfox.de> Message-ID: <94412A4C-F103-4DFA-8817-35CBC1F0BFE1@veka.com> Ja, das ist normal! Viele Grüße! > Am 18.03.2022 um 09:10 schrieb Michael Grundmann via Postfixbuch-users : > > Hallo, > > ist dieses Verhalten richtig, dass mein Postfix sofort an den MX 20 ausliefert, nachdem er von dem MX 10 ein 451 (Greylisting) bekommen hat? > > > Mar 17 10:03:18 ... said: 451 4.7.1 Try again later (in reply to end of DATA command) > > dann sofort an seinen Backup MX > Mar 17 10:03:19 ... delay=0.99, delays=0.1/0.01/0.73/0.14, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 05588DBD4) > > > -- > Gruß Michael > > Wenn du verstehst, was du tust, wirst du nichts lernen -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ml-pbu at syntaxys.de Tue Mar 22 09:44:49 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Mar 2022 09:44:49 +0100 Subject: =?UTF-8?Q?Pl=c3=b6tzliches_Problem_mit_Zertifikat?= Message-ID: <778c489c-f374-8dde-f958-cc8f21573087@syntaxys.de> Hallo Liste, seit gestern kann ich plötzlich keine E-Mails mehr über Hostnamen versenden, die über SNI in Postfix eingebunden sind. Es gab jedoch keinerlei Änderungen in der Konfiguration und auch das Zertifikat ist noch Wochen lang gültig. Im Logfile wird folgendes ausgegeben: Mar 22 09:00:21 host postfix/smtps/smtpd[245606]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543: Die SSL-Konfig lautet: smtpd_tls_cert_file = /etc/letsencrypt/live/wildcard.host/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/wildcard.host/privkey.pem smtpd_tls_CAfile = /etc/letsencrypt/live/wildcard.host/chain.pem tls_server_sni_maps = hash:/etc/postfix/sni smtpd_use_tls = yes smtp_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA smtpd_tls_dh1024_param_file = /etc/ssl/private/dhparams.pem smtpd_tls_security_level = may smtp_tls_security_level = may Über den realen Hostnamen klappt alles ohne Probleme. Mir brennt's ein bissl, da Kunden über ihren Domainnamen versenden. Vielen Dank für Eure Hilfe! -- Wietse, I am so grateful. From klaus at tachtler.net Tue Mar 22 10:08:46 2022 From: klaus at tachtler.net (Klaus Tachtler) Date: Tue, 22 Mar 2022 09:08:46 +0000 (UTC) Subject: =?UTF-8?Q?Re:_Pl=C3=B6tzliches_Problem_mit_Zertifikat?= In-Reply-To: <778c489c-f374-8dde-f958-cc8f21573087@syntaxys.de> References: <778c489c-f374-8dde-f958-cc8f21573087@syntaxys.de> Message-ID: Hallo, "alert certificate expired" sieht recht eindeutig aus. Was sagt nachfolgender Befehl: # openssl x509 -noout -text -in > /etc/letsencrypt/live/wildcard.host[wildcard.host/chain.pem] /cert.pem (Falls vorhanden) Das sollte das aktuelle Let's Encrypt Zertifikat, ohne Fullchain Kette sein? . Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Achim Lammerts via Postfixbuch-users An: Achim Lammerts via Postfixbuch-users Kopie: Achim Lammerts Datum: 22.03.2022 09:45:29 Betreff: Plötzliches Problem mit Zertifikat > Hallo Liste, > seit gestern kann ich plötzlich keine E-Mails mehr über Hostnamen versenden, die über SNI in Postfix eingebunden sind. > Es gab jedoch keinerlei Änderungen in der Konfiguration und auch das Zertifikat ist noch Wochen lang gültig. Im Logfile wird folgendes ausgegeben: > > Mar 22 09:00:21 host postfix/smtps/smtpd[245606]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543: > > Die SSL-Konfig lautet: > > smtpd_tls_cert_file = /etc/letsencrypt/live/wildcard.host/fullchain.pem > smtpd_tls_key_file = /etc/letsencrypt/live/wildcard.host/privkey.pem > smtpd_tls_CAfile = /etc/letsencrypt/live/wildcard.host/chain.pem > tls_server_sni_maps = hash:/etc/postfix/sni > smtpd_use_tls = yes > smtp_use_tls = yes > smtp_tls_note_starttls_offer = yes > smtpd_tls_loglevel = 1 > smtpd_tls_received_header = yes > smtpd_tls_session_cache_timeout = 3600s > tls_random_source = dev:/dev/urandom > smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 > smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 > smtp_tls_protocols = !SSLv2, !SSLv3 > smtpd_tls_protocols = !SSLv2, !SSLv3 > smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache > smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache > smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA > smtpd_tls_dh1024_param_file = /etc/ssl/private/dhparams.pem > smtpd_tls_security_level = may > smtp_tls_security_level = may > > Über den realen Hostnamen klappt alles ohne Probleme. > > Mir brennt's ein bissl, da Kunden über ihren Domainnamen versenden. Vielen Dank für Eure Hilfe! > > -- > Wietse, I am so grateful. -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From ml-pbu at syntaxys.de Tue Mar 22 10:16:13 2022 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 22 Mar 2022 10:16:13 +0100 Subject: =?UTF-8?Q?Re=3a_Pl=c3=b6tzliches_Problem_mit_Zertifikat?= In-Reply-To: <778c489c-f374-8dde-f958-cc8f21573087@syntaxys.de> References: <778c489c-f374-8dde-f958-cc8f21573087@syntaxys.de> Message-ID: <6bde3e1d-1855-a2be-596c-b9e3c76975f4@syntaxys.de> Ich habe die Lösung gefunden: postmap -F hash:/etc/postfix/sni Scheinbar müssen die Daten im Cache auf diese Weise erneuert werden, ein re(load|start) des Postfix reicht dazu wohl nicht aus. Aber das scheint mir dann doch eher ein Bug zu sein?! https://community.letsencrypt.org/t/renewed-certificate-reported-as-expired/128008/21?page=2 LG/A Am 22.03.22 um 09:44 schrieb Achim Lammerts via Postfixbuch-users: > Hallo Liste, > seit gestern kann ich plötzlich keine E-Mails mehr über Hostnamen > versenden, die über SNI in Postfix eingebunden sind.-- Wietse, I am so grateful.