From stickybit at myhm.de  Sun Nov 20 17:35:45 2022
From: stickybit at myhm.de (Andre)
Date: Sun, 20 Nov 2022 17:35:45 +0100
Subject: DKIM Sign + Postfix
Message-ID: <a270579c-2da2-dae7-263b-f6d639e1d2a8@myhm.de>

Guten Abend,

bin gerade dabei die Implementierung von DKIM zu planen (erstmal ausgehend).

Ich nutze Debian.
Bevor ich das Rad neu erfinde, Frage in die Runde.

Was ist aktuell das beste Setup, wenn man viele Domains und viele User 
verwaltet?

--
LG
Andre


From sebastian at debianfan.de  Sun Nov 20 17:55:44 2022
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Sun, 20 Nov 2022 17:55:44 +0100
Subject: DKIM Sign + Postfix
In-Reply-To: <a270579c-2da2-dae7-263b-f6d639e1d2a8@myhm.de>
References: <a270579c-2da2-dae7-263b-f6d639e1d2a8@myhm.de>
Message-ID: <17d1ae56-40f5-bba1-f11a-d31fb0d8c1f2@debianfan.de>

Ich kann

https://thomas-leister.de/mailserver-debian-buster/

als Basis empfehlen.

Dann muss man halt jeweils entsprechende Anpassungen vornehmen, aber 
grundsätzlich ist das eine der besten Anleitungen für dieses Thema :-)

Am 20.11.2022 um 17:35 schrieb Andre:
> Guten Abend,
> 
> bin gerade dabei die Implementierung von DKIM zu planen (erstmal 
> ausgehend).
> 
> Ich nutze Debian.
> Bevor ich das Rad neu erfinde, Frage in die Runde.
> 
> Was ist aktuell das beste Setup, wenn man viele Domains und viele User 
> verwaltet?
> 
> -- 
> LG
> Andre


From stickybit at myhm.de  Sun Nov 20 19:44:04 2022
From: stickybit at myhm.de (Andre)
Date: Sun, 20 Nov 2022 19:44:04 +0100
Subject: DKIM Sign + Postfix
In-Reply-To: <17d1ae56-40f5-bba1-f11a-d31fb0d8c1f2@debianfan.de>
References: <a270579c-2da2-dae7-263b-f6d639e1d2a8@myhm.de>
 <17d1ae56-40f5-bba1-f11a-d31fb0d8c1f2@debianfan.de>
Message-ID: <59448f84-760c-d0a5-456d-5cdc454ab051@myhm.de>

perfekt, vielen Dank!


--
LG
Andre
Am 20.11.22 um 17:55 schrieb sebastian--- via Postfixbuch-users:
> Ich kann
> 
> https://thomas-leister.de/mailserver-debian-buster/
> 
> als Basis empfehlen.
> 
> Dann muss man halt jeweils entsprechende Anpassungen vornehmen, aber 
> grundsätzlich ist das eine der besten Anleitungen für dieses Thema :-)
> 
> Am 20.11.2022 um 17:35 schrieb Andre:
>> Guten Abend,
>>
>> bin gerade dabei die Implementierung von DKIM zu planen (erstmal 
>> ausgehend).
>>
>> Ich nutze Debian.
>> Bevor ich das Rad neu erfinde, Frage in die Runde.
>>
>> Was ist aktuell das beste Setup, wenn man viele Domains und viele User 
>> verwaltet?
>>
>> -- 
>> LG
>> Andre


From stickybit at myhm.de  Mon Nov 21 10:07:34 2022
From: stickybit at myhm.de (Andre)
Date: Mon, 21 Nov 2022 10:07:34 +0100
Subject: DKIM Signing
Message-ID: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>

Moin,

SPF ist bei mir implementiert.

Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.

Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe ich 
die Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.

Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung 
fehlschlagen wird.

Ist da was dran oder ist die Info falsch/veraltet?

Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um 
ausgehende Mails zu signieren?

Ich danke im Voraus für eure Rückmeldungen!

--
LG
Andre


From florian at bodici.de  Mon Nov 21 10:12:05 2022
From: florian at bodici.de (Florian)
Date: Mon, 21 Nov 2022 10:12:05 +0100
Subject: DKIM Signing
In-Reply-To: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
Message-ID: <9cd08000-17f6-61f1-8ebb-eac14997f3f6@bodici.de>

Hallo Andre,

du kannst den gleichen Schlüssel auch für mehrere Domains verwenden. 
Wichtig ist nur, dass du jeweils mit der gleichen Domain DKIM signierst, 
die du auch im FROM nutzt, sonst kommt es zu dem Alignment-Fail bei DMARC.

Der public Key deines DKIM Schlüssels muss also für jede verwendete 
Domain unter <selector>._domainkey.<domain> erreichbar sein. Damit ist 
das Setup dann so möglich.

Viele Grüße,

Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?

Am 21.11.2022 um 10:07 schrieb Andre:
> Moin,
>
> SPF ist bei mir implementiert.
>
> Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.
>
> Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe ich 
> die Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.
>
> Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung 
> fehlschlagen wird.
>
> Ist da was dran oder ist die Info falsch/veraltet?
>
> Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um 
> ausgehende Mails zu signieren?
>
> Ich danke im Voraus für eure Rückmeldungen!
>
> -- 
> LG
> Andre


From stickybit at myhm.de  Mon Nov 21 10:20:30 2022
From: stickybit at myhm.de (Andre)
Date: Mon, 21 Nov 2022 10:20:30 +0100
Subject: DKIM Signing
In-Reply-To: <9cd08000-17f6-61f1-8ebb-eac14997f3f6@bodici.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
 <9cd08000-17f6-61f1-8ebb-eac14997f3f6@bodici.de>
Message-ID: <1d3bde53-2e45-3078-c87d-2c0fdf2e14b6@myhm.de>

Hi Florian,

danke für die schnelle Antwort!
Es freut mich, dass es geht. Das wird die Verwaltung um Einiges erleichtern.

 > Wichtig ist nur, dass du jeweils mit der gleichen Domain DKIM signierst,
 > die du auch im FROM nutzt, sonst kommt es zu dem Alignment-Fail bei 
DMARC.

Das machen doch Rspamd und Postfix im Zusammenspiel automatisch, oder?

smtpd_milters = inet:localhost:11332
non_smtpd_milters = inet:localhost:11332
milter_protocol = 6
milter_mail_macros =  i {mail_addr} {client_addr} {client_name} 
{auth_authen}
milter_default_action = accept

--
LG
Andre

Am 21.11.22 um 10:12 schrieb Florian via Postfixbuch-users:
> Hallo Andre,
> 
> du kannst den gleichen Schlüssel auch für mehrere Domains verwenden. 
> Wichtig ist nur, dass du jeweils mit der gleichen Domain DKIM signierst, 
> die du auch im FROM nutzt, sonst kommt es zu dem Alignment-Fail bei DMARC.
> 
> Der public Key deines DKIM Schlüssels muss also für jede verwendete 
> Domain unter <selector>._domainkey.<domain> erreichbar sein. Damit ist 
> das Setup dann so möglich.
> 
> Viele Grüße,
> 
> Florian Vierke
> mobile: +49 177 8079538
> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
> 30. April?
> 
> Am 21.11.2022 um 10:07 schrieb Andre:
>> Moin,
>>
>> SPF ist bei mir implementiert.
>>
>> Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.
>>
>> Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe ich 
>> die Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.
>>
>> Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung 
>> fehlschlagen wird.
>>
>> Ist da was dran oder ist die Info falsch/veraltet?
>>
>> Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um 
>> ausgehende Mails zu signieren?
>>
>> Ich danke im Voraus für eure Rückmeldungen!
>>
>> -- 
>> LG
>> Andre


From florian at bodici.de  Mon Nov 21 15:06:39 2022
From: florian at bodici.de (Florian)
Date: Mon, 21 Nov 2022 15:06:39 +0100
Subject: DKIM Signing
In-Reply-To: <1d3bde53-2e45-3078-c87d-2c0fdf2e14b6@myhm.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
 <9cd08000-17f6-61f1-8ebb-eac14997f3f6@bodici.de>
 <1d3bde53-2e45-3078-c87d-2c0fdf2e14b6@myhm.de>
Message-ID: <2f1cca26-c5d4-94a0-16c3-77a6747cf1c7@bodici.de>

Hi André,

ja, das macht der rspamd per default so. Du musst ihm nur sagen, welche 
Domain welchen key benutzt:

https://rspamd.com/doc/modules/dkim_signing.html


VG

Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?

Am 21.11.2022 um 10:20 schrieb Andre:
> Hi Florian,
>
> danke für die schnelle Antwort!
> Es freut mich, dass es geht. Das wird die Verwaltung um Einiges 
> erleichtern.
>
> > Wichtig ist nur, dass du jeweils mit der gleichen Domain DKIM 
> signierst,
> > die du auch im FROM nutzt, sonst kommt es zu dem Alignment-Fail bei 
> DMARC.
>
> Das machen doch Rspamd und Postfix im Zusammenspiel automatisch, oder?
>
> smtpd_milters = inet:localhost:11332
> non_smtpd_milters = inet:localhost:11332
> milter_protocol = 6
> milter_mail_macros =  i {mail_addr} {client_addr} {client_name} 
> {auth_authen}
> milter_default_action = accept
>
> -- 
> LG
> Andre
>
> Am 21.11.22 um 10:12 schrieb Florian via Postfixbuch-users:
>> Hallo Andre,
>>
>> du kannst den gleichen Schlüssel auch für mehrere Domains verwenden. 
>> Wichtig ist nur, dass du jeweils mit der gleichen Domain DKIM 
>> signierst, die du auch im FROM nutzt, sonst kommt es zu dem 
>> Alignment-Fail bei DMARC.
>>
>> Der public Key deines DKIM Schlüssels muss also für jede verwendete 
>> Domain unter <selector>._domainkey.<domain> erreichbar sein. Damit 
>> ist das Setup dann so möglich.
>>
>> Viele Grüße,
>>
>> Florian Vierke
>> mobile: +49 177 8079538
>> Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 
>> 30. April?
>>
>> Am 21.11.2022 um 10:07 schrieb Andre:
>>> Moin,
>>>
>>> SPF ist bei mir implementiert.
>>>
>>> Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.
>>>
>>> Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe 
>>> ich die Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.
>>>
>>> Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung 
>>> fehlschlagen wird.
>>>
>>> Ist da was dran oder ist die Info falsch/veraltet?
>>>
>>> Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um 
>>> ausgehende Mails zu signieren?
>>>
>>> Ich danke im Voraus für eure Rückmeldungen!
>>>
>>> -- 
>>> LG
>>> Andre


From p at sys4.de  Tue Nov 22 14:02:58 2022
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 22 Nov 2022 14:02:58 +0100
Subject: DKIM Signing
In-Reply-To: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
Message-ID: <20221122130258.bygwjzmfjhgf737v@sys4.de>

Hallo Andre,

* Andre <postfixbuch-users at listen.jpberlin.de>:
> Moin,
> 
> SPF ist bei mir implementiert.
> 
> Nun würde ich gerne den Mailserver mit DKIM + DMARC ergänzen.
> 
> Da der Mailserver viele Domains und E-Mail-Konten verwaltet, habe ich die
> Idee, den selben DKIM-Schlüssel für ALLE Domains zu verwenden.
> 
> Nun habe ich gelesen, dass in diesem Fall die DMARC-Verifizierung
> fehlschlagen wird.
> 
> Ist da was dran oder ist die Info falsch/veraltet?

diese Information ist falsch. Ein DMARC-Record macht keine Aussagen darüber
*welcher* DKIM-Schlüssel verwendet wird und somit ist es (standardmäßig) auch
nicht möglich, einen Zusammenhang zwischen dem Schlüsselmaterial der einen mit
dem einer anderen Domain herzustellen.

Auch stellen Provider von Großplattformen keinen Zusammenhang her. Diese
interessiert im Moment der Prüfung ausschließlich *ob* sie den
im Selektor referenzierten Schlüssel laden und mit dessen Hilfe die Signaturen
über Header und Body bestätigen, also verifizieren können.

Dein Wunsch, ein Schlüsselpaar für viele Domains einzusetzen, ist
nachvollziehbar und genau deshalb wird die kommende Technische Richtlinie
"TR-03182 E-Mail Authentication" des BSI dies auch explizit gestatten und im
Text auch so erwähnen.

> Also kann ich den selben DKIM-Schlüssel für ALLE Domains nutzen um
> ausgehende Mails zu signieren?

Ja, du kannst. Und wenn Du rspamd verwendest, dann signiere gleich zusätzlich
zum RSA-SHA256 mit ED25519-SHA256 Algorithmus, weil wir alle mittel- bis
langfristig wegen der viel kürzeren Schlüssel von RSA nach ED25519 wechseln
sollten.

Viel Erfolg

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



From Ralf.Hildebrandt at charite.de  Tue Nov 22 14:36:43 2022
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 22 Nov 2022 14:36:43 +0100
Subject: [ext] Re: DKIM Signing
In-Reply-To: <20221122130258.bygwjzmfjhgf737v@sys4.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
 <20221122130258.bygwjzmfjhgf737v@sys4.de>
Message-ID: <Y3zQa3rgWvWTiOiP@charite.de>

> Ja, du kannst. Und wenn Du rspamd verwendest, dann signiere gleich zusätzlich
> zum RSA-SHA256 mit ED25519-SHA256 Algorithmus, weil wir alle mittel- bis
> langfristig wegen der viel kürzeren Schlüssel von RSA nach ED25519 wechseln
> sollten.

Wie ist denn das aktuell die Akzeptanz?

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From florian at bodici.de  Tue Nov 22 14:49:12 2022
From: florian at bodici.de (Florian)
Date: Tue, 22 Nov 2022 14:49:12 +0100
Subject: [ext] Re: DKIM Signing
In-Reply-To: <Y3zQa3rgWvWTiOiP@charite.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
 <20221122130258.bygwjzmfjhgf737v@sys4.de> <Y3zQa3rgWvWTiOiP@charite.de>
Message-ID: <ea224bcc-83f1-9eec-b6b2-3ada2e47bfb8@bodici.de>

Hallo zusammen,

zufälligerweise habe ich über das Thema "Einrichten eines ED25519 DKIMs 
mit rspamd" gerade einen Howto Blogpost verfasst, als ich es bei mir 
eingerichtet habe:

https://bodici.de/double-dkim-signing-mit-rsa-und-ed25519-im-postfix-via-rspamd-einrichten/ 


Vielleicht hilft es dem einen oder anderen ja.

Die Akzeptanz ist momentan noch mehr als mau, zumindest was die großen 
Mailboxprovider angeht. ich habe keinen einzigen gefunden, der es 
unterstützt - selbst Google nicht, die bei so etwas ja gerne vorne dabei 
sind.

Im Bereich der privaten Mailserver sieht es schon besser aus, aber 
zählbare Erkenntnisse darüber habe ich nocht nicht gesammelt.

Viele Grüße,

Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?

Am 22.11.2022 um 14:36 schrieb Ralf Hildebrandt via Postfixbuch-users:
>> Ja, du kannst. Und wenn Du rspamd verwendest, dann signiere gleich zusätzlich
>> zum RSA-SHA256 mit ED25519-SHA256 Algorithmus, weil wir alle mittel- bis
>> langfristig wegen der viel kürzeren Schlüssel von RSA nach ED25519 wechseln
>> sollten.
> Wie ist denn das aktuell die Akzeptanz?
>


From p at sys4.de  Tue Nov 22 16:43:49 2022
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 22 Nov 2022 16:43:49 +0100
Subject: [ext] Re: DKIM Signing
In-Reply-To: <Y3zQa3rgWvWTiOiP@charite.de>
References: <00c760ff-d22e-fbf7-a333-531beddeab52@myhm.de>
 <20221122130258.bygwjzmfjhgf737v@sys4.de>
 <Y3zQa3rgWvWTiOiP@charite.de>
Message-ID: <20221122154349.gvvaxpcbdkm5h2by@sys4.de>

* Ralf Hildebrandt via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>:
> > Ja, du kannst. Und wenn Du rspamd verwendest, dann signiere gleich zusätzlich
> > zum RSA-SHA256 mit ED25519-SHA256 Algorithmus, weil wir alle mittel- bis
> > langfristig wegen der viel kürzeren Schlüssel von RSA nach ED25519 wechseln
> > sollten.
> 
> Wie ist denn das aktuell die Akzeptanz?

Du kannst ED25519 produktiv einsetzen. Wir haben in einem Pilotversuch eine
grössere Range typischer Domains mit ED25519-Signaturen besendet und vor gut
einem Jahr dabei zwei Appliances gefunden gehabt, welche bei ED25519 DKIM
permerrors gemeldet hatte. Die Hersteller haben wir kontaktiert und
mittlerweile sind deren Appliances fehlerfrei.

Wichtig: Du musst bis auf Weiteres RSA *und* ED25519-Signaturen einfügen, weil
DKIM keinen Algo-Wechsel spezifiziert hat und RSA als Fallback dabei sein
muss. Ein *guter* Verifier wird eine E-Mail auf mehrere Signaturen prüfen,
die ED25519 bevorzugen und (ausser es failed) nur das Schlüsselmaterial für
ED25519 per DNS anfordern, so dass der beabsichtigte Geschwindigkeitsvorteil
auch tatsächlich zum Tragen kommen kann.

rspamd kann ED25519 und die BETA2 von opendkim kann es auch. Beides stabil bei
Kunden in Produktion.

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



From p at sys4.de  Tue Nov 22 17:39:41 2022
From: p at sys4.de (Patrick Ben Koetter)
Date: Tue, 22 Nov 2022 17:39:41 +0100
Subject: BIMI Standard
In-Reply-To: <DAC5AE06-4D20-4EEA-909C-068E928EE22F@mail24.vip>
References: <DAC5AE06-4D20-4EEA-909C-068E928EE22F@mail24.vip>
Message-ID: <20221122163941.jqs3dkvr3ootux5t@sys4.de>

Daniel,

* Daniel via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>:
> Moin,
> 
> was haltet ihr so vom BIMI Standard? Würdet ihr es integrieren im System?

es ist ein Standard, der auf den Markt kommt, nachdem er spezifiziert wurde.
Das ist im Vergleich zu DMARC definitiv ein Gewinn. ;-)

Ich sehe unterschiedlichen Nutzen für unterschiedliche Gruppen:

- Wer seine Marke vermarkten möchte, erhält die Möglichkeit mittels BIMI sein
  Logo in der Mailbox der EmpfängerInnen darzustellen, *wenn* das Mailprogramm
  dies unterstützt. iOS kann das in der neuesten Version und diverse
  Mailprovider zeigen es bereits an, aber OX ist z. B. noch nicht mit am
  Start.
- Als AdministratorIn einer Unternehmensdomain wird die das Marketing als
  Mitstreiter vielleicht dabei helfen ein hohes DMARC-Schutzlevel
  einzurichten, weil BIMI ja p=reject will.
- Wer seine EmpfängerInnen besonders schützen möchte, profitiert davon wenn
  andere BIMI adaptieren, denn die Voraussetzung für BIMI ist eine
  reject-Policy in DMARC und die ist gut gegen Phishing und andere Formen des
  Identitätsmissbrauchs.


> Mit dem Standard kann man ein Logo beim Empfänger im Postfach anzeigen lassen über ein DNS Eintrag, mal sehr vereinfacht gesagt.
> 
> Leider erwarten Google und co., dass ganze auch Verifiziert ist damit Logo angezeigt wird.
> 
> Nur als kleiner Anbieter wäre ich nicht bereit das Logo als Marke Eintragen zu lassen und dann auch noch 1000-1500?/Jahr auszugeben für ein Zertifikat.
> 
> Ich bin schon froh dass wir was dieses angeht mit Lets Encrypt weiter sind und jeder nutzen kann ohne extra Kosten.
> 
> Paar Infos zu Bimi wurden hier https://www.msxfaq.de/spam/bimi.htm zusammengestellt.
> 
> Ganze soll sogar inzwischen auf dem iPhone mit iOS 16 funktionieren, nur habe ich dort bisher keine Logos gesehen von Amazon und co.
> 
> Verleiten solche Kosten nicht auch Firmen dazu eher Werbung als Logo auszuliefern?
> 
> Auch schützt ja SPF und DMARC nicht vor ähnlichen Domain Namen. dhl.de oder dlh.de sind ähnlich, aber halt nicht gleiche. Die einen sind gelb und liefern Pakete die andere fliegen dich in den Urlaub. Bösewichte würden wohl Tippfehler und ähnliches ausnutzen zum täuschen.

Das ist richtig. Gegen lookalike-Domains schützt DMARC nicht, aber es schützt
schon einmal die 'richtige' Domain. Ich finde die Vermischung nicht gut. Eine
Waffe, welche alles schlägt, gibt es halt nicht und ich halte den Anspruch und
die damit verbundene Kritik auch
nicht für zielführend.

Grüße

p at rick


-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3886 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20221122/9ade426b/attachment.p7s>

From toag at izsr.de  Wed Nov 23 12:53:40 2022
From: toag at izsr.de (Tim-Ole)
Date: Wed, 23 Nov 2022 12:53:40 +0100
Subject: Kein address rewriting bei doppelter TLD?
Message-ID: <95A3A52F-6B50-41C8-B330-C9BB560C8FFC@izsr.de>

Hallo, Liste,

das Problem ist mir das erste Mal aufgefallen:

User sendet versehentlich an user at foo.bar.bar - kein Problem, dachten wir, mit

@foo.bar.bar   @foo.bar

in /etc/postfix/generic bzw. sender_canonical schreiben wir so etwas normalerweise um, Klassiker:

@aol.de   @aol.com

= klappt seit Jahrzehnten tadellos. Offenbar greift das Rewriting bzw. Masquerading aber nicht bei doppelter TLD. user at foo.bar.bar lässt sich ums Verrecken nicht korrigieren.

Ist kein Drama, weil wir den Usern ohnehin Rückmeldung geben, ihr Adressbuch zu korrigieren - mich würde nur interessieren bzw. bestätigt bekommen, weshalb/dass es nicht funktioniert.

Beste Grüsse

Tim-Ole