From gjn at gjn.priv.at  Fri Aug  4 15:21:31 2023
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Fri, 04 Aug 2023 15:21:31 +0200
Subject: Frage: Postfixbuch
Message-ID: <5958275.lOV4Wx5bFT@techz.4gjn.com>

Hallo Liste,

habe mal die Frage wie weit ist dass Postfixbuch eigentlich noch aktuell?

Ich versuche gerade meinen postfix mit dem Postfixbuch wieder ans "laufen" zu 
bekommen, aber anscheinend ändert sich nichts :-(. Habe das Teil schon Jahre 
und hat damals auch funktioniert, nur finde ich anscheinend nicht die richtigen 
Einstellungen damit das ganze wieder läuft.

Danke für eine Antwort, 
-- 
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 488 bytes
Beschreibung: This is a digitally signed message part.
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20230804/95e1a99e/attachment.asc>

From sebastian at debianfan.de  Fri Aug  4 17:01:42 2023
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Fri, 04 Aug 2023 17:01:42 +0200
Subject: Frage: Postfixbuch
In-Reply-To: <5958275.lOV4Wx5bFT@techz.4gjn.com>
References: <5958275.lOV4Wx5bFT@techz.4gjn.com>
Message-ID: <20827B9D-DC9F-45C4-BAAE-11883E5AEA6C@debianfan.de>

Was funktioniert denn nicht ?

such sonst mal nach "Thomas leister postfix dovecot" bei google - der hat ein sehr gutes und aktuelles Tutorial 

Am 4. August 2023 15:21:31 MESZ schrieb "Günther J. Niederwimmer" <gjn at gjn.priv.at>:
>Hallo Liste,
>
>habe mal die Frage wie weit ist dass Postfixbuch eigentlich noch aktuell?
>
>Ich versuche gerade meinen postfix mit dem Postfixbuch wieder ans "laufen" zu 
>bekommen, aber anscheinend ändert sich nichts :-(. Habe das Teil schon Jahre 
>und hat damals auch funktioniert, nur finde ich anscheinend nicht die richtigen 
>Einstellungen damit das ganze wieder läuft.
>
>Danke für eine Antwort, 
>-- 
>mit freundlichen Grüssen / best regards,
>
>  Günther J. Niederwimmer
-- 
Diese Nachricht wurde von meinem Android-Gerät mit K-9 Mail gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20230804/104a326c/attachment.htm>

From sebastian at debianfan.de  Fri Aug  4 17:01:42 2023
From: sebastian at debianfan.de (sebastian at debianfan.de)
Date: Fri, 04 Aug 2023 17:01:42 +0200
Subject: Frage: Postfixbuch
In-Reply-To: <5958275.lOV4Wx5bFT@techz.4gjn.com>
References: <5958275.lOV4Wx5bFT@techz.4gjn.com>
Message-ID: <20827B9D-DC9F-45C4-BAAE-11883E5AEA6C@debianfan.de>

Was funktioniert denn nicht ?

such sonst mal nach "Thomas leister postfix dovecot" bei google - der hat ein sehr gutes und aktuelles Tutorial 

Am 4. August 2023 15:21:31 MESZ schrieb "Günther J. Niederwimmer" <gjn at gjn.priv.at>:
>Hallo Liste,
>
>habe mal die Frage wie weit ist dass Postfixbuch eigentlich noch aktuell?
>
>Ich versuche gerade meinen postfix mit dem Postfixbuch wieder ans "laufen" zu 
>bekommen, aber anscheinend ändert sich nichts :-(. Habe das Teil schon Jahre 
>und hat damals auch funktioniert, nur finde ich anscheinend nicht die richtigen 
>Einstellungen damit das ganze wieder läuft.
>
>Danke für eine Antwort, 
>-- 
>mit freundlichen Grüssen / best regards,
>
>  Günther J. Niederwimmer
-- 
Diese Nachricht wurde von meinem Android-Gerät mit K-9 Mail gesendet.
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20230804/104a326c/attachment-0001.htm>

From oliverdobler67 at gmail.com  Thu Aug 10 15:58:24 2023
From: oliverdobler67 at gmail.com (Oliver Dobler)
Date: Thu, 10 Aug 2023 15:58:24 +0200
Subject: Erneut "4.7.1 Tempfail - internal scan engine error." auf anderer
 Maschine
Message-ID: <CAMdFoYjxNhp0PAOj0ERKSaLh0bc+b5bqjd1QUikGH+phUfBb7A@mail.gmail.com>

Hallo,
ich hatte dieses Problem letzte Woche nach einem Distupgrade Debian 11
nach 12 schon einmal. Und diesmal ebenfalls auf einem frisch
geupgradeten Debian 12.

Allerdings mit erneuten Neustarts der Services klappt das diesmal nicht:
systemctl restart rspamd.service
systemctl restart clamav-daemon.service
systemctl restart clamav-freshclam.service
systemctl restart clamav-clamonacc.service

Der Milter ist erreichbar:
telnet localhost 11332
funktioniert und
netstat -tulpen | fgrep 11332
tcp        0      0 127.0.0.1:11332         0.0.0.0:*
LISTEN      111        52940      2675/rspamd: main p
tcp6       0      0 ::1:11332               :::*
LISTEN      111        52941      2675/rspamd: main p
liefert auch eine Verbindung.
Kein Ergebnis liefert
netstat -tulpen | fgrep clamd

Auszug aus der mail.log beim Sendeversuch eines Attachments:

2023-08-10T15:50:09.146600+02:00 mx postfix/submission/smtpd[6481]:
connect from mx.example.tld[192.168.1.71]
2023-08-10T15:50:09.193712+02:00 mx postfix/submission/smtpd[6481]:
Anonymous TLS connection established from
mx.example.tld[192.168.1.71]: TLSv1.3 with cipher
TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
server-signature RSA-PSS (2048 bits) server-digest SHA256
2023-08-10T15:50:10.854579+02:00 mx postfix/postscreen[1049]: CONNECT
from [202.74.56.82]:37620 to [192.168.1.71]:25
2023-08-10T15:50:10.856976+02:00 mx postfix/submission/smtpd[6481]:
D1172620038: client=mx.example.tld[192.168.1.71], sasl_method=PLAIN,
sasl_username=systemmails at example.tld
2023-08-10T15:50:10.858953+02:00 mx postfix/cleanup[6689]:
D1172620038: message-id=<806846898fc701d355d90c7a43aec9fd at example.tld>
2023-08-10T15:50:10.871617+02:00 mx postfix/dnsblog[6637]: addr
202.74.56.82 listed by domain zen.spamhaus.org as 127.0.0.2
2023-08-10T15:50:10.872112+02:00 mx postfix/postscreen[1049]: CONNECT
from [202.74.56.82]:37622 to [192.168.1.71]:25
2023-08-10T15:50:10.926570+02:00 mx postfix/submission/smtpd[6480]:
Anonymous TLS connection established from unknown[196.0.11.138]:
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2023-08-10T15:50:11.129474+02:00 mx postfix/cleanup[6689]:
D1172620038: milter-reject: END-OF-MESSAGE from
mx.example.tld[192.168.1.71]: 4.7.1 Tempfail - internal scan engine
error. (support-id D1172620038); from=<systemmails at example.tld>
to=<wh at example.tld> proto=ESMTP helo=<mail.example.tld>


Die dazugehörige main.cf:
append_dot_mydomain = no
biff = no
bounce_queue_lifetime = 1h
compatibility_level = 2
confirm_delay_cleared = yes
delay_warning_time = 60
disable_vrfy_command = yes
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
local_recipient_maps = $virtual_mailbox_maps
mailbox_size_limit = 0
maximal_backoff_time = 15m
maximal_queue_lifetime = 1h
message_size_limit = 52428800
milter_default_action = tempfail
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
minimal_backoff_time = 5m
mua_client_restrictions = permit_mynetworks permit_sasl_authenticated reject
mua_relay_restrictions = reject_non_fqdn_recipient
reject_unknown_recipient_domain permit_mynetworks
permit_sasl_authenticated reject
mua_sender_restrictions = permit_mynetworks reject_non_fqdn_sender
reject_sender_login_mismatch permit_sasl_authenticated reject
mydestination = mx.example.tld, localhost.example.tld, localhost
myhostname = mx.example.tld
mynetworks = 127.0.0.0/8 192.168.1.0/24 192.119.24.0/24
[::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = inet:localhost:11332
plaintext_reject_code = 550
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access
postscreen_bare_newline_enable = no
postscreen_blacklist_action = drop
postscreen_cache_cleanup_interval = 24h
postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7
dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5
bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8
dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3
dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2
dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[4..7]*6
zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3
hostkarma.junkemailfilter.com=127.0.0.2*3
hostkarma.junkemailfilter.com=127.0.0.4*1
hostkarma.junkemailfilter.com=127.0.1.2*1
wl.mailspike.net=127.0.0.[18;19;20]*-2
hostkarma.junkemailfilter.com=127.0.0.1*-2
postscreen_dnsbl_threshold = 8
postscreen_dnsbl_ttl = 5m
postscreen_greet_action = enforce
postscreen_greet_banner = $smtpd_banner
postscreen_greet_ttl = 2d
postscreen_greet_wait = 3s
postscreen_non_smtp_command_enable = no
postscreen_pipelining_enable = no
proxy_read_maps =
proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf,
proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_out_policy.cf,
proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_in_policy.cf,
proxy:mysql:/etc/postfix/sql/sender-login-maps.cf,
$local_recipient_maps $mydestination $virtual_alias_maps
$virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains
$relay_recipient_maps $relay_domains $mynetworks
$smtpd_sender_login_maps
queue_run_delay = 5m
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf
relay_recipient_maps =
proxy:mysql:/etc/postfix/sql/mysql_relay_recipient_maps.cf
smtp_dns_support_level = dnssec
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_ciphers = medium
smtp_tls_loglevel = 1
smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname
smtpd_client_restrictions = permit_mynetworks check_client_access
hash:/etc/postfix/without_ptr reject_unknown_client_hostname
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_error_sleep_time = 10s
smtpd_hard_error_limit = ${stress?1}${stress:5}
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks
reject_invalid_helo_hostname reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
smtpd_milters = inet:localhost:11332
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject_invalid_helo_hostname,
reject_unknown_reverse_client_hostname, reject_unauth_destination
smtpd_relay_restrictions = reject_non_fqdn_recipient
reject_unknown_recipient_domain permit_mynetworks
reject_unauth_destination
smtpd_sender_login_maps =
proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf
smtpd_soft_error_limit = 3
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/mx.example.tld/fullchain.pem
smtpd_tls_ciphers = medium
smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams_2048.pem
smtpd_tls_dh512_param_file = /etc/ssl/mail/dhparams_512.pem
smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
smtpd_tls_key_file = /etc/letsencrypt/live/mx.example.tld/privkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_medium_cipherlist = EECDH+AESGCM:EDH+AESGCM
tls_preempt_cipherlist = yes
tls_ssl_options = NO_COMPRESSION
virtual_alias_maps =
proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf,
proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_domains =
proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
virtual_mailbox_maps =
proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 104
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_uid_maps = static:5000

Allerdings lässt sich dieser Sevice nicht starten:
# systemctl status clamav-clamonacc.service
× clamav-clamonacc.service - ClamAV On-Access Scanner
    Loaded: loaded (/lib/systemd/system/clamav-clamonacc.service;
enabled; preset: enabled)
    Active: failed (Result: exit-code) since Thu 2023-08-10 15:26:44
CEST; 29min ago
  Duration: 19ms
      Docs: man:clamonacc(8)
            man:clamd.conf(5)
            https://docs.clamav.net/
   Process: 4527 ExecStartPre=/bin/bash -c while [ ! -S
/run/clamav/clamd.ctl ]; do sleep 1; done (code=exited,
status=0/SUCCESS)
   Process: 4528 ExecStart=/usr/sbin/clamonacc -F
--log=/var/log/clamav/clamonacc.log --move=/root/quarantine
(code=exited, status=2)
  Main PID: 4528 (code=exited, status=2)
       CPU: 22ms

Aug 10 15:26:44 mx systemd[1]: Starting clamav-clamonacc.service -
ClamAV On-Access Scanner...
Aug 10 15:26:44 mx systemd[1]: Started clamav-clamonacc.service -
ClamAV On-Access Scanner.
Aug 10 15:26:44 mx clamonacc[4528]: --------------------------------------
Aug 10 15:26:44 mx clamonacc[4528]: ERROR: Clamonacc: at least one of
OnAccessExcludeUID, OnAccessExcludeUname, or OnAccessExcludeRootUID
must be specified ... it is recommended you exclude t>
Aug 10 15:26:44 mx systemd[1]: clamav-clamonacc.service: Main process
exited, code=exited, status=2/INVALIDARGUMENT
Aug 10 15:26:44 mx systemd[1]: clamav-clamonacc.service: Failed with
result 'exit-code'.

Vielleicht könnt ihr mir bei der Fehlerbehebung noch einmal behilflich sein?

Viele Grüße
Oliver


From postfix.user at linuxmaker.cloud  Sun Aug 13 18:50:49 2023
From: postfix.user at linuxmaker.cloud (Andreas)
Date: Sun, 13 Aug 2023 18:50:49 +0200
Subject: Erneut "4.7.1 Tempfail - internal scan engine error." auf anderer
 Maschine
In-Reply-To: <CAMdFoYjxNhp0PAOj0ERKSaLh0bc+b5bqjd1QUikGH+phUfBb7A@mail.gmail.com>
References: <CAMdFoYjxNhp0PAOj0ERKSaLh0bc+b5bqjd1QUikGH+phUfBb7A@mail.gmail.com>
Message-ID: <4862145.31r3eYUQgx@stuttgart>

Am Donnerstag, 10. August 2023, 15:58:24 CEST schrieb Oliver Dobler via 
Postfixbuch-users:
> Hallo,
> ich hatte dieses Problem letzte Woche nach einem Distupgrade Debian 11
> nach 12 schon einmal. Und diesmal ebenfalls auf einem frisch
> geupgradeten Debian 12.
> 
> Allerdings mit erneuten Neustarts der Services klappt das diesmal nicht:
> systemctl restart rspamd.service
> systemctl restart clamav-daemon.service
> systemctl restart clamav-freshclam.service
> systemctl restart clamav-clamonacc.service
> 
> Der Milter ist erreichbar:
> telnet localhost 11332
> funktioniert und
> netstat -tulpen | fgrep 11332
> tcp        0      0 127.0.0.1:11332         0.0.0.0:*
> LISTEN      111        52940      2675/rspamd: main p
> tcp6       0      0 ::1:11332               :::*
> LISTEN      111        52941      2675/rspamd: main p
> liefert auch eine Verbindung.
> Kein Ergebnis liefert
> netstat -tulpen | fgrep clamd
> 
> Auszug aus der mail.log beim Sendeversuch eines Attachments:
> 
> 2023-08-10T15:50:09.146600+02:00 mx postfix/submission/smtpd[6481]:
> connect from mx.example.tld[192.168.1.71]
> 2023-08-10T15:50:09.193712+02:00 mx postfix/submission/smtpd[6481]:
> Anonymous TLS connection established from
> mx.example.tld[192.168.1.71]: TLSv1.3 with cipher
> TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519
> server-signature RSA-PSS (2048 bits) server-digest SHA256
> 2023-08-10T15:50:10.854579+02:00 mx postfix/postscreen[1049]: CONNECT
> from [202.74.56.82]:37620 to [192.168.1.71]:25
> 2023-08-10T15:50:10.856976+02:00 mx postfix/submission/smtpd[6481]:
> D1172620038: client=mx.example.tld[192.168.1.71], sasl_method=PLAIN,
> sasl_username=systemmails at example.tld
> 2023-08-10T15:50:10.858953+02:00 mx postfix/cleanup[6689]:
> D1172620038: message-id=<806846898fc701d355d90c7a43aec9fd at example.tld>
> 2023-08-10T15:50:10.871617+02:00 mx postfix/dnsblog[6637]: addr
> 202.74.56.82 listed by domain zen.spamhaus.org as 127.0.0.2
> 2023-08-10T15:50:10.872112+02:00 mx postfix/postscreen[1049]: CONNECT
> from [202.74.56.82]:37622 to [192.168.1.71]:25
> 2023-08-10T15:50:10.926570+02:00 mx postfix/submission/smtpd[6480]:
> Anonymous TLS connection established from unknown[196.0.11.138]:
> TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> 2023-08-10T15:50:11.129474+02:00 mx postfix/cleanup[6689]:
> D1172620038: milter-reject: END-OF-MESSAGE from
> mx.example.tld[192.168.1.71]: 4.7.1 Tempfail - internal scan engine
> error. (support-id D1172620038); from=<systemmails at example.tld>
> to=<wh at example.tld> proto=ESMTP helo=<mail.example.tld>
> 
> 
> Die dazugehörige main.cf:
> append_dot_mydomain = no
> biff = no
> bounce_queue_lifetime = 1h
> compatibility_level = 2
> confirm_delay_cleared = yes
> delay_warning_time = 60
> disable_vrfy_command = yes
> html_directory = /usr/share/doc/postfix/html
> inet_interfaces = all
> local_recipient_maps = $virtual_mailbox_maps
> mailbox_size_limit = 0
> maximal_backoff_time = 15m
> maximal_queue_lifetime = 1h
> message_size_limit = 52428800
> milter_default_action = tempfail
> milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
> milter_protocol = 6
> minimal_backoff_time = 5m
> mua_client_restrictions = permit_mynetworks permit_sasl_authenticated reject
> mua_relay_restrictions = reject_non_fqdn_recipient
> reject_unknown_recipient_domain permit_mynetworks
> permit_sasl_authenticated reject
> mua_sender_restrictions = permit_mynetworks reject_non_fqdn_sender
> reject_sender_login_mismatch permit_sasl_authenticated reject
> mydestination = mx.example.tld, localhost.example.tld, localhost
> myhostname = mx.example.tld
> mynetworks = 127.0.0.0/8 192.168.1.0/24 192.119.24.0/24
> [::ffff:127.0.0.0]/104 [::1]/128
> myorigin = /etc/mailname
> non_smtpd_milters = inet:localhost:11332
> plaintext_reject_code = 550
> postscreen_access_list = permit_mynetworks
> cidr:/etc/postfix/postscreen_access postscreen_bare_newline_enable = no
> postscreen_blacklist_action = drop
> postscreen_cache_cleanup_interval = 24h
> postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache
> postscreen_dnsbl_action = enforce
> postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7
> dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5
> bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8
> dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3
> dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2
> dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[4..7]*6
> zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3
> hostkarma.junkemailfilter.com=127.0.0.2*3
> hostkarma.junkemailfilter.com=127.0.0.4*1
> hostkarma.junkemailfilter.com=127.0.1.2*1
> wl.mailspike.net=127.0.0.[18;19;20]*-2
> hostkarma.junkemailfilter.com=127.0.0.1*-2
> postscreen_dnsbl_threshold = 8
> postscreen_dnsbl_ttl = 5m
> postscreen_greet_action = enforce
> postscreen_greet_banner = $smtpd_banner
> postscreen_greet_ttl = 2d
> postscreen_greet_wait = 3s
> postscreen_non_smtp_command_enable = no
> postscreen_pipelining_enable = no
> proxy_read_maps =
> proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf,
> proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_out_policy.cf,
> proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_in_policy.cf,
> proxy:mysql:/etc/postfix/sql/sender-login-maps.cf,
> $local_recipient_maps $mydestination $virtual_alias_maps
> $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains
> $relay_recipient_maps $relay_domains $mynetworks
> $smtpd_sender_login_maps
> queue_run_delay = 5m
> readme_directory = /usr/share/doc/postfix
> recipient_delimiter = +
> relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf
> relay_recipient_maps =
> proxy:mysql:/etc/postfix/sql/mysql_relay_recipient_maps.cf
> smtp_dns_support_level = dnssec
> smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
> smtp_tls_ciphers = medium
> smtp_tls_loglevel = 1
> smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtp_tls_security_level = dane
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname
> smtpd_client_restrictions = permit_mynetworks check_client_access
> hash:/etc/postfix/without_ptr reject_unknown_client_hostname
> smtpd_data_restrictions = reject_unauth_pipelining
> smtpd_error_sleep_time = 10s
> smtpd_hard_error_limit = ${stress?1}${stress:5}
> smtpd_helo_required = yes
> smtpd_helo_restrictions = permit_mynetworks
> reject_invalid_helo_hostname reject_non_fqdn_helo_hostname
> reject_unknown_helo_hostname
> smtpd_milters = inet:localhost:11332
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_mynetworks, reject_invalid_helo_hostname,
> reject_unknown_reverse_client_hostname, reject_unauth_destination
> smtpd_relay_restrictions = reject_non_fqdn_recipient
> reject_unknown_recipient_domain permit_mynetworks
> reject_unauth_destination
> smtpd_sender_login_maps =
> proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf
> smtpd_soft_error_limit = 3
> smtpd_tls_auth_only = yes
> smtpd_tls_cert_file = /etc/letsencrypt/live/mx.example.tld/fullchain.pem
> smtpd_tls_ciphers = medium
> smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams_2048.pem
> smtpd_tls_dh512_param_file = /etc/ssl/mail/dhparams_512.pem
> smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
> smtpd_tls_key_file = /etc/letsencrypt/live/mx.example.tld/privkey.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_ciphers = medium
> smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
> smtpd_tls_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
> smtpd_tls_security_level = may
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_use_tls = yes
> tls_medium_cipherlist = EECDH+AESGCM:EDH+AESGCM
> tls_preempt_cipherlist = yes
> tls_ssl_options = NO_COMPRESSION
> virtual_alias_maps =
> proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf,
> proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf
> virtual_gid_maps = static:5000
> virtual_mailbox_domains =
> proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
> virtual_mailbox_maps =
> proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf
> virtual_minimum_uid = 104
> virtual_transport = lmtp:unix:private/dovecot-lmtp
> virtual_uid_maps = static:5000
> 
> Allerdings lässt sich dieser Sevice nicht starten:
> # systemctl status clamav-clamonacc.service
> × clamav-clamonacc.service - ClamAV On-Access Scanner
>     Loaded: loaded (/lib/systemd/system/clamav-clamonacc.service;
> enabled; preset: enabled)
>     Active: failed (Result: exit-code) since Thu 2023-08-10 15:26:44
> CEST; 29min ago
>   Duration: 19ms
>       Docs: man:clamonacc(8)
>             man:clamd.conf(5)
>             https://docs.clamav.net/
>    Process: 4527 ExecStartPre=/bin/bash -c while [ ! -S
> /run/clamav/clamd.ctl ]; do sleep 1; done (code=exited,
> status=0/SUCCESS)
>    Process: 4528 ExecStart=/usr/sbin/clamonacc -F
> --log=/var/log/clamav/clamonacc.log --move=/root/quarantine
> (code=exited, status=2)
>   Main PID: 4528 (code=exited, status=2)
>        CPU: 22ms
> 
> Aug 10 15:26:44 mx systemd[1]: Starting clamav-clamonacc.service -
> ClamAV On-Access Scanner...
> Aug 10 15:26:44 mx systemd[1]: Started clamav-clamonacc.service -
> ClamAV On-Access Scanner.
> Aug 10 15:26:44 mx clamonacc[4528]: --------------------------------------
> Aug 10 15:26:44 mx clamonacc[4528]: ERROR: Clamonacc: at least one of
> OnAccessExcludeUID, OnAccessExcludeUname, or OnAccessExcludeRootUID
> must be specified ... it is recommended you exclude t>
> Aug 10 15:26:44 mx systemd[1]: clamav-clamonacc.service: Main process
> exited, code=exited, status=2/INVALIDARGUMENT
> Aug 10 15:26:44 mx systemd[1]: clamav-clamonacc.service: Failed with
> result 'exit-code'.
> 
> Vielleicht könnt ihr mir bei der Fehlerbehebung noch einmal behilflich sein?
> 
> Viele Grüße
> Oliver

Hallo Oliver 

und alle die dasselbe Problem bei Debian 12 haben. 
systemctl disable --now clamav-daemon.socket
systemctl enable --now clamav-daemon.service 
sollte helfen 

Beste Grüße 

Andreas





From daniel at mail24.vip  Tue Aug 22 22:44:42 2023
From: daniel at mail24.vip (Daniel)
Date: Tue, 22 Aug 2023 22:44:42 +0200
Subject: SPF 2.0
Message-ID: <!&!AAAAAAAAAAAuAAAAAAAAADLRaGgSOgVOgeah2wFJq4QBAMO2jhD3dRHOtM0AqgC7tuYAAAAAAA4AABAAAABntXlxW10dQ6oTfiWlZTmEAQAAAAA=@mail24.vip>

Moin,

verwendet ihr schon SPF2.0 statt oder zusätzlich zum spf1?

Amazon setzt es wohl bereits ein:
amazon.com.	900	TXT	"v=spf1 include:spf1.amazon.com
include:spf2.amazon.com include:amazonses.com -all"
amazon.com.	900	TXT	"spf2.0/pra include:spf1.amazon.com
include:spf2.amazon.com include:amazonses.com -all"

Kann es Probleme geben wenn man beides setzt?

Gruß Daniel

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6092 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20230822/d845e4f6/attachment.p7s>

From max at freecards.de  Wed Aug 23 06:36:47 2023
From: max at freecards.de (Markus Heinze)
Date: Wed, 23 Aug 2023 06:36:47 +0200
Subject: SPF 2.0
In-Reply-To: <!&!AAAAAAAAAAAuAAAAAAAAADLRaGgSOgVOgeah2wFJq4QBAMO2jhD3dRHOtM0AqgC7tuYAAAAAAA4AABAAAABntXlxW10dQ6oTfiWlZTmEAQAAAAA=@mail24.vip>
References: <!&!AAAAAAAAAAAuAAAAAAAAADLRaGgSOgVOgeah2wFJq4QBAMO2jhD3dRHOtM0AqgC7tuYAAAAAAA4AABAAAABntXlxW10dQ6oTfiWlZTmEAQAAAAA=@mail24.vip>
Message-ID: <148a78cf-25a7-9ea0-aac6-6a3770750e52@freecards.de>

Moin,

Am 22.08.2023 um 22:44 schrieb Daniel via Postfixbuch-users:
> Moin,
>
> verwendet ihr schon SPF2.0 statt oder zusätzlich zum spf1?
>
> Amazon setzt es wohl bereits ein:
> amazon.com.	900	TXT	"v=spf1 include:spf1.amazon.com
> include:spf2.amazon.com include:amazonses.com -all"
> amazon.com.	900	TXT	"spf2.0/pra include:spf1.amazon.com
> include:spf2.amazon.com include:amazonses.com -all"

spf2 ist nicht das wofür Du es hältst. Es steht hier für den Mechanismus 
'Sender ID' und nicht SPF 2.0, es ist älter und eher ein Experiment 
gewesen bzw. setzte sich nicht durch. Ich dächte Microsoft hatte es 
lange im Gebrauch, es ist obsolete.


>
> Kann es Probleme geben wenn man beides setzt?
>
> Gruß Daniel


lg



From atann at alphasrv.net  Tue Aug 29 10:59:18 2023
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 29 Aug 2023 10:59:18 +0200
Subject: =?UTF-8?Q?Was_ist_ein_=22valid_messageId_header=22_f=c3=bcr_Google?=
 =?UTF-8?Q?=3f?=
Message-ID: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>

Servus zusammen,

gerade habe ich eine Mail von Google zurückbekommen mit folgendem Hinweis:

# ---
host ASPMX.L.GOOGLE.COM[64.233.164.26] said: 550-5.7.1
[95.217.28.6] Messages missing a valid messageId header are not 550 
5.7.1 accepted. s9-20020a2e81c9000000b002bb98e2d5e5si2978186ljg.23 - 
gsmtp (in reply to end of DATA command)
# ---

Was ist denn so ein valider messageId header? Wenn man googelt, dann 
kommt man immer zu Hinweisen bezüglich SPF. Aber messageId ist doch ein 
Feld in der Mail, oder nicht?


Meine Mail hatte dieses Feld:

# ---
Message-ID: 
<68f8f295-5cae-b42a-4f0b-19869a6de06d-x3ra-03b4e887-59be-40fd-84dc-5b95f0b82689>
# ---

Ist das nicht valide?

Viele Grüße
-- 
Andre Tann


From Ralf.Hildebrandt at charite.de  Tue Aug 29 11:18:26 2023
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 29 Aug 2023 11:18:26 +0200
Subject: Was ist ein "valid =?utf-8?Q?messageId?=
 =?utf-8?Q?_header=22_f=C3=BCr?= Google?
In-Reply-To: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
References: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
Message-ID: <ZO234lzSTXW/cF/Z@charite.de>

> Meine Mail hatte dieses Feld:
> 
> # ---
> Message-ID: <68f8f295-5cae-b42a-4f0b-19869a6de06d-x3ra-03b4e887-59be-40fd-84dc-5b95f0b82689>
> # ---

Jo, das ist eine Message-ID
 
> Ist das nicht valide?

RFC5322 sagt:

   message-id      =   "Message-ID:" msg-id CRLF
   msg-id          =   [CFWS] "<" id-left "@" id-right ">" [CFWS]
   id-left         =   dot-atom-text / obs-id-left
   id-right        =   dot-atom-text / no-fold-literal / obs-id-right
   no-fold-literal =   "[" *dtext "]"

Du siehst hier, eine msg-id besteht aus "<" id-left "@" id-right ">"
Bei dir fehlt das "@".

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From bjo at schafweide.org  Tue Aug 29 11:14:01 2023
From: bjo at schafweide.org (Bjoern Franke)
Date: Tue, 29 Aug 2023 11:14:01 +0200
Subject: =?UTF-8?Q?Re=3A_Was_ist_ein_=22valid_messageId_header=22_f=C3=BCr_G?=
 =?UTF-8?Q?oogle=3F?=
In-Reply-To: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
References: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
Message-ID: <baad02a4-d124-42bf-bf4b-190a9b2c266f@schafweide.org>

Moin,
> 
> Was ist denn so ein valider messageId header? Wenn man googelt, dann
> kommt man immer zu Hinweisen bezüglich SPF. Aber messageId ist doch ein
> Feld in der Mail, oder nicht?
> 
> 
> Meine Mail hatte dieses Feld:
> 
> # ---
> Message-ID:
> <68f8f295-5cae-b42a-4f0b-19869a6de06d-x3ra-03b4e887-59be-40fd-84dc-5b95f0b82689>
> # ---
> 

Fehlt da nicht ein @hostname.tld?

Deine Mail an die ML hatte nun 
<216b3619-37c5-11e2-45a4-a86599640737 at alphasrv.net>.

Gruß
Björn




From atann at alphasrv.net  Tue Aug 29 14:21:26 2023
From: atann at alphasrv.net (Andre Tann)
Date: Tue, 29 Aug 2023 14:21:26 +0200
Subject: =?UTF-8?Q?Re=3a_Was_ist_ein_=22valid_messageId_header=22_f=c3=bcr_G?=
 =?UTF-8?Q?oogle=3f?=
In-Reply-To: <ZO234lzSTXW/cF/Z@charite.de>
References: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
 <ZO234lzSTXW/cF/Z@charite.de>
Message-ID: <5a356b58-1ea5-739b-21b3-f8ee5dc4a877@alphasrv.net>

Servus Björn, Ralf,

On 29.08.23 11:18, Ralf Hildebrandt via Postfixbuch-users wrote:

> RFC5322 sagt:
> 
>     message-id      =   "Message-ID:" msg-id CRLF
>     msg-id          =   [CFWS] "<" id-left "@" id-right ">" [CFWS]
>     id-left         =   dot-atom-text / obs-id-left
>     id-right        =   dot-atom-text / no-fold-literal / obs-id-right
>     no-fold-literal =   "[" *dtext "]"
> 
> Du siehst hier, eine msg-id besteht aus "<" id-left "@" id-right ">"
> Bei dir fehlt das "@".

Danke für den Hinweis. Das war mir nicht bewußt, und ich werde es 
nachziehen. Mal sehen was Google dann meint.

-- 
Andre Tann


From Ralf.Hildebrandt at charite.de  Tue Aug 29 14:23:00 2023
From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt)
Date: Tue, 29 Aug 2023 14:23:00 +0200
Subject: [ext] Re: Was ist ein =?utf-8?Q?=22val?=
 =?utf-8?Q?id_messageId_header=22_f=C3=BCr?= Google?
In-Reply-To: <5a356b58-1ea5-739b-21b3-f8ee5dc4a877@alphasrv.net>
References: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
 <ZO234lzSTXW/cF/Z@charite.de>
 <5a356b58-1ea5-739b-21b3-f8ee5dc4a877@alphasrv.net>
Message-ID: <ZO3jJKItexRKPgfK@charite.de>

* Andre Tann via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>:

> > Du siehst hier, eine msg-id besteht aus "<" id-left "@" id-right ">"
> > Bei dir fehlt das "@".
> 
> Danke für den Hinweis. Das war mir nicht bewußt, und ich werde es
> nachziehen. Mal sehen was Google dann meint.

Faulheitstip: Keine Message-ID selber erzeugen, das einfach Postfix
machen lassen -> WIN!

Alternativ: Message-id abstrippen, dann wird sie regeneriert.

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


From list+postfixbuch at gcore.biz  Tue Aug 29 15:51:05 2023
From: list+postfixbuch at gcore.biz (Gerald Galster)
Date: Tue, 29 Aug 2023 15:51:05 +0200
Subject: =?utf-8?Q?Re=3A_=5Bext=5D_Was_ist_ein_=22valid_messageId_header?=
 =?utf-8?Q?=22_f=C3=BCr_Google=3F?=
In-Reply-To: <ZO3jJKItexRKPgfK@charite.de>
References: <216b3619-37c5-11e2-45a4-a86599640737@alphasrv.net>
 <ZO234lzSTXW/cF/Z@charite.de>
 <5a356b58-1ea5-739b-21b3-f8ee5dc4a877@alphasrv.net>
 <ZO3jJKItexRKPgfK@charite.de>
Message-ID: <48550B17-1C9F-458C-AC02-E7E355F07378@gcore.biz>

>>> Du siehst hier, eine msg-id besteht aus "<" id-left "@" id-right ">"
>>> Bei dir fehlt das "@".
>> 
>> Danke für den Hinweis. Das war mir nicht bewußt, und ich werde es
>> nachziehen. Mal sehen was Google dann meint.
> 
> Faulheitstip: Keine Message-ID selber erzeugen, das einfach Postfix
> machen lassen -> WIN!
> 
> Alternativ: Message-id abstrippen, dann wird sie regeneriert.


Das Standardverhalten hat sich im Laufe der Jahre geändert,
fehlende Header werden evtl. nicht mehr automatisch hinzugefügt.

always_add_missing_headers (default: no)
   Always  add  (Resent-)  From:, To:, Date: or Message-ID: headers
   when not present.  Postfix 2.6 and later add these headers only
   when clients match the local_header_rewrite_clients parameter
   setting.  Earlier Postfix versions always add these headers;
   this may break DKIM signatures that cover non-existent headers.
   The undisclosed_recipients_header parameter setting determines
   whether a To: header will be added.

Viele Grüße
Gerald

From gjn at gjn.priv.at  Thu Aug 31 14:49:04 2023
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Thu, 31 Aug 2023 14:49:04 +0200
Subject: Frage weil ich eigentlich nichts Finde
Message-ID: <5966370.lOV4Wx5bFT@techz.4gjn.com>

Hallo Liste und Profis,

was ist eigentlich der Unterschied im Postfix zwischen
submission und submissions ??

muss man da beide konfigurieren. Ich finde eigentlich nichts über 

SUBMISSONS

mir ist auch lange nicht aufgefallen, dass es da zwei gibt habe den 
Unterschied immer überlesen :-(


Danke für Eure Hilfe und Hinweise,

-- 
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer




From postfixbuch-users at list-post.mks-mail.de  Thu Aug 31 15:34:25 2023
From: postfixbuch-users at list-post.mks-mail.de (=?UTF-8?Q?Markus_Sch=C3=B6nhaber?=)
Date: Thu, 31 Aug 2023 15:34:25 +0200
Subject: submission vs. submissions (was: Frage weil ich eigentlich nichts
 Finde)
In-Reply-To: <5966370.lOV4Wx5bFT@techz.4gjn.com>
References: <5966370.lOV4Wx5bFT@techz.4gjn.com>
Message-ID: <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>

31.08.23, 14:49 +0200, Günther J. Niederwimmer:

> was ist eigentlich der Unterschied im Postfix zwischen
> submission und submissions ??

submission und submissions sollen beim Mailversand die gleiche Aufgabe 
erfüllen. Sie unterscheiden sich nur darin, wie die 
Transportverschlüsselung gehandhabt wird.

submission meint den standardmäßig auf Port 587 lauschenden SMTP-Dienst, 
bei dem der Client zunächst eine unverschlüsselte Verbindung aufbaut und 
ggf. später per STARTTLS eine Verschlüsselung der Verbindung anfordern kann.
smtpd_tls_security_level=may/encrypt

submissions lauscht standardmäßig auf Port 465 und es muss eine 
Verschlüsselung der Verbindung ausgehandelt werden, bevor überhaupt 
Nutzdaten übertragen werden (ähnlich HTTPS bspw.).
smtpd_tls_wrappermode=yes

> muss man da beide konfigurieren. Ich finde eigentlich nichts über

Du musst konfigurieren, was Dein Server anbieten soll. Und letzteres ist 
natürlich Deine Entscheidung.

-- 
Gruß
   mks


From gjn at gjn.priv.at  Thu Aug 31 16:12:06 2023
From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer)
Date: Thu, 31 Aug 2023 16:12:06 +0200
Subject: submission vs. submissions (was: Frage weil ich eigentlich nichts
 Finde)
In-Reply-To: <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>
References: <5966370.lOV4Wx5bFT@techz.4gjn.com>
 <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>
Message-ID: <2155222.irdbgypaU6@techz.4gjn.com>

Hallo Markus,

Danke für die gute Erklärung, bis jetzt ist es mir nicht aufgefallen, dachte 
immer warum ist das zweimal in der config ;-) aber man sollte lesen können.

jetzt ist Frage soll man diesen Port überhaupt öffnen "angeblich" braucht 
diesen Port nur "Outlook" und das habe ich eigentlich nicht? Bei mir läuft das 
alles nur mehr für mich.

Am Donnerstag, 31. August 2023, 15:34:25 CEST schrieb Markus Schönhaber via 
Postfixbuch-users:
> 31.08.23, 14:49 +0200, Günther J. Niederwimmer:
> > was ist eigentlich der Unterschied im Postfix zwischen
> > submission und submissions ??
> 
> submission und submissions sollen beim Mailversand die gleiche Aufgabe
> erfüllen. Sie unterscheiden sich nur darin, wie die
> Transportverschlüsselung gehandhabt wird.
> 
> submission meint den standardmäßig auf Port 587 lauschenden SMTP-Dienst,
> bei dem der Client zunächst eine unverschlüsselte Verbindung aufbaut und
> ggf. später per STARTTLS eine Verschlüsselung der Verbindung anfordern kann.
> smtpd_tls_security_level=may/encrypt
> 
> submissions lauscht standardmäßig auf Port 465 und es muss eine
> Verschlüsselung der Verbindung ausgehandelt werden, bevor überhaupt
> Nutzdaten übertragen werden (ähnlich HTTPS bspw.).
> smtpd_tls_wrappermode=yes
> 
> > muss man da beide konfigurieren. Ich finde eigentlich nichts über
> 
> Du musst konfigurieren, was Dein Server anbieten soll. Und letzteres ist
> natürlich Deine Entscheidung.

Nochmal Danke für Deine Antwort,
-- 
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer




From harald.witt at dpfa.de  Thu Aug 31 16:33:35 2023
From: harald.witt at dpfa.de (harald.witt at dpfa.de)
Date: Thu, 31 Aug 2023 16:33:35 +0200
Subject: AW: submission vs. submissions (was: Frage weil ich eigentlich nichts
 Finde)
In-Reply-To: <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>
References: <5966370.lOV4Wx5bFT@techz.4gjn.com>
 <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>
Message-ID: <001101d9dc18$1ff0a250$5fd1e6f0$@dpfa.de>

Also in der /etc/services von Debian steht schon lange:
submissions     465/tcp         ssmtp smtps urd # Submission over TLS [RFC8314]

submission      587/tcp                         # Submission [RFC4409]

 

Dem wurden AFAIK die Begrifflichkeiten in Postfix angepasst. Smtps wird submissions.
Habe gerade mal auf einer älteren Installation nachgesehen

 

In /etc/postfix/master.cf in Debian 11 und älter findet sich noch:

smtps     inet  n       -       -       -       -       smtpd

  -o ...

 

An gleicher Stelle steht in Debian 12

submissions     inet  n       -       y       -       -       smtpd

  -o ...

 

Gruß
Harald

 

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Markus Schönhaber via Postfixbuch-users
Gesendet: Donnerstag, 31. August 2023 15:34
An: postfixbuch-users at listen.jpberlin.de
Cc: Markus Schönhaber <postfixbuch-users at list-post.mks-mail.de>
Betreff: submission vs. submissions (was: Frage weil ich eigentlich nichts Finde)

 

31.08.23, 14:49 +0200, Günther J. Niederwimmer:

 

> was ist eigentlich der Unterschied im Postfix zwischen submission und 

> submissions ??

 

submission und submissions sollen beim Mailversand die gleiche Aufgabe erfüllen. Sie unterscheiden sich nur darin, wie die Transportverschlüsselung gehandhabt wird.

 

submission meint den standardmäßig auf Port 587 lauschenden SMTP-Dienst, bei dem der Client zunächst eine unverschlüsselte Verbindung aufbaut und ggf. später per STARTTLS eine Verschlüsselung der Verbindung anfordern kann.

smtpd_tls_security_level=may/encrypt

 

submissions lauscht standardmäßig auf Port 465 und es muss eine Verschlüsselung der Verbindung ausgehandelt werden, bevor überhaupt Nutzdaten übertragen werden (ähnlich HTTPS bspw.).

smtpd_tls_wrappermode=yes

 

> muss man da beide konfigurieren. Ich finde eigentlich nichts über

 

Du musst konfigurieren, was Dein Server anbieten soll. Und letzteres ist natürlich Deine Entscheidung.

 

--

Gruß

   mks

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20230831/1653ab30/attachment.htm>

From ml at irmawi.de  Thu Aug 31 16:57:42 2023
From: ml at irmawi.de (Markus Winkler)
Date: Thu, 31 Aug 2023 16:57:42 +0200
Subject: submission vs. submissions
In-Reply-To: <2155222.irdbgypaU6@techz.4gjn.com>
References: <5966370.lOV4Wx5bFT@techz.4gjn.com>
 <37857f8b-36e6-4682-a70c-5ef081f1a721@list-post.mks-mail.de>
 <2155222.irdbgypaU6@techz.4gjn.com>
Message-ID: <f1213cc0-4492-47f1-9e9f-8e0e8bcd7550@irmawi.de>

Hallo Günther,

On 31.08.23 16:12, Günther J. Niederwimmer wrote:
> jetzt ist Frage soll man diesen Port überhaupt öffnen "angeblich" braucht
> diesen Port nur "Outlook" und das habe ich eigentlich nicht?

im Gegenteil: Man sollte heutzutage eigentlich auf die Verwendung von 
submissions/smtps orientieren und submission+STARTTLS eher vermeiden.

In meinen Setups biete ich serverseitig (noch) sowohl 465 als auch 587 an, 
richte Clients aber standardmäßig fürs Senden über 465/tcp (submissions) ein.

Siehe auch hier:

https://www.rfc-editor.org/rfc/rfc8314#appendix-A

    "Although STARTTLS appears only slightly more complex than
    separate-port TLS, we again learned the lesson that complexity is the
    enemy of security in the form of the STARTTLS command injection
    vulnerability (Computer Emergency Readiness Team (CERT) vulnerability
    ID #555316 [CERT-555316]).  Although there's nothing inherently wrong
    with STARTTLS, the fact that it resulted in a common implementation
    error (made independently by multiple implementers) suggests that it
    is a less secure architecture than Implicit TLS."

Viele Grüße
Markus