From Ralf.Hildebrandt at charite.de Sun Jan 1 18:14:27 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 1 Jan 2023 18:14:27 +0100 Subject: [ext] Refresh / Reload im =?utf-8?Q?F?= =?utf-8?Q?=C3=BCnf-Minuten-Takt?= In-Reply-To: <3de8a45c-343a-2ec4-ddd0-da2248ba0128@wiesi.info> References: <3de8a45c-343a-2ec4-ddd0-da2248ba0128@wiesi.info> Message-ID: > ... postfix/postfix-script[5270]: refreshing the Postfix mail system > ... postfix/master[4803]: reload -- version 3.6.4, configuration > /etc/postfix > ... postfix/postfix-script[5294]: refreshing the Postfix mail system > ... postfix/master[4803]: reload -- version 3.6.4, configuration > /etc/postfix > ... postfix/postfix-script[5313]: refreshing the Postfix mail system > ... postfix/master[4803]: reload -- version 3.6.4, configuration > /etc/postfix > > Vom Timing könnte das zum wakeup-Intervall des qmgr ("300") passen. > > Werde ich diese Einträge irgendwie los? Der Informationsgehalt ist ja nicht > sooo groß... Irgendwas (cronjob) macht alle 5 Minuten ein "postfix reload2 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From rainer at wiesi.info Sun Jan 1 18:24:12 2023 From: rainer at wiesi.info (rainer at wiesi.info) Date: Sun, 1 Jan 2023 18:24:12 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Refresh_/_Reload_im_F=c3=bcnf-Minuten-Tak?= =?UTF-8?Q?t?= In-Reply-To: References: <3de8a45c-343a-2ec4-ddd0-da2248ba0128@wiesi.info> Message-ID: Am 01.01.2023 um 18:14 schrieb Ralf Hildebrandt via Postfixbuch-users: >> ... postfix/postfix-script[5270]: refreshing the Postfix mail system >> ... postfix/master[4803]: reload -- version 3.6.4, configuration >> /etc/postfix >> ... postfix/postfix-script[5294]: refreshing the Postfix mail system >> ... postfix/master[4803]: reload -- version 3.6.4, configuration >> /etc/postfix >> ... postfix/postfix-script[5313]: refreshing the Postfix mail system >> ... postfix/master[4803]: reload -- version 3.6.4, configuration >> /etc/postfix >> >> Vom Timing könnte das zum wakeup-Intervall des qmgr ("300") passen. >> >> Werde ich diese Einträge irgendwie los? Der Informationsgehalt ist ja nicht >> sooo groß... > > Irgendwas (cronjob) macht alle 5 Minuten ein "postfix reload2 Danke Ralf, das war´s wohl: Das "irgendwas" war anscheinend OpenVPN, das nach dem Upgrade des Systems einen Tunnel nicht mehr aufbauen konnte. Kaum macht man´s richtig (OpenVPN), funktioniert auch Postfix wieder wie gewohnt! Vielen Dank nochmals für die Hilfe! Rainer -- # Rainer Wiesenfarth From max.grobecker at ml.grobecker.info Mon Jan 2 22:54:06 2023 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Mon, 2 Jan 2023 22:54:06 +0100 Subject: noreply@paketankuendighung.myherrmes.de In-Reply-To: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> References: <8B52DC52-6195-40BB-88E6-3C6225263F85@hennig-consulting.com> Message-ID: <2a950fd7-d96e-62ba-8472-2404a9ff70e9@ml.grobecker.info> Moin, du entdeckst gerade das, was in der Postfix-Dokumentation sehr explizit beschrieben wird: -> https://www.postfix.org/ADDRESS_VERIFICATION_README.html#sender_always Ich füge dem noch hinzu: Auf diese Art und weise kannst du deinen Server selber bei anderen Blacklisten, wenn dein Server gespoofete Absenderadressen bei den originalen Empfänger-Servern verifiziert. Das wird dann ab einer bestimmten Menge als Harvesting interpretiert und dann spricht M E I N Mailserver nicht mehr mit dir. Mir fallen noch allerlei weitere, völlig legitime Stolpersteine ein, die dazu führen dass du gewollte E-Mails abweist (keine Mails, wenn der Mailserver des Empfängers gerade unpässlich ist, Greylisting-Schleifen, Empfänger erlaubt nur E-Mails von bestimmten Absendern...). Bei meinen Setups verwende ich daher lediglich die Prüfung auf existente Domains, was in Kombination mit einem brauchbaren Spamfilter absolut frei von Ärgernissen ist. Grüße Max From ffiene at veka.com Mon Jan 9 22:01:22 2023 From: ffiene at veka.com (Frank Fiene) Date: Mon, 9 Jan 2023 21:01:22 +0000 Subject: Sandboxing, lohnt sich das? Message-ID: Kurze Frage: Wenn man File-Extensions blockt (Office-Makro-Dateien, - Templates, exe, etc) und verschlüsselte Anhänge ebenfalls und man die noch durchkommenden Office-Dokumente durch oletools jagt, bringt dann eigentlich ein Sandboxing noch etwas? Im Moment wollen mir alle irgendwelche Mailsecurity-Lösungen andrehen (FortiMail, CISCO Secure Email Threat Defense etc), die eigentlich genau dasselbe machen, wie ein Postfix-Server mit rspamd, diversen RBLs, URIBLs und Virenscannern. Das einzige was fehlen würde, wäre Sandboxing. Ich wäre froh um eine EInschätzung! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimersion HRB 8282 AG Münster/District Court of Münster From driessen at fblan.de Tue Jan 10 00:05:58 2023 From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=) Date: Tue, 10 Jan 2023 00:05:58 +0100 Subject: AW: Sandboxing, lohnt sich das? In-Reply-To: References: Message-ID: <017f01d9247e$f02c3ad0$d084b070$@fblan.de> Im Auftrag von Frank Fiene via Postfixbuch- > Kurze Frage: > > Wenn man File-Extensions blockt (Office-Makro-Dateien, - Templates, exe, > etc) und verschlüsselte Anhänge ebenfalls und man die noch > durchkommenden Office-Dokumente durch oletools jagt, bringt dann > eigentlich ein Sandboxing noch etwas? Was möchtest denn sandboxen ? Und was sollen Firewalls denn machen wenn die Verbindung point to point verschlüsselt ist? Was wollen die denn da noch lesen? Oder sollen alle mail statt auf Postfix auf der Firewall landen? Wenn nichts ausführbares übertragen wird, denke ich zumindest, ist die Gefahr sich etwas einzufangen recht gering. > > Im Moment wollen mir alle irgendwelche Mailsecurity-Lösungen andrehen > (FortiMail, CISCO Secure Email Threat Defense etc), die eigentlich genau > dasselbe machen, wie ein Postfix-Server mit rspamd, diversen RBLs, URIBLs > und Virenscannern. > Das einzige was fehlen würde, wäre Sandboxing. Und du kannst doch auch auf Windows Systemen in der Zwischenzeit mit Container arbeiten. Wenn es so hochsicher sein muss dann entferne das Netzwerkkabel :-) Durch HTTPS ist es in der zwischenzeit für eine firewall auch nicht mehr möglich webcontent mitzulesen. The security is sitting between desk and chair. Wissen durch Schulung schütz wesentlich besser wie Hardware das jemals können wird. Die üblichen Verdächtigen Ziel Ports dichtmachen Angebote bestimmter Länder sperren (Achtung Zensur :-)) Evtl. ist aber die Versicherung die die Firewallhersteller mit anbieten günstiger als eine externe selbst abgeschlossene. > > Ich wäre froh um eine EInschätzung! > > Viele Grüße! Frank > -- Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From alois.kratochwill at wdns.at Tue Jan 10 07:26:11 2023 From: alois.kratochwill at wdns.at (Alois Kratochwill | WDNS.at) Date: Tue, 10 Jan 2023 07:26:11 +0100 Subject: Sandboxing, lohnt sich das? In-Reply-To: <017f01d9247e$f02c3ad0$d084b070$@fblan.de> References: <017f01d9247e$f02c3ad0$d084b070$@fblan.de> Message-ID: Am 10.01.2023 um 00:05 schrieb Uwe Drießen: > Im Auftrag von Frank Fiene via Postfixbuch- >> Kurze Frage: >> >> Wenn man File-Extensions blockt (Office-Makro-Dateien, - Templates, exe, >> etc) und verschlüsselte Anhänge ebenfalls und man die noch >> durchkommenden Office-Dokumente durch oletools jagt, bringt dann >> eigentlich ein Sandboxing noch etwas? > > Was möchtest denn sandboxen ? > Und was sollen Firewalls denn machen Hierbei handelt es sich um "E-Mail-Sicherheits-Lösungen" benannter Hersteller, die unter anderem auch Firewall-Lösungen anbieten. > wenn die Verbindung point to point verschlüsselt ist? Die "E-Mail-Sicherheits-Lösungen" sind genau einer dieser "points" > Was wollen die denn da noch lesen? Den gesamten E-Mail-Müll, der (temporär) zur Prüfung abgeladen und anschließend zum Empfänger weitergereicht wird. > Oder sollen alle mail statt auf Postfix auf der Firewall landen? > Wenn nichts ausführbares übertragen wird, denke ich zumindest, ist die Gefahr sich etwas einzufangen recht gering. > Makros in Office-Dokumenten? Active-Script in PDFs? ... > >> >> Im Moment wollen mir alle irgendwelche Mailsecurity-Lösungen andrehen >> (FortiMail, CISCO Secure Email Threat Defense etc), die eigentlich genau >> dasselbe machen, wie ein Postfix-Server mit rspamd, diversen RBLs, URIBLs >> und Virenscannern. Es wären weitere Überlegungen notwendig: - US-amerikanische Hersteller (PRISM, NSA...) - Läuft Open Source in diesen Systemen und ist die Firmware einsehbar? - Welche Meta- / Inhaltsdaten werden aggregiert und - an wem weitergegeben? - DSGVO (Verarbeitung im Auftrag) ? >> Das einzige was fehlen würde, wäre Sandboxing. > > Und du kannst doch auch auf Windows Systemen in der Zwischenzeit mit Container arbeiten. > Wenn es so hochsicher sein muss dann entferne das Netzwerkkabel :-) > > Durch HTTPS ist es in der zwischenzeit für eine firewall auch nicht mehr möglich webcontent mitzulesen. > > The security is sitting between desk and chair. > Wissen durch Schulung schütz wesentlich besser wie Hardware das jemals können wird. > Viele MitarbeiterInnen arbeiten unter Stress, Fehler sind angesagt; nicht alle MA zwischen desk and chair sind IT-affin. > Die üblichen Verdächtigen Ziel Ports dichtmachen > Angebote bestimmter Länder sperren (Achtung Zensur :-)) > > Evtl. ist aber die Versicherung die die Firewallhersteller mit anbieten günstiger als eine externe selbst abgeschlossene. > > >> >> Ich wäre froh um eine EInschätzung! >> >> Viele Grüße! Frank >> -- > > > Mit freundlichen Grüßen > > Uwe Drießen > -- > Software & Computer > > Netzwerke, Server. > Wir vernetzen Sie und Ihre Rechner ! > > Uwe Drießen > Lembergstraße 33 > 67824 Feilbingert > > Tel.: 06708660045 > Mobil 01726688122 > > "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" > "Programmierer müssen lernen wie Menschen denken. " > "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." > "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." > " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." > > > > -- Mit freundlichen Grüßen Alois Kratochwill ---- DPO certified according to ÖVE/ÖNORM EN ISO/IEC 17024 [~] WDNS.at Internet-/Intranet Developement, IT Support & Administration Alois Kratochwill Kieslingerstraße 9/1/4 8430 Leibnitz, Steiermark Österreich From cr at ncxs.de Wed Jan 11 19:09:40 2023 From: cr at ncxs.de (Carsten Rosenberg) Date: Wed, 11 Jan 2023 19:09:40 +0100 Subject: Sandboxing, lohnt sich das? In-Reply-To: References: Message-ID: <84f1283d-781a-8e75-5c75-30b1b75b0a0e@ncxs.de> Hallo Frank, On 09.01.23 22:01, Frank Fiene via Postfixbuch-users wrote: > Kurze Frage: > > Wenn man File-Extensions blockt (Office-Makro-Dateien, - Templates, exe, etc) und verschlüsselte Anhänge ebenfalls und man die noch durchkommenden Office-Dokumente durch oletools jagt, bringt dann eigentlich ein Sandboxing noch etwas? > > Im Moment wollen mir alle irgendwelche Mailsecurity-Lösungen andrehen (FortiMail, CISCO Secure Email Threat Defense etc), die eigentlich genau dasselbe machen, wie ein Postfix-Server mit rspamd, diversen RBLs, URIBLs und Virenscannern. > Das einzige was fehlen würde, wäre Sandboxing. Die Frage ist welches Sicherheitsniveau du abbilden möchtest. Sandboxing kann gefährliche Anhänge entdecken, die eben nicht vom Anti-Virus oder einer Skript-Analyse wie Oletools entdeckt wurde. Den Aufwand, auch der kommerziellen Lösungen, sollte man aber nicht unterschätzen. Es muss genau deine Umgebung abbilden. Eine ungepatchte Adobe Reader Version bei dir reagiert vielleicht ganz anders als die aktuellste Version. Meiner Erfahrung nach findet ein Sandboxing hinter einem guten Rspamd + Extras so gut wie nix für ihr Geld/Ressourcenverbrauch, kann aber eben im entscheidenden Moment den Unterschied ausmachen. Du kannst Sandboxing auch mit Open Source machen wenn du den initialen Aufwand nicht scheust. (Bei den kommerziellen müsste man den Aufwand eigentlich genauso betreiben - was sagen die dazu?) Ich habe die Idee damals mal in diesem Vortrag skizziert: https://chemnitzer.linux-tage.de/2021/de/programm/beitrag/209 Mittlerweile haben wir die Lösung, leicht architektonisch abgewandelt, mit den Jungs von PeekabooAV umgesetzt und es läuft produktiv bei einem ersten Kunden. Leider fehlen hier noch ein paar Aufräumarbeiten um das Projekt einmal konkret bewerben. Aber wir haben Pre-Queue Sandboxing mit einer sehr flexiblen Infrastruktur implementiert, in die in Zukunft noch einige extra Tools integriert werden können und sollten :) Wenn hier Interesse besteht, breite ich das gern nochmal detailierter aus. Viele Grüße Carsten From t.schneider at tms-itdienst.at Mon Jan 16 14:14:19 2023 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 16 Jan 2023 14:14:19 +0100 Subject: =?UTF-8?Q?PIX_+_Transport-Verschl=c3=b9sselung?= Message-ID: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> Liebe Postfix-Gemeinde. Erstmal ein gutes neues jahr. Kann es sein, das wenn Postfix PIX Workaround anwendet, es keine Transportverschlùsselung mehr mòglich ist? Jan 16 10:43:32 web postfix/smtp[988]: 1346444043E: enabling PIX workarounds: disable_esmtp for mail1.bank.ch[193.135.214.51]:25 Jan 16 10:43:32 web postfix/smtp[988]: 1346444043E: to=, relay=mail1.bank.ch[193.135.214.51]:25, delay=0.35, delays=0.12/0.01/0.09/0.12, dsn=2.0.0, status=sent (250 2.0.0 30G9hWWe019283-30G9hWWf019283 Message accepted for delivery) Jan 16 10:43:32 web postfix/qmgr[1013]: 1346444043E: removed Wenn eine Mail an mich gesendet wird, wird verschlùsselt: an 16 12:41:55 web postfix/smtpd[1846]: connect from mail1.bank.ch[193.135.214.51] Jan 16 12:41:55 web postfix/smtpd[1846]: Anonymous TLS connection established from mail1.bank.ch[193.135.214.51]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256 Grùsse Timm Schneider -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078 u +43 664 4797925 T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 e +39 366 908 0087 F.+43.720.501 078 57 3CX Demo: https://www.tms-itdienst.at/telefonserver Chatten Sie mit mir: https://tmspbx.3cx.at/timm Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm WhatsApp: +43 664 479 7925 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3639 bytes Beschreibung: Firma crittografica S/MIME URL : From Ralf.Hildebrandt at charite.de Mon Jan 16 15:57:14 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 16 Jan 2023 15:57:14 +0100 Subject: [ext] PIX + =?utf-8?Q?Transport-Versch?= =?utf-8?Q?l=C3=B9sselung?= In-Reply-To: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> Message-ID: * Timm Schneider : > Jan 16 10:43:32 web postfix/smtp[988]: 1346444043E: enabling PIX > workarounds: disable_esmtp for mail1.bank.ch[193.135.214.51]:25 esmtp disabled, damit STARTTLS weg. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5023 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Mon Jan 16 17:58:24 2023 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Mon, 16 Jan 2023 17:58:24 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_PIX_+_Transport-Verschl=c3=b9sselung?= In-Reply-To: References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> Message-ID: <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> Hallo Ralf. Wie bringe ich die Gegenstelle dazu, das mein Postfix nicht mehr PIX Workaround und esmtp macht? Servus Timm Il 16.01.23 15:57, Ralf Hildebrandt via Postfixbuch-users ha scritto: > * Timm Schneider : > >> Jan 16 10:43:32 web postfix/smtp[988]: 1346444043E: enabling PIX >> workarounds: disable_esmtp for mail1.bank.ch[193.135.214.51]:25 > > esmtp disabled, damit STARTTLS weg. > -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078 u +43 664 4797925 T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 e +39 366 908 0087 F.+43.720.501 078 57 3CX Demo: https://www.tms-itdienst.at/telefonserver Chatten Sie mit mir: https://tmspbx.3cx.at/timm Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm WhatsApp: +43 664 479 7925 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3639 bytes Beschreibung: Firma crittografica S/MIME URL : From Ralf.Hildebrandt at charite.de Tue Jan 17 11:15:35 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Jan 2023 11:15:35 +0100 Subject: [ext] PIX + =?utf-8?Q?Transport-Versch?= =?utf-8?Q?l=C3=B9sselung?= In-Reply-To: <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> Message-ID: * Timm Schneider : > Hallo Ralf. > > > Wie bringe ich die Gegenstelle dazu, das mein Postfix nicht mehr PIX > Workaround und esmtp macht? Augenblick: Dein (?) Postfix bemerkt ein Probleme und macht dann (beim nächsten Sendeversuch meist) von seiner Seite aus (beim Senden) die "Gegenmaßnahmen": smtp_pix_workaround_delay_time = 10s smtp_pix_workaround_maps = smtp_pix_workaround_threshold_time = 500s # Wenn die Mail länger als 500s gequeued ist greifen die Workarounds # Standardmäßig wird der/die Workaround beim ERSTEN zustellversuch # nicht gemacht smtp_pix_workarounds = disable_esmtp,delay_dotcrlf # Das ist die Liste der dann angewendeten Workarounds. # Du kannst dort # smtp_pix_workarounds = delay_dotcrlf # nehmen Aber: Wer betreibt die PIX? Du? Die anderen? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5023 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Tue Jan 17 12:04:22 2023 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 17 Jan 2023 12:04:22 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_PIX_+_Transport-Verschl=c3=b9sselung?= In-Reply-To: References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> Message-ID: Hallo Ralf, Die andren haben eine Cisco Firewall, bei der wohl smtp inspection an ist, soweit bin ich bis jetzt durch. Wenn diese inspection deaktiviert wird, soll es gehen, so ein Partner mit dem ich zusammen arbeite, der auch Cisco Firewalls macht. Grùsse Timm Schneider -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078 u +43 664 4797925 T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 e +39 366 908 0087 F.+43.720.501 078 57 3CX Demo: https://www.tms-itdienst.at/telefonserver Chatten Sie mit mir: https://tmspbx.3cx.at/timm Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm WhatsApp: +43 664 479 7925 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3639 bytes Beschreibung: Firma crittografica S/MIME URL : From Ralf.Hildebrandt at charite.de Tue Jan 17 12:11:13 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 17 Jan 2023 12:11:13 +0100 Subject: [ext] PIX + =?utf-8?Q?Transport-Versch?= =?utf-8?Q?l=C3=B9sselung?= In-Reply-To: References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> Message-ID: * Timm Schneider : > Hallo Ralf, > > Die andren haben eine Cisco Firewall, bei der wohl smtp inspection an ist, > soweit bin ich bis jetzt durch. > Wenn diese inspection deaktiviert wird, soll es gehen, so ein Partner mit > dem ich zusammen arbeite, der auch Cisco Firewalls macht. probier's mal mit: postconf -e "smtp_pix_workarounds = delay_dotcrlf" postfix reload vielleicht reicht das schon! -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5023 bytes Beschreibung: nicht verfügbar URL : From t.schneider at tms-itdienst.at Tue Jan 17 12:19:16 2023 From: t.schneider at tms-itdienst.at (Timm Schneider) Date: Tue, 17 Jan 2023 12:19:16 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_PIX_+_Transport-Verschl=c3=b9sselung?= In-Reply-To: References: <90f76c00-7d22-7488-126f-f649560ef26e@tms-itdienst.at> <4a69dcfc-09f2-0ffd-bb5f-b71256e1505d@tms-itdienst.at> Message-ID: <6db41585-eef8-2090-f4a8-c16fd25715ca@tms-itdienst.at> Hallo Ralf Danke, ja hat geklappt. Jan 17 12:17:46 web postfix/smtp[10505]: 79937440498: enabling PIX workarounds: for mail1.bank.ch[193.135.214.51]:25 Jan 17 12:17:46 web postfix/smtp[10505]: Untrusted TLS connection established to mail1.bank.ch[193.135.214.51]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange ECDHE (P-256) server-signature RSA-PSS (2048 bits) server-digest SHA256 Grùsse Timm -- TMS IT-Dienst Timm Schneider Hinterstadt 2 - Eingang Jungmairgasse 2 4840 Vöcklabruck(VB) Austria T(AT).+43.720.501 078 u +43 664 4797925 T(DE).+49.89.2441 3327 T(CH).+41.32.510 9875 T(IT).+39.030 535 7945 e +39 366 908 0087 F.+43.720.501 078 57 3CX Demo: https://www.tms-itdienst.at/telefonserver Chatten Sie mit mir: https://tmspbx.3cx.at/timm Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm WhatsApp: +43 664 479 7925 -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 3639 bytes Beschreibung: Firma crittografica S/MIME URL : From n.gerhards at ib-gerhards.de Thu Jan 19 13:46:11 2023 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Thu, 19 Jan 2023 13:46:11 +0100 Subject: dns Zonendatei mit SPF, DKIM Message-ID: <03c594d3-6281-a6e6-662d-b4617336f187@ib-gerhards.de> Hallo Liste, ein Kunde besteht darauf, dass ich ihm SPF und DKIM für seinen Mailserver einrichte. Könnte ein Kundiger bitte mal die Syntax für die beiden Einträge checken? Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern, dass er das -all im SPF elegant wieder mit ?all ausgehebelt hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen. Ist dies noch Stand des (SPF-)Wissens? Und bitte: Sagt mir hier nichts über obsolete Spamabwehr, und policyd, rspamd, usw. - Dieser Kunde will genau das! ------------------------------------------------------------- ; BIND data file for domain EXAMPLE.com ; geaendert: ger, 20191105 ; zuletzt: ger, 20230117 ; $ORIGIN EXAMPLE.com. $TTL 86400 @ 86400 IN SOA dns.blackcarboncopy.de. hostmaster.blackcarboncopy.de. ( 2022040409 ; Serial 10800 ; Refresh 3h 3600 ; Retry 1h 604800 ; Expire 7d 3600 ; Negative Cache TTL 1h ) ; IN NS dns.blackcarboncopy.de. IN NS ns0.de.clara.net. IN NS ns1.de.clara.net. ; IN MX 10 remote.EXAMPLE.com. IN MX 10 firewall.EXAMPLE.com. ; ; @ IN A 194.96.237.76 @ IN TXT "v=spf1 a mx a:remote.EXAMPLE.com a:firewall.EXAMPLE.com a:mail.andere-domain.de ip4:214.217.117.147 -all" ; @ selector-2023-01-17-1._domainkey.EXAMPLE.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAp+XP/otp1tMp6f2jLvZYUIfiKc4zcCCmWVco7zyATM7NDiHLhKpVuEfdqaTW1CB4VPnpUzczOjENY +zcVeNYP3lfWvZ8xqQyQMX2Wi/IeGZwPxhVUWfK0EtiJSvnxUqbIdjBH3o2Y/Xpg8yc0h0Oy2sUIxSWW2jV+B+zrKjO+oyyQKw7hEcGQQjP +XKtOU/gZJLLx0rC5bMO53vOcRBM3Ldec8JnklXhb8UA1cMcoylYGkWHWeXjisHhmZnCGvwR6DUqdWNns2e +b62BSgoIvzdHEcvae6bqHhZkasWtXTZHOYFfa3KmDbcI0VkquIzF8N1hAEJPDNp8BI69mx334wIDAQ" ; @ IN LOC 50 48 13.000 N 6 3 27.000 E 173m 1m 10000m 10m ; ; server host definitions localhost IN A 127.0.0.1 www IN A 93.204.43.85 remote IN A 214.217.117.147 firewall IN A 214.217.117.147 ---------------------------------------------------------------------------------------------- Vielen Dank im Voraus, Norbert -- Ingenieurbüro Gerhards Dipl.-Ing. Norbert Gerhards Laurentiusstr. 16-20 52072 Aachen Tel. 0241-91 99 33 00 Mobil 0172-240 66 36 E-Mail n.gerhards at ib-gerhards.de From max.grobecker at ml.grobecker.info Thu Jan 19 16:42:05 2023 From: max.grobecker at ml.grobecker.info (Max Grobecker) Date: Thu, 19 Jan 2023 16:42:05 +0100 Subject: dns Zonendatei mit SPF, DKIM In-Reply-To: <03c594d3-6281-a6e6-662d-b4617336f187@ib-gerhards.de> References: <03c594d3-6281-a6e6-662d-b4617336f187@ib-gerhards.de> Message-ID: <0d88bc98-fc39-d8f4-011f-13dc6f7cd9e2@ml.grobecker.info> Moin, Am 19.01.2023 um 13:46 schrieb Norbert Gerhards: > Könnte ein Kundiger bitte mal die Syntax für die beiden > Einträge checken? Sieht syntaktisch auf den ersten Blick korrekt aus. Es kann - abhängig vom DNS-Server - sein, dass du Semikolon mit Backslash escapen musst, aber das wäre das einzige. Als Tipp: Ich verwende mittlerweile bei neuen Setups Selektoren, die nicht mit dem Datum benannt sind sondern einen fixen Namen haben, der sich später nicht ändern wird. Man kann problemlos mehrere Keys unter dem selben Namen anlegen und so einen Key-Rollover durchführen, indem man ein paar Wochen lang die neuen und alten Schlüssel parallel im DNS lässt. Allerdings hat es den Vorteil, dass man, wenn man weitere Domains oder auch Subdomains mit dem selben Selektor betreiben will, einfach per CNAME auf den statischen Namen verweisen kann. > Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern, > dass er das -all im SPF elegant wieder mit ?all ausgehebelt > hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen. > Ist dies noch Stand des (SPF-)Wissens? Ich benutze gerne "~all" und verwende SPF als reine Whitelist. Neben DKIM habe ich DMARC-Records eingerichtet, um darüber zu steuern was mit unautorisierten Mails passieren soll. Das kann man auch Anfangs sehr gut zum Monitoring nehmen, ob es weitere legitime Server gibt, die der Kunde nicht auf dem Schirm hat. Ein DMARC-Record zum Testen sähe dann z.B. so aus: --------------------------------------------- @ IN TXT "v=DMARC1; p=none; sp=none; pct=100; adkim=r; aspf=r; rua=mailto:dmarc-reports at deinedomain.tld; ri=86400; fo=0:1:d:s;" --------------------------------------------- Du erhältst dann an dmarc-reports at deinedomain.tld E-Mails mit Reports, von welchen IP-Adressen E-Mails unter der Domain empfangen wurden und ob SPF/DKIM gültig war. Darüber kannst du dann später auch die Policy festlegen, was mit unautorisierten E-Mails passieren soll. Das funktioniert deutlich besser als "-all" bei SPF. Wichtig: Die Mailadresse muss unter der selben Domain liegen. Wenn E-Mails an eine Adresse unter einer abweichenden Domain gesendet werden sollen, muss das in der DNS-Zone der Empfängerdomain durch entsprechende Einträge autorisiert werden - für den Anfang wäre es also einfacher, die RUA-Mailadresse unter der selben Domain anzulegen :-) Viele Grüße Max From n.gerhards at ib-gerhards.de Thu Jan 19 17:33:43 2023 From: n.gerhards at ib-gerhards.de (Norbert Gerhards) Date: Thu, 19 Jan 2023 17:33:43 +0100 Subject: dns Zonendatei mit SPF, DKIM In-Reply-To: <0d88bc98-fc39-d8f4-011f-13dc6f7cd9e2@ml.grobecker.info> References: <03c594d3-6281-a6e6-662d-b4617336f187@ib-gerhards.de> <0d88bc98-fc39-d8f4-011f-13dc6f7cd9e2@ml.grobecker.info> Message-ID: <873d135d-e19f-e86c-9c8e-2480935d96ea@ib-gerhards.de> Moin Max, vielen Dank fürs Reinschauen und die zusätzlichen Anregungen und Kommentare. Die Kundensituation ist aus meiner Sicht herausfordernd: Der Mailserver ist ein Exchange on-premises. :-( Der (Master-)Nameserver steht auch beim Kunden und läuft stabil unter debian-8(!) mit einem bind9. Leicht veraltet. ;-/ [Deshalb wollte ich jemand mit Ahnung auf die von mir modifizierte Zonendatei schauen lassen. Ist z. B. das '@' in Zeilen mit 'IN TXT' auch richtig?] Aber: Er hat ne aktuelle SecurePoint Firewall UTM, und die kann für ausgehende Mail DKIM draufpacken. ;-) [Deshalb lasse ich den'selector_mit_Datum' drin, sonst erkennt die UTM ihr eigenes Konstrukt nicht mehr!] Ich bin also bei diesem Kunden fast komplett ausserhalb meiner Linux/Postfix/Dovecot-Komfortzone und muss mich am Machbaren orientieren; also kein SA/Amavis, policyd, rspamd... Und mein Kunde hat genau einen (1) Kunden, der seine Mails nicht annimmt, weil SPF und/oder DKIM fehlten (eine US-Kanzlei). Tja, es gibt schon interessante Aufgaben. Nochmals herzlichen Dank für die Hilfe, Norbert Am 19.01.2023 um 16:42 schrieb Max Grobecker via Postfixbuch-users: > Moin, > > > Am 19.01.2023 um 13:46 schrieb Norbert Gerhards: > >> Könnte ein Kundiger bitte mal die Syntax für die beiden >> Einträge checken? > > Sieht syntaktisch auf den ersten Blick korrekt aus. Es kann - abhängig > vom DNS-Server - sein, dass du Semikolon mit Backslash escapen musst, > aber das wäre das einzige. > > Als Tipp: Ich verwende mittlerweile bei neuen Setups Selektoren, die > nicht mit dem Datum benannt sind sondern einen fixen Namen haben, der > sich später nicht ändern wird. > Man kann problemlos mehrere Keys unter dem selben Namen anlegen und so > einen Key-Rollover durchführen, indem man ein paar Wochen lang die neuen > und alten Schlüssel parallel im DNS lässt. > Allerdings hat es den Vorteil, dass man, wenn man weitere Domains oder > auch Subdomains mit dem selben Selektor betreiben will, einfach per > CNAME auf den statischen Namen verweisen kann. > > >> Und: Ich meine mich aus Peers Postfixbuch dumpf zu erinnern, >> dass er das -all im SPF elegant wieder mit ?all ausgehebelt >> hatte, um Weiterleitungen über andere Provider etc. zu ermöglichen. >> Ist dies noch Stand des (SPF-)Wissens? > > Ich benutze gerne "~all" und verwende SPF als reine Whitelist. > Neben DKIM habe ich DMARC-Records eingerichtet, um darüber zu steuern > was mit unautorisierten Mails passieren soll. > Das kann man auch Anfangs sehr gut zum Monitoring nehmen, ob es weitere > legitime Server gibt, die der Kunde nicht auf dem Schirm hat. > > Ein DMARC-Record zum Testen sähe dann z.B. so aus: > > --------------------------------------------- > @      IN         TXT        "v=DMARC1; p=none; sp=none; pct=100; > adkim=r; aspf=r; rua=mailto:dmarc-reports at deinedomain.tld; ri=86400; > fo=0:1:d:s;" > --------------------------------------------- > > Du erhältst dann an dmarc-reports at deinedomain.tld E-Mails mit Reports, > von welchen IP-Adressen E-Mails unter der Domain empfangen wurden und ob > SPF/DKIM gültig war. > Darüber kannst du dann später auch die Policy festlegen, was mit > unautorisierten E-Mails passieren soll. Das funktioniert deutlich besser > als "-all" bei SPF. > Wichtig: Die Mailadresse muss unter der selben Domain liegen. Wenn > E-Mails an eine Adresse unter einer abweichenden Domain gesendet werden > sollen, muss das in der DNS-Zone der Empfängerdomain durch entsprechende > Einträge autorisiert werden - für den Anfang wäre es also einfacher, die > RUA-Mailadresse unter der selben Domain anzulegen :-) > > > Viele Grüße >  Max From list+postfixbuch at gcore.biz Thu Jan 19 18:37:14 2023 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Thu, 19 Jan 2023 18:37:14 +0100 Subject: dns Zonendatei mit SPF, DKIM In-Reply-To: <873d135d-e19f-e86c-9c8e-2480935d96ea@ib-gerhards.de> References: <03c594d3-6281-a6e6-662d-b4617336f187@ib-gerhards.de> <0d88bc98-fc39-d8f4-011f-13dc6f7cd9e2@ml.grobecker.info> <873d135d-e19f-e86c-9c8e-2480935d96ea@ib-gerhards.de> Message-ID: <5B35ECC0-9F16-4F5B-96BF-A6D1835D6A6F@gcore.biz> > Ist z. B. das '@' in Zeilen mit 'IN TXT' auch richtig?] Prüfe von Extern mit dig ob dir die richtigen Daten zurückgeliefert werden, z.B. dig @namserver-ip example.com axfr (falls deine IP dafür freigeschalten ist) dig @namserver-ip example.com txt ; BIND data file for domain EXAMPLE.com ; geaendert: ger, 20191105 ; zuletzt: ger, 20230117 ; $ORIGIN EXAMPLE.com . $TTL 86400 @ 86400 IN SOA dns.blackcarboncopy.de . hostmaster.blackcarboncopy.de . ( [...] @ IN A 194.96.237.76 @ IN TXT "v=spf1 a mx a:remote.EXAMPLE.com a:firewall.EXAMPLE.com a:mail.andere-domain.de ip4:214.217.117.147 -all" Generell bezieht sich das @ auf $ORIGIN, also example.com. Der Eintrag @ IN A 194.96.237.76 ist gleichzusetzen mit example.com. IN A 194.96.237.76 Weil example.com. mit einem Punkt endet wird $ORIGIN nicht automatisch angefügt, andernfalls schon. Ein korrekter Eintrag lautet z.B. www.example.com. IN A 194.96.237.76 man kann aber auch einfach www IN A 194.96.237.76 schreiben - da kein Punkt nach www kommt wird $ORIGIN/@ (= example.com.) angehängt. Zusammengefasst: das @ zu Beginn der TXT Zeile schadet in diesem Fall nicht, es ist aber unnötig. Wenn Du es genauer wissen willst google nach "$ORIGIN defines a base name". Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sebastian at debianfan.de Sat Jan 21 22:39:29 2023 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 21 Jan 2023 22:39:29 +0100 Subject: =?UTF-8?Q?DKIM_Signatur_=26_DNS-Eintr=c3=a4ge_f=c3=bcr_mehrere_Doma?= =?UTF-8?Q?ins?= Message-ID: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> Moin, ich habe einen Mailserver - der Hostname lautet mail.meinserver.org Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit dieser elend langen Zeichenkette. Wenn der Mailserver auch für andere Domains z.B. @meier.de oder @mueller.com zuständig sein soll, muss ich dann auch 2023._domainkey.meier.de und 2023._domainkey.mueller.com die gleiche elend lange Zeichenkette eintragen? Der mx von mueller.com und meier.de ist ja mail.meinserver.org. Die Doku's zu DKIM waren hier nicht sonderlich aussagekräftig :( gruß Sebastian From harald.witt at dpfa.de Sun Jan 22 10:31:19 2023 From: harald.witt at dpfa.de (harald.witt at dpfa.de) Date: Sun, 22 Jan 2023 10:31:19 +0100 Subject: =?utf-8?Q?AW:_DKIM_Signatur_&_DNS-Eintr=C3=A4ge?= =?utf-8?Q?_f=C3=BCr_mehrere_Domains?= In-Reply-To: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> References: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> Message-ID: <002001d92e44$49bac110$dd304330$@dpfa.de> Also wenn ich es richtig verstanden habe prüft der empfangende Mailserver die Domain des Absenders und nicht die des Mx'ers. Die Domain selbst ist in der in den Schlüsseln nicht enthalten, sodass du für mehrere Domains die gleichen Schlüssel verwenden kannst. Du musst sie aber bei allen Domains eintragen. Der Selektor (Standard: dkim, bei dir: 2023) ist aber meines Wissens im Schlüssel mit drin, muss dann also bei allen Domains gleich sein. Gruß Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von sebastian--- via Postfixbuch-users Gesendet: Samstag, 21. Januar 2023 22:39 An: Diskussionen und Support rund um Postfix Cc: sebastian at debianfan.de Betreff: DKIM Signatur & DNS-Einträge für mehrere Domains Moin, ich habe einen Mailserver - der Hostname lautet mail.meinserver.org Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit dieser elend langen Zeichenkette. Wenn der Mailserver auch für andere Domains z.B. @meier.de oder @mueller.com zuständig sein soll, muss ich dann auch 2023._domainkey.meier.de und 2023._domainkey.mueller.com die gleiche elend lange Zeichenkette eintragen? Der mx von mueller.com und meier.de ist ja mail.meinserver.org. Die Doku's zu DKIM waren hier nicht sonderlich aussagekräftig :( gruß Sebastian From ronny at seffner.de Sun Jan 22 15:07:36 2023 From: ronny at seffner.de (ronny at seffner.de) Date: Sun, 22 Jan 2023 15:07:36 +0100 Subject: =?utf-8?Q?AW:_DKIM_Signatur_&_DNS-Eintr=C3=A4ge?= =?utf-8?Q?_f=C3=BCr_mehrere_Domains?= In-Reply-To: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> References: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> Message-ID: <019f01d92e6a$e6f9ec50$b4edc4f0$@seffner.de> > Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit > dieser elend langen Zeichenkette. > Wenn Du nicht mit *@mail.meinserver.org versenden willst, ist das unnötig. Du musst den Key für die Absenderdomain hinterlegen, nicht für den Mailserver-Hostnamen. > 2023._domainkey.meier.de > und > 2023._domainkey.mueller.com > > die gleiche elend lange Zeichenkette eintragen? > Kann gleich, kann unterschiedlich, auch nur eine Domain mit DKIM und die andere ohne ist denkbar. Mit freundlichen Grüßen / Kind regards Ronny Seffner From mittelstaedt-postfixbuch-users-list at monster-box.de Mon Jan 23 08:47:36 2023 From: mittelstaedt-postfixbuch-users-list at monster-box.de (Tom =?ISO-8859-1?Q?Mittelst=E4dt?=) Date: Mon, 23 Jan 2023 08:47:36 +0100 Subject: DKIM Signatur & =?UTF-8?B?RE5TLUVpbnRyw6RnZSBmw7xy?= mehrere Domains In-Reply-To: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> References: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> Message-ID: <10218282.nUPlyArG6x@tweety.monster-box.de> Hallo Sebastian, Am Samstag, 21. Januar 2023, 22:39:29 CET schrieb sebastian--- via Postfixbuch-users: > ich habe einen Mailserver - der Hostname lautet mail.meinserver.org > > Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit > dieser elend langen Zeichenkette. > > Wenn der Mailserver auch für andere Domains z.B. @meier.de oder > @mueller.com zuständig sein soll, muss ich dann auch > > 2023._domainkey.meier.de > und > 2023._domainkey.mueller.com > > die gleiche elend lange Zeichenkette eintragen? Nein, musst Du nicht. Dein DKIM-Signer erstellt ja die Signatur, und muss da reinschreiben, wo man seinen öffentlichen Schlüssel abhohlen kann. Das wäre also sowohl bei @meier.de oder @mueller.com in der Signatur dann irgendwas wie (für Dein oben genanntes Beispiel): DKIM-Signature: (...); d=mail.meinserver.org; s=2023; (...) "d=" ist der Signing Domain Identifier (SDID), "s=" der Selector Das validierende System schaut dann einfach bei 2023._domainkey.mail.meinserver.org nach dem Pubkey. https://www.rfc-editor.org/rfc/rfc6376#section-3.5 > d= The SDID claiming responsibility for an introduction of a message > into the mail stream (plain-text; REQUIRED). Hence, the SDID > value is used to form the query for the public key. -- Viele Grüße Tom From florian at bodici.de Mon Jan 23 09:09:22 2023 From: florian at bodici.de (Florian) Date: Mon, 23 Jan 2023 09:09:22 +0100 Subject: =?UTF-8?Q?Re=3a_DKIM_Signatur_=26_DNS-Eintr=c3=a4ge_f=c3=bcr_mehrer?= =?UTF-8?Q?e_Domains?= In-Reply-To: <10218282.nUPlyArG6x@tweety.monster-box.de> References: <795ec94e-f626-7402-f978-d15e0853322a@debianfan.de> <10218282.nUPlyArG6x@tweety.monster-box.de> Message-ID: <0a1f1087-2d41-9827-ea01-a4c89289726c@bodici.de> Hallo Sebastian, jetzt gibt es einige unterschiedliche Stimmen, aber im Prinzip warst du schon auf der richtigen Fährte. Es ist zwar richtig, dass die signierende Domain im d= Tag technisch gesehen von der FROM abweichen darf, jedoch sollte man das unbedingt vermeiden. Eine Fremdsignatur erhöht nämlich nicht deine Glaubwürdigkeit als Absender. DMARC erwartet beispielsweise ebenfalls eine "aligned" DKIM Signatur (also eine Signatur von der gleichen Domain), um gültig zu testen. Im Prinzip hast du recht, der elend lange RSA Key muss für jede verwendete FROM nach dem Muster ._domainkey. eingetragen werden. Wenn du den gleichen Key für mehrere Domains verwendest, kannst du mit CNAMES ein klein wenig abkürzen. Das hilft Dir insbesondere beim regelmäßigen Schlüsseltausch (Key rotation) und vielen Domains. PS: Wenn du kürzere Keys willst, wär ED25519 vielleicht was für dich!? Aktuell würde ich aber nur empfehlen, es parallel zu RSA einzusetzen. Ein Howto für Rspamd und Postfix habe ich mal hier geschrieben: https://bodici.de/double-dkim-signing-mit-rsa-und-ed25519-im-postfix-via-rspamd-einrichten Viele Grüße Florian Vierke mobile: +49 177 8079538 Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April? Am 23.01.2023 um 08:47 schrieb Tom Mittelstädt via Postfixbuch-users: > Hallo Sebastian, > > Am Samstag, 21. Januar 2023, 22:39:29 CET schrieb sebastian--- via > Postfixbuch-users: >> ich habe einen Mailserver - der Hostname lautet mail.meinserver.org >> >> Ich erstelle also einen DKIM 2023._domainkey.mail.meinserver.org mit >> dieser elend langen Zeichenkette. >> >> Wenn der Mailserver auch für andere Domains z.B. @meier.de oder >> @mueller.com zuständig sein soll, muss ich dann auch >> >> 2023._domainkey.meier.de >> und >> 2023._domainkey.mueller.com >> >> die gleiche elend lange Zeichenkette eintragen? > Nein, musst Du nicht. Dein DKIM-Signer erstellt ja die Signatur, und muss da > reinschreiben, wo man seinen öffentlichen Schlüssel abhohlen kann. > Das wäre also sowohl bei @meier.de oder @mueller.com in der Signatur dann > irgendwas wie (für Dein oben genanntes Beispiel): > > DKIM-Signature: (...); d=mail.meinserver.org; s=2023; (...) > > "d=" ist der Signing Domain Identifier (SDID), "s=" der Selector > > Das validierende System schaut dann einfach bei > 2023._domainkey.mail.meinserver.org nach dem Pubkey. > > https://www.rfc-editor.org/rfc/rfc6376#section-3.5 >> d= The SDID claiming responsibility for an introduction of a message >> into the mail stream (plain-text; REQUIRED). Hence, the SDID >> value is used to form the query for the public key. > >