From ml-pbu at syntaxys.de Sun Oct 15 09:16:14 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sun, 15 Oct 2023 09:16:14 +0200 Subject: Hook nach reject Message-ID: Hallo Liste, ich möchte Postfix dazu bringen, nach einem fehlerhaften SASL Login ein externes Script aufzurufen. Wie kann ich das triggern? Vielen Dank für Eure Hilfe, schöne Grüße Achim -- Wietse, I am so grateful. From Ralf.Hildebrandt at charite.de Mon Oct 16 08:29:52 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 16 Oct 2023 08:29:52 +0200 Subject: [ext] Hook nach reject In-Reply-To: References: Message-ID: * Achim Lammerts via Postfixbuch-users : > Hallo Liste, > > ich möchte Postfix dazu bringen, nach einem fehlerhaften SASL Login ein > externes Script aufzurufen. Wie kann ich das triggern? Ich würde das mit fail2ban machen -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ml-pbu at syntaxys.de Mon Oct 16 10:09:07 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 16 Oct 2023 10:09:07 +0200 Subject: [ext] Hook nach reject In-Reply-To: References: Message-ID: Das habe ich schon so am Laufen, es wäre trotzdem praktisch, wenn das direkt aus Postfix heraus machbar wäre. Ich würde gerne die IPs mal in einer DB sammeln und auswerten. Mit ? smtps inet n - y - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_security_level=encrypt -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_tls_auth_only=yes ? -o content_filter=myhook:dummy ? lässt sich ja ein Hook triggern, aber in diesem Fall ja erst nach Einlieferung der E-Mail. Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin schon dazu übergegangen, ganze ASNs nach null zu routen, um das einzudämmen. Eine Lösung wäre, auf den Standard-Port zu verzichten. Das wäre einfach zu realisieren, aber die Einstellungen in den Clients müssten geändert werden. Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte Clients anzubieten. Bekommt man das hin? Welche Strategie könnte man sonst noch verfolgen? Danke! LG/A Am 16.10.23 um 08:29 schrieb Ralf Hildebrandt via Postfixbuch-users: > * Achim Lammerts via Postfixbuch-users : >> Hallo Liste, >> >> ich möchte Postfix dazu bringen, nach einem fehlerhaften SASL Login ein >> externes Script aufzurufen. Wie kann ich das triggern? > > Ich würde das mit fail2ban machen > -- Wietse, I am so grateful. From bbu at mailbox.org Mon Oct 16 12:11:15 2023 From: bbu at mailbox.org (Bjoern Buerger) Date: Mon, 16 Oct 2023 12:11:15 +0200 Subject: [ext] Hook nach reject In-Reply-To: References: Message-ID: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote: > Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin > schon dazu übergegangen, ganze ASNs nach null zu routen, um das > einzudämmen. Ich habe mich auch schon gefragt, was dafür eine schöne Lösung wäre. fail2ban erscheint mir mittlerweise zu ungepflegt. Seit wir mit dem fail2ban ipv6 Support massive Probleme hatten, habe ich das überall rausgenommen, aber seither noch keine schöne Alternative gefunden. Die Zugriffe kommen in kurzen, schnellen, Salven und dann wird die IP gewechselt. Ich nullroute den Kram momentan vorallem, um etwas mehr Ruhe in die Logs zu bekommen. Die ca. 6k IPs der letzten Wochen kommen fast ausschließlich aus .cn und sobald die Reaktionszeit über 3 Sekunden geht, nimmt der Nutzen Rapide ab. Dummerweise können wir nicht einfach pauschal die kompletten Subnetze / ASe nullrouten, weil wir Produktiontraffic aus der selben Richtung haben. Das ist mir zu heiss. > Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte > Clients anzubieten. Bekommt man das hin? > Welche Strategie könnte man sonst noch verfolgen? "Sowas wie fail2ban in modern" wäre eigentlich ideal LG, Bjørn From RayMatrix at web.de Mon Oct 16 12:56:00 2023 From: RayMatrix at web.de (RayMatrix at web.de) Date: Mon, 16 Oct 2023 12:56:00 +0200 Subject: Aw: Re: [ext] Hook nach reject In-Reply-To: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> References: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ml-pbu at syntaxys.de Tue Oct 17 08:29:21 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 17 Oct 2023 08:29:21 +0200 Subject: [ext] Hook nach reject In-Reply-To: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> References: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> Message-ID: Mir wäre es recht, wenn man das direkt mit Postfix steuern könnte, ohne f2b bemühen zu müssen. Ich würde gerne AUTH an 465/587 z. B. mit einer PubkeyAuthentication weiter absichern, so wie man das beim sshd realisieren kann. Geht das, und wie? Gut funktioniert z. B. sicher auch, AUTH nur an einer IPv6 anzubieten. Diese Adressbereiche werden weniger gescant und beim sshd habe ich mit diesem Konzept seither mehr Ruhe. Beides würde jedoch Änderungen bei den MUAs nach sich ziehen. Die meisten AUTH requests habe ich von clients ohne PTR record. Diese kann man pauschal auch an den AUTH Ports abweisen, das reduziert den Traffic spürbar: smtps inet n - y - - smtpd -o syslog_name=postfix/smtps -o smtpd_helo_required=yes -o smtpd_helo_restrictions=reject_unknown_helo_hostname ? Gibt's eine Möglichkeit, per Firewall jegliche Clients ohne PTR record abzuweisen? Zwar macht iptables reverse lookups, aber IPs bei NULL-Wert automatisch damit zu blocken, funktioniert nicht, oder? Ich habe dazu nichts gefunden. Den Traffic am Standardport mit Whitelisting zu reduzieren bekommt man wohl besser über die Firewall hin. Man könnte die relevanten Adressbereiche in ein IPset laden, für das die AUTH ports geöffnet sind. Bekommt man zuverlässige Listen über den Adressbereich von z. B. der Telekom? Am 16.10.23 um 12:11 schrieb Bjoern Buerger via Postfixbuch-users: > On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote: >> Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin >> schon dazu übergegangen, ganze ASNs nach null zu routen, um das >> einzudämmen. > > Ich habe mich auch schon gefragt, was dafür eine schöne > Lösung wäre. fail2ban erscheint mir mittlerweise zu > ungepflegt. Seit wir mit dem fail2ban ipv6 Support > massive Probleme hatten, habe ich das überall rausgenommen, > aber seither noch keine schöne Alternative gefunden. > > Die Zugriffe kommen in kurzen, schnellen, Salven > und dann wird die IP gewechselt. Ich nullroute den > Kram momentan vorallem, um etwas mehr Ruhe in die > Logs zu bekommen. Die ca. 6k IPs der letzten > Wochen kommen fast ausschließlich aus .cn und sobald die > Reaktionszeit über 3 Sekunden geht, nimmt der Nutzen > Rapide ab. > > Dummerweise können wir nicht einfach pauschal die kompletten > Subnetze / ASe nullrouten, weil wir Produktiontraffic aus der > selben Richtung haben. Das ist mir zu heiss. > >> Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte >> Clients anzubieten. Bekommt man das hin? >> Welche Strategie könnte man sonst noch verfolgen? > > "Sowas wie fail2ban in modern" wäre eigentlich ideal > > LG, > Bjørn -- Wietse, I am so grateful. From daniel at mail24.vip Tue Oct 17 08:54:38 2023 From: daniel at mail24.vip (Daniel) Date: Tue, 17 Oct 2023 08:54:38 +0200 Subject: AW: [ext] Hook nach reject In-Reply-To: References: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> Message-ID: <001101da00c6$cbbd0ce0$633726a0$@mail24.vip> Verwende doch DNSWL bzw. Absusix https://www.dnswl.org/?page_id=15 https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/production-zones/iCox1CE9UoWUhGtRWdSaNm#dnswl-list Absuix ist guter Dienst, liefert mehr als Spamhaus, und filtert noch so einiges Weg in DNSBL. Unter 5000 Abfragen kostenlos, reicht für kleine Server bzw. Büros mit Hand voll Mitarbeitern. Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Achim Lammerts via Postfixbuch-users Gesendet: Dienstag, 17. Oktober 2023 08:29 An: postfixbuch-users at listen.jpberlin.de Cc: Achim Lammerts Betreff: Re: [ext] Hook nach reject Mir wäre es recht, wenn man das direkt mit Postfix steuern könnte, ohne f2b bemühen zu müssen. Ich würde gerne AUTH an 465/587 z. B. mit einer PubkeyAuthentication weiter absichern, so wie man das beim sshd realisieren kann. Geht das, und wie? Gut funktioniert z. B. sicher auch, AUTH nur an einer IPv6 anzubieten. Diese Adressbereiche werden weniger gescant und beim sshd habe ich mit diesem Konzept seither mehr Ruhe. Beides würde jedoch Änderungen bei den MUAs nach sich ziehen. Die meisten AUTH requests habe ich von clients ohne PTR record. Diese kann man pauschal auch an den AUTH Ports abweisen, das reduziert den Traffic spürbar: smtps inet n - y - - smtpd -o syslog_name=postfix/smtps -o smtpd_helo_required=yes -o smtpd_helo_restrictions=reject_unknown_helo_hostname ? Gibt's eine Möglichkeit, per Firewall jegliche Clients ohne PTR record abzuweisen? Zwar macht iptables reverse lookups, aber IPs bei NULL-Wert automatisch damit zu blocken, funktioniert nicht, oder? Ich habe dazu nichts gefunden. Den Traffic am Standardport mit Whitelisting zu reduzieren bekommt man wohl besser über die Firewall hin. Man könnte die relevanten Adressbereiche in ein IPset laden, für das die AUTH ports geöffnet sind. Bekommt man zuverlässige Listen über den Adressbereich von z. B. der Telekom? Am 16.10.23 um 12:11 schrieb Bjoern Buerger via Postfixbuch-users: > On 16.10.23 10:09, Achim Lammerts via Postfixbuch-users wrote: >> Ich habe seit einiger Zeit täglich eine Flut an AUTH requests und bin >> schon dazu übergegangen, ganze ASNs nach null zu routen, um das >> einzudämmen. > > Ich habe mich auch schon gefragt, was dafür eine schöne Lösung wäre. > fail2ban erscheint mir mittlerweise zu ungepflegt. Seit wir mit dem > fail2ban ipv6 Support massive Probleme hatten, habe ich das überall > rausgenommen, aber seither noch keine schöne Alternative gefunden. > > Die Zugriffe kommen in kurzen, schnellen, Salven und dann wird die IP > gewechselt. Ich nullroute den Kram momentan vorallem, um etwas mehr > Ruhe in die Logs zu bekommen. Die ca. 6k IPs der letzten Wochen kommen > fast ausschließlich aus .cn und sobald die Reaktionszeit über 3 > Sekunden geht, nimmt der Nutzen Rapide ab. > > Dummerweise können wir nicht einfach pauschal die kompletten Subnetze > / ASe nullrouten, weil wir Produktiontraffic aus der selben Richtung > haben. Das ist mir zu heiss. > >> Eine bessere Lösung wäre, AUTH nur per Whitelisting für bestimmte >> Clients anzubieten. Bekommt man das hin? >> Welche Strategie könnte man sonst noch verfolgen? > > "Sowas wie fail2ban in modern" wäre eigentlich ideal > > LG, > Bjørn -- Wietse, I am so grateful. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From michael at linuxfox.de Tue Oct 17 08:44:24 2023 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 17 Oct 2023 08:44:24 +0200 Subject: [ext] Hook nach reject In-Reply-To: References: <9d100421-f8fb-4299-b14b-04039c180ada@mailbox.org> Message-ID: Am 17.10.23 um 08:29 schrieb Achim Lammerts via Postfixbuch-users: > smtps     inet  n       -       y       -       -       smtpd >   -o syslog_name=postfix/smtps >   -o smtpd_helo_required=yes >   -o smtpd_helo_restrictions=reject_unknown_helo_hostname >   ? schau dir die non_fqdn an, die es gibt > Bekommt man zuverlässige Listen über den Adressbereich von z. B. der > Telekom? Das kannst du komplett vergessen - ein /27 Netz von der Telekom bekommen, stand bei denen in der DSL-Liste - ist lustig, wenn in dem /27 ein Postfix läuft und irgendjemand sich der Liste bedient, die nicht gepflegt ist -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From atann at alphasrv.net Wed Oct 18 21:15:14 2023 From: atann at alphasrv.net (Andre Tann) Date: Wed, 18 Oct 2023 21:15:14 +0200 Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab Message-ID: Servus zusammen, ich habe mal wieder ein Problem mit GMX/Web.de. Mails werden abgelehnt mit: === snip Aufgrund eines ungewöhnlich hohen E-Mail Verkehrs und einer fehlenden Signierung Ihrer E-Mails per DKIM, wurde die Annahme Ihrer E-Mails temporär abgelehnt. === snip Soweit ich sehen kann haben die Mails aber eine gültige Signatur, und das bestätigt zB https://www.appmaildev.com/en/dkim. Ich habe von allen betroffenen Domains eine Testmail dorthin geschickt, und immer ist das Ergebnis - SPF Pass - DKIM Pass - DMARC Pass - DomainKey None - PTR ExistsRecord - RBL NotListed Meine IP ist nicht neu, die gibts seit Jahren. Die DKIM Signing Domain ist dieselbe wie die from-Domain, wie (hoffentlich) auch bei dieser Mail. Ich könnte also eigentlich auch vollständiges Strict-Alignment einstellen, habe allerdings im Moment Relaxed-Alignment eingestellt. Hat jemand eine Idee, was falsch sein könnte? Oder wie ich GMX/Web.de dazu bringe, die Mails anzunehmen? Ratlose Grüße Andre -- Andre Tann From atann at alphasrv.net Wed Oct 18 22:12:00 2023 From: atann at alphasrv.net (Andre Tann) Date: Wed, 18 Oct 2023 22:12:00 +0200 Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: References: Message-ID: On 18.10.23 21:15, Andre Tann via Postfixbuch-users wrote: > ich habe mal wieder ein Problem mit GMX/Web.de. Mails werden abgelehnt mit: Hmpf. Wie es aussieht sind die Mails, die GMX nicht annimmt, tatsächlich nicht signiert. Das zumindest entnehme ich den Logs. Erst seit ich den opendkim bei meinen Tests neu gestartet habe, kriege ich wieder Zeilen mit "DKIM-Signature field added". Mir war nicht aufgefallen, daß das nicht funktioniert hat, weil der Mailverkehr trotzdem reibungslos gelaufen ist. Daher jetzt neue Frage: Wie kriege ich eine DKIM-Signatur an die Mails, die im Moment in der Queue herumsimmern? Das sind hunderte, und ich möchte ungern die User mit Neuversand behelligen. -- Andre Tann From klaus at tachtler.net Wed Oct 18 23:04:29 2023 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 18 Oct 2023 23:04:29 +0200 (GMT+02:00) Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: References: Message-ID: Hallo Andre, hast Du einen zweiten MX'er, den Du als relay verwenden kannst, um dort zu signieren? Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Andre Tann via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Andre Tann Datum: 18.10.2023 22:12:15 Betreff: Re: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab > On 18.10.23 21:15, Andre Tann via Postfixbuch-users wrote: > >> ich habe mal wieder ein Problem mit GMX/Web.de. Mails werden abgelehnt mit: > > Hmpf. > > Wie es aussieht sind die Mails, die GMX nicht annimmt, tatsächlich nicht signiert. Das zumindest entnehme ich den Logs. Erst seit ich den opendkim bei meinen Tests neu gestartet habe, kriege ich wieder Zeilen mit "DKIM-Signature field added". > > Mir war nicht aufgefallen, daß das nicht funktioniert hat, weil der Mailverkehr trotzdem reibungslos gelaufen ist. > > Daher jetzt neue Frage: > Wie kriege ich eine DKIM-Signatur an die Mails, die im Moment in der Queue herumsimmern? Das sind hunderte, und ich möchte ungern die User mit Neuversand behelligen. > > > -- > Andre Tann -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From klaus at tachtler.net Wed Oct 18 23:23:11 2023 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 18 Oct 2023 23:23:11 +0200 (GMT+02:00) Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: References: Message-ID: <768c74e2-1b49-4b02-b110-db22150fe4e1@tachtler.net> Hallo Andre, so etwas wie nachfolgendes Setup MX1 -? transport -? MX2 -? GMX usw. mit: You can set in the transport file */etc/postfix/transport* a line like this: ** smtp:[new_server_dns_or_ip]* Then do: *postmap /etc/postfix/transport* Then do *postfix reload* to load changes. Then flush the queue with: *postqueue -f* Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Klaus Tachtler via Postfixbuch-users An: Diskussionen und Support rund um Postfix Kopie: Klaus Tachtler Datum: 18.10.2023 23:10:20 Betreff: Re: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab > Hallo Andre, > > hast Du einen zweiten MX'er, den Du als relay verwenden kannst, um dort zu signieren? > > > Grüße > Klaus. > > -- > Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. > > Von: Andre Tann via Postfixbuch-users > An: postfixbuch-users at listen.jpberlin.de > Kopie: Andre Tann > Datum: 18.10.2023 22:12:15 > Betreff: Re: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab > >> On 18.10.23 21:15, Andre Tann via Postfixbuch-users wrote: >> >>> ich habe mal wieder ein Problem mit GMX/Web.de. Mails werden abgelehnt mit: >> >> Hmpf. >> >> Wie es aussieht sind die Mails, die GMX nicht annimmt, tatsächlich nicht signiert. Das zumindest entnehme ich den Logs. Erst seit ich den opendkim bei meinen Tests neu gestartet habe, kriege ich wieder Zeilen mit "DKIM-Signature field added". >> >> Mir war nicht aufgefallen, daß das nicht funktioniert hat, weil der Mailverkehr trotzdem reibungslos gelaufen ist. >> >> Daher jetzt neue Frage: >> Wie kriege ich eine DKIM-Signatur an die Mails, die im Moment in der Queue herumsimmern? Das sind hunderte, und ich möchte ungern die User mit Neuversand behelligen. >> >> >> -- >> Andre Tann > > -- > > --------------------------------------- > e-Mail  : klaus at tachtler.net > Homepage: https://www.tachtler.net > DokuWiki: https://dokuwiki.tachtler.net > --------------------------------------- -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From christian at bricart.de Wed Oct 18 23:23:01 2023 From: christian at bricart.de (Christian Bricart) Date: Wed, 18 Oct 2023 23:23:01 +0200 Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: References: Message-ID: <6b521b3e-bc7e-4b71-9b33-d08f2789a5fb@bricart.de> Am 18.10.23 um 22:12 schrieb Andre Tann via Postfixbuch-users: > [?] > Daher jetzt neue Frage: > Wie kriege ich eine DKIM-Signatur an die Mails, die im Moment in der > Queue herumsimmern? Das sind hunderte, und ich möchte ungern die User > mit Neuversand behelligen. /subscribe ;-) das Problem ist, dass ein re-queue (aka: postsuper -r ALL) *explizit* eben keinen neuen milter mehr macht (steht auch so in der man-page). also ich hab genau das ein paar Mal (genau aus deinem selben Grund ;-) ) einzeln per: # postcat -q 4S8? > foo.smtp # postsuper -d 4S8? # (die schon eingefügten Header vom rspamd aus foo.smtp interaktiv mit dem Editor rausgelöscht?) # sendmail -t < foo.smtp hat prinzipiell ganz gut geklappt - allerdings stimmt natürlich der Return-Path nicht mehr dabei. Hab ich aber einfach mal vernachlässigt, weil ich nicht von Bounces dieser Mails ausgegangen bin :) Christian From atann at alphasrv.net Thu Oct 19 09:56:22 2023 From: atann at alphasrv.net (Andre Tann) Date: Thu, 19 Oct 2023 09:56:22 +0200 Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: <6b521b3e-bc7e-4b71-9b33-d08f2789a5fb@bricart.de> References: <6b521b3e-bc7e-4b71-9b33-d08f2789a5fb@bricart.de> Message-ID: <790f1faf-fe5e-4113-90e4-76774b8f96fb@localhost> Moin, On 18.10.23 23:23, Christian Bricart via Postfixbuch-users wrote: > also ich hab genau das ein paar Mal (genau aus deinem selben Grund ;-) ) > einzeln per: > > # postcat -q 4S8? > foo.smtp > # postsuper -d 4S8? > # (die schon eingefügten Header vom rspamd aus foo.smtp interaktiv mit > dem Editor rausgelöscht?) > # sendmail -t < foo.smtp > > hat prinzipiell ganz gut geklappt - allerdings stimmt natürlich der > Return-Path nicht mehr dabei. Hab ich aber einfach mal vernachlässigt, > weil ich nicht von Bounces dieser Mails ausgegangen bin :) Das klingt ja nach einer einer Lösung, die man skripten könnte ;) Und ist mir lieber als die zweite Instanz aufzusetzen, die hab ich nicht so leicht parat. Ich probier das mal und gebe Bescheid, obs geklappt hat. -- Andre Tann From ml-pbu at syntaxys.de Thu Oct 19 10:25:37 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 19 Oct 2023 10:25:37 +0200 Subject: =?UTF-8?Q?Eine_kleine_Geschichte_=e2=80=a6?= Message-ID: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> ? wie man sich scheinbar mit einer einzigen E-Mail die Reputation bei Microsoft versaut: Gestern war mir aufgefallen, daß E-Mails an Hotmail nicht mehr angenommen werden. Nach einem ersten cholerischen Anfall konnte ich wieder etwas klarer denken und habe mir die DMARC Reporte angesehen, die ich von Microsoft geschickt bekomme. Es ist immer eine gute Idee, das Reporting zu aktivieren. Tatsächlich gab es vor ein paar Tagen einen Quarantänefall durch meinen Server bei einem Absender, der die Infrastruktur von M$ nutzt. Die Ursache war 1 (!) schlichte ?sender delivery status notification? mit leerem FROM, ? Oct 13 12:57:46 mx postfix/bounce[127201]: 6F7B27D02F: sender delivery status notification: 5E3107D136 Oct 13 12:57:46 mx postfix/qmgr[2188]: 5E3107D136: from=<>, size=11213, nrcpt=1 (queue active) Oct 13 12:57:46 mx postfix/qmgr[2188]: 6F7B27D02F: removed Oct 13 12:57:47 mx postfix/smtp[127203]: 5E3107D136: to=, relay=domain-tld01i.mail.protection.outlook.com[52.101.73.30]:25, delay=0.9, delays=0/0/0.17/0.72, dsn=2.6.0, status=sent (250 2.6.0 <20231013105746.5E3107D136 at mx.syntaxys.de> [InternalId=15934328691445, Hostname=BE1P281MB3365.DEUP281.PROD.OUTLOOK.COM] 20392 bytes in 0.117, 170.108 KB/sec Queued mail for delivery) Oct 13 12:57:47 mx postfix/qmgr[2188]: 5E3107D136: removed ? die nicht DKIM signiert wurde und meine restriktive DMARC-Konfiguration: _dmarc IN TXT "v=DMARC1; p=quarantine; sp=reject; rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;" Ich frage mich nun, wie ich das Problem lösen kann, ohne die DMARC-Einstellungen aufzuweichen. Und die DKIM-Signierung übernimmt bei mir der rspamd, aber die bounces / sender delivery status notification werden ja nicht gemiltert. Wie kann ich die Standardeinstellung (Mail Delivery System ) beim FROM der bounces / sender delivery status notification setzen? Bekomme ich es hin, daß Postfix grundsätzlich alles durch den Milter schickt? Dann wären auch die mit DKIM signiert. Sollte ich DMARC für die Hauptdomain besser so setzen? _dmarc IN TXT "v=DMARC1; p=quarantine; sp=none; rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;" und für den mx: _dmarc.mx IN TXT "v=DMARC1; p=reject; rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; fo=0; aspf=r; pct=100; rf=afrf; ri=86400;" Danke für die Hilfe, LG/A -- Wietse, I am so grateful. From florian at bodici.de Thu Oct 19 10:36:18 2023 From: florian at bodici.de (Florian) Date: Thu, 19 Oct 2023 10:36:18 +0200 Subject: =?UTF-8?Q?Re=3A_Eine_kleine_Geschichte_=E2=80=A6?= In-Reply-To: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> Message-ID: <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> Hallo Achim, wenn dein FROM leer war, welche DMARC Konfiguration soll denn dann gegriffen haben? Es geht doch immer genau um die DMARC Konfiguration der Domain, die im From verwendet wurde. Oder hab ich was falsch verstanden? VG, Florian Vierke mobile: +49 177 8079538 Motto des Monats: n/a Am 19.10.2023 um 10:25 schrieb Achim Lammerts via Postfixbuch-users: > ? wie man sich scheinbar mit einer einzigen E-Mail die Reputation bei > Microsoft versaut: > > Gestern war mir aufgefallen, daß E-Mails an Hotmail nicht mehr > angenommen werden. Nach einem ersten cholerischen Anfall konnte ich > wieder etwas klarer denken und habe mir die DMARC Reporte angesehen, > die ich von Microsoft geschickt bekomme. Es ist immer eine gute Idee, > das Reporting zu aktivieren. Tatsächlich gab es vor ein paar Tagen > einen Quarantänefall durch meinen Server bei einem Absender, der die > Infrastruktur von M$ nutzt. > Die Ursache war 1 (!) schlichte ?sender delivery status notification? > mit leerem FROM, ? > > Oct 13 12:57:46 mx postfix/bounce[127201]: 6F7B27D02F: sender delivery > status notification: 5E3107D136 > Oct 13 12:57:46 mx postfix/qmgr[2188]: 5E3107D136: from=<>, > size=11213, nrcpt=1 (queue active) > Oct 13 12:57:46 mx postfix/qmgr[2188]: 6F7B27D02F: removed > Oct 13 12:57:47 mx postfix/smtp[127203]: 5E3107D136: > to=, > relay=domain-tld01i.mail.protection.outlook.com[52.101.73.30]:25, > delay=0.9, delays=0/0/0.17/0.72, dsn=2.6.0, status=sent (250 2.6.0 > <20231013105746.5E3107D136 at mx.syntaxys.de> [InternalId=15934328691445, > Hostname=BE1P281MB3365.DEUP281.PROD.OUTLOOK.COM] 20392 bytes in 0.117, > 170.108 KB/sec Queued mail for delivery) > Oct 13 12:57:47 mx postfix/qmgr[2188]: 5E3107D136: removed > > ? die nicht DKIM signiert wurde und meine restriktive > DMARC-Konfiguration: > > _dmarc IN TXT "v=DMARC1; p=quarantine; sp=reject; > rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; > fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;" > > Ich frage mich nun, wie ich das Problem lösen kann, ohne die > DMARC-Einstellungen aufzuweichen. Und die DKIM-Signierung übernimmt > bei mir der rspamd, aber die bounces / sender delivery status > notification werden ja nicht gemiltert. > > Wie kann ich die Standardeinstellung (Mail Delivery System > ) beim FROM der bounces / sender delivery > status notification setzen? > > Bekomme ich es hin, daß Postfix grundsätzlich alles durch den Milter > schickt? Dann wären auch die mit DKIM signiert. > > Sollte ich DMARC für die Hauptdomain besser so setzen? > > _dmarc IN TXT "v=DMARC1; p=quarantine; sp=none; > rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; > fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;" > > und für den mx: > > _dmarc.mx IN TXT "v=DMARC1; p=reject; > rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; > fo=0; aspf=r; pct=100; rf=afrf; ri=86400;" > > Danke für die Hilfe, > LG/A > From florian at bodici.de Thu Oct 19 10:39:13 2023 From: florian at bodici.de (Florian) Date: Thu, 19 Oct 2023 10:39:13 +0200 Subject: GMX lehnt Mail wegen angeblich fehlender DKIM-Signatur ab In-Reply-To: References: Message-ID: <7aed02ca-2071-4006-93ca-860c04ac15d2@bodici.de> Hi André, was sagen denn die DMARC reports? Bestätigen die, dass jeglicher Mailverkehr (oder zumindest der Großteil) aligned authentifiziert ist? Testmails sagen ja nichts über die Infrastruktur und sonstige mailversendende Systeme oder Prozesse aus. VG, Florian Vierke Am 18.10.2023 um 21:15 schrieb Andre Tann via Postfixbuch-users: > Servus zusammen, > > ich habe mal wieder ein Problem mit GMX/Web.de. Mails werden abgelehnt > mit: > > === snip > Aufgrund eines ungewöhnlich hohen E-Mail Verkehrs und einer fehlenden > Signierung Ihrer E-Mails per DKIM, wurde die Annahme Ihrer E-Mails > temporär abgelehnt. > === snip > > Soweit ich sehen kann haben die Mails aber eine gültige Signatur, und > das bestätigt zB https://www.appmaildev.com/en/dkim. Ich habe von > allen betroffenen Domains eine Testmail dorthin geschickt, und immer > ist das Ergebnis > > - SPF Pass > - DKIM Pass > - DMARC Pass > - DomainKey None > - PTR ExistsRecord > - RBL NotListed > > Meine IP ist nicht neu, die gibts seit Jahren. > > Die DKIM Signing Domain ist dieselbe wie die from-Domain, wie > (hoffentlich) auch bei dieser Mail. Ich könnte also eigentlich auch > vollständiges Strict-Alignment einstellen, habe allerdings im Moment > Relaxed-Alignment eingestellt. > > Hat jemand eine Idee, was falsch sein könnte? > Oder wie ich GMX/Web.de dazu bringe, die Mails anzunehmen? > > Ratlose Grüße > Andre > From juri at koschikode.com Thu Oct 19 10:57:09 2023 From: juri at koschikode.com (Juri Haberland) Date: Thu, 19 Oct 2023 10:57:09 +0200 Subject: =?UTF-8?Q?Re=3A_Eine_kleine_Geschichte_=E2=80=A6?= In-Reply-To: <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> Message-ID: <812c1cd2-57c2-4988-be9e-0c679246c578@koschikode.com> On 19.10.23 10:36, Florian via Postfixbuch-users wrote: > Hallo Achim, > > wenn dein FROM leer war, welche DMARC Konfiguration soll denn dann > gegriffen haben? Es geht doch immer genau um die DMARC Konfiguration der > Domain, die im From verwendet wurde. Dann greift ersatzweise die DMARC-Konfiguration des sendenden Hosts. Der sollte wenigstens einen SPF TXT-Record haben. Wenn ich mich recht erinnere, kann man mit internal_mail_filter_classes = bounce notify dafür sorgen, dass auch DSNs durch die Milter geschickt werden. Wie gesagt, wenn ich mich recht erinnere... Viele Grüße, Juri From florian at bodici.de Thu Oct 19 11:11:48 2023 From: florian at bodici.de (Florian) Date: Thu, 19 Oct 2023 11:11:48 +0200 Subject: =?UTF-8?Q?Re=3A_Eine_kleine_Geschichte_=E2=80=A6?= In-Reply-To: <812c1cd2-57c2-4988-be9e-0c679246c578@koschikode.com> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> <812c1cd2-57c2-4988-be9e-0c679246c578@koschikode.com> Message-ID: <1c5ecaed-b3cb-4af6-b149-eb3d9b897036@bodici.de> Okay, das ist in der Tat etwas tricky dann. Selbst wenn es einen gültigen SPF gibt, wird dieser den "großen" wie Microsoft, Gmail, Yahoo nicht unbedingt genügen, denn zusätzlich zum gültigen SPF/DKIM wird ein Alignment zu der FROM Adresse gefordert. Ohne dieses kriegen wir dann kein SPF/DKIM pass für den DMARC und in der Folge auch kein DMARC pass. Vielleicht sollte die Domain des Hosts für diesen Spezialfall mit einer none-policy und gültigem SPF laufen. Zu empfehlen ist dann natürlich, dass der Host nicht anderweitig für Email genutzt wird. Für den normalen Mailbetrieb sieht der DMARC record mit quarantine und sp=reject doch ganz gut aus.. Viele Grüße, Florian Vierke Motto des Monats: n/a Am 19.10.2023 um 10:57 schrieb Juri Haberland via Postfixbuch-users: > On 19.10.23 10:36, Florian via Postfixbuch-users wrote: >> Hallo Achim, >> >> wenn dein FROM leer war, welche DMARC Konfiguration soll denn dann >> gegriffen haben? Es geht doch immer genau um die DMARC Konfiguration der >> Domain, die im From verwendet wurde. > Dann greift ersatzweise die DMARC-Konfiguration des sendenden Hosts. > Der sollte wenigstens einen SPF TXT-Record haben. > > Wenn ich mich recht erinnere, kann man mit > internal_mail_filter_classes = bounce notify > dafür sorgen, dass auch DSNs durch die Milter geschickt werden. Wie gesagt, > wenn ich mich recht erinnere... > > > Viele Grüße, > Juri From m.kliewe at team.mail.de Thu Oct 19 11:21:48 2023 From: m.kliewe at team.mail.de (Michael Kliewe) Date: Thu, 19 Oct 2023 11:21:48 +0200 Subject: =?UTF-8?Q?Re=3a_Eine_kleine_Geschichte_=e2=80=a6?= In-Reply-To: <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> Message-ID: <6d6fe284-37d9-6583-56d3-dca42b1a0613@team.mail.de> Hi, bei DMARC und DKIM wird der From:-Header genommen (der sollte auch bei Bounces gesetzt sein), nicht der Envelope-From (der bei Bounces richtigerweise leer ist). Der From:-Header von Postfix-Bounce-Mails lautet standardmäßig: From: Mail Delivery System Ich weiß gerade nicht ob es $myhostname oder $myorigin ist, die sind ja auch meistens gleich konfiguriert :-). Bounce-Mails, die Postfix selbst generiert, werden standardmäßig nicht durch die Milter (non_smtpd_milters) geschickt, das ist richtig. Das kann man aber ändern (wenn man sich sicher ist, dass man damit keine Schleife erstellt), dafür gibt es die "internal_mail_filter_classes" Einstellung: -------- main.cf ------- # run opendkim also on non_smtpd mails like bounces internal_mail_filter_classes = bounce milter_default_action = accept milter_protocol = 6 non_smtpd_milters=inet:127.0.0.1:8891 -------------------------- Sobald man "internal_mail_filter_classes = bounce" setzt werden auch interne Postfix-Mails (Bounces, und DSN glaube ich auch?) durch die konfigurierten "non_smtpd_milters" gejagt. Die Warnung in der Doku sollte man wie gesagt beachten: "NOTE: It's generally not safe to enable content inspection of Postfix-generated email messages. The user is warned. " https://www.postfix.org/postconf.5.html#internal_mail_filter_classes Man sollte also sicherstellen dass man für diese Bounce-Mails keinen Spam-Check ("content inspection") durchführt (der zu einem reject führen kann), sondern nur DKIM-Signaturen hinzufügt, was nie zu einem reject führt. Sonst erhält man eine Schleife. Viele Grüße Michael Am 19.10.2023 um 10:36 schrieb Florian via Postfixbuch-users: > Hallo Achim, > > wenn dein FROM leer war, welche DMARC Konfiguration soll denn dann > gegriffen haben? Es geht doch immer genau um die DMARC Konfiguration > der Domain, die im From verwendet wurde. > > Oder hab ich was falsch verstanden? > > VG, > > Florian Vierke > mobile: +49 177 8079538 > Motto des Monats: n/a > > Am 19.10.2023 um 10:25 schrieb Achim Lammerts via Postfixbuch-users: >> ? wie man sich scheinbar mit einer einzigen E-Mail die Reputation bei >> Microsoft versaut: >> >> Gestern war mir aufgefallen, daß E-Mails an Hotmail nicht mehr >> angenommen werden. Nach einem ersten cholerischen Anfall konnte ich >> wieder etwas klarer denken und habe mir die DMARC Reporte angesehen, >> die ich von Microsoft geschickt bekomme. Es ist immer eine gute Idee, >> das Reporting zu aktivieren. Tatsächlich gab es vor ein paar Tagen >> einen Quarantänefall durch meinen Server bei einem Absender, der die >> Infrastruktur von M$ nutzt. >> Die Ursache war 1 (!) schlichte ?sender delivery status notification? >> mit leerem FROM, ? >> >> Oct 13 12:57:46 mx postfix/bounce[127201]: 6F7B27D02F: sender >> delivery status notification: 5E3107D136 >> Oct 13 12:57:46 mx postfix/qmgr[2188]: 5E3107D136: from=<>, >> size=11213, nrcpt=1 (queue active) >> Oct 13 12:57:46 mx postfix/qmgr[2188]: 6F7B27D02F: removed >> Oct 13 12:57:47 mx postfix/smtp[127203]: 5E3107D136: >> to=, >> relay=domain-tld01i.mail.protection.outlook.com[52.101.73.30]:25, >> delay=0.9, delays=0/0/0.17/0.72, dsn=2.6.0, status=sent (250 2.6.0 >> <20231013105746.5E3107D136 at mx.syntaxys.de> >> [InternalId=15934328691445, >> Hostname=BE1P281MB3365.DEUP281.PROD.OUTLOOK.COM] 20392 bytes in >> 0.117, 170.108 KB/sec Queued mail for delivery) >> Oct 13 12:57:47 mx postfix/qmgr[2188]: 5E3107D136: removed >> >> ? die nicht DKIM signiert wurde und meine restriktive >> DMARC-Konfiguration: >> >> _dmarc IN TXT "v=DMARC1; p=quarantine; sp=reject; >> rua=mailto:dmarcreport at domain.tld; >> ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; >> rf=afrf; ri=86400;" >> >> Ich frage mich nun, wie ich das Problem lösen kann, ohne die >> DMARC-Einstellungen aufzuweichen. Und die DKIM-Signierung übernimmt >> bei mir der rspamd, aber die bounces / sender delivery status >> notification werden ja nicht gemiltert. >> >> Wie kann ich die Standardeinstellung (Mail Delivery System >> ) beim FROM der bounces / sender >> delivery status notification setzen? >> >> Bekomme ich es hin, daß Postfix grundsätzlich alles durch den Milter >> schickt? Dann wären auch die mit DKIM signiert. >> >> Sollte ich DMARC für die Hauptdomain besser so setzen? >> >> _dmarc IN TXT "v=DMARC1; p=quarantine; sp=none; >> rua=mailto:dmarcreport at domain.tld; >> ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; >> rf=afrf; ri=86400;" >> >> und für den mx: >> >> _dmarc.mx IN TXT "v=DMARC1; p=reject; >> rua=mailto:dmarcreport at domain.tld; >> ruf=mailto:dmarcfailure at domain.tld; fo=0; aspf=r; pct=100; rf=afrf; >> ri=86400;" >> >> Danke für die Hilfe, >> LG/A >> From ml-pbu at syntaxys.de Thu Oct 19 11:52:11 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 19 Oct 2023 11:52:11 +0200 Subject: =?UTF-8?Q?Re=3a_Eine_kleine_Geschichte_=e2=80=a6?= In-Reply-To: <812c1cd2-57c2-4988-be9e-0c679246c578@koschikode.com> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> <812c1cd2-57c2-4988-be9e-0c679246c578@koschikode.com> Message-ID: Am 19.10.23 um 10:57 schrieb Juri Haberland via Postfixbuch-users: > Wenn ich mich recht erinnere, kann man mit > internal_mail_filter_classes = bounce notify > dafür sorgen, dass auch DSNs durch die Milter geschickt werden. Wie gesagt, > wenn ich mich recht erinnere... Ja, das funktioniert zumindest so, daß die DSN nun mit DKIM signiert wird: Return-Path: <> X-Original-To: user at otherdomain.tld Delivered-To: user at otherdomain.tld Received: from mx.domain.tld (mx.domain.tld [IPv6:aaaa:bbb:cc:d:0:11:222:333]) by otherdomain.tld (Postfix) with ESMTPS id 1869F2C42FA6 for ; Thu, 19 Oct 2023 11:16:15 +0200 (CEST) Received: by mx.domain.tld (Postfix) id 662F97D20E; Thu, 19 Oct 2023 11:16:13 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domain.tld; s=2023-04-30-domain-tld; t=1697706973; h=from:subject:date:to; bh=oTNhKX3HDfFBNQNXyyAaN1CocR7nKDmAJPsjPYfJNw4=; b=TzTyRnjQHBv/8jcpgXPB9KDblnFgjmDWP5ujst2Al8qYA7SGiVVBoV1EFN5J7V5fMGJZqg 9YOuP/Q1PzK/OKOlgcIrI013MUmzCX4CZ6JTGGWJOWyGjBUrhSnqpXoC3NYH6ECCCZnXW1 SdMLherDnHspPy/dMWsH8F/GrhfUFzA= Date: Thu, 19 Oct 2023 11:16:13 +0200 (CEST) From: MAILER-DAEMON at mx.domain.tld (Mail Delivery System) Subject: Successful Mail Delivery Report To: user at otherdomain.tld Auto-Submitted: auto-replied MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="206177D0C7.1697706973/mx.domain.tld" Content-Transfer-Encoding: 8bit Message-Id: <20231019091613.662F97D20E at mx.domain.tld> Ich hab's von meiner Privatadresse aus probiert, aber der Provider prüft nicht, ob DKIM/SPF passt. Und GMail, T-Online, iCloud fordern keine DSNs an. Ich gehe mal davon aus, daß es passt ? Vielen Dank! Achim -- Wietse, I am so grateful. From ml-pbu at syntaxys.de Thu Oct 19 11:58:10 2023 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Thu, 19 Oct 2023 11:58:10 +0200 Subject: =?UTF-8?Q?Re=3a_Eine_kleine_Geschichte_=e2=80=a6?= In-Reply-To: <6d6fe284-37d9-6583-56d3-dca42b1a0613@team.mail.de> References: <9711becd-9cc3-099c-b065-f5979d41c74f@syntaxys.de> <4aab0835-6656-4b7d-9319-27f742da3f42@bodici.de> <6d6fe284-37d9-6583-56d3-dca42b1a0613@team.mail.de> Message-ID: <5534c6e3-9171-8adb-4694-e08135657442@syntaxys.de> Am 19.10.23 um 11:21 schrieb Michael Kliewe via Postfixbuch-users: > Man sollte also sicherstellen dass man für diese Bounce-Mails keinen > Spam-Check ("content inspection") durchführt (der zu einem reject führen > kann), sondern nur DKIM-Signaturen hinzufügt, was nie zu einem reject > führt. Sonst erhält man eine Schleife. Das Signing macht bei mir der rspamd und der erkennt die bounces, macht also keine Zicken. Danke! Achim -- Wietse, I am so grateful. From stickybit at myhm.de Sun Oct 29 09:03:05 2023 From: stickybit at myhm.de (Andre) Date: Sun, 29 Oct 2023 09:03:05 +0100 Subject: Recipient address rejected anpassen Message-ID: <530abe6e-f2fe-c07a-d728-5882b00abeed@myhm.de> Moin, wenn Postfix sich für die E-Mail-Adresse nicht zuständig fühlt, lehnt er Mails korrekterweise mit diesem Code und Text ab: 550 5.1.1 : Recipient address rejected: User unknown in relay recipient table; Lässt sich dieser Text irgendwie anpassen? Direkt kann man wohl nur den Fehlercode ändern, aber nicht den Text, oder habe ich etwas übersehen? Gibt es hierzu einen Trick? -- LG Andre From klaus at tachtler.net Sun Oct 29 09:19:07 2023 From: klaus at tachtler.net (Klaus Tachtler) Date: Sun, 29 Oct 2023 09:19:07 +0100 (GMT+01:00) Subject: Recipient address rejected anpassen In-Reply-To: <530abe6e-f2fe-c07a-d728-5882b00abeed@myhm.de> References: <530abe6e-f2fe-c07a-d728-5882b00abeed@myhm.de> Message-ID: <52230a06-3329-4a72-b51d-7b6d4068b36d@tachtler.net> Hallo Andre, hier kannst Du etwas ergänzen, siehe auch: http://www.postfix.org/postconf.5.html#smtpd_reject_footer Was man verändern kann, sind z.B. die Bounce-Meldungen an die eigenen Benutzer, das geht sehr gut. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Andre via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Andre Datum: 29.10.2023 09:08:41 Betreff: Recipient address rejected anpassen > Moin, > > wenn Postfix sich für die E-Mail-Adresse nicht zuständig fühlt, lehnt er Mails korrekterweise mit diesem Code und Text ab: > > 550 5.1.1 : Recipient address rejected: User unknown in relay recipient table; > > Lässt sich dieser Text irgendwie anpassen? > > Direkt kann man wohl nur den Fehlercode ändern, aber nicht den Text, oder habe ich etwas übersehen? > > Gibt es hierzu einen Trick? > > -- > LG > Andre -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From Ralf.Hildebrandt at charite.de Sun Oct 29 12:29:47 2023 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Sun, 29 Oct 2023 12:29:47 +0100 Subject: [ext] Recipient address rejected anpassen In-Reply-To: <530abe6e-f2fe-c07a-d728-5882b00abeed@myhm.de> References: <530abe6e-f2fe-c07a-d728-5882b00abeed@myhm.de> Message-ID: * Andre via Postfixbuch-users : > Moin, > > wenn Postfix sich für die E-Mail-Adresse nicht zuständig fühlt, lehnt er > Mails korrekterweise mit diesem Code und Text ab: > > 550 5.1.1 : Recipient address rejected: User unknown in relay > recipient table; > > Lässt sich dieser Text irgendwie anpassen? Du kannst abstellen, daß "in relay recipient table" ausgegeben wird: show_user_unknown_table_name = no -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de