From max.hesserchen at proton.me Sat Dec 7 18:32:27 2024 From: max.hesserchen at proton.me (max.hesserchen) Date: Sat, 07 Dec 2024 17:32:27 +0000 Subject: Minimalistisches Postfix Setup Message-ID: Hi zusammen! Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt. Mein folgendes Setup funktioniert bereits problemlos. postconf -n: " alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases biff = no compatibility_level = 3.6 disable_vrfy_command = yes home_mailbox = Maildir/ inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 milter_default_action = accept mydestination = $myhostname mail., .., localhost.localdomain, localhost mydomain = . myhostname = mail.. mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname non_smtpd_milters = inet:127.0.0.1:8891, unix:/var/run/opendmarc/opendmarc.sock recipient_delimiter=+ relayhost= smtp_tls_CApath = /etc/ssl/certs smtp_tls_security_level = encrypt smtp_tls_session_cache_database = btree:${data_directory}/smtp_cache smtpd_banner = mail.. ESMTP smtpd_discard_ehlo_keywords = silent-discard, dsn smtpd_helo_required = yes smtpd_milters = inet:127.0.0.1:8891, unix:/var/run/opendmarc/opendmarc.sock smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unknown_helo_hostname, reject_unknown_client_hostname, reject_plaintext_session smtpd_sasl_auth_enable = no smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/letsencrypt/live/mail../fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail../privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_exclude_ciphrs = aNULL, MD5 smtpd_tls_mandatory_protocols = >= TLSv1.2 smtpd_tls_security_level = encrypt smtpd_use_tls = yes virtual_alias_maps = hash:/etc/postfix/virtual " In der master.cf habe ich keine Änderungen vorgenommen. Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert. Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte. Jetzt frage ich mich: - Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann. - Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige? - Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden? Danke im Voraus! -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Tue Dec 10 18:35:56 2024 From: daniel at mail24.vip (Daniel) Date: Tue, 10 Dec 2024 18:35:56 +0100 Subject: Probleme mit E-Mails von DHL Message-ID: <004d01db4b29$f7e27f40$e7a77dc0$@mail24.vip> Moin, habt ihr auch Probleme mit DHL? Paketankündigungen und Newsletter kommen problemlos an soweit wie man es sagen kann. Aber Mails vom Kundenservice oder auch ggf. Kaufbelege für Kauf von Paketlabel kommen nur sporadisch oder garnicht an. Diese kommen wohl aus dem Netz 165.72.200.0/24. Wenn ich von eigener Domain über mailbox.org versende kommen die wohl dort an, aber Antworten bleiben meistens aus. Wenn ich aber direkt über mailbox.org Emailadresse versende, gibt es direkt eine Eingangsbestätigung und auch eine Antwort. Zum empfangen verwende ich eigenen (mx) Server. Wenn man an Postmaster schreibt, gibt es eine Bestätigung und was später einen timeout... Um 11:03 : delivery via mx1.dhl.iphmx.com[68.232.129.11]:25: 250 ok: Message 543243354 accepted Um 14:20 The following message to was undeliverable. The reason for the problem: 5.4.7 - Delivery expired (message too old) 'timeout' Gruß Daniel From bjo at schafweide.org Tue Dec 10 19:35:39 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Tue, 10 Dec 2024 19:35:39 +0100 Subject: Probleme mit E-Mails von DHL In-Reply-To: <004d01db4b29$f7e27f40$e7a77dc0$@mail24.vip> References: <004d01db4b29$f7e27f40$e7a77dc0$@mail24.vip> Message-ID: Moin, > > habt ihr auch Probleme mit DHL? > > Paketankündigungen und Newsletter kommen problemlos an soweit wie man es sagen kann. > > Aber Mails vom Kundenservice oder auch ggf. Kaufbelege für Kauf von Paketlabel kommen nur sporadisch oder garnicht an. > Diese kommen wohl aus dem Netz 165.72.200.0/24. > > Nö, vorgestern eine Briefmarke gekauft, storniert, Bestätigung etc. kam alles brav an: Received: from gateway11h.dhl.com (gateway11h.dhl.com [165.72.200.208]) by mail.schafweide.org (Postfix) with ESMTPS id 67F55E4F21D6 for ; Sun, 08 Dec 2024 06:32:58 +0100 (CET) VG From usenet at schani.com Tue Dec 10 23:02:01 2024 From: usenet at schani.com (christian) Date: Tue, 10 Dec 2024 23:02:01 +0100 Subject: =?UTF-8?Q?Ausgangs_Rate_Limit_nur_f=C3=BCr_bestimmte_Empf=C3=A4nger?= =?UTF-8?Q?_/Domains_/_Freemailer?= Message-ID: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> Hallo MXer, ich bin gerade dabei ein Ratelimit zu integrieren, weil es immer mal wieder vorkommt, das meine User an aol.com yahoo.com (ip 4.16.55.1) senden und ein Limit erreichen. Soweit ich das beobachte nimmt der 4.16.55.1 Server nur ca. 5 Emails/Std. pro Absender an. Jetzt habe ich eine transport_map eingebaut, die das verhindern soll und Email lieber bei mir in der Warteschlange lässt, anstatt eine 4xx Ablehnung zu bekommen. Denke das gibt auf Dauer Minuspunkte i, Senderscore, oder? Ich nutze zwar auch Rspamd am Milter, aber mit dem ratelimit komme ich dort nicht so gut zurecht. Also habe ich eine /etc/postfix/transport angelegt. aol.com slow_transport: 4.16.55.1 slow_transport: t-online.de slow_transport: yahoo.com slow_transport: yahoo.com.au slow_transport: yahoo.es slow_transport: verizon.net slow_transport: yahoo.co.uk slow_transport: gmail.com slow_transport: In der main.cf noch transport_maps = hash:/etc/postfix/transport eingetragen und in der master.cf slow_transport unix - - n - - smtp -o smtp_destination_rate_delay=3000s -o smtp_destination_concurrency_limit=5 eingebaut.(könnte man ja noch mehrere Abstufungen einbauen) Jetzt frag ich mich ob das der richtige Weg ist. Kann man das so machen oder gibt es was besseres? Ist das so sinnvoll? Sollte ich es noch erweitern? Sind die Werte zu Hoch? Schieße ich mir damit ins Knie? Oder liege ich Total daneben? Bitte last Euch aus und gebt mir Tipps Danke für Hilfe Christian PS: debian 12.7, aktuelles Postfix, aktuelles Rspamd, aktuelles Dovecot From list+postfixbuch at gcore.biz Tue Dec 10 23:37:07 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 10 Dec 2024 23:37:07 +0100 Subject: Minimalistisches Postfix Setup In-Reply-To: References: Message-ID: > Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt. > > Mein folgendes Setup funktioniert bereits problemlos. > postconf -n: Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann. Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet. Standardwerte kann man mit "postconf -d" anzeigen. [...] > relayhost= siehe oben > smtp_tls_CApath = /etc/ssl/certs > smtp_tls_security_level = encrypt Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen. https://www.postfix.org/postconf.5.html#smtp_tls_security_level smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen. Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt. [...] > smtpd_tls_security_level = encrypt https://www.postfix.org/postconf.5.html#smtpd_tls_security_level smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird. > smtpd_use_tls = yes https://www.postfix.org/postconf.5.html#smtpd_use_tls Das ist veraltet und wird durch smtpd_tls_security_level ersetzt. > > Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert. > Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte. > > Jetzt frage ich mich: > Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann. > Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige? > Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden? Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich). Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban. SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport. Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft". Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen. Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten. Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen. Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung. Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten. https://www.postfix.org/lists.html Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From klaus at tachtler.net Wed Dec 11 06:49:56 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 11 Dec 2024 06:49:56 +0100 (GMT+01:00) Subject: =?UTF-8?Q?Re:_Ausgangs_Rate_Limit_nur_f=C3=BCr_best?= =?UTF-8?Q?immte_Empf=C3=A4nger_/Domains_/_Freemailer?= In-Reply-To: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> References: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> Message-ID: <92f01ead-6095-49d8-a208-e4b223017702@tachtler.net> Hallo Christian, du kannst Dir auch mal - postfwd - ansehen, bei uns leistet das genau das, was Du auch gerne möchtest. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: christian via Postfixbuch-users An: 'Diskussionen und Support rund um Postfix' Kopie: christian Datum: 10.12.2024 23:08:00 Betreff: Ausgangs Rate Limit nur für bestimmte Empfänger /Domains / Freemailer > Hallo MXer, > > ich bin gerade dabei ein Ratelimit zu integrieren, weil es immer mal wieder vorkommt, das meine User an aol.com yahoo.com (ip 4.16.55.1) senden und ein Limit erreichen. Soweit ich das beobachte nimmt der 4.16.55.1 Server nur ca. 5 Emails/Std. pro Absender an. > > Jetzt habe ich eine transport_map eingebaut, die das verhindern soll und Email lieber bei mir in der Warteschlange lässt, anstatt eine 4xx Ablehnung zu bekommen. Denke das gibt auf Dauer Minuspunkte i, Senderscore, oder? > > Ich nutze zwar auch Rspamd am Milter, aber mit dem ratelimit komme ich dort nicht so gut zurecht. > > Also habe ich eine /etc/postfix/transport angelegt. > > aol.com slow_transport: > 4.16.55.1 slow_transport: > t-online.de slow_transport: > yahoo.com slow_transport: > yahoo.com.au slow_transport: > yahoo.es slow_transport: > verizon.net slow_transport: > yahoo.co.uk slow_transport: > gmail.com slow_transport: > > In der main.cf noch > > transport_maps = hash:/etc/postfix/transport > > eingetragen und in der master.cf > > slow_transport unix - - n - - smtp > -o smtp_destination_rate_delay=3000s > -o smtp_destination_concurrency_limit=5 > > eingebaut.(könnte man ja noch mehrere Abstufungen einbauen) > > Jetzt frag ich mich ob das der richtige Weg ist. > Kann man das so machen oder gibt es was besseres? > Ist das so sinnvoll? > Sollte ich es noch erweitern? > Sind die Werte zu Hoch? > Schieße ich mir damit ins Knie? > Oder liege ich Total daneben? > > Bitte last Euch aus und gebt mir Tipps > > Danke für Hilfe > Christian > > PS: debian 12.7, aktuelles Postfix, aktuelles Rspamd, aktuelles Dovecot -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From usenet at schani.com Wed Dec 11 11:49:46 2024 From: usenet at schani.com (christian) Date: Wed, 11 Dec 2024 11:49:46 +0100 Subject: =?UTF-8?Q?Re=3A_Ausgangs_Rate_Limit_nur_f=C3=BCr_bestimmte_Empf?= =?UTF-8?Q?=C3=A4nger_/Domains_/_Freemailer?= In-Reply-To: <92f01ead-6095-49d8-a208-e4b223017702@tachtler.net> References: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> <92f01ead-6095-49d8-a208-e4b223017702@tachtler.net> Message-ID: Hallo Klaus, Danke für den Tipp. Ich glaube aber das dies zu viel ist für das was ich brauche, nur um die Emails an ein paar Freemailer runter zu regeln ist es zu aufwendig. Ich werd es mir trotzdem mal anschauen. Ich hab gerade ein paar Tests gemacht und glaube das mein Setup nicht greift. Leider gibt es im Web keine Infos zu so was und aus der Dokumentation werd ich nicht schlau. Danke für weitere Tipps Christian Am 11.12.2024 um 06:49 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Christian, > > du kannst Dir auch mal - postfwd - ansehen, bei uns leistet das genau das, was Du auch gerne möchtest. > > > Grüße > Klaus. > From klaus at tachtler.net Wed Dec 11 12:50:50 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 11 Dec 2024 12:50:50 +0100 (GMT+01:00) Subject: =?UTF-8?Q?Re:_Ausgangs_Rate_Limit_nur_f=C3=BCr_best?= =?UTF-8?Q?immte_Empf=C3=A4nger_/Domains_/_Freemailer?= In-Reply-To: References: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> <92f01ead-6095-49d8-a208-e4b223017702@tachtler.net> Message-ID: <57601782-aae3-4d4c-82c6-d1ee2860cb10@tachtler.net> Hallo Christian, wir nutzen das auch nur für eine handvoll Empfänger und unsere Konfiguration umfasst nur 8 Zeilen. Die Integration in Postfix, via z.B. check_policy_service ip:Port ist auch total einfach (z.B. smtpd_relay_restrictions) Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: christian via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: christian Datum: 11.12.2024 11:50:15 Betreff: Re: Ausgangs Rate Limit nur für bestimmte Empfänger /Domains / Freemailer > Hallo Klaus, > Danke für den Tipp. > Ich glaube aber das dies zu viel ist für das was ich brauche, nur um die Emails an ein paar Freemailer runter zu regeln ist es zu aufwendig. Ich werd es mir trotzdem mal anschauen. > > Ich hab gerade ein paar Tests gemacht und glaube das mein Setup nicht greift. Leider gibt es im Web keine Infos zu so was und aus der Dokumentation werd ich nicht schlau. > > Danke für weitere Tipps > Christian > > Am 11.12.2024 um 06:49 schrieb Klaus Tachtler via Postfixbuch-users: >> Hallo Christian, >> du kannst Dir auch mal - postfwd - ansehen, bei uns leistet das genau das, was Du auch gerne möchtest. >> >> Grüße >> Klaus. >> -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From max.hesserchen at proton.me Wed Dec 11 20:57:19 2024 From: max.hesserchen at proton.me (max.hesserchen) Date: Wed, 11 Dec 2024 19:57:19 +0000 Subject: Minimalistisches Postfix Setup In-Reply-To: References:

Message-ID: Danke für deine Antwort! Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst. Zwei offene Punkte hätte ich noch: - Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig? - SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen) SSH hab ich bereits ausreichend geschützt - aber von den Port-Knocking-Tools hab ich bisher nie was gehört... machen auf den ersten Blick aber einen sehr interessanten Eindruck! Werd ich mir überlegen. On Tuesday, December 10th, 2024 at 10:37 PM, Gerald Galster wrote: >> Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt. >> >> Mein folgendes Setup funktioniert bereits problemlos. >> postconf -n: > > Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann. > Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet. > Standardwerte kann man mit "postconf -d" anzeigen. > > [...] > >> relayhost= > > siehe oben > >> smtp_tls_CApath = /etc/ssl/certs >> smtp_tls_security_level = encrypt > > Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen. > > https://www.postfix.org/postconf.5.html#smtp_tls_security_level > > smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen. > > Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt. > > [...] > >> smtpd_tls_security_level = encrypt > > https://www.postfix.org/postconf.5.html#smtpd_tls_security_level > > smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird. > >> smtpd_use_tls = yes > > https://www.postfix.org/postconf.5.html#smtpd_use_tls > > Das ist veraltet und wird durch smtpd_tls_security_level ersetzt. > >> Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert. >> Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte. >> >> Jetzt frage ich mich: >> >> - Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann. >> - Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige? >> - Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden? > > Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich). > Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban. > > SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport. > Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft". > Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen. > Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten. > > Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen. > Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung. > > Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten. > https://www.postfix.org/lists.html > > Viele Grüße > Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From max.hesserchen at proton.me Wed Dec 11 21:07:45 2024 From: max.hesserchen at proton.me (max.hesserchen) Date: Wed, 11 Dec 2024 20:07:45 +0000 Subject: Minimalistisches Postfix Setup In-Reply-To: References:

Message-ID: <_8As5PvqPhfUYzx6BAcfQLVzDBPE2RzbeenK6O3OLB86HjvD4tEKbQAiO791Va_b2LfsJMlQS196C0DD4tcXd0QySCZrkPuLzu_Uub7Wek0=@proton.me> Ahja, die smtp_*-Einträge kann ich natürlich nicht löschen. Ich hatte grad nen Denkfehler. Den Punkt bitte vergessen :) On Wednesday, December 11th, 2024 at 7:57 PM, max.hesserchen via Postfixbuch-users wrote: > Danke für deine Antwort! > > Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst. > > Zwei offene Punkte hätte ich noch: > > - Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig? > - SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen) > > SSH hab ich bereits ausreichend geschützt - aber von den Port-Knocking-Tools hab ich bisher nie was gehört... machen auf den ersten Blick aber einen sehr interessanten Eindruck! Werd ich mir überlegen. > > On Tuesday, December 10th, 2024 at 10:37 PM, Gerald Galster wrote: > >>> Vorweg: Ich nutz für die Mailingliste eine quasi-Wegwerfmail, da ich vermeiden möchte meine echte Domain und damit auch einige Informationen über mich preiszugeben. Auch wenn's möglicherweise übertrieben wirken mag: es hat seine Gründe :) Und noch ne Info dazu: Mir ist Security enorm wichtig und ich glaube, dass Minimalismus die beste Security darstellt - das erwähne ich, da es hoffentlich einige Entscheidungen die ich getroffen habe erklärt. >>> >>> Mein folgendes Setup funktioniert bereits problemlos. >>> postconf -n: >> >> Siehe Manpage zu postconf, dort steht bei der Option "-n" wie man nur Abweichungen der defaults anzeigen kann. >> Alles was aus der config entfernt wird ist nicht unbedingt weg, es wird dann einfach die Standardeinstellung verwendet. >> Standardwerte kann man mit "postconf -d" anzeigen. >> >> [...] >> >>> relayhost= >> >> siehe oben >> >>> smtp_tls_CApath = /etc/ssl/certs >>> smtp_tls_security_level = encrypt >> >> Wenn Sicherheit enorm wichtig ist, sollte man die Bedeutung jedes Parameters anhand postconf (5) nachschauen. >> >> https://www.postfix.org/postconf.5.html#smtp_tls_security_level >> >> smtp_* betrifft ausgehende Verbindungen zu anderen Mailservern, smtpd_* betrifft eingehende Verbindungen. >> >> Hier wäre level "dane" besser geeignet. In Verbindung mit einem dnssec resolver (z.B. unbound) und Anpassungen der resolv.conf (options trust-ad edns0) wären ausgehend dane-gesicherte Verbindungen möglich, mit Fallback auf encrypt. Vielleicht sind aber auch verify oder secure besser geeignet oder sogar dane-only, was die Anzahl der möglichen Kommunikationspartner derzeit aber einschränkt. >> >> [...] >> >>> smtpd_tls_security_level = encrypt >> >> https://www.postfix.org/postconf.5.html#smtpd_tls_security_level >> >> smtpd_tls_auth_only=yes wird bei level encrypt implizit gesetzt, es spielt keine Rolle ob es aus der Config entfernt wird. >> >>> smtpd_use_tls = yes >> >> https://www.postfix.org/postconf.5.html#smtpd_use_tls >> >> Das ist veraltet und wird durch smtpd_tls_security_level ersetzt. >> >>> Ich hoste Postfix auf nem Debian 12-Server, wo nur ssh-port und port 25 geöffnet ist. Emails sende ich, indem ich mich per ssh einlogge und dann mutt nutze. Dovecot ist nicht installiert. >>> Ich nutze aktuell nicht rspamd, einen Virenscanner, oder ähnliches. Bisher hab ich noch nicht eine Spammail bekommen, solange das so bleibt habe ich nicht gepant das zu ändern, da ich die Komplexität niedrig halten möchte. >>> >>> Jetzt frage ich mich: >>> >>> - Gibt es unnötige Konfiguration die ich rausschmeißen kann? relayhost = und smtpd_tls_auth_only = yes wären zwei wo ich aktuell davon ausgehe das ich die guten Gewissens entfernen kann. >>> - Gibt es weitere Konfigurationen die ich zusätzlich machen kann / sollte, um irgendwelche Sachen zu deaktivieren die ich in meinem Setup nicht benötige? >>> - Gibt es irgendwelche fail2ban-Settings die mit meiner Konfiguration Sinn machen würden? >> >> Wenn postfix keine SMTP-Authentifizierung anbietet macht fail2ban keinen Sinn (bruteforce auf Mailaccounts ist nicht möglich). >> Es können nach wie vor Spamwellen eingehen, aber das wäre die Aufgabe eines Spamfilters, nicht fail2ban. >> >> SSH-Angriffe laufen meist sobald man den Dienst startet. In dem Fall hätte man vermutlich Ruhe wenn man irgendeinen hohen Port nutzt statt den Standardport. >> Es gibt auch Port-Knocking-Tools, die einen Port wie 22 freischalten wenn man an einem anderen Port "anklopft". >> Dann stellt sich die Frage ob man fail2ban überhaupt noch braucht - je nach Konfiguration, Art und Intensität der Angriffe kann das auch über 1GB RAM belegen. >> Weiterhin macht es Sinn die Passwort-Authentifizierung abzuschalten und ausschließlich mit SSH-Keys zu arbeiten. >> >> Sicherheit ist immer eine Abwägungssache und wenn es enorm wichtig ist, kommt man nicht umhin sich von Grund auf damit zu beschäftigen. >> Best Practices oder Empfehlungen aus Mailinglisten sind in dem Fall nur Ausgangspunkt für eigene Recherchen und Bewertung. >> >> Für spezielle Fragen ist die postfix-users Liste besser geeignet. Dort sind die Entwickler sehr aktiv, die teilweise auch an openssl mitarbeiten. >> https://www.postfix.org/lists.html >> >> Viele Grüße >> Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From usenet at schani.com Wed Dec 11 22:46:06 2024 From: usenet at schani.com (christian) Date: Wed, 11 Dec 2024 22:46:06 +0100 Subject: Sieve funktioniert nicht mehr und finde den Fehler nicht Message-ID: <3d22bf06-022c-4a08-a74a-e7264d4fca2f@schani.com> Hallo, Ich frage mal hier, da ich weis das hier die Leute sind die sich auskennen. Es ist zwar nicht ganz Postfix aber fast ;-) Seit ein paar Wochen habe ich das Problem das mein lokalen user sieve Scripte nicht mehr funktionieren. Ich hab auch mal mein gesamte postconf -n angehängt. Ich habe das filtern von Emails die von Rspamd als Spam markiert wurden im before.sieve Script eingerichtet und das funktioniert einwandfrei. Aber die User Scripte die mittels ManagedSieve über Roundcube Webmailer angelegt wurden funktionieren nicht mehr. Auch die habe ich jetzt neu angelegt und überprüft. sieve-test beanstandet nichts. Ich habe den verdacht das es mit dem Update von Debian 12.6 zusammenpasst. Kann sich da was fundamentales verändert haben? Kann mir das aber nicht vorstellen. Jetzt habe ich Dovecot komplett neu installiert und alle Dateirechte überprüft, aber ich konnte das Problem nicht lösen. Ich nutze Sieve mit dovecot schon 15 Jahre und hatte noch nie Probleme - hat einfach funktioniert. Außerdem bringe ich Dovecot nicht dazu sieve Funktionen in die /var/log/dovecot/sieve.log file zu protokollieren. Die "sieve_trace_dir" Files werden angelegt, aber nur die von before.sieve before.sieve, global.sieve, default.sieve werden automatisch in eine svbin gerechnet. Bei den User Scripten passiert das nicht (user scripte werden nicht aufgerufen?). Hier die relevanten Einträge in 90-sieve.conf: plugin { sieve_extensions = +editheader sieve = file:/var/customers/sieve/%u/;active=/var/customers/sieve/%u/.dovecot.sieve sieve_dir = /var/customers/sieve/ sieve_default = /var/customers/sieve/default.sieve sieve_global = /var/customers/sieve/global.sieve sieve_before = /var/customers/sieve/before.sieve sieve_user_log = /var/log/dovecot/sieve.log sieve_trace_dir = /var/log/dovecot/sieve sieve_compile_binary = yes sieve_trace_level = matching sieve_trace_debug = yes sieve_debug = yes } Hier ein Log Eintrag in info_log_path = /var/log/dovecot/dovecot-lda.log: Dec 08 12:57:44 lda(info at domain.info)<2664475>: Info: sieve: msgid=<20241208115741.7792d7fe54743ef8 at fgfunnelsmail.com>: fileinto action: stored mail into mailbox 'INBOX' Hier ein Log Eintrag in debug.log: Dec 08 13:12:55 lda(info at domain.info)<2680802>: Debug: sieve: Using the following location for user's Sieve script: /var/customers/sieve/info at domain.info/.dovecot.sieve Aber das user Script wird nicht benutzt. Hier das user Directory von /var/customers/sieve/info at domain.info: /var/customers/sieve/info at domain.info # ls -lah total 24K drwxr-x--- 3 vmail vmail 4.0K Dec 8 13:07 . drwxr-x--- 51 vmail vmail 4.0K Dec 7 19:40 .. lrwxrwxrwx 1 vmail vmail 12 Dec 7 15:23 .dovecot.sieve -> filter.sieve -rw-r----- 1 vmail vmail 95 Dec 8 13:07 filter.sieve -rwxr-x--- 1 vmail vmail 212 Dec 7 19:40 filter.svbin drwxr-x--- 2 vmail vmail 4.0K Dec 8 13:07 tmp Und der Filter - filter.sieve: require ["copy"]; # rule: [Redirect] if true { redirect :copy "christian at domain.info"; } Das sieve_user_log = /var/log/dovecot/sieve.log file bleibt leer. Die Schreibrechte auf das Lok File sind OK und es stehen auch keine Error Einträge in dovecot.log oder debug.log. Könnt Ihr mir Bitte helfen. Danke für Tipps Christian PS.: Debian 12.7, Aktuelles Postfix, Aktuelles Dovecot, Aktuelles Rspamd -------------- nächster Teil -------------- # 2.3.21.1 (d492236fa0): /etc/dovecot/dovecot.conf # Pigeonhole version 0.5.21.1 (49005e73) # OS: Linux 6.1.0-28-amd64 x86_64 Debian 12.8 ext4 # Hostname: domain.info # NOTE: Send doveconf -n output instead when asking for help. auth_anonymous_username = anonymous auth_cache_negative_ttl = 1 hours auth_cache_size = 0 auth_cache_ttl = 1 hours auth_cache_verify_password_with_worker = no auth_debug = yes auth_debug_passwords = yes auth_default_realm = auth_failure_delay = 2 secs auth_gssapi_hostname = auth_krb5_keytab = auth_master_user_separator = auth_mechanisms = plain login auth_policy_check_after_auth = yes auth_policy_check_before_auth = yes auth_policy_hash_mech = sha256 auth_policy_hash_nonce = auth_policy_hash_truncate = 12 auth_policy_log_only = no auth_policy_reject_on_fail = no auth_policy_report_after_auth = yes auth_policy_request_attributes = login=%{requested_username} pwhash=%{hashed_password} remote=%{rip} device_id=%{client_id} protocol=%s session_id=%{session} auth_policy_server_api_header = auth_policy_server_timeout_msecs = 2000 auth_policy_server_url = auth_proxy_self = auth_realms = auth_socket_path = auth-userdb auth_ssl_require_client_cert = no auth_ssl_username_from_cert = no auth_stats = no auth_use_winbind = no auth_username_chars = abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890.-_@ auth_username_format = %Lu auth_username_translation = auth_verbose = yes auth_verbose_passwords = yes auth_winbind_helper_path = /usr/bin/ntlm_auth auth_worker_max_count = 30 base_dir = /run/dovecot config_cache_size = 1 M debug_log_path = /var/log/dovecot/debug.log default_client_limit = 2500 default_idle_kill = 1 mins default_internal_group = dovecot default_internal_user = dovecot default_login_user = dovenull default_process_limit = 500 default_vsz_limit = 512 M deliver_log_format = msgid=%m: %$ dict_db_config = director_flush_socket = director_mail_servers = director_max_parallel_kicks = 100 director_max_parallel_moves = 100 director_output_buffer_size = 10 M director_ping_idle_timeout = 30 secs director_ping_max_timeout = 1 mins director_servers = director_user_expire = 15 mins director_user_kick_delay = 2 secs director_username_hash = %Lu disable_plaintext_auth = no dotlock_use_excl = yes doveadm_allowed_commands = doveadm_api_key = doveadm_http_rawlog_dir = doveadm_password = doveadm_port = 0 doveadm_socket_path = doveadm-server doveadm_ssl = no doveadm_username = doveadm doveadm_worker_count = 0 dsync_alt_char = _ dsync_commit_msgs_interval = 100 dsync_features = dsync_hashed_headers = Date Message-ID dsync_remote_cmd = ssh -l%{login} %{host} doveadm dsync-server -u%u -U first_valid_gid = 1 first_valid_uid = 500 haproxy_timeout = 3 secs haproxy_trusted_networks = hostname = imap_capability = imap_client_workarounds = tb-extra-mailbox-sep imap_fetch_failure = disconnect-immediately imap_hibernate_timeout = 0 imap_id_log = imap_id_retain = no imap_id_send = name * imap_idle_notify_interval = 2 mins imap_literal_minus = no imap_logout_format = in=%i out=%o deleted=%{deleted} expunged=%{expunged} trashed=%{trashed} hdr_count=%{fetch_hdr_count} hdr_bytes=%{fetch_hdr_bytes} body_count=%{fetch_body_count} body_bytes=%{fetch_body_bytes} imap_max_line_length = 64 k imap_metadata = no imap_urlauth_host = imap_urlauth_logout_format = in=%i out=%o imap_urlauth_port = 143 imapc_cmd_timeout = 5 mins imapc_connection_retry_count = 1 imapc_connection_retry_interval = 1 secs imapc_features = imapc_host = imapc_list_prefix = imapc_master_user = imapc_max_idle_time = 29 mins imapc_max_line_length = 0 imapc_password = imapc_port = 143 imapc_rawlog_dir = imapc_sasl_mechanisms = imapc_ssl = no imapc_ssl_verify = yes imapc_user = import_environment = TZ CORE_OUTOFMEM CORE_ERROR LISTEN_PID LISTEN_FDS NOTIFY_SOCKET info_log_path = /var/log/dovecot/dovecot.log instance_name = dovecot last_valid_gid = 0 last_valid_uid = 0 lda_mailbox_autocreate = no lda_mailbox_autosubscribe = no lda_original_recipient_header = libexec_dir = /usr/lib/dovecot listen = *, :: lmtp_add_received_header = yes lmtp_client_workarounds = lmtp_hdr_delivery_address = final lmtp_proxy = no lmtp_proxy_rawlog_dir = lmtp_rawlog_dir = lmtp_rcpt_check_quota = no lmtp_save_to_detail_mailbox = no lmtp_user_concurrency_limit = 0 lmtp_verbose_replies = no lock_method = fcntl log_core_filter = log_debug = log_path = syslog log_timestamp = "%b %d %H:%M:%S " login_access_sockets = login_greeting = WWL10 imap pop ready. login_log_format = %$: %s login_log_format_elements = user=<%u> method=%m rip=%r lip=%l mpid=%e %c login_plugin_dir = /usr/lib/dovecot/modules/login login_plugins = login_proxy_max_disconnect_delay = 0 login_proxy_max_reconnects = 3 login_proxy_notify_path = proxy-notify login_proxy_rawlog_dir = login_proxy_timeout = 30 secs login_source_ips = login_trusted_networks = mail_access_groups = mail_always_cache_fields = mail_attachment_detection_options = mail_attachment_dir = mail_attachment_fs = sis posix mail_attachment_hash = %{sha1} mail_attachment_min_size = 128 k mail_attribute_dict = mail_cache_fields = flags mail_cache_min_mail_count = 0 mail_chroot = mail_debug = yes mail_fsync = optimized mail_full_filesystem_access = no mail_gid = vmail mail_home = mail_location = maildir:/home/mail/%u mail_log_prefix = "%s(%u)<%{pid}><%{session}>: " mail_max_keyword_length = 50 mail_max_lock_timeout = 0 mail_max_userip_connections = 10 mail_never_cache_fields = imap.envelope mail_nfs_index = no mail_nfs_storage = no mail_plugin_dir = /usr/lib/dovecot/modules mail_plugins = zlib mailbox_alias mail_prefetch_count = 0 mail_privileged_group = mail mail_save_crlf = no mail_server_admin = mail_server_comment = mail_shared_explicit_inbox = no mail_sort_max_read_count = 0 mail_temp_dir = /tmp mail_temp_scan_interval = 1 weeks mail_uid = vmail mail_vsize_bg_after_count = 0 mailbox_idle_check_interval = 5 mins mailbox_list_index = no mailbox_list_index_include_inbox = no mailbox_list_index_very_dirty_syncs = no maildir_broken_filename_sizes = yes maildir_copy_with_hardlinks = yes maildir_empty_new = no maildir_stat_dirs = no maildir_very_dirty_syncs = no managesieve_client_workarounds = managesieve_implementation_string = Dovecot Pigeonhole managesieve_logout_format = bytes=%i/%o managesieve_max_compile_errors = 5 managesieve_max_line_length = 64 k managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext mbox_dirty_syncs = yes mbox_dotlock_change_timeout = 2 mins mbox_lazy_writes = yes mbox_lock_timeout = 5 mins mbox_md5 = apop3d mbox_min_index_size = 0 mbox_read_locks = fcntl mbox_very_dirty_syncs = no mbox_write_locks = fcntl dotlock mdbox_preallocate_space = yes mdbox_rotate_interval = 0 mdbox_rotate_size = 10 M mmap_disable = no namespace inbox { disabled = no hidden = no ignore_on_failure = no inbox = yes list = yes location = mailbox Drafts { auto = subscribe autoexpunge = 0 autoexpunge_max_mails = 0 comment = driver = special_use = \Drafts } mailbox Junk { auto = subscribe autoexpunge = 8 weeks autoexpunge_max_mails = 0 comment = driver = special_use = \Junk } mailbox Sent { auto = subscribe autoexpunge = 0 autoexpunge_max_mails = 0 comment = driver = special_use = \Sent } mailbox Trash { auto = subscribe autoexpunge = 52 weeks autoexpunge_max_mails = 0 comment = driver = special_use = \Trash } order = 0 prefix = separator = subscriptions = yes type = private } old_stats_carbon_interval = 30 secs old_stats_carbon_name = old_stats_carbon_server = old_stats_command_min_time = 1 mins old_stats_domain_min_time = 12 hours old_stats_ip_min_time = 12 hours old_stats_memory_limit = 16 M old_stats_session_min_time = 15 mins old_stats_user_min_time = 1 hours passdb { args = /etc/dovecot/dovecot-sql.conf.ext auth_verbose = default default_fields = deny = no driver = sql master = no mechanisms = name = override_fields = pass = no result_failure = continue result_internalfail = continue result_success = return-ok skip = never username_filter = } plugin { mailbox_alias_new = Sent Messages mailbox_alias_new10 = Archiv mailbox_alias_new2 = Gesendete Elemente mailbox_alias_new3 = Gesendete mailbox_alias_new4 = sent-mail mailbox_alias_new5 = Deleted Messages mailbox_alias_new6 = Gelöschte Objekte mailbox_alias_new7 = Papierkorb mailbox_alias_new8 = Entwürfe mailbox_alias_new9 = Spam mailbox_alias_old = Sent mailbox_alias_old10 = Archives mailbox_alias_old2 = Sent mailbox_alias_old3 = Sent mailbox_alias_old4 = Sent mailbox_alias_old5 = Trash mailbox_alias_old6 = Trash mailbox_alias_old7 = Trash mailbox_alias_old8 = Drafts mailbox_alias_old9 = Junk sieve = file:/var/customers/sieve/%u/;active=/var/customers/sieve/%u/.dovecot.sieve sieve_before = /var/customers/sieve/before.sieve sieve_compile_binary = yes sieve_debug = yes sieve_default = /var/customers/sieve/default.sieve sieve_dir = /var/customers/sieve/ sieve_global = /var/customers/sieve/global.sieve sieve_trace_addresses = yes sieve_trace_debug = yes sieve_trace_dir = /var/log/dovecot/sieve sieve_trace_level = actions sieve_user_log = /var/log/dovecot/sieve.log zlib_save = gz zlib_save_level = 6 } pop3_client_workarounds = pop3_delete_type = default pop3_deleted_flag = pop3_enable_last = no pop3_fast_size_lookups = no pop3_lock_session = no pop3_logout_format = in=%i out=%o top=%t/%p, retr=%r/%b, del=%d/%m, size=%s pop3_no_flag_updates = no pop3_reuse_xuidl = no pop3_save_uidl = no pop3_uidl_duplicates = allow pop3_uidl_format = %08Xu%08Xv pop3c_features = pop3c_host = pop3c_master_user = pop3c_password = pop3c_port = 110 pop3c_quick_received_date = no pop3c_rawlog_dir = pop3c_ssl = no pop3c_ssl_verify = yes pop3c_user = %u postmaster_address = postmaster at domain.info process_shutdown_filter = protocols = " imap sieve pop3 sieve" quota_full_tempfail = no rawlog_dir = recipient_delimiter = + rejection_reason = Your message to <%t> was automatically rejected:%n%r rejection_subject = Rejected: %s replication_dsync_parameters = -d -N -l 30 -U replication_full_sync_interval = 1 days replication_max_conns = 10 replicator_host = replicator replicator_port = 0 sendmail_path = /usr/sbin/sendmail service aggregator { chroot = . client_limit = 0 drop_priv_before_exec = no executable = aggregator extra_groups = fifo_listener replication-notify-fifo { group = mode = 0600 user = } group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = unix_listener replication-notify { group = mode = 0600 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service anvil { chroot = empty client_limit = 0 drop_priv_before_exec = no executable = anvil extra_groups = group = idle_kill = 4294967295 secs privileged_group = process_limit = 1 process_min_avail = 1 protocol = service_count = 0 type = anvil unix_listener anvil-auth-penalty { group = mode = 0600 user = } unix_listener anvil { group = mode = 0600 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service auth-worker { chroot = client_limit = 1 drop_priv_before_exec = no executable = auth -w extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = worker unix_listener auth-worker { group = mode = 0600 user = $default_internal_user } user = vsz_limit = 18446744073709551615 B } service auth { chroot = client_limit = 0 drop_priv_before_exec = no executable = auth extra_groups = group = idle_kill = 0 privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener /var/spool/postfix/private/auth { group = postfix mode = 0660 user = postfix } unix_listener auth-client { group = mode = 0660 user = mail } unix_listener auth-login { group = mode = 0600 user = $default_internal_user } unix_listener auth-master { group = mode = 0600 user = } unix_listener auth-userdb { group = mode = 0666 user = $default_internal_user } unix_listener login/login { group = mode = 0666 user = } unix_listener token-login/tokenlogin { group = mode = 0666 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service config { chroot = client_limit = 0 drop_priv_before_exec = no executable = config extra_groups = group = idle_kill = 4294967295 secs privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = config unix_listener config { group = mode = 0600 user = } user = vsz_limit = 18446744073709551615 B } service dict-async { chroot = client_limit = 0 drop_priv_before_exec = no executable = dict extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = unix_listener dict-async { group = $default_internal_group mode = 0660 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service dict { chroot = client_limit = 1 drop_priv_before_exec = no executable = dict extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = unix_listener dict { group = $default_internal_group mode = 0660 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service director { chroot = . client_limit = 0 drop_priv_before_exec = no executable = director extra_groups = fifo_listener login/proxy-notify { group = mode = 00 user = } group = idle_kill = 4294967295 secs inet_listener { address = haproxy = no port = 0 reuse_port = no ssl = no } privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener director-admin { group = mode = 0600 user = } unix_listener director-userdb { group = mode = 0600 user = } unix_listener login/director { group = mode = 00 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service dns-client { chroot = client_limit = 1 drop_priv_before_exec = no executable = dns-client extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = unix_listener dns-client { group = mode = 0666 user = } unix_listener login/dns-client { group = mode = 0666 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service doveadm { chroot = client_limit = 1 drop_priv_before_exec = no executable = doveadm-server extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 1 type = unix_listener doveadm-server { group = mode = 0600 user = } user = vsz_limit = 18446744073709551615 B } service health-check { chroot = client_limit = 1 drop_priv_before_exec = yes executable = script -p health-check.sh extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = user = $default_internal_user vsz_limit = 18446744073709551615 B } service imap-hibernate { chroot = client_limit = 0 drop_priv_before_exec = no executable = imap-hibernate extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = imap service_count = 0 type = unix_listener imap-hibernate { group = $default_internal_group mode = 0660 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service imap-login { chroot = login client_limit = 0 drop_priv_before_exec = no executable = imap-login extra_groups = group = idle_kill = 0 inet_listener imap { address = haproxy = no port = 143 reuse_port = no ssl = no } inet_listener imaps { address = haproxy = no port = 993 reuse_port = no ssl = yes } privileged_group = process_limit = 0 process_min_avail = 2 protocol = imap service_count = 0 type = login user = $default_login_user vsz_limit = 18446744073709551615 B } service imap-urlauth-login { chroot = token-login client_limit = 0 drop_priv_before_exec = no executable = imap-urlauth-login extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = imap service_count = 1 type = login unix_listener imap-urlauth { group = mode = 0666 user = } user = $default_login_user vsz_limit = 18446744073709551615 B } service imap-urlauth-worker { chroot = client_limit = 1 drop_priv_before_exec = no executable = imap-urlauth-worker extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 1024 process_min_avail = 0 protocol = imap service_count = 1 type = unix_listener imap-urlauth-worker { group = mode = 0600 user = $default_internal_user } user = vsz_limit = 18446744073709551615 B } service imap-urlauth { chroot = client_limit = 1 drop_priv_before_exec = no executable = imap-urlauth extra_groups = group = idle_kill = 0 privileged_group = process_limit = 1024 process_min_avail = 0 protocol = imap service_count = 1 type = unix_listener token-login/imap-urlauth { group = mode = 0666 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service imap { chroot = client_limit = 1 drop_priv_before_exec = no executable = imap extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 2048 process_min_avail = 0 protocol = imap service_count = 1 type = unix_listener imap-master { group = mode = 0600 user = } unix_listener login/imap { group = mode = 0666 user = } user = vsz_limit = 1 G } service indexer-worker { chroot = client_limit = 1 drop_priv_before_exec = no executable = indexer-worker extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 10 process_min_avail = 0 protocol = service_count = 0 type = worker unix_listener indexer-worker { group = mode = 0600 user = $default_internal_user } user = vsz_limit = 18446744073709551615 B } service indexer { chroot = client_limit = 0 drop_priv_before_exec = no executable = indexer extra_groups = group = idle_kill = 0 privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener indexer { group = mode = 0666 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service ipc { chroot = empty client_limit = 0 drop_priv_before_exec = no executable = ipc extra_groups = group = idle_kill = 0 privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener ipc { group = mode = 0600 user = $default_internal_user } unix_listener login/ipc-proxy { group = mode = 0600 user = $default_login_user } user = $default_internal_user vsz_limit = 18446744073709551615 B } service lmtp { chroot = client_limit = 1 drop_priv_before_exec = no executable = lmtp extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = lmtp service_count = 0 type = unix_listener lmtp { group = mode = 0666 user = } user = vsz_limit = 18446744073709551615 B } service log { chroot = client_limit = 0 drop_priv_before_exec = no executable = log extra_groups = group = idle_kill = 4294967295 secs privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = log unix_listener log-errors { group = mode = 0600 user = } user = vsz_limit = 18446744073709551615 B } service managesieve-login { chroot = login client_limit = 0 drop_priv_before_exec = no executable = managesieve-login extra_groups = group = idle_kill = 0 inet_listener sieve { address = haproxy = no port = 4190 reuse_port = no ssl = no } privileged_group = process_limit = 0 process_min_avail = 0 protocol = sieve service_count = 0 type = login user = $default_login_user vsz_limit = 64 M } service managesieve { chroot = client_limit = 1 drop_priv_before_exec = no executable = managesieve extra_groups = group = idle_kill = 0 privileged_group = process_limit = 1024 process_min_avail = 0 protocol = sieve service_count = 1 type = unix_listener login/sieve { group = mode = 0666 user = } user = vsz_limit = 18446744073709551615 B } service old-stats { chroot = empty client_limit = 0 drop_priv_before_exec = no executable = old-stats extra_groups = fifo_listener old-stats-mail { group = mode = 0600 user = } fifo_listener old-stats-user { group = mode = 0600 user = } group = idle_kill = 4294967295 secs privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener old-stats { group = mode = 0600 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service pop3-login { chroot = login client_limit = 0 drop_priv_before_exec = no executable = pop3-login extra_groups = group = idle_kill = 0 inet_listener pop3 { address = haproxy = no port = 110 reuse_port = no ssl = no } inet_listener pop3s { address = haproxy = no port = 995 reuse_port = no ssl = yes } privileged_group = process_limit = 0 process_min_avail = 0 protocol = pop3 service_count = 1 type = login user = $default_login_user vsz_limit = 18446744073709551615 B } service pop3 { chroot = client_limit = 1 drop_priv_before_exec = no executable = pop3 extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 512 process_min_avail = 0 protocol = pop3 service_count = 1 type = unix_listener login/pop3 { group = mode = 0666 user = } user = vsz_limit = 18446744073709551615 B } service replicator { chroot = client_limit = 0 drop_priv_before_exec = no executable = replicator extra_groups = group = idle_kill = 4294967295 secs privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener replicator-doveadm { group = mode = 00 user = $default_internal_user } unix_listener replicator { group = mode = 0600 user = $default_internal_user } user = vsz_limit = 18446744073709551615 B } service stats { chroot = client_limit = 0 drop_priv_before_exec = no executable = stats extra_groups = group = idle_kill = 4294967295 secs privileged_group = process_limit = 1 process_min_avail = 0 protocol = service_count = 0 type = unix_listener login/stats-writer { group = mode = 0600 user = $default_login_user } unix_listener stats-reader { group = vmail mode = 0666 user = } unix_listener stats-writer { group = vmail mode = 0666 user = } user = $default_internal_user vsz_limit = 18446744073709551615 B } service submission-login { chroot = login client_limit = 0 drop_priv_before_exec = no executable = submission-login extra_groups = group = idle_kill = 0 inet_listener submission { address = haproxy = no port = 587 reuse_port = no ssl = no } privileged_group = process_limit = 0 process_min_avail = 0 protocol = submission service_count = 1 type = login user = $default_login_user vsz_limit = 18446744073709551615 B } service submission { chroot = client_limit = 1 drop_priv_before_exec = no executable = submission extra_groups = $default_internal_group group = idle_kill = 0 privileged_group = process_limit = 2048 process_min_avail = 0 protocol = submission service_count = 1 type = unix_listener login/submission { group = mode = 0666 user = } user = vsz_limit = 18446744073709551615 B } service tcpwrap { chroot = client_limit = 1 drop_priv_before_exec = no executable = tcpwrap extra_groups = group = idle_kill = 0 privileged_group = process_limit = 0 process_min_avail = 0 protocol = service_count = 0 type = user = $default_internal_user vsz_limit = 18446744073709551615 B } shutdown_clients = yes ssl = yes ssl_alt_cert = ssl_alt_key = ssl_ca = References: <9c3fef02-b831-47dd-ab14-7ee2d7377de7@schani.com> <92f01ead-6095-49d8-a208-e4b223017702@tachtler.net> <57601782-aae3-4d4c-82c6-d1ee2860cb10@tachtler.net> Message-ID: <34a93faf-a22b-45f5-a28b-f858aec6d035@schani.com> Hallo Klaus, ich hab das jetzt mit Postfix am laufen. Der Grund gegen postfwd war das ich nicht noch ein Tool lernen will. Keep it simple. Hier die Lösung: main.cf ------------------------- # In der Transportmap werden isp´s ausgebremst. # Emails können nur langsam an dieses rausgehen. # Bitte nicht das kompilieren vergessen postmap /etc/postfix/transport transport_maps = hash:/etc/postfix/transport # transport_destination_rate_delay = Verzögerung bis zur nächsten # Nachricht an eine Domain = 12 Minuten = Eine Email # alle 12 Min an aol.com # # transport_destination_concurrency_limit = Anzahl der gleichzeitig # ausgelieferten Emails an eine Domain. # (Weis nicht ob das Sinn macht bei rate_delay) # Versand Gesamt etwas ausbremsen default_destination_rate_delay = 1s default_destination_concurrency_limit = 10 # Stufe 1 slow_transport_destination_rate_delay = 12m slow_transport_destination_concurrency_limit = 2 # Stufe 2 medium_transport_destination_rate_delay = 2m medium_transport_destination_concurrency_limit = 2 # Alle anderen die nicht auf der transport Liste stehen wurden # mit default leicht ausgebremst master.cf ------------------------ im master.cf hinzufügen slow_transport unix - - n - - smtp medium_transport unix - - n - - smtp transport ----------------------- 4.16.55.1 slow_transport: aol.com slow_transport: cableone.net slow_transport: gmail.com medium_transport: web.de medium_transport: gmx.net medium_transport: t-online.de medium_transport: verizon.net slow_transport: yahoo.com slow_transport: Am 11.12.2024 um 12:50 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Christian, > > wir nutzen das auch nur für eine handvoll Empfänger und unsere Konfiguration umfasst nur 8 Zeilen. > > Die Integration in Postfix, via z.B. check_policy_service ip:Port ist auch total einfach (z.B. smtpd_relay_restrictions) > > > Grüße > Klaus. > From list+postfixbuch at gcore.biz Thu Dec 12 01:51:03 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Thu, 12 Dec 2024 01:51:03 +0100 Subject: Minimalistisches Postfix Setup In-Reply-To: References:

Message-ID: <74BB8A16-FDEA-4136-93CB-6220B0B169B6@gcore.biz> > Ich habe mir nun die Zeit genommen, auch selbst die postfix-manpages (gezielter als ich es ursprünglich gemacht habe) durchzuschauen um alles wirklich zu verstehen und habe einiges angepasst. > > Zwei offene Punkte hätte ich noch: > > Alle smtp_*-Einträge kann ich mit besten Gewissen löschen - richtig? > SMTP-Auth von Postfix habe ich bereits seit einiger Zeit deaktiviert (hatte es kurzfristig mal aktiviert), trotzdem blockt fail2ban immernoch einige Versuche weg. Ich gehe davon aus, dass die Clients einfach versuchen es zu machen und zu blöde sind zu checken das es nicht mehr deaktiviert ist - und da es trotzdem als Versuch geloggt wird, bannt fail2ban die Clients trotzdem? (ich blocke nach 2 Fehlversuchen) Das kann sein. Ich würde überprüfen was angeboten wird. Hier ein Beispiel mit submission: $ openssl s_client -connect mx1.example.com:587 -starttls smtp CONNECTED(00000003) ... 250 CHUNKING EHLO client1.example.com 250-mx1.example.com 250-PIPELINING 250-SIZE 22040192 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 CHUNKING QUIT DONE Man muss nur EHLO eingeben und danach QUIT. Sollte irgendwas mit 250-AUTH vorkommen, wird Authentifizierung angeboten. Üblicherweise wird auf Port 25 kein AUTH (sasl) mehr konfiguriert, das läuft über die dedizierten Ports 587 (submission) bzw. 465 (smtps/submissions). smtpd_sasl_auth_enable sollte daher nicht in der main.cf aktiviert werden, dann gilt es nämlich für alle Ports (auch 25), sondern nur beim entsprechenden Dienst in der master.cf. Um zu sehen warum manche Clients von fail2ban geblockt werden, würde ich die Meldungen aus dem Postfix-Log und die regulären Ausdrücke von fail2ban anschauen. Soweit ich mich erinnere liegen die Regexes in den Configdateien in /etc/fail2ban/.... Wenn postfix kein 250-AUTH anbietet kann nichts passieren, außer dass bei entsprechend vielen Zugriffen das Maillog vollgemüllt wird oder die maximale Anzahl gleichzeitiger SMTP-Sessions erreicht wird und gewollte Mails ggf. verzögert angenommen werden. Das kann man in Kauf nehmen oder postscreen vorschalten (Event-Loop; viele Verbindungen werden asynchron vom selben Prozess verwaltet; unterstützt kein AUTH) oder man nutzt sowas wie fail2ban. Letzteres sperrt IPs über die Firewall, so dass die Anfragen nicht mehr bei Postfix ankommen und dann auch im Log weniger los ist. https://www.postfix.org/POSTSCREEN_README.html Viele Grüße Gerald -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From usenet at schani.com Tue Dec 17 13:01:07 2024 From: usenet at schani.com (christian) Date: Tue, 17 Dec 2024 13:01:07 +0100 Subject: Sieve funktioniert nicht mehr und finde den Fehler nicht In-Reply-To: <3d22bf06-022c-4a08-a74a-e7264d4fca2f@schani.com> References: <3d22bf06-022c-4a08-a74a-e7264d4fca2f@schani.com> Message-ID: Kann mir Bitte jemand einen Tipp geben? Besten Dank Christian Am 11.12.2024 um 22:46 schrieb christian via Postfixbuch-users: > Hallo, > Ich frage mal hier, da ich weis das hier die Leute sind die sich > auskennen. Es ist zwar nicht ganz Postfix aber fast ;-) > > Seit ein paar Wochen habe ich das Problem das mein lokalen user sieve > Scripte nicht mehr funktionieren. Ich hab auch mal mein gesamte postconf > -n angehängt. > > Ich habe das filtern von Emails die von Rspamd als Spam markiert wurden > im before.sieve Script eingerichtet und das funktioniert einwandfrei. > Aber die User Scripte die mittels ManagedSieve über Roundcube Webmailer > angelegt wurden funktionieren nicht mehr. Auch die habe ich jetzt neu > angelegt und überprüft. sieve-test beanstandet nichts. > > Ich habe den verdacht das es mit dem Update von Debian 12.6 > zusammenpasst. Kann sich da was fundamentales verändert haben? Kann mir > das aber nicht vorstellen. > > Jetzt habe ich Dovecot komplett neu installiert und alle Dateirechte > überprüft, aber ich konnte das Problem nicht lösen. Ich nutze Sieve mit > dovecot schon 15 Jahre und hatte noch nie Probleme - hat einfach > funktioniert. > > Außerdem bringe ich Dovecot nicht dazu sieve Funktionen in die /var/log/ > dovecot/sieve.log file zu protokollieren. Die "sieve_trace_dir" Files > werden angelegt, aber nur die von before.sieve > > before.sieve, global.sieve, default.sieve werden automatisch in eine > svbin gerechnet. Bei den User Scripten passiert das nicht (user scripte > werden nicht aufgerufen?). > > Hier die relevanten Einträge in 90-sieve.conf: > > plugin { > sieve_extensions = +editheader > sieve = file:/var/customers/sieve/%u/;active=/var/customers/sieve/ > %u/.dovecot.sieve > sieve_dir = /var/customers/sieve/ > sieve_default = /var/customers/sieve/default.sieve > sieve_global = /var/customers/sieve/global.sieve > sieve_before = /var/customers/sieve/before.sieve > sieve_user_log = /var/log/dovecot/sieve.log > sieve_trace_dir = /var/log/dovecot/sieve > sieve_compile_binary = yes > sieve_trace_level = matching > sieve_trace_debug = yes > sieve_debug = yes > } > > Hier ein Log Eintrag in info_log_path = /var/log/dovecot/dovecot-lda.log: > > Dec 08 12:57:44 lda(info at domain.info)<2664475>: > Info: sieve: msgid=<20241208115741.7792d7fe54743ef8 at fgfunnelsmail.com>: > fileinto action: stored mail into mailbox 'INBOX' > > Hier ein Log Eintrag in debug.log: > > Dec 08 13:12:55 lda(info at domain.info)<2680802>: > Debug: sieve: Using the following location for user's Sieve script: / > var/customers/sieve/info at domain.info/.dovecot.sieve > > Aber das user Script wird nicht benutzt. > > Hier das user Directory von /var/customers/sieve/info at domain.info: > > /var/customers/sieve/info at domain.info # ls -lah > total 24K > drwxr-x--- 3 vmail vmail 4.0K Dec 8 13:07 . > drwxr-x--- 51 vmail vmail 4.0K Dec 7 19:40 .. > lrwxrwxrwx 1 vmail vmail 12 Dec 7 15:23 .dovecot.sieve -> filter.sieve > -rw-r----- 1 vmail vmail 95 Dec 8 13:07 filter.sieve > -rwxr-x--- 1 vmail vmail 212 Dec 7 19:40 filter.svbin > drwxr-x--- 2 vmail vmail 4.0K Dec 8 13:07 tmp > > Und der Filter - filter.sieve: > > require ["copy"]; > # rule: [Redirect] > if true > { > redirect :copy "christian at domain.info"; > } > > Das sieve_user_log = /var/log/dovecot/sieve.log file bleibt leer. Die > Schreibrechte auf das Lok File sind OK und es stehen auch keine Error > Einträge in dovecot.log oder debug.log. > > > Könnt Ihr mir Bitte helfen. Danke für Tipps > > Christian > > PS.: Debian 12.7, Aktuelles Postfix, Aktuelles Dovecot, Aktuelles Rspamd From toag at izsr.de Tue Dec 17 14:22:30 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Tue, 17 Dec 2024 14:22:30 +0100 Subject: Sieve funktioniert nicht mehr und finde den Fehler nicht In-Reply-To: References: <3d22bf06-022c-4a08-a74a-e7264d4fca2f@schani.com> Message-ID: <38F8733A-2A95-4676-8A07-31F64B91ED5A@izsr.de> Moin, Christian, > Kann mir Bitte jemand einen Tipp geben? ich hatte neulich selber merkwürdige Probleme mit Postfix - Dovecot - Sieve, bei mir hatte es geholfen (nach diversen Hinweisen aus dieser Gruppe), sämtliche Konfigs des Dovecot Stück für duchzugehen und auf die richtigen Werte zu setzen. War zum großen Teil der Dreiklang aus Google, try-and-error :\ Bei dir scheint ja aber Sieve grundsätzlich zu gehen. Stimmen denn die Pfade und Variablen, z.B. /var/customers/sieve/info at domain.info/.dovecot.sieve? Übrigens: https://christian.kuelker.info/en_US/Quick-Guide/DevOps/Mail/Dovecot/sieve.html oder https://workaround.org/ispmail/jessie/postfix-dovecot kennst Du? Schöne Grüße Toag > Besten Dank > Christian > > Am 11.12.2024 um 22:46 schrieb christian via Postfixbuch-users: >> Hallo, >> Ich frage mal hier, da ich weis das hier die Leute sind die sich auskennen. Es ist zwar nicht ganz Postfix aber fast ;-) >> Seit ein paar Wochen habe ich das Problem das mein lokalen user sieve Scripte nicht mehr funktionieren. Ich hab auch mal mein gesamte postconf -n angehängt. >> Ich habe das filtern von Emails die von Rspamd als Spam markiert wurden im before.sieve Script eingerichtet und das funktioniert einwandfrei. >> Aber die User Scripte die mittels ManagedSieve über Roundcube Webmailer angelegt wurden funktionieren nicht mehr. Auch die habe ich jetzt neu angelegt und überprüft. sieve-test beanstandet nichts. >> Ich habe den verdacht das es mit dem Update von Debian 12.6 zusammenpasst. Kann sich da was fundamentales verändert haben? Kann mir das aber nicht vorstellen. >> Jetzt habe ich Dovecot komplett neu installiert und alle Dateirechte überprüft, aber ich konnte das Problem nicht lösen. Ich nutze Sieve mit dovecot schon 15 Jahre und hatte noch nie Probleme - hat einfach funktioniert. >> Außerdem bringe ich Dovecot nicht dazu sieve Funktionen in die /var/log/ dovecot/sieve.log file zu protokollieren. Die "sieve_trace_dir" Files werden angelegt, aber nur die von before.sieve >> before.sieve, global.sieve, default.sieve werden automatisch in eine svbin gerechnet. Bei den User Scripten passiert das nicht (user scripte werden nicht aufgerufen?). >> Hier die relevanten Einträge in 90-sieve.conf: >> plugin { >> sieve_extensions = +editheader >> sieve = file:/var/customers/sieve/%u/;active=/var/customers/sieve/ %u/.dovecot.sieve >> sieve_dir = /var/customers/sieve/ >> sieve_default = /var/customers/sieve/default.sieve >> sieve_global = /var/customers/sieve/global.sieve >> sieve_before = /var/customers/sieve/before.sieve >> sieve_user_log = /var/log/dovecot/sieve.log >> sieve_trace_dir = /var/log/dovecot/sieve >> sieve_compile_binary = yes >> sieve_trace_level = matching >> sieve_trace_debug = yes >> sieve_debug = yes >> } >> Hier ein Log Eintrag in info_log_path = /var/log/dovecot/dovecot-lda.log: >> Dec 08 12:57:44 lda(info at domain.info)<2664475>: Info: sieve: msgid=<20241208115741.7792d7fe54743ef8 at fgfunnelsmail.com>: fileinto action: stored mail into mailbox 'INBOX' >> Hier ein Log Eintrag in debug.log: >> Dec 08 13:12:55 lda(info at domain.info)<2680802>: Debug: sieve: Using the following location for user's Sieve script: / var/customers/sieve/info at domain.info/.dovecot.sieve >> Aber das user Script wird nicht benutzt. >> Hier das user Directory von /var/customers/sieve/info at domain.info: >> /var/customers/sieve/info at domain.info # ls -lah >> total 24K >> drwxr-x--- 3 vmail vmail 4.0K Dec 8 13:07 . >> drwxr-x--- 51 vmail vmail 4.0K Dec 7 19:40 .. >> lrwxrwxrwx 1 vmail vmail 12 Dec 7 15:23 .dovecot.sieve -> filter.sieve >> -rw-r----- 1 vmail vmail 95 Dec 8 13:07 filter.sieve >> -rwxr-x--- 1 vmail vmail 212 Dec 7 19:40 filter.svbin >> drwxr-x--- 2 vmail vmail 4.0K Dec 8 13:07 tmp >> Und der Filter - filter.sieve: >> require ["copy"]; >> # rule: [Redirect] >> if true >> { >> redirect :copy "christian at domain.info"; >> } >> Das sieve_user_log = /var/log/dovecot/sieve.log file bleibt leer. Die Schreibrechte auf das Lok File sind OK und es stehen auch keine Error Einträge in dovecot.log oder debug.log. >> Könnt Ihr mir Bitte helfen. Danke für Tipps >> Christian >> PS.: Debian 12.7, Aktuelles Postfix, Aktuelles Dovecot, Aktuelles Rspamd > From Peer-Joachim.Koch at leibniz-hki.de Wed Dec 18 21:06:23 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 18 Dec 2024 21:06:23 +0100 Subject: offtopic: Thunderbird connection timeout Message-ID: <67632B3F020000E9000A47FB@weida.hki-jena.de> Hallo zusammen, wir haben seit einiger Zeit ein merkwürdiges mit IMAP Zugriffen von außen. Thunderbird meldet connection timeout. Nimmt man andere IMAP Clients geht es ?!?! Ein Nutzer berichtet, das eine alte ESR Version unter Linux wieder verbindet. Bin gerade noch unter Windows am testen. Was könnte Thunderbird abhalten sich zu verbinden, wenn andere Clients sich verbinden können ? Einstellungen bzw. Zertifikate wurden nicht verändert. Ciao Peer ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de [Peer-Joachim.Koch at Leibniz-HKI.de] -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From toag at izsr.de Thu Dec 19 07:22:27 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Thu, 19 Dec 2024 07:22:27 +0100 Subject: offtopic: Thunderbird connection timeout In-Reply-To: <67632B3F020000E9000A47FB@weida.hki-jena.de> References: <67632B3F020000E9000A47FB@weida.hki-jena.de> Message-ID: <886069EC-3CAD-4868-9CE7-7D4C05FFC2C5@izsr.de> Moin, Peer, > wir haben seit einiger Zeit ein merkwürdiges mit IMAP Zugriffen von außen. > Thunderbird meldet connection timeout. Nimmt man andere IMAP Clients geht es ?!?! > Ein Nutzer berichtet, das eine alte ESR Version unter Linux wieder verbindet. > Bin gerade noch unter Windows am testen. > Was könnte Thunderbird abhalten sich zu verbinden, wenn andere Clients > sich verbinden können ? Einstellungen bzw. Zertifikate wurden nicht verändert. bei uns tritt das bei einem Kunden immer mal wieder auf einem Terminalserver auf, wenn Windows-Server und/oder Mailserver (Dovecot / Debian) unter Last geraten. Dann kommt es zu Time-Outs oder zu dem Phänomen, dass Mails gesendet werden, aber die Fehlermeldung ?konnte nicht im Ordner ?Gesendet? gespeichert werden? aufploppt. Das Phänomen tritt aber eher selten auf und offenbar unabhängig von der Thunderbird-Version. Schöne Grüße Tim-Ole From postfixbuch-users at 0xaffe.de Thu Dec 19 08:09:00 2024 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Thu, 19 Dec 2024 08:09:00 +0100 Subject: offtopic: Thunderbird connection timeout In-Reply-To: <67632B3F020000E9000A47FB@weida.hki-jena.de> References: <67632B3F020000E9000A47FB@weida.hki-jena.de> Message-ID: <2d63cb2d-e3ba-4b06-9941-a2700d3ed8db@0xaffe.de> Hallo Peer, Am 18.12.24 um 21:06 schrieb Peer-Joachim Koch via Postfixbuch-users: > Was könnte Thunderbird abhalten sich zu verbinden, wenn andere Clients > sich verbinden können ? Einstellungen bzw. Zertifikate wurden nicht > verändert. Habt Ihr bereits auf der Client-Seite einen Wireshark laufen lassen? Dieses Fehlerbild hört sich stark nach einem MTU-Problem (PPPoE?) an. Sprich: irgendein "schlauer" Firewall-Admin (oder Middlebox-Hersteller) hat vermutlich ICMP geblockt und es findet kein MSS-Clamping statt. Insbesondere bei TLS-Verbindungen (IMAPS) kommt dann schon der TLS-Handshake nicht zu Stande, weil der Server versucht das Zertifikat zu senden, es aber nie beim Client ankommt, weil 1500 Bytes eben nicht durch das "1492-Bytes-Nadelöhr" passen. Keine Ahnung was die anderen Clients anders machen. Besteht das Problem wirklich nur bei Thunderbird und andere IMAP-Clients beim selben Client-Gerät funktionieren? Viele Grüße Mathias -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From rainer at wiesi.info Thu Dec 19 08:32:15 2024 From: rainer at wiesi.info (rainer at wiesi.info) Date: Thu, 19 Dec 2024 08:32:15 +0100 Subject: offtopic: Thunderbird connection timeout In-Reply-To: <67632B3F020000E9000A47FB@weida.hki-jena.de> References: <67632B3F020000E9000A47FB@weida.hki-jena.de> Message-ID: <51436577-c9c5-480c-92d1-aa08ea3e8124@wiesi.info> Am 18.12.2024 um 21:06 schrieb Peer-Joachim Koch via Postfixbuch-users: > Hallo zusammen, > wir haben seit einiger Zeit ein merkwürdiges mit IMAP Zugriffen von außen. > Thunderbird meldet connection timeout. Nimmt man andere IMAP Clients > geht es ?!?! > [...] Hallo, keine Ahnung, ob das bei Dir ein Thema sein könnte: Ich hatte vor ein paar Wochen das Problem, dass Thunderbird nicht verbinden wollte, weil ich den Server über die IPv4-Adresse statt mit FQDN angegeben hatte. Viele Grüße Rainer -- # Rainer Wiesenfarth