From frank.duerring at condero.com  Wed Jan 10 11:12:45 2024
From: frank.duerring at condero.com (=?utf-8?B?IkZyYW5rIEouIETDvHJyaW5nIg==?=)
Date: Wed, 10 Jan 2024 11:12:45 +0100
Subject: Weiterleitungen - Absender umschreiben?
Message-ID: <6621FD71-6240-4649-984C-D9BAE3C0A5BE@condero.com>

Hallo zusammen,

ich habe ein paar Mailverteiler für einen Verein auf meinem Server.
Ich nutze absichtlich keine Mailinglist Software wie Mailman, weil das viel zu umständlich ist für die benötigten Zwecke und es eine weitere Software ist, die Sicherheitslücken haben kann.

Ich löse das ganze derzeit mit einem Sieve-Script, das die Vorstände des Vereins selbst anpassen können.

> require ["editheader", "variables", "copy", "imap4flags"];
> # rule:[Weiterleitung]
> if true
> {
>         if header :matches "Subject" "*" {
>            # ... to get it in a match group that can then be stored in a variable:
>            set "subject" "${1}";
>         }
> 
>         deleteheader "Subject";
>         addheader :last ?Subject" "[Vereinsname] ${subject}";
> 
>         setflag "\\Seen";
>         redirect :copy "joerg at example.de";
>         redirect :copy "katharina at example.com";
>         redirect :copy "corinna at example.org";
> }

Es gibt also eine E-Mail-Adresse für den Verteiler und alle Mails dorthin werden an die Empfänger weitergeleitet.
Das läuft so zu 99% problemlos seit Jahren.

Leider werden die E-Mails an die Empfänger aber mit demselben Absender verschickt.
z.B. hans at yahoo.de -> verteiler at example.com -> petra at gmail.com 

Deshalb machen die großen Provider (Google, Telekom, Yahoo, GMX) hier Schwierigkeiten. 

Diese Mails werden inzwischen von Gmail abgelehnt, weil gmx.de im SPF keinen Eintrag für meinen Mailserver hat.
Deshalb sollte hier der Absender hans at yahoo.de in verteiler at example.com geändert werden, falls das geht.

> Jan  9 22:37:45 mx10 postfix/smtp[29530]: 296CD5EC6A: to=<petra at gmail.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:4013:c08::1b]:25, delay=2, delays=1.3/0.03/0.13/0.54, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:4013:c08::1b] said: 550-5.7.26 Unauthenticated email from yahoo.de is not accepted due to domain's 550-5.7.26 DMARC policy. Please contact the administrator of yahoo.de domain if 550-5.7.26 this was a legitimate mail. To learn about the DMARC initiative, go 550-5.7.26 to 550 5.7.26  https://support.google.com/mail/?p=DmarcRejection dx4-20020a170906a84400b00a28e78d7786si1095985ejb.342 - gsmtp (in reply to end of DATA command))


Hat mir jemand einen Tipp, wie ich das umsetzen kann?

Danke und Gruß
Frank.

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240110/c92e2ebe/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3705 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240110/c92e2ebe/attachment.p7s>

From ronny at seffner.de  Wed Jan 10 13:39:18 2024
From: ronny at seffner.de (ronny at seffner.de)
Date: Wed, 10 Jan 2024 13:39:18 +0100
Subject: AW: Weiterleitungen - Absender umschreiben?
In-Reply-To: <6621FD71-6240-4649-984C-D9BAE3C0A5BE@condero.com>
References: <6621FD71-6240-4649-984C-D9BAE3C0A5BE@condero.com>
Message-ID: <015601da43c2$0901cbc0$1b056340$@seffner.de>

Hallo Frank,

ich glaube Du hast das Problem falsch herum verstanden.

> 	Jan  9 22:37:45 mx10 postfix/smtp[29530]: 296CD5EC6A:
> to=<petra at gmail.com>, relay=gmail-smtp-
> in.l.google.com[2a00:1450:4013:c08::1b]:25, delay=2,
> delays=1.3/0.03/0.13/0.54, dsn=5.7.26, status=bounced (host gmail-smtp-
> in.l.google.com[2a00:1450:4013:c08::1b] said: 550-5.7.26 Unauthenticated
> email from yahoo.de is not accepted due to domain's 550-5.7.26 DMARC
> policy. Please contact the administrator of yahoo.de domain if 550-5.7.26 this
> was a legitimate mail. To learn about the DMARC initiative, go 550-5.7.26 to
> 550 5.7.26  https://support.google.com/mail/?p=DmarcRejection dx4-
> 20020a170906a84400b00a28e78d7786si1095985ejb.342 - gsmtp (in reply to
> end of DATA command))
> 

Der Absender der weitergeleiteten Mail bleibt hans at yahoo.de.
Die Empfängerseite (gmail) guckt nun nach Richtlinien (DMARC) für den Absender yahoo.de und stellt fest, dass so adressierte Post nicht von Deinem Server zu kommen hat.

Wenn ich das richtig interpretiere wäre die Lösung also, dass Du _wirklich_ (header vs. envelope from) als verteiler at example.com "weiterleitest". Wie das in deinem sieve-Beispiel umzusetzen ist, kann ich Dir aber leider nicht verraten.


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner



From klaus at tachtler.net  Wed Jan 10 13:45:49 2024
From: klaus at tachtler.net (Klaus Tachtler)
Date: Wed, 10 Jan 2024 13:45:49 +0100 (GMT+01:00)
Subject: Weiterleitungen - Absender umschreiben?
In-Reply-To: <6621FD71-6240-4649-984C-D9BAE3C0A5BE@condero.com>
References: <6621FD71-6240-4649-984C-D9BAE3C0A5BE@condero.com>
Message-ID: <9a6de714-fe22-4b11-a5e2-d03dcc5c9ec9@tachtler.net>

Hallo Frank,

schau mal hier:
- https://www.postfix.org/canonical.5.html
oder, das habe ich mal für mich aufgeschrieben:
- https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7&s[]=canonical#sender_canonical_maps


Grüße
Klaus.

-- 
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.

Von: "Frank J. Dürring" via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Kopie: "Frank J. Dürring" <frank.duerring at condero.com>
Datum: 10.01.2024 11:18:32
Betreff: Weiterleitungen - Absender umschreiben?

> Hallo zusammen,
> 
> ich habe ein paar Mailverteiler für einen Verein auf meinem Server.
> Ich nutze absichtlich keine Mailinglist Software wie Mailman, weil das viel zu umständlich ist für die benötigten Zwecke und es eine weitere Software ist, die Sicherheitslücken haben kann.
> 
> Ich löse das ganze derzeit mit einem Sieve-Script, das die Vorstände des Vereins selbst anpassen können.
> 
>> require ["editheader", "variables", "copy", "imap4flags"];
>> # rule:[Weiterleitung]
>> if true
>> {
>>         if header :matches "Subject" "*" {
>>            # ... to get it in a match group that can then be stored in a variable:
>>            set "subject" "${1}";
>>         }
>> 
>>         deleteheader "Subject";
>>         addheader :last ?Subject" "[Vereinsname] ${subject}";
>> 
>>         setflag "\\Seen";
>>         redirect :copy "joerg at example.de";
>>         redirect :copy "katharina at example.com";
>>         redirect :copy "corinna at example.org";
>> }
> 
> Es gibt also eine E-Mail-Adresse für den Verteiler und alle Mails dorthin werden an die Empfänger weitergeleitet.
> Das läuft so zu 99% problemlos seit Jahren.
> 
> Leider werden die E-Mails an die Empfänger aber mit demselben Absender verschickt.
> z.B. hans at yahoo.de -> verteiler at example.com -> petra at gmail.com 
> 
> Deshalb machen die großen Provider (Google, Telekom, Yahoo, GMX) hier Schwierigkeiten. 
> 
> Diese Mails werden inzwischen von Gmail abgelehnt, weil gmx.de im SPF keinen Eintrag für meinen Mailserver hat.
> Deshalb sollte hier der Absender hans at yahoo.de in verteiler at example.com geändert werden, falls das geht.
> 
>> Jan  9 22:37:45 mx10 postfix/smtp[29530]: 296CD5EC6A: to=<petra at gmail.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:4013:c08::1b]:25, delay=2, delays=1.3/0.03/0.13/0.54, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:4013:c08::1b] said: 550-5.7.26 Unauthenticated email from yahoo.de is not accepted due to domain's 550-5.7.26 DMARC policy. Please contact the administrator of yahoo.de domain if 550-5.7.26 this was a legitimate mail. To learn about the DMARC initiative, go 550-5.7.26 to 550 5.7.26  https://support.google.com/mail/?p=DmarcRejection dx4-20020a170906a84400b00a28e78d7786si1095985ejb.342 - gsmtp (in reply to end of DATA command))
> 
> Hat mir jemand einen Tipp, wie ich das umsetzen kann?
> 
> Danke und Gruß
> Frank.
> 

-- 

---------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------



From usenet at schani.com  Fri Jan 26 21:19:15 2024
From: usenet at schani.com (christian)
Date: Fri, 26 Jan 2024 21:19:15 +0100
Subject: Emails nur annehmen wenn sie vom MX Host kommt
Message-ID: <a3b4c07c-6d32-4b4a-b8cc-50cc0cfe98ae@schani.com>

Hallo,
kann ich Postfix beibringen das nur Emails angenommen werden die Auth 
sind und von der eingetragenen MX Domain kommen.

Also eine Email ist Passwort Autorisiert, angenommen und weitergeleitet 
zu werden:

peter at mustermann.de, der MX Eintrag der Domain mustermann.de ist aber 
mx-domain.de.

Also soll Postfix nur Emails annehmen die an die mx-domain.de gesendet 
werden. Bzw die Auth Funktion reagiert nur auf der mx-domain.de, alle 
anderen Domains dürfen nicht.

Meist ist es ja so das User mit eigener Domain auch als smtp Server ihre 
eigene Domain im Email Client eintragen, aber ich möchte das sie nur 
eine bestimmte Domain verwenden.

Danke für Tipps

Christian


From ronny at seffner.de  Sat Jan 27 08:45:47 2024
From: ronny at seffner.de (Ronny Seffner)
Date: Sat, 27 Jan 2024 08:45:47 +0100
Subject: Emails nur annehmen wenn sie vom MX Host kommt
In-Reply-To: <a3b4c07c-6d32-4b4a-b8cc-50cc0cfe98ae@schani.com>
Message-ID: <dd3b9b4b-9ff8-426c-ae0c-309a88db2fac@email.android.com>

Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240127/07576608/attachment.htm>

From driessen at fblan.de  Sat Jan 27 09:50:22 2024
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Sat, 27 Jan 2024 09:50:22 +0100
Subject: AW: Emails nur annehmen wenn sie vom MX Host kommt
In-Reply-To: <dd3b9b4b-9ff8-426c-ae0c-309a88db2fac@email.android.com>
References: <a3b4c07c-6d32-4b4a-b8cc-50cc0cfe98ae@schani.com>
 <dd3b9b4b-9ff8-426c-ae0c-309a88db2fac@email.android.com>
Message-ID: <!&!AAAAAAAAAAAYAAAAAAAAACblh13vZkVFtQ7kfaZOE4PCgAAAEAAAALCABkzxI5NLsb/8ey8CwIsBAAAAAA==@fblan.de>

> Am 26.01.2024 21:19 schrieb christian via Postfixbuch-users <postfixbuch-
> users at listen.jpberlin.de>:
> 
> 
> 	Hallo,
> 	kann ich Postfix beibringen das nur Emails angenommen werden die
> Auth

Auth nur auf alternativports 465,587 evtl auch andere IP KEIN port 25 mit auth 


> 	sind und von der eingetragenen MX Domain kommen.
> 
> 	Also eine Email ist Passwort Autorisiert, angenommen und
> weitergeleitet
> 	zu werden:
> 
> 	peter at mustermann.de, der MX Eintrag der Domain mustermann.de
> ist aber
> 	mx-domain.de.
> 
> 	Also soll Postfix nur Emails annehmen die an die mx-domain.de
> gesendet
> 	werden. Bzw die Auth Funktion reagiert nur auf der mx-domain.de,
> alle
> 	anderen Domains dürfen nicht.
> 
> 	Meist ist es ja so das User mit eigener Domain auch als smtp Server
> ihre
> 	eigene Domain im Email Client eintragen, aber ich möchte das sie nur
> 	eine bestimmte Domain verwenden.

Da wäre die Frage was soll das bringen wenn er sich anmeldet mit Usernamen und PW  sollte es reichen, wird er gehakt einfach neues PW setzen.
Ansonsten kannst du natürlich auch nur ganz bestimmte MX zulassen  

Schau dir mal check_client_access an (ich nutze das um dynip host auszufiltern) 
Die Kombination aber mit absender adresse ......

check_sender_access / check_sender_mx_access

Kaskadierende  Prüfung wenn MX so dann mach Prüfung client und dann mach noch Hostname der Mailadresse

Left by right hand 
mx.domain.de        Dunno , Reject, andere Prüfung 

check_recipient_access hash:/etc/postfix/maps/empfaenger,

Beispiel 

thisisjusttestletter@     REJECT test du mal wo anders dödel
iamjustsendingthisleter@  REJECT send du mal wo anders hin deine testletter hier gibt es nix zu holen
@gmail\.[de|com]          driessen # wieder eigene Restriktionclass

-----
driessen                            =   check_sender_access pcre:/etc/postfix/maps/driessen, pcre:/etc/postfix/maps/dr-spamer

Ein bissel um die Ecke denken dann klappt das mit dem Nachbarn :-)

> 
> 	Danke für Tipps
> 
> 	Christian
> 
> 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 
Mobil 01726688122

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssen, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "
"Wissen macht den Unterschied zu Titel, Titel kosten - Wissen verdient." 
"Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf Andere zu übertragen." 
"Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen."
" Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4916 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240127/3cc191be/attachment.p7s>

From usenet at schani.com  Sun Jan 28 00:44:02 2024
From: usenet at schani.com (christian)
Date: Sun, 28 Jan 2024 00:44:02 +0100
Subject: Emails nur annehmen wenn sie vom MX Host kommt
In-Reply-To: <dd3b9b4b-9ff8-426c-ae0c-309a88db2fac@email.android.com>
References: <dd3b9b4b-9ff8-426c-ae0c-309a88db2fac@email.android.com>
Message-ID: <5d1cef02-47ff-4ebd-b996-d411137803c4@schani.com>

Ja, der Grund ist das ich zwar viele Domains habe um die sich der 
postfix kümmern muss, aber nur für eine Haupt Domain ein starkes 
Zertifikat habe.
Wenn also ein User als smtp Server seine eigene Domain einträgt, wird 
keine verschlüsselte Verbindung erstellt, bzw. gibts Fehler bei der 
Übertragung. Deshalb möchte ich erzwingen das die User nur die MX Domain 
verwenden.
Und noch was. Ich habe gerade den Fall das ein User Account gehackt 
wurde. Also die Zugangsdaten sind ins Darknet gewandert. Jetzt wurde 
kurz mal Spam über seinen Account versendet, aber über seine eigene 
Domain und nicht über die mx domain. Die hacker machen sich nicht die 
mühe die mx domain herauszufinden.



Am 27.01.2024 um 08:45 schrieb Ronny Seffner:
> Moin, wenn ich das richtig verstehe, willst Du, dass die Nutzer als 
> SMTP-out den FQDN entsprechend des MX record setzen und das prüfen? Das 
> kannst Du nicht lösen, da der Client diesen FQDN nur nutzt, um dem 
> Server eine IP-Adresse zuzuordnen. Er verbindet sich dann zur IP und 
> authentifiziert sich. Der eingesetzte FQDN ist dabei nicht Teil des 
> Protokolls und kann nicht vom Server geprüft werden. Darf man fragen, 
> warum Du das willst? Vielleicht gibt es einen anderen Lösungsansatz.
> 
> Am 26.01.2024 21:19 schrieb christian via Postfixbuch-users 
> <postfixbuch-users at listen.jpberlin.de>:
> 
>     Hallo,
>     kann ich Postfix beibringen das nur Emails angenommen werden die Auth
>     sind und von der eingetragenen MX Domain kommen.
> 
>     Also eine Email ist Passwort Autorisiert, angenommen und weitergeleitet
>     zu werden:
> 
>     peter at mustermann.de, der MX Eintrag der Domain mustermann.de ist aber
>     mx-domain.de.
> 
>     Also soll Postfix nur Emails annehmen die an die mx-domain.de gesendet
>     werden. Bzw die Auth Funktion reagiert nur auf der mx-domain.de, alle
>     anderen Domains dürfen nicht.
> 
>     Meist ist es ja so das User mit eigener Domain auch als smtp Server
>     ihre
>     eigene Domain im Email Client eintragen, aber ich möchte das sie nur
>     eine bestimmte Domain verwenden.
> 
>     Danke für Tipps
> 
>     Christian
> 
> 


From Daniel at Mail24.vip  Sun Jan 28 21:51:53 2024
From: Daniel at Mail24.vip (Daniel)
Date: Sun, 28 Jan 2024 21:51:53 +0100
Subject: AW: Microsoft 365 Spam blocken
In-Reply-To: <5fd83221-baaa-4224-a487-ccfa2d05c035@ncxs.de>
References: <3455810.QJadu78ljV@lichtvoll.de>
 <5fd83221-baaa-4224-a487-ccfa2d05c035@ncxs.de>
Message-ID: <001601da522b$d2e81f30$78b85d90$@Mail24.vip>

Moin,

die SA von Heinlein hat wohl zu Microsoft nichts mehr drinnen, und die von Schaal-IT verwende ich nicht mehr da schon 1, 2 mal negativ aufgefallen ist da normale Newsletter stark abgestraft wurden.

Ich habe mal in Header geschaut bei der seriösen wurde ganze noch mit dkim signiert, die Spam Mail hingegen nicht.

Wie würdet ihr ganze umsetzen als extra Regel?

Beispiel 1 würde ja alles von MS entsprechend abwerten.

header LOCAL_O365_SPAM From =~ /@onmicrosoft\.com/i
score LOCAL_O365_SPAM 5.0
describe LOCAL_O365_SPAM Emails from onmicrosoft.com

oder eher Beispiel 2?
ifplugin Mail::SpamAssassin::Plugin::DKIM
  header LOCAL_O365_SPAM_DKIM_FAIL DKIM_Fail
  describe LOCAL_O365_SPAM_DKIM_FAIL DKIM check failed for onmicrosoft.com emails
  score LOCAL_O365_SPAM_DKIM_FAIL 5.0
endif

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Carsten Rosenberg via Postfixbuch-users
Gesendet: Freitag, 22. Dezember 2023 15:49
An: postfixbuch-users at listen.jpberlin.de
Cc: Carsten Rosenberg <cr at ncxs.de>
Betreff: Re: Microsoft 365 Spam blocken

Hey,

Mit Scan/Learn läßt du die Mail im Bayes lernen. Das geht gut, ist meiner Meinung aber nur ein Zubrot.

Was meiner Ansicht nach bei spezifischen Spams hilft ist Fuzzy. Hier gibt es das Fuzzy bei rspamd.com, ihr könnt aber auch eine eigene FuzzyDB lokal betreiben

https://rspamd.com/doc/modules/fuzzy_check.html

https://rspamd.com/doc/workers/fuzzy_storage.html

Dazu noch ein paar extra Multimaps oder Regeln, dann sind die bei mir ganz gut erkannt.

Die Spamassassin Regeln von Heinlein oder Schaal-IT helfen da auch ganz gut. Ich schreib daher so gut wie extra Regeln für einzelne Spam-Templates

https://rspamd.com/doc/modules/spamassassin.html

(Achtung: nicht die Regeln von Spamassasin selbst rein laden, das gibt nur viele viele Warnings und Errors ;)

Viele Grüße

Carsten

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6016 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240128/1f578ece/attachment.p7s>

From martin at lichtvoll.de  Sun Jan 28 22:58:42 2024
From: martin at lichtvoll.de (Martin Steigerwald)
Date: Sun, 28 Jan 2024 22:58:42 +0100
Subject: Microsoft 365 Spam blocken
In-Reply-To: <001601da522b$d2e81f30$78b85d90$@Mail24.vip>
References: <3455810.QJadu78ljV@lichtvoll.de>
 <5fd83221-baaa-4224-a487-ccfa2d05c035@ncxs.de>
 <001601da522b$d2e81f30$78b85d90$@Mail24.vip>
Message-ID: <6022654.lOV4Wx5bFT@lichtvoll.de>

Daniel via Postfixbuch-users - 28.01.24, 21:51:53 CET:
> Ich habe mal in Header geschaut bei der seriösen wurde ganze noch mit
> dkim signiert, die Spam Mail hingegen nicht.
> 
> Wie würdet ihr ganze umsetzen als extra Regel?

Ich hab jetzt pauschal Mails mit "onmicrosoft.com" in From: in rspamd über 
eine Sender-Map mit 5 Punkten bewertet. Ab 10 blockt rspamd hier.

Hintergrund dafür: Nachdem, was ich beobachtet habe, bekomme ich keine 
legitimen Mails mit Mail-Adressen, die auf "onmicrosoft.com" enden. 
Diejenigen an sich legitimen Sender, die Microsoft 365 einsetzen, bekommen 
es in der Regel schon hin, dafür noch eine eigene Domain zu reservieren.

Ich sehe ein gewisses Risiko für falsche Positive, aber derzeit vermisse 
ich auch die wenigen Mails nicht, die ich von Organisationen, die 
Microsoft 365 verwenden, trotz Microsoft 365 entgegen nehmen möchte.

Für jemanden, der einen Mailserver für viele Benutzer betreibt, ist das 
natürlich vielleicht kein sinnvoller Weg. Nachdem Microsoft Abuse 
Complaints von mir ungelesen gelöscht hat, tendiert meine 
Kompromissbereitschaft gegen Null und für meinen privaten Mailserver kann 
ich mir das erlauben.

Dürfte natürlich Microsoft nicht die Bohne interessieren. Aber mir reicht 
es einfach.

Ciao,
-- 
Martin




From Peer-Joachim.Koch at leibniz-hki.de  Tue Jan 30 16:30:44 2024
From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch)
Date: Tue, 30 Jan 2024 16:30:44 +0100
Subject: Frage zu smtp auth & iamp
Message-ID: <8df18cbb-2e10-49e5-9eb5-1319f028f23e@leibniz-hki.de>

Hallo,

kurze Frage in die Runde:
Welche technischen Möglichkeiten gibt es, um smtp und imap 
login-Versuche zu reduzieren und
damit das Risiko zu senken. Fail2ban ist ja nur noch teilweise 
erfolgreich...
Allerdings sollte es eine Lösung sein, die man mit ein paar (xx-xxx) 
Nutzern umsetzen kann,
die teilweise nicht sooo  IT  affin  sind  ;)
Eine sichere Lösung die keiner verwendet(weil zu kompliziert), die Hilft 
einem auch nicht wirklich weiter.

-- 
     Ciao,
        Peer
____________________________________
Leibniz-Institut für Naturstoff-Forschung
und Infektionsbiologie e. V.
Hans-Knöll-Institut (HKI)
Dr. Peer-Joachim Koch
      
Beutenbergstraße 11a
07745 Jena
Tel.: +49 3641 5321029
Fax.: +49 3641 5322029
e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5999 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240130/8c7017d9/attachment.p7s>

From driessen at fblan.de  Tue Jan 30 17:16:20 2024
From: driessen at fblan.de (=?UTF-8?Q?Uwe_Drie=C3=9Fen?=)
Date: Tue, 30 Jan 2024 17:16:20 +0100
Subject: AW: [undef] Frage zu smtp auth & iamp
In-Reply-To: <8df18cbb-2e10-49e5-9eb5-1319f028f23e@leibniz-hki.de>
References: <8df18cbb-2e10-49e5-9eb5-1319f028f23e@leibniz-hki.de>
Message-ID: <!&!AAAAAAAAAAAYAAAAAAAAACblh13vZkVFtQ7kfaZOE4PCgAAAEAAAAGdH3HlC5d1MpW701Bkf4lcBAAAAAA==@fblan.de>

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> bounces at listen.jpberlin.de] Im Auftrag von Peer-Joachim Koch via
> Postfixbuch-users
> Gesendet: Dienstag, 30. Januar 2024 16:31
> An: postfixbuch-users at listen.jpberlin.de
> Cc: Peer-Joachim Koch
> Betreff: [undef] Frage zu smtp auth & iamp
> 
> Hallo,
> 
> kurze Frage in die Runde:
> Welche technischen Möglichkeiten gibt es, um smtp und imap
> login-Versuche zu reduzieren und
> damit das Risiko zu senken. Fail2ban ist ja nur noch teilweise
> erfolgreich...

Ich nutze fail2ban mit IPset da gehen dann auch einige tausend IP's in den bann mit nur einer Firewall Regel 
Bis dato bekommen die nach 2 fehlversuchen eine stunde pause damit bin ich uninteressant wegen Passwort raten 

Nur teilweise erfolgreich ? 
wer schwache PW hat läuft immer gefahr das früher oder später errate wird 

Postfix
    local_destination_concurrency_limit = XX 
    default_destination_concurrency_limit = XX
    smtpd_client_connection_count_limit=xx
   

dovecot : 

client_limit = 1

und da ich nur sehr sehr sehr selten User in den Ländern der bekannten Verdächtigen habe kann man von dort sich auch nicht anmelden 
die netzte sind  

multiport dports 110,143,22,723 -m geoip --source-country VN,ZA,AE,HR,MM,MV,BR,DO,KZ,SC,TR,UG,US   .....




> Allerdings sollte es eine Lösung sein, die man mit ein paar (xx-xxx)
> Nutzern umsetzen kann,
> die teilweise nicht sooo  IT  affin  sind  ;)
> Eine sichere Lösung die keiner verwendet(weil zu kompliziert), die Hilft
> einem auch nicht wirklich weiter.
> 
> --
>      Ciao,
>         Peer


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server. 
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045 
Mobil 01726688122

"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssen, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" 
"Programmierer müssen lernen wie Menschen denken. "
"Wissen macht den Unterschied zu Titel, Titel kosten - Wissen verdient." 
"Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf Andere zu übertragen." 
"Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen."
" Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4916 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240130/ad50b865/attachment.p7s>

From t.schneider at tms-itdienst.at  Wed Jan 31 14:20:42 2024
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Wed, 31 Jan 2024 14:20:42 +0100
Subject: openDKIM/Postfix
Message-ID: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>

Liebe Postfix-Anwender.


Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
Nun meine Frage zum Verstàndnis.
Kann ich mit openDKIM auch Postfix mitteilen, das bei 
fehlenderDKIM-signatur, die mail Postfix nicht annimmt?


Grùsse
Timm Schneider

-- 
TMS IT-Dienst
Timm Schneider
Hinterstadt 2 - Eingang Jungmairgasse 2
4840 Vöcklabruck(VB)
Austria
T(AT).+43.720.501 078 u +43 664 4797925
T(DE).+49.89.2441 3327
T(CH).+41.32.510 9875
T(IT).+39 366 908 0087
F.+43.720.501 078 57
3CX Demo: https://www.tms-itdienst.at/telefonserver
Chatten Sie mit mir: https://tmspbx.3cx.at/timm
Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm
WhatsApp: +43 664 479 7925

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3639 bytes
Beschreibung: Kryptografische S/MIME-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240131/7289aa46/attachment.p7s>

From ml-pbu at syntaxys.de  Wed Jan 31 14:37:41 2024
From: ml-pbu at syntaxys.de (Achim Lammerts)
Date: Wed, 31 Jan 2024 14:37:41 +0100
Subject: openDKIM/Postfix
In-Reply-To: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
References: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
Message-ID: <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>

Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, aber 
es geht auch mit OpenDKIM:

http://www.opendkim.org/opendkim.conf.5.html

On-NoSignature reject

LG/A

Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
> Liebe Postfix-Anwender.
> 
> 
> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
> Nun meine Frage zum Verstàndnis.
> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
> 
> 
> Grùsse
> Timm Schneider
> 

-- 
Wietse, I am so grateful.

From t.schneider at tms-itdienst.at  Wed Jan 31 15:02:55 2024
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Wed, 31 Jan 2024 15:02:55 +0100
Subject: openDKIM/Postfix
In-Reply-To: <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
References: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
 <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
Message-ID: <ad4a15a2-46cf-4a2b-889f-a1d2480d315f@tms-itdienst.at>

Hallo Achim


Danke.
Habs i.M. eh nicht vor, aber vielleicht mal.


ciao
Timm


Am 31.01.2024 um 14:37 schrieb Achim Lammerts via Postfixbuch-users:
> Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, 
> aber es geht auch mit OpenDKIM:
>
> http://www.opendkim.org/opendkim.conf.5.html
>
> On-NoSignature reject
>
> LG/A
>
> Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
>> Liebe Postfix-Anwender.
>>
>>
>> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
>> Nun meine Frage zum Verstàndnis.
>> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
>> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
>>
>>
>> Grùsse
>> Timm Schneider
>>
>

-- 
TMS IT-Dienst
Timm Schneider
Hinterstadt 2 - Eingang Jungmairgasse 2
4840 Vöcklabruck(VB)
Austria
T(AT).+43.720.501 078 u +43 664 4797925
T(DE).+49.89.2441 3327
T(CH).+41.32.510 9875
T(IT).+39 366 908 0087
F.+43.720.501 078 57
3CX Demo: https://www.tms-itdienst.at/telefonserver
Chatten Sie mit mir: https://tmspbx.3cx.at/timm
Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm
WhatsApp: +43 664 479 7925

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3639 bytes
Beschreibung: Kryptografische S/MIME-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240131/f96a4f41/attachment.p7s>

From ml-pbu at syntaxys.de  Wed Jan 31 15:12:56 2024
From: ml-pbu at syntaxys.de (Achim Lammerts)
Date: Wed, 31 Jan 2024 15:12:56 +0100
Subject: Frage zu smtp auth & iamp
In-Reply-To: <8df18cbb-2e10-49e5-9eb5-1319f028f23e@leibniz-hki.de>
References: <8df18cbb-2e10-49e5-9eb5-1319f028f23e@leibniz-hki.de>
Message-ID: <e2133e88-02e0-050f-0c6a-c78394363c32@syntaxys.de>

Nun, wenn man das neu aufsetzt und die User auch ihre Konten neu 
konfigurieren müssen, dann macht es Sinn, von den Standardports 465, 
110, 143, 993, 995 wegzukommen. In diesem Fall sollte man jedoch auch 
weitere Portscans erschweren, sonst werden die Dienste zeitnah auf den 
neuen Ports gefunden. Das kann gleich beim Booten des Servers gesetzt 
werden:

up ipset create port_scanners hash:ip family inet hashsize 32768 maxelem 
65536 timeout 600
up ipset create scanned_ports hash:ip,port family inet hashsize 32768 
maxelem 65536 timeout 60
up iptables-restore < /etc/iptables/rules.v4

In der /etc/iptables/rules.v4 habe ich dann u. a. diese Anweisungen:

*filter
:INPUT DROP
?
:LOG_INVALID - [0:0]
:LOG_SCANNER - [0:0]
?

# Regeln für lokale Subnetze
-A INPUT ! -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT
-A INPUT -s 10.0.0.0/16 -j ACCEPT
-A INPUT -i lo -j ACCEPT

# invalide Pakete loggen und verwerfen
-A INPUT -m state --state INVALID -j LOG_INVALID
-A LOG_INVALID -m limit --limit 2/min -j LOG --log-prefix "[netfilter] 
Dropped Invalid: "
-A LOG_INVALID -j DROP

# Grundkonfiguration
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
?
-A INPUT -p tcp -m tcp --dport 80 -m comment --comment "http" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m comment --comment "https" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m comment --comment "smtp" -j ACCEPT
?

# Portscanner abfangen
-A INPUT -m state --state NEW -m set ! --match-set scanned_ports src,dst 
-m hashlimit --hashlimit-above 1/hour --hashlimit-burst 5 
--hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name portscan 
--hashlimit-htable-expire 10000 -j SET --add-set port_scanners src --exist
-A INPUT -m state --state NEW -m set --match-set port_scanners src -j 
LOG_SCANNER
-A INPUT -m state --state NEW -j SET --add-set scanned_ports src,dst

?

-A LOG_SCANNER -m limit --limit 2/min -j LOG --log-prefix "[netfilter] 
Dropped Scanner: "
-A LOG_SCANNER -j DROP

?

COMMIT

In Verbindung mit IPset-Blacklists der allgemein bekannten Nervensägen 
bekommt man etwas Ruhe in die Kiste. Ich lasse auch noch f2b auf das 
syslog schauen und Wiederholungstäter landen damit im recidive jail.

Ansonsten:
Was ohne Aufwand bei den Usern gut funktioniert, ist die Bindung der 
wichtigen Dienste ausschliesslich an IPv6. Ich habe meinen vServer mit 
einem 64er Subnetz an die Wildnis angebunden und benutze für jeden 
Dienst eine eigene Adresse. Weder hatte ich bisher Probleme, diese 
Dienste zu erreichen, noch wurden diese durch Portscans entdeckt. Die 
allermeisten Angriffe habe ich über IPv4 zu verzeichnen.

LG/A

Am 30.01.24 um 16:30 schrieb Peer-Joachim Koch via Postfixbuch-users:
> Hallo,
> 
> kurze Frage in die Runde:
> Welche technischen Möglichkeiten gibt es, um smtp und imap 
> login-Versuche zu reduzieren und
> damit das Risiko zu senken. Fail2ban ist ja nur noch teilweise 
> erfolgreich...
> Allerdings sollte es eine Lösung sein, die man mit ein paar (xx-xxx) 
> Nutzern umsetzen kann,
> die teilweise nicht sooo  IT  affin  sind  ;)
> Eine sichere Lösung die keiner verwendet(weil zu kompliziert), die Hilft 
> einem auch nicht wirklich weiter.
> 

-- 
Wietse, I am so grateful.

From cr at ncxs.de  Wed Jan 31 15:09:06 2024
From: cr at ncxs.de (Carsten Rosenberg)
Date: Wed, 31 Jan 2024 15:09:06 +0100
Subject: openDKIM/Postfix
In-Reply-To: <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
References: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
 <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
Message-ID: <b4d3e15c-71a1-421e-9edb-ee52b9cf8d6a@ncxs.de>

Moin,

Ablehnungen aus Policy Gründen würde ich im Rspamd nie über ein Scoring 
lösen.

Damit lernen die ganzen selbstlernenden Funktionen im wir Bayes oder 
Repuation solche Mails. Das ist ja meist nicht gewünscht.

in dmarc.conf kann man einen Reject auch auslösen:

actions = {
   quarantine = "reject";
   reject = "reject";
}

Noch eleganter und flexibler geht's über die force_actions

Viele Grüße

Carsten

On 31.01.24 14:37, Achim Lammerts via Postfixbuch-users wrote:
> Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, aber 
> es geht auch mit OpenDKIM:
> 
> http://www.opendkim.org/opendkim.conf.5.html
> 
> On-NoSignature reject
> 
> LG/A
> 
> Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
>> Liebe Postfix-Anwender.
>>
>>
>> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
>> Nun meine Frage zum Verstàndnis.
>> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
>> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
>>
>>
>> Grùsse
>> Timm Schneider
>>
> 


From t.schneider at tms-itdienst.at  Wed Jan 31 17:03:05 2024
From: t.schneider at tms-itdienst.at (Timm Schneider)
Date: Wed, 31 Jan 2024 17:03:05 +0100
Subject: openDKIM/Postfix
In-Reply-To: <b4d3e15c-71a1-421e-9edb-ee52b9cf8d6a@ncxs.de>
References: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
 <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
 <b4d3e15c-71a1-421e-9edb-ee52b9cf8d6a@ncxs.de>
Message-ID: <93a3db03-8f05-4f56-bbe5-46189dd910ac@tms-itdienst.at>

Hallo


Ich habe hier noch eine Frage dazu, zu meinem Verstàndnis.
Ist der dmarc eintrag im DNS nicht dafùr zustàndig einem anderen 
Mailsystem zu sagen, was es mit einer Mail, die sich als mich ausgibt, 
zu verfahren hat?
Wenn p=reject, mùsste doch das entfernte System diese Mail verwerfen.


Grùsse
Timm


Am 31.01.2024 um 15:09 schrieb Carsten Rosenberg via Postfixbuch-users:
> Moin,
>
> Ablehnungen aus Policy Gründen würde ich im Rspamd nie über ein 
> Scoring lösen.
>
> Damit lernen die ganzen selbstlernenden Funktionen im wir Bayes oder 
> Repuation solche Mails. Das ist ja meist nicht gewünscht.
>
> in dmarc.conf kann man einen Reject auch auslösen:
>
> actions = {
>   quarantine = "reject";
>   reject = "reject";
> }
>
> Noch eleganter und flexibler geht's über die force_actions
>
> Viele Grüße
>
> Carsten
>
> On 31.01.24 14:37, Achim Lammerts via Postfixbuch-users wrote:
>> Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, 
>> aber es geht auch mit OpenDKIM:
>>
>> http://www.opendkim.org/opendkim.conf.5.html
>>
>> On-NoSignature reject
>>
>> LG/A
>>
>> Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
>>> Liebe Postfix-Anwender.
>>>
>>>
>>> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
>>> Nun meine Frage zum Verstàndnis.
>>> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
>>> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
>>>
>>>
>>> Grùsse
>>> Timm Schneider
>>>
>>

-- 
TMS IT-Dienst
Timm Schneider
Hinterstadt 2 - Eingang Jungmairgasse 2
4840 Vöcklabruck(VB)
Austria
T(AT).+43.720.501 078 u +43 664 4797925
T(DE).+49.89.2441 3327
T(CH).+41.32.510 9875
T(IT).+39 366 908 0087
F.+43.720.501 078 57
3CX Demo: https://www.tms-itdienst.at/telefonserver
Chatten Sie mit mir: https://tmspbx.3cx.at/timm
Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm
WhatsApp: +43 664 479 7925

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3639 bytes
Beschreibung: Kryptografische S/MIME-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240131/90079cae/attachment.p7s>

From gnitzsche at netcologne.de  Wed Jan 31 20:15:23 2024
From: gnitzsche at netcologne.de (gnitzsche)
Date: Wed, 31 Jan 2024 20:15:23 +0100
Subject: openDKIM/Postfix
In-Reply-To: <93a3db03-8f05-4f56-bbe5-46189dd910ac@tms-itdienst.at>
References: <62b6efab-f23b-4f27-92ff-add1b244c08f@tms-itdienst.at>
 <3ccf5256-d183-e916-f950-2fe5e0021403@syntaxys.de>
 <b4d3e15c-71a1-421e-9edb-ee52b9cf8d6a@ncxs.de>
 <93a3db03-8f05-4f56-bbe5-46189dd910ac@tms-itdienst.at>
Message-ID: <d00186cf14e3d6f4aadb13ad4f7e3d91@netcologne.de>

Hi,

ja, das ist korrekt.
SPF: gibt eine Policy vor, wie man mit einer Mail umgehen sollte, die 
aus einem nicht angegebenen IP-Bereich
stammt. Sollte man ignorieren, gibt zu viele failures (Weiterleitungen, 
Mailinglisten..) und zu grobe
Adress-Bereiche. Evtl. scoring-Pluspunkte, wenn ein SPF-Eintrag 
vorhanden ist.
DKIM: gibt *keine* Policy vor, kann man bei failures also selbstbestimmt 
behandeln; z.B. spam-ordner oder
scoring oder..
DMARC: gibt policy vor. Empfänger sollte sich danach richten. Da aber 
häufig auf Sender-Seite nur SPF und
kein DKIM eingerichtet ist, muss man das dennoch mit Vorsicht behandeln. 
Bei DMARC fail wegen DKIM fail kann
man ruhig p=reject befolgen; bei DMARC fail nur wegen SPF fail (ohne 
DKIM) und p=reject gibt es vermutlich
irgendwann Beschwerden.. Hier ist das Protokoll nicht optimal.
Ist aber auch nicht ganz einfach, die Unterscheidung technisch 
umzusetzen.

Gruß
Gunther

On 2024-01-31 17:03, Timm Schneider via Postfixbuch-users wrote:
> Hallo
> 
> 
> Ich habe hier noch eine Frage dazu, zu meinem Verstàndnis.
> Ist der dmarc eintrag im DNS nicht dafùr zustàndig einem anderen 
> Mailsystem zu sagen, was es mit einer Mail, die sich als mich ausgibt, 
> zu verfahren hat?
> Wenn p=reject, mùsste doch das entfernte System diese Mail verwerfen.
> 
> 
> Grùsse
> Timm
> 
> 
> Am 31.01.2024 um 15:09 schrieb Carsten Rosenberg via Postfixbuch-users:
>> Moin,
>> 
>> Ablehnungen aus Policy Gründen würde ich im Rspamd nie über ein 
>> Scoring lösen.
>> 
>> Damit lernen die ganzen selbstlernenden Funktionen im wir Bayes oder 
>> Repuation solche Mails. Das ist ja meist nicht gewünscht.
>> 
>> in dmarc.conf kann man einen Reject auch auslösen:
>> 
>> actions = {
>>   quarantine = "reject";
>>   reject = "reject";
>> }
>> 
>> Noch eleganter und flexibler geht's über die force_actions
>> 
>> Viele Grüße
>> 
>> Carsten
>> 
>> On 31.01.24 14:37, Achim Lammerts via Postfixbuch-users wrote:
>>> Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, 
>>> aber es geht auch mit OpenDKIM:
>>> 
>>> http://www.opendkim.org/opendkim.conf.5.html
>>> 
>>> On-NoSignature reject
>>> 
>>> LG/A
>>> 
>>> Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
>>>> Liebe Postfix-Anwender.
>>>> 
>>>> 
>>>> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
>>>> Nun meine Frage zum Verstàndnis.
>>>> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
>>>> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
>>>> 
>>>> 
>>>> Grùsse
>>>> Timm Schneider
>>>> 
>>> 
> 
> --
> TMS IT-Dienst
> Timm Schneider
> Hinterstadt 2 - Eingang Jungmairgasse 2
> 4840 Vöcklabruck(VB)
> Austria
> T(AT).+43.720.501 078 u +43 664 4797925
> T(DE).+49.89.2441 3327
> T(CH).+41.32.510 9875
> T(IT).+39 366 908 0087
> F.+43.720.501 078 57
> 3CX Demo: https://www.tms-itdienst.at/telefonserver
> Chatten Sie mit mir: https://tmspbx.3cx.at/timm
> Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm
> WhatsApp: +43 664 479 7925

-- 
NetCologne Systemadministration

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9 ; 50829 Köln
Geschäftsführer:
  Timo von Lepel,
  Dr. Claus van der Velden
Vorsitzender des Aufsichtsrats:
  Andreas Feicht
HRB 25580, AG Köln