From florian at bodici.de Mon Jul 1 12:16:31 2024 From: florian at bodici.de (Florian Vierke) Date: Mon, 1 Jul 2024 12:16:31 +0200 Subject: Frage zum SPF In-Reply-To: <005601dac97d$53117940$f9346bc0$@Mail24.vip> References: <005601dac97d$53117940$f9346bc0$@Mail24.vip> Message-ID: <7C63DEA2-61E9-47AC-A56D-1757CEE70A5E@bodici.de> Hallo Daniel, Von was für reports sprichst du hier? Non-delivery reports? DMARC reports? Signierst du denn DKIM? Das ist noch entscheidender, als SPF (aber ja, einen gültigen SPF solltest du auch haben). # VG Florian > On 28. Jun 2024, at 19:05, Daniel via Postfixbuch-users wrote: > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From daniel at mail24.vip Mon Jul 1 12:48:41 2024 From: daniel at mail24.vip (Daniel) Date: Mon, 1 Jul 2024 12:48:41 +0200 Subject: Frage zum SPF In-Reply-To: <7C63DEA2-61E9-47AC-A56D-1757CEE70A5E@bodici.de> References: <7C63DEA2-61E9-47AC-A56D-1757CEE70A5E@bodici.de> Message-ID: Moin, Hatte ich doch geschrieben, DMARC Reports. Und klar wird signiert. :-) Gruß Daniel > Am 01.07.2024 um 12:24 schrieb Florian Vierke via Postfixbuch-users : > > ?Hallo Daniel, > > Von was für reports sprichst du hier? Non-delivery reports? DMARC reports? > > Signierst du denn DKIM? Das ist noch entscheidender, als SPF (aber ja, einen gültigen SPF solltest du auch haben). > # > VG > > Florian > >> On 28. Jun 2024, at 19:05, Daniel via Postfixbuch-users wrote: >> >> > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From ronny at seffner.de Mon Jul 1 14:58:42 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Mon, 1 Jul 2024 14:58:42 +0200 Subject: AW: Heinlein rules In-Reply-To: <0934c5ac-5a25-4020-95ce-1fcd710408f1@ncxs.de> References: <00a801dac7a3$c5bbb220$51331660$@seffner.de> <0934c5ac-5a25-4020-95ce-1fcd710408f1@ncxs.de> Message-ID: Hallo Carsten, > ja die Regeln gibt es noch. Auch die Schaal-IT Regeln sind noch aktiv. > Das freu mich. > Für den Download nutze ich mittlerweile ein Bash Script. Ich räume das > mal ein wenig auf und lad das die nächsten Tage einmal hoch. > Bei Schaal-IT bin ich auch gleich in Sachen Update-Script fündig geworden - das setzt aber noch einen installierten spamassassin voraus. Bin auf Deine Lösung gespannt, wenn die denn ohne spamassassin auskommt. Mit freundlichen Grüßen / Kind regards Ronny Seffner From sebastian at debianfan.de Sat Jul 6 12:11:22 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Sat, 6 Jul 2024 12:11:22 +0200 Subject: Razor Anti-Spam Message-ID: Moin zusammen, ich melde täglich circa 10.000 Spammails an Razor. Ich habe aber bislang nie Feedback bekommen, d.h. für mich ist die Frage, ob das überhaupt genutzt wird? Bei spamassassin & ich glaube auch bei Rspamd kann man ja Razor als Abfrageoption nutzen - aber bringt das was? Ich arbeite grade an einem Debian-Upgrade und hier stellt sich die Frage für mich, ob ich das Thema ad acta lege oder dann auch im neuen System weitermache? gruß Sebastian From ronny at seffner.de Wed Jul 10 12:51:37 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 10 Jul 2024 12:51:37 +0200 Subject: check_client_access und Subdomains Message-ID: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> Hallo Gruppe, ich habe ein Problem mit Mails von O365, weil MS dort die PTR nicht pflegt: postfix/smtpd[...]: NOQUEUE: reject: MAIL from unknown[..IPv6..]: 554 5.7.1 Client host rejected: cannot find your reverse hostname, [..IPv6..]; from=<...> proto=ESMTP helo= Beteiligt ist wohl meine Einstellung: smptd_sender_restrictions = ... , reject_unknown_reverse_client_hostname , ... Ich dachte, da jetzt also Folgendes davor zu setzen: smptd_sender_restrictions = ... , check_client_access hash:/etc/postfix/client-whitelist , reject_unknown_reverse_client_hostname , ... und da drin dann z.B.: .outbound.protection.outlook.com OK outbound.protection.outlook.com OK Nach postmap und reload habe ich die 554er immer noch. Ein 'postmap -q outbound.protection.outlook.com client-whitelist' liefert "OK", ein 'postmap -q bernd.outbound.protection.outlook.com client-whitelist' hingegen nichts (und einen errorlevel 1). Jetzt gibt’s da ja noch "parent_domain_matches_subdomains". Das enthält bei mir (Debian12, postfix 3.7.11) ja smtpd_access_maps und ich könnte auf die ".outbound..." auch verzichten. Aber selbst, wenn ich das tue oder smtpd_access_maps hier entferne ändert das nichts am Verhalten. Was mache ich falsch, was übersehe ich? Mit freundlichen Grüßen / Kind regards      Ronny Seffner From postfixbuch-users at drobic.de Wed Jul 10 13:22:51 2024 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Wed, 10 Jul 2024 13:22:51 +0200 Subject: check_client_access und Subdomains In-Reply-To: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> Message-ID: <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> Am 10.07.2024 um 12:51 schrieb ronny at seffner.de: > Hallo Gruppe, > > ich habe ein Problem mit Mails von O365, weil MS dort die PTR nicht pflegt: > > postfix/smtpd[...]: NOQUEUE: reject: MAIL from unknown[..IPv6..]: 554 5.7.1 > Client host rejected: cannot find your reverse hostname, [..IPv6..]; > from=<...> proto=ESMTP helo= > > > Beteiligt ist wohl meine Einstellung: > > smptd_sender_restrictions = ... , reject_unknown_reverse_client_hostname , > ... > > > Ich dachte, da jetzt also Folgendes davor zu setzen: > > smptd_sender_restrictions = ... , check_client_access > hash:/etc/postfix/client-whitelist , reject_unknown_reverse_client_hostname > , ... > > > und da drin dann z.B.: > > .outbound.protection.outlook.com OK > outbound.protection.outlook.com OK > > > Nach postmap und reload habe ich die 554er immer noch. > Ein 'postmap -q outbound.protection.outlook.com client-whitelist' liefert > "OK", ein 'postmap -q bernd.outbound.protection.outlook.com > client-whitelist' hingegen nichts (und einen errorlevel 1). > > Das ist das Problem mit Schnippchen aus der Konfig, man sieht nicht, was sonst noch so gemacht wurde. Ich vermute, dass reject_unknown_client_hostname irgendwo sonst noch, insbesondere smtpd_recipient_restriction verwendet wurde. postconf -n | grep client_hostname Gruß Sandy -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ronny at seffner.de Wed Jul 10 13:51:02 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 10 Jul 2024 13:51:02 +0200 Subject: AW: check_client_access und Subdomains In-Reply-To: <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> Message-ID: <009e01dad2bf$71c085c0$55419140$@seffner.de> Hallo Sandy, > Das ist das Problem mit Schnippchen aus der Konfig, man sieht nicht, was > sonst noch so gemacht wurde. > Grundsätzlich berechtigter Einwand. > Ich vermute, dass reject_unknown_client_hostname irgendwo sonst noch, > insbesondere smtpd_recipient_restriction verwendet wurde. > Habs mit 'postconf -n | grep restrictions' geprüft ... nur bei den *sender*. > postconf -n | grep client_hostname > # postconf -n | grep client_hostname smtpd_sender_restrictions = check_helo_access pcre:/etc/postfix/trust_helo_hostnames permit_mynetworks permit_sasl_authenticated check_client_access hash:/etc/postfix/client-whitelist reject_unknown_reverse_client_hostname check_sender_access hash:/etc/postfix/blacklist_senders check_sender_access hash:/etc/postfix/whitelist_sender_checks check_sender_access hash:/etc/postfix/trust_senders check_sender_mx_access cidr:/etc/postfix/blacklist_senders_mx reject_unlisted_sender # postconf -n | grep unknown_client unknown_client_reject_code = 554 Mit freundlichen Grüßen / Kind regards Ronny Seffner From postfixbuch-users at drobic.de Wed Jul 10 14:07:24 2024 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Wed, 10 Jul 2024 14:07:24 +0200 Subject: check_client_access und Subdomains In-Reply-To: <009e01dad2bf$71c085c0$55419140$@seffner.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> <009e01dad2bf$71c085c0$55419140$@seffner.de> Message-ID: <82d9906f-472b-4305-bd99-265395a6b070@drobic.de> Am 10.07.2024 um 13:51 schrieb ronny at seffner.de: > Hallo Sandy, > >> Das ist das Problem mit Schnippchen aus der Konfig, man sieht nicht, was >> sonst noch so gemacht wurde. >> > Grundsätzlich berechtigter Einwand. > >> Ich vermute, dass reject_unknown_client_hostname irgendwo sonst noch, >> insbesondere smtpd_recipient_restriction verwendet wurde. >> > Habs mit 'postconf -n | grep restrictions' geprüft ... nur bei den *sender*. > Hast Du vielleicht einen Policy Service laufen, wo dies konfiguriert ist? -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ronny at seffner.de Wed Jul 10 14:29:29 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 10 Jul 2024 14:29:29 +0200 Subject: AW: check_client_access und Subdomains In-Reply-To: <82d9906f-472b-4305-bd99-265395a6b070@drobic.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> <009e01dad2bf$71c085c0$55419140$@seffner.de> <82d9906f-472b-4305-bd99-265395a6b070@drobic.de> Message-ID: <00a601dad2c4$d0b692e0$7223b8a0$@seffner.de> > Hast Du vielleicht einen Policy Service laufen, wo dies konfiguriert ist? > size_policy_server, mta-sts und rspamd (der hat das aber nicht in seinen logs) Keiner der ersten beiden wird sich über PTR beschweren. Können wir uns nicht erstmal auf die Map und 'postconf -q' konzentrieren? Müsste bei einem Eintrag ".domain.tld OK" und "domain.tld OK" die Query auf z.B. "sub.domain.tld" nicht ein "OK und errorlevel/return 0 liefern? Tut sie nicht. Mit freundlichen Grüßen / Kind regards Ronny Seffner From ml at irmawi.de Wed Jul 10 14:33:27 2024 From: ml at irmawi.de (Markus Winkler) Date: Wed, 10 Jul 2024 14:33:27 +0200 Subject: check_client_access und Subdomains In-Reply-To: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> Message-ID: <20240710123327.6pn3il73g3bmjlmc@kermit.home.priv> Hi Ronny, On Wed, 10 Jul 2024 at 12:51:37PM +0200, ronny at seffner.de wrote: >smptd_sender_restrictions = ... , check_client_access >hash:/etc/postfix/client-whitelist , reject_unknown_reverse_client_hostname >, ... > >.outbound.protection.outlook.com OK >outbound.protection.outlook.com OK > > >Nach postmap und reload habe ich die 554er immer noch. >Ein 'postmap -q outbound.protection.outlook.com client-whitelist' liefert >"OK", ein 'postmap -q bernd.outbound.protection.outlook.com >client-whitelist' hingegen nichts (und einen errorlevel 1). AFAIK sucht postmap explizit nach dem angegebenen Key. Daher liefert die Abfrage nach 'outbound.protection.outlook.com' ein OK, nicht jedoch die nach 'bernd.outbound.protection.outlook.com'. Postfix selbst aber macht das und es sollte beim tatsächlichen Connect von 'bernd.outbound.protection.outlook.com' schlussendlich matchen. Evtl. kannst Du es mit XCLIENT (https://www.postfix.org/XCLIENT_README.html) testen, wenn Du nicht auf einen Sendeversuch von den Microsoft-Servern warten willst. Übrigens und IIRC: Wenn 'smtpd_access_maps' bei 'parent_domain_matches_subdomains' mit aufgeführt ist, dann _darf_ .outbound.protection.outlook.com OK in der client-whitelist _nicht_ enthalten sein, sondern _nur_: outbound.protection.outlook.com OK Doppelt hält in diesem Fall nicht besser, sondern es matcht in diesem Fall einfach nicht. Ich hatte vor längerer Zeit mal den Effekt und bin nur durch diverse Tests darauf gestoßen (leider stand und steht das in der Doku m. E. nicht so eindeutig drin). Viele Grüße Markus From postfixbuch-users at drobic.de Wed Jul 10 15:27:12 2024 From: postfixbuch-users at drobic.de (Sandy Drobic) Date: Wed, 10 Jul 2024 15:27:12 +0200 Subject: check_client_access und Subdomains In-Reply-To: <00a601dad2c4$d0b692e0$7223b8a0$@seffner.de> References: <009801dad2b7$2514cfe0$6f3e6fa0$@seffner.de> <2fff3391-dd55-41c9-8dce-697281659d35@drobic.de> <009e01dad2bf$71c085c0$55419140$@seffner.de> <82d9906f-472b-4305-bd99-265395a6b070@drobic.de> <00a601dad2c4$d0b692e0$7223b8a0$@seffner.de> Message-ID: <3d1c437a-2601-4c71-af05-778332ec981c@drobic.de> Am 10.07.2024 um 14:29 schrieb ronny at seffner.de: >> Hast Du vielleicht einen Policy Service laufen, wo dies konfiguriert ist? >> > size_policy_server, mta-sts und rspamd (der hat das aber nicht in seinen logs) > Keiner der ersten beiden wird sich über PTR beschweren. > > Können wir uns nicht erstmal auf die Map und 'postconf -q' konzentrieren? > Müsste bei einem Eintrag ".domain.tld OK" und "domain.tld OK" die Query auf z.B. "sub.domain.tld" nicht ein "OK und errorlevel/return 0 liefern? Tut sie nicht. > > 'postconf -q' ergibt bei mir einen Fehler, da dieser Parameter nicht existiert für postconf. Meinst Du vielleicht 'postmap -q'? vi /etc/postfix/test_client_whitelist.map .outbound.protection.outlook.com    OK outbound.protection.outlook.com    OK postmap /etc/postfix/test_client_whitelist.map # postmap -q "outbound.protection.outlook.com" /etc/postfix/test_client_whitelist.map OK # postmap -q "erts.outbound.protection.outlook.com" /etc/postfix/test_client_whitelist.map # Kein Ergebnis. # vi /etc/postfix/test_client_whitelist.pcre /\.outbound\.protection\.outlook\.com/    OK /outbound\.protection\.outlook\.com/    OK # postmap -q "outbound.protection.outlook.com" pcre:/etc/postfix/test_client_whitelist.pcre OK # postmap -q "sss.outbound.protection.outlook.com" pcre:/etc/postfix/test_client_whitelist.pcre OK Ist das vielleicht das von Dir gewünschte Ergebnis? From sebastian at debianfan.de Thu Jul 11 20:30:33 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 11 Jul 2024 20:30:33 +0200 Subject: Weiterleitung an t-online Message-ID: <963c7fc0-2d4b-45fe-9df5-9019f268b627@debianfan.de> Moin zusammen, eine Mailadresse wird an einen User weitergeleitet welcher einen @t-online.de Account hat. Mir ist grade folgender Eintrag im Log aufgefallen: Jul 11 11:10:58 mail postfix/smtp[10957]: 886FB220171: to=, orig_to=, relay=mx01.t-online.de[194.25.134.72]:25, delay=0.84, delays=0.29/0.05/0.31/0.19, dsn=5.7.0, status=bounced (host mx01.t-online.de[194.25.134.72] said: 550-5.7.0 Message considered as spam or virus, rejected 550-5.7.0 Your IP: XXX.XXX.XXX.XXX 550-5.7.0 Mailhost: mailin23.mgt.mul.t-online.de 550-5.7.0 Timestamp: 2024-07-11T05:50:58Z 550-5.7.0 Expurgate-ID: 149288::1720677058-DB7FC260-E4301C37/10/59178415469 550-5.7.0 Authenticator: 41A09A743D41B5A00475DA6615A926FBBAD6DC1F6BB005416171FD0349A1511271E39722 550-5.7.0 550-5.7.0 Your message has been rejected due to spam or virus classification. 550-5.7.0 If you feel this is inapplicable, please report the above error codes 550-5.7.0 back to FPR at RX.T-ONLINE.DE to help us fix possible misclassification. 550-5.7.0 We apologize for any inconvenience and thank you for your assistance! 550-5.7.0 550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam oder 550-5.7.0 Virus eingestuft wurde. Sollten Sie dies als unzutreffend ansehen, 550-5.7.0 senden Sie bitte obige Fehlercodes an FPR at RX.T-ONLINE.DE, damit wir 550-5.7.0 die Klassifizierung untersuchen koennen. Wir entschuldigen uns fuer 550 5.7.0 etwaige Unannehmlichkeiten und bedanken uns fuer Ihre Unterstuetzung! (in reply to end of DATA command)) Rspamd schmeisst eine ganze Menge Spam raus - aber halt nicht alles. Jetzt ist die Frage, ob die Telekom ggf. mir (als weiterleitendem Mailserver) die Maluspunkte gibt?` Gibts hier ein Best Practise ? gruß Sebastian From Daniel at Mail24.vip Thu Jul 11 20:38:14 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 11 Jul 2024 20:38:14 +0200 Subject: AW: Weiterleitung an t-online In-Reply-To: <963c7fc0-2d4b-45fe-9df5-9019f268b627@debianfan.de> References: <963c7fc0-2d4b-45fe-9df5-9019f268b627@debianfan.de> Message-ID: <008401dad3c1$7d17edc0$7747c940$@Mail24.vip> Moin, wenn du Spam annimmst und weiterleitest bist du quasi auch eine Spamschleuder. Könntest Weiterleitungen ggf. gänzlich untersagen, und der User könnte ganze umdrehen und die Mails bei dir via Pop3 abrufen lassen. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Wed Jul 17 14:32:26 2024 From: usenet at schani.com (christian) Date: Wed, 17 Jul 2024 14:32:26 +0200 Subject: Rspamd und Redis Message-ID: <7dd339a4-1b6a-495d-8c24-9f6da5a95da6@schani.com> Hallo zusammen, ich habe gerade ein Problem mit Rspamd und Redis bzw. neural und redis mit dem ich nicht weiterkomme. Ich verwende jetzt Rspamd 3.9, hatte aber mit 3.8.4 das Problem auch schon. Rspamd/neural lernt Emails an, bis der Wert "max_trains" erreicht ist. Dann startet ein neuer Prozess der eine CPU ganz auslastet. Nach ca. 10 min bricht das ab und ich erhalte diese Meldung in History/Error: cannot save ANN default:default to redis key rn_default_default_bioioq5b_0: ERR Protocol error: invalid bulk length Es schaut so aus als würde Rspamd die Ergebnisse nicht in Redis speichern können. Jetzt hab ich mal redis ganz neu installiert und die Einstellungen kontrolliert. Maxmemory ist nicht gesetzt. Aber keine Änderung. Komisch ist das Bayes Einträge angelegt werden. Also die Verbindung zu redis steht. Fällt Euch noch was ein das ich prüfen kann warum das nicht klappt? Oder mache ich da was komplett falsch? Besten Dank für Hilfe Christian neural.conf servers = "127.0.0.1:6379"; enabled = true; timeout = 120; # Increase redis timeout train { max_trains = 50; # Number ham/spam samples needed to start train max_usages = 20; # Number of learn iterations while ANN data is valid learning_rate = 0.01; # Rate of learning max_iterations = 25; # Maximum iterations of learning (better preciseness but also lower speed of learning) } ann_expire = 2d; # For how long ANN should be preserved in Redis From Peer-Joachim.Koch at leibniz-hki.de Wed Jul 17 16:43:47 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 17 Jul 2024 16:43:47 +0200 Subject: offtopic: wie IMAP absichern ? Message-ID: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> Hallo zusammen, wir sehen bei uns zunehmend Versuche login credentials via IMAP auszutesten. Das führt mittlerweile dazu, das viele Nutzer sich nicht mehr am Mailer anmelden können, da zu viele fehlerhafte Login Versuche erfolgt sind (wird nach 10min automatisch entsperrt). FAIL2BAN geht nicht (mehr), da die Versuche nur 2-3 mal von einer IP kommen, dann erfolgt der Zugriff von woanders. Welche  anderen Lösungen gibt es, um IMAP weiterhin anbieten zu können ? Oder geht von extern bald nur noch WBMAIL mit 2FA ... ? Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? -- Ciao, Peer ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5999 bytes Beschreibung: S/MIME Cryptographic Signature URL : From michael at linuxfox.de Wed Jul 17 17:07:52 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Wed, 17 Jul 2024 17:07:52 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> Message-ID: Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: > Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? > fail2ban - EIN Loginfehler und Tschüß ;) -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From Daniel at Mail24.vip Wed Jul 17 17:21:36 2024 From: Daniel at Mail24.vip (Daniel) Date: Wed, 17 Jul 2024 17:21:36 +0200 Subject: AW: offtopic: wie IMAP absichern ? In-Reply-To: References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> Message-ID: <009401dad85d$03752d20$0a5f8760$@Mail24.vip> Also ein Versuch und gleich Ban ist sehr hart und konsequent. Bei mir sind aktuell 3 Versuche erlaubt, und dann geht IP für 1 Jahr auf Sperre. Gibt da auch Listen, welche man auch noch importieren kann z.B. https://lists.blocklist.de/lists/all.txt Oder auch ggf. etwas abgespecktere wie https://lists.blocklist.de/lists/ssh.txt usw. Betreibe aber auch eher privat kleinen Server. Firmen wie Google und Microsoft sind aktuell wohl dabei IMAP per User/PW abzuschaffen, und mit Token zuarbeiten, also auch 2FA mit drinnen. Neben den Logins hat man ja noch ganzen anderen Müll mit total veralteten verschlüsselungen, oder Webanfragen an den SMTP. Da filtert aber Spamhaus und Abusix schon gut weg, trotzdem kommt da teils noch Müll über Google/Microsoft weitergeleitet. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From michael at linuxfox.de Wed Jul 17 17:31:51 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Wed, 17 Jul 2024 17:31:51 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: <009401dad85d$03752d20$0a5f8760$@Mail24.vip> References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> <009401dad85d$03752d20$0a5f8760$@Mail24.vip> Message-ID: Am 17.07.24 um 17:21 schrieb Daniel via Postfixbuch-users: > Also ein Versuch und gleich Ban ist sehr hart und konsequent. ja, ich kann da aber flexibel reagieren - geht natürlich nicht bei einem zig K User Server > > Bei mir sind aktuell 3 Versuche erlaubt, und dann geht IP für 1 Jahr auf Sperre. > > Gibt da auch Listen, welche man auch noch importieren kann z.B. > https://lists.blocklist.de/lists/all.txt > Oder auch ggf. etwas abgespecktere wie https://lists.blocklist.de/lists/ssh.txt usw. schau dir mal pihole an -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From michael at linuxfox.de Wed Jul 17 17:36:18 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Wed, 17 Jul 2024 17:36:18 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> <009401dad85d$03752d20$0a5f8760$@Mail24.vip> Message-ID: <61c2962c-d5e3-4105-88cc-30e30f5c50c5@linuxfox.de> Am 17.07.24 um 17:31 schrieb Michael Grundmann via Postfixbuch-users: > schau dir mal pihole an > sorry - das ist quatsch - ist ja nur von innen nach aussen -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From Daniel at Mail24.vip Wed Jul 17 17:51:59 2024 From: Daniel at Mail24.vip (Daniel) Date: Wed, 17 Jul 2024 17:51:59 +0200 Subject: AW: offtopic: wie IMAP absichern ? In-Reply-To: References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> <009401dad85d$03752d20$0a5f8760$@Mail24.vip> Message-ID: <00a701dad861$42477ea0$c6d67be0$@Mail24.vip> >> Also ein Versuch und gleich Ban ist sehr hart und konsequent. >ja, ich kann da aber flexibel reagieren - geht natürlich nicht bei einem zig K User Server Man könnte aber auch noch GEO IP Sperren einsetzen, z.B. IMAP nur aus DE oder EU, und für SMTP darf jeder. Fraglich auch wie es in Umgebung üblich ist, wenn VPN genutzt wird kann man tatsächlich ggf. IMAP nur intern machen, und für Rest Webmailer. Wenn es eher unüblich ist, damit Nutzer auch Mailclient auf Handy unterwegs nutzen können sollen, wird wieder etwas komplizierter. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From Daniel at Mail24.vip Wed Jul 17 18:02:41 2024 From: Daniel at Mail24.vip (Daniel) Date: Wed, 17 Jul 2024 18:02:41 +0200 Subject: AW: offtopic: wie IMAP absichern ? References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> <009401dad85d$03752d20$0a5f8760$@Mail24.vip> Message-ID: <00b801dad862$c0c9b490$425d1db0$@Mail24.vip> Man könnte auch überlegen ob man in ner sandbox oder docker noch ftp, telnet und ssh aufsetzt welche keinen login akzeptieren und nur dazu dienen die blocklist zu füttern sobald versuch erfolgt. Also nen Honeypot betreibt. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Wed Jul 17 18:13:06 2024 From: usenet at schani.com (christian) Date: Wed, 17 Jul 2024 18:13:06 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> Message-ID: <524640bd-05d9-48d9-9a00-d2db8f19c7f8@schani.com> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: > Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: > >> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >> > > fail2ban - EIN Loginfehler und Tschüß ;) > Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. Christian From klaus at tachtler.net Wed Jul 17 21:14:29 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Wed, 17 Jul 2024 21:14:29 +0200 (GMT+02:00) Subject: offtopic: wie IMAP absichern ? In-Reply-To: <524640bd-05d9-48d9-9a00-d2db8f19c7f8@schani.com> References: <9249ba9e-8d3b-4638-8b28-4b20aca3ac91@leibniz-hki.de> <524640bd-05d9-48d9-9a00-d2db8f19c7f8@schani.com> Message-ID: <1d13ede0-a17f-4243-aeca-3e0886da0ced@tachtler.net> Hallo, Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: christian via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: christian Datum: 17.07.2024 18:13:27 Betreff: Re: offtopic: wie IMAP absichern ? > Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>> >> fail2ban - EIN Loginfehler und Tschüß ;) >> > > > Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. > Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. > > Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. > > Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. > > Christian -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From kflesch at es-ag.com Thu Jul 18 14:24:36 2024 From: kflesch at es-ag.com (Klaus Flesch) Date: Thu, 18 Jul 2024 14:24:36 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: <1d13ede0-a17f-4243-aeca-3e0886da0ced@tachtler.net> References: <1d13ede0-a17f-4243-aeca-3e0886da0ced@tachtler.net> Message-ID: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> Hallo, Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). Wer hat da ne Idee? Danke Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach > Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : > > ?Hallo, > > Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. > > > Grüße > Klaus. > > -- > Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. > > Von: christian via Postfixbuch-users > An: postfixbuch-users at listen.jpberlin.de > Kopie: christian > Datum: 17.07.2024 18:13:27 > Betreff: Re: offtopic: wie IMAP absichern ? > >>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>>> >>> fail2ban - EIN Loginfehler und Tschüß ;) >>> >> >> >> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. >> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. >> >> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. >> >> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. >> >> Christian > > -- > > --------------------------------------- > e-Mail : klaus at tachtler.net > Homepage: https://www.tachtler.net > DokuWiki: https://dokuwiki.tachtler.net > --------------------------------------- > From daniel at mail24.vip Thu Jul 18 14:42:01 2024 From: daniel at mail24.vip (Daniel) Date: Thu, 18 Jul 2024 14:42:01 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> References: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> Message-ID: Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden. Spätestens wenns was kostet und sei es nur 1? kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch. Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren. Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt. Gruß Daniel > Am 18.07.2024 um 14:31 schrieb Klaus Flesch : > > ?Hallo, > > Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. > > Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). > > Wer hat da ne Idee? > > Danke > Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach > >> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : >> >> ?Hallo, >> >> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. >> >> >> Grüße >> Klaus. >> >> -- >> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. >> >> Von: christian via Postfixbuch-users >> An: postfixbuch-users at listen.jpberlin.de >> Kopie: christian >> Datum: 17.07.2024 18:13:27 >> Betreff: Re: offtopic: wie IMAP absichern ? >> >>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>>>>> >>>>> fail2ban - EIN Loginfehler und Tschüß ;) >>>>> >>> >>> >>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. >>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. >>> >>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. >>> >>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. >>> >>> Christian >> >> -- >> >> --------------------------------------- >> e-Mail : klaus at tachtler.net >> Homepage: https://www.tachtler.net >> DokuWiki: https://dokuwiki.tachtler.net >> --------------------------------------- >> -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Thu Jul 18 15:16:15 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Thu, 18 Jul 2024 15:16:15 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: References: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> Message-ID: <7ef6070e-8844-4b09-b4f2-74fd5e17de97@leibniz-hki.de> Hallo Daniel, das kann man im Forschungsumfeld bzw. universitätsnahen Umfeld nicht umsetzen. Wir haben Dienste zur Verfügung zu stellen und dürfen nicht einfach sanktionieren.... Hat jemand Erfahrung gemacht mit OAuth2 oder mit zertifikatsbasierender Absicherung (keine direkte Kommunikation vom Mailclient mit dem IMAP Server, sonder erst über ein privates Zertifikat anmelden und dann mit USERNAME & PW anmelden - ist das "TLS Certificate  authentication" ? ) Oder kennt jemand Firmen die sich damit auskennen (darf mich gerne kontaktieren!) ? Wie gesagt - fail2ban bringt bei uns nicht wirklich viel - da ist es schon eher ein Indiz (bei gleicher IP) dafür dass der Nutzer mal wieder das falsche Kennwort verwendet hat .... Unsere Mitarbeiter reisen viel, da wird es schwer mit Blacklisting. Ciao,   Peer On 18.07.24 14:42, Daniel via Postfixbuch-users wrote: > Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden. > > Spätestens wenns was kostet und sei es nur 1? kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch. > > Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren. > > Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt. > > Gruß Daniel > >> Am 18.07.2024 um 14:31 schrieb Klaus Flesch : >> >> ?Hallo, >> >> Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. >> >> Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). >> >> Wer hat da ne Idee? >> >> Danke >> Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach >> >>> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : >>> >>> ?Hallo, >>> >>> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. >>> >>> >>> Grüße >>> Klaus. >>> >>> -- >>> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. >>> >>> Von: christian via Postfixbuch-users >>> An: postfixbuch-users at listen.jpberlin.de >>> Kopie: christian >>> Datum: 17.07.2024 18:13:27 >>> Betreff: Re: offtopic: wie IMAP absichern ? >>> >>>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >>>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >>>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>>>>> fail2ban - EIN Loginfehler und Tschüß ;) >>>>>> >>>> >>>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. >>>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. >>>> >>>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. >>>> >>>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. >>>> >>>> Christian >>> -- >>> >>> --------------------------------------- >>> e-Mail : klaus at tachtler.net >>> Homepage: https://www.tachtler.net >>> DokuWiki: https://dokuwiki.tachtler.net >>> --------------------------------------- >>> -- Mit freundlichen Grüßen, Peer-Joachim Koch ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5999 bytes Beschreibung: S/MIME Cryptographic Signature URL : From dominik at kupschke.net Thu Jul 18 15:21:48 2024 From: dominik at kupschke.net (Dominik Kupschke) Date: Thu, 18 Jul 2024 15:21:48 +0200 Subject: offtopic: wie IMAP absichern ? In-Reply-To: References: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> Message-ID: <245925622.I5chG2OUYd@dominik-desktop> Wer den Aufwand nicht scheut, kann es ja mal mit OAUTH2 versuchen. Sofern Dovecot als IMAP Server eingesetzt wird, kann die Authentifizierung dann per OAUTH2 an eine Multi-Faktor Lösung delegiert werden. VG Dominik Am Donnerstag, 18. Juli 2024, 14:42:01 CEST schrieb Daniel via Postfixbuch-users: > Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden. > > Spätestens wenns was kostet und sei es nur 1? kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch. > > Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren. > > Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt. > > Gruß Daniel > > > Am 18.07.2024 um 14:31 schrieb Klaus Flesch : > > > > ?Hallo, > > > > Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. > > > > Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). > > > > Wer hat da ne Idee? > > > > Danke > > Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach > > > >> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : > >> > >> ?Hallo, > >> > >> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. > >> > >> > >> Grüße > >> Klaus. > >> > >> -- > >> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. > >> > >> Von: christian via Postfixbuch-users > >> An: postfixbuch-users at listen.jpberlin.de > >> Kopie: christian > >> Datum: 17.07.2024 18:13:27 > >> Betreff: Re: offtopic: wie IMAP absichern ? > >> > >>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: > >>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: > >>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? > >>>>>> > >>>>> fail2ban - EIN Loginfehler und Tschüß ;) > >>>>> > >>> > >>> > >>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. > >>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. > >>> > >>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. > >>> > >>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. > >>> > >>> Christian > >> > >> -- > >> > >> --------------------------------------- > >> e-Mail : klaus at tachtler.net > >> Homepage: https://www.tachtler.net > >> DokuWiki: https://dokuwiki.tachtler.net > >> --------------------------------------- > >> > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 228 bytes Beschreibung: This is a digitally signed message part. URL : From Daniel at Mail24.vip Thu Jul 18 15:43:09 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 18 Jul 2024 15:43:09 +0200 Subject: AW: offtopic: wie IMAP absichern ? In-Reply-To: <7ef6070e-8844-4b09-b4f2-74fd5e17de97@leibniz-hki.de> References: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> <7ef6070e-8844-4b09-b4f2-74fd5e17de97@leibniz-hki.de> Message-ID: <006d01dad918$6d2eb130$478c1390$@Mail24.vip> Verständlich, Alternativ könnte man ja auch eine Webseite bereitstellen wo sich betroffene ihre IP sehen und von Blacklist löschen lassen können. Und zwar nur die IP von der man zugreift, keine anderen, und auch nur mit nem Captcha oder einer Frage die jeder berechtigte beantworten kann. Könnte evt eine Workarround sein. Und extra erst per VPN einwählen damit Mailclient dann (nur intern) zugreifen kann, ist wohl auch nicht so die Lösung die gewünscht wird. Ist leider immer sone Abwegungssache. Habe als kleiner private Betreiber teils auch immer nur 1-2 Versuche und dann nächste IP, aber dann mit Emailadressen die es nie gab... Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Peer-Joachim Koch via Postfixbuch-users Gesendet: Donnerstag, 18. Juli 2024 15:16 An: postfixbuch-users at listen.jpberlin.de Cc: Peer-Joachim Koch Betreff: Re: offtopic: wie IMAP absichern ? Hallo Daniel, das kann man im Forschungsumfeld bzw. universitätsnahen Umfeld nicht umsetzen. Wir haben Dienste zur Verfügung zu stellen und dürfen nicht einfach sanktionieren.... Hat jemand Erfahrung gemacht mit OAuth2 oder mit zertifikatsbasierender Absicherung (keine direkte Kommunikation vom Mailclient mit dem IMAP Server, sonder erst über ein privates Zertifikat anmelden und dann mit USERNAME & PW anmelden - ist das "TLS Certificate authentication" ? ) Oder kennt jemand Firmen die sich damit auskennen (darf mich gerne kontaktieren!) ? Wie gesagt - fail2ban bringt bei uns nicht wirklich viel - da ist es schon eher ein Indiz (bei gleicher IP) dafür dass der Nutzer mal wieder das falsche Kennwort verwendet hat .... Unsere Mitarbeiter reisen viel, da wird es schwer mit Blacklisting. Ciao, Peer On 18.07.24 14:42, Daniel via Postfixbuch-users wrote: > Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden. > > Spätestens wenns was kostet und sei es nur 1? kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch. > > Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren. > > Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt. > > Gruß Daniel > >> Am 18.07.2024 um 14:31 schrieb Klaus Flesch : >> >> ?Hallo, >> >> Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. >> >> Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). >> >> Wer hat da ne Idee? >> >> Danke >> Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach >> >>> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : >>> >>> ?Hallo, >>> >>> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. >>> >>> >>> Grüße >>> Klaus. >>> >>> -- >>> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. >>> >>> Von: christian via Postfixbuch-users >>> An: postfixbuch-users at listen.jpberlin.de >>> Kopie: christian >>> Datum: 17.07.2024 18:13:27 >>> Betreff: Re: offtopic: wie IMAP absichern ? >>> >>>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >>>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >>>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>>>>> fail2ban - EIN Loginfehler und Tschüß ;) >>>>>> >>>> >>>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. >>>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. >>>> >>>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. >>>> >>>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. >>>> >>>> Christian >>> -- >>> >>> --------------------------------------- >>> e-Mail : klaus at tachtler.net >>> Homepage: https://www.tachtler.net >>> DokuWiki: https://dokuwiki.tachtler.net >>> --------------------------------------- >>> -- Mit freundlichen Grüßen, Peer-Joachim Koch ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Thu Jul 18 16:06:21 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Thu, 18 Jul 2024 16:06:21 +0200 Subject: AW: offtopic: wie IMAP absichern ? In-Reply-To: <006d01dad918$6d2eb130$478c1390$@Mail24.vip> References: <95789A3E-7DAF-4E69-A1C0-C0A106563353@es-ag.com> <7ef6070e-8844-4b09-b4f2-74fd5e17de97@leibniz-hki.de> <006d01dad918$6d2eb130$478c1390$@Mail24.vip> Message-ID: <20249fdf-b287-42fd-a530-bc45a0c9aefc@leibniz-hki.de> Hi, wenn Du auch bei e-Mail immer VPN machen musst, dann ist aus meiner persönlichen Sicht das ganze nicht mehr praktikabel - viele denken ja auch sie sind hinter einer FW sicher und es kann nichts mehr passieren ... Vielen Dank jedenfalls an alle für die Anregungen! Ciao, Peer On 18.07.24 15:43, Daniel via Postfixbuch-users wrote: > Verständlich, Alternativ könnte man ja auch eine Webseite bereitstellen wo sich betroffene ihre IP sehen und von Blacklist löschen lassen können. > Und zwar nur die IP von der man zugreift, keine anderen, und auch nur mit nem Captcha oder einer Frage die jeder berechtigte beantworten kann. > > Könnte evt eine Workarround sein. > > Und extra erst per VPN einwählen damit Mailclient dann (nur intern) zugreifen kann, ist wohl auch nicht so die Lösung die gewünscht wird. > > Ist leider immer sone Abwegungssache. Habe als kleiner private Betreiber teils auch immer nur 1-2 Versuche und dann nächste IP, aber dann mit Emailadressen die es nie gab... > > Gruß Daniel > > -----Ursprüngliche Nachricht----- > Von: Postfixbuch-users Im Auftrag von Peer-Joachim Koch via Postfixbuch-users > Gesendet: Donnerstag, 18. Juli 2024 15:16 > An: postfixbuch-users at listen.jpberlin.de > Cc: Peer-Joachim Koch > Betreff: Re: offtopic: wie IMAP absichern ? > > Hallo Daniel, > > das kann man im Forschungsumfeld bzw. universitätsnahen Umfeld nicht > umsetzen. > Wir haben Dienste zur Verfügung zu stellen und dürfen nicht einfach > sanktionieren.... > > Hat jemand Erfahrung gemacht mit OAuth2 oder mit zertifikatsbasierender > Absicherung > (keine direkte Kommunikation vom Mailclient mit dem IMAP Server, sonder > erst über ein > privates Zertifikat anmelden und dann mit USERNAME & PW anmelden - ist > das "TLS Certificate authentication" ? ) > > Oder kennt jemand Firmen die sich damit auskennen (darf mich gerne > kontaktieren!) ? > > Wie gesagt - fail2ban bringt bei uns nicht wirklich viel - da ist es > schon eher ein Indiz (bei gleicher IP) dafür > dass der Nutzer mal wieder das falsche Kennwort verwendet hat .... > > Unsere Mitarbeiter reisen viel, da wird es schwer mit Blacklisting. > > Ciao, > Peer > > On 18.07.24 14:42, Daniel via Postfixbuch-users wrote: >> Kommt drauf an, wenn ich dreist wäre würde ich verlangen dass man Passwort dann von anderer IP aus zurücksetzt, oder evt. sogar für das Entsperren eine kleine Gebühr in einstelligen Euro Bereich verlangen und Passwort per Post versenden. >> >> Spätestens wenns was kostet und sei es nur 1? kommt auch mal ein lerneffekt. Gibt Passwortmanager, und wer es analog mag schreibt es sich in ein Buch. >> >> Nach ner Stunde oder Tag halte ich viel zu kurz für Sperren. >> >> Auf anderen Seite kann man verstehen dass es dann mehr Supportanfragen gibt. >> >> Gruß Daniel >> >>> Am 18.07.2024 um 14:31 schrieb Klaus Flesch : >>> >>> ?Hallo, >>> >>> Wir haben das Problem, das die Automatiken bei den Mailclients und unbedarfte Nutzer einen Ban provozieren (mehrmaliges testen, was den passen könnte), und dann die Korrektur das Passwortes nicht mehr klappt, da die IP ja jetzt im Ban Modus ist. >>> >>> Symptom ist häufig großer Frust, und am nächsten Tag gehts auf einmal (ohne das ich was geändert habe! Ist die Beschwerde). >>> >>> Wer hat da ne Idee? >>> >>> Danke >>> Klaus Flesch, Kühnheimerstrasse 21, 79206 Breisach >>> >>>> Am 17.07.2024 um 21:20 schrieb Klaus Tachtler via Postfixbuch-users : >>>> >>>> ?Hallo, >>>> >>>> Fail2Ban, 3 Versuche und 8 Std. Sperrzeit. >>>> >>>> >>>> Grüße >>>> Klaus. >>>> >>>> -- >>>> Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. >>>> >>>> Von: christian via Postfixbuch-users >>>> An: postfixbuch-users at listen.jpberlin.de >>>> Kopie: christian >>>> Datum: 17.07.2024 18:13:27 >>>> Betreff: Re: offtopic: wie IMAP absichern ? >>>> >>>>>> Am 17.07.2024 um 17:07 schrieb Michael Grundmann via Postfixbuch-users: >>>>>>>> Am 17.07.24 um 16:43 schrieb Peer-Joachim Koch via Postfixbuch-users: >>>>>>> Wie sind eure Erfahrungen, bzw. wie löst Ihr das Problem ? >>>>>>> fail2ban - EIN Loginfehler und Tschüß ;) >>>>>>> >>>>> Ich denke auch das fail2ban das richtige ist. Bei mir hilft das. >>>>> Einen Login Fehler zulassen ist krass, aber 2 wären ok. Man hat ja seine eigenen Leute die mal das Passwort falsch eingeben. >>>>> >>>>> Aber mit 2 Fehlversuchen klappt es. Und ich würde nicht länger wie 30 Minuten sperren. >>>>> >>>>> Nach ein paar Tagen verlieren die Angreifer das Interesse und bleiben fern. Dann kann man die Fehlversuche wieder höher stellen. >>>>> >>>>> Christian >>>> -- >>>> >>>> --------------------------------------- >>>> e-Mail : klaus at tachtler.net >>>> Homepage: https://www.tachtler.net >>>> DokuWiki: https://dokuwiki.tachtler.net >>>> --------------------------------------- >>>> -- Mit freundlichen Grüßen, Peer-Joachim Koch ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5999 bytes Beschreibung: S/MIME Cryptographic Signature URL : From postfixbuch at germanyzuerst.de Tue Jul 23 09:05:28 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Tue, 23 Jul 2024 09:05:28 +0200 Subject: Mail-Archivierung mit Mailpiler Message-ID: <3584343.iIbC2pHGDl@stuttgart> Hallo zusammen, wer hat unter euch Erfahrungen mit Mailpiler? Wenn ich auf Postfix jeder Mail ein ?BCC:? an den betreffenden Piler-Account mitgebe, dann geschieht das doch für wirklich jede Mail, die über diesen Postfix-Server geht. Wie lässt sich vermeiden, dass Spam, die noch von Rspamd geblockt wurde, archiviert wurde? Die selbe Frage stellt sich bei so Allerweltsmails wie ?Brauche einen Termin am ...? zum Beispiel an kontakt at .... oder eben auch solche Forenmails wie diese hier? Dann, lassen sich bei 500 Mailaccounts beispielsweise auch nur einzelne Accounts archivieren; bzw. auf Aliases begrenzen? Zu guter Letzt, gibt es eine gute Dokumentation über die Konfiguration für das Einrichten über die WebGui außer das, was auf https://www.mailpiler.org/ docs.html bereits existiert? Vielen Dank für euer Feedback Andreas From Peer-Joachim.Koch at leibniz-hki.de Tue Jul 23 09:14:11 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Tue, 23 Jul 2024 09:14:11 +0200 Subject: Antw: Mail-Archivierung mit Mailpiler (Out of office (23.07.-> 25.06.]) In-Reply-To: <51366614020000C7B4969E28@weida.hki-jena.de> References: <51366614020000C7B4969E28@weida.hki-jena.de> Message-ID: <669F5843020000E900099055@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From Peer-Joachim.Koch at leibniz-hki.de Tue Jul 23 09:20:22 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Tue, 23 Jul 2024 09:20:22 +0200 Subject: Antw: Mail-Archivierung mit Mailpiler (Out of office (23.07.-> 25.06.]) In-Reply-To: <669F5843020000E900099055@weida.hki-jena.de> References: <51366614020000C7B4969E28@weida.hki-jena.de> <669F5843020000E900099055@weida.hki-jena.de> Message-ID: <669F59B6020000E90009905E@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From michael at linuxfox.de Tue Jul 23 10:14:13 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Tue, 23 Jul 2024 10:14:13 +0200 Subject: Mail-Archivierung mit Mailpiler In-Reply-To: <3584343.iIbC2pHGDl@stuttgart> References: <3584343.iIbC2pHGDl@stuttgart> Message-ID: Am 23.07.24 um 09:05 schrieb Andreas: Hallo Andreas, > Hallo zusammen, > > wer hat unter euch Erfahrungen mit Mailpiler? Wenn ich auf Postfix jeder Mail > ein ?BCC:? an den betreffenden Piler-Account mitgebe, dann geschieht das doch > für wirklich jede Mail, die über diesen Postfix-Server geht. ich nutze das via always_bcc > > Wie lässt sich vermeiden, dass Spam, die noch von Rspamd geblockt wurde, > archiviert wurde? Die selbe Frage stellt sich bei so Allerweltsmails wie > ?Brauche einen Termin am ...? zum Beispiel an kontakt at .... oder eben auch > solche Forenmails wie diese hier? > Dann, lassen sich bei 500 Mailaccounts beispielsweise auch nur einzelne > Accounts archivieren; bzw. auf Aliases begrenzen? Wenn Rspamd als Milter eingerichtet ist, werden SPAM-Mails nicht an always_bcc übergeben - bin mir aber tatsächlich nicht ganz sicher. Im Piler kannst du die Ausnahmen, die nicht archiviert werden sollen, pflegen > > Zu guter Letzt, gibt es eine gute Dokumentation über die Konfiguration für das > Einrichten über die WebGui außer das, was auf https://www.mailpiler.org/ > docs.html bereits existiert? Leider nein - ich würde ja gerne mal updaten, aber soll wohl eher der Support beauftragt werden. Was ich auch mal machen werde. > > Vielen Dank für euer Feedback > > Andreas > > -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From postfixbuch at germanyzuerst.de Tue Jul 23 10:25:14 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Tue, 23 Jul 2024 10:25:14 +0200 Subject: Mail-Archivierung mit Mailpiler In-Reply-To: References: <3584343.iIbC2pHGDl@stuttgart> Message-ID: <4594781.LvFx2qVVIh@stuttgart> Hallo Michael, das klingt schon mal beruhigend: > Wenn Rspamd als Milter eingerichtet ist, werden SPAM-Mails nicht an > always_bcc übergeben - bin mir aber tatsächlich nicht ganz sicher. > Im Piler kannst du die Ausnahmen, die nicht archiviert werden sollen, > pflegen > Mein Rspamd lässt zumindest schon wenig durch, bis eben eine neue Regel eingepflegt werden muss. Aber ich habe inzwischen gesehen, dass man für den Piler-Auditor einen Delete-Buttom freischalten kann. > > > Zu guter Letzt, gibt es eine gute Dokumentation über die Konfiguration für > > das Einrichten über die WebGui außer das, was auf > > https://www.mailpiler.org/ docs.html bereits existiert? > > Leider nein - ich würde ja gerne mal updaten, aber soll wohl eher der > Support beauftragt werden. Was ich auch mal machen werde. Ich überlege auch, da was zusammen zu schreiben, denn dafür, dass Piler so gut sein soll, ist wenig dokumentiert. Immerhin reagiert der Entwickler stets innerhalb weniger Stunden. Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From toag at izsr.de Sun Jul 28 14:38:40 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Sun, 28 Jul 2024 14:38:40 +0200 Subject: =?utf-8?Q?Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= Message-ID: Hallo, Liste, wir bekommen an einem Server mit Debian 11 Sieve nicht zum Laufen - über Roundcube angelegte Filter reagieren einfach nicht. Wir haben das jetzt stundenlang mit einem weitgehend identischen Server (Debian 11, Postfix und Dovecot und Sieve in identischen Versionen) abgeglichen und finden den Fehler nicht :\ Postfix übergibt die Mails per LMTP an Dovecot. Dovecot hat Sieve integriert, nach dem Start loggt es jedenfalls: Jul 28 14:14:20 master: Info: Dovecot v2.3.13 (89f716dc2) starting up for imap, lmtp, sieve, pop3, sieve (core dumps disabled) dovecot-sieve und dovecot-managesieved sind installiert bzw. auf dem nicht funktionierenden System vorsichtshalber entfernt und erneut installiert. Wir haben die Konfigs abgeglichen: /etc/dovecot/conf.d/15-lda.conf /etc/dovecot/conf.d/20-lmtp.conf /etc/dovecot/conf.d/20-managesieve.conf /etc/dovecot/conf.d/90-sieve.conf /etc/dovecot/conf.d/90-plugin.conf /etc/dovecot/conf.d/90-sieve-extprograms.conf = die sind identisch. Ein ?telnet localhost 4190? ergibt auf beiden Servern eine identische Ausgabe. Die Berechtigungen scheinen zu stimmen, die Filterregeln (erstellt über Roundcube) sehen identisch und korrekt aus - auf Server A funktionieren sie, auf Server B nicht. Die Hinweise aus https://doc.dovecot.org/configuration_manual/sieve/troubleshooting/ haben wir nach bestem Wissen und Gewissen befolgt. Hat noch jemand eine Idee? Entsprechende Konfigs poste ich hier gerne. Ich wäre nach ca. 10 Stunden Fehlersuche ansonsten jetzt soweit, Server B neu zu installieren in der Hoffnung, dass Sieve dann funktioniert. Lieber wäre es mir aber, den Fehler herauszufinden. Vielen Dank im Voraus für Tipps!! Schöne Grüße, Tim-Ole From ml at irmawi.de Sun Jul 28 14:55:24 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 28 Jul 2024 14:55:24 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: Message-ID: Hallo Tim-Ole, On 28.07.24 14:38, Tim-Ole Golz wrote: > Wir haben die Konfigs abgeglichen: > > /etc/dovecot/conf.d/15-lda.conf > /etc/dovecot/conf.d/20-lmtp.conf > /etc/dovecot/conf.d/20-managesieve.conf > /etc/dovecot/conf.d/90-sieve.conf > /etc/dovecot/conf.d/90-plugin.conf > /etc/dovecot/conf.d/90-sieve-extprograms.conf > > = die sind identisch. > > Hat noch jemand eine Idee? Entsprechende Konfigs poste ich hier gerne. wie sehen denn die Ausgaben von 'doveconf -n' aus? Sind die von diesen beiden Servern wirklich identisch? Viele Grüße Markus From mittelstaedt-postfixbuch-users-list at monster-box.de Sun Jul 28 14:57:54 2024 From: mittelstaedt-postfixbuch-users-list at monster-box.de (Tom =?ISO-8859-1?Q?Mittelst=E4dt?=) Date: Sun, 28 Jul 2024 14:57:54 +0200 Subject: Dovecot Sieve weigert sich =?UTF-8?B?aGFydG7DpGNraWc=?= In-Reply-To: References: Message-ID: <1801154.VLH7GnMWUR@tweety.monster-box.de> Hi, das klingt als würde die .sieve-Datei nicht berücksichtigt/gefunden/gelesen werden. Was spricht denn die 90-sieve.conf? da steht vermutlich irgendwo sowas wie: sieve = file:~/sieve;active=~/.dovecot.sieve drin? Gibt es die Dateien im Filesystem? Steht da das richtige drin? Darf der dovecot-Prozess die ggf. User-Dateien lesen? Passen die Berechtigungen? Im RHEL-Umfeld ist SELinux der typische Showstopper dabei, mit Debian hab ich keine Erfahrung, aber evtl. greift da AppArmor ein? VG Tom Am Sonntag, 28. Juli 2024, 14:38:40 CEST schrieb Tim-Ole Golz: > Hallo, Liste, > > wir bekommen an einem Server mit Debian 11 Sieve nicht zum Laufen - über > Roundcube angelegte Filter reagieren einfach nicht. > > Wir haben das jetzt stundenlang mit einem weitgehend identischen Server > (Debian 11, Postfix und Dovecot und Sieve in identischen Versionen) > abgeglichen und finden den Fehler nicht :\ > > Postfix übergibt die Mails per LMTP an Dovecot. Dovecot hat Sieve > integriert, nach dem Start loggt es jedenfalls: > > Jul 28 14:14:20 master: Info: Dovecot v2.3.13 (89f716dc2) starting up for > imap, lmtp, sieve, pop3, sieve (core dumps disabled) > > dovecot-sieve und dovecot-managesieved sind installiert bzw. auf dem nicht > funktionierenden System vorsichtshalber entfernt und erneut installiert. > > Wir haben die Konfigs abgeglichen: > > /etc/dovecot/conf.d/15-lda.conf > /etc/dovecot/conf.d/20-lmtp.conf > /etc/dovecot/conf.d/20-managesieve.conf > /etc/dovecot/conf.d/90-sieve.conf > /etc/dovecot/conf.d/90-plugin.conf > /etc/dovecot/conf.d/90-sieve-extprograms.conf > > = die sind identisch. Ein ?telnet localhost 4190? ergibt auf beiden Servern > eine identische Ausgabe. Die Berechtigungen scheinen zu stimmen, die > Filterregeln (erstellt über Roundcube) sehen identisch und korrekt aus - > auf Server A funktionieren sie, auf Server B nicht. > > Die Hinweise aus > https://doc.dovecot.org/configuration_manual/sieve/troubleshooting/ haben > wir nach bestem Wissen und Gewissen befolgt. > > Hat noch jemand eine Idee? Entsprechende Konfigs poste ich hier gerne. Ich > wäre nach ca. 10 Stunden Fehlersuche ansonsten jetzt soweit, Server B neu > zu installieren in der Hoffnung, dass Sieve dann funktioniert. Lieber wäre > es mir aber, den Fehler herauszufinden. > > Vielen Dank im Voraus für Tipps!! > > Schöne Grüße, Tim-Ole From toag at izsr.de Sun Jul 28 15:25:42 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Sun, 28 Jul 2024 15:25:42 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <1801154.VLH7GnMWUR@tweety.monster-box.de> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> Message-ID: Moin, Tom und Markus, > das klingt als würde die .sieve-Datei nicht berücksichtigt/gefunden/gelesen > werden. ja, genau so oder ähnlich! > Was spricht denn die 90-sieve.conf? > da steht vermutlich irgendwo sowas wie: > sieve = file:~/sieve;active=~/.dovecot.sieve > drin? dazu hatten wir uns dadrin folgendes notiert: # auskommentiert 18-6-2024 # sieve = file:~/sieve;active=~/.dovecot.sieve # aktiv: plugin { sieve = ~/.dovecot.sieve sieve_global_path = /var/lib/dovecot/sieve/default.sieve sieve_dir = ~/sieve sieve_global_dir = /var/lib/dovecot/sieve/ sieve_default = /var/lib/dovecot/sieve/default.sieve } = die Zeile sieve_default haben wir auch schon weggelassen, kein Unterschied. Der funktionierende Server hat die Konfig ohne die sieve_default-Zeile. > Gibt es die Dateien im Filesystem? ja! > Steht da das richtige drin? ob es richtig ist, weiss ich nicht ;) - aber im *funktionierenden* Sieve-Setup steht dasselbe wie im *nicht* funktionierenden :\ Selbst die Filterregeln unter /home/user/sieve/managesieve sind (bis auf die Adressen) identisch. > Darf der dovecot-Prozess die ggf. User-Dateien lesen? Passen die > Berechtigungen? = im funktionierenden Dovecot/Sieve und im nicht funktionierenden gehören die Dateien den Usern. Noch lustiger: so sieht es dort aus, wo Sieve geht: ls -la /home/testuser/ -rw-r--r-- 1 toag toag 220 18. Apr 2019 .bash_logout -rw-r--r-- 1 toag toag 3526 18. Apr 2019 .bashrc drwxr-xr-x 16 toag toag 4096 28. Jul 15:14 Maildir -rw-r--r-- 1 toag toag 807 18. Apr 2019 .profile drwx------ 3 toag toag 4096 28. Jul 14:31 sieve Bei einigen Usern findet sich aber zusätzlich noch: .dovecot.lda-dupes .dovecot.sieve -> sieve/managesieve.sieve .dovecot.svbin = funktioniert beides, da Dovecot/Sieve wohl auf die Defaults zurückgreift. Und im nicht funktionierenden sieht es identisch aus, geht aber nicht :\ Ich habe jetzt mal auf dem ?kaputten? System die Berechtigungen für Dovecot hinzugefügt, macht keinen Unterschied. Die Mails trudeln ein, und das war´s. Auch bei erhöhtem Dovecot-Loglevel tauchen keine aussagekräftigen Fehlermeldungen auf. Sieve reagiert schlicht und einfach nicht. > Im RHEL-Umfeld ist SELinux der typische Showstopper dabei, mit > Debian hab ich keine Erfahrung, aber evtl. greift da AppArmor ein? ich wollte in der Ursprungsmail noch schreiben: AppArmor / SELinux o.ä. sind nicht aktiv ;) @Markus: die Ausgaben von dovecot -n kann ich gerne posten, sind allerdings naturgemäss recht lang. Auch ein diff hilft mir da nicht wirklich weiter :\ Schöne Grüße From ml at irmawi.de Sun Jul 28 15:46:30 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 28 Jul 2024 15:46:30 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> Message-ID: Hallo Tim-Ole, On 28.07.24 15:25, Tim-Ole Golz wrote: >> Was spricht denn die 90-sieve.conf? >> da steht vermutlich irgendwo sowas wie: >> sieve = file:~/sieve;active=~/.dovecot.sieve >> drin? > > dazu hatten wir uns dadrin folgendes notiert: > > # auskommentiert 18-6-2024 > # sieve = file:~/sieve;active=~/.dovecot.sieve > # aktiv: > > plugin { > sieve = ~/.dovecot.sieve > sieve_global_path = /var/lib/dovecot/sieve/default.sieve > sieve_dir = ~/sieve > sieve_global_dir = /var/lib/dovecot/sieve/ > sieve_default = /var/lib/dovecot/sieve/default.sieve > } bei mir: [...] plugin { # The location of the user's main Sieve script or script storage. The LDA # Sieve plugin uses this to find the active script for Sieve filtering at # delivery. [...] # Currently only the 'file:' location type supports ManageSieve operation. [...] # # For the 'file:' type: use the ';active=' parameter to specify where the # active script symlink is located. # For other types: use the ';name=' parameter to specify the name of the # default/active script. sieve = file:~/sieve;active=~/.dovecot.sieve [...] Ich würde daher das bei Dir auskommentierte tatsächlich mal (re)aktivieren und: sieve = ~/.dovecot.sieve auskommentieren. Wie ist eigentlich 'mail_home' gesetzt (oder eben gleich mal 'doveconf -n' posten)? Viele Grüße Markus From toag at izsr.de Sun Jul 28 16:05:22 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Sun, 28 Jul 2024 16:05:22 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> Message-ID: <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Moin, Markus, > Ich würde daher das bei Dir auskommentierte tatsächlich mal (re)aktivieren und: > > sieve = ~/.dovecot.sieve > > auskommentieren. OK, getan - kein Unterschied! Vorsichtshalber einen neuen User angelegt. Maildir ist zuerst leer und nach erstem Login im Roundcube und dem Anlegen des Autoresponders sind die sieve-Dateien angelegt: /home/heini.meier# cat .dovecot.sieve require ["date","relational","vacation"]; # rule:[Abwesenheit ] if allof (currentdate :zone "+0200" :value "ge" "date" "2024-07-27", currentdate :zone "+0200" :value "le" "date" "2024-07-30") { vacation :days 3 :addresses ?heini.meier at sieve-geht.nicht" :subject "Bin wech!" :from "\"heini.meier\" " "wieso?"; } = Mail kommt an, nichts passiert. > Wie ist eigentlich 'mail_home' gesetzt (oder eben gleich mal 'doveconf -n' posten)? mail_home hab ich nicht. Meinst Du: mail_location = maildir:~/Maildir dovecot -n im Anhang. Schöne Grüße Toag => # 2.3.13 (89f716dc2): /etc/dovecot/dovecot.conf # Pigeonhole version 0.5.13 (cdd19fe3) # OS: Linux 5.10.0-31-amd64 x86_64 Debian 11.10 # Hostname: webmail.sieve-geht.nicht debug_log_path = /var/log/dovecot/dovecot.log default_process_limit = 200 log_path = /var/log/dovecot/dovecot.log mail_debug = yes mail_location = maildir:~/Maildir managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext namespace inbox { inbox = yes location = mailbox Drafts { special_use = \Drafts } mailbox Junk { special_use = \Junk } mailbox Sent { special_use = \Sent } mailbox "Sent Messages" { special_use = \Sent } mailbox Trash { special_use = \Trash } prefix = } passdb { driver = pam } plugin { sieve = ~/.dovecot.sieve sieve_default = /var/lib/dovecot/sieve/default.sieve sieve_dir = ~/sieve sieve_global_dir = /var/lib/dovecot/sieve/ sieve_global_path = /var/lib/dovecot/sieve/default.sieve } protocols = " imap lmtp sieve pop3 sieve" service auth { unix_listener /var/spool/postfix/private/auth { group = postfix mode = 0666 user = postfix } } service imap { process_limit = 1024 } service lmtp { unix_listener lmtp { mode = 0666 } } service managesieve-login { inet_listener sieve { address = 127.0.0.1 port = 4190 } } ssl_cert = References: <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: <3638640.R56niFO833@tweety.monster-box.de> Hi, Am Sonntag, 28. Juli 2024, 16:05:22 CEST schrieb Tim-Ole Golz: > > Ich würde daher das bei Dir auskommentierte tatsächlich mal (re)aktivieren > > und: > > > > sieve = ~/.dovecot.sieve > > > > auskommentieren. > > OK, getan - kein Unterschied! Vorsichtshalber einen neuen User angelegt. > Maildir ist zuerst leer und nach erstem Login im Roundcube und dem Anlegen > des Autoresponders sind die sieve-Dateien angelegt: > > /home/heini.meier# cat .dovecot.sieve > > require ["date","relational","vacation"]; > # rule:[Abwesenheit ] > if allof (currentdate :zone "+0200" :value "ge" "date" "2024-07-27", > currentdate :zone "+0200" :value "le" "date" "2024-07-30") { > vacation :days 3 :addresses ?heini.meier at sieve-geht.nicht" :subject "Bin > wech!" :from "\"heini.meier\" " "wieso?"; } > > = Mail kommt an, nichts passiert. Was sagt denn `cat /var/log/maillog`, ggf. +`| grep sieve` dazu? Da sollte ein kompletter Trace von Allem unter der message-id bzw. queue-id drin sein; ggf. log-level hoch setzen. Aber ich vermute weiterhin Config-Problem: > dovecot -n im Anhang. > sieve = ~/.dovecot.sieve Da fehlt ein "file:"-Handler davor, und ggf. auch eine active-Direktive; vgl.: >> sieve = file:~/sieve;active=~/.dovecot.sieve Es schaut so aus als würden Deine userspezifischen vacation-Scripts nicht geladen werden. VG Tom From toag at izsr.de Sun Jul 28 16:45:22 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Sun, 28 Jul 2024 16:45:22 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <3638640.R56niFO833@tweety.monster-box.de> References: <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <3638640.R56niFO833@tweety.monster-box.de> Message-ID: Moin, Tom, > Was sagt denn `cat /var/log/maillog`, ggf. +`| grep sieve` dazu? Jul 28 10:41:03 webmail dovecot: master: Dovecot v2.3.13 (89f716dc2) starting up for imap, lmtp, sieve, pop3, sieve (core dumps disabled) Jul 28 10:52:37 webmail dovecot: managesieve-login: Login: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=1067, secured, session= Jul 28 10:52:37 webmail dovecot: managesieve(hein.daddel)<1067>: Disconnected: Logged out bytes=54/796 usw. > Da sollte ein > kompletter Trace von Allem unter der message-id bzw. queue-id drin sein; ggf. > log-level hoch setzen. das Dovecot-Log hatte ich schon hochgesetzt, leider keine Meldungen zu Sieve :\ vielleicht habe ich es auch an falscher Stelle konfiguriert. Auf jeden Fall produziert Dovecot reichlich Logzeilen, auch in einem separaten File. > Aber ich vermute weiterhin Config-Problem: >> dovecot -n im Anhang. >> sieve = ~/.dovecot.sieve > Da fehlt ein "file:"-Handler davor, und ggf. auch eine active-Direktive; > vgl.: >>> sieve = file:~/sieve;active=~/.dovecot.sieve in /etc/dovecot/conf.d/90-sieve.conf habe ich es ja jetzt so stehen - geht nicht. Die vorherige Konfig habe ich im ?funktionierenden? Mailserver, der ansonsten weitgehend identisch zu sein scheint. Akjtuell sagt 'dovecot -n | grep sieve' = managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext sieve = file:~/sieve;active=~/.dovecot.sieve sieve_default = /var/lib/dovecot/sieve/default.sieve protocols = " imap lmtp sieve pop3 sieve" service managesieve-login { inet_listener sieve { mail_plugins = " sieve" mail_plugins = " sieve" > Es schaut so aus als würden Deine userspezifischen vacation-Scripts nicht > geladen werden. das betrifft nicht nur Vacation. Auf dem ?funktionierenden? Server habe ich eine Regel erstellt ?alle Mails in einen Unterordner verschieben?. Klappt dort tadellos. Dieselbe Regel auf dem Sorgenkind: wird ignoriert. Es wird also offenbar nichts an Sieve-Regeln ausgeführt. Beste Grüße From ml at irmawi.de Sun Jul 28 20:31:24 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 28 Jul 2024 20:31:24 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: Hallo Tim-Ole, On 28.07.24 16:05, Tim-Ole Golz wrote: > OK, getan - kein Unterschied! danke für den Test! > mail_home hab ich nicht. Meinst Du: > > mail_location = maildir:~/Maildir Nein, ich meinte schon mail_home. Aber ich hatte nicht genau hingeschaut und erst danach gesehen, dass Du ja Systemuser hast und keine virtuellen. ;-) > dovecot -n im Anhang. Danke auch dafür. Könntest Du bitte mal noch: - die Ausgabe von 'postconf -n' - das komplette Postfix- _und_ Dovecot-Log des Vorgangs der Einlieferung einer (Test-)Mail schicken? Viele Grüße Markus From Daniel at Mail24.vip Mon Jul 29 07:37:04 2024 From: Daniel at Mail24.vip (Daniel) Date: Mon, 29 Jul 2024 07:37:04 +0200 Subject: =?iso-8859-1?Q?m=F6gliche_Probleme_bei_DMARC_Report_Auswertung_von_GMX/We?= =?iso-8859-1?Q?b.de?= Message-ID: <001b01dae179$583b88c0$08b29a40$@Mail24.vip> Moin, anscheint wendet GMX/Web.de experimentelle Werte an. Je nachdem wie man deren DMARC Reports auswertet, kann es zu Fehlern kommen wenn die Tags im XML nicht ignoriert oder ausgewertet werden. ... DOMAIN psl s s

quarantine

reject n ... In dem Fall geht es um Tags discovery_method und testing. Habe auf schnelle nur hier paar Infos zu gefunden https://datatracker.ietf.org/doc/draft-ietf-dmarc-dmarcbis/ wenn man dort nach "PSL" sucht. GMX/Web.de selbst haben kein psd=y oder so im Record. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From toag at izsr.de Mon Jul 29 08:50:39 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Mon, 29 Jul 2024 08:50:39 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: Moin, Markus, > danke für den Test! *ich* habe zu danken :) > Danke auch dafür. Könntest Du bitte mal noch: > > - die Ausgabe von 'postconf -n' alias_database = hash:/etc/aliases, hash:/etc/sympa/aliases.sympa.postfix alias_maps = hash:/etc/aliases, hash:/etc/sympa/aliases.sympa.postfix, hash:/etc/mail/sympa/aliases append_dot_mydomain = no biff = no compatibility_level = 2 home_mailbox = Maildir/ inet_interfaces = all local_header_rewrite_clients = static:all mailbox_size_limit = 0 message_size_limit = 40240000 mydestination = sieve-geht.nicht mail.sieve-geht.nicht webmail.sieve-geht.nicht localhost.sieve-geht.nicht localhost myhostname = mail.sieve-geht.nicht mynetworks = 127.0.0.0/8, 192.168.123.0/24 myorigin = /etc/mailname queue_directory = /var/spool/postfix readme_directory = no recipient_delimiter = + relayhost = 1.2.3.4 remote_header_rewrite_domain = sender_canonical_maps = hash:/etc/postfix/sender_canonical smtp_tls_cert_file = /etc/letsencrypt/live/mail.sieve-geht.nicht/fullchain.pem smtp_tls_key_file = /etc/letsencrypt/live/mail.sieve-geht.nicht/privkey.pem smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name smtpd_recipient_restrictions = permit_sasl_authenticated, check_sender_access hash:/etc/postfix/sender_access reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unverified_recipient, reject_unauth_destination, reject_unlisted_recipient reject_unauthenticated_sender_login_mismatch check_client_access hash:/etc/postfix/check_client_access permit smtpd_relay_restrictions = check_sender_access hash:/etc/postfix/sender_access check_client_access hash:/etc/postfix/check_client_access permit_sasl_authenticated reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_non_fqdn_sender reject_non_fqdn_recipient reject_unknown_sender_domain reject_unknown_recipient_domain reject_unverified_recipient reject_unauth_destination reject_unlisted_recipient reject_unauthenticated_sender_login_mismatch defer_unauth_destination permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_type = dovecot smtpd_tls_cert_file = /etc/letsencrypt/live/mail.sieve-geht.nicht/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail.sieve-geht.nicht/privkey.pem smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes smtputf8_enable = no soft_bounce = no transport_maps = hash:/etc/postfix/transport virtual_maps = hash:/etc/postfix/virtual virtual_transport = virtual > - das komplette Postfix- _und_ Dovecot-Log des Vorgangs der Einlieferung einer (Test-)Mail => ?heini.meier? loggt sich ein: Jul 29 08:27:28 imap-login: Info: Login: user=, method=PLAIN, rip=::1, lip=::1, mpid=8551, secured, session= Jul 29 08:27:28 imap(heini.meier)<8551>: Debug: Effective uid=10241, gid=10251, home=/home/heini.meier Jul 29 08:27:28 imap(heini.meier)<8551>: Debug: Namespace inbox: type=private, prefix=, sep=, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:~/Maildir Jul 29 08:27:28 imap(heini.meier)<8551>: Debug: maildir++: root=/home/heini.meier/Maildir, index=, indexpvt=, control=, inbox=/home/heini.meier/Maildir, alt= Jul 29 08:27:28 imap(heini.meier)<8551>: Info: Logged out in=82 out=611 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0 Jul 29 08:27:28 imap-login: Info: Login: user=, method=PLAIN, rip=::1, lip=::1, mpid=8553, secured, session= Jul 29 08:27:28 imap(heini.meier)<8553>: Debug: Effective uid=10241, gid=10251, home=/home/heini.meier Jul 29 08:27:28 imap(heini.meier)<8553>: Debug: Namespace inbox: type=private, prefix=, sep=, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:~/Maildir Jul 29 08:27:28 imap(heini.meier)<8553>: Debug: maildir++: root=/home/heini.meier/Maildir, index=, indexpvt=, control=, inbox=/home/heini.meier/Maildir, alt= Jul 29 08:27:28 imap(heini.meier)<8553>: Info: Logged out in=44 out=527 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0 Jul 29 08:27:28 imap-login: Info: Login: user=, method=PLAIN, rip=::1, lip=::1, mpid=8558, secured, session= Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Effective uid=10241, gid=10251, home=/home/heini.meier Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Namespace inbox: type=private, prefix=, sep=, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:~/Maildir Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: maildir++: root=/home/heini.meier/Maildir, index=, indexpvt=, control=, inbox=/home/heini.meier/Maildir, alt= Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: Mailbox opened because: STATUS Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: Mailbox opened because: SELECT Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: Purging (new file_seq=1722175296): Drop old field flags (last_used=0) Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: Purge dropped field flags (decision=temp, last_used=0) Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: Purging finished, file_seq changed 1722175295 -> 1722175296, size=976 -> 700, max_uid=1 Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: UID 2: Opened mail because: mail stream Jul 29 08:27:28 imap(heini.meier)<8558>: Debug: Mailbox INBOX: UID 2: Opened mail because: 10/10 headers not cached (first=CC) (Mail not cached, highest cached seq=1 uid=1: reset_id=1722175296) Jul 29 08:27:28 imap-login: Info: Login: user=, method=PLAIN, rip=::1, lip=::1, mpid=8559, secured, session= Jul 29 08:27:28 imap(heini.meier)<8558>: Info: Logged out in=292 out=2028 deleted=0 expunged=0 trashed=0 hdr_count=2 hdr_bytes=476 body_count=0 body_bytes=0 Jul 29 08:27:28 imap(heini.meier)<8559>: Debug: Effective uid=10241, gid=10251, home=/home/heini.meier Jul 29 08:27:28 imap(heini.meier)<8559>: Debug: Namespace inbox: type=private, prefix=, sep=, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:~/Maildir Jul 29 08:27:28 imap(heini.meier)<8559>: Debug: maildir++: root=/home/heini.meier/Maildir, index=, indexpvt=, control=, inbox=/home/heini.meier/Maildir, alt= Jul 29 08:27:28 imap(heini.meier)<8559>: Debug: Mailbox INBOX: Mailbox opened because: STATUS Jul 29 08:27:28 imap(heini.meier)<8559>: Info: Logged out in=82 out=614 deleted=0 expunged=0 trashed=0 hdr_count=0 hdr_bytes=0 body_count=0 body_bytes=0 => heini.meier ändert etwas an seinem Autoresponder: Jul 29 08:34:35 managesieve-login: Info: Login: user=, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=8692, secured, session= Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: Effective uid=10241, gid=10251, home=/home/heini.meier Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: Namespace inbox: type=private, prefix=, sep=, inbox=yes, hidden=no, list=yes, subscriptions=yes location=maildir:~/Maildir Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: maildir++: root=/home/heini.meier/Maildir, index=, indexpvt=, control=, inbox=/home/heini.meier/Maildir, alt= Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: Pigeonhole version 0.5.13 (cdd19fe3) initializing Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: Using active Sieve script path: /home/heini.meier/.dovecot.sieve Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: Using script storage path: /home/heini.meier/sieve Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: Using permissions from /home/heini.meier/sieve: mode=0700 gid=-1 Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: Relative path to sieve storage in active link: sieve/ Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: sync: Synchronization active Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script `managesieve' from `/home/heini.meier/sieve/managesieve.sieve' Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script for reading Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Closed script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': save: Started saving script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: Using Sieve script path: /home/heini.meier/sieve/tmp/managesieve_1722234875.M135875P8692.webmail.sieve Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script `managesieve' from `/home/heini.meier/sieve/tmp/managesieve_1722234875.M135875P8692.webmail.sieve' Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script for reading Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Closed script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': save: Finished saving script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Info: Disconnected: Logged out bytes=443/875 Jul 29 08:34:37 imap(merle.kirmse)<8690>: Debug: Mailbox Trash: Mailbox opened because: UID move => heini.meiers Datei /home/heini.meier/.dovecot.sieve sieht so aus: require ["date","relational","vacation"]; # rule:[Abwesenheit ] if allof (currentdate :zone "+0200" :value "ge" "date" "2024-07-27", currentdate :zone "+0200" :value "le" "date" "2024-07-30") { vacation :days 1 :addresses "heini.meier at sieve-geht.nicht" :subject "Bin wech!" :from "\"heini.meier\" " "Barum? Darum!"; } => Mail von Aussen kommt rein, Postfix-Log: Jul 29 08:38:18 webmail postfix/smtpd[8718]: connect from mailin.draussen[1.2.3.4] Jul 29 08:38:18 webmail postfix/smtpd[8718]: CEF53400306: client=mailin.draussen[1.2.3.4] Jul 29 08:38:18 webmail postfix/cleanup[8702]: CEF53400306: message-id=<07EDEC24-4D30-432E-965C-B7F453A0DB17 at foo.bar> Jul 29 08:38:18 webmail postfix/qmgr[2162]: CEF53400306: from=, size=1636, nrcpt=1 (queue active) Jul 29 08:38:18 webmail postfix/smtpd[8718]: disconnect from mailin.draussen[1.2.3.4] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 Jul 29 08:38:18 webmail postfix/local[8784]: CEF53400306: to=, relay=local, delay=0.04, delays=0.03/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir) Jul 29 08:38:18 webmail postfix/qmgr[2162]: CEF53400306: removed => Debug-Dovecot-Log: - nichts - ?. tatsächlich! Das vorher so geschwätzige Dovecot-Log bleibt bei der Einlieferung der Autoresponder-Testmail so still wie ein Mönch im Schweigekloster. Ich habe die Mail um 8:38 Uhr geschickt, wenn ich gezielt nach heini.meier im Dovecot-Log suche, findet sich der letzte Eintrag von 8:34 Uhr: Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script `managesieve' from `/home/heini.meier/sieve/tmp/managesieve_1722234875.M135875P8692.webmail.sieve' Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Opened script for reading Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': Closed script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Debug: sieve: file storage: script `managesieve': save: Finished saving script Jul 29 08:34:35 managesieve(heini.meier)<8692>: Info: Disconnected: Logged out bytes=443/875 = vermutlich muss ich das Debugging des Dovecot und/oder Sieve anders einstellen. Andererseits loggt er ja grundsätzlich die IMAP-Aktivitäten, siehe oben. Autoresponder hat übrigens natürlich *nicht* funktioniert ?. ich habe zwischenzeitlich in /etc/dovecot/conf.d/90-sieve.conf wieder die Zeilen reingenommen, mit denen es auf dem Referenzsystem ja funktioniert: egrep -v '#|^ *$' /etc/dovecot/conf.d/90-sieve.conf plugin { sieve = ~/.dovecot.sieve sieve_global_path = /var/lib/dovecot/sieve/default.sieve sieve_dir = ~/sieve sieve_global_dir = /var/lib/dovecot/sieve/ sieve_default = /var/lib/dovecot/sieve/default.sieve sieve_global = /var/lib/dovecot/sieve/default.sieve } Mit den obigen Zeilen auskommentiert und sieve = file:~/sieve;active=~/.dovecot.sieve einkommentiert passiert genauso wenig :\ Bin echt ratlos; allmählich tippe ich auf irgend eine korrupte Library, die sich irgendwann mal zerschossen hat und die trotz (kurz zusammengefasst) apt remove ?purge dovecot-managesieve* dovecot-sieve* && Reboot && apt autoremove && Reboot && apt update && apt upgrade && Reboot && apt install dovecot-managesieve* dovecot-sieve* && Reboot auch nicht wieder zum Leben erweckt werden kann. apt install -f und apt install vacation habe ich ebenfalls schon durch. Doveot kann ich nicht so einfach re-installieren, weil es sich um ein Produktivsystem handelt :\ Beste Grüße Toag From rainer at wiesi.info Mon Jul 29 09:10:49 2024 From: rainer at wiesi.info (rainer at wiesi.info) Date: Mon, 29 Jul 2024 09:10:49 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: Am 29.07.2024 um 08:50 schrieb Tim-Ole Golz: > [...] >> >> - die Ausgabe von 'postconf -n' > > [...] > virtual_maps = hash:/etc/postfix/virtual > virtual_transport = virtual > [...] Sorry, wenn ich als Blinder im Vergleich zu Euch hier meinen Senf dazu gebe, aber wo steht hier, dass Postfix an Dovecot weitergeben soll? Bei meinem UCS-System steht da: virtual_transport = lmtp:unix:private/dovecot-lmtp > > => Mail von Aussen kommt rein, Postfix-Log: > > Jul 29 08:38:18 webmail postfix/smtpd[8718]: connect from mailin.draussen[1.2.3.4] > Jul 29 08:38:18 webmail postfix/smtpd[8718]: CEF53400306: client=mailin.draussen[1.2.3.4] > Jul 29 08:38:18 webmail postfix/cleanup[8702]: CEF53400306: message-id=<07EDEC24-4D30-432E-965C-B7F453A0DB17 at foo.bar> > Jul 29 08:38:18 webmail postfix/qmgr[2162]: CEF53400306: from=, size=1636, nrcpt=1 (queue active) > Jul 29 08:38:18 webmail postfix/smtpd[8718]: disconnect from mailin.draussen[1.2.3.4] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7 > Jul 29 08:38:18 webmail postfix/local[8784]: CEF53400306: to=, relay=local, delay=0.04, delays=0.03/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir) > Jul 29 08:38:18 webmail postfix/qmgr[2162]: CEF53400306: removed Da steht "delivered to maildir", nichts von "relay=...[private/dovecot-lmtp]" oder so ähnlich. > > => Debug-Dovecot-Log: > > - nichts - ?. tatsächlich! Das vorher so geschwätzige Dovecot-Log bleibt bei der Einlieferung der Autoresponder-Testmail so still wie ein Mönch im Schweigekloster. Ich habe die Mail um 8:38 Uhr geschickt, wenn ich gezielt nach heini.meier im Dovecot-Log suche, findet sich der letzte Eintrag von 8:34 Uhr: > [...] Dovecot hat die Einlieferung wohl auch nicht mitbekommen? Korrigiert mich bitte, falls ich hier kompletten Schwachsinn erzählt habe - ich bin durchaus lernwillig! Viele Grüße Rainer -- # Rainer Wiesenfarth From bjo at schafweide.org Mon Jul 29 09:27:48 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Mon, 29 Jul 2024 09:27:48 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: <0171bbaa-550e-424d-b6ad-772b97ba0340@schafweide.org> Moin, > Sorry, wenn ich als Blinder im Vergleich zu Euch hier meinen Senf dazu > gebe, aber wo steht hier, dass Postfix an Dovecot weitergeben soll? Wenn's das war - Wald vor lauter Bäumen und so, wenn sich alle auf die dovecot-Config versteifen? ;) Grüße bjo From toag at izsr.de Mon Jul 29 10:21:27 2024 From: toag at izsr.de (toag) Date: Mon, 29 Jul 2024 10:21:27 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <0171bbaa-550e-424d-b6ad-772b97ba0340@schafweide.org> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <0171bbaa-550e-424d-b6ad-772b97ba0340@schafweide.org> Message-ID: <6d0aad02c5292c659a26c9ef40e5048f@izsr.de> Am 2024-07-29 09:27, schrieb Bjoern Franke via Postfixbuch-users: > Moin, > >> Sorry, wenn ich als Blinder im Vergleich zu Euch hier meinen Senf dazu >> gebe, aber wo steht hier, dass Postfix an Dovecot weitergeben soll? > > Wenn's das war - Wald vor lauter Bäumen und so, wenn sich alle auf die > dovecot-Config versteifen? ;) > > Grüße > bjo Danke für den Hinweis - das wäre natürlich schön gewesen und das, wonach ich seit Tagen suche (der kleine, blöde, übersehene Fehler) - aber leider macht es auch mit virtual_transport = lmtp:unix:dovecot-lmtp keinen Unterschied. Die Mails trudeln rein, aber Sieve reagiert nicht :( Schönr Grüße From bjo at schafweide.org Mon Jul 29 10:24:32 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Mon, 29 Jul 2024 10:24:32 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <6d0aad02c5292c659a26c9ef40e5048f@izsr.de> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <0171bbaa-550e-424d-b6ad-772b97ba0340@schafweide.org> <6d0aad02c5292c659a26c9ef40e5048f@izsr.de> Message-ID: <83845551-98ba-4fe4-95ae-5a087f30dbc4@schafweide.org> Moin, > > Danke für den Hinweis - das wäre natürlich schön gewesen und das, wonach > ich seit Tagen suche (der kleine, blöde, übersehene Fehler) - aber > leider macht es auch mit > > virtual_transport = lmtp:unix:dovecot-lmtp > > keinen Unterschied. Die Mails trudeln rein, aber Sieve reagiert nicht :( Aber jetzt sollte doch dovecot zumindest was hinsichtlich LMTP loggen? Und Sieve ist für LMTP aktiv? VG From toag at izsr.de Mon Jul 29 10:42:03 2024 From: toag at izsr.de (toag) Date: Mon, 29 Jul 2024 10:42:03 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <83845551-98ba-4fe4-95ae-5a087f30dbc4@schafweide.org> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <0171bbaa-550e-424d-b6ad-772b97ba0340@schafweide.org> <6d0aad02c5292c659a26c9ef40e5048f@izsr.de> <83845551-98ba-4fe4-95ae-5a087f30dbc4@schafweide.org> Message-ID: <57a625ff1027a11f4abb5b6c0dbcf4ce@izsr.de> Am 2024-07-29 10:24, schrieb Bjoern Franke via Postfixbuch-users: > Moin, > >> >> Danke für den Hinweis - das wäre natürlich schön gewesen und das, >> wonach >> ich seit Tagen suche (der kleine, blöde, übersehene Fehler) - aber >> leider macht es auch mit >> >> virtual_transport = lmtp:unix:dovecot-lmtp >> >> keinen Unterschied. Die Mails trudeln rein, aber Sieve reagiert nicht >> :( > > Aber jetzt sollte doch dovecot zumindest was hinsichtlich LMTP loggen? leider bleibt das Log beim Einliefern einer Mail still :/ Login, Verschieben von Mails, Autoresponder usw loggt er aber redselig mit. Ich bin gerade unterwegs, aber schaue nachher mal, was ich an 10-logging.conf ändern muss. Schöne Grüße From ml at irmawi.de Mon Jul 29 13:39:36 2024 From: ml at irmawi.de (Markus Winkler) Date: Mon, 29 Jul 2024 13:39:36 +0200 Subject: Dovecot Sieve weigert sich =?utf-8?Q?hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> Message-ID: <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> Hallo Tim-Ole, On Mon, 29 Jul 2024 at 08:50:39AM +0200, Tim-Ole Golz wrote: >> - die Ausgabe von 'postconf -n' vielen Dank für die Config (und Logs)! Ich habe nach dieser gefragt, weil ich denke, dass Du ein Postfix- und kein (bzw. nicht nur) Dovecot-Problem hast. ;-) >mydestination = sieve-geht.nicht mail.sieve-geht.nicht webmail.sieve-geht.nicht localhost.sieve-geht.nicht localhost Wenn Domains in mydestination stehen, betrachtet Postfix diese als final destination (und nicht als virtual domains) und verwendet local transport ('relay=local' in Deinem Log). Die Testmail an heini.meier at sieve-geht.nicht ist so eine. Du hast also (zumindest für die im Log zu sehden Domain) kein Setup mit virtuellen Usern (siehe auch Deine Dovecot-Config: mail_location = maildir:~/.maildir verwendest). Wenn Du in diesem Szenario für den LDA Dovecot LMTP verwenden willst (damit Sieve greift), musst Du m. E. einen Eintrag wie diesen verwenden: mailbox_transport = lmtp:unix:private/dovecot-lmtp Kannst Du das bitte mal testen? >transport_maps = hash:/etc/postfix/transport Was steht in der eigentlich drin? >virtual_maps = hash:/etc/postfix/virtual Und in dieser? Viele Grüße Markus From toag at izsr.de Mon Jul 29 13:54:54 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Mon, 29 Jul 2024 13:54:54 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> Message-ID: Moin, Markus, > vielen Dank für die Config (und Logs)! Ich habe nach dieser gefragt, weil ich denke, dass Du ein Postfix- und kein (bzw. nicht nur) Dovecot-Problem hast. ;-) durchaus möglich - das hat ja auch schon Bjoern vermutet. > Du hast also (zumindest für die im Log zu sehden Domain) kein Setup mit virtuellen Usern (siehe auch Deine Dovecot-Config: mail_location = maildir:~/.maildir verwendest). nein, haben wir auf beiden Server (Sieve geht / Sieve geht nicht) tatsächlich nicht, laufen seit Ewigkeiten schon mit lokalen Usern. > Wenn Du in diesem Szenario für den LDA Dovecot LMTP verwenden willst (damit Sieve greift), musst Du m. E. einen Eintrag wie diesen verwenden: > mailbox_transport = lmtp:unix:private/dovecot-lmtp > Kannst Du das bitte mal testen? wie bereits gepostet: es macht keinen Unterschied, gerade getestet - auch mit ?virtual_transport = virtual? greift Sieve, aber auf dem anderen Server :\ Server A, hier geht alles: root at mail:/# grep virtual /etc/postfix/main.cf virtual_transport = virtual virtual_maps = hash:/etc/postfix/virtual root at mail:/# grep virtual /etc/postfix/master.cf virtual unix - n n - - virtual root at mail:/# grep lmtp /etc/postfix/master.cf lmtp unix - - y - - lmtp root at mail:/# grep sieve /etc/dovecot/conf.d/* | grep lmtp /etc/dovecot/conf.d/20-lmtp.conf: mail_plugins = $mail_plugins sieve Server B, hier geht auch alles bis auf Sieve (Skripte werden nicht ausgeführt): root at webmail:/etc/dovecot/conf.d# grep virtual /etc/postfix/main.cf virtual_transport = lmtp:unix:private/dovecot-lmtp # = hatte bis vorhin nach Bjoerns Hinweis aber auch drin: # virtual_transport = virtual virtual_maps = hash:/etc/postfix/virtual root at webmail:/etc/dovecot/conf.d# grep virtual /etc/postfix/master.cf virtual unix - n n - - virtual root at webmail:/etc/dovecot/conf.d# grep lmtp /etc/postfix/master.cf lmtp unix - - y - - lmtp root at webmail:/etc/dovecot/conf.d# grep sieve /etc/dovecot/conf.d/* | grep lmtp /etc/dovecot/conf.d/20-lmtp.conf: mail_plugins = $mail_plugins sieve > transport_maps = hash:/etc/postfix/transport > Was steht in der eigentlich drin? cat /etc/postfix/transport sieve.geht smtp:1.2.3.4:25 > virtual_maps = hash:/etc/postfix/virtual > Und in dieser? das willst Du nicht wirklich wissen? ;) Jede Menge Adressumschreibungen ? hein.meier auf heini.meier, zum Beispiel, usw. Beste Grüße Toag From ml at irmawi.de Mon Jul 29 16:44:02 2024 From: ml at irmawi.de (Markus Winkler) Date: Mon, 29 Jul 2024 16:44:02 +0200 Subject: Dovecot Sieve weigert sich =?utf-8?Q?hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> Message-ID: <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> Hi Tim-Ole, On Mon, 29 Jul 2024 at 01:54:54PM +0200, Tim-Ole Golz wrote: >> Wenn Du in diesem Szenario für den LDA Dovecot LMTP verwenden willst (damit Sieve greift), musst Du m. E. einen Eintrag wie diesen verwenden: >> mailbox_transport = lmtp:unix:private/dovecot-lmtp >> Kannst Du das bitte mal testen? > >wie bereits gepostet: es macht keinen Unterschied, gerade getestet - auch mit ?virtual_transport = virtual? greift Sieve, aber auf dem anderen Server :\ der andere Server (A) ist erst mal egal. ;-) Ich muss noch mal nerven und zur Sicherheit nachfragen: Hattest Du nach meiner Mail von vorhin wirklich den oben gezeigten Parameter 'mailbox_transport' (_nicht_ 'virtual_transport') verwendet und eine Testmail geschickt? Wenn ja: Kannst Du bitte das Postfix-Log von der Zustellung dieser Testmail zeigen? Insbesondere ist wichtig zu sehen, was nach Aktivierung von 'mailbox_transport = lmtp:unix:private/dovecot-lmtp' beim Zustellen der Mail ins Postfach von heini.meier bei 'relay=...' steht. >root at webmail:/etc/dovecot/conf.d# grep virtual /etc/postfix/main.cf >virtual_transport = lmtp:unix:private/dovecot-lmtp > ># = hatte bis vorhin nach Bjoerns Hinweis aber auch drin: ># virtual_transport = virtual >virtual_maps = hash:/etc/postfix/virtual Du hast keine virtual (mailbox) domain, und damit ist auch virtual_transport (für die in Deinem Logauszug zu sehende Domain 'sieve-geht.nicht') irrelevant. >cat /etc/postfix/transport >sieve.geht smtp:1.2.3.4:25 OK, thx. >> virtual_maps = hash:/etc/postfix/virtual >> Und in dieser? > >das willst Du nicht wirklich wissen? ;) OK, ich will das gar nicht wissen. ;-) Viele Grüße Markus From toag at izsr.de Tue Jul 30 09:23:55 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Tue, 30 Jul 2024 09:23:55 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> Message-ID: Moin, Markus, > Ich muss noch mal nerven das nervt nicht :) Übrigens ist der zweite Server für mich schon relevant, als Referenzsystem - die sind ja weitgehend identisch konfiguriert, aber Sieve funzt leider nur auf einem der beiden ... > und zur Sicherheit nachfragen: Hattest Du nach meiner Mail von vorhin wirklich den oben gezeigten Parameter 'mailbox_transport' (_nicht_ 'virtual_transport') verwendet und eine Testmail geschickt? Wenn ja: Kannst Du bitte das Postfix-Log von der Zustellung dieser Testmail zeigen? ja - gerade eben. Das musste ich aber ziemlich schnell abbrechen, weil das mein ganzes Mailserverkonstrukt durcheinander wirft - in dem Moment, in dem ich diesen Parameter setze, werden sämtliche Mails abgewiesen - ?User not found? :\ Und das ist ein produktiv laufender Server ? ich muss das mal auf die Abendstunden oder nächstes Wochenende schieben, wenn weniger los ist. Dann werde ich das mal auf einer Testinstallation nachbauen, um besser nachvollziehen zu können, was ich da tue ;) Immerhin wird der Socket unter /var/spool/postfix/private/dovecot-lmtp sofort angelegt, wenn ich in /etc/dovecot/conf.d/10-master.conf die Zeilen umstelle und den Dovecot neu starte: service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { mode = 0666 } } > Insbesondere ist wichtig zu sehen, was nach Aktivierung von 'mailbox_transport = lmtp:unix:private/dovecot-lmtp' beim Zustellen der Mail ins Postfach von heini.meier bei 'relay=...' steht. geht eben nichts mehr ;) Das muss ich nochmal in Ruhe memorieren ? Schöne Grüße Toag From ml at irmawi.de Tue Jul 30 10:36:02 2024 From: ml at irmawi.de (Markus Winkler) Date: Tue, 30 Jul 2024 10:36:02 +0200 Subject: Dovecot Sieve weigert sich =?utf-8?Q?hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> Message-ID: <20240730083602.2th6p4rbc5bpvggq@kermit.home.priv> Moin Tim-Ole, On Tue, 30 Jul 2024 at 09:23:55AM +0200, Tim-Ole Golz wrote: > Übrigens ist der zweite Server für mich schon relevant, als Referenzsystem ja, schon klar. ;-) >> und zur Sicherheit nachfragen: Hattest Du nach meiner Mail von vorhin wirklich den oben gezeigten Parameter 'mailbox_transport' (_nicht_ >> 'virtual_transport') verwendet und eine Testmail geschickt? Wenn ja: Kannst Du bitte das Postfix-Log von der Zustellung dieser Testmail >> zeigen? > >ja - gerade eben. Das musste ich aber ziemlich schnell abbrechen, weil das mein ganzes Mailserverkonstrukt durcheinander wirft - in dem Moment, in dem ich diesen Parameter setze, werden sämtliche Mails abgewiesen - ?User not found? :\ Kam diese Fehlermeldung bevor Du in Dovecot den 'service lmtp' umgebaut hattest oder danach? Und: Hättest Du von einem solchen fehlerhaften Mailempfang evtl. einen Logauszug? >Immerhin wird der Socket unter /var/spool/postfix/private/dovecot-lmtp sofort angelegt, wenn ich in /etc/dovecot/conf.d/10-master.conf die >Zeilen umstelle und den Dovecot neu starte: > >service lmtp { > unix_listener /var/spool/postfix/private/dovecot-lmtp { > mode = 0666 > } >} Ich schreibe da immer noch user/group mit rein (siehe auch bei Deiner Dovecot-Config für 'service auth'): service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { mode = 0660 group = postfix user = postfix } } Alles in allem ist das ein ziemlich "normales" Setup. Das müsste eigentlich ohne große Zickereien laufen ... ;-) Viele Grüße Markus From bjo at schafweide.org Tue Jul 30 10:48:06 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Tue, 30 Jul 2024 10:48:06 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> Message-ID: Moin, > Und das ist ein produktiv laufender Server ? ich muss das mal auf die Abendstunden oder nächstes Wochenende schieben, wenn weniger los ist. Dann werde ich das mal auf einer Testinstallation nachbauen, um besser nachvollziehen zu können, was ich da tue ;) > dann schalte am Besten beim Postfix mal soft_bounce ein, damit bei "user unknown" nicht hart abgewiesen wird. VG From toag at izsr.de Tue Jul 30 11:09:34 2024 From: toag at izsr.de (Tim-Ole Golz) Date: Tue, 30 Jul 2024 11:09:34 +0200 Subject: =?utf-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> Message-ID: <447E797B-661F-4AB9-A816-519D043C3BAD@izsr.de> Danke für den Tipp! Aber soft_bounce hilft m.E. nicht, wenn der Server gar nicht weiss, wo er die Mail hinsortieren soll ? ;) > Am 30.07.2024 um 10:48 schrieb Bjoern Franke via Postfixbuch-users : > > Moin, > >> Und das ist ein produktiv laufender Server ? ich muss das mal auf die Abendstunden oder nächstes Wochenende schieben, wenn weniger los ist. Dann werde ich das mal auf einer Testinstallation nachbauen, um besser nachvollziehen zu können, was ich da tue ;) > > dann schalte am Besten beim Postfix mal soft_bounce ein, damit bei "user unknown" nicht hart abgewiesen wird. > > VG > From postfixbuch at germanyzuerst.de Wed Jul 31 11:21:18 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Wed, 31 Jul 2024 11:21:18 +0200 Subject: SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen Message-ID: <4926616.GXAFRqVoOG@stuttgart> Hallo zusammen, ich habe heute Morgen ein seltsames Verhalten eines Mailservers (Postfix, Dovecot, Rspamd auf Debian 12) erleben dürfen, wofür ich eine Erklärung suche. Der Anwender - nutzt Thunderbird auf MacOS und Iphone - meldete, dass er Mails senden kann, aber keine Mails auf seinen Mailclients erhält. Ich teste den Versand und Versand via Webmailer Roundcube und einem eigenen Mailclient - hier Kmail - ohne Probleme. Zusammen mit ihm finden wir heraus, dass sein Client ein seit 31.07.2024 abgelaufenes SSL-Zertifikat anmahnt. Der Server selber hat aber seit 01.07.2024 ein neues gültiges Zertifikat, das auch Online-Tools für SSL anzeigten. Nur diese Clients des Benutzers machten Probleme. Ich habe dann den gesamten Mailserver neugestartet. Danach hatten die Clients des Benutzers keine Probleme mehr und der Empfang ging wieder. Wie kann das sein, dass der Server seit 30 Tagen ein gültiges Zertifikat hat, das offensichtlich auf verteilt hat, aber wenige Clients nach wie vor 30 Tage dieses nicht erhalten hatten und erst ein Server-Reboot Abhilfe schafft. Habt Ihr hier dazu eine plausible Erklärung? Viele Grüße Andreas From Ralf.Hildebrandt at charite.de Wed Jul 31 11:28:33 2024 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Wed, 31 Jul 2024 11:28:33 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <4926616.GXAFRqVoOG@stuttgart> References: <4926616.GXAFRqVoOG@stuttgart> Message-ID: * Andreas : > Hallo zusammen, > > ich habe heute Morgen ein seltsames Verhalten eines Mailservers (Postfix, > Dovecot, Rspamd auf Debian 12) erleben dürfen, wofür ich eine Erklärung suche. > > Der Anwender - nutzt Thunderbird auf MacOS und Iphone - meldete, dass er Mails > senden kann, aber keine Mails auf seinen Mailclients erhält. > Ich teste den Versand und Versand via Webmailer Roundcube und einem eigenen > Mailclient - hier Kmail - ohne Probleme. > Zusammen mit ihm finden wir heraus, dass sein Client ein seit 31.07.2024 > abgelaufenes SSL-Zertifikat anmahnt. Der Server selber hat aber seit 01.07.2024 > ein neues gültiges Zertifikat, das auch Online-Tools für SSL anzeigten. Offenbar wurden nicht alle Dienste nach Einspielen des neuen Zertifkates restarted. Bei obiger Konstallation muss man apache/nginx, dovecot und postfix allesamt restarten, nachdem das neue Zertifikat installiert wurde. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From postfixbuch at germanyzuerst.de Wed Jul 31 11:56:39 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Wed, 31 Jul 2024 11:56:39 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: References: <4926616.GXAFRqVoOG@stuttgart> Message-ID: <6086928.lOV4Wx5bFT@stuttgart> Am Mittwoch, 31. Juli 2024, 11:28:33 CEST schrieb Ralf Hildebrandt via Postfixbuch-users: > Offenbar wurden nicht alle Dienste nach Einspielen des neuen > Zertifkates restarted. Das hatte ich auch gedacht. Aber nur dieser eine Benutzer hatte das Problem, selbst über das Internet war auf Seiten wie https://ssl-trust.com das aktuelle Zertifikat anwesend. Also waren die Services ordnungsgemäß neu gestartet wurden, sonst wäre das Fehlen des Zertifikates auch mir schon viel früher aufgefallen. Das Problem hatte nur der Benutzer und sein Problem war weg nach dem Serverneustart. Gibt es so was? Grüße Andreas From usenet at schani.com Wed Jul 31 11:57:27 2024 From: usenet at schani.com (christian) Date: Wed, 31 Jul 2024 11:57:27 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: References: <4926616.GXAFRqVoOG@stuttgart> Message-ID: Ja, da bin ich auch schon drüber gestolpert. Nachdem ich ein Zertifikat erneuert habe, hatte ich vergessen alle Dienste neu zu starten, damit das Cert übernommen wird. Dann kommt es dazu das sich User melden und ein abgelaufenes Cert angezeigt bekommen. Christian Am 31.07.2024 um 11:28 schrieb Ralf Hildebrandt via Postfixbuch-users: > * Andreas : >> Hallo zusammen, >> >> ich habe heute Morgen ein seltsames Verhalten eines Mailservers (Postfix, >> Dovecot, Rspamd auf Debian 12) erleben dürfen, wofür ich eine Erklärung suche. >> >> Der Anwender - nutzt Thunderbird auf MacOS und Iphone - meldete, dass er Mails >> senden kann, aber keine Mails auf seinen Mailclients erhält. >> Ich teste den Versand und Versand via Webmailer Roundcube und einem eigenen >> Mailclient - hier Kmail - ohne Probleme. >> Zusammen mit ihm finden wir heraus, dass sein Client ein seit 31.07.2024 >> abgelaufenes SSL-Zertifikat anmahnt. Der Server selber hat aber seit 01.07.2024 >> ein neues gültiges Zertifikat, das auch Online-Tools für SSL anzeigten. > > Offenbar wurden nicht alle Dienste nach Einspielen des neuen > Zertifkates restarted. > > Bei obiger Konstallation muss man apache/nginx, dovecot und postfix > allesamt restarten, nachdem das neue Zertifikat installiert wurde. > From usenet at schani.com Wed Jul 31 11:59:25 2024 From: usenet at schani.com (christian) Date: Wed, 31 Jul 2024 11:59:25 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <6086928.lOV4Wx5bFT@stuttgart> References: <4926616.GXAFRqVoOG@stuttgart> <6086928.lOV4Wx5bFT@stuttgart> Message-ID: <3a01731b-4588-4177-be53-19152a8645db@schani.com> Evtl cached der Client die Certs etwas. Ich würde mal den Client Rechner neu starten damit er das Cert nochmal anfordert. Christian Am 31.07.2024 um 11:56 schrieb Andreas: > Am Mittwoch, 31. Juli 2024, 11:28:33 CEST schrieb Ralf Hildebrandt via > Postfixbuch-users: >> Offenbar wurden nicht alle Dienste nach Einspielen des neuen >> Zertifkates restarted. > > Das hatte ich auch gedacht. Aber nur dieser eine Benutzer hatte das Problem, > selbst über das Internet war auf Seiten wie https://ssl-trust.com das aktuelle > Zertifikat anwesend. > Also waren die Services ordnungsgemäß neu gestartet wurden, sonst wäre das > Fehlen des Zertifikates auch mir schon viel früher aufgefallen. Das Problem > hatte nur der Benutzer und sein Problem war weg nach dem Serverneustart. > > Gibt es so was? > > Grüße > > Andreas > > From Daniel at Mail24.vip Wed Jul 31 12:01:39 2024 From: Daniel at Mail24.vip (Daniel) Date: Wed, 31 Jul 2024 12:01:39 +0200 Subject: AW: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <6086928.lOV4Wx5bFT@stuttgart> References: <4926616.GXAFRqVoOG@stuttgart> <6086928.lOV4Wx5bFT@stuttgart> Message-ID: <003901dae330$a393d1c0$eabb7540$@Mail24.vip> Evt. auch nur nen Problem bei dem User gewesen dass alte Cert im Cache war? Sei es direkt im Mailclient, Betriebssystem oder irgendeiner Schlangenöl Software? Oder gar noch nen Proxy/Gateway Dienst zwischen? Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From ronny at seffner.de Wed Jul 31 12:35:20 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 31 Jul 2024 12:35:20 +0200 Subject: AW: *** SPAM-Verdacht [5.68] *** SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <4926616.GXAFRqVoOG@stuttgart> References: <4926616.GXAFRqVoOG@stuttgart> Message-ID: <038501dae335$59952790$0cbf76b0$@seffner.de> Meine Idee dazu: - Mac baut IMAP IDLE Verbindung zu IMAP-Server mit altem Cert auf - Admin tauscht Cert, startet IMAP aber nicht neu - andere Nutzer forken früher oder später neue IMAP sessions mit dem neuen Cert - der Mac hält tagelang die "alte" IMAP IDLE offen Unwahrscheinlich oder, Ihr habt doch sicher den Client oder Mac auch mal neu gestartet in der Zeit? Mit freundlichen Grüßen / Kind regards Ronny Seffner From bjo at schafweide.org Wed Jul 31 12:43:54 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Wed, 31 Jul 2024 12:43:54 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <6086928.lOV4Wx5bFT@stuttgart> References: <4926616.GXAFRqVoOG@stuttgart> <6086928.lOV4Wx5bFT@stuttgart> Message-ID: <3976631d-1054-4591-ad8b-353e5e288226@schafweide.org> On 31.07.24 11:56, Andreas wrote: > Am Mittwoch, 31. Juli 2024, 11:28:33 CEST schrieb Ralf Hildebrandt via > Postfixbuch-users: >> Offenbar wurden nicht alle Dienste nach Einspielen des neuen >> Zertifkates restarted. > > Das hatte ich auch gedacht. Aber nur dieser eine Benutzer hatte das Problem, > selbst über das Internet war auf Seiten wie https://ssl-trust.com das aktuelle > Zertifikat anwesend. Der Check geht doch nur gegen https, aber nicht gegen imaps/submission. Grüße bjo From postfixbuch at germanyzuerst.de Wed Jul 31 14:10:53 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Wed, 31 Jul 2024 14:10:53 +0200 Subject: AW: *** SPAM-Verdacht [5.68] *** SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <038501dae335$59952790$0cbf76b0$@seffner.de> References: <4926616.GXAFRqVoOG@stuttgart> <038501dae335$59952790$0cbf76b0$@seffner.de> Message-ID: <5803612.DvuYhMxLoT@stuttgart> Am Mittwoch, 31. Juli 2024, 12:35:20 CEST schrieb ronny at seffner.de: > Unwahrscheinlich oder, Ihr habt doch sicher den Client oder Mac auch mal neu > gestartet in der Zeit? Nehme ich mal an, dass der seinen Mac und sein Iphone regelmässig abschaltet. Ich habe da nur keinen Einfluss drauf. Grüße Andreas From postfixbuch at germanyzuerst.de Wed Jul 31 14:15:11 2024 From: postfixbuch at germanyzuerst.de (Andreas) Date: Wed, 31 Jul 2024 14:15:11 +0200 Subject: [ext] SSL-Zertifikat 30 Tage nicht bei Mailclients angekommen In-Reply-To: <3a01731b-4588-4177-be53-19152a8645db@schani.com> References: <4926616.GXAFRqVoOG@stuttgart> <6086928.lOV4Wx5bFT@stuttgart> <3a01731b-4588-4177-be53-19152a8645db@schani.com> Message-ID: <2334947.ElGaqSPkdT@stuttgart> Am Mittwoch, 31. Juli 2024, 11:59:25 CEST schrieb christian via Postfixbuch- users: > Evtl cached der Client die Certs etwas. Ich würde mal den Client Rechner > neu starten damit er das Cert nochmal anfordert. > > Christian > Exakt das hatte ich ihm auch so gesagt, bzw. dass er seinen DSL-Router neustarten soll, weil der ja auch eventuell chached. Ich habe den Cronjob für certbot so eingestellt, dass nicht nur certbot ein Renew durchführt, sondern auch alle betroffenen Services neustartet. Also war irgendwas, das auf Clientseite blöd gelaufen war. Grüße Andreas From bjo at schafweide.org Wed Jul 31 21:43:00 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Wed, 31 Jul 2024 21:43:00 +0200 Subject: =?UTF-8?Q?Re=3A_Dovecot_Sieve_weigert_sich_hartn=C3=A4ckig?= In-Reply-To: <447E797B-661F-4AB9-A816-519D043C3BAD@izsr.de> References: <1801154.VLH7GnMWUR@tweety.monster-box.de> <87D42572-CA95-4ADE-8660-76594A2AF64A@izsr.de> <20240729113936.xoccw7qnwdpxx2lj@kermit.home.priv> <20240729144402.b6bajhg5qcc4tdlk@kermit.home.priv> <447E797B-661F-4AB9-A816-519D043C3BAD@izsr.de> Message-ID: <8817f5cc-efa7-4a6b-aafd-3664ac3526dc@schafweide.org> Am 30.07.24 um 11:09 schrieb Tim-Ole Golz: > Danke für den Tipp! Aber soft_bounce hilft m.E. nicht, wenn der Server gar nicht weiss, wo er die Mail hinsortieren soll ? ;) > Naja, wenn er einen User unknown wirft mit einem 550, dann bounced sie, wenn er stattdessen einen Soft Bounce mit 450 macht, bleibt sie beim sendenden Server in der Queue bis du dein Problem gefixed hast. VG