From florian at bodici.de Sun Jun 2 16:33:52 2024 From: florian at bodici.de (Florian) Date: Sun, 2 Jun 2024 16:33:52 +0200 Subject: =?UTF-8?B?UmU6IFNQRiwgREtJTSwg4oCmOiBXYXMgaXN0IGRhIHRhdHPDpGNobGlj?= =?UTF-8?Q?h_sinnvoll_f=C3=BCr_einen_Betreiber_eines_privaten_Mail-Servers?= =?UTF-8?Q?=3F?= In-Reply-To: <2469796.jE0xQCEvom@lichtvoll.de> References: <2469796.jE0xQCEvom@lichtvoll.de> Message-ID: <35443353-843d-4004-a14d-17f9c817b56e@bodici.de> Hallo Martin, noch ein kleiner Kommentar zur Ehrenrettung von SPF, DKIM und DMARC: Du machst das ja nicht, um Google einen Gefallen zu tun, oder "nach deren Pfeife zu tanzen", sondern um dich selbst zu authentifizieren und deine Domain zu schützen. Leider setzen sich sinnvolle Standards manchmal erst in der Breite durch, wenn es die Großen "erzwingen". Ohne SPF und DKIM kann eine Mail mit einer Absenderadresse deiner Domain von jedem beliebigen Menschen auf der Welt verfasst worden sein und du unterscheidest dich nicht von Abuse - das sollte eigentlich nicht in deinem Interesse sein. * Durch SPF schränkst du den erlaubten Versender-IP Bereich ein. * Mit DKIM signierst du deine Mail - und durch das Hinterlegen der öffentlichen Signatur in deinem DNS stellst du sicher, dass nieman domainfremdes gültig mit der Domain signieren kann. * In Summe baust du mit SPF+DKIM somit eine Authentifizierung. DMARC fügt dann noch eine policy und reporting hinzu. Sprich: du kannst explizit einen Wunsch äußern, wie die Empfängerdomains mit nicht-authentifiziertem traffic deiner Domain umgehen soll. Und zu bekommst ein kostenloses reporting geliefert, wie viele authentifizierte und nicht-authentifizierte Mails deiner Domain bei den Empfängern tatsächlich angekommen sind. Was genau ist daran schlecht? Und welches Interesse sollte man darum haben, seine Mailserver nicht abzusichern, zumal der Aufwand wirklich überschaubar ist? Viele Grüße, Florian Am 31.05.2024 um 10:16 schrieb Martin Steigerwald: > Hi! > > Achtung: Rant. > > Ich hatte mir ja von mir aus gedacht, dass ich mir mich irgendwann > eingehend in SPF, DKIM und da war noch etwas Drittes aus diesem Bereich > einarbeite, um dann informiert zu entscheiden, inwiefern ich etwas davon > umsetze. > > Ich hatte mal ein restriktiveres SPF als: "v=spf1 a mx ~all" > > Aber damit ging dann gleich irgendetwas nicht, woran ich mich gerade nicht > mehr erinnere. Bei DKIM las ich, dass damit manche Mailinglisten nicht > gehen. Das kann ich ebenfalls nicht gebrauchen. > > Und nach > > said: 550-5.7.26 Your email has been blocked because the sender is > unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate > with either SPF or DKIM. > > habe ich gerade überhaupt keine Motivation mehr, mir das Thema auch nur > noch mal anzuschauen. Zumal das eine Antwort auf eine von einem > Googlemail-Benutzer *direkt* an mich verschickte Mail betraf. Da frage ich > mich dann doch: Geht es noch? Das kann Googlemail doch wissen, dass ich > direkt auf eine Mail antworte, die mir einer Ihrer Kunden ? genauer > genommen eines ihrer Produkte, so hart das auch klingt ? geschrieben hat. > Sie schaden ja dem ?Kunden?, denn er wollte ja etwas von mir, nicht > umgekehrt. > > Ich bekam von diesem Provider über die Jahre allen möglichen Spam-Müll. > Die interessieren sich Null-Komma-gar-nichts-für Abuse Complaints bzw. > haben gar keinen vernünftigen Kanal mehr solche einzureichen. Und die > meinen mir diktieren zu dürfen (!), wie ich meinen Mail-Server zu > administrieren habe? Aka in "Wir senden Dir Müll und das ist uns egal aber > wir akzeptieren Deine legitime Mail nicht!". Geht es noch etwas > arroganter? > > Das ist eine Bankrott-Erklärung, wenn die meinen, Spam nicht mehr anders > eindämmen zu können. Bekomme ich ja selbst als Hobby-Mail-Admin ganz gut > hin. Klar, deren Setup ist ein paar Dimensionen größer. Aber die können > auch mehr und besser ausgebildete Leute darauf ansetzen und falls das mit > "Wir verkaufen Deine Daten oder Analysen daraus" wirtschaftlich nicht mehr > hinhaut über deren Geschäftsmodell nachdenken. Wäre ohnehin mal eine gute > Idee. > > Vielleicht bin ich dann auch mal arrogant und sage einfach: GMail-Anwender > bekommen keine direkten Antworten von mir. Mache ich ohnehin nicht gerne. > Nennt es eine Trotz-Reaktion? es ist mir egal. Irgendwo müssen auch mal > Konsequenzen folgen anstatt immer alles mit zu machen, nur weil es die > Großen diktieren. Es ist für mich auch kein wesentlicher Verlust. Die > Leute, bei denen es mir wirklich wichtig ist, via Mail kommunizieren zu > können? da mache ich ohnehin nicht über Googlemail. Weil wer weiß, was die > alles mit den Daten anstellen. > > Aber dennoch: Gibt es irgendwo eine gute Informationsquelle zu SPF, DKIM > usw. die mir tatsächlich produktiv dabei helfen kann, eine informierte > Entscheidung zu treffen, inwiefern da etwas für meinen Mail-Server doch > sinnvoll ist, und zwar frei von der Arroganz von Google aka "I am too big > to fail"? (Sind sie im Übrigen nicht.) > > Was sind eure Meinungen? Was würde tatsächlich Sinn machen für jemanden, > der *seinen privaten Mail-Server quasi als Hobby* betreibt? Der einen > privaten Mail-Server betreibt, weil er ein besseres Gefühl dabei hat, das > lieber alles selbst zu machen, weil er dann weiß was er hat, sowie das > Filtern von Spam-Mail selbst beeinflussen kann? > > Welche dieser Technologien bringt in der Praxis ein positives Ergebnis für > die Sicherheit im Mail-Verkehr im Verhältnis zum Umsetzungs-Aufwand? Der > letztere Aspekt ist mir ganz wichtig. Ich habe keine Motivation mir für > einen marginalen Nutzen einen riesigen Zusatzaufwand einzuhandeln. Zumal > Google der einzige Provider ist, mit dem das auftrat. Andere große > Provider: Bislang überhaupt kein Problem. Ich hab das schon im Web-Bereich > mod_security erlebt. Da geht Vieles mit kaputt und der Aufwand, die Regeln > zu finden, die abzuschalten sind, damit es wieder geht? das brauche ich > definitiv nicht. > > Eine Informationsquelle, wo wirklich gut erklärt ist, was es ist, wie es > funktioniert und wo auch gut beschrieben ist, in einer Art HOWTO, wie sich > das gut umsetzen lässt, insofern es Sinn macht. Ein Quelle, die über den > Artikel von Martin Loschwitz im, glaub, Linux-Magazin, hinaus geht, wo er > schreibt, dass einige der Technologien nur teilweise Sinn machen? > > Ich wäre ja eventuell bereit, irgendetwas davon umzusetzen, insofern es > tatsächlich Sinn macht. Aber dann gerade nicht weil Google meint, es mir > diktieren zu können. Dieser Grund reicht für mich als Betreiber eines > privaten Mail-Servers eben nicht aus. Aber vielleicht habt ihr ja bessere > Gründe parat. Es geht mir ja nicht darum, vollkommen lernresistent zu > sein. Ich bin gespannt. rspamd mosert hier ja über fehlende Domain Keys. > Vielleicht ist es gar nicht so kompliziert das umzusetzen. Aber ich will > dann keinen wochenlangen Aufwand haben, um den Empfang von Mailinglisten > hin zu bekommen. > > Also bitte immer beachten: Für den Betreiber eines privaten Mail-Servers. > Ich sehe nicht, warum ich alles so machen muss, wie große Mail-Hoster, die > es vielen Kunden recht machen müssen. Insbesondere, falls aus meiner Sicht > das Aufwand-Nutzen-Verhältnis nicht passt. Da ist mein Anwendungsfall > einfach ein anderer. So wie ich mir erlaube, Mail von "onmicrosoft.com" > oder "exxhale.com" hoch zu stufen oder in Zukunft vielleicht das komplette > Netzwerk von Sharktech¹ zu blocken und dabei zu riskieren irgendwann doch > mal eine legitime Mail zu verpassen? ein Risiko, das ich als Betreiber > eines privaten Mail-Servers durchaus eingehen kann. > > [1] Betrugsmail von Kunden-Systemen. Meine Mail-Adresse in From:. Uni- > Mailserver in Received-Header rein gefälscht. Unis sind informiert und > haben auch von andere Seite schon damit zu tun gehabt. *Keine* Antwort von > deren Abuse Team. > > Danke, -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Daniel at Mail24.vip Sun Jun 2 17:03:56 2024 From: Daniel at Mail24.vip (Daniel) Date: Sun, 2 Jun 2024 17:03:56 +0200 Subject: =?utf-8?Q?AW:_SPF=2C_DKIM=2C_=E2=80=A6:_Was_ist_da_tat?= =?utf-8?Q?s=C3=A4chlich_sinnvoll_f=C3=BCr_einen_Betr?= =?utf-8?Q?eiber_eines_privaten_Mail-Server?= =?utf-8?Q?s=3F?= In-Reply-To: <35443353-843d-4004-a14d-17f9c817b56e@bodici.de> References: <2469796.jE0xQCEvom@lichtvoll.de> <35443353-843d-4004-a14d-17f9c817b56e@bodici.de> Message-ID: <003901dab4fe$173df440$45b9dcc0$@Mail24.vip> Moin, hinzu kommt, dass es weniger Probleme geben kann, wenn der Empfänger seine E-Mails weiterleiten lässt, dann stimmt zwar SPF nicht mehr, aber es klappt noch weil die DKIM Signatur weiterhin vorhanden ist. An gewisse Standards sollte man sich aber halten, SPF, DKIM und DMARC sind da schon gut. Egal ob man ?großer? Anbieter ist oder ?Hobbyprojekt in der Garage? ist. Die Massenmailer dokumentieren nicht welche Mails raus sind, entsprechend kann nicht geprüft werden, ob es sich dabei um eine Antwort handelt, oder nicht. Postausgang ist das eine, und Posteingang das andere. Vieles an Spam von MS und Google sind dort ?nur? als Proxy durchlaufen, wenn man in den Header schaut, daher greift meine spamassassin Regel hier gut, und Mails werden entsprechend als Spam gewertet. Die Firmen interessiert teils nur Geld, und ?Kundenservice? ist eben ?nur? ein Kostenfaktor für die großen. Ruf mal eben kurz bei Ms, Google, Facebook, Tiktok, oder sonst wo an. ? Selbst Inhalte kann man die dort gegen Recht verstoßen, teils nicht mal ohne weiteres und auch nicht ohne Konto dort melden. Daher ist es ja halt schön, dass sogut wie jeder sich einen (Mail)Server aufsetzen kann wer möchte, und man es für sich, oder auch Freunde, Mitarbeiter oder ähnliches entsprechend besser machen kann. Leider ist in der Breite der Masse nicht klar, wie schnell mal ein Konto bzw. seine Daten bei diesen großen Anbieter gesperrt sein können, und im schlimmsten Fall sind nicht nur Mails gesperrt sondern auch ganzen Dateien, Fotos, gekaufte Programme/Apps usw. Aber viele wollen es eben so, und hauen planlos alles bei MS und Google rein, bis dann mal deren Algorithmus eines der Dateien in Cloud nicht passt, dich an Behörden melden und Konto wegen verstoß permanent sperren, dann ist Geschrei groß. Gruß Daniel Von: Postfixbuch-users Im Auftrag von Florian via Postfixbuch-users Gesendet: Sonntag, 2. Juni 2024 16:34 An: postfixbuch-users at listen.jpberlin.de Cc: Florian Betreff: Re: SPF, DKIM, ?: Was ist da tatsächlich sinnvoll für einen Betreiber eines privaten Mail-Servers? Hallo Martin, noch ein kleiner Kommentar zur Ehrenrettung von SPF, DKIM und DMARC: Du machst das ja nicht, um Google einen Gefallen zu tun, oder "nach deren Pfeife zu tanzen", sondern um dich selbst zu authentifizieren und deine Domain zu schützen. Leider setzen sich sinnvolle Standards manchmal erst in der Breite durch, wenn es die Großen "erzwingen". Ohne SPF und DKIM kann eine Mail mit einer Absenderadresse deiner Domain von jedem beliebigen Menschen auf der Welt verfasst worden sein und du unterscheidest dich nicht von Abuse - das sollte eigentlich nicht in deinem Interesse sein. * Durch SPF schränkst du den erlaubten Versender-IP Bereich ein. * Mit DKIM signierst du deine Mail - und durch das Hinterlegen der öffentlichen Signatur in deinem DNS stellst du sicher, dass nieman domainfremdes gültig mit der Domain signieren kann. * In Summe baust du mit SPF+DKIM somit eine Authentifizierung. DMARC fügt dann noch eine policy und reporting hinzu. Sprich: du kannst explizit einen Wunsch äußern, wie die Empfängerdomains mit nicht-authentifiziertem traffic deiner Domain umgehen soll. Und zu bekommst ein kostenloses reporting geliefert, wie viele authentifizierte und nicht-authentifizierte Mails deiner Domain bei den Empfängern tatsächlich angekommen sind. Was genau ist daran schlecht? Und welches Interesse sollte man darum haben, seine Mailserver nicht abzusichern, zumal der Aufwand wirklich überschaubar ist? Viele Grüße, Florian Am 31.05.2024 um 10:16 schrieb Martin Steigerwald: Hi! Achtung: Rant. Ich hatte mir ja von mir aus gedacht, dass ich mir mich irgendwann eingehend in SPF, DKIM und da war noch etwas Drittes aus diesem Bereich einarbeite, um dann informiert zu entscheiden, inwiefern ich etwas davon umsetze. Ich hatte mal ein restriktiveres SPF als: "v=spf1 a mx ~all" Aber damit ging dann gleich irgendetwas nicht, woran ich mich gerade nicht mehr erinnere. Bei DKIM las ich, dass damit manche Mailinglisten nicht gehen. Das kann ich ebenfalls nicht gebrauchen. Und nach said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. habe ich gerade überhaupt keine Motivation mehr, mir das Thema auch nur noch mal anzuschauen. Zumal das eine Antwort auf eine von einem Googlemail-Benutzer *direkt* an mich verschickte Mail betraf. Da frage ich mich dann doch: Geht es noch? Das kann Googlemail doch wissen, dass ich direkt auf eine Mail antworte, die mir einer Ihrer Kunden ? genauer genommen eines ihrer Produkte, so hart das auch klingt ? geschrieben hat. Sie schaden ja dem ?Kunden?, denn er wollte ja etwas von mir, nicht umgekehrt. Ich bekam von diesem Provider über die Jahre allen möglichen Spam-Müll. Die interessieren sich Null-Komma-gar-nichts-für Abuse Complaints bzw. haben gar keinen vernünftigen Kanal mehr solche einzureichen. Und die meinen mir diktieren zu dürfen (!), wie ich meinen Mail-Server zu administrieren habe? Aka in "Wir senden Dir Müll und das ist uns egal aber wir akzeptieren Deine legitime Mail nicht!". Geht es noch etwas arroganter? Das ist eine Bankrott-Erklärung, wenn die meinen, Spam nicht mehr anders eindämmen zu können. Bekomme ich ja selbst als Hobby-Mail-Admin ganz gut hin. Klar, deren Setup ist ein paar Dimensionen größer. Aber die können auch mehr und besser ausgebildete Leute darauf ansetzen und falls das mit "Wir verkaufen Deine Daten oder Analysen daraus" wirtschaftlich nicht mehr hinhaut über deren Geschäftsmodell nachdenken. Wäre ohnehin mal eine gute Idee. Vielleicht bin ich dann auch mal arrogant und sage einfach: GMail-Anwender bekommen keine direkten Antworten von mir. Mache ich ohnehin nicht gerne. Nennt es eine Trotz-Reaktion? es ist mir egal. Irgendwo müssen auch mal Konsequenzen folgen anstatt immer alles mit zu machen, nur weil es die Großen diktieren. Es ist für mich auch kein wesentlicher Verlust. Die Leute, bei denen es mir wirklich wichtig ist, via Mail kommunizieren zu können? da mache ich ohnehin nicht über Googlemail. Weil wer weiß, was die alles mit den Daten anstellen. Aber dennoch: Gibt es irgendwo eine gute Informationsquelle zu SPF, DKIM usw. die mir tatsächlich produktiv dabei helfen kann, eine informierte Entscheidung zu treffen, inwiefern da etwas für meinen Mail-Server doch sinnvoll ist, und zwar frei von der Arroganz von Google aka "I am too big to fail"? (Sind sie im Übrigen nicht.) Was sind eure Meinungen? Was würde tatsächlich Sinn machen für jemanden, der *seinen privaten Mail-Server quasi als Hobby* betreibt? Der einen privaten Mail-Server betreibt, weil er ein besseres Gefühl dabei hat, das lieber alles selbst zu machen, weil er dann weiß was er hat, sowie das Filtern von Spam-Mail selbst beeinflussen kann? Welche dieser Technologien bringt in der Praxis ein positives Ergebnis für die Sicherheit im Mail-Verkehr im Verhältnis zum Umsetzungs-Aufwand? Der letztere Aspekt ist mir ganz wichtig. Ich habe keine Motivation mir für einen marginalen Nutzen einen riesigen Zusatzaufwand einzuhandeln. Zumal Google der einzige Provider ist, mit dem das auftrat. Andere große Provider: Bislang überhaupt kein Problem. Ich hab das schon im Web-Bereich mod_security erlebt. Da geht Vieles mit kaputt und der Aufwand, die Regeln zu finden, die abzuschalten sind, damit es wieder geht? das brauche ich definitiv nicht. Eine Informationsquelle, wo wirklich gut erklärt ist, was es ist, wie es funktioniert und wo auch gut beschrieben ist, in einer Art HOWTO, wie sich das gut umsetzen lässt, insofern es Sinn macht. Ein Quelle, die über den Artikel von Martin Loschwitz im, glaub, Linux-Magazin, hinaus geht, wo er schreibt, dass einige der Technologien nur teilweise Sinn machen? Ich wäre ja eventuell bereit, irgendetwas davon umzusetzen, insofern es tatsächlich Sinn macht. Aber dann gerade nicht weil Google meint, es mir diktieren zu können. Dieser Grund reicht für mich als Betreiber eines privaten Mail-Servers eben nicht aus. Aber vielleicht habt ihr ja bessere Gründe parat. Es geht mir ja nicht darum, vollkommen lernresistent zu sein. Ich bin gespannt. rspamd mosert hier ja über fehlende Domain Keys. Vielleicht ist es gar nicht so kompliziert das umzusetzen. Aber ich will dann keinen wochenlangen Aufwand haben, um den Empfang von Mailinglisten hin zu bekommen. Also bitte immer beachten: Für den Betreiber eines privaten Mail-Servers. Ich sehe nicht, warum ich alles so machen muss, wie große Mail-Hoster, die es vielen Kunden recht machen müssen. Insbesondere, falls aus meiner Sicht das Aufwand-Nutzen-Verhältnis nicht passt. Da ist mein Anwendungsfall einfach ein anderer. So wie ich mir erlaube, Mail von "onmicrosoft.com" oder "exxhale.com" hoch zu stufen oder in Zukunft vielleicht das komplette Netzwerk von Sharktech¹ zu blocken und dabei zu riskieren irgendwann doch mal eine legitime Mail zu verpassen? ein Risiko, das ich als Betreiber eines privaten Mail-Servers durchaus eingehen kann. [1] Betrugsmail von Kunden-Systemen. Meine Mail-Adresse in From:. Uni- Mailserver in Received-Header rein gefälscht. Unis sind informiert und haben auch von andere Seite schon damit zu tun gehabt. *Keine* Antwort von deren Abuse Team. Danke, -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From sebastian at debianfan.de Thu Jun 6 11:52:26 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 6 Jun 2024 11:52:26 +0200 Subject: Sorbs ? Message-ID: <39cc51b6-4a9a-4c9d-8e39-5a3f5561a9af@debianfan.de> Moin zusammen, es gab auf einer Liste die Info, dass SORBS demnächst schliesst. Auf der Seite von SORBS ist dazu nichts zu finden. Gerücht oder Realität? Gruß Sebastian From Ralf.Hildebrandt at charite.de Thu Jun 6 12:00:10 2024 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 6 Jun 2024 12:00:10 +0200 Subject: [ext] Sorbs ? In-Reply-To: <39cc51b6-4a9a-4c9d-8e39-5a3f5561a9af@debianfan.de> References: <39cc51b6-4a9a-4c9d-8e39-5a3f5561a9af@debianfan.de> Message-ID: * sebastian--- via Postfixbuch-users : > Moin zusammen, > > es gab auf einer Liste die Info, dass SORBS demnächst schliesst. > > Auf der Seite von SORBS ist dazu nichts zu finden. > > Gerücht oder Realität? Realität -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Thu Jun 6 12:07:08 2024 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 6 Jun 2024 12:07:08 +0200 Subject: [ext] Sorbs ? In-Reply-To: References: <39cc51b6-4a9a-4c9d-8e39-5a3f5561a9af@debianfan.de> Message-ID: > > Gerücht oder Realität? > > Realität Michelle Sullivan schrieb: For those that haven't heard.  Proofpoint is retiring SORBS effective immediately(ish). Zones will be emptied shortly and within a few weeks the SORBS domain will be parked on dedicated "decommissioning" servers. I am being made redundant as part of the shutdown and my last day will be 30th June 2024.  I will be looking for new positions following that. I would like to thank all the SORBS supporters over the years and Proofpoint for keeping it going for the community for the last 13 years. Best regards, Michelle Sullivan SORBS. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From trashcan at ellael.org Thu Jun 6 13:02:13 2024 From: trashcan at ellael.org (Michael Grimm) Date: Thu, 6 Jun 2024 13:02:13 +0200 Subject: [ext] Sorbs ? In-Reply-To: References: <39cc51b6-4a9a-4c9d-8e39-5a3f5561a9af@debianfan.de> Message-ID: Ralf Hildebrandt via Postfixbuch-users wrote: >>> Gerücht oder Realität? >> >> Realität > > Michelle Sullivan schrieb: > > For those that haven't heard. Proofpoint is retiring SORBS effective > immediately(ish). > > Zones will be emptied shortly and within a few weeks the SORBS domain > will be parked on dedicated "decommissioning" servers. > > I am being made redundant as part of the shutdown and my last day will > be 30th June 2024. I will be looking for new positions following > that. > > I would like to thank all the SORBS supporters over the years and > Proofpoint for keeping it going for the community for the last 13 > years. > > Best regards, > > Michelle Sullivan > SORBS. > Und hier: https://www.linkedin.com/feed/update/urn:li:activity:7202108788026335233/ From Daniel at Mail24.vip Thu Jun 13 15:47:24 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 13 Jun 2024 15:47:24 +0200 Subject: Lets Encrypt hat Cert gewechselt Message-ID: <004501dabd98$38afe0a0$aa0fa1e0$@Mail24.vip> Moin, kurze Info, Lets Encrypt hat kürzlich die Cert gewechselt, wenn diese getauscht bzw. neu erstellt wurden. Zuvor liefen die auf Namen R3, nun wird R10 und R11 verwendet bzw. auch E5 und E6. https://letsencrypt.org/de/certificates/ Also ggf. DNS anpassen wer DNSSEC verwendet mit TLSA Records. *._tcp.domain. 3600 IN TLSA 2 0 1 5dfdb3cf31b26f23d87c09f3a0cef642f64069a9fb7cfe29270bb5dc0f1e16bb *._tcp.domain. 3600 IN TLSA 2 0 1 9d7c3f1aa6ad2b2ec0d5cf1e246f8d9ae6cbc9fd0755ad37bb974b1f2fb603f3 *._tcp.domain. 3600 IN TLSA 2 0 1 67add1166b020ae61b8f5fc96813c04c2aa589960796865572a3c7e737613dfd *._tcp.domain. 3600 IN TLSA 2 0 1 76e9e288aafc0e37f4390cbf946aad997d5c1c901b3ce513d3d8fadbabe2ab85 *._tcp.domain. 3600 IN TLSA 2 0 1 591e9ce6c863d3a079e9fabe1478c7339a26b21269dde795211361024ae31a44 Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Wed Jun 19 13:22:52 2024 From: usenet at schani.com (christian) Date: Wed, 19 Jun 2024 13:22:52 +0200 Subject: Ist das normal? Message-ID: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> Hallo zusammen, ich frag mal hier - weil deutsch - weil Profis. Seit 25 Jahre betreibe ich für ca +-150 Domains/ +-500 Emailuser einen Email Server und versuche für meine paar User eine optimale Leistung zu bieten. Ich kämpfe aber immer mehr damit das die Partner meiner Kunden (Geschäftspartner und Freunde mit denen sie Emails austauschen) immer schlechter zu erreichen sind. Ich meine natürlich das die externen Mailserver schlecht konfiguriert und sich nicht an die MTA Regeln halten. Ich versuche natürlich meine User vor Spam und Angriffen zu schützen und verwende SPF DKIM DMARC Verschlüsselung. Allein schon wegen Gmail, GMX, Web.de usw. Aber ich habe täglich Probleme mit öffentlichen Stellen - Bauamt, Arbeitsamt, Gemeinden, Baustofflieferanten, kleinen Lieferanten, Schulen - die eine dermaßen miserable MX Reputation haben und auf Blacklisten stehen, das ich mit meiner Postfix, RspamD Umgebung ständig Ausnahmen einbauen muss, um diese für meine Kunden trotzdem erreichbar zu halten. Jetzt frag ich mich, ob ich evtl. zu pingelig bin oder ob sich der Schluder-Virus generell bei uns festsetzt? Es sind ja meist lokale Firmen und Dienstleister. Hab auch schon versucht mit den zuständigen IT´lern zu sprechen, aber die erkennen das Problem gar nicht. Wenn ich den zuständigen im Bauamt kontaktiere und ihm sage das seine MX Adresse einen Senderscore von 20 hat RBL Einträge und kein SPF und kein DKIM, dann bekomme ich die Antwort: Schicken Sie doch einen Brief. Mein Kunde kommt mit Problem zu mir und denkt ich bin Schuld. Kann ja nicht sein das Email im Bauamt nicht funktioniert ;-) Macht auch Ihr die Erfahrung? Tut Ihr dagegen was? Viel Spaß heute beim Fußball Christian From ronny at seffner.de Wed Jun 19 15:06:30 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 19 Jun 2024 15:06:30 +0200 Subject: AW: Ist das normal? In-Reply-To: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> References: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> Message-ID: <053301dac249$81a75800$84f60800$@seffner.de> Hallo Christian, ähnliches Szenario hier: Mailhoster für wenige 100 Domains/1000 Postfächer, schon Seit Debian 2.1 im Mail- und Webhosting unterwegs und immer mitgewachsen (was eben so ans SMTP dran musste um SPAM loszuwerden). "Neulich" (ist wohl nun auch schon 10 Jahre her) hat es ja für 92%-SPAM-Abwehr genügt, Greylisting zu machen ... aber ich schweife ab. Hier ist einiges an Baubranche und anderem Gewerbe mit Schnittstellen zu ÖR dabei - eigentlich unauffällig. Die genannten Technologien und Produkte setze ich auch ein. Das mal ein valides Mail von einem standardignoranten nicht ohne whitelisting durchkommt kommt vor, ist aber keine nervige Regel. Vielmehr leidern wir seit einigen Monaten eher wieder unter zuviel SPAM (rspamd ohne bayes, weil die User eh nicht trainieren und das serverglobal dann doch zuviel zu schlecht bewertete). Was meinst Du den genau mit MX-Reputation? Das ganz normale RBL-Scoring des rspamd - hast Du daran getuned? Abonnierst Du irgendeinen RBL-Dienst (was ja i.d.R. ab Mailmenge/Zeiteinheit verpflchtend ist)? So gesehen kann ich Dir also keine Lösung liefern, möchte aber anregen, dass Du vielleicht Teile Deiner Konfiguration hier zur Diskussion stellst. Da wird dann vielleicht eine zu feste Schraube gefunden und ich könnte sehen, welche ich noch zu lose habe - ganz zu schweigen von dem wie andere partizipieren könnten. Mit freundlichen Grüßen / Kind regards Ronny Seffner From daniel at mail24.vip Wed Jun 19 15:15:01 2024 From: daniel at mail24.vip (Daniel) Date: Wed, 19 Jun 2024 15:15:01 +0200 Subject: Ist das normal? In-Reply-To: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> References: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> Message-ID: <0A74BE70-AF2F-4C4C-A8BC-FD793FFE4DDA@mail24.vip> Moin, kann dich verstehen und sehe es da wohl ähnlich dass man immer bestmögliche probiert. Aber wenn sich Mailbetreiber bzw. DNS Verwalter halt Mist machen, muss man irgendwann wohl auch knallhart sagen wird deren Kram abgelehnt. Ansonsten musste irgendwann ja alles möglich abschalten oder gar jede Email annehmen weil es ja Tippfehler sein könnten vom Empfänger. Wo fängt man an, wo hört man auf,? Gerade für Behörden gibt es teils Dienstleister die ganze betreuen. Aber wenn nem Zahnarzt schreibst der soll mal was im DNS anpassen, wirst wohl nicht weiterkommen. Ich schreibe teils direkt an anfang vonwegen für IT Abteilung wenn man solche kleinen Firmen oder Praxen anschreibt. Betreibe aber nur kleinen privaten Server. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From michael at linuxfox.de Wed Jun 19 17:10:45 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Wed, 19 Jun 2024 17:10:45 +0200 Subject: Ist das normal? In-Reply-To: <0A74BE70-AF2F-4C4C-A8BC-FD793FFE4DDA@mail24.vip> References: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> <0A74BE70-AF2F-4C4C-A8BC-FD793FFE4DDA@mail24.vip> Message-ID: <446d8c6a-8f06-4726-8e64-647dc772945e@linuxfox.de> Am 19.06.24 um 15:15 schrieb Daniel via Postfixbuch-users: > > Gerade für Behörden gibt es teils Dienstleister die ganze betreuen. Hi, was ich mich gerade Frage ist, wo kann ich checken, warum ein Sender Bayes_Spam Punkte von rspamd bekommt. Ich checke immer hier: http://www.anti-abuse.org/multi-rbl-check/ Aber da ist der Sender komplett grün, aber rspamd vergibt folgendes: X-KLMS-AntiVirus-Status: Clean, skipped X-Spamd-Result: default: False [7.10 / 15.00]; BAYES_SPAM(5.10)[100.00%]; Erste Zeile ist Kaspersky und der hat nichts gegen die Mail. Was soll ich da einem Sender noch sagen? Prinzipiell gibt es keine whitelist mehr -> offenes Tor für alles was von dort kommt. -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From usenet at schani.com Thu Jun 20 18:40:17 2024 From: usenet at schani.com (christian) Date: Thu, 20 Jun 2024 18:40:17 +0200 Subject: Ist das normal? In-Reply-To: <446d8c6a-8f06-4726-8e64-647dc772945e@linuxfox.de> References: <561280c6-03bb-467f-a6f4-51ebcdcf1a6f@schani.com> <0A74BE70-AF2F-4C4C-A8BC-FD793FFE4DDA@mail24.vip> <446d8c6a-8f06-4726-8e64-647dc772945e@linuxfox.de> Message-ID: <44bfb329-7cf7-4d1b-9949-0fb069b19384@schani.com> Ich seh schon, es geht nicht nur mir so. Seit Februar 2024 verwende ich RSPAMD als Spamfilter, vorher fast 15 Jahre lang ASSP, ein Perl basierender Spamfilter mit eigenen Regeln und externen Abfragen. Der lief zwar einigermaßen, gab aber nur wenige Infos aus und war Pflegebedürftig. RSPAMD ist deutlich leistungsfähiger und anpassbarer. Obwohl die Dokumentation sehr schwierig, gewöhnungsbedürftig und teils Fehlerhaft ist kann man sich einarbeiten und durch "try and error" einiges erreichen. > Was meinst Du den genau mit MX-Reputation? Das ganz normale RBL- > Scoring des rspamd - hast Du daran getuned? Abonnierst Du irgendeinen > RBL-Dienst (was ja i.d.R. ab Mailmenge/Zeiteinheit verpflchtend ist)? Ich prüfe immer mit senderscore.com. Da bekomme ich einen % Satz wie die Domain oder IP gewichtet ist. Dann hab ich einen Anhaltspunkt. > Am 19.06.24 um 15:15 schrieb Daniel via Postfixbuch-users: > Hi, > was ich mich gerade Frage ist, wo kann ich checken, warum ein Sender > Bayes_Spam Punkte von rspamd bekommt. > Ich checke immer hier: http://www.anti-abuse.org/multi-rbl-check/ > BAYES_SPAM und BAYES_HAM Infos kommen nicht von extern sondern werden normalerweise lokal selber angelernt. Entweder mit autolearn oder mit rspamc learn_spam oder rspamc learn_ham. Da lernst Du dir die Scores an. rspamd.com hat damit nichts zu tun. rspamd.com bietet dir Fuzzy an, was auch recht gut ist. Ich verwende RBL´s von verschiedenen Anbietern, aber die Ergebnisse sind nur ein Anhaltspunkt und nur ein kleiner Teil meines Gesamtscorings. Etwa 20 Test werden durchlaufen und erst dann kommt es zum Gesamtwert. Alleine Bayes und senderscore und RBL´s würden viele Fehler verursachen. Dazu kommen natürlich noch eigene Filter die nach Begriffen suchen Teleskopleitern, Küchenmesser, Prostata uvm. Dann sammle ich gute und schlechte Emailadressen und gebe denen Scores mit. Genau so mit Domains. Ein guter Start sind die ASN Listen die man gleich mal Filtern kann. https://emretosunkaya.com/bad-asn-list-to-block-in-your-web-firewall-to-harden-against-malicious-attacks/ Das nimmt schon 90% vom Spam weg, ohne das ich die rejecte, sondern nur einen schlechten score gebe. Aber 100% Trefferquote bis jetzt. Die Standard Dinge wie Virenscanner und FileExtensions, die ich natürlich erst mal nicht an den Kunden ausliefere sondern nur Informiere das was gekommen ist. Meist klärt sich das ohnehin wenn man den Absender ließt. Ich habe sehr häufig Kunden die von Weltweit Emails erhalten mit Dateien wo man nicht genau weis was dahintersteckt, aber wichtig für sie sind (Forschungsunterlagen). Durch die user settings in RSPAMD kann ich Kombinationen auch auf Durchmarsch stellen. z.B. bekommen USER automatisierte Lieferaufträge , Lagerbestände und Statusbenachrichtigungen. Immer vom Selben Absender, selber IP und selben Empfänger. Nur wenn diese Kombination stimmt, kann ich Tests abschalten und Emails durchwinken, Ressourcen sparen, Abfragen sparen und Annahmezeit auf 10ms Reduzieren. Aber auch Kunden untereinander der gleichen Domain, oder befreundeten Domain bekommen dadurch Vorteile. Da fällt dann Bayes weg und externe Abfragen usw.. Der Vorteil ist das man den Auth User schnelle Reaktionszeiten geben kann. Es ist ein Unterschied ob eine kleine Email mit ein paar Zeilen 5 Sekunden beim Senden braucht oder nur 0,1 Sekunden. Es fühlt sich einfach besser an für den Nutzer. Das finde ich an RSPAMD Klasse Aber jetzt zu Thema Dann hat man wieder Leute die warten auf Unterlagen von der Unteren Naturschutzbehörde wegen Bauunterlagen und die kommen nicht weil die Domain die sendet überall auf allen BlackListen steht und eine schlechte Reputation hat. Gleichzeitig bekommen meine User aber von Ihrem Verband (Landeskirche) 100 Emails am Tag wovon 60 Spam sind, die natürlich in Spam abgelegt werden sollten. Der Sender ist natürlich gehackt aber keiner macht was. OK, ich kann das handeln, aber nur wenn ich es weis und mein Kunde sagt das er auf was wartet. Das meine ich was zur Zeit immer mehr wird. Also das Bewusstsein das man einen Mailserver nicht nur installiert und dann läuft das Ding, sondern das ein MTA Arbeit bedeutet. Meist sind in den Ämtern nur irgendwelche Microsoft Konstellationen mit Exchange Gedöns. Ich kenn mich mit M$ gar nicht aus. Aber eine befreundeter IT´ler in der Stadtverwaltung sagt mir das sie sich mit dem Ding überhaupt nicht beschäftigen - außer Neustarts. Jetzt fragt den mal nach DNS Einträgen wie SPF DKIM oder DMARC :-) Naja kommt Zeit kommt Rat, ist ja noch alles Neuland :-) Schwitzt nicht so sehr bei der Schwüle Christian From postfixgerman at mytelpbx.com Mon Jun 24 12:42:49 2024 From: postfixgerman at mytelpbx.com (postfixgerman at mytelpbx.com) Date: Mon, 24 Jun 2024 12:42:49 +0200 Subject: =?UTF-8?Q?f=C3=BCr_Google_damit_der_Email_annimmt_SPF_DKIM_Bezugsqu?= =?UTF-8?Q?elle?= Message-ID: Hallo, wo bekomme ich dann einen solchen Schlüssel zuverlässig her. Suche ich bei Goggle werden mir eine Unmenge an Seiten zur Erzeugung solcher Schlüssel angeboten. Was sollte man da wählen? Gruß From Ralf.Hildebrandt at charite.de Mon Jun 24 13:24:51 2024 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 24 Jun 2024 13:24:51 +0200 Subject: [ext] =?utf-8?B?ZsO8?= =?utf-8?Q?r?= Google damit der Email annimmt SPF DKIM Bezugsquelle In-Reply-To: References: Message-ID: * postfixgerman at mytelpbx.com : > Hallo, > wo bekomme ich dann einen solchen Schlüssel zuverlässig her. Suche ich bei > Goggle werden mir eine Unmenge an Seiten zur Erzeugung solcher Schlüssel > angeboten. Was sollte man da wählen? Na eiegntlich erzeugst Du die selber, veröffentlichst den ÖFFENTLICHE Anteil im DNS deiner domain und der geheime (private) Schlüssel verbleibt auf diener Kiste. https://rspamd.com/doc/modules/dkim_signing.html hat dafür sogar eine Kommandozeile: For an RSA key of 2048 bits: rspamadm dkim_keygen -s 'woosh' -b 2048 -d example.com -k example.private > example.txt wobei > example.txt re-directs the DNS TXT record output to example.txt -k example.private saves your private key to the file example.private -d example.com specifies the domain as example.com (currently meaningless) -b 2048 specifies a 2048 bit key size (the standard default 1024 bit size is weak) -s 'woosh' names the selector woosh i.e. woosh._domainkey -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From postfixbuch-users at 0xaffe.de Mon Jun 24 13:38:01 2024 From: postfixbuch-users at 0xaffe.de (Mathias Jeschke) Date: Mon, 24 Jun 2024 13:38:01 +0200 Subject: =?UTF-8?Q?Re=3A_=5Bext=5D_f=C3=BCr_Google_damit_der_Email_annimmt_S?= =?UTF-8?Q?PF_DKIM_Bezugsquelle?= In-Reply-To: References: Message-ID: <4947f89f-0516-48ec-9527-4b4caa8cfb6b@0xaffe.de> Hallo, Am 24.06.24 um 13:24 schrieb Ralf Hildebrandt via Postfixbuch-users: > * postfixgerman at mytelpbx.com : >> Hallo, >> wo bekomme ich dann einen solchen Schlüssel zuverlässig her. Suche ich bei >> Goggle werden mir eine Unmenge an Seiten zur Erzeugung solcher Schlüssel >> angeboten. Was sollte man da wählen? > Na eiegntlich erzeugst Du die selber, veröffentlichst den ÖFFENTLICHE > Anteil im DNS deiner domain und der geheime (private) Schlüssel > verbleibt auf diener Kiste. > > https://rspamd.com/doc/modules/dkim_signing.html > hat dafür sogar eine Kommandozeile: > > For an RSA key of 2048 bits: > > rspamadm dkim_keygen -s 'woosh' -b 2048 -d example.com -k example.private > example.txt für mich hört sich die Frage eher nach den "Postmaster Tools" an: https://postmaster.google.com/ Damit kann man einen TXT-Record für Google in der Form "google-site-verification=XXXXX" erzeugen lassen und im DNS hinterlegen. Viele Grüße Mathias From ronny at seffner.de Wed Jun 26 10:35:14 2024 From: ronny at seffner.de (ronny at seffner.de) Date: Wed, 26 Jun 2024 10:35:14 +0200 Subject: Heinlein rules Message-ID: <00a801dac7a3$c5bbb220$51331660$@seffner.de> Hallo Gruppe, gibt’s eigentlich diese Heinlein (spamassassin) rules noch? Kann man die irgendwie ohne 'sa-update' herunterladen - die müssten hier für rspamd konvertiert werden. Oder gibt’s gar inzwischen ne rspamd-Variante? Ja, ich habe vor diesem Beitrag hier ein wenig gesucht. Mit freundlichen Grüßen / Kind regards      Ronny Seffner From cr at ncxs.de Thu Jun 27 14:07:26 2024 From: cr at ncxs.de (Carsten Rosenberg) Date: Thu, 27 Jun 2024 14:07:26 +0200 Subject: Heinlein rules In-Reply-To: <00a801dac7a3$c5bbb220$51331660$@seffner.de> References: <00a801dac7a3$c5bbb220$51331660$@seffner.de> Message-ID: <0934c5ac-5a25-4020-95ce-1fcd710408f1@ncxs.de> Moin, ja die Regeln gibt es noch. Auch die Schaal-IT Regeln sind noch aktiv. Bei uns werden sie aber nicht mehr so oft geupdated wie zu Spamassassin Zeiten. Eine Rspamd Variante gibt es noch nicht, aber die SA-Variante macht sich super im Spamassassin-Rules Modul vom Rspamd. https://github.com/HeinleinSupport/rspamd-slac-2024/blob/main/rspamd-worker/etc/rspamd/local.d/spamassassin.conf (Die offziellen Regeln aus dem SA Projekt eher nicht, da nicht alle Funktionen im Rspamd unterstützt werden) Rspamd bringt zwar auch eine Funktion Regeln wie die von Heinlein in effiziente Multimaps umzubauen. Aber da fallen dann dutzende Configs raus. https://github.com/rspamd/rspamd/blob/master/utils/sa_trivial_convert.lua Für den Download nutze ich mittlerweile ein Bash Script. Ich räume das mal ein wenig auf und lad das die nächsten Tage einmal hoch. Viele Grüße Carsten On 26.06.24 10:35, ronny at seffner.de wrote: > Hallo Gruppe, > > gibt?s eigentlich diese Heinlein (spamassassin) rules noch? > Kann man die irgendwie ohne 'sa-update' herunterladen - die müssten hier für > rspamd konvertiert werden. > Oder gibt?s gar inzwischen ne rspamd-Variante? > > Ja, ich habe vor diesem Beitrag hier ein wenig gesucht. > > > > Mit freundlichen Grüßen / Kind regards >      Ronny Seffner > From Daniel at Mail24.vip Fri Jun 28 19:05:06 2024 From: Daniel at Mail24.vip (Daniel) Date: Fri, 28 Jun 2024 19:05:06 +0200 Subject: Frage zum SPF Message-ID: <005601dac97d$53117940$f9346bc0$@Mail24.vip> Moin, ist es problematisch, wenn man SPF Einträge "doppelt" hat? Leider bekomme ich hin und wieder besonders von Google und Microsoft DMARC Reports weil SPF wegen temperror fehlschlägt. Normal verwende ich "v=spf1 include:mailbox.org ~all", habe temporär IPs von Mailbox.org noch zusätzlich hinzugefügt "v=spf1 include:mailbox.org ip4:213.203.238.0/25 ip4:195.10.208.0/24 ip4:91.198.250.0/24 ip4:80.241.56.0/21 ip6:2001:67c:2050::/48 ~all" Wie schaut es bei euch aus? Problem von Microsoft/Google oder eher vom DNS von Mailbox.org? Machen beide Anbieter evt. zuviele Anfragen dass geblockt wird? Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL :