From postfix.user at linuxmaker.cloud Sat Mar 2 19:16:33 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Sat, 02 Mar 2024 19:16:33 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data Message-ID: <10431073.nUPlyArG6x@stuttgart> Hallo zusammen, ich habe folgende Konfiguration mit Postfix/Dovecot/Rspamd auf einem aktuellen Debian 12 Linux: postconf -nf append_dot_mydomain = no biff = no bounce_queue_lifetime = 1h compatibility_level = 3.6 confirm_delay_cleared = yes delay_warning_time = 60 disable_vrfy_command = yes html_directory = /usr/share/doc/postfix/html inet_interfaces = all local_recipient_maps = $virtual_mailbox_maps mailbox_size_limit = 0 maximal_backoff_time = 15m maximal_queue_lifetime = 1h message_size_limit = 52428800 milter_default_action = tempfail milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen} milter_protocol = 6 minimal_backoff_time = 5m mua_client_restrictions = permit_mynetworks permit_sasl_authenticated reject mua_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks permit_sasl_authenticated reject mua_sender_restrictions = permit_mynetworks reject_non_fqdn_sender reject_sender_login_mismatch permit_sasl_authenticated reject mydestination = mx1.germany.com, localhost.germany.com, localhost myhostname = mx1.germany.com mynetworks = 127.0.0.0/8 192.168.1.0/24 192.109.24.0/24 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname non_smtpd_milters = inet:localhost:11332 plaintext_reject_code = 550 postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access postscreen_bare_newline_enable = no postscreen_blacklist_action = drop postscreen_cache_cleanup_interval = 24h postscreen_cache_map = proxy:btree:$data_directory/postscreen_cache postscreen_dnsbl_action = enforce postscreen_dnsbl_sites = b.barracudacentral.org=127.0.0.2*7 dnsbl.inps.de=127.0.0.2*7 bl.mailspike.net=127.0.0.2*5 bl.mailspike.net=127.0.0.[10;11;12]*4 dnsbl.sorbs.net=127.0.0.10*8 dnsbl.sorbs.net=127.0.0.5*6 dnsbl.sorbs.net=127.0.0.7*3 dnsbl.sorbs.net=127.0.0.8*2 dnsbl.sorbs.net=127.0.0.6*2 dnsbl.sorbs.net=127.0.0.9*2 zen.spamhaus.org=127.0.0.[4..7]*6 zen.spamhaus.org=127.0.0.3*4 zen.spamhaus.org=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.2*3 hostkarma.junkemailfilter.com=127.0.0.4*1 hostkarma.junkemailfilter.com=127.0.1.2*1 wl.mailspike.net=127.0.0.[18;19;20]*-2 hostkarma.junkemailfilter.com=127.0.0.1*-2 postscreen_dnsbl_threshold = 8 postscreen_dnsbl_ttl = 5m postscreen_greet_action = enforce postscreen_greet_banner = $smtpd_banner postscreen_greet_ttl = 2d postscreen_greet_wait = 3s postscreen_non_smtp_command_enable = no postscreen_pipelining_enable = no proxy_read_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf, proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_out_policy.cf, proxy:mysql:/etc/postfix/sql/mysql_tls_enforce_in_policy.cf, proxy:mysql:/etc/postfix/sql/sender-login-maps.cf, $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $mynetworks $smtpd_sender_login_maps queue_run_delay = 5m readme_directory = /usr/share/doc/postfix recipient_delimiter = + relay_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_mxdomain_maps.cf relay_recipient_maps = proxy:mysql:/etc/postfix/sql/mysql_relay_recipient_maps.cf smtp_dns_support_level = dnssec smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_ciphers = medium smtp_tls_loglevel = 1 smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_security_level = dane smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache smtpd_banner = $myhostname smtpd_client_restrictions = permit_mynetworks check_client_access hash:/etc/postfix/without_ptr reject_unknown_client_hostname smtpd_data_restrictions = reject_unauth_pipelining smtpd_error_sleep_time = 10s smtpd_hard_error_limit = ${stress?1}${stress:5} smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname smtpd_milters = inet:localhost:11332 smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_invalid_helo_hostname, reject_unknown_reverse_client_hostname, reject_unauth_destination smtpd_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks reject_unauth_destination smtpd_sender_login_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_sender_acl.cf smtpd_soft_error_limit = 3 smtpd_tls_auth_only = yes smtpd_tls_cert_file = /etc/letsencrypt/live/mx1.germany.com/fullchain.pem smtpd_tls_ciphers = medium smtpd_tls_dh1024_param_file = /etc/ssl/mail/dhparams_2048.pem smtpd_tls_dh512_param_file = /etc/ssl/mail/dhparams_512.pem smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL smtpd_tls_key_file = /etc/letsencrypt/live/mx1.germany.com/privkey.pem smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1 smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_medium_cipherlist = EECDH+AESGCM:EDH+AESGCM tls_preempt_cipherlist = yes tls_ssl_options = NO_COMPRESSION virtual_alias_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf, proxy:mysql:/etc/postfix/sql/mysql_virtual_spamalias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 104 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_uid_maps = static:5000 Leider werden die eingehenden Mails in die Warteschleife gelegt: 2024-03-02T19:09:52.369866+01:00 mx1 postfix/error[2331]: 8B6BB420852: to=, relay=none, delay=0.81, delays=0.78/0.01/0/0.02, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx1.germany.com[private/dovecot-lmtp] while sending end of data -- message may be sent more than once) In der Postqeue stapeln sich unzugestellte Mails. In der /etc/dovecot.conf habe ich beim "service lmtp? service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { group = postfix mode = 0600 user = postfix } user = vmail vsz_limit = 1024 M } vsz_limit = 1024 M hinzugefügt und den dovecot.service reloaded. Leider ohne Erfolg. doveconf | grep vsz_limit default_vsz_limit = 256 M vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 1 G vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 1 G vsz_limit = 18446744073709551615 B vsz_limit = 128 M vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B vsz_limit = 18446744073709551615 B Hier ist zu sehen, dass default_vsz_limit noch bei 256 MB liegt. Kennt Ihr dieses Phänomen? Grüße Andreas From ml at irmawi.de Sun Mar 3 12:22:48 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 3 Mar 2024 12:22:48 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <10431073.nUPlyArG6x@stuttgart> References: <10431073.nUPlyArG6x@stuttgart> Message-ID: <943cc02f-8e84-45b8-9e5a-d9b2665c04da@irmawi.de> Hallo Andreas, On 02.03.24 19:16, Andreas via Postfixbuch-users wrote: > virtual_transport = lmtp:unix:private/dovecot-lmtp > virtual_uid_maps = static:5000 > > Leider werden die eingehenden Mails in die Warteschleife gelegt: > 2024-03-02T19:09:52.369866+01:00 mx1 postfix/error[2331]: 8B6BB420852: > to=, relay=none, delay=0.81, delays=0.78/0.01/0/0.02, > dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection > with mx1.germany.com[private/dovecot-lmtp] while sending end of data -- > message may be sent more than once) was sagt denn das Dovecot-Log bei solchen Zustellversuchen von Postfix? > In der /etc/dovecot.conf habe ich beim "service lmtp? > service lmtp { > unix_listener /var/spool/postfix/private/dovecot-lmtp { > group = postfix > mode = 0600 > user = postfix > } > user = vmail > vsz_limit = 1024 M > } > vsz_limit = 1024 M hinzugefügt und den dovecot.service reloaded. > > Leider ohne Erfolg. Wieso ohne Erfolg? ;-) > doveconf | grep vsz_limit > default_vsz_limit = 256 M > vsz_limit = 18446744073709551615 B [...]> vsz_limit = 18446744073709551615 B > vsz_limit = 1 G -----------------^^^ > vsz_limit = 18446744073709551615 B > vsz_limit = 18446744073709551615 B > vsz_limit = 18446744073709551615 B > vsz_limit = 1 G -----------------^^^ > vsz_limit = 18446744073709551615 B > vsz_limit = 128 M > vsz_limit = 18446744073709551615 B [...] > vsz_limit = 18446744073709551615 B > vsz_limit = 18446744073709551615 B Bei zwei Services hat Dovecot ja offenkundig (jetzt) 1 G als Wert für vsz_limit. > Hier ist zu sehen, dass default_vsz_limit noch bei 256 MB liegt. Ja, den hast du aber ja auch nicht geändert. Zeig mal bitte, was 'doveconf -n' jetzt nach dieser Änderung bei: service lmtp { [...] vsz_limit = ? } anzeigt. Dann weißt Du genau, ob lmtp einer von den beiden oben zu sehenden Treffern ist. Abgesehen davon: Sind da sehr große Mails im Spiel, sodass der Default von 256 MB ein Problem darstellen könnte? Viele Grüße Markus From postfix.user at linuxmaker.cloud Sun Mar 3 18:51:41 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Sun, 03 Mar 2024 18:51:41 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <943cc02f-8e84-45b8-9e5a-d9b2665c04da@irmawi.de> References: <10431073.nUPlyArG6x@stuttgart> <943cc02f-8e84-45b8-9e5a-d9b2665c04da@irmawi.de> Message-ID: <1881459.tdWV9SEqCh@stuttgart> Hallo Markus, Am Sonntag, 3. März 2024, 12:22:48 CET schrieb Markus Winkler via Postfixbuch- users: > > virtual_transport = lmtp:unix:private/dovecot-lmtp > > virtual_uid_maps = static:5000 > > > > Leider werden die eingehenden Mails in die Warteschleife gelegt: > > 2024-03-02T19:09:52.369866+01:00 mx1 postfix/error[2331]: 8B6BB420852: > > to=, relay=none, delay=0.81, > > delays=0.78/0.01/0/0.02, dsn=4.4.2, status=deferred (delivery temporarily > > suspended: lost connection with mx1.germany.com[private/dovecot-lmtp] > > while sending end of data -- message may be sent more than once) > > was sagt denn das Dovecot-Log bei solchen Zustellversuchen von Postfix? passend zu diesem Eintrag gehört dieser 2024-03-02 19:08:08 lmtp(systemmails at germany.com)<2261>: Fatal: setresgid(5000,5000,8(mail)) failed with euid=1002(vmail): Operation not permitted Ich finde aber auch Solche drin: 2024-03-02 10:05:34 log(4077): Warning: Killed with signal 15 (by pid=1 uid=0 code=kill) 2024-03-02 10:06:06 auth: Error: mysql(localhost): Connect failed to database (postfix): Can't connect to local server through socket '/run/mysqld/ mysqld.sock' (2) - waiting for 1 seconds before retry Das stimmt möglicherweise was mit der MySQL-DB nicht, das muss ich mir morgen früh gleich mal ansehen. Beste Grüße Andreas From ml at irmawi.de Sun Mar 3 20:06:55 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 3 Mar 2024 20:06:55 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <1881459.tdWV9SEqCh@stuttgart> References: <10431073.nUPlyArG6x@stuttgart> <943cc02f-8e84-45b8-9e5a-d9b2665c04da@irmawi.de> <1881459.tdWV9SEqCh@stuttgart> Message-ID: <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> Hallo Andreas, On 03.03.24 18:51, Andreas via Postfixbuch-users wrote: > lmtp(systemmails at germany.com)<2261>: Fatal: > setresgid(5000,5000,8(mail)) failed with euid=1002(vmail): Operation not > permitted versuche mal bitte diese Änderung in Deiner /etc/dovecot.conf: service lmtp { [...] # user = vmail vsz_limit = 1024 M } Übrigens: Wenn das bisher im Dovecot-Log immer Fehler dieser Art waren, brauchst Du, denke ich, auch das vsz_limit erst mal nicht erhöhen. Hat das ganze Setup überhaupt schon mal funktioniert? Klingt irgendwie fast so, als wäre das ein neuer Server? Viele Grüße Markus From postfix.user at linuxmaker.cloud Mon Mar 4 08:28:54 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Mon, 04 Mar 2024 08:28:54 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> References: <10431073.nUPlyArG6x@stuttgart> <1881459.tdWV9SEqCh@stuttgart> <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> Message-ID: <4907399.31r3eYUQgx@stuttgart> Guten Morgen Markus, > Hat das ganze Setup überhaupt schon mal funktioniert? Klingt irgendwie fast > so, als wäre das ein neuer Server? Ja, im Prinzip funktionierte das ganze Setup bereits. Das ist tatsächlich ein neuer Server, auf den ich alle Config-Dateien - um IP-Adresse und Hostname bereinigt - umgezogen habe. Beste Grüße Andreas From postfix.user at linuxmaker.cloud Mon Mar 4 09:37:44 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Mon, 04 Mar 2024 09:37:44 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> References: <10431073.nUPlyArG6x@stuttgart> <1881459.tdWV9SEqCh@stuttgart> <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> Message-ID: <7640893.EvYhyI6sBW@stuttgart> Hallo Markus, das habe ich erfolglos ausprobiert: > service lmtp { > [...] > # user = vmail > vsz_limit = 1024 M > } Stattdessen habe ich wieder service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { group = postfix mode = 0600 user = postfix } user = vmail } gesetzt, wie auf dem alten Server. Aber irgendwie stimmt etwas nicht mit den Rechten: 2024-03-04 09:07:36 imap(tb.bahn at schwaben.de)<24499>: Error: mkdir(/var/vmail/schwaben.de/tb.bahn) failed: Permission denied (euid=5000() egid=5000() missing +x perm: /var/vmail/ schwaben.de, dir owned by 1002:1002 mode=0700) 2024-03-04 09:07:36 imap(tb.bahn at schwaben.de)<24499>: Error: Mailbox INBOX: Failed to autocreate mailbox: Internal error occurred. Refer to server log for more information. [2024-03-04 09:07:36] 2024-03-04 09:10:17 imap(m10009-0128 at schwaben.de)<24601>: Error: chdir(/var/vmail/schwaben.de/m10009-0128/) failed: Permission denied (euid=5000() egid=5000() missing +x perm: /var/vmail/ schwaben.de, dir owned by 1002:1002 mode=0700) 2024-03-04 09:10:17 imap(m10009-0128 at schwaben.de)<24601>: Error: open(/var/vmail/schwaben.de/m10009-0128/dovecot-acl-list) failed: Permission denied Ich glaube ich komme dem Problem langsam auf die Schliche: Error: chdir(/var/vmail/schwaben.de/m10009-0128/) failed: Permission denied (euid=5000() egid=5000() missing +x perm: /var/vmail/ schwaben.de, dir owned by 1002:1002 mode=0700) Ich hatte /var/vmail via rsync auf das neue System übertragen. Auf dem alten System ist id vmail uid=5000(vmail) gid=5000(vmail) Gruppen=5000(vmail) und auf dem Neuen: id vmail uid=1002(vmail) gid=1002(vmail) Gruppen=1002(vmail) Ich habe jetzt zwar chown -R vmail:vmail /var/vmail/ gemacht, aber das hatte noch nicht geändert. Jetzt versuche es mal mit einer UID-Änderung für vmail. Beste Grüße Andreas From postfix.user at linuxmaker.cloud Mon Mar 4 09:48:16 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Mon, 04 Mar 2024 09:48:16 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <7640893.EvYhyI6sBW@stuttgart> References: <10431073.nUPlyArG6x@stuttgart> <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> <7640893.EvYhyI6sBW@stuttgart> Message-ID: <3555779.iIbC2pHGDl@stuttgart> Am Montag, 4. März 2024, 09:37:44 CET schrieb Andreas via Postfixbuch-users: > Auf dem alten System ist > id vmail > uid=5000(vmail) gid=5000(vmail) Gruppen=5000(vmail) > und auf dem Neuen: > id vmail > uid=1002(vmail) gid=1002(vmail) Gruppen=1002(vmail) Also das war es auch! usermod -u 5000 vmail und groupmod -g 5000 vmail haben den Spuck beendet. Beste Grüße Andreas From ml at irmawi.de Mon Mar 4 14:13:01 2024 From: ml at irmawi.de (Markus Winkler) Date: Mon, 4 Mar 2024 14:13:01 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <3555779.iIbC2pHGDl@stuttgart> References: <10431073.nUPlyArG6x@stuttgart> <3452ffc8-7745-4bef-82da-52f3b9b87376@irmawi.de> <7640893.EvYhyI6sBW@stuttgart> <3555779.iIbC2pHGDl@stuttgart> Message-ID: <20240304131301.ah5j5orsomzeexku@kermit.home.priv> Hallo Andreas, On Mon, 04 Mar 2024 at 09:48:16AM +0100, Andreas via Postfixbuch-users wrote: >Am Montag, 4. März 2024, 09:37:44 CET schrieb Andreas via Postfixbuch-users: >> Auf dem alten System ist >> id vmail >> uid=5000(vmail) gid=5000(vmail) Gruppen=5000(vmail) >> und auf dem Neuen: >> id vmail >> uid=1002(vmail) gid=1002(vmail) Gruppen=1002(vmail) >Also das war es auch! Du wirst lachen, das ich wollte Dich eigentlich schon fragen, wie denn der User vmail "aussieht". ;-) Denn wenn da was nicht mit den IDs und/oder permissions stimmt, klemmt's natürlich an allen Ecken und Enden, wo der beteiligt ist. Prima, dass es jetzt läuft. Viele Grüße Markus From postfix.user at linuxmaker.cloud Mon Mar 4 14:25:35 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Mon, 04 Mar 2024 14:25:35 +0100 Subject: status=deferred (delivery temporarily suspended: lost connection with ------[private/dovecot-lmtp] while sending end of data In-Reply-To: <20240304131301.ah5j5orsomzeexku@kermit.home.priv> References: <10431073.nUPlyArG6x@stuttgart> <3555779.iIbC2pHGDl@stuttgart> <20240304131301.ah5j5orsomzeexku@kermit.home.priv> Message-ID: <1961557.PYKUYFuaPT@stuttgart> Am Montag, 4. März 2024, 14:13:01 CET schrieb Markus Winkler via Postfixbuch- users: > Du wirst lachen, das ich wollte Dich eigentlich schon fragen, wie denn der > User vmail "aussieht". ;-) Denn wenn da was nicht mit den IDs und/oder > permissions stimmt, klemmt's natürlich an allen Ecken und Enden, wo der > beteiligt ist. Das ist halt so ein blöder ?Anfängerfehler?, auch wenn man kein Anfänger ist. Ich ziehe die gesamten Mails aus /var/vmail rüber zum neuen Server und denke nicht daran, dass dann eben auch die IDs übernommen werden. Und bei dem Alten ist vmail eben nicht gleich mit der Erstinstallation gesetzt wurden, so entstehen die hohen Ids. Dann die Fehlermeldung "status=deferred (delivery temporarily suspended" Eine Suche im Internet gab eben diesen Hinweis zu wenig Speicher. Und schon vergisst man die einfachsten Dinge. Zum Glück ist Linux Dein Freund und wesentlich gesprächiger als andere Systeme. Jedenfalls vielen Dank für den Gedankenaustausch, beste Grüße Andreas From postfix.user at linuxmaker.cloud Thu Mar 7 14:22:23 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 07 Mar 2024 14:22:23 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten Message-ID: <12396368.O9o76ZdvQC@stuttgart> Hallo, ich habe einen Postfix/Dovecot-Server auf Debian 12 neu aufsetzen müssen. Hier ist standardmässig TSL 1.3 integriert. Jetzt gibt es nur Probleme mit den Anwendern, die teilweise uralte Handys haben oder alte Outlook-Clients, die alle kein TSL 1.3 können, sondern nur TSL 1.2. Frage: Wie bekomme ich Postfix und Dovecot dazu, Beides anzubieten? Grüße Andreas From florian at effenberger.org Thu Mar 7 14:49:58 2024 From: florian at effenberger.org (Florian Effenberger) Date: Thu, 7 Mar 2024 14:49:58 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <12396368.O9o76ZdvQC@stuttgart> References: <12396368.O9o76ZdvQC@stuttgart> Message-ID: Hallo Andreas, Andreas via Postfixbuch-users wrote on 07.03.24 at 14:22: > ich habe einen Postfix/Dovecot-Server auf Debian 12 neu aufsetzen müssen. Hier > ist standardmässig TSL 1.3 integriert. Jetzt gibt es nur Probleme mit den > Anwendern, die teilweise uralte Handys haben oder alte Outlook-Clients, die > alle kein TSL 1.3 können, sondern nur TSL 1.2. > > Frage: Wie bekomme ich Postfix und Dovecot dazu, Beides anzubieten? per default sollten sowohl Postfix als auch Dovecot TLSv1.2 und TLSv1.3 machen. Ich hab mich bei meiner Konfiguration an https://ssl-config.mozilla.org orientiert. Viele Grüße Flo From postfix.user at linuxmaker.cloud Thu Mar 7 15:08:34 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 07 Mar 2024 15:08:34 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: References: <12396368.O9o76ZdvQC@stuttgart> Message-ID: <2320079.ElGaqSPkdT@stuttgart> Am Donnerstag, 7. März 2024, 14:49:58 CET schrieb Florian Effenberger via Postfixbuch-users: > per default sollten sowohl Postfix als auch Dovecot TLSv1.2 und TLSv1.3 > machen. Ich hab mich bei meiner Konfiguration an > https://ssl-config.mozilla.org orientiert. Cool, das Teil. Und wie testet Du dann ob TLSv1.2 oder TLSv1.3 geliefert wird? Ich habe hier leider nur ?moderne? Clients und Outlook schon gar nicht. Vielen Dank auch für den Link, Viele Grüße Andreas From florian at effenberger.org Thu Mar 7 15:14:22 2024 From: florian at effenberger.org (Florian Effenberger) Date: Thu, 7 Mar 2024 15:14:22 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <2320079.ElGaqSPkdT@stuttgart> References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> Message-ID: <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> Hallo, Andreas via Postfixbuch-users wrote on 07.03.24 at 15:08: > Cool, > > das Teil. Und wie testet Du dann ob TLSv1.2 oder TLSv1.3 geliefert wird? Ich > habe hier leider nur ?moderne? Clients und Outlook schon gar nicht. ich bin kein Fachmann was das betrifft, hab mir meine Infos auch aus verschiedenen Dokus zusammengestellt, aber "aus dem Trockenen" heraus könnte es mit openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. -tls1_3 klappen Viele Grüße Flo From postfix.user at linuxmaker.cloud Thu Mar 7 15:24:24 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 07 Mar 2024 15:24:24 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> Message-ID: <13469546.uLZWGnKmhe@stuttgart> Am Donnerstag, 7. März 2024, 15:14:22 CET schrieb Florian Effenberger via Postfixbuch-users: > Hallo, > > Andreas via Postfixbuch-users wrote on 07.03.24 at 15:08: > > Cool, > > > > das Teil. Und wie testet Du dann ob TLSv1.2 oder TLSv1.3 geliefert wird? > > Ich habe hier leider nur ?moderne? Clients und Outlook schon gar nicht. > ich bin kein Fachmann was das betrifft, hab mir meine Infos auch aus > verschiedenen Dokus zusammengestellt, aber "aus dem Trockenen" heraus > könnte es mit > > openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. -tls1_3 > klappen > > Viele Grüße > Flo Vielen Dank Flo, openssl s_client -starttls smtp -connect $FQDN:25 hatte auch schon benutzt, nur die beiden Optionen sind hilfreich. Aber wirklich großartig ist diese Website! Beste Grüße Andreas From florian at effenberger.org Thu Mar 7 15:29:19 2024 From: florian at effenberger.org (Florian Effenberger) Date: Thu, 7 Mar 2024 15:29:19 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <13469546.uLZWGnKmhe@stuttgart> References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> <13469546.uLZWGnKmhe@stuttgart> Message-ID: Hi, Andreas via Postfixbuch-users wrote on 07.03.24 at 15:24: > openssl s_client -starttls smtp -connect $FQDN:25 > > hatte auch schon benutzt, nur die beiden Optionen sind hilfreich. > Aber wirklich großartig ist diese Website! :-) Es gibt noch einige andere Seiten für SSL-Konfiguration, aber die von Mozilla scheint regelmäßig aktualisiert zu werden. Wenn ich denn schon an der SSL-Konfiguration etwas ändere, was nicht ganz mein Metier ist, dann soll es etwas aus berufenem Mund sein, nicht irgendeine beliebige Seite, deren Reputation ich nicht einschätzen kann. Viele Grüße Flo From list+postfixbuch at gcore.biz Thu Mar 7 15:29:25 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Thu, 7 Mar 2024 15:29:25 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> Message-ID: >> das Teil. Und wie testet Du dann ob TLSv1.2 oder TLSv1.3 geliefert wird? Ich >> habe hier leider nur ?moderne? Clients und Outlook schon gar nicht. > > ich bin kein Fachmann was das betrifft, hab mir meine Infos auch aus verschiedenen Dokus zusammengestellt, aber "aus dem Trockenen" heraus könnte es mit > > openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. -tls1_3 klappen Alternativ ist vielleicht auch testssl interessant, das überprüft verschiedene Kombinationen: https://testssl.sh/ ./testssl.sh --starttls smtp mailserver:25 Viele Grüße Gerald From postfix.user at linuxmaker.cloud Thu Mar 7 16:08:29 2024 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 07 Mar 2024 16:08:29 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: References: <12396368.O9o76ZdvQC@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> Message-ID: <8346990.T7Z3S40VBb@stuttgart> Am Donnerstag, 7. März 2024, 15:29:25 CET schrieb Gerald Galster: > >> das Teil. Und wie testet Du dann ob TLSv1.2 oder TLSv1.3 geliefert wird? > >> Ich habe hier leider nur ?moderne? Clients und Outlook schon gar nicht.> > > ich bin kein Fachmann was das betrifft, hab mir meine Infos auch aus > > verschiedenen Dokus zusammengestellt, aber "aus dem Trockenen" heraus > > könnte es mit > > > > openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. -tls1_3 > > klappen > Alternativ ist vielleicht auch testssl interessant, das überprüft > verschiedene Kombinationen: https://testssl.sh/ > > ./testssl.sh --starttls smtp mailserver:25 > > Viele Grüße > Gerald Das sieht von der Funktionalität toll aus. Bloss da muss ich mich rein lesen. Geholfen hat vor allem dieser Mozilla-Link. Vielen Dank Euch beiden! Andreas From ml at irmawi.de Thu Mar 7 16:27:34 2024 From: ml at irmawi.de (Markus Winkler) Date: Thu, 7 Mar 2024 16:27:34 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> Message-ID: <71a670eb-476c-442a-bcc4-08b5807e6b14@irmawi.de> On 07.03.24 15:29, Gerald Galster wrote: >> openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. -tls1_3 klappen > > Alternativ ist vielleicht auch testssl interessant, das überprüft verschiedene Kombinationen: https://testssl.sh/ Genau: Neben openssl s_client ... ist auch dieses Tool bei mir regelmäßig im Einsatz für den schnellen Test auf der Konsole, kann ich nur unterstreichen. Was ich ebenso hilfreich für solche Checks finde, ist diese Site (falls nicht schon bekannt): https://cryptcheck.fr/ Da bekommt man nach Abschluss der Analyse eine schöne Übersicht der ganzen Protokolle, Ciphers etc. Viele Grüße Markus From ae at ae-online.de Fri Mar 8 08:52:29 2024 From: ae at ae-online.de (Andreas Ernst) Date: Fri, 8 Mar 2024 08:52:29 +0100 Subject: TLS 1.3 und TSL 1.2 parallel anbieten In-Reply-To: <71a670eb-476c-442a-bcc4-08b5807e6b14@irmawi.de> References: <12396368.O9o76ZdvQC@stuttgart> <2320079.ElGaqSPkdT@stuttgart> <8928237e-f912-4e2d-aae7-2510837b7d39@effenberger.org> <71a670eb-476c-442a-bcc4-08b5807e6b14@irmawi.de> Message-ID: <394d6819-dd5e-4268-9f4e-6e96d22e151a@ae-online.de> Hi, Am 07.03.24 um 16:27 schrieb Markus Winkler via Postfixbuch-users: > On 07.03.24 15:29, Gerald Galster wrote: >>> openssl s_client -starttls smtp -connect $FQDN:25 -tls1_2 bzw. >>> -tls1_3 klappen >> >> Alternativ ist vielleicht auch testssl interessant, das überprüft >> verschiedene Kombinationen: https://testssl.sh/ > > Genau: Neben openssl s_client ... ist auch dieses Tool bei mir > regelmäßig im Einsatz für den schnellen Test auf der Konsole, kann ich > nur unterstreichen. > > Was ich ebenso hilfreich für solche Checks finde, ist diese Site (falls > nicht schon bekannt): > > https://cryptcheck.fr/ dann gebe ich auch noch einen aus meiner Sammlung mit: https://www.ssllabs.com/ Grüße Andreas -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae at ae-online.de | www.ae-online.de www.tachyon-online.de From usenet at schani.com Fri Mar 15 11:33:12 2024 From: usenet at schani.com (christian) Date: Fri, 15 Mar 2024 11:33:12 +0100 Subject: =?UTF-8?Q?RspamD_und_Spamassassin_m=C3=B6gliche_integration?= Message-ID: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> Hallo zusammen, ich würde mir gerne noch Spamassassin in meine RspamD Installation integrieren, da ich noch immer einige Spamwellen nicht abwehren kann. Ich lerne zwar die Statistic Funktion (BAYES_SPAM) an und passe auf das ich sie sauber halte, aber trotzdem sind die Ergebnisse nicht allzu gut. Die RspamD Funktionen schaffen schon sehr viel, aber trotzdem kommt immer noch einiges durch. Meist in Wellen die ich nur durch multimap und Badwords ausfiltern kann. Aber nach 3 Tagen kommt die nächste Welle. Finanz Emails, Japanische Küchenmesser, von verschiedenen Absendern, aus verschiedenen Ländern, teils nur mit verschiedenen Worten. Einfach schwierig zu greifen. Jetzt hab ich mich mit Spamassassin befasst und auch installiert. Dazu hab ich auch die zusätzlichen Filter von Heinlein und schaal-it installiert. Darauf kommt es mir an. Lokale deutschsprachige Filter. sa-update funktioniert. Die Einbindung an RspamD per external_services spamassassin { symbol = "SPAMD" type = "spamassassin"; servers = "127.0.0.1:783"; extended = false; } funktioniert aber nicht so ganz. Auch die Einbindung über spamassassin.conf ruleset = "/etc/spamassassin/local.cf"; base_ruleset = "/var/lib/spamassassin/4.000000/*.cf"; match_limit = 100k; bringt keinen Erfolg. Ich hab mir mal die SPAMD Logdatei angeschaut und stelle folgendes fest: Fri Mar 15 10:58:30 2024 [420891] info: spamd: result: . 0 - scantime=0.2,size=7613,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48658,mid=,autolearn=ham autolearn_force=no Fri Mar 15 10:58:35 2024 [420891] info: spamd: connection from localhost.localdomain [127.0.0.1]:48672 to port 783, fd 6 Fri Mar 15 10:58:35 2024 [420891] info: spamd: checking message <171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1> for root:109 Fri Mar 15 10:58:36 2024 [420891] info: spamd: clean message (0.0/5.0) for root:109 in 0.3 seconds, 51365 bytes. Fri Mar 15 10:58:36 2024 [420891] info: spamd: result: . 0 - scantime=0.3,size=51365,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48672,mid=<171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1>,autolearn=ham autolearn_force=no Spam Mails die ankommen, werden anscheinend geprüft, aber mit 0 bewertet und autolearn=ham wird aktiv. Aber die Ergebnisse werden nicht an RspamD weitergegeben. Normal sollten die Ergebnisse doch als SPAMD in den MailHeadern auftauchen. Aber da tut sich nichts. Auch die Einbindung über spamassassin.conf ändert nichts. Ich hab zwar dann natürlich keine Log Einträge über SPAMD, aber in den RspamD Logs (debug) taucht gar nichts auf. Woran könnte das liegen? Besten Dank für Hilfe Christian debian 12.5 postfix, dovecot, rspamd 3.8.4 SA local.cf use_bayes 1 bayes_auto_learn 1 bayes_file_mode 777 bayes_path /var/lib/spamassassin/bayes_db From Daniel at Mail24.vip Fri Mar 15 12:22:54 2024 From: Daniel at Mail24.vip (Daniel) Date: Fri, 15 Mar 2024 12:22:54 +0100 Subject: =?UTF-8?Q?AW:_RspamD_und_Spamassassin_m=C3=B6gl?= =?UTF-8?Q?iche_integration?= In-Reply-To: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> Message-ID: <002c01da76cb$1fbd9dd0$5f38d970$@Mail24.vip> Bei mir kommt Spam letzte Zeit eher von Microsoft und Gmail, wobei die Spammer nun wohl eigene Domains verwenden als Absender, so dass onmicrosoft.com blocken bzw. direkt als Spam zu flaggen nicht mehr greift. Kannst dir als DNSBL sonst noch Abusix anschauen die filtern noch einiges weg was Spamhaus noch nicht kennt. SA von Schaal IT habe ich rausgenommen da teils normale Newsletter extrem viele Punkte bekommen was man mit Bayes auch nur noch bedingt ausgleichen kann. Bin schon kurz davon alles von outbound.protection.outlook.com und gmail entsprechend per SA zumindest abzustrafen. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From usenet at schani.com Fri Mar 15 12:27:30 2024 From: usenet at schani.com (christian) Date: Fri, 15 Mar 2024 12:27:30 +0100 Subject: =?UTF-8?Q?Re=3A_RspamD_und_Spamassassin_m=C3=B6gliche_integration?= In-Reply-To: <002c01da76cb$1fbd9dd0$5f38d970$@Mail24.vip> References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> <002c01da76cb$1fbd9dd0$5f38d970$@Mail24.vip> Message-ID: Am 15.03.2024 um 12:22 schrieb Daniel via Postfixbuch-users: > Bei mir kommt Spam letzte Zeit eher von Microsoft und Gmail, wobei die Spammer nun wohl eigene Domains verwenden als Absender, so dass onmicrosoft.com blocken bzw. direkt als Spam zu flaggen nicht mehr greift. Ja ist bei mir auch so. > > Kannst dir als DNSBL sonst noch Abusix anschauen die filtern noch einiges weg was Spamhaus noch nicht kennt. > Mach ich gleich > SA von Schaal IT habe ich rausgenommen da teils normale Newsletter extrem viele Punkte bekommen was man mit Bayes auch nur noch bedingt ausgleichen kann. Ich muss es erst mal zu laufen bringen > > Bin schon kurz davon alles von outbound.protection.outlook.com und gmail entsprechend per SA zumindest abzustrafen. > > Gruß Daniel > Machst Du das auch mit RspamD? Wenn ja, wie hast Du SpamAssassin eingebunden? Besten Dank Christian From cr at ncxs.de Fri Mar 15 16:22:44 2024 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 15 Mar 2024 16:22:44 +0100 Subject: =?UTF-8?Q?Re=3A_RspamD_und_Spamassassin_m=C3=B6gliche_integration?= In-Reply-To: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> Message-ID: <4f397d0a-9ea3-4c4d-b27c-2d3471d89e7a@ncxs.de> Hallo Christian On 15.03.24 11:33, christian via Postfixbuch-users wrote: > Hallo zusammen, > ich würde mir gerne noch Spamassassin in meine RspamD Installation > integrieren, da ich noch immer einige Spamwellen nicht abwehren kann. > Ich lerne zwar die Statistic Funktion (BAYES_SPAM) an und passe auf das > ich sie sauber halte, aber trotzdem sind die Ergebnisse nicht allzu gut. > Die RspamD Funktionen schaffen schon sehr viel, aber trotzdem kommt > immer noch einiges durch. Meist in Wellen die ich nur durch multimap und > Badwords ausfiltern kann. Aber nach 3 Tagen kommt die nächste Welle. > Finanz Emails, Japanische Küchenmesser, von verschiedenen Absendern, aus > verschiedenen Ländern, teils nur mit verschiedenen Worten. Einfach > schwierig zu greifen. Bayes ist soweit kein Allheilmittel. Das Anlernen hilft oft, aber die Spammer sind ja auch nicht doof und ändern oft genug die Texte. Siehe Apotheken-Spam. Und je näher die Texte wirklichen Newslettern sind, desto weniger helfen statistische Funktionen. Schau dir mal Fuzzy an. Das matcht meiner Erfahrung nach viel besser. Natürlich könnte man jetzt wieder Regeln und Listen pflegen oder sich im Internet besorgen. Siehe Mailbaby. Oder die Heinlein / Schaal-IT SA Listen. Ich will sowas aber nicht mehr immerzu anfassen müssen. Was bei uns gut funktioniert, ist viele Indikatoren zusammen zu bekommen. Heißt aus allen Ecken gibt es ein paar Punkte und schon ist man über dem jeweiligen Level. Fuzzy, Bayes, Reputation, RBL, ClamAV Securiteinfo+Sanesecurity Razor, Pyzor, DCC dazu vielleicht ein paar Listen die Andere pflegen ;) Die SA Rules von Heinlein/Schaal-IT kannst du direkt in das Rspamd spamassassin rules Plugin rein packen. (Die offiziellen SA Rules funktionieren nicht so gut und ergeben ein Haufen Warnungen) Ich pflege eigentlich nur noch ganz wenige Listen selbst. Bei Spamhaus und Abusix wenn möglich auch die E-Mail/Hash/Bitcoin DBs einbinden. Wenn das alleine nicht reicht, suche ich mir typische Symbole der Mail aus dem Report und baue dafür eine Composite. > > Jetzt hab ich mich mit Spamassassin befasst und auch installiert. Dazu > hab ich auch die zusätzlichen Filter von Heinlein und schaal-it > installiert. Darauf kommt es mir an. Lokale deutschsprachige Filter. > sa-update funktioniert. > > > Die Einbindung an RspamD per external_services > > spamassassin { >     symbol = "SPAMD" >     type = "spamassassin"; >     servers = "127.0.0.1:783"; >     extended = false; > } > > funktioniert aber nicht so ganz. Auch die Einbindung über spamassassin.conf > >     ruleset = "/etc/spamassassin/local.cf"; >     base_ruleset = "/var/lib/spamassassin/4.000000/*.cf"; >     match_limit = 100k; Dein Match Limit ist für die offiziellen SA Rules viel zu klein. > > bringt keinen Erfolg. > > Ich hab mir mal die SPAMD Logdatei angeschaut und stelle folgendes fest: > > Fri Mar 15 10:58:30 2024 [420891] info: spamd: result: .  0 - > scantime=0.2,size=7613,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48658,mid=,autolearn=ham autolearn_force=no > Fri Mar 15 10:58:35 2024 [420891] info: spamd: connection from > localhost.localdomain [127.0.0.1]:48672 to port 783, fd 6 > Fri Mar 15 10:58:35 2024 [420891] info: spamd: checking message > <171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1> for root:109 > Fri Mar 15 10:58:36 2024 [420891] info: spamd: clean message (0.0/5.0) > for root:109 in 0.3 seconds, 51365 bytes. > Fri Mar 15 10:58:36 2024 [420891] info: spamd: result: .  0 - > scantime=0.3,size=51365,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48672,mid=<171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1>,autolearn=ham autolearn_force=no Was sagt denn SA wenn du den Spam direkt damit prüfst? spamassassin -D < spam.eml Sieht für mich so aus als ob Spamassassin soweit über nix meckert und die Mail normal gescannt wird. Ich betreibe SA wenn nur noch als Minimal-Install. Bayes aus, RBL aus, URIBL aus ... IX-Hash Plugin rein :) (IX-Hash für Rspamd hab ich als POC aber das läuft noch nicht rund) > > Spam Mails die ankommen, werden anscheinend geprüft, aber mit 0 bewertet > und autolearn=ham wird aktiv. Aber die Ergebnisse werden nicht an RspamD > weitergegeben. Normal sollten die Ergebnisse doch als SPAMD in den > MailHeadern auftauchen. Aber da tut sich nichts. Rspamd schreibt keine SPAMD Header und wertet das SA Ergebnis nur aus wenn es größer als 0 ist. > > Auch die Einbindung über spamassassin.conf ändert nichts. Ich hab zwar > dann natürlich keine Log Einträge über SPAMD, aber in den RspamD Logs > (debug) taucht gar nichts auf. > > Woran könnte das liegen? Besten Dank für Hilfe > Christian > > debian 12.5 postfix, dovecot, rspamd 3.8.4 > > SA local.cf > use_bayes 1 > bayes_auto_learn 1 > bayes_file_mode 777 > bayes_path /var/lib/spamassassin/bayes_db Viele Grüße Carsten From michael at linuxfox.de Fri Mar 15 12:24:59 2024 From: michael at linuxfox.de (Michael Grundmann) Date: Fri, 15 Mar 2024 12:24:59 +0100 Subject: =?UTF-8?Q?Re=3A_***_SPAM_***_RspamD_und_Spamassassin_m=C3=B6gliche_?= =?UTF-8?Q?integration?= In-Reply-To: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> Message-ID: Am 15.03.24 um 11:33 schrieb christian via Postfixbuch-users: Hi, > > Spam Mails die ankommen, werden anscheinend geprüft, aber mit 0 bewertet > und autolearn=ham wird aktiv. Aber die Ergebnisse werden nicht an RspamD > weitergegeben. Normal sollten die Ergebnisse doch als SPAMD in den > MailHeadern auftauchen. Aber da tut sich nichts. > > Auch die Einbindung über spamassassin.conf ändert nichts. Ich hab zwar > dann natürlich keine Log Einträge über SPAMD, aber in den RspamD Logs > (debug) taucht gar nichts auf. > > Woran könnte das liegen? Besten Dank für Hilfe > Christian > trainierst du den rspamd mit den Spammails? Vsevolod Stakhov hat dir doch schon auf der rspamd-Liste geantwortet, dass du dich besser auf rspamd konzentrieren sollst. -- Gruß Michael Wenn du verstehst, was du tust, wirst du nichts lernen From usenet at schani.com Sat Mar 16 13:47:34 2024 From: usenet at schani.com (christian) Date: Sat, 16 Mar 2024 13:47:34 +0100 Subject: =?UTF-8?Q?Re=3A_***_SPAM_***_RspamD_und_Spamassassin_m=C3=B6gliche_?= =?UTF-8?Q?integration?= In-Reply-To: References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> Message-ID: <819b0593-7eff-4806-b982-60fc30f348b6@schani.com> Hallo Michael, ich brauch immer etwas länger um zu antworten. Hab einiges um die Ohren. Am 15.03.2024 um 12:24 schrieb Michael Grundmann via Postfixbuch-users: > Am 15.03.24 um 11:33 schrieb christian via Postfixbuch-users: > > Hi, > >> >> Spam Mails die ankommen, werden anscheinend geprüft, aber mit 0 >> bewertet und autolearn=ham wird aktiv. Aber die Ergebnisse werden >> nicht an RspamD weitergegeben. Normal sollten die Ergebnisse doch als >> SPAMD in den MailHeadern auftauchen. Aber da tut sich nichts. >> >> Auch die Einbindung über spamassassin.conf ändert nichts. Ich hab zwar >> dann natürlich keine Log Einträge über SPAMD, aber in den RspamD Logs >> (debug) taucht gar nichts auf. >> >> Woran könnte das liegen? Besten Dank für Hilfe >> Christian >> > > trainierst du den rspamd mit den Spammails? Ja, andauernd. Ich versuche aber die Spam und Ham Mail immer ausgeglichen zu halten. > Vsevolod Stakhov hat dir doch schon auf der rspamd-Liste geantwortet, > dass du dich besser auf rspamd konzentrieren sollst. Ja, ich bereite gerade die Antwort vor. Will nur keinen Schmarn erzählen wenn der "Chef" selber dran ist. Christian From usenet at schani.com Sat Mar 16 18:46:49 2024 From: usenet at schani.com (christian) Date: Sat, 16 Mar 2024 18:46:49 +0100 Subject: =?UTF-8?Q?Re=3A_RspamD_und_Spamassassin_m=C3=B6gliche_integration?= In-Reply-To: <4f397d0a-9ea3-4c4d-b27c-2d3471d89e7a@ncxs.de> References: <325efed4-c3cb-4e75-b3d4-47d492acbba1@schani.com> <4f397d0a-9ea3-4c4d-b27c-2d3471d89e7a@ncxs.de> Message-ID: <0549eece-6a0c-4113-9ace-b48fd736fb21@schani.com> Hallo Carsten, Am 15.03.2024 um 16:22 schrieb Carsten Rosenberg via Postfixbuch-users: > Hallo Christian > > Schau dir mal Fuzzy an. Das matcht meiner Erfahrung nach viel besser. Verwendest Du eine eigene Lokale Fuzzy Datenbank oder nur die von rspamd.com? > > Die SA Rules von Heinlein/Schaal-IT kannst du direkt in das Rspamd > spamassassin rules Plugin rein packen. (Die offiziellen SA Rules > funktionieren nicht so gut und ergeben ein Haufen Warnungen) Wie bindest Du spamassassin denn ein? Über spamassassin.conf ruleset = "/etc/spamassassin/local.cf"; base_ruleset = "/var/lib/spamassassin/4.000000/*.cf"; match_limit = 100k; bzw. größer und dann use_bayes 0 bayes_auto_learn 0 > Ich betreibe SA wenn nur noch als Minimal-Install. Bayes aus, RBL aus, > URIBL aus ... > IX-Hash Plugin rein :) wie schaltet man die RBL und URIBL aus? Was ist das IX-Plugin ? OK ein SA Plugin - das werd ich mir sofort anschauen Werden dann automatisch die Filter von Heinlein und Schaal-it verwendet, oder muss ich da noch auf was achten? Gibt es denn keine Möglichkeit zu prüfen, das wenn eine Email eingeht, sie auch an SA übertragen wird und getestet wird. So kann man ja gar nicht erkennen ob ggfs funktioniert. > Ich pflege eigentlich nur noch ganz wenige Listen selbst. Ja, da will ich auch hin > Bei Spamhaus und Abusix wenn möglich auch die E-Mail/Hash/Bitcoin DBs > einbinden. Ja, das habe ich > Wenn das alleine nicht reicht, suche ich mir typische Symbole der Mail > aus dem Report und baue dafür eine Composite. Das muss ich mir noch anschauen > Rspamd schreibt keine SPAMD Header und wertet das SA Ergebnis nur aus > wenn es größer als 0 ist. Ok, das ist ein wichtiger Hinweis - Danke - Aber Schade Aber wie kann ich denn ein Ergebnis gewichten. Gibts dazu in RspamD ein Symbol? > Was sagt denn SA wenn du den Spam direkt damit prüfst? spamassassin -D > spam.eml Sieht für mich so aus als ob Spamassassin soweit über nix > meckert und die Mail normal gescannt wird. Naja, eine lange Liste der Überprüfung und dann noch: Mar 16 18:37:16.027 [869980] dbg: plugin: Mail::SpamAssassin::Plugin::MIMEHeader=HASH(0x55f65d2064c8) implements 'finish_tests', priority 0 Mar 16 18:37:16.027 [869980] dbg: plugin: Mail::SpamAssassin::Plugin::Check=HASH(0x55f65cb24488) implements 'finish_tests', priority 0 Mar 16 18:37:16.046 [869980] dbg: netset: cache trusted_networks hits/attempts: 10/12, 83.3 % Ich weis aber nicht ob er dann das Ergebnis an RspamD zurückgibt. Danke Dir für die Menge an guten Input. Christian From sebastian at debianfan.de Thu Mar 21 15:40:58 2024 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 21 Mar 2024 15:40:58 +0100 Subject: DKIM & Postfix Message-ID: Moin zusammen, auf einem System benötigt es Postfix nur zum senden von Mails - hier werden Logindaten für neue Accounts verschickt. Dummerweise braucht z.B. google mehr als nur einen FQDN - da scheint auch eine DKIM Signatur notwenig zu sein. [...] google überprüft bei Nachrichten, die an Gmail-Konten gesendet werden, ob sie authentifiziert wurden. Wir empfehlen, SPF, DKIM und DMARC für Ihre Domains einzurichten, um die E-Mail-Zustellbarkeit zu verbessern. Achten Sie darauf, dass Sie die in den Richtlinien für Absender beschriebenen Mindestanforderungen an die Authentifizierung erfüllen. Nachrichten, die nicht mit diesen Methoden authentifiziert wurden, werden möglicherweise als Spam markiert oder aufgrund des Fehlers 5.7.26 abgelehnt. [...] Wie kriege ich also DKIM & SPF bei einem "nur sendenden Postfix" hin - ohne rspamd & Dovecot? Gruß Sebastian From klaus at tachtler.net Thu Mar 21 15:45:14 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 21 Mar 2024 15:45:14 +0100 (GMT+01:00) Subject: DKIM & Postfix In-Reply-To: References: Message-ID: <37861220-400a-40a1-a486-9bddb07473ed@tachtler.net> Hallo Sebastian, OpenDKIM ist Dein Freund. Das habe ich mal für mich notiert: https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_opendkim_anbinden_opendkim-milter Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian--- via Postfixbuch-users An: Diskussionen und Support rund um Postfix Kopie: sebastian at debianfan.de Datum: 21.03.2024 15:41:38 Betreff: DKIM & Postfix > Moin zusammen, > > auf einem System benötigt es Postfix nur zum senden von Mails - hier werden Logindaten für neue Accounts verschickt. > > Dummerweise braucht z.B. google mehr als nur einen FQDN - da scheint auch eine DKIM Signatur notwenig zu sein. > > [...] > google überprüft bei Nachrichten, die an Gmail-Konten gesendet werden, ob sie authentifiziert wurden. Wir empfehlen, SPF, DKIM und DMARC für Ihre Domains einzurichten, um die E-Mail-Zustellbarkeit zu verbessern. Achten Sie darauf, dass Sie die in den Richtlinien für Absender beschriebenen Mindestanforderungen an die Authentifizierung erfüllen. Nachrichten, die nicht mit diesen Methoden authentifiziert wurden, werden möglicherweise als Spam markiert oder aufgrund des Fehlers 5.7.26 abgelehnt. > [...] > > Wie kriege ich also DKIM & SPF bei einem "nur sendenden Postfix" hin - ohne rspamd & Dovecot? > > > > Gruß > > Sebastian -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From Ralf.Hildebrandt at charite.de Thu Mar 21 15:55:04 2024 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 21 Mar 2024 15:55:04 +0100 Subject: [ext] DKIM & Postfix In-Reply-To: References: Message-ID: * sebastian--- via Postfixbuch-users : > Wie kriege ich also DKIM & SPF bei einem "nur sendenden Postfix" hin - ohne > rspamd & Dovecot? SPF: Entsprechenden DNS Eintrag machen DKIM: opendkim nutzen zum Signieren -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netz | Netzwerk-Administration Invalidenstraße 120/121 | D-10115 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From klaus at tachtler.net Thu Mar 21 16:00:36 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Thu, 21 Mar 2024 16:00:36 +0100 (GMT+01:00) Subject: DKIM & Postfix In-Reply-To: References: Message-ID: Hallo Sebastian, wg. SPF hatte ich vergessen Dir meine nachfolgenden Notizen zu senden: https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_spf_anbinden_spf-milter Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: sebastian--- via Postfixbuch-users An: Diskussionen und Support rund um Postfix Kopie: sebastian at debianfan.de Datum: 21.03.2024 15:41:38 Betreff: DKIM & Postfix > Moin zusammen, > > auf einem System benötigt es Postfix nur zum senden von Mails - hier werden Logindaten für neue Accounts verschickt. > > Dummerweise braucht z.B. google mehr als nur einen FQDN - da scheint auch eine DKIM Signatur notwenig zu sein. > > [...] > google überprüft bei Nachrichten, die an Gmail-Konten gesendet werden, ob sie authentifiziert wurden. Wir empfehlen, SPF, DKIM und DMARC für Ihre Domains einzurichten, um die E-Mail-Zustellbarkeit zu verbessern. Achten Sie darauf, dass Sie die in den Richtlinien für Absender beschriebenen Mindestanforderungen an die Authentifizierung erfüllen. Nachrichten, die nicht mit diesen Methoden authentifiziert wurden, werden möglicherweise als Spam markiert oder aufgrund des Fehlers 5.7.26 abgelehnt. > [...] > > Wie kriege ich also DKIM & SPF bei einem "nur sendenden Postfix" hin - ohne rspamd & Dovecot? > > > > Gruß > > Sebastian -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From list+postfixbuch at gcore.biz Thu Mar 21 16:47:07 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Thu, 21 Mar 2024 16:47:07 +0100 Subject: DKIM & Postfix In-Reply-To: References: Message-ID: <5A46EDB8-150F-4CDD-BCC7-78950C436310@gcore.biz> > auf einem System benötigt es Postfix nur zum senden von Mails - hier werden Logindaten für neue Accounts verschickt. > > Dummerweise braucht z.B. google mehr als nur einen FQDN - da scheint auch eine DKIM Signatur notwenig zu sein. Wenn Du weniger als 5000 E-Mails pro Tag an Gmail sendest reicht ein SPF-Eintrag (kein DKIM notwendig): https://support.google.com/a/answer/81126?hl=de#zippy=%2Canforderungen-an-alle-absender Viele Grüße Gerald From toag at izsr.de Thu Mar 21 19:31:03 2024 From: toag at izsr.de (Tim-Ole) Date: Thu, 21 Mar 2024 19:31:03 +0100 Subject: DKIM & Postfix In-Reply-To: <5A46EDB8-150F-4CDD-BCC7-78950C436310@gcore.biz> References: <5A46EDB8-150F-4CDD-BCC7-78950C436310@gcore.biz> Message-ID: <0F1F7DE2-8E09-4F44-91B1-0314450851B4@izsr.de> Moin, Gerald, >> auf einem System benötigt es Postfix nur zum senden von Mails - hier werden Logindaten für neue Accounts verschickt. >> Dummerweise braucht z.B. google mehr als nur einen FQDN - da scheint auch eine DKIM Signatur notwenig zu sein. > > Wenn Du weniger als 5000 E-Mails pro Tag an Gmail sendest reicht ein SPF-Eintrag (kein DKIM notwendig): > https://support.google.com/a/answer/81126?hl=de#zippy=%2Canforderungen-an-alle-absender interessant! Wir haben allerdings die Erfahrung gemacht bzw. es per Logs zurückgemeldet bekommen, dass Microsoft ebenso wie Gmail/Google und Web.de mitunter MXer ohne DKIM zurückweisen :\ Schöne Grüße Tim-Ole Alexander Golz From Daniel at Mail24.vip Thu Mar 21 21:30:57 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 21 Mar 2024 21:30:57 +0100 Subject: AW: DKIM & Postfix In-Reply-To: <0F1F7DE2-8E09-4F44-91B1-0314450851B4@izsr.de> References: <5A46EDB8-150F-4CDD-BCC7-78950C436310@gcore.biz> <0F1F7DE2-8E09-4F44-91B1-0314450851B4@izsr.de> Message-ID: <036a01da7bce$ae82fb70$0b88f250$@Mail24.vip> Auch Yahoo will es... https://powerdmarc.com/de/google-and-yahoo-email-authentication-requirements/ einfach nicht mehr ohne DKIM versenden wenn man Probleme eingrenzen möchte unabhängig von Mailmenge. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL :