listi.jpberlin.delisti.jpberlin.de/pipermail/postfixbuch-users/2007-April.txtFrom postfix-de at ml.rbfh.de Sun Apr 1 00:54:29 2007 From: postfix-de at ml.rbfh.de (Danijel Tasov) Date:

Christian Maier wrote:> Ich wrde meinem Kunden gern sagen, dass ein RFC diese Groschreibung> nicht zult. Ist RFC2822, Sektion 3.6.1 die richtige Antwort?> ...> The origination date field consists of the field name "Date"> followed by a date-time specification

Also:

RFC2822 1.2.2. Syntactic notation

This standard uses the Augmented Backus-Naur Form (ABNF) notation specified in [RFC2234] for the formal definitions of the syntax of messages. Characters will be specified either by a decimal value (e.g., the value %d65 for uppercase A and %d97 for lowercase A) or by a case-insensitive literal value enclosed in quotation marks (e.g., "A" for either uppercase or lowercase A). See [RFC2234] for the full description of the notation. [...] orig-date = "Date:" date-time CRLF

RFC2234:

Hence:

rulename = "abc"

and:

rulename = "aBc"

will match "abc", "Abc", "aBc", "abC", "ABc", "aBC", "AbC" and "ABC".

Also bin ich fuer case-insensitive.

Danijel Tasov -- I want to see people using Perl to glue things together creatively, notjust technically but also socially. -- Larry Wall in

Wir haben nach wie vor noch ein, bzw. sogar zwei Stellen zu besetzen.

Gesucht wird ein (Senior) Linux Security Consultant, wie man das wohl neumodisch nennen wrde :-).

*) > 5 Jahre Erfahrung, LPIC-1/2*) Eigenstndige Arbeitsweise und Kundenbetreuung*) Herausfordernde, abwechslungsreiche, anspruchsvolle Projekte*) Fr Beratung, Projektumsetzung und ggf. auch Training*) Ort Berlin, aber zu einem gewissen Teil auch bundesweite Einstze vor Ort

Mehr Informationen:

http://www.heinlein-support.de/web/heinlein/mitarbeiter-gesucht/linux-security-consultant/

Arbeitsbeginn: Sobald wie nur mglich.

Wir sind nach der CeBIT voll mit wirklich spannenden Auftrgen und suchen dringend verlliche Verstrkung.

Lieben Gru

Peer

-- Heinlein Professional Linux Support GmbHLinux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. 35a HGB:HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschftsfhrer: Peer Heinlein -- Sitz: Berlin

Hallo Allerseits,

ich bin neu hier in der Liste und hoffe, ich verstoe nicht gleich gegen irgend eine Listenordnung :-)

Ich habe 2 Mailserver mit Postfix am Laufen. Beide identischeingerichtet (Mit Amavis und Co). Der erste MX liefert mittels maildropin Courier-IMAP Mailboxen aus, der 2te MX macht immer ein SMTP Connectzum 1ten MX und liefert dort ber Submission mit X509 Zertifikat seineMails ein. Sowei klappt das alles wunderbar.

Nun habe ich auf der einen Seite eine Redundanz bzgl. SMTP, aber wiekann ich z.B. jetzt den IMAP auch replizieren?

Die Frage zielt darauf ab, ob Postfix mittels irgend einemTransport-Trick oder Maildrop oder sonst irgendwie die Mails immer auchan den 2ten MX senden knnte. In diesem Falle wrde ich nmlich den SMTPvon MX2 nach MX1 auflsen und beide Mailserver mssten immer ihre Mailssowohl per Maildrop lokal einliefern als auch dann per SMTP dem andernirgendwie zustellen (Was natrlich eine Loop produzieren knnte).

Gibt es da irgend ein gngiges Verfahren? Wie machen das denn andere ISPs?

Fr eine gedankliche Anregung wre ich sehr dankbar.

GreChristian

-- Tel.: 0641-2097252, Mobil: 0171-3611230PGP: http://www.roessner-net.com/0x6B929997.asc

-------------- nchster Teil --------------Ein Dateianhang mit Binrdaten wurde abgetrennt...Dateiname : smime.p7sDateityp : application/x-pkcs7-signatureDateigre : 3273 bytesBeschreibung: S/MIME Cryptographic SignatureURL :

Hallo,

ich habe mal bei

http://www.postfix.org/RESTRICTION_CLASS_README.html

gegraben.

Soweit ist mir das System klar.

Aaaaber:

/etc/postfix/recipient_access: joe at my.domainpermissive jane at my.domainrestrictive

Ich msste ja dort jede Mailadresse angeben, welche den Server erreicht.Was passiert aber mit denen, welche nicht dort angegeben sind ?Was passiert mit den "Catch All" Domains?

gru

Sebastian

* Sebastian Deiszner :> Hallo,> > ich habe mal bei> > http://www.postfix.org/RESTRICTION_CLASS_README.html> > gegraben.> > Soweit ist mir das System klar.> > Aaaaber:> > /etc/postfix/recipient_access:> joe at my.domainpermissive> jane at my.domainrestrictive> > Ich msste ja dort jede Mailadresse angeben, welche den Server erreicht.> Was passiert aber mit denen, welche nicht dort angegeben sind ?

Dann greift die naechste Restriction nach der die/etc/postfix/recipient_access abfragt.

> Was passiert mit den "Catch All" Domains?

Genau das, was Du in /etc/postfix/recipient_access eintraegst.

-- Ralf Hildebrandt (Ralf.Hildebrandt at charite.de) plonk at charite.dePostfix - Einrichtung, Betrieb und Wartung Tel. +49 (0)30-450 570-155http://www.arschkrebs.deWhat goes up, must come down. Ask any system administrator.

Ralf Hildebrandt schrieb:>> Ich msste ja dort jede Mailadresse angeben, welche den Server erreicht.>> Was passiert aber mit denen, welche nicht dort angegeben sind ?> > Dann greift die naechste Restriction nach der die> /etc/postfix/recipient_access abfragt.

Wie - die nchste ?Fallen dann die restriction classes raus - nach dem Motti "steht nicht drin - also berspringen wir diese" ?Damit wrde ich ja meinen Spamschutz fr catch all vllig aushebeln :-(

>> Was passiert mit den "Catch All" Domains?> > Genau das, was Du in /etc/postfix/recipient_access eintraegst.

die Mailadresse steht ja nicht drin - woher bezieht er dann die Anweisungen ?

Christian Roessner wrote:> Nun habe ich auf der einen Seite eine Redundanz bzgl. SMTP, aber wie> kann ich z.B. jetzt den IMAP auch replizieren?

Wenn du den Mailstatus (gelesen/ungelesen/gelscht/...)auch replizieren willst, dann sollte es eigentlich mit rsyncfunktionieren.

Es gibt auch spezielle Skripte dafr, imapsync(http://www.linux-france.org/prj/imapsync/dist) fand ich(bei einem kleinen Einsatz) ganz brauchbar, es gibt aberauch viele andere.







Am Sonntag, 1. April 2007 20:08 schrieb Sebastian Deiszner:

> > Dann greift die naechste Restriction nach der die> > /etc/postfix/recipient_access abfragt.>> Wie - die nchste ?

Postfix geht die Restriction von oben nach unten durch. Liefert ein Baustein dieser Restriction keine Antwort, so wird normal weiter die Restriction-Kette abgearbeitet (= "DUNNO").

> Fallen dann die restriction classes raus - nach dem Motti "steht nicht> drin - also berspringen wir diese" ?

"berspringen" kann eh keine Rede sein, da Restriction-Classes nicht "zwischengeschoben" werden. Wenn Du in eine Restriction-Classe abzweigst, dann geht's von dort nicht mehr zurck.

> Damit wrde ich ja meinen Spamschutz fr catch all vllig aushebeln :-(

N. Es wrde das kommen, was ganz normal weiter in der smtpd_recipient_restriction danach folgt. Und da kannst Du ja bringen, was Du willst.

In Deinem Fall bruchtest Du nur eine Restriction-Klasse, nicht zwei!

a) Die normale smtpd_recipient_restriction -- kannste Dir jetzt aussuchen, ob Du da das reinpacken willst, was Du restrictive oder permissive genannt hast.

b) Und in dieser Restriction dann an passender Stelle *EIN* Abzweig in die andere Restriction, also entsprechend das Gegenstck permissive, bzw. restrictive. Je nachdem.

Peer




Am Sonntag, 1. April 2007 17:49 schrieb Christian Roessner:

> Die Frage zielt darauf ab, ob Postfix mittels irgend einem> Transport-Trick oder Maildrop oder sonst irgendwie die Mails immer auch> an den 2ten MX senden knnte. In diesem Falle wrde ich nmlich den

Knntest Du. Aber willst Du nicht.

Denn wenn ein User dann Mails herauslscht, so wrde sich das auf den anderen Server nicht bertragen.

> Gibt es da irgend ein gngiges Verfahren? Wie machen das denn andere> ISPs?

Gerade wenn Du Courier benutzt, kannst Du einfach auf Dateiebene replizieren:

a) Alle paar Minuten mittels rsync alles rberziehen

b) DRBD aufsetzen und beide stets parallel betreiben.

Peer




Hallo,

ich habe den Spie umgedreht.

Ich definiere eine restriction class - "streng".Alle adressen, welche nicht in der receipient_access drinstehen werden nur 'einfach' geprft.

Das Problem ist nun, dass ich zwar empfangen kann - aber senden kann ich trotz sasl-Authentifikation nicht mehr :-(

Wo liegt der Fehler ?

Gru

Sebastian

smtpd_restriction_classes = streng

streng = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,reject_non_fqdn_recipient, reject_non_fqdn_recipient,reject_unlisted_recipient,reject_invalid_hostname,reject_non_fqdn_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_unauth_pipelining, reject_rbl_client bl.spamcop.net, check_client_access pcre:/etc/postfix/dynip,reject_rbl_client bl.spamcop.net,reject_rbl_client list.dsbl.org,check_sender_access hash:/etc/postfix/access,reject_rbl_client zen.spamhaus.org, reject_rhsbl_sender dsn.rfc-ignorant.org,reject_rbl_client pl.countries.nerd.dk,reject_rbl_client bhnc.njabl.org, reject_rbl_client combined.njabl.org, reject_rhsbl_client blackhole.securitysage.com, reject_rhsbl_sender blackhole.securitysage.com, reject_rbl_client se.countries.nerd.dk, reject_rbl_client jp.countries.nerd.dk, reject_rbl_client ru.countries.nerd.dk, reject_rbl_client kr.countries.nerd.dk, reject_rbl_client pl.countries.nerd.dk, reject_rbl_client gr.countries.nerd.dk, reject_rbl_client be.countries.nerd.dk, reject_rbl_client cz.countries.nerd.dk,reject_rbl_client fr.countries.nerd.dk,reject_rbl_client sk.countries.nerd.dk,reject_rbl_client it.countries.nerd.dk,

smtpd_recipient_restrictions =permit_mynetworks,permit_sasl_authenticated,check_recipient_access hash:/etc/postfix/recipient_access

Am Sonntag, 1. April 2007 23:58 schrieb Sebastian Deiszner:

> Das Problem ist nun, dass ich zwar empfangen kann - aber senden kann> ich trotz sasl-Authentifikation nicht mehr :-(

Kann so laut der zitierten Zeilen nicht sein.

Bitte

a) Vollstndige Logs (postconf -n)b) Logzeilen

Woraus schliet Du, da es nicht mehr geht?

> Wo liegt der Fehler ?

Nicht in dem, was Du geschickt hast.

> smtpd_recipient_restrictions => permit_mynetworks,> permit_sasl_authenticated,

Hier *WIRD* erlaubt wenn der Nutzer authentifiziert ist. Das hat mit den Restriction-Classes nix zu tun, denn:

> check_recipient_access hash:/etc/postfix/recipient_access

Die kmen eben erst danach.

Peer




Hallo,

Am Samstag, 31. Mrz 2007 13:09 schrieb Andreas Meyer:> Manfred Rebentisch schrieb:>> Hast Du eine Header-Zeile hnlich dieser in einer mail?> X-Sieve: cmu-sieve 2.0>ja, in den Mails steht immer diese Zeile.Ich habe auch die sieve-Meldungen im Logfile gefunden; waren im message log und nicht in den mail-files.

Aber es scheint so, als ob die sievescripte einfach vollstndig wirkungslos sind. Weder Fehler noch Erfolg.

Auf meinem Debian Server, wo das alles funktioniert, sieht die Meldung im Logfile so aus:

duplicate_mark: .mareb+.sieve. 1175421155

Auf dem SLES-10-Server mit cyrus-imapd-2.2.12-27.6 sieht eine sieve-Zeile so aus:

duplicate_mark: .asterix+ at .sieve. 1175457087 0

Also ein '@'-Zeichen mehr und am Ende steht noch eine 0 mehr oder eine andere Zahl.

Ich werde in den nchsten Tagen versuchen, mehr herauszufinden.

Manfred

* Sebastian Deiszner :> Hallo,> > ich habe den Spie umgedreht.> > Ich definiere eine restriction class - "streng".> Alle adressen, welche nicht in der receipient_access drinstehen werden > nur 'einfach' geprft.> > Das Problem ist nun, dass ich zwar empfangen kann - aber senden kann ich > trotz sasl-Authentifikation nicht mehr :-(> > Wo liegt der Fehler ?> > Gru> > Sebastian> > smtpd_restriction_classes = streng> > streng = permit_mynetworks,> permit_sasl_authenticated,> reject_unauth_destination,

Die drei oben sind berflssig.

> reject_non_fqdn_recipient,> reject_non_fqdn_recipient,> reject_unlisted_recipient,> reject_invalid_hostname,> reject_non_fqdn_hostname,> reject_unknown_sender_domain,> reject_unknown_recipient_domain,> reject_non_fqdn_sender,> reject_unauth_pipelining,> reject_rbl_client bl.spamcop.net,> check_client_access pcre:/etc/postfix/dynip,> reject_rbl_client bl.spamcop.net,> reject_rbl_client list.dsbl.org,> check_sender_access hash:/etc/postfix/access,> reject_rbl_client zen.spamhaus.org,> reject_rhsbl_sender dsn.rfc-ignorant.org,> reject_rbl_client pl.countries.nerd.dk,> reject_rbl_client bhnc.njabl.org,> reject_rbl_client combined.njabl.org,> reject_rhsbl_client blackhole.securitysage.com,> reject_rhsbl_sender blackhole.securitysage.com,> reject_rbl_client se.countries.nerd.dk,> reject_rbl_client jp.countries.nerd.dk,> reject_rbl_client ru.countries.nerd.dk,> reject_rbl_client kr.countries.nerd.dk,> reject_rbl_client pl.countries.nerd.dk,> reject_rbl_client gr.countries.nerd.dk,> reject_rbl_client be.countries.nerd.dk,> reject_rbl_client cz.countries.nerd.dk,> reject_rbl_client fr.countries.nerd.dk,> reject_rbl_client sk.countries.nerd.dk,> reject_rbl_client it.countries.nerd.dk,> > smtpd_recipient_restrictions => permit_mynetworks,> permit_sasl_authenticated,

Hier fehlt reject_unauth_destination.

> check_recipient_access hash:/etc/postfix/recipient_access

Wo ist das Log?

-- Ralf Hildebrandt (Ralf.Hildebrandt at charite.de) plonk at charite.dePostfix - Einrichtung, Betrieb und Wartung Tel. +49 (0)30-450 570-155http://www.arschkrebs.de"It's 806 miles to Chicago, we've got a full tank of coffee, half afsckload of Y2K crap, it's dark, and we're wearing sunglasses." "Hit it".

Sebastian Deiszner schrieb:> Hallo,> > wenn mehrer Domains auf dem Server laufen - gibt es ein Programm mit > welchem ich filtern kann, welche Domain wieviele Mails von welcher > Adresse bekommen hat, welche Mailadresse oft bespammt wurde, welcher > Filter reagiert hat, wieviele Mails z.B. an nicht existente Adressen der > Domain gingen usw.....> > Pflogsumm macht ja nur "summierte" Ausgaben ber alles.

Evtl. willst du dir hierfr auch syslog-ng hernehmen, da knnte man afaik schon mehr "vorfiltern", wahrscheinlich kommst du aber nicht drumherum dieses dann noch mit einem eigenen Script (und ein paar vmtl. "hsslichen" regular expressions ;-) ) weiter aufzubereiten.

Es sei denn jemand anderes kennt ein Tool das das macht ...

Auf den CLT 2007 fand ich den Vortrag [1] (Level: Einstieg) dazu ganz interessant .

> gru> > Sebastian

hthMH

[1] http://fara.cs.uni-potsdam.de/~mschuett/uplug/Syslog_CLT_070304.pdf

Manfred Rebentisch wrote:> Hallo,> > Am Samstag, 31. Mrz 2007 13:09 schrieb Andreas Meyer:>> Manfred Rebentisch schrieb:>>>> Hast Du eine Header-Zeile hnlich dieser in einer mail?>> X-Sieve: cmu-sieve 2.0>>> ja, in den Mails steht immer diese Zeile.> Ich habe auch die sieve-Meldungen im Logfile gefunden; waren im message log > und nicht in den mail-files.> > Aber es scheint so, als ob die sievescripte einfach vollstndig wirkungslos > sind. Weder Fehler noch Erfolg.

Wie sieht denn das Sievescript aus? Da ansonsten alles zu funktionierenscheint, wird es wohl am Script liegen.

-- Sandy

Antworten bitte nur in die Mailingliste!PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Hallo,

erstmal schon recht herzlichen Dank fr die Antworten!

> > Gerade wenn Du Courier benutzt, kannst Du einfach auf Dateiebene > replizieren:> > a) Alle paar Minuten mittels rsync alles rberziehen

Ich hatte hier auch an rsync gedacht. Aber eine Frage: wenn man jetztz.B. bis zu 500 Accounts auf einem Server fhrt, ist dann rsync nicht zulangsam?

> > b) DRBD aufsetzen und beide stets parallel betreiben.

Ich habe mir das mal angeschaut. Das Problem ist, dass ein Server inFrankfurt und einer 100km weiter entfernt steht. Ich wei nicht, ob daein geclustertes Blockdevice wirklich machbar wre.

Da es hier ja scheinbar nur recht eigenartige Lsungsmglichkeiten gibt,frage ich mich natrlich, ob man normalerweise einen IMAP gar nichtredundant auslegt.

Kennt jemand dovecot-imapd? Vielleicht sollte ich den Courier danneinfach kicken?

GruChristian



Sebastian Deiszner schrieb:> smtpd_recipient_restrictions => permit_mynetworks,> permit_sasl_authenticated,> check_recipient_access hash:/etc/postfix/recipient_access

Problemlsung:

smtpd_recipient_restrictions = permit_mynetworkspermit_sasl_authenticatedreject_unauth_destinationcheck_recipient_access hash:/etc/postfix/recipient_access

Ich hatte reject_unauth_destination vergessen, Kommas gesetzt und zudem noch Leerzeichen vor smtpd_recipient_restrictions gesetzt.

Dank nochmal an Peer und vor allem Ralf fr das 30 mintige Mail-PingPong :-)

Nochmal Hallo,

ich denke, ich werde die Frage erst noch einmal zurckziehen. Problembei 100km Abstand der beiden Server ist einfach, dass ein MUA entwedermit dem einen oder dem anderen Server verbunden sein kann, dortnderungen durchfhrt, die beiden Server selbst aber vielleicht geradeaus technischen Strungen heraus nicht miteinander kommunizieren knnen.

Ich hatte noch an dbmail gedacht oder an ein FUSE-mysqlfs, weil ichsowieso einen MySQL Server mit einem Slave-Thread am Laufen habe; aberaus oben genannten Grnden ist das nicht sicher.

Ein Ansatz ist nun, rsync und eine sehr kurze TTL im Nameserver fr denIMAP-Server. Wrde dann der "Primr"-IMAP ausfallen, so knnte manzumindest kurzerhand den DNS-Rekord auf den zweiten Server zeigen lassen.

Falls noch jemand anders hierzu etwas Besseres einfllt, ... :-)

GreChristian

Christian Roessner schrieb:-- Tel.: 0641-2097252, Mobil: 0171-3611230PGP: http://www.roessner-net.com/0x6B929997.asc

> Hallo,> > erstmal schon recht herzlichen Dank fr die Antworten!> >> Gerade wenn Du Courier benutzt, kannst Du einfach auf Dateiebene >> replizieren:>>>> a) Alle paar Minuten mittels rsync alles rberziehen> > Ich hatte hier auch an rsync gedacht. Aber eine Frage: wenn man jetzt> z.B. bis zu 500 Accounts auf einem Server fhrt, ist dann rsync nicht zu> langsam?> >> b) DRBD aufsetzen und beide stets parallel betreiben.> > Ich habe mir das mal angeschaut. Das Problem ist, dass ein Server in> Frankfurt und einer 100km weiter entfernt steht. Ich wei nicht, ob da> ein geclustertes Blockdevice wirklich machbar wre.> > Da es hier ja scheinbar nur recht eigenartige Lsungsmglichkeiten gibt,> frage ich mich natrlich, ob man normalerweise einen IMAP gar nicht> redundant auslegt.> > Kennt jemand dovecot-imapd? Vielleicht sollte ich den Courier dann> einfach kicken?> > Gru> Christian> >


Hallo Liste,

bekomme bei einer auszuliefernden mail folgende eintrge ins log:warning: non-ESMTP response from mail.example.com[192.168.1.1]:25: 550 Hier ist das Mailverwaltungsprogramm von xxxxx. Zur Sicherheit unserer Kunden vwarning: to prevent loss of mail, turn off command pipelining for 192.168.1.1 with the smtp_discard_ehlo_keyword_address_maps parameter

nun habe ich bereits den eintrag smtp_discard_ehlo_keyword_address_maps = hash:/etc/postfix/smtp_discard_ehlo und die dateismtp_discard_ehlo mit inhalt "192.168.1.1 pipelining" erzeugt und die konfiguration aktualisiert.

dennoch liefert postfix nicht aus - es erscheint folgendes im log

to=, relay=mail.example.com[192.168.1.1]:25, delay=1353, delays=1322/0.14/0.4/30, dsn=4.4.2, status=deferred (lost connection with mail.example.com[192.168.1.1] while sending RCPT TO)

hat jemand von euch nen tipp fr mich

GruKarsten

Karsten Krmer wrote:> Hallo Liste,> > bekomme bei einer auszuliefernden mail folgende eintrge ins log:> warning: non-ESMTP response from mail.example.com[192.168.1.1]:25: 550 > Hier ist das Mailverwaltungsprogramm von xxxxx. Zur Sicherheit unserer > Kunden v> warning: to prevent loss of mail, turn off command pipelining for > 192.168.1.1 with the smtp_discard_ehlo_keyword_address_maps parameter> > nun habe ich bereits den eintrag smtp_discard_ehlo_keyword_address_maps > = hash:/etc/postfix/smtp_discard_ehlo und die datei> smtp_discard_ehlo mit inhalt "192.168.1.1 pipelining" erzeugt > und die konfiguration aktualisiert.> > dennoch liefert postfix nicht aus - es erscheint folgendes im log> > to=, relay=mail.example.com[192.168.1.1]:25, > delay=1353, delays=1322/0.14/0.4/30, dsn=4.4.2, status=deferred (lost > connection with mail.example.com[192.168.1.1] while sending RCPT TO)

Der remote Mailserver kappt die Verbindung. Wenn er bereits mit 55x aufdas connect von deinem Server reagiert, dann wirst du mit beliebigenParametern nicht weiterkommen.Fr mich sieht das so aus, als ob der remote Server deine IP ablehnt. Dajedoch nur Stcke des Logs sichtbar sind, wrde ich mal per Telnet auf denRemote-Server gehen und schauen, was er wann genau meldet.

-- Sandy


Am 2. und 3. Juli steigt nach einem Jahr Pause die nunmehr 3. Mailserver-Konferenz, diesmal in Berlin.

Jetzt schonmal Urlaub, Termine und Budget planen:

http://www.heinlein-support.de/web/akademie/mailserver-konferenz-2007/

Oder sich am Call-for-Papers beteiligen, denn wir suchen noch interessante Vortragende und Vortragsthemen:

http://www.heinlein-support.de/web/akademie/mailserver-konferenz-2007/mk07-call-for-papers/

Liebe Gre

Peer Heinlein


http://www.heinlein-support.deTel: 030 / 40 50 51 - 0 *** Fax: - 19

Zwangsangaben lt. 35a GmbHG:HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschftsfhrer: Peer Heinlein -- Sitz: Berlin

Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "PeerHeinlein " gesandt. Wir weisen daraufhin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifelan der Authentizitt des Absenders haben, ignorieren Sie diese E-Mailbitte. ------------------------------------------------------------------------Zur allgemeinen Kenntnisnahme.

Lieben Gru

Peer------------------------------------------------------------------------

02.04.2007 22:56

Postfix 2.4 erschienen

Das Postfix-Projekt[1] hat heute die Version 2.4 des bekannten MailTransfer Agents (MTA) offiziell freigegeben[2].

Die wichtigste Neuerung ist, dass Postfix nunmehr ohne spezielleCompiler-Optionen oder Anpassungen in den Quellen besser skalieren undmehrere tausend Verbindungen gleichzeitig abarbeiten knnen soll. Dasdazu ntige Event-Notification-System, unter Linux "epoll", bei Solaris/dev/poll und "kqueue" unter BSD, ist seit Jahren in denBetriebssystemkernen enthalten und auf den meistenProzessorarchitekturen standardmig aktiviert, so dass praktisch keinemanuellen Eingriffe mehr erforderlich sind, um Postfix auch auf groenMail-Server einzusetzen.

Das Postfix-Release war bereits Mitte letzter Woche fertig, dieoffizielle Ankndigung erfolgte jedoch erst heute ? Projekt-InitiatorWietse Zweitze Venema war zwischenzeitlich unterwegs, wie er in seinemAnnouncement entschuldigend angab.

(mid[3]/c't)

URL dieses Artikels: http://www.heise.de/newsticker/meldung/87772

Links in diesem Artikel: [1] http://www.postfix.org [2] http://archives.neohapsis.com/archives/postfix/2007-04/0062.html [3] mailto:mid at ct.heise.de

------------------------------------------------------------------------Copyright 2007 Heise Zeitschriften Verlag

>Karsten Krmer wrote: >> Hallo Liste, >> >> bekomme bei einer auszuliefernden mail folgende eintrge ins log: >> warning: non-ESMTP response from mail.example.com[192.168.1.1]:25: >> 550 Hier ist das Mailverwaltungsprogramm von xxxxx. Zur Sicherheit >> unserer Kunden v >> warning: to prevent loss of mail, turn off command pipelining for >> 192.168.1.1 with the smtp_discard_ehlo_keyword_address_maps parameter >> >> nun habe ich bereits den eintrag >> smtp_discard_ehlo_keyword_address_maps >> = hash:/etc/postfix/smtp_discard_ehlo und die datei >> smtp_discard_ehlo mit inhalt "192.168.1.1 pipelining" erzeugt >> und die konfiguration aktualisiert. >> >> dennoch liefert postfix nicht aus - es erscheint folgendes im log >> >> to=, relay=mail.example.com[192.168.1.1]:25, >> delay=1353, delays=1322/0.14/0.4/30, dsn=4.4.2, status=deferred (lost >> connection with mail.example.com[192.168.1.1] while sending RCPT TO) > >Der remote Mailserver kappt die Verbindung. Wenn er bereits mit 55x auf das connect von deinem Server reagiert, dann wirst du mit beliebigen Parametern nicht weiterkommen. >Fr mich sieht das so aus, als ob der remote Server deine IP ablehnt. Da jedoch nur Stcke des Logs sichtbar sind, wrde ich mal per Telnet auf den Remote-Server gehen und schauen, was er wann genau meldet. > > >-- >Sandy > >Antworten bitte nur in die Mailingliste! >PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com > >-- >_______________________________________________ >Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH > >Postfixbuch-users at listi.jpberlin.de >http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

also ein telnet brachte das Ergebnis, dass der empfnger-mailserver glaubte, unser sender-mailserver bese eine einwahl-ip und msse emails abweisen ...

erst einmal vielen Dank fr die AntwortGruKarsten

Habe mich schon gewundert, wie mein Laptop (unter grml 0.9) vor ein paarTagen dazu kam,http://ftp.de.debian.org/debian/pool/main/p/postfix/postfix_2.4.0-2_i386.debzu installieren... ;-)

Just my 2cWerner

> 02.04.2007 22:56> > Postfix 2.4 erschienen> > Das Postfix-Projekt[1] hat heute die Version 2.4 des bekannten Mail> Transfer Agents (MTA) offiziell freigegeben[2].

Hallo zusammen!

Normalerweise lese ich Kommentare nur im Ausnahmefall (i.d.R. nicht sind die nie hilfreich). Aber diese sind klasse:http://www.golem.de/0704/51484.html

Gre, Olli

Am Montag, 2. April 2007 23:15 schrieb Peer Heinlein:> Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "Peer> Heinlein " gesandt. Wir weisen darauf> hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel> an der Authentizitt des Absenders haben, ignorieren Sie diese E-Mail> bitte. > ------------------------------------------------------------------------> Zur allgemeinen Kenntnisnahme.> > Lieben Gru> > Peer> ------------------------------------------------------------------------

Hallo zusammen,

ein kleines Problem:Wir haben einen Mail-Server (postfix), an dem natrlich Clients hngen. Die Clients verschicken mails und empfangen welche. Naja, ganz normal eben.Auf dem mail-Server habe ich ein Relay angegeben. Dieses Relay liegt in einem weiterem lokalen Netz und benutzt ebenfalls Postfix. Mit Hilfe der Access-Restrictions knnen nur bestimmte Absender-Adressen dieses Relay benutzen.

Jetzt ist es so, das von draussen jemand mit z.B. "telnet ip-Nummer 25" und mit Benutzung einer bestimmten E-mail-Absender-Adresse und Empfnger-Adresse diese Relay benutzt. Ist ja auch ansich richtig so.

Frage:Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz dieses Relay benutzen drfen. Das mu doch mglich sein? oder?

Ich hoffe, dass ich das Problem einigermaen gut beschrieben habe.

mfg

Thomas

Hallo Thomas,

muss das Relay auch auf einer ffentlichen IP lauschen? Sonst knntestDu es doch einfach an ein internes Device binden.

inet_interfaces = 192.168.x.y (interne IP eben)

GruChristian

Thomas Wiegmann schrieb:> Hallo zusammen,> > ein kleines Problem:> Wir haben einen Mail-Server (postfix), an dem natrlich Clients hngen. > Die Clients verschicken mails und empfangen welche. Naja, ganz normal eben.> Auf dem mail-Server habe ich ein Relay angegeben. Dieses Relay liegt in > einem weiterem lokalen Netz und benutzt ebenfalls Postfix. Mit Hilfe der > Access-Restrictions knnen nur bestimmte Absender-Adressen dieses Relay > benutzen.> > Jetzt ist es so, das von draussen jemand mit z.B. "telnet ip-Nummer 25" > und mit Benutzung einer bestimmten E-mail-Absender-Adresse und > Empfnger-Adresse diese Relay benutzt. Ist ja auch ansich richtig so.> > Frage:> Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz > dieses Relay benutzen drfen. Das mu doch mglich sein? oder?> > Ich hoffe, dass ich das Problem einigermaen gut beschrieben habe.> > mfg> > Thomas



Hallo,

Thomas Wiegmann wrote:> Frage:> Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz > dieses Relay benutzen drfen. Das mu doch mglich sein? oder?

Ja. :)

In meiner main.cf steht z.B.:

mynetworks = 10.0.0.0/8, 127.0.0.0/8

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination,[...]

Alle Clients aus mynetworks drfen senden, ebenso alle, die sich perSASL erfolgreich anmelden. Dritte Zeile verhindert ein offenes Relay -alle die nicht durch die ersten beiden Zeilen schon akzeptiert wurden,drfen nicht relayen.

Viele Gre,Philipp

Thomas Wiegmann schrieb:> Hallo zusammen,> > ein kleines Problem:> Wir haben einen Mail-Server (postfix), an dem natrlich Clients hngen. > Die Clients verschicken mails und empfangen welche. Naja, ganz normal eben.> Auf dem mail-Server habe ich ein Relay angegeben. Dieses Relay liegt in > einem weiterem lokalen Netz und benutzt ebenfalls Postfix. Mit Hilfe der > Access-Restrictions knnen nur bestimmte Absender-Adressen dieses Relay > benutzen.> > Jetzt ist es so, das von draussen jemand mit z.B. "telnet ip-Nummer 25" > und mit Benutzung einer bestimmten E-mail-Absender-Adresse und > Empfnger-Adresse diese Relay benutzt. Ist ja auch ansich richtig so.> > Frage:> Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz > dieses Relay benutzen drfen. Das mu doch mglich sein? oder?> > Ich hoffe, dass ich das Problem einigermaen gut beschrieben habe.

in main.cf:

http://www.postfix.org/postconf.5.html#mynetworksz.B.> mynetworks = 192.168.1.0./24

und an der richtigen Stelle dann nachher:> permit_mynetworks,...

> > mfg> > Thomas

hthMH

Thomas Wiegmann schrieb:> Hallo zusammen,> > ein kleines Problem:> Wir haben einen Mail-Server (postfix), an dem natrlich Clients hngen. > Die Clients verschicken mails und empfangen welche. Naja, ganz normal eben.> Auf dem mail-Server habe ich ein Relay angegeben. Dieses Relay liegt in > einem weiterem lokalen Netz und benutzt ebenfalls Postfix. Mit Hilfe der > Access-Restrictions knnen nur bestimmte Absender-Adressen dieses Relay > benutzen.> > Jetzt ist es so, das von draussen jemand mit z.B. "telnet ip-Nummer 25" > und mit Benutzung einer bestimmten E-mail-Absender-Adresse und > Empfnger-Adresse diese Relay benutzt. Ist ja auch ansich richtig so.

Fr das gibt es:permit_sasl_authenticated

also mynetworks zulassen (die Clients vom internen Netz) und alles andere (was relayen will) soll sich geflligst ordentlich authentifizieren ...

> > Frage:> Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz > dieses Relay benutzen drfen. Das mu doch mglich sein? oder?> > Ich hoffe, dass ich das Problem einigermaen gut beschrieben habe.> > mfg> > Thomas

Am Montag, 2. April 2007 10:33 schrieb Sandy Drobic:

> Wie sieht denn das Sievescript aus? Da ansonsten alles zu funktionieren> scheint, wird es wohl am Script liegen.>

So, jetzt hatte ich Zeit, noch mal mit freiem Kopf daran zu gehen. Ich habe es herausgefunden: eine Regel am Anfang des Scripts war immer TRUE und schob die Nachricht in die INBOX. Diese Regel war nach einer Domain-Umstellung auf dem Server verkehrt.

Sa da nun der Fehler an der Konsole? Bei der Domain-Umstellung wurden die Sieve-Scripts schlicht bersehen.

Vielen Dank fr eure Antworten!

Manfred

Hallo zusammen,

ich habe folgendes Problem mit meinem Courier-Imap:Ich habe es mittlerweile fertiggebracht mein Postfix Mail-Server-Zertifikat mit Courier zu verwenden.Unter SSL auf Port 993 funktioniert das auch tadellos.

Wenn ich allerdings den Client (Thunderbird, Seamonkey) anweise, TLS zu benutzen, bekomme ich im Maillog nur ein Connect und dann einen Verbindungsabbruch. Client sagt mir "Timeout". Sonst ist da gar nichts.

Hat jemand einen Tip fr mich woran das liegen kann? Ansonsten: Was braucht ihr?

Gru Kai

Kai Frstenberg schrieb:> Hallo zusammen,> > ich habe folgendes Problem mit meinem Courier-Imap:> Ich habe es mittlerweile fertiggebracht mein Postfix > Mail-Server-Zertifikat mit Courier zu verwenden.> Unter SSL auf Port 993 funktioniert das auch tadellos.> > Wenn ich allerdings den Client (Thunderbird, Seamonkey) anweise, TLS zu > benutzen, bekomme ich im Maillog nur ein Connect und dann einen > Verbindungsabbruch. Client sagt mir "Timeout". Sonst ist da gar nichts.

Vielleicht kannst du den Log-Level hochstellen, vielleicht gibt es dann mehr infos?(Achtung wg. Passwrtern etc, bitte vor dem Posten unkenntlich machen).

> Hat jemand einen Tip fr mich woran das liegen kann? Ansonsten: Was > braucht ihr?> > Gru Kai

hthMH

Hallo,

> Ich habe es mittlerweile fertiggebracht mein Postfix > Mail-Server-Zertifikat mit Courier zu verwenden.> Unter SSL auf Port 993 funktioniert das auch tadellos.> > Wenn ich allerdings den Client (Thunderbird, Seamonkey) > anweise, TLS zu

SSL != TLS

Du musst Thunderbird auf SSL Port 993 stellen, dann funktioniert es auch.Wenn du TLS oder TLS mit "Standard"-Port einstellst, kann es nichtfunktionieren, wenn ein solcher Dienst nicht existiert.

CUAndreas

Andreas Pothe schrieb:> Hallo,> >> Ich habe es mittlerweile fertiggebracht mein Postfix >> Mail-Server-Zertifikat mit Courier zu verwenden.>> Unter SSL auf Port 993 funktioniert das auch tadellos.>>>> Wenn ich allerdings den Client (Thunderbird, Seamonkey) >> anweise, TLS zu > > SSL != TLS> > Du musst Thunderbird auf SSL Port 993 stellen, dann funktioniert es auch.

btw:Der Port wird automatisch umgestellt wenn man SSL in den Konteneinstellungen aktiviert.Oder hab ich da wieder was flasch verstanden?

> Wenn du TLS oder TLS mit "Standard"-Port einstellst, kann es nicht> funktionieren, wenn ein solcher Dienst nicht existiert.> > CU> Andreas>

MH

Matthias Haegele schrieb:> Kai Frstenberg schrieb:> >> Hallo zusammen,>>>> ich habe folgendes Problem mit meinem Courier-Imap:>> Ich habe es mittlerweile fertiggebracht mein Postfix >> Mail-Server-Zertifikat mit Courier zu verwenden.>> Unter SSL auf Port 993 funktioniert das auch tadellos.>>>> Wenn ich allerdings den Client (Thunderbird, Seamonkey) anweise, TLS zu >> benutzen, bekomme ich im Maillog nur ein Connect und dann einen >> Verbindungsabbruch. Client sagt mir "Timeout". Sonst ist da gar nichts.>> >> Vielleicht kannst du den Log-Level hochstellen, vielleicht gibt es dann > mehr infos?> (Achtung wg. Passwrtern etc, bitte vor dem Posten unkenntlich machen).> Werd ich mal machen und dann das Log posten.

Kai

Matthias Haegele schrieb:> Andreas Pothe schrieb:> >> Hallo,>>>> >>> Ich habe es mittlerweile fertiggebracht mein Postfix >>> Mail-Server-Zertifikat mit Courier zu verwenden.>>> Unter SSL auf Port 993 funktioniert das auch tadellos.>>>>>> Wenn ich allerdings den Client (Thunderbird, Seamonkey) >>> anweise, TLS zu >>> >> SSL != TLS>>

Das weiss ich.>> Du musst Thunderbird auf SSL Port 993 stellen, dann funktioniert es auch.>> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.>> btw:> Der Port wird automatisch umgestellt wenn man SSL in den > Konteneinstellungen aktiviert.> Oder hab ich da wieder was flasch verstanden?> Nein, das macht er ;-)>> Wenn du TLS oder TLS mit "Standard"-Port einstellst, kann es nicht>> funktionieren, wenn ein solcher Dienst nicht existiert.>> Scheint so, als wrde mein Courier nicht auf STARTTLS reagieren (der kann doch sowas normalerweise, oder?)Evtl. ignoriert er das Kommando und Courier und Thunderbird warten dann beide munter auf eine Antwort, die ja nicht kommt, daher wohl das Timeout.

Kai

Was sagt denn ein telnet auf den Port 143 des Servers?

Sollte in etwa so aussehen:

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. See COPYING for distribution information.

GreOliver-------------- nchster Teil --------------Ein Dateianhang mit Binrdaten wurde abgetrennt...Dateiname : smime.p7sDateityp : application/x-pkcs7-signatureDateigre : 3297 bytesBeschreibung: S/MIME Cryptographic SignatureURL :

Oliver Hoffmann wrote:> Was sagt denn ein telnet auf den Port 143 des Servers?> > Sollte in etwa so aussehen:> > * OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE > THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION > STARTTLS] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. > See COPYING for distribution information.

Ich habe jetzt auch die Logdateien:Apr 3 16:34:25 mail imapd: Connection, ip=[::ffff:80.132.224.242]Apr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], command=CAPABILITYApr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], command=STARTTLSApr 3 16:35:25 mail imapd: Unexpected SSL connection shutdown.

Ausserdem:[root at mail ~]# telnet localhost 143Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2004 Double Precision, Inc. See COPYING for distribution information.

Kai

Kai Frstenberg schrieb:

> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.> Scheint so, als wrde mein Courier nicht auf STARTTLS reagieren (der > kann doch sowas normalerweise, oder?)> Evtl. ignoriert er das Kommando und Courier und Thunderbird warten dann > beide munter auf eine Antwort, die ja nicht kommt, daher wohl das Timeout.

TLS over SSL ... hmm macht nicht wirklich Sinn oder?TLS luft ber den Standardport.

MfG Til

Til Obes wrote:> Kai Frstenberg schrieb:> >> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.>> Scheint so, als wrde mein Courier nicht auf STARTTLS reagieren (der >> kann doch sowas normalerweise, oder?)>> Evtl. ignoriert er das Kommando und Courier und Thunderbird warten dann >> beide munter auf eine Antwort, die ja nicht kommt, daher wohl das Timeout.> > TLS over SSL ... hmm macht nicht wirklich Sinn oder?> TLS luft ber den Standardport.

Hat irgendeiner was anderes behauptet?

Nochmal zusammengefasst: TLS ber Port 143 verursacht einen Timeout.Irgendwie ist mein anderes Posting (noch) nicht durch. Daher hier nochmal:/var/log/maillog:Apr 3 16:34:25 mail imapd: Connection, ip=[::ffff:80.132.224.242]Apr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], command=CAPABILITYApr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], command=STARTTLSApr 3 16:35:25 mail imapd: Unexpected SSL connection shutdown.

Ausserdem:[root at mail ~]# telnet localhost 143Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2004 Double Precision, Inc. See COPYING for distribution information.LOGOUT* BYE Courier-IMAP server shutting downLOGOUT OK LOGOUT completedConnection closed by foreign host.

GruKai

Am Dienstag, 3. April 2007 16:23 schrieb Kai Frstenberg:

> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.

Was sagen diese beiden Parameter in Deiner imapd-ssl-Config?

##NAME: IMAPDSTARTTLS:0## Whether or not to implement IMAP STARTTLS extension instead:

IMAPDSTARTTLS=YES

##NAME: TLS_PROTOCOL:0## TLS_PROTOCOL sets the protocol version. The possible versions are:## SSL2 - SSLv2# SSL3 - SSLv3# TLS1 - TLS1

TLS_PROTOCOL=TLS1

Lieben Gru

Peer




Hallo,

ehrlich gesagt glaube ich nicht, dass Courier wirklich STARTTLS kann.Dieses Problem hatten Freunde und ich auch schon und wir verwenden nurIMAP (143) oder eben IMAPs (993).

Vielleicht ist das ja ein Bug.

GruChristian

Kai Frstenberg schrieb:-- Tel.: 0641-2097252, Mobil: 0171-3611230PGP: http://www.roessner-net.com/0x6B929997.asc

> Til Obes wrote:>> Kai Frstenberg schrieb:>>>>> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.>>> Scheint so, als wrde mein Courier nicht auf STARTTLS reagieren (der >>> kann doch sowas normalerweise, oder?)>>> Evtl. ignoriert er das Kommando und Courier und Thunderbird warten dann >>> beide munter auf eine Antwort, die ja nicht kommt, daher wohl das Timeout.>> TLS over SSL ... hmm macht nicht wirklich Sinn oder?>> TLS luft ber den Standardport.> > Hat irgendeiner was anderes behauptet?> > Nochmal zusammengefasst: TLS ber Port 143 verursacht einen Timeout.> Irgendwie ist mein anderes Posting (noch) nicht durch. Daher hier nochmal:> /var/log/maillog:> Apr 3 16:34:25 mail imapd: Connection, ip=[::ffff:80.132.224.242]> Apr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], > command=CAPABILITY> Apr 3 16:34:25 mail imapd: LOGIN: DEBUG: ip=[::ffff:80.132.224.242], > command=STARTTLS> Apr 3 16:35:25 mail imapd: Unexpected SSL connection shutdown.> > Ausserdem:> [root at mail ~]# telnet localhost 143> Trying 127.0.0.1...> Connected to localhost.> Escape character is '^]'.> * OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE > THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION > STARTTLS] Courier-IMAP ready. Copyright 1998-2004 Double Precision, Inc. > See COPYING for distribution information.> LOGOUT> * BYE Courier-IMAP server shutting down> LOGOUT OK LOGOUT completed> Connection closed by foreign host.> > > Gru> Kai


Christian Roessner schrieb:> Hallo,> > ehrlich gesagt glaube ich nicht, dass Courier wirklich STARTTLS kann.

Doch, kann er:

[user at mail ~]# telnet localhost 143Trying 127.0.0.1...Connected to localhost.Escape character is '^]'.* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA AUTH=CRAM-MD5 AUTH=CRAM-SHA1 IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2004 Double Precision, Inc. See COPYING for distribution information.STARTTLSSTARTTLS OK Begin SSL/TLS negotiation now.LOGOUTConnection closed by foreign host.

GruKai

Peer Heinlein schrieb:> Am Dienstag, 3. April 2007 16:23 schrieb Kai Frstenberg:> >> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.> > Was sagen diese beiden Parameter in Deiner imapd-ssl-Config?> > ##NAME: IMAPDSTARTTLS:0> #> # Whether or not to implement IMAP STARTTLS extension instead:> > IMAPDSTARTTLS=YES[user at mail etc]# grep IMAPDSTARTTLS imapd-ssl##NAME: IMAPDSTARTTLS:0IMAPDSTARTTLS=YES

> ##NAME: TLS_PROTOCOL:0> #> # TLS_PROTOCOL sets the protocol version. The possible versions are:> #> # SSL2 - SSLv2> # SSL3 - SSLv3> # TLS1 - TLS1> > TLS_PROTOCOL=TLS1

[user at mail etc]# grep TLS_PROTOCOL imapd-ssl##NAME: TLS_PROTOCOL:0# TLS_PROTOCOL sets the protocol version. The possible versions are:TLS_PROTOCOL=SSL3##NAME: TLS_STARTTLS_PROTOCOL:0# TLS_STARTTLS_PROTOCOL is used instead of TLS_PROTOCOL for the IMAP STARTTLSTLS_STARTTLS_PROTOCOL=TLS1

TLS_PROTOCOL habe ich heute nachmittag nach einem Thread in der Courier-Users-Mailingliste auf "SSL3" eingestellt (statt "SSLv3", wie in der Dokumentation). Die Dokumentation der Datei ist hier wohl nicht korrekt.

Merkwrdig ist aber jetzt: Ich habe meinen Thunderbird zuhause jetzt mal zum Test (eher als Hoffnung) auf TLS eingestellt. Hier funktioniert's jetzt pltzlich! Der Seamonkey in der Firma hat aber auch nach dieser nderung (SSLv3->SSL3) bis zuletzt gestreikt. Wenn der morgen immer noch streikt, scheint es eher ein Client-, als ein Server-Problem zu sein. Ich melde mich dann morgen nochmal, wenn ich das ausprobiert habe.

GruKai

Kai Frstenberg schrieb:> Peer Heinlein schrieb:>> Am Dienstag, 3. April 2007 16:23 schrieb Kai Frstenberg:>>>>> SSL funktioniert ja auch. Nur wenn ich explizit TLS einstelle haperts.>> Was sagen diese beiden Parameter in Deiner imapd-ssl-Config?>>>> ##NAME: IMAPDSTARTTLS:0>> #>> # Whether or not to implement IMAP STARTTLS extension instead:>>>> IMAPDSTARTTLS=YES> [user at mail etc]# grep IMAPDSTARTTLS imapd-ssl> ##NAME: IMAPDSTARTTLS:0> IMAPDSTARTTLS=YES> >> ##NAME: TLS_PROTOCOL:0>> #>> # TLS_PROTOCOL sets the protocol version. The possible versions are:>> #>> # SSL2 - SSLv2>> # SSL3 - SSLv3>> # TLS1 - TLS1>>>> TLS_PROTOCOL=TLS1> > [user at mail etc]# grep TLS_PROTOCOL imapd-ssl> ##NAME: TLS_PROTOCOL:0> # TLS_PROTOCOL sets the protocol version. The possible versions are:> TLS_PROTOCOL=SSL3> ##NAME: TLS_STARTTLS_PROTOCOL:0> # TLS_STARTTLS_PROTOCOL is used instead of TLS_PROTOCOL for the IMAP > STARTTLS> TLS_STARTTLS_PROTOCOL=TLS1> > TLS_PROTOCOL habe ich heute nachmittag nach einem Thread in der > Courier-Users-Mailingliste auf "SSL3" eingestellt (statt "SSLv3", wie in > der Dokumentation). Die Dokumentation der Datei ist hier wohl nicht korrekt.> > Merkwrdig ist aber jetzt: Ich habe meinen Thunderbird zuhause jetzt mal > zum Test (eher als Hoffnung) auf TLS eingestellt. Hier funktioniert's > jetzt pltzlich! Der Seamonkey in der Firma hat aber auch nach dieser > nderung (SSLv3->SSL3) bis zuletzt gestreikt. Wenn der morgen immer noch > streikt, scheint es eher ein Client-, als ein Server-Problem zu sein. > Ich melde mich dann morgen nochmal, wenn ich das ausprobiert habe.

So, der Seamonkey streikt hier in der Firma immer noch. Ich habe dannnoch auf einem Thunderbird den Zugriff eingerichtet (auf dem gleichenRechner (brigens W2KProSP4)). Hiermit habe ich dann auch das gleicheProblem. Auf einem anderen Rechner unter 2000 klappts ebenfalls nicht.Auf einem Debian mit Thunderbird funktionierts dann wieder. Ebenso mit KMail. Scheint so als wrde das Problem W2K-Spezifisch sein.

Zuhause habe ich XP und FC6. Da luft es.

GruKai

Vereinfachte Situation: (sicher hufiger).Mails werden mit Fetchmail (multidrop) geholt und zu Postfix weitergeleitet(per SMTP) und mit Cyrus gespeichert.Fetchmailrc:

poll pop.mailer.de with proto POP3 and options uidl localdomains mydomain.de mydomain.intern

user 'USER' there with password 'PASSWORD' is * here

Alle Mails, die an Benutzer gehen, die es nicht gibt (zu 99,9 % Spam),sollen einfach ignoriert werden.Mit der Postfix-Standard-Lsung local_recipient_maps = proxy:unix:passwd.byname $alias_mapsversucht Postfix, die Mails an Cyrus weiterzuleiten mailbox_transport = cyrusCyrus beschwert sich und speichert nicht => Postfix lsst die Dinger in dermailq stehen. Die wird dann immer riesiger und luft dann irgendwann ber!

Unsere Alternativlsung:In der Postfix Access-Tabelle werden alle User und Aliase eingetragen (perkleines awk-script) (unbequem, aber uns fiel nichts anderes ein). Schautdann so aus:************* ACCESS ***********************************************mydomain.de DISCARD Kein Empfaenger - Mail wird geloescht!

admin at mydomain.de OKwalter at mydomain.de OKamavis at consys.de OKandre at consys.de OK....***************************************************************************Mit smtpd_sender_restrictions = check_recipient_accesshash:/etc/postfix/accesswerden dann bei Fetchmail alle auf DISCARD, die kein OK haben.

Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar, ist aberetwas unschn!

Gru

Walter W.

-- MfG

Walter W.-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL:

Thomas Wiegmann schrieb:> Hallo zusammen,> > ein kleines Problem:> Wir haben einen Mail-Server (postfix), an dem natrlich Clients hngen. > Die Clients verschicken mails und empfangen welche. Naja, ganz normal eben.> Auf dem mail-Server habe ich ein Relay angegeben. Dieses Relay liegt in > einem weiterem lokalen Netz und benutzt ebenfalls Postfix. Mit Hilfe der > Access-Restrictions knnen nur bestimmte Absender-Adressen dieses Relay > benutzen.> > Jetzt ist es so, das von draussen jemand mit z.B. "telnet ip-Nummer 25" > und mit Benutzung einer bestimmten E-mail-Absender-Adresse und > Empfnger-Adresse diese Relay benutzt. Ist ja auch ansich richtig so.> Frage:> Ich wrde es trotzdem gerne zu haben, das nur Mails aus dem interen Netz > dieses Relay benutzen drfen. Das mu doch mglich sein? oder?> > Ich hoffe, dass ich das Problem einigermaen gut beschrieben habe.

Ich hab es nicht so ganz verstanden.Willst Du nun, dass man von draussen auf den Relayserver im zweiteninternen Netz zugreifen kann oder nicht?Wenn nicht, solltest Du diesen Weg gar nicht erst anbieten, also schlieen.

Gru,Paul

Hallo,

ich habe gestern dann auch mal gemerkt das es eine neue smartsieve Version gibt (12/2006)Leider kann ich mich nicht anmelden.Fehlermeldung:ERROR: Cannot find a usable cryptography library. Please read the INSTALL file for info on this.

Dummerweise habe ich im Moment keinen Zugriff auf die Conf-Dateien aber schon mal die Frage ob jemand dieses Poblem kennt bzw. mir sagen kann wo ich suchen mu.Der Mailserver ist eigentlich mit allen Modulen installiert da die komplette Kommunikation nur gesichert abluft.

Gru und Dank

Gru und Dank

Eine kleine Ergnzung zu der Frage (s.u.):

Am 04.04.07 schrieb Walter Willmertinger :>> Vereinfachte Situation: (sicher hufiger).> Mails werden mit Fetchmail (multidrop) geholt und zu Postfix> weitergeleitet (per SMTP) und mit Cyrus gespeichert.> Fetchmailrc:>>> poll pop.mailer.de with proto POP3 and options uidl> localdomains mydomain.de mydomain.intern>> user 'USER' there with password 'PASSWORD' is * here>> Alle Mails, die an Benutzer gehen, die es nicht gibt (zu 99,9 % Spam),> sollen einfach ignoriert werden.> Mit der Postfix-Standard-Lsung> local_recipient_maps = proxy:unix:passwd.byname $alias_maps> versucht Postfix, die Mails an Cyrus weiterzuleiten> mailbox_transport = cyrus> Cyrus beschwert sich und speichert nicht => Postfix lsst die Dinger in> der mailq stehen. Die wird dann immer riesiger und luft dann irgendwann> ber!>> Unsere Alternativlsung:> In der Postfix Access-Tabelle werden alle User und Aliase eingetragen (per> kleines awk-script) (unbequem, aber uns fiel nichts anderes ein). Schaut> dann so aus:> ************* ACCESS ***********************************************> mydomain.de DISCARD Kein Empfaenger - Mail wird geloescht!>> admin at mydomain.de OK> walter at mydomain.de OK> amavis at consys.de OK> andre at consys.de OK> ....>> ***************************************************************************> Mit> smtpd_sender_restrictions = check_recipient_access> hash:/etc/postfix/access> werden dann bei Fetchmail alle auf DISCARD, die kein OK haben.

P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die Mail inder Mailbox des ISPs stehen

Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar, ist aber> etwas unschn!>> Gru>> Walter W.>>>>>>>>>> --> MfG>> Walter W.>>

-- MfG

Walter Willmertinger82194 Groebenzell-------------- nchster Teil --------------Ein Dateianhang mit HTML-Daten wurde abgetrennt...URL:

Hallo Walter, hallo Leute,

Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:> P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die> Mail in der Mailbox des ISPs stehen>> Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,> ist aber etwas unschn!

Ein Catchall ist immer unschn - insbesondere, wenn man Mails an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige Mail dazwischen ist und sich nur jemand vertippt hat?)

Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste der gltigen Adressen (oder stelle es in dessen Webinterface ein) und entferne den Catchall. Dann kann der annehmende Mailserver Mails an ungltige Adressen direkt und technisch korrekt ablehnen.

Gru

Christian Boltz-- [ACPI] Du kannst da Deinen Power-Knopf konfigurieren wie Du willst.Du kannst den auch so konfigurieren, da der PC anfngt zu singen ...[Ekkard Gerlach in suse-linux]

Am 05.04.07 schrieb Christian Boltz :>> Hallo Walter, hallo Leute,>> Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:> > P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die> > Mail in der Mailbox des ISPs stehen> >> > Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,> > ist aber etwas unschn!>> Ein Catchall ist immer unschn - insbesondere, wenn man Mails> an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige> Mail dazwischen ist und sich nur jemand vertippt hat?)

Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E. einfachnicht anders machbar!

Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste> der gltigen Adressen (oder stelle es in dessen Webinterface ein) und

und alle Aliase??

entferne den Catchall. Dann kann der annehmende Mailserver Mails an> ungltige Adressen direkt und technisch korrekt ablehnen.

Da hab ich doch den selben Effekt ("vertippen"), oder?

Gru>> Christian Boltz> --> [ACPI] Du kannst da Deinen Power-Knopf konfigurieren wie Du willst.> Du kannst den auch so konfigurieren, da der PC anfngt zu singen ...> [Ekkard Gerlach in suse-linux]> --> _______________________________________________> Postfixbuch-users -- http://www.postfixbuch.de> Heinlein Professional Linux Support GmbH>> Postfixbuch-users at listi.jpberlin.de> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users>

-- MfG


Christian Boltz wrote:> Hallo Walter, hallo Leute,> > Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:>> P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die>> Mail in der Mailbox des ISPs stehen>>>> Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,>> ist aber etwas unschn!> > Ein Catchall ist immer unschn - insbesondere, wenn man Mails > an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige > Mail dazwischen ist und sich nur jemand vertippt hat?)> > Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste > der gltigen Adressen (oder stelle es in dessen Webinterface ein) und > entferne den Catchall. Dann kann der annehmende Mailserver Mails an > ungltige Adressen direkt und technisch korrekt ablehnen.

Eine andere Mglichkeit (die das Problem nur verlagert, aber dem Catch-Allsehr entspricht), ist luser_relay. Dann werden keine Mails einfachentsorgt und sie sind verfgbar, wenn mal eine Mail vermisst wird.

Nachteil ist, wie durch einen Catch-All nicht anders zu erwarten, dassungltige Empfnger nicht abgewiesen werden.Sinnvoll ist dann natrlich auch eine automatische Lschung, wenn dieMails ein bestimmtes Alter erreicht haben, da ohnehin das meiste davonMll sein wird.

Die Lehre von der Geschichte ist, dass all dies vermieden werden kann,wenn der Catch-All abgeschafft wird. In der heutigen Zeit rangiert derCatch-All sehr prominent in der Liste der Beispiele, wie man es NICHTmachen sollte.

-- Sandy


Walter Willmertinger schrieb:> Am 05.04.07 schrieb Christian Boltz :>>>> Hallo Walter, hallo Leute,>>>> Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:>> > P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die>> > Mail in der Mailbox des ISPs stehen>> >>> > Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,>> > ist aber etwas unschn!>>>> Ein Catchall ist immer unschn - insbesondere, wenn man Mails>> an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige>> Mail dazwischen ist und sich nur jemand vertippt hat?)> > > Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E. einfach> nicht anders machbar!

Die Logik verstehe ich jetzt berhaupt nicht.Insgesamt nur 50 Spammails oder 50 pro Account?

> Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste>> der gltigen Adressen (oder stelle es in dessen Webinterface ein) und>

imho die richtige (aufwndigere) Vorgehensweise alles andere ist "herumdoktern" an den Symptomen ...

> und alle Aliase??

Vielleicht verwendet der ISP auch Postfix und du hast schon eine entsprechende Liste, die der kooperative ISP ... ?

> > entferne den Catchall. Dann kann der annehmende Mailserver Mails an>> ungltige Adressen direkt und technisch korrekt ablehnen.> > > Da hab ich doch den selben Effekt ("vertippen"), oder?

Da hat Christian sich wohl vertan, wenn der Catchall weg ist werden natrlich alle Mails an unbekannte Empfnger rejected,was wiederum dem Absender auffallen sollte ...

> Gru>>>> Christian Boltz

GrsseMH

Walter Willmertinger wrote:

Bitte kein HTML schicken, es sieht wirklich nicht gut aus. :(

> Ein Catchall ist immer unschn - insbesondere, wenn man Mails> an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige> Mail dazwischen ist und sich nur jemand vertippt hat?) > > > Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E.> einfach nicht anders machbar!

Das ist noch relativ harmlos, wenn auch lstig.

> Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste> der gltigen Adressen (oder stelle es in dessen Webinterface ein) und> > > und alle Aliase??

Ja.

> > entferne den Catchall. Dann kann der annehmende Mailserver Mails an> ungltige Adressen direkt und technisch korrekt ablehnen.> > > Da hab ich doch den selben Effekt ("vertippen"), oder?

Nein. Der Unterschied ist, dass die Mail gar nicht erst angenommen wird(REJECT whrend des SMTP Protokoll Dialogs). Die Verantwortlichkeit bleibtbei dem sendenden Client, der eine Bounce an den Absender schicken muss.

Wenn du die Mail annimmst, aber dann feststellst, dass du die Mail nichtzustellen kannst/willst, hast du bereits die Verantwortung dafrbernommen. Korrekt nach RFC wre es dann, die Mail an den Absenderzurckzuschicken. Im Falle von Spam/Viren ist der jedoch geflscht, unddein Rechner sendet somit Spam/Viren an einen unbeteiligten Dritten.

Darum ist "Best Practise" bei SMTP, direkt VOR der Annahme der Mail zuentscheiden, ob sie angenommen werden soll oder nicht.

-- Sandy


On Behalf Of Walter Willmertinger:> > Am 05.04.07 schrieb Christian Boltz :> > Hallo Walter, hallo Leute,> > Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:> > P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die> > Mail in der Mailbox des ISPs stehen> >> > Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,> > ist aber etwas unschn!> > Ein Catchall ist immer unschn - insbesondere, wenn man Mails> an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige> Mail dazwischen ist und sich nur jemand vertippt hat?)> > > Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E. einfach nicht anders> machbar!> > > > Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste> der gltigen Adressen (oder stelle es in dessen Webinterface ein) und> > > und alle Aliase??> > > > entferne den Catchall. Dann kann der annehmende Mailserver Mails an> ungltige Adressen direkt und technisch korrekt ablehnen.> > > Da hab ich doch den selben Effekt ("vertippen"), oder?

Nein bei einer ungltigen Adresse bekommt der Absender einen Unzustellbarkeitsnachrichtund wird nicht einfach gelscht.

PS. Wer sich Probleme selber schafft darf sich nicht ber die Arbeit beschweren die damitverbunden ist. Sauber aufgesetzt mit eindeutigen Adressen fr jeden User vermindert sichder Spam automatisch. Ergo nicht die Auswirkung sondern den Ursprung bekmpfen !!!

Ich habe in der Zwischenzeit Spamassasin auf meinem Server ausgeschalten knnen da imMonat evtl. noch 10 Spammails makiert wurden wenn es hochkommt(und die kamen alle von"offiziellen Servern"). Und auch das Log zeigt keine eigentlich erwnschte aber abgelehnten Mails mehr und das nurdadurch das strenge Restriktionen fr die Einliefernden gelten.

Ablehnungen aufgrund von RBL's habe ich seit 2 Monaten nicht mehr gesehen.

Mit freundlichen Gren

Drieen

-- Software & ComputerUwe DrieenLembergstrae 3367824 FeilbingertTel.: 06708 / 660045 Fax: 06708 / 661397

Ich werd's mal ausprobieren (d.h. alle User und extern nutzbare Aliase) beiISP eintragen. Ist aber schon auch Arbeit und pflegebedrftig.

Wie holt Ihr das dann ab, auch per Fetchmail (mit 30 "polls")?

Am 05.04.07 schrieb Uwe Driessen :>> On Behalf Of Walter Willmertinger:> >> > Am 05.04.07 schrieb Christian Boltz :> >> > Hallo Walter, hallo Leute,> >> > Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:> > > P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die> > > Mail in der Mailbox des ISPs stehen> > >> > > Hat jemand eine andere Idee? Diese Access-Table funktioniert> zwar,> > > ist aber etwas unschn!> >> > Ein Catchall ist immer unschn - insbesondere, wenn man Mails> > an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine> wichtige> > Mail dazwischen ist und sich nur jemand vertippt hat?)> >> >> > Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E.> einfach nicht anders> > machbar!> >> >> >> > Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine> Liste> > der gltigen Adressen (oder stelle es in dessen Webinterface ein)> und> >> >> > und alle Aliase??> >> >> >> > entferne den Catchall. Dann kann der annehmende Mailserver Mails> an> > ungltige Adressen direkt und technisch korrekt ablehnen.> >> >> > Da hab ich doch den selben Effekt ("vertippen"), oder?>> Nein bei einer ungltigen Adresse bekommt der Absender einen> Unzustellbarkeitsnachricht> und wird nicht einfach gelscht.>> PS. Wer sich Probleme selber schafft darf sich nicht ber die Arbeit> beschweren die damit> verbunden ist. Sauber aufgesetzt mit eindeutigen Adressen fr jeden User> vermindert sich> der Spam automatisch. Ergo nicht die Auswirkung sondern den Ursprung> bekmpfen !!!>> Ich habe in der Zwischenzeit Spamassasin auf meinem Server ausgeschalten> knnen da im> Monat evtl. noch 10 Spammails makiert wurden wenn es hochkommt(und die> kamen alle von> "offiziellen Servern").> Und auch das Log zeigt keine eigentlich erwnschte aber abgelehnten Mails> mehr und das nur> dadurch das strenge Restriktionen fr die Einliefernden gelten.>> Ablehnungen aufgrund von RBL's habe ich seit 2 Monaten nicht mehr gesehen.>>>>> Mit freundlichen Gren>> Drieen>> --> Software & Computer> Uwe Drieen> Lembergstrae 33> 67824 Feilbingert> Tel.: 06708 / 660045 Fax: 06708 / 661397>> --> _______________________________________________> Postfixbuch-users -- http://www.postfixbuch.de> Heinlein Professional Linux Support GmbH>> Postfixbuch-users at listi.jpberlin.de> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users>

-- MfG


Hallo Liste,

ein Kunde von mir will in seiner altermime Signatur Umlaute stehenhaben. Jetzt kommen die Umlaute jedoch je nach E-Mail Empfnger richtigoder als y oder = zeichen an. Wie gebt ihr dem disclaimer den richtigenZeichensatz mit?

GruMarc

Hallo Liste,

hat jemand von euch eine fertige Lsung um das anhngen des altermimedisclaimers fr eine bestimmte Empfngeradresse zu unterbinden?

DankeMarc

Am 05.04.07 schrieb Matthias Haegele :> Walter Willmertinger schrieb:> > Am 05.04.07 schrieb Christian Boltz :> >>> >> Hallo Walter, hallo Leute,> >>> >> Am Donnerstag, 5. April 2007 schrieb Walter Willmertinger:> >> > P.S.: Wenn ich statt DISCARD ein REJECT nehme, dann bleibt die> >> > Mail in der Mailbox des ISPs stehen> >> >> >> > Hat jemand eine andere Idee? Diese Access-Table funktioniert zwar,> >> > ist aber etwas unschn!> >>> >> Ein Catchall ist immer unschn - insbesondere, wenn man Mails> >> an "ungltige" Adressen kommentarlos lscht. (Was, wenn eine wichtige> >> Mail dazwischen ist und sich nur jemand vertippt hat?)> >> >> > Bei ca. 50 Mails (Spam an ungltige Adressen) pro Tag ist das m.E. einfach> > nicht anders machbar!>> Die Logik verstehe ich jetzt berhaupt nicht.> Insgesamt nur 50 Spammails oder 50 pro Account?

ca. 50 Mails an unbekannte Accounts ! Die werden dann in Zukunft schonbeim ISP rejected, alles klar!

>> > Auch wenn Du es vermutlich nicht hren willst: gib dem ISP eine Liste> >> der gltigen Adressen (oder stelle es in dessen Webinterface ein) und> >>> imho die richtige (aufwndigere) Vorgehensweise alles andere ist> "herumdoktern" an den Symptomen ...>> > und alle Aliase??>> Vielleicht verwendet der ISP auch Postfix und du hast schon eine> entsprechende Liste, die der kooperative ISP ... ?>> >> > entferne den Catchall. Dann kann der annehmende Mailserver Mails an> >> ungltige Adressen direkt und technisch korrekt ablehnen.> >> >> > Da hab ich doch den selben Effekt ("vertippen"), oder?>> Da hat Christian sich wohl vertan, wenn der Catchall weg ist werden> natrlich alle Mails an unbekannte Empfnger rejected,> was wiederum dem Absender auffallen sollte ...>> > Gru> >>> >> Christian Boltz>> Grsse> MH>> --> _______________________________________________> Postfixbuch-users -- http://www.postfixbuch.de> Heinlein Professional Linux Support GmbH>> Postfixbuch-users at listi.jpberlin.de> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users>

-- MfG

Walter Willmertinger82194 Groebenzell

> -----Original Message-----On Behalf Of Walter Willmertinger:> > Ich werd's mal ausprobieren (d.h. alle User und extern nutzbare Aliase) bei ISP> eintragen. Ist aber schon auch Arbeit und pflegebedrftig.> > Wie holt Ihr das dann ab, auch per Fetchmail (mit 30 "polls")?> >

hm keine Ahnung mein Server ist eher dem ISP Bereich zuzuordnen.

Tendenzel wrde ich aber sagen jeder User mu mit Namen und PW in der Fetchmailliste danneingetragen sein und jede Mailadresse mu dann auch einzeln abgeholt werden.

Bei Confixx habe ich allerdings auch schon gesehen das eine Mailbox X-Mailadressen habenkann dann musst du nur einmal abholen da sich die Verbindung dann auf das Postfachbezieht.

Webxxxxx ist das Postfach und die Mailadressen sind dann

Mail1 at domain.deMail2 at domain.deMail3 at domain.de......

Kommt halt drauf an wie der Provider den Mailserver verwaltet.

Mit freundlichen Gren

Drieen

-- Software & ComputerUwe DrieenLembergstrae 3367824 FeilbingertTel.: 06708 / 660045 Fax: 06708 / 661397

Hallo,

ich wuerde gerne eine Mail wie den GMX-Spamreport aus denJunk-Mail-Ordnern die auf einem Cyrus-Imapd liegen fuer unsere User perCronjob generieren und verschicken.

Der Report sollte auf alle Faelle Absender, Betreff und Datum der Mailsenthalten. Weitere Infos aus den Mailheadern, die von Spamassassineingetragen werden sind optional.

Wie kann ich hier vorgehen? Hat hier jemand so etwas schon im Einsatz?Tipps, Links?

Vielen Dank und schoene Ostern wuenschtChristoph.-- Mit freundlichen Gruessen / Yours sincerelyChristoph HaasLinux User #99546GnuPG-/PGP-fingerprint: 944B D713 F72F 4398 B156 8089 DA8B 68F1 1543 51C3GnuPG-/PGP-public-key:http://blackhole.pca.dfn.de:11371/pks/lookup?op=get&search=0x154351C3

Hallo,Ich betreibe einen Cyrus -Imap Server auf Postfix Basis. Der Server steht hinter einem Firewall im lokalen Firmennetz. Die Mails werden ber Fechtmail vom Hoster abgeholt und auf dem lokalem Server gespeichert. Mitarbeiter mchten von aussen auf Ihr Konto mit einem Webfronted (Squirrelmail) zugreifen und auch E-Mails verschicken.Auf dem Server laufen zwei VS und Spamassasin.Es ist noch kein SSL konfiguriert worden. Der Router ist ein fli4. So kann diese ber Dynorg und portforward den Zugang erlauben fr den Server. Kann mir jemand sagen wie ich am besten vorgehen soll um keine falsche sicherheitsrelevanten Einstellungen zu machen?

Vielen dank fr eure Hilfe!

Frohe Ostern!

Gru Flavio

Flavio Mini wrote:> Hallo, Ich betreibe einen Cyrus -Imap Server auf Postfix Basis. Der> Server steht hinter einem Firewall im lokalen Firmennetz. Die Mails> werden ber Fechtmail vom Hoster abgeholt und auf dem lokalem Server> gespeichert. Mitarbeiter mchten von aussen auf Ihr Konto mit einem> Webfronted (Squirrelmail) zugreifen und auch E-Mails verschicken. Auf> dem Server laufen zwei VS und Spamassasin. Es ist noch kein SSL> konfiguriert worden. Der Router ist ein fli4. So kann diese ber Dynorg> und portforward den Zugang erlauben fr den Server. Kann mir jemand> sagen wie ich am besten vorgehen soll um keine falsche> sicherheitsrelevanten Einstellungen zu machen?

Klre zunchst erst einmal, was genau du haben mchtest.- Imap- smtp- http(s)

Wenn ber ein Webinterface gearbeitet werden soll, dann brauchst du auchnur den HTTP/HTTPS-Port vom Router zum Server forwarden.

Die Sicherheitsbedenken sind die blichen:- Der Webserver sollte keine berflssigen Optionen aktiviert haben- Der Zugriff auf den Webserver muss so begrenzt werden, dass vom Internetaus nur die wirklich erlaubten Zugriffe explizit freigeschaltet werden,alles andere muss verboten sein.- Das gleiche gilt dann fr die PHP-Konfiguration- Verbiete den Anwendern, selbst direkt auf den Server zuzugreifen.- Der Server muss auf dem aktuellen Patchstand sein und bleiben.- berwache das Serverlog regelmig- Verwende als zustzliche Sicherheit noch SE-Linux oder AppArmor.

Das eine, was ich jedoch nicht verstehe, ist, warum die Mails nicht direktauf euren Server auflaufen? Bei einem Firmen-Netzwerk gehe ich von einerstatischen Leitung aus, diese kostet nicht mehr die Welt und bietetreichlich Vorteile.

-- Sandy


Christoph Haas wrote:> Hallo,> > ich wuerde gerne eine Mail wie den GMX-Spamreport aus den> Junk-Mail-Ordnern die auf einem Cyrus-Imapd liegen fuer unsere User per> Cronjob generieren und verschicken.> > Der Report sollte auf alle Faelle Absender, Betreff und Datum der Mails> enthalten. Weitere Infos aus den Mailheadern, die von Spamassassin> eingetragen werden sind optional.

Es gibt Tools, welche solche Reports generieren, aber diese greifen IMHOnicht auf die Mails selbst zu, sondern nur auf die Logs. In diesen istjedoch nicht der Betreff der Mails enthalten. Man kann dies zwar ber"header_checks /^Subject:(+*)/ warn: $1" in das Log einblenden, aber dasist auch nur ein wenig schner Hack.

Wenn ich mich richtig erinnere, hat Ralph vor kurzem eine Adressegepostet, welches Tool er einsetzt, um solche Reports zu generieren.Notfalls musst du eben das Script anpassen.

Ah, ich habe es eben ausgegraben:http://www.postconf.com/docs/spamrep/-- Sandy


Marc Samendinger wrote:> Hallo Liste,> > ein Kunde von mir will in seiner altermime Signatur Umlaute stehen> haben. Jetzt kommen die Umlaute jedoch je nach E-Mail Empfnger richtig> oder als y oder = zeichen an. Wie gebt ihr dem disclaimer den richtigen> Zeichensatz mit?

Dann muss der Anhang als MIME-Anhang mit korrektem Zeichensatz deklariertwerden. Da bin ich auch kein Spezialist drin, es kann manchmal trickreichsein, je nachdem ob du eine Plaintext oder eine HTML Mail hast.

Ich nehme an, dass du fr beide Flle eine eigene Signatur setzen musst.

-- Sandy


Marc Samendinger wrote:> Hallo Liste,> > hat jemand von euch eine fertige Lsung um das anhngen des altermime> disclaimers fr eine bestimmte Empfngeradresse zu unterbinden?

Da das Einbinden von Altermime als Transport geschieht, kannst duwahrscheinlich am besten ber eine zweite Instanz von Postfix arbeiten.Ansonsten hast du Probleme, wenn du per FILTER-Aktion pro Empfngerarbeitest, da sonst die ganze Mail umgeleitet wird und dies bei mehrerenEmpfngern in einer Mail wahrscheinlich ungewnscht ist.Transport kann auch pro Empfnger arbeiten, deshalb wirst du wohl aufuserspezifische Transport_maps zurckgreifen mssen.

-- Sandy


Hallo Sandy,danke fr die schnelle Anwort. Es sind nur 8 Leute in der Fa. und 6 davon bentzen E-Mail als Kommunikationsmittel.Auch ist die Filterung von VC un Spam effizienter und der Adminaufwand auch geringer.Die Erreichbarkeit ber Https damit das Webfronted bentzt werden kann ist die Lsung. Nur sind mir alle Einstellung fr denn Sichern Zugriff auf den Webserver wie -

Der Webserver sollte keine berflssigen Optionen aktiviert haben- Der Zugriff auf den Webserver muss so begrenzt werden, dass vom Internetaus nur die wirklich erlaubten Zugriffe explizit freigeschaltet werden,alles andere muss verboten sein.- Das gleiche gilt dann fr die PHP-Konfiguration- Verbiete den Anwendern, selbst direkt auf den Server zuzugreifen

nicht gerade gelufig. gibt es ein Doc. bei diesem ich nachlesen kann wie ich vorgehen muss?

Gruss Flavio

-----Ursprngliche Nachricht-----Von: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." Gesendet: 06.04.07 13:28:42An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." Betreff: Re: [Postfixbuch-users] Mailserver vom Internet zugreifen.

Flavio Mini wrote:> Hallo, Ich betreibe einen Cyrus -Imap Server auf Postfix Basis. Der> Server steht hinter einem Firewall im lokalen Firmennetz. Die Mails> werden ber Fechtmail vom Hoster abgeholt und auf dem lokalem Server> gespeichert. Mitarbeiter mchten von aussen auf Ihr Konto mit einem> Webfronted (Squirrelmail) zugreifen und auch E-Mails verschicken. Auf> dem Server laufen zwei VS und Spamassasin. Es ist noch kein SSL> konfiguriert worden. Der Router ist ein fli4. So kann diese ber Dynorg> und portforward den Zugang erlauben fr den Server. Kann mir jemand> sagen wie ich am besten vorgehen soll um keine falsche> sicherheitsrelevanten Einstellungen zu machen?

Klre zunchst erst einmal, was genau du haben mchtest.- Imap- smtp- http(s)

Wenn ber ein Webinterface gearbeitet werden soll, dann brauchst du auchnur den HTTP/HTTPS-Port vom Router zum Server forwarden.

Die Sicherheitsbedenken sind die blichen:- Der Webserver sollte keine berflssigen Optionen aktiviert haben- Der Zugriff auf den Webserver muss so begrenzt werden, dass vom Internetaus nur die wirklich erlaubten Zugriffe explizit freigeschaltet werden,alles andere muss verboten sein.- Das gleiche gilt dann fr die PHP-Konfiguration- Verbiete den Anwendern, selbst direkt auf den Server zuzugreifen.- Der Server muss auf dem aktuellen Patchstand sein und bleiben.- berwache das Serverlog regelmig- Verwende als zustzliche Sicherheit noch SE-Linux oder AppArmor.

Das eine, was ich jedoch nicht verstehe, ist, warum die Mails nicht direktauf euren Server auflaufen? Bei einem Firmen-Netzwerk gehe ich von einerstatischen Leitung aus, diese kostet nicht mehr die Welt und bietetreichlich Vorteile.

-- Sandy


-- _______________________________________________Postfixbuch-users -- http://www.postfixbuch.deHeinlein Professional Linux Support GmbH

Postfixbuch-users at listi.jpberlin.dehttp://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

* Sandy Drobic :

> Es gibt Tools, welche solche Reports generieren, aber diese greifen IMHO> nicht auf die Mails selbst zu, sondern nur auf die Logs. In diesen ist> jedoch nicht der Betreff der Mails enthalten. Man kann dies zwar ber> "header_checks /^Subject:(+*)/ warn: $1" in das Log einblenden, aber das> ist auch nur ein wenig schner Hack.

/^Subject:/ WARN

reicht hin, denn der cleanup wirft die Zeile, die matched ja mit aus :)

> Wenn ich mich richtig erinnere, hat Ralph vor kurzem eine Adresse> gepostet, welches Tool er einsetzt, um solche Reports zu generieren.> Notfalls musst du eben das Script anpassen.> Ah, ich habe es eben ausgegraben:> http://www.postconf.com/docs/spamrep/

It rules :)

-- Ralf Hildebrandt (Ralf.Hildebrandt at charite.de) plonk at charite.dePostfix - Einrichtung, Betrieb und Wartung Tel. +49 (0)30-450 570-155http://www.arschkrebs.deWhat's this about SED compatibility? Linux breaks my srctoman scriptwhich I have been using for almost 20 years on V7, SYSV and Solarisand FreeBSD. Call me a retard. -- Wietse Venema

Flavio Mini wrote:

Bitte kein Top-Posting, das macht das Antworten schwieriger als notwendig.

> Hallo Sandy, danke fr die schnelle Anwort. Es sind nur 8 Leute in der> Fa. und 6 davon bentzen E-Mail als Kommunikationsmittel. Auch ist die> Filterung von VC un Spam effizienter und der Adminaufwand auch

Wofr steht die Abkrzung "VC"?!?

> geringer. Die Erreichbarkeit ber Https damit das Webfronted bentzt> werden kann ist die Lsung. Nur sind mir alle Einstellung fr denn> Sichern Zugriff auf den Webserver wie -

> Der Webserver sollte keine berflssigen Optionen aktiviert haben - Der> Zugriff auf den Webserver muss so begrenzt werden, dass vom Internet > aus nur die wirklich erlaubten Zugriffe explizit freigeschaltet werden,> alles andere muss verboten sein. - Das gleiche gilt dann fr die> PHP-Konfiguration - Verbiete den Anwendern, selbst direkt auf den> Server zuzugreifen> > nicht gerade gelufig. gibt es ein Doc. bei diesem ich nachlesen kann> wie ich vorgehen muss?

Es gibt reichlich Dokumentationen im Netz oder in Buchform. Aber einenErsatz fr das Sich-Reinknien-in-den-Stoff gibt es nicht wirklich.

Du hast mehrere Mglichkeiten:

- ein eigenes System zuhause aufsetzen und damit rumexperimentieren, bisdu die Konfiguration wirklich beherrscht (empfehlenswert, wenn man Talentfr eigenstndiges Aneignen von neuen Themen hat)

- du heuerst jemanden an, der dir das fachkundig aufsetzt und erklrt(nicht billig, wenn du jemanden haben willst, der wirklich kompetent ist)

- du machst eine Fortbildung mit, wo dir das notwendige Wissen vermitteltwird.

Das ist auch etwas eine Frage, welches Budget du zur Verfgung hast. Ineiner kleinen Firma wirst du dich wahrscheinlich durchbeissen mssen. Indem Fall empfehle ich dir dringend, das erst zuhause zu testen und erstdann in der Firma aufzubauen, bis du mit der Materie vertraut bist.

-- Sandy


Ralf Hildebrandt wrote:> * Sandy Drobic :> >> Es gibt Tools, welche solche Reports generieren, aber diese greifen IMHO>> nicht auf die Mails selbst zu, sondern nur auf die Logs. In diesen ist>> jedoch nicht der Betreff der Mails enthalten. Man kann dies zwar ber>> "header_checks /^Subject:(+*)/ warn: $1" in das Log einblenden, aber das>> ist auch nur ein wenig schner Hack.> > /^Subject:/ WARN> > reicht hin, denn der cleanup wirft die Zeile, die matched ja mit aus :)

Okay, ich hatte es nur aus dem Gedchtnis reingeworfen. (^-^)

>> Wenn ich mich richtig erinnere, hat Ralph vor kurzem eine Adresse>> gepostet, welches Tool er einsetzt, um solche Reports zu generieren.>> Notfalls musst du eben das Script anpassen.>> Ah, ich habe es eben ausgegraben:>> http://www.postconf.com/docs/spamrep/> > It rules :)

Ich habe es bisher noch nicht getestet, die Beispiel-Reports sehen abernicht so toll aus.

Wie sehen denn die Reaktionen der User in der Praxis aus?

-- Sandy


* Sandy Drobic :

> Ich habe es bisher noch nicht getestet, die Beispiel-Reports sehen aber> nicht so toll aus.> > Wie sehen denn die Reaktionen der User in der Praxis aus?

Na, den normalen Usern gebe ich sowas nicht, aber die die verstehendlesen und schreiben knnen kommen damit klar.

-- Ralf Hildebrandt (Ralf.Hildebrandt at charite.de) plonk at charite.dePostfix - Einrichtung, Betrieb und Wartung Tel. +49 (0)30-450 570-155http://www.arschkrebs.deThe Ostrich Algorithm is usually a bad idea.

Ralf Hildebrandt wrote:> * Sandy Drobic :> >> Ich habe es bisher noch nicht getestet, die Beispiel-Reports sehen aber>> nicht so toll aus.>>>> Wie sehen denn die Reaktionen der User in der Praxis aus?> > Na, den normalen Usern gebe ich sowas nicht, aber die die verstehend> lesen und schreiben knnen kommen damit klar.

Okay, dann klrt sich meine Verwirrung. Ich muss nmlich hufiger malerklren, dass eine abgewiesene Email NICHT in Quarantne hngt und ichauch nicht eine ungltige Adresse einfach annehmen und zustellen kann.

-- Sandy


Hallo,Ich bin gerade dabei einen Mailserver mit Postfix, Procmail und Qpopperaufzusetzen, eigentlich lief nach dem ich das Buch gelesen habe auchalles ziemlich reibungslos. Nun bin ich a

Documents

listi.jpberlin.delisti.jpberlin.de/pipermail/postfixbuch-users/2007-April.txtFrom postfix-de at ml.rbfh.de Sun Apr 1 00:54:29 2007 From: postfix-de at ml.rbfh.de (Danijel Tasov) Date: