Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden J. Fahrner 

Am 2019-04-03 06:31, schrieb Carsten Rosenberg:

- To be eligible for signing, a mail must be received from an
authenticated user OR a reserved IP address OR an address in the
sign_networks map (if defined)

- Selector and path to key are selected from domain-specific config if
present, falling back to global config

https://rspamd.com/doc/modules/dkim_signing.html


Dort steht genau die Lösung deines Problems. Was sollte hier noch 
fehlen?


Nun, da steht ja nur wie er sich die Keys und den Selektor bestimmt. Da 
steht nicht, wie man ihm sagt für welche Domains er überhaupt signieren 
soll.

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden Carsten Rosenberg 
- To be eligible for signing, a mail must be received from an
authenticated user OR a reserved IP address OR an address in the
sign_networks map (if defined)

- Selector and path to key are selected from domain-specific config if
present, falling back to global config

https://rspamd.com/doc/modules/dkim_signing.html


Dort steht genau die Lösung deines Problems. Was sollte hier noch fehlen?

Viele Grüße

Carsten

On 02.04.19 21:04, J. Fahrner wrote:
> Am 2019-04-02 21:00, schrieb Carsten Rosenberg:
>> Forken meinte ich im Sinne wie es typischerweise auf Github/-lab läuft.
>> Du forkst ein Projekt, machst die Änderungen an deinem persönlichen Fork
>> und stellst dann einen Pull-Request an das Haupt-Projekt in den nur die
>> direkten Maintainer direkt etwas einstellen können.
> 
> Und was hat das jetzt mit "missing doku" zu tun? Was nicht dokumentiert
> ist, kann ich auch in einem persönlichen Fork nicht besser dokumentieren.

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden Carsten Rosenberg 
> Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung.

Forken meinte ich im Sinne wie es typischerweise auf Github/-lab läuft.
Du forkst ein Projekt, machst die Änderungen an deinem persönlichen Fork
und stellst dann einen Pull-Request an das Haupt-Projekt in den nur die
direkten Maintainer direkt etwas einstellen können.

> Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten
> auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da
> beisst sich die Katze in den Schwanz!

Aus der Entwicklersicht scheint manches vielleicht erstmal völlig
logisch, was von den Anwendern dann aber gar nicht so verstanden wird.
Eine kleiner Zusatz kann dann schon helfen etwas noch weiter auszuführen.


VG c


On 02.04.19 20:34, J. Fahrner wrote:
> Am 2019-04-02 20:23, schrieb Carsten Rosenberg:
>> Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach
>> rspamd.com forken, ändern und PR stellen.
> 
> Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung.
> Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten
> auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da
> beisst sich die Katze in den Schwanz!

Komische Mails an LinkedIn

2019-04-02 Diskussionsfäden J. Fahrner 

Hallo Liste,
Junior ist bei LinkedIn angemeldet, und immer wenn er von da Mails 
bekommt geht anschliessend eine Mail zurück an eine komische 
Absenderadresse, z.B. 
m-szc8omy5imq0utn6mlluyot9o0v67ime5h8viq8buhjrvga82yj...@bounce.linkedin.com


Was ist das? Sind das Empfangsbestätigungen? Kann ich die verhindern?

Jochen

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden J. Fahrner 

Am 2019-04-02 20:23, schrieb Carsten Rosenberg:

Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach
rspamd.com forken, ändern und PR stellen.


Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung. 
Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten 
auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da 
beisst sich die Katze in den Schwanz!

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden Carsten Rosenberg 
Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach
rspamd.com forken, ändern und PR stellen.

https://github.com/rspamd/rspamd.com

Ist halt Open Source und die meiste Man-Power geht in den Code. Jede
Hilfe bei fehlender Doku oder Verständnisproblemen ist willkommen.

Das geht auch super bei den Maps die nachgeladen werden:

https://github.com/rspamd/maps

VG c

On 02.04.19 20:08, J. Fahrner wrote:
> Am 2019-04-02 19:55, schrieb Carsten:
>> Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet,
>> wenn es keine spezifische Option für eine Domain gibt wird der Default
>> angenommen.
>>
>> https://rspamd.com/doc/modules/dkim_signing.html
> 
> Danke! Hört sich gut an. Werde ich testen. Schade, dass rspamd so
> mickrig dokumentiert ist. Wäre schön, wenn die einzelnen Optionen besser
> erklärt wären.

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden J. Fahrner 

Am 2019-04-02 19:55, schrieb Carsten:

Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet,
wenn es keine spezifische Option für eine Domain gibt wird der Default
angenommen.

https://rspamd.com/doc/modules/dkim_signing.html


Danke! Hört sich gut an. Werde ich testen. Schade, dass rspamd so 
mickrig dokumentiert ist. Wäre schön, wenn die einzelnen Optionen besser 
erklärt wären.

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden Carsten 

On 02.04.2019 10:30, J. Fahrner wrote:

Hier versucht jetzt rspamd wieder zu signieren,
obwohl der Absender natürlich nicht aus meiner Domain ist
und somit auch kein Key vorhanden ist. Das quittiert rspamd
regelmässig mit einer Fehlermeldung. Ist zwar nicht schlimm, die
Mail wird trotzdem verarbeitet, aber halt unschön.

Wie könnte ich sowas verhindern?


Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet, 
wenn es keine spezifische Option für eine Domain gibt wird der Default 
angenommen.


https://rspamd.com/doc/modules/dkim_signing.html

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden J. Fahrner 

Am 2019-04-02 19:11, schrieb Walter H.:

On 02.04.2019 10:30, J. Fahrner wrote:

Wie könnte ich sowas verhindern?

eingehend und ausgehend trennen?
beim eingehenden braucht es keine DKIM-Signatur, sondern nur die 
Validierung

ausgehend wiederum braucht es nur DKIM-Signatur selbst ...


Das ist nicht das Problem. Die Sieve-Weiterleitung ist ja ausgehend, und 
das möchte er eben signieren. Auch wennś von Fremden ist.

Re: DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden Walter H. 

On 02.04.2019 10:30, J. Fahrner wrote:

Wie könnte ich sowas verhindern?

eingehend und ausgehend trennen?
beim eingehenden braucht es keine DKIM-Signatur, sondern nur die Validierung
ausgehend wiederum braucht es nur DKIM-Signatur selbst ...



smime.p7s
Description: S/MIME Cryptographic Signature

Re: Zertifikatsformat für Postfix <-> Lets Encrypt

2019-04-02 Diskussionsfäden J. Fahrner 
Am 2019-04-02 17:31, schrieb Cengiz Pirasa:

> Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: TLS library problem: 
> error:02001002:system library:fopen:No such file or 
> directory:../crypto/bio/bss_file.c:292:fopen('/etc/ssl/froxlor_custom/w***.eu_fullchain.pem','r'):

No such file ist eigentlich ziemlich eindeutig. Die Datei gibt es nicht.
Läuft dein Postfix vielleicht mit chroot? 

Jochen

Zertifikatsformat für Postfix <-> Lets Encrypt

2019-04-02 Diskussionsfäden Cengiz Pirasa 
Hallo zusammen,

es scheint, als ob ich es nicht ganz verstanden habe.

Meine Postfix installation will die LetsEncrypt Zertifikate einfach nicht
einbinden.

Postconf -n
alias_maps = $alias_database
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
data_directory = /var/lib/postfix
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
dovecot_destination_recipient_limit = 1
html_directory = no
inet_interfaces = all
inet_protocols = ipv4
local_transport = local
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
message_size_limit = 52428800
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mydomain = .eu
myhostname = $mydomain
mynetworks = 127.0.0.0/8
newaliases_path = /usr/bin/newaliases
readme_directory = /usr/share/doc/postfix
sample_directory = /usr/share/doc/postfix
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unknown_client_hostname
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination,
reject_unauth_pipelining, reject_non_fqdn_recipient
smtpd_relay_restrictions =
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_login_maps = mysql:/etc/postfix/
mysql-virtual_sender_permissions.cf
smtpd_sender_restrictions = permit_mynetworks,
reject_sender_login_mismatch, permit_sasl_authenticated,
reject_unknown_helo_hostname, reject_unknown_recipient_domain,
reject_unknown_sender_domain
smtpd_tls_cert_file = /etc/ssl/froxlor_custom/w***.eu_fullchain.pem
smtpd_tls_key_file = /etc/ssl/froxlor_custom/w***.eu.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
unknown_local_recipient_reject_code = 550
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_gid_maps = static:2000
virtual_mailbox_base = /
virtual_mailbox_domains = mysql:/etc/postfix/
mysql-virtual_mailbox_domains.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:2000

Die Pfade stimmen, /etc/ssl/froxlor_custom@chmod777 (Zum testen).

Fehler:

Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: cannot get RSA
certificate from file "/etc/ssl/froxlor_custom/ws1.ddnss.eu_fullchain.pem":
disabling TLS support
Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: TLS library problem:
error:02001002:system library:fopen:No such file or
directory:../crypto/bio/bss_file.c:292:fopen('/etc/ssl/froxlor_custom/w***.eu_fullchain.pem','r'):
Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: TLS library problem:
error:20074002:BIO routines:file_ctrl:system
lib:../crypto/bio/bss_file.c:294:
Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: TLS library problem:
error:140DC002:SSL routines:use_certificate_chain_file:system
lib:../ssl/ssl_rsa.c:609:

Hat jemand eine Idee?

DKIM signing bei Mailweiterleitung

2019-04-02 Diskussionsfäden J. Fahrner 

Hallo Liste,

ich lasse meine Mails durch rspamd mit dkim signieren, in dem ich sie 
per non_smtpd_milters durch rspamd leite. Klappt soweit ganz gut.
Problem: ich leite bestimmte Newsletter im Dovecot per Sieve Regel 
weiter an einen anderen Account. Hier versucht jetzt rspamd wieder zu 
signieren, obwohl der Absender natürlich nicht aus meiner Domain ist und 
somit auch kein Key vorhanden ist. Das quittiert rspamd regelmässig mit 
einer Fehlermeldung. Ist zwar nicht schlimm, die Mail wird trotzdem 
verarbeitet, aber halt unschön.


Wie könnte ich sowas verhindern?

Jochen