Re: Konfiguration von Postfix als SMTP-Relay

[J. Fahrner]

Wo hast du denn die Zugangsdaten für deinen web.de Account konfiguriert?

Vielleicht hilft dir die Anleitung weiter:

https://legacy.thomas-leister.de/postfix-als-smarthost-mail-relay-fuer-andere-server/

Am 2022-01-09 13:17, schrieb Michael Hartmann:


Hallo,

ich hoffe das die mailing-list noch aktiv ist und ich hier Hilfe finde.

Ich habe einen ESP8266 mit ESPeasy der mir auf bestimmte Events Emails 
senden soll. Da er kein TLS beherscht, web.de aber nur gesicherte 
Verbindungen über port 587 akzeptiert, möchte ich Postfix als 
SMTP-Relay einsetzen.


Ich habe Postfix auf einem Raspberry installiert und wie folgt 
konfiguriert:


# See /usr/share/postfix/main.cf.dist for a commented, more complete 
version


# Debian specific:  Specifying a file name will cause the first

# line of that file to be used as the name.  The Debian default

# is /etc/mailname.

#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Raspbian)

biff = no

# appending .domain is the MUA's job.

append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings

#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 
on


# fresh installs.

compatibility_level = 2

# TLS parameters

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_use_tls = yes

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#additions 2022-01-09

smtp_enforce_tls = yes

smtp_tls_enforce_peername = no

smtpd_tls_security_level = may

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package 
for


# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated 
defer_unauth_destination


myhostname = SmartMeterTS.fritz.box

alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases

mydestination = $myhostname, SmartmeterTS, SmartMeterTS, 
localhost.localdomain, localhost


relayhost = smtp.web.de:587

mynetworks = 127.0.0.0/8 192.168.178.30 [:::127.0.0.0]/104 
[::1]/128


mailbox_size_limit = 0

recipient_delimiter = +

inet_interfaces = all

# changes 2022-01-09

inet_protocols = ipv4

# additions 2022-01-09

smtp_sasl_auth_enable = yes

sender_canonical_maps = hash:/etc/postfix/sender_canonical

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

smtp_sasl_security_options = noanonymous

Die Dateien sasl_passwd und sender_canonical sind angelegt und 
konvertiert. Die Zugangsdaten darin sind korrekt!


Dennoch scheint die Authentifizierung beii web.de fehlzuschlagen, wenn 
ich vom Raspi eine Test-email versende:


echo "Das ist der E-Mail Inhalt!" | mail -s "Postfix Test" -a "From: 
Pi" mihartm...@gmx.de


Auszug aus /var/log/mail.log:

Jan  9 12:32:15 SmartMeterTS postfix/pickup[4506]: 58CB47BCD3: uid=1000 
from=


Jan  9 12:32:15 SmartMeterTS postfix/cleanup[4515]: 58CB47BCD3: 
message-id=<20220109113215.58cb47b...@smartmeterts.fritz.box>


Jan  9 12:32:15 SmartMeterTS postfix/qmgr[4507]: 58CB47BCD3: 
from=, size=372, nrcpt=1 (queue active)


Jan  9 12:32:15 SmartMeterTS postfix/smtp[4517]: 58CB47BCD3: 
to=, relay=smtp.web.de[213.165.67.124]:587, 
delay=0.35, delays=0.07/0.12/0.15/0.01, dsn=5.0.0, status=bounced (host 
smtp.web.de[213.165.67.124] said: 530 Authentication required (in reply 
to MAIL FROM command))


Jan  9 12:32:15 SmartMeterTS postfix/cleanup[4515]: B09467BCD6: 
message-id=<20220109113215.b09467b...@smartmeterts.fritz.box>


Jan  9 12:32:15 SmartMeterTS postfix/bounce[4519]: 58CB47BCD3: sender 
non-delivery notification: B09467BCD6


Jan  9 12:32:15 SmartMeterTS postfix/qmgr[4507]: B09467BCD6: from=<>, 
size=2411, nrcpt=1 (queue active)


Jan  9 12:32:15 SmartMeterTS postfix/qmgr[4507]: 58CB47BCD3: removed

Jan  9 12:32:15 SmartMeterTS postfix/smtp[4517]: B09467BCD6: 
to=, relay=smtp.web.de[213.165.67.108]:587, 
delay=0.16, delays=0.01/0/0.14/0.01, dsn=5.0.0, status=bounced (host 
smtp.web.de[213.165.67.108] said: 530 Authentication required (in reply 
to MAIL FROM command))


Jan  9 12:32:15 SmartMeterTS postfix/qmgr[4507]: B09467BCD6: removed

Kann mir jemand sagen, wo der Fehler in meiner Konfiguration liegt?

Grüße

Micha

0xA9189208.asc
Description: application/pgp-keys

Re: Sparkassenspam

[J. Fahrner]

Am 2021-11-09 20:00, schrieb Carsten Rosenberg:

Für die Sparkassen Spams bzw für alle Spams mit etwas mehr Text, macht
sich anlernen im Bayes und Fuzzy ganz gut.

Vor allem Fuzzy solltest du dir anschauen:
https://rspamd.com/doc/workers/fuzzy_storage.html#configuration
https://rspamd.com/doc/modules/fuzzy_check.html


Das mit dem fuzzy check hört sich interessant an, wollte ich längst mal 
aktivieren, hab aber immer aufgegeben weil ich die Doku nicht verstehe. 
Gibts da irgendwo eine idiotensichere Anleitung?


Wenn ich das richtig sehe gibt es da 2 Module welche konfiguriert werden 
müssen, 1. den Teil der die Hashes einsammelt, und 2 den Teil der die 
Prüfungen macht. Richtig?


Gibts da ein autolearn wie bei Bayes? Wie aktiviert man das?

Wie genau müssen die Konfig-Files dafür aussehen? Muss ich die im 1. 
Link genannte Sqlite-DB von Hand anlegen (wenn ja wie?) oder macht er 
das automatisch? Ich kapiers einfach nicht.


Jochen


0xA9189208.asc
Description: application/pgp-keys

Re: Submission Port - receive_override_options=no_header_body_checks funktioniert nicht

[J. Fahrner]

Am 2021-09-09 15:15, schrieb Andreas Wass - Glas Gasperlmair:


Weitere Erkenntnisse:

1.)Sobald amavisd aktiviert wird - egal ob auf smtpd oder auf 
submission - greift receive_override_options=no_header_body_checks  
NICHT mehr.


Schon mal überlegt, sich von amavis zu verabschieden? Ich sehe keinen 
Sinn darin, Virenscanner in einem Mailserver zu verwenden. Man kann sich 
lang über dieses Schlangenöl streiten, aber in einem Mailserver hat es 
IMHO definitiv nichts verloren. Zur Spamabwehr verwende ich rspamd und 
das läuft seit Jahren absolut problemlos, so problemlos, dass ich nach 
und nach alle Antispam-Regeln aus Postfix entferne und die Arbeit allein 
rspamd machen lasse.


LG Jochen

0xA9189208.asc
Description: application/pgp-keys

Re: DKIM, SPF, DMARC usw.

[J. Fahrner]

Am 2021-09-02 18:54, schrieb Walter H.:

da hilft nur S/MIME ;-)
(kein PGP, weil des is wie selbstsigniert, des taugt nur f. die
Sicherstellung der Integrität aber keinesfalls der Authentizität ...)


Bei S/MIME muss ich einer Zertifizierungsstelle vertrauen, da gabs auch 
schon schwarze Schafe. Sogar Googles Zertifikate waren schon mal 
gefälscht. Das sicherste wäre, wenn die Institutionen den Fingerprint 
ihre Signatur auf ihrem Briefpapier veröffentlichen würden, sodass ich 
die selber checken kann, und nicht irgendwelchen "Türktrust" & Co. 
vertrauen muss (was wiederum nichtmal ich selbst bestimmen kann, sondern 
der Hersteller meines Browsers oder Mail-Clients festlegt wem er 
vertraut). Das ist doch alles nicht ausgegoren.


0xA9189208.asc
Description: application/pgp-keys

Re: DKIM, SPF, DMARC usw.

[J. Fahrner]

Am 2021-09-02 17:48, schrieb Juergen RS Dollinger:

Robert Schetterer wrote:
Das hab ich nicht gesagt. Ich ignoriers nur und lebe gut damit. Mal 
sehn

ob jemand mit meinem header Probleme hat.


Ich nutze das zwar, sehe da für Privatpersonen jedoch keinen Vorteil 
darin. Was anderes ist es bei Firmen, wie Banken oder Sparkassen, wo es 
für den Empfänger wichtig wäre ob eine Mail Fake ist oder echt. Aber 
grad da wird es ja nicht oder falsch eingesetzt. Auf Spam hat es IMHO 
keinen Effekt.


Jochen

0xA9189208.asc
Description: application/pgp-keys

antispameurope.com

[J. Fahrner]

Hat hier schon jemand Bekanntschaft mit antispameurope.com gemacht?
Mir ist grad aufgefallen, dass hier Mails der Brauerei Rapp und der 
Allgäuer Zeitung geblockt werden. Grund: die versenden ihre Mails über 
antispameurope.com, und die sind bei Spamhaus gelistet 藍


Wenn man schon einen Dienst betreibt der sich irgendwas mit "antispam" 
nennt, dann sollte man wenigstens dafür sorgen das man selbst nicht auf 
einer Spamliste landet. 藍


Einfach mal mit Profis arbeiten.

$ host antispameurope.com.dbl.spamhaus.org
antispameurope.com.dbl.spamhaus.org has address 127.255.255.254



0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-07-28 22:03, schrieb tobi:

Ich hab jetzt nicht den ganzen Thread gelesen aber dein Problem schreit 
förmlich nach dnsdist ;-) Damit kannst du Queries praktisch beliebig 
auf downstream DNS Server verteilen. Die Clients reden nur noch mit 
dnsdist und der kann alles fritz.box an deine Fritz geben, deine lokale 
PTR Zone an den zuständigen DNS und den Rest an unbound. Die Kriterien 
kannst du dabei (fast) beliebig defninieren. dnsdist ist also sehr 
mächtig und flexibel.


Ich hab das mittlerweile über AdGuard Home gelöst, der hat auch so ein 
Feature.


https://adguard.com/de/adguard-home/overview.html

0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-05-28 14:15, schrieb J. Fahrner:

Super, damit funktioniert es. Hatte ich zwar schon mal erfolglos drin,
aber ohne die Forwards von Uwe. Muss wohl beides zusammen drin sein.


Für die Allgemeinheit, so sieht es nun aus:

local.conf:
---
local-zone: "168.192.in-addr.arpa." transparent

forward.conf:
-
forward-zone:
name: "fritz.box."
forward-addr: 192.168.178.1

forward-zone:
name: "fritz.nas."
forward-addr: 192.168.178.1

forward-zone:
name: "myfritz.box."
forward-addr: 192.168.178.1

forward-zone:
name: "fritz-nas.box."
forward-addr: 192.168.178.1

forward-zone:
name: "wpad.box."
forward-addr: 192.168.178.1

forward-zone:
name: "178.168.192.in-addr.arpa."
forward-addr: 192.168.178.1



0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-05-28 14:10, schrieb Markus Winkler:

versuche mal bitte, ob diese Option am Verhalten etwas ändert:

local-zone: "168.192.in-addr.arpa" transparent


Super, damit funktioniert es. Hatte ich zwar schon mal erfolglos drin, 
aber ohne die Forwards von Uwe. Muss wohl beides zusammen drin sein.


Danke euch!



0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Danke. Hab das mal eingetragen, sieht aber nicht gut aus.

$ dig @127.0.0.1 -p 5353 -x 192.168.178.52

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @127.0.0.1 -p 5353 -x 
192.168.178.52

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 19384
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.178.168.192.in-addr.arpa.   IN  PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa.   10800   IN  SOA localhost. 
nobody.invalid. 1 3600 1200 604800 10800


;; Query time: 0 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1)
;; WHEN: Fr Mai 28 12:38:52 CEST 2021
;; MSG SIZE  rcvd: 115

Lasse ich Adguard die Arbeit machen kriege ich:

$ dig @127.0.0.1 -p 53 -x 192.168.178.52

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @127.0.0.1 -p 53 -x 
192.168.178.52

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12721
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 1, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.178.168.192.in-addr.arpa.   IN  PTR

;; ANSWER SECTION:
52.178.168.192.in-addr.arpa. 9  IN  PTR POCO-M3.fritz.box.
52.178.168.192.in-addr.arpa. 9  IN  PTR Android-3.fritz.box.
52.178.168.192.in-addr.arpa. 9  IN  PTR 
M2010J19CG-POCOM3.fritz.box.


;; AUTHORITY SECTION:
52.178.168.192.in-addr.arpa. 9  IN  NS  fritz.box.

;; ADDITIONAL SECTION:
fritz.box.  9   IN  A   192.168.178.1
fritz.box.  9   IN  
fd00::de39:6fff:fed5:ea55
fritz.box.  9   IN  
2003:f0:e71d:a000:de39:6fff:fed5:ea55


;; Query time: 2 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fr Mai 28 12:42:32 CEST 2021
;; MSG SIZE  rcvd: 229


Am 2021-05-28 12:17, schrieb Markus Schönhaber:

27.05.21, 10:00 +0200, J. Fahrner:



Mein Problem: rDNS Anfragen für Adressen im Heimnetz funktionieren
nicht.

$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)

Ich würde diese rDNS Anfragen gerne an meine Fritzbox (192.168.178.1)
weiterleiten. Wie mach ich das?

Umgekehrt müssten natürlich auch alle Adressen die mit "fritz.box" 
enden

an die Fritzbox geleitet werden.


Bei mir funktioniert das mit folgendem Konfig-Schnipsel:

forward-zone:
name: "fritz.box."
forward-addr: 192.168.178.1

forward-zone:
name: "fritz.nas."
forward-addr: 192.168.178.1

forward-zone:
name: "myfritz.box."
forward-addr: 192.168.178.1

forward-zone:
name: "fritz-nas.box."
forward-addr: 192.168.178.1

forward-zone:
name: "wpad.box."
forward-addr: 192.168.178.1

forward-zone:
name: "178.168.192.in-addr.arpa."
forward-addr: 192.168.178.1




0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Ich hab jetzt einen Workaround gefunden: Adguard Home bietet die 
Möglichkeit für rDNS auf lokale Adressen eine "Abkürzung" zu nehmen, 
direkt die Fritzbox zu fragen und nicht den unbound. Damit klappt das. 
Wäre trotzdem interessant rauszufinden warum es mit unbound nicht 
klappt.


Am 2021-05-27 17:57, schrieb J. Fahrner:

Und das sieht doch eigentlich ganz ok aus, oder?

$ sudo unbound-control list_stubs
. IN stub prime M.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 2001:dc3::35 202.12.27.33
2001:500:9f::42 199.7.83.42 2001:7fd::1 193.0.14.129
2001:503:c27::2:30 192.58.128.30 2001:7fe::53 192.36.148.17
2001:500:1::53 198.97.190.53 2001:500:12::d0d 192.112.36.4
2001:500:2f::f 192.5.5.241 2001:500:a8::e 192.203.230.10
2001:500:2d::d 199.7.91.13 2001:500:2::c 192.33.4.12 2001:500:200::b
199.9.14.201 2001:503:ba3e::2:30 198.41.0.4
fritz.box. IN stub prime +i 192.168.178.1
178.168.192.in-addr.arpa. IN stub noprime 192.168.178.1


Am 2021-05-27 17:55, schrieb J. Fahrner:

Am 2021-05-27 17:47, schrieb J. Fahrner:

$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)


Kann damit jemand was anfangen?

$ dig @127.0.0.1 -p 5353 -x 192.168.178.52

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @127.0.0.1 -p 5353 -x
192.168.178.52
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13917
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 
1


;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.178.168.192.in-addr.arpa.   IN  PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa.   10800   IN  SOA localhost.
nobody.invalid. 1 3600 1200 604800 10800

;; Query time: 0 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1)
;; WHEN: Do Mai 27 17:52:45 CEST 2021
;; MSG SIZE  rcvd: 115


0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-05-27 19:56, schrieb Walter H.:

warum dann am Unbound nicht diese beiden Zonen als forwarding Zonen?


Das versuch ich doch! Hast du nicht gelesen?


0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-05-27 19:22, schrieb Walter H.:

Du willst ja eine rDNS Auflsg. von einer RFC1918 IP, von daher musst
Du schon selbst die Zone dafür halten;


Das macht ja die Fritzbox.

und natürlich im resolv.conf muss dann dieser DNS-Server (seine IP) 
sein;


Die Fritzbox hat leider keinen rekursiven DNS-Server, die leitet ja nur 
an den Provider weiter, ist für mich keine Lösung, deswegen der unbound 
auf einem Odroid.

0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Und das sieht doch eigentlich ganz ok aus, oder?

$ sudo unbound-control list_stubs
. IN stub prime M.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET. 
K.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 
H.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 
E.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 
B.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 2001:dc3::35 202.12.27.33 
2001:500:9f::42 199.7.83.42 2001:7fd::1 193.0.14.129 2001:503:c27::2:30 
192.58.128.30 2001:7fe::53 192.36.148.17 2001:500:1::53 198.97.190.53 
2001:500:12::d0d 192.112.36.4 2001:500:2f::f 192.5.5.241 2001:500:a8::e 
192.203.230.10 2001:500:2d::d 199.7.91.13 2001:500:2::c 192.33.4.12 
2001:500:200::b 199.9.14.201 2001:503:ba3e::2:30 198.41.0.4

fritz.box. IN stub prime +i 192.168.178.1
178.168.192.in-addr.arpa. IN stub noprime 192.168.178.1


Am 2021-05-27 17:55, schrieb J. Fahrner:

Am 2021-05-27 17:47, schrieb J. Fahrner:

$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)


Kann damit jemand was anfangen?

$ dig @127.0.0.1 -p 5353 -x 192.168.178.52

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @127.0.0.1 -p 5353 -x
192.168.178.52
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13917
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.178.168.192.in-addr.arpa.   IN  PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa.   10800   IN  SOA localhost.
nobody.invalid. 1 3600 1200 604800 10800

;; Query time: 0 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1)
;; WHEN: Do Mai 27 17:52:45 CEST 2021
;; MSG SIZE  rcvd: 115


0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Am 2021-05-27 17:47, schrieb J. Fahrner:

$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)


Kann damit jemand was anfangen?

$ dig @127.0.0.1 -p 5353 -x 192.168.178.52

; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> @127.0.0.1 -p 5353 -x 
192.168.178.52

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 13917
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;52.178.168.192.in-addr.arpa.   IN  PTR

;; AUTHORITY SECTION:
168.192.in-addr.arpa.   10800   IN  SOA localhost. 
nobody.invalid. 1 3600 1200 604800 10800


;; Query time: 0 msec
;; SERVER: 127.0.0.1#5353(127.0.0.1)
;; WHEN: Do Mai 27 17:52:45 CEST 2021
;; MSG SIZE  rcvd: 115


0xA9189208.asc
Description: application/pgp-keys

Re: Offtopic: unbound Konfiguration

[J. Fahrner]

Danke für die Tipps. Bekomme leider immer noch den gleichen Fehler:

$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)

Kann man das irgendwie debuggen was da passiert?

Vor allem das SERVFAIL verwundert mich, ich hätte da eher NXDOMAIN 
erwartet.


Am 2021-05-27 11:26, schrieb Patrick Ben Koetter:
So würde ich es auch lösen, *aber* ich würde die Domain noch als 
"inscecure"
markieren, damit unbound, der standardmäßig DNSSEC erwartet, Ergebnisse 
der

nicht DNSSEC-signierten TLD .box nicht unterdrückt.

Also in etwa sowas:


server:

  domain-insecure: "fritz.box"

  stub-zone:
  name: "fritz.box"
  stub-addr: 192.168.178.1
  stub-prime: yes

  local-zone: "178.168.192.in-addr.arpa." nodefault
  stub-zone:
  name: "178.168.192.in-addr.arpa."
  stub-addr: 192.168.178.1


p@rick




0xA9189208.asc
Description: application/pgp-keys

Offtopic: unbound Konfiguration

[J. Fahrner]

Hallo Liste,
mene Frage hat zwar nix mit Postfix zu tun, aber ich weiss nicht wo ich 
sie sonst stellen könnte, und hier nutzen doch einige unbound.


Ich nutze Adguard Home in Verbindung mit unbound in meinem Heimnetz auf 
einem Odroid Minicomputer.


Mein Problem: rDNS Anfragen für Adressen im Heimnetz funktionieren 
nicht.


$ host 192.168.178.52
Host 52.178.168.192.in-addr.arpa not found: 2(SERVFAIL)

Ich würde diese rDNS Anfragen gerne an meine Fritzbox (192.168.178.1) 
weiterleiten. Wie mach ich das?


Umgekehrt müssten natürlich auch alle Adressen die mit "fritz.box" enden 
an die Fritzbox geleitet werden.


Gruss
Jochen


0xA9189208.asc
Description: application/pgp-keys

Re: Problem mit IP-Reputation

[J. Fahrner]

Am 2021-04-28 21:25, schrieb Walter H.:

das sollte ja nicht stören, Dein Server ist ja auch im
IP(v6)-Adressbereich von Hetzner, oder nicht?


Aber der von dem Online-Shop nicht.


0xA9189208.asc
Description: application/pgp-keys

Re: Problem mit IP-Reputation

[J. Fahrner]

Am 2021-04-28 18:02, schrieb Robert Schetterer:

Hetzner hat immer mal wieder schlechte Reputation


Das wundert mich nicht. Habe gerade selbst eine leidvolle Erfahrung 
gemacht. Ich hatte vor Jahren schon auf meiner Firewall alle asiatischen 
und afrikanischen IP's gesperrt, weil da nur Spammer und Hacker daher 
kamen, und ich keine Kommunikation in diese Bereiche habe.


Letzte Woche wollte ich mich bei einem Online-Shop registrieren, aber 
die Bestätigungsmail kam nicht an. Nach langem hin und her mit deren 
Support stellte sich raus, dass die die Mail tatsächlich rausgeschickt 
haben, aber eben meinen Postfix nicht erreicht haben. Des Rätsels 
Lösung: die versendeten von einem Server (Hetzner) der eine IP hatte die 
früher mal aus dem afikanischen/asiatischen Bereich kam (hab das dann 
nicht weiter verfolgt) und 2018 zu Hetzner umgezogen wurde. Offenbar 
haben die Afrikaner einen Überschuss an IPv4 Adressen und Hetzner einen 
Mangel. ;-)


Was bei mir natürlich die Frage aufwirft, wieso man heutzutage immer 
noch neue Server einrichtet, die ausschliesslich eine IPv4 Adresse 
verwenden (der genannte Onlineshop hatte keine IPv6 Adresse). Hätte der 
Shop auch eine IPv6-Adresse gehabt, wäre das überhaupt kein Problem 
gewesen, dann wäre eine Verbindung über IPv6 möglich gewesen. Ich kann 
echt nur den Kopf schütteln über so viel Dilettantismus. Hoffentlich ist 
bald keine einzige IPv4-Adresse mehr verfügbar, anders werden wir den 
Wechsel nicht hinkriegen.


LG
Jochen

0xA9189208.asc
Description: application/pgp-keys

Re: Rspamd fuzzy_check Modul

[J. Fahrner]

Am 2021-04-05 14:38, schrieb Katharina Knuth:


Ich bin ja ganz neu bei rspamd, ;) aber im WebUi erhöht sich die
Fuzzy Zahl bei mir ständig.


Bei mir steht da im WebUI überhaupt nix

--
Mit besten Grüßen
Joachim Fahrner

PGP-Key: http://www.fahrner.name/JoachimFahrner.asc
---
Ich brauche unbedingt neue Verschwörungstheorien.
Meine alten sind alle wahr geworden.

0xA9189208.asc
Description: application/pgp-keys

Rspamd fuzzy_check Modul

[J. Fahrner]

Hallo,
verwendet hier jemand rspamd mit dem fuzzy_check Modul und dem Server 
fuzzy.rspamd.com?


Ich hab das Gefühl das tut bei mir nicht. Wenn ich die Dokumentation 
richtig verstehe, sollte das per default enabled sein.


options.inc enthält bei mir:
filters = "chartable,dkim,regexp,fuzzy_check";

Eine lokale Modul-Konfiguration für das fuzzy_check Modul habe ich nicht 
(allso alles Default-Werte).


In der Modul Doku heisst es:

"If you use rspamd.com feeds (enabled by default) you need to ..."
https://rspamd.com/doc/modules/fuzzy_check.html

Meine Mails enthalten jedoch keine FUZZY_* Symbole, daher nehme ich an, 
dass da irgendwas nicht funktioniert.


Gruss
Jochen

0xA9189208.asc
Description: application/pgp-keys

Re: AVM Fritzbox Push-Nachricht wird abgelegt

[J. Fahrner]

Hallo Christoph,

vermutlich hast du diesen Parameter gesetzt. Wenn du den rausnimmst 
müsste es gehen.


http://www.postfix.org/postconf.5.html#reject_non_fqdn_helo_hostname

Am 2021-01-30 14:26, schrieb Christoph Kukulies:

Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu 
diskutieren, aber ich versuche es mal.


In einer Fritzbox (FB)  7590 (und sicher auch in anderen Modellen) kann 
man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht" an einen 
EMail-Empfänger senden, den man in die FB einträgt. Die 
KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige 
Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man 
kann auch einen eigenen Server angeben samt port Nr. (587 in meinem 
Falle).


Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem 
Server mit :

(aus /var/log/mail.log)

Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: 
RCPT from p50823bxx.dip0.t-ipconnect.de [1][80.130.59.249]: 504 5.5.2 
: Helo command rejected: need fully-qualified hostname; 
from= to= proto=ESMTP helo=
Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: 
RCPT from p50823bxx.dip0.t-ipconnect.de [1][80.130.59.249]: 504 5.5.2 
: Helo command rejected: need fully-qualified hostname; 
from= to= proto=ESMTP helo=


Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische 
Antwort ist, da ich den Fehler ja schon bei meinem Mailserver 
lokalisiert habe, solle ich mich gefälligst auch dort selber darum 
kümmern oder eine andere Email-Adresse als Adressaten verwenden.


Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das 
Argument des HELO Commands ignorieren kann? Aber damit begibt man sich 
ja einer Sicherheitsstufe.


(verwende zwar dovecot, aber das ist doch wahrscheinlich eine 
postfix-Angelegenheit, oder?)


Viele Grüße

Christoph




Links:
--
[1] http://p50823bxx.dip0.t-ipconnect.de

0xA9189208.asc
Description: application/pgp-keys

Re: Mailman

[J. Fahrner]

Am 2020-08-19 21:08, schrieb J. Fahrner:


Und was liefert?:

postconf -n | grep aliases


# postconf -n | grep aliases
alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases 
hash:/var/lib/mailman/data/aliases


Was mich ja etwas stutzig macht ist folgende Aussage:
http://www.postfix.org/postconf.5.html
-
append_at_myorigin (default: yes)
With locally submitted mail, append the string "@$myorigin" to mail 
addresses without domain information. With remotely submitted mail, 
append the string "@$remote_header_rewrite_domain" instead.


Note 1: this feature is enabled by default and must not be turned off. 
Postfix does not support domain-less addresses.

--

Also: Postfix kann nicht mit Adressen ohne Domain umgehen. Im 1. Schritt 
wird aufgrund von /var/lib/mailman/data/virtual-mailman die Domain 
entfernt. Dann habe ich eine lokale Adresse ohne Domain, die in der 
Alias-Tabelle gefunden würde. Vorher wird aber noch ein "@fahrner.name" 
angehängt, und damit kann das ja nicht mehr gefunden werden. Kann mir 
das einer erklären? Das kann doch schon vom Prinzip her nicht 
funktionieren.


0xA9189208.asc
Description: application/pgp-keys

Re: Mailman

[J. Fahrner]

Am 2020-08-19 19:41, schrieb Markus Winkler:

postmap -q neuigkei...@listen.freidenker-netzwerk.de
hash:/var/lib/mailman/data/virtual-mailman

da müsste das hier erscheinen:

neuigkeiten


Tut es:

# postmap -q neuigkei...@listen.freidenker-netzwerk.de 
hash:/var/lib/mailman/data/virtual-mailman

neuigkeiten



Und bei:

postmap -q neuigkeiten hash:/var/lib/mailman/data/aliases

das:

"|/var/lib/mailman/mail/mailman post neuigkeiten"

Ist das so?


Ja.

# postmap -q neuigkeiten hash:/var/lib/mailman/data/aliases
"|/var/lib/mailman/mail/mailman post neuigkeiten"



Und was liefert?:

postconf -n | grep aliases


# postconf -n | grep aliases
alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases 
hash:/var/lib/mailman/data/aliases




0xA9189208.asc
Description: application/pgp-keys

Re: Mailman

[J. Fahrner]

Am 2020-08-19 18:10, schrieb Markus Winkler:

Du hast zwar keine Infos zu Deiner Config angegeben, aber ich vermute
mal, dass in Deiner main.cf etwas wie das hier fehlt:

virtual_alias_maps = ..., hash:/var/lib/mailman/data/virtual-mailman
alias_maps = ..., hash:/var/lib/mailman/data/aliases

Und damit ist die Verwendung von postfix-to-mailman.py tatsächlich 
nicht nötig.


Doch, war beides drin. Ich hatte verschiedene Anleitungen im Netz 
ausprobiert, u.a. auch diese hier: 
https://www.gnu.org/software/mailman/mailman-install/postfix-virtual.html#postfix-virtual


Hat alles nicht funktioniert. Ich wollte euch auch nicht mit meiner 
kompletten Konfiguration erschlagen, die ist mittlerweile so komplex, 
dass ich selbst nur noch mit Mühen durchblicke (Server für mehrere 
Domains, konfiguriert mittels Postgresql und Postfixadmin, rspamd, ...).


Mir würde es schon völlig reichen wenn mir jemand sagen könnte wie man 
das Address-Rewriting gezielt debuggen kann. Auf try-and-error 
verschiedener Anleitungen aus dem Netz habe ich keinen Bock mehr. Ausser 
es kennt jemand eine, die WIRKLICH FUNKTIONIERT.


0xA9189208.asc
Description: application/pgp-keys

Re: Mailman

[J. Fahrner]

Ich hab's jetzt mit dem Transport-Script postfix-to-mailman.py gelöst, 
damit funktioniert es. Angeblich soll man die Methode ja nicht mehr 
verwenden... aber wenn's funktioniert.


Ich lass das jetzt so. Never touch a running system. ;-)
Aber interessant wäre, wie man solche Dinge debuggen könnte. Das verbose 
Log vom trivial-rewrite hat ja auch nicht viel gebracht.


Am 2020-08-19 16:28, schrieb Juergen Dollinger:

J. Fahrner wrote:

Ich hätte jetzt erwartet, dass die Mail aufgrund von
/var/lib/mailman/data/aliases
neuigkeiten: "|/var/lib/mailman/mail/mailman post 
neuigkeiten"


An mailman übergeben wird. Danach sieht es aber nicht aus.
Woran könnte das liegen?


Was sagt denn
postconf  alias_maps
?

Da sollte sowas wie

alias_maps = hash:/etc/postfix/aliases, 
hash:/var/lib/mailman/data/aliases


rauskommen, falls ja hast du auch
postalias /var/lib/mailman/data/aliases
aufgerufen?

Mir fällt auf, dass in der Alias-Tabelle keine Domainnamen drin sind. 
Könnte

das die Ursache sein?


Das ist bei aliasen immer so, sonst waeren es ja virtual aliases.
Eigentlich erstaunlich warum mailman die alias Datenbank bevorzugt
obwohl die Listen stets einen bestimmten Domainnamen haben.




0xA9189208.asc
Description: application/pgp-keys

Re: Mailman

[J. Fahrner]

erver postfix/trivial-rewrite[3]: master_notify: 
status 1
Aug 19 12:56:11 server postfix/cleanup[1]: C0E15840D1: 
message-id=<20200819105611.c0e1584...@server.fahrner.name>
Aug 19 12:56:11 server postfix/qmgr[11093]: C0E15840D1: from=<>, 
size=2619, nrcpt=1 (queue active)
Aug 19 12:56:11 server postfix/bounce[11122]: 88D4B810CF: sender 
delivery status notification: C0E15840D1
Aug 19 12:56:11 server postfix/trivial-rewrite[3]: master_notify: 
status 0


Am 2020-08-19 11:37, schrieb J. Fahrner:


Hallo,
ich verzweifel hier gerade mit Mailman und Postfix.
Ich dachte bisher, das würde laufen, aber komischerweise gehen
Listenmails nicht an die Listenmitglieder, sondern nur an mich selbst.

Im Log sieht das z.B, so aus:

Aug 19 11:26:41 server postfix/cleanup[4905]: E1382801AB:
message-id=
Aug 19 11:26:43 server postfix/qmgr[2565]: E1382801AB:
from=, size=2867, nrcpt=1 (queue
active)
Aug 19 11:26:43 server postfix/smtpd[4895]: disconnect from
mail-yb1-xb29.google.com[2607:f8b0:4864:20::b29] ehlo=2 starttls=1
mail=1 rcpt=1 bdat=1 quit=1 commands=7
Aug 19 11:26:44 server postfix/pipe[4914]: E1382801AB:
to=,
orig_to=, relay=dovecot,
delay=2.7, delays=2.4/0.02/0/0.22, dsn=2.0.0, status=sent (delivered
via dovecot service)
Aug 19 11:26:44 server postfix/qmgr[2565]: E1382801AB: removed

Ich hätte jetzt erwartet, dass die Mail aufgrund von
/var/lib/mailman/data/aliases
neuigkeiten: "|/var/lib/mailman/mail/mailman post 
neuigkeiten"


An mailman übergeben wird. Danach sieht es aber nicht aus.
Woran könnte das liegen?
Mir fällt auf, dass in der Alias-Tabelle keine Domainnamen drin sind.
Könnte das die Ursache sein?

0xA9189208.asc
Description: application/pgp-keys

Mailman

[J. Fahrner]

Hallo,
ich verzweifel hier gerade mit Mailman und Postfix.
Ich dachte bisher, das würde laufen, aber komischerweise gehen 
Listenmails nicht an die Listenmitglieder, sondern nur an mich selbst.


Im Log sieht das z.B, so aus:

Aug 19 11:26:41 server postfix/cleanup[4905]: E1382801AB: 
message-id=
Aug 19 11:26:43 server postfix/qmgr[2565]: E1382801AB: 
from=, size=2867, nrcpt=1 (queue 
active)
Aug 19 11:26:43 server postfix/smtpd[4895]: disconnect from 
mail-yb1-xb29.google.com[2607:f8b0:4864:20::b29] ehlo=2 starttls=1 
mail=1 rcpt=1 bdat=1 quit=1 commands=7
Aug 19 11:26:44 server postfix/pipe[4914]: E1382801AB: 
to=, 
orig_to=, relay=dovecot, 
delay=2.7, delays=2.4/0.02/0/0.22, dsn=2.0.0, status=sent (delivered via 
dovecot service)

Aug 19 11:26:44 server postfix/qmgr[2565]: E1382801AB: removed

Ich hätte jetzt erwartet, dass die Mail aufgrund von 
/var/lib/mailman/data/aliases
neuigkeiten: "|/var/lib/mailman/mail/mailman post 
neuigkeiten"


An mailman übergeben wird. Danach sieht es aber nicht aus.
Woran könnte das liegen?
Mir fällt auf, dass in der Alias-Tabelle keine Domainnamen drin sind. 
Könnte das die Ursache sein?


0xA9189208.asc
Description: application/pgp-keys

Re: Mailman Listenaddresse

[J. Fahrner]

was steht bei Dir in 'Allgemeine Optionen' -> 'Bevorzugter Hostname
für E-Mail an diese Liste' (general -> host_name)?


Danke, das scheint's gewesen zu sein!

0xA9189208.asc
Description: application/pgp-keys

Mailman Listenaddresse

[J. Fahrner]

Hallo,
ich habe hier ein kleineres Problem mit Mailman 2. Ich habe das für eine 
virtuelle Domain im Postfix eingerichtet. Die Hauptdomain ist z.B. 
meinedomain.de, die Subdomain für Mailman dann listen.meinedomain.de. 
Klappt soweit auch alles ordnungsgemäss, nur: trägt sich jemand in die 
Liste ein, steht in der Willkommensmail, er solle die Mails an 
listenn...@meinedomain.de schicken. Das klappt aber nicht, es muss 
listenn...@listen.meinedomain.de heissen, sonst ist die Mail nicht 
zustellbar.

Hab ich da im Postfix noch was vergessen?

Gruss
Jochen



0xA9189208.asc
Description: application/pgp-keys

Re: DNS problem with vodaphone client

[J. Fahrner]

Wie ich deinem Log entnehme connectest du auf Port 25, nicht 587. 

[123.123.115.43]:25 


Ausserdem solltest du bei den Restrictions immer als erstes ein
"permit_sasl_authenticated" haben, damit die ganzen Prüfungen nicht
durchgeführt werden. 


Am 2020-07-20 08:35, schrieb Christoph Kukulies:

Wenn ich zuhause von meiner t-online IP Adresse zu meinem Server verbinde (SMTP), kann ich EMails problemlos (TLS, port 587) verschicken. 
Im Moment bin ich in einem anderen Bundesland unterwegs bei meiner Tochter und nutze deren Vodadingsbums-Anschluß. 

Ich kann an meinen Server derzeit keine SMTP- Email absetzen. Der vodadingsbums-Client wird abgewiesen: 

Jul 18 21:01:00 myusername postfix/postscreen[4485]: CONNECT from [188.98.123.123]:50403 to [123.123.115.43]:25 
Jul 18 21:01:00 myusername postfix/dnsblog[4489]: addr 188.98.123.123 listed by domain b.barracudacentral.org [1] as 127.0.0.2 
Jul 18 21:01:00 myusername postfix/dnsblog[4490]: warning: dnsblog_query: lookup error for DNS query 123.123.98.188.list.dnswl.org [2]: Host or domain name not found. Name service error for name=123.123.98.188.list.dnswl.org [2] type=A: Host not found, try again 
Jul 18 21:01:00 myusername postfix/dnsblog[4490]: warning: dnsblog_query: lookup error for DNS query 123.123.98.188.zen.spamhaus.org [3]: Host or domain name not found. Name service error for name=123.123.98.188.zen.spamhaus.org [3] type=A: Host not found, try again 
Jul 18 21:01:00 myusername postfix/dnsblog[4490]: addr 188.98.123.123 listed by domain dnsbl.sorbs.net [4] as 127.0.0.10 
Jul 18 21:01:00 myusername postfix/dnsblog[4491]: addr 188.98.123.123 listed by domain spamtrap.trblspam.com [5] as 104.247.81.131 
Jul 18 21:01:06 myusername postfix/postscreen[4485]: DNSBL rank 4 for [188.98.123.123]:50403 
Jul 18 21:01:06 myusername postfix/tlsproxy[4493]: CONNECT from [188.98.123.123]:50403 
Jul 18 21:01:06 myusername postfix/postscreen[4485]: DISCONNECT [188.98.123.123]:50403 
Jul 18 21:01:06 myusername postfix/tlsproxy[4493]: DISCONNECT [188.98.123.123]:50403 

Woran liegts das?  

Grüße 
Christoph




Links:
--
[1] http://b.barracudacentral.org/
[2] http://list.dnswl.org/
[3] http://zen.spamhaus.org/
[4] http://dnsbl.sorbs.net/
[5] http://spamtrap.trblspam.com/

Re: postfix port 25: Address already in use

[J. Fahrner]

Am 2019-10-31 15:19, schrieb Katharina Knuth:

Ich glaube, ich konnte das Problem eingrenzen. Es hat wohl mit den
start/stop/reload Scripten in /etc/init.d zu tun. Da stimmt etwas
nicht. Denn wenn ich Postfix über systemctl "bediene", funktioniert
alles prima.

Hat das u.U. mit der fehlenden LSB Unterstützung zu tun?
Denn das wurde bei der Installation von Postfix "angemeckert"


Vielleicht solltest du einen Wechsel zu Devuan in Betracht ziehen. Der 
ganze systemd-Müll verursacht doch nur Probleme.


Gruss
Jochen

Re: SMTP über VPN-Verbindung geht nicht

[J. Fahrner]

Am 2019-06-22 19:02, schrieb tba...@txbweb.de:

ich verwende einen Mailserver mit Postfix / Dovecot. Wenn ich eine
VPN-Verbindung über NordVPN z.B. herstelle, kann ich über meinen
Mailclient keine Mails versenden.


Manche VPN-Provider sperren Port 25 wegen Spamming. Man muss sich dann 
dort explizit freischalten lassen. Studier mal deren FAQ.


Jochen

Re: Wie können bestimmte Absender geblockt werden ?

[J. Fahrner]

Am 2019-05-10 10:10, schrieb postfix...@rirasoft.de:

[root@odroidh2 ~]# postmap -q no-re...@sharepointonline.com
regexp:/etc/postfix/sender_access.regexp
[root@odroidh2 ~]#
Das heißt: es funktioniert so nicht.

Hier meine Datei:
[root@odroidh2 ~]# cat /etc/postfix/sender_access.regexp
/\.sharepointonline\.com$/REJECT Mail from .sharepointonline.com
not accepted


Kai Fürstenberg hatte doch schon drauf hingewiesen, der Punkt am Anfang 
muss weg!

Re: Mail anhand Empfängeradresse nach RegEx verwerfen

[J. Fahrner]

Am 2019-05-06 20:18, schrieb Stefanie Leisestreichler:

Die Mailadressen sind nach diesem Muster aufgebaut:
: host mx.tld.de[private/dovecot-lmtp] said:
550 5.1.1  User doesn't exist:
auto54...@tld.de (in reply to RCPT TO command)

"AUTO" ist bei allen das Präfix und dann wird dort ein Integer,
jeweils um 1 inkrementiert, drangehängt. Dann kommt der Domain-Part.

Das wollte ich per smtpd_recipient_restrictions = ...,
regexp:/etc/postfix/recipient_discard realisieren, aber im Schreiben
von Regexes bin ich - ehrlich gesagt - ungeübt und weiß, dass man da
auch schnell unerwünschte Seiteneffekte bekommen kann. Gibt es hier
jemanden, der gut darin ist und eine zuverlässige entsprechende RegEx
hierfür kennt?


Der Regex wäre in dem Fall sehr einfach: AUTO[0-9]*@tld\.de

Re: DKIM signing bei Mailweiterleitung

[J. Fahrner]

Am 2019-04-03 09:58, schrieb Carsten Rosenberg:

Ich seh immer noch nicht wo Rspamd hier mikrig dokumentiert ist.


Einzige Erklärung der Option "try_fallback": Whether to fallback to 
global config


Wie soll ich denn riechen was "fallback to global config" bedeutet, bzw. 
für Konsequenzen hat?


Dir mag das vielleicht klar sein, mir jedenfalls nicht.

Re: DKIM signing bei Mailweiterleitung

[J. Fahrner]

Am 2019-04-03 06:31, schrieb Carsten Rosenberg:

- To be eligible for signing, a mail must be received from an
authenticated user OR a reserved IP address OR an address in the
sign_networks map (if defined)

- Selector and path to key are selected from domain-specific config if
present, falling back to global config

https://rspamd.com/doc/modules/dkim_signing.html


Dort steht genau die Lösung deines Problems. Was sollte hier noch 
fehlen?


Nun, da steht ja nur wie er sich die Keys und den Selektor bestimmt. Da 
steht nicht, wie man ihm sagt für welche Domains er überhaupt signieren 
soll.

Komische Mails an LinkedIn

[J. Fahrner]

Hallo Liste,
Junior ist bei LinkedIn angemeldet, und immer wenn er von da Mails 
bekommt geht anschliessend eine Mail zurück an eine komische 
Absenderadresse, z.B. 
m-szc8omy5imq0utn6mlluyot9o0v67ime5h8viq8buhjrvga82yj...@bounce.linkedin.com


Was ist das? Sind das Empfangsbestätigungen? Kann ich die verhindern?

Jochen

Re: DKIM signing bei Mailweiterleitung

[J. Fahrner]

Am 2019-04-02 20:23, schrieb Carsten Rosenberg:

Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach
rspamd.com forken, ändern und PR stellen.


Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung. 
Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten 
auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da 
beisst sich die Katze in den Schwanz!

Re: DKIM signing bei Mailweiterleitung

[J. Fahrner]

Am 2019-04-02 19:55, schrieb Carsten:

Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet,
wenn es keine spezifische Option für eine Domain gibt wird der Default
angenommen.

https://rspamd.com/doc/modules/dkim_signing.html


Danke! Hört sich gut an. Werde ich testen. Schade, dass rspamd so 
mickrig dokumentiert ist. Wäre schön, wenn die einzelnen Optionen besser 
erklärt wären.

Re: DKIM signing bei Mailweiterleitung

[J. Fahrner]

Am 2019-04-02 19:11, schrieb Walter H.:

On 02.04.2019 10:30, J. Fahrner wrote:

Wie könnte ich sowas verhindern?

eingehend und ausgehend trennen?
beim eingehenden braucht es keine DKIM-Signatur, sondern nur die 
Validierung

ausgehend wiederum braucht es nur DKIM-Signatur selbst ...


Das ist nicht das Problem. Die Sieve-Weiterleitung ist ja ausgehend, und 
das möchte er eben signieren. Auch wennś von Fremden ist.

Re: Zertifikatsformat für Postfix <-> Lets Encrypt

[J. Fahrner]

Am 2019-04-02 17:31, schrieb Cengiz Pirasa:

> Apr  2 17:20:14 ws1 postfix/smtpd[22674]: warning: TLS library problem: 
> error:02001002:system library:fopen:No such file or 
> directory:../crypto/bio/bss_file.c:292:fopen('/etc/ssl/froxlor_custom/w***.eu_fullchain.pem','r'):

No such file ist eigentlich ziemlich eindeutig. Die Datei gibt es nicht.
Läuft dein Postfix vielleicht mit chroot? 

Jochen

DKIM signing bei Mailweiterleitung

[J. Fahrner]

Hallo Liste,

ich lasse meine Mails durch rspamd mit dkim signieren, in dem ich sie 
per non_smtpd_milters durch rspamd leite. Klappt soweit ganz gut.
Problem: ich leite bestimmte Newsletter im Dovecot per Sieve Regel 
weiter an einen anderen Account. Hier versucht jetzt rspamd wieder zu 
signieren, obwohl der Absender natürlich nicht aus meiner Domain ist und 
somit auch kein Key vorhanden ist. Das quittiert rspamd regelmässig mit 
einer Fehlermeldung. Ist zwar nicht schlimm, die Mail wird trotzdem 
verarbeitet, aber halt unschön.


Wie könnte ich sowas verhindern?

Jochen

Re: Erklärung PGP/GnuPG,

[J. Fahrner]

Am 2019-03-14 19:49, schrieb Walter H.:

und müsstest strenggenommen jede Mail, welche einen Key verwendet,
welcher nicht hinterlegt ist
verwerfen;


Warum denn gleich verwerfen? Zunächst mal brauche ich ja nur anzweifeln 
ob die Mail wirklich von dem Absender stammt, den er vorgibt. Wie bei 
jeder anderen Mail auch. Wenn ich Wert darauf lege, den Absender zu 
verifizieren, dann tue ich das halt. Über einen zweiten unabhängigen und 
vertrauenswürdigen Kanal. Wo ist das Problem?



oder anders der Erstkontakt ist mit PGP unmöglich;


Wieso denn? Keiner zwingt mich die Mail abzuweisen.


dieses Problem hast mit S/MIME gar nicht;


Nur wenn ich den 1000 CAs da drausen wirklich vertraue. Tust du das? 
Wenn die CA "Türktrust" heisst (gibts wirklich), wäre ich zumindest 
vorsichtig ;-)

Re: Erklärung PGP/GnuPG,

[J. Fahrner]

Am 2019-03-13 19:27, schrieb Walter H.:

Du sprichst hier von SSL-Zertifikaten (eine andere Baustelle); bei
S/MIME hat man von derartigem noch nie gehört;


Sind die gleichen (unzuverlässigen) Firmen, die diese Zertifikate 
ausstellen. Warum sollte ich denen bei den Mailzertifikaten mehr 
vertrauen?



das halte ich mal f. ein Gerücht; weil woher hast Du denn die Kenntnis
vom Fingerprint Deines Gegenübers?


Wie ich schon schrieb, kann mir mein Gegenüber den Fingerprint auf einem 
separaten Kommunikationsweg zukommen lassen (Am Telefon vorlesen, per 
Threema schicken, ...). Nur so hat man absolute Sicherheit. Sobald ich 
einem Dritten vertrauen soll, ist mein Vertrauen dahin. ;-)

Re: Erklärung PGP/GnuPG,

[J. Fahrner]

Am 2019-03-12 20:51, schrieb Walter H.:

ich würde empfehlen, auf s/mime umzusteigen, dies hat bei den Clients
eine hinreichende Verbreitung
sodaß derartiges wie mit PGP/GnuPG nicht passiert;


Technisch gesehen finde ich S/MIME auch besser, Problem ist nur ein 
Zertifikat zu bekommen (möglichst kostenlos). Daran scheitern die 
meisten, und deswegen wird sich das auch nie weiter durchsetzen. :-(

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-06 08:23, schrieb Patrick Ben Koetter:
Soll mir recht sein. Auf Diskussionen, wer hier Recht hat, lasse ich 
mich mit
denen nicht mehr ein. smtp_header_checks gaukeln denen eine schöne, 
heile Welt

vor.


Wie genau müsste denn die Headerzeile aussehen damit die zufrieden sind? 
Was fügst du da ein?


Jochen

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-05 23:36, schrieb Frank Belau:

localhost.localdomain  kommt nicht gut an...

siehe auch: https://www.abuseat.org/namingproblems.html


Ist ja nicht im HELO, sondern beim einkippen in Postfix auf dem 
localhost.
Interessant ist immer nur die oberste received-Zeile. Was ich in meinem 
lokalen Netz mache geht niemand was an.

Re: AW: AW: Google blockt Mails

[J. Fahrner]

Am 2019-03-05 19:55, schrieb Walter H.:

verwendest Du mehrere IPv6 Adressen vom zugeordneten /64-Prefix?


Nein.


der rDNS ist ident mit dem der IPv4 Adresse


Ja.


die DNS-Name hat einen A Record mit der IPv4 Adresse und einen mit
dieser IPv6 Adresse
und beides ist im SPF definiert und im SMTP-HELO/EHLO wird exakt
dieser DNS-Name verwendet?


Ja.

Re: AW: AW: Google blockt Mails

[J. Fahrner]

Am 2019-03-05 17:15, schrieb Uwe Drießen:

Dann mal pur Technisch und das alle dran Teilhaben

DNS Prüfen

Scheinbar geht Google SEHR tief in die DNS records

Prüfen mit

https://zonemaster.net/domain_check

alle Unstimmigkeiten bereinigen


Das nützt in meinem Fall überhaupt nix. Mit meiner Domain ist alles in 
Ordnung. Kannst es gerne selber prüfen lassen.

Re: AW: Google blockt Mails

[J. Fahrner]

Am 2019-03-04 21:17, schrieb Uwe Drießen:

Nein das ist nicht die Lösung weil es auch einige gibt die selbst mit
dem Workaround keine Mails an google rausbekommen

Noch nicht mal an ihr eigenes Mailkonto bei Google
Es sei denn sie Antworten auf eine Mail von sich selber die zuerst
über Google gesendet wurde :-)


Nicht mal das hatte bei mir via IPv6 geklappt!
Mir scheint das eher ein Glücksspiel zu sein, seine Mails bei Google 
loszuwerden.


Ich habe da folgende Theorie:
Google hat heftigste Probleme mit incoming Spam. Wie Patrick schon 
ausführte, sind Blacklists bei IPv6 nicht anwendbar. Also experimentiert 
(!) Google an neuen Filtertechniken für IPv6. Die grossen Provider, wie 
GMX, T-Online, usw. sind wohl auf einer Whitelist, die werden bei den 
Tests ausgenommen. Kein groosser Aufschrei. Die kleinen Provider 
verwenden nachwievor nur IPv4, betrifft die also auch nicht. Betroffen 
sind nur echte Spammer, und so kleine Einzelkämpfer mit eigenem vServer 
bei Hetzner & Co. Und denen geht Google am A... vorbei.

[Theorie Ende]

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-04 20:09, schrieb Robert Schetterer:

Das technische Problem wurde geloest ich denke keiner hat Beifall
geklatscht.


Naja... ist das wirklich die Lösung "verwende kein IPv6 bei Gmail"?

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-02 08:22, schrieb Patrick Ben Koetter:

Du hattest die IPv6 gekürzt gepostet. Von wem stammt das Netz?


Von Hetzner

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-01 18:29, schrieb Patrick Ben Koetter:

Ich denke es ist nicht zulässig von "IPv6 wird bei mir abgelehnt" auf
"Mailprovider zu doof (...) IPv6 richtig zu implementieren" zu 
schliessen.


Sorry, aber als Diplom-Informatiker sehe ich das anders. IPv4 oder IPv6 
sind nichts anderes als Transportschichten. Semantisch DARF das keinen 
Unterschied machen. Wenn es das doch tut, dann ist auf einer Seite was 
faul. Meine Seite habe ich mittlerweile ausgeschlossen, auch reverse DNS 
ist sichergestellt. Von daher ist für mich, auch andere Berichte 
bestätigen das, eindeutig Google der Schuldige. Andere Mailhosts machen 
per IPv6 ja auch keine Probleme.


Ich bleibe bei meiner Meinung, Google ist "zu doof" !!!

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-01 09:32, schrieb lst_ho...@kwsoft.de:

Ist fast schon so lange wie wir IPv6 haben ein Problem. Bei Google
werden immer wieder IPv6 Verbindungen abgewiesen wenn sie ein
(temporäres) Problem mit der PTR Auflösung haben. Wir haben deshalb
schon seit Jahren einen IPv4 Only Transport für diese technischen
Leuchten.


Ehrlich gesagt ist mir das zu blöd, mein ganzes Postfix-Setup zu 
verhunzen, nur weil ein Mailprovider zu doof ist IPv6 richtig zu 
implementieren. Auch wenn der Google heisst.


Könnte man nicht im unbound irgendwas machen, damit für Google keine 
-Records geliefert werden?


Jochen

Re: Google blockt Mails

[J. Fahrner]

Am 2019-03-01 06:56, schrieb Robert Schetterer:

Ich schicke an an google per se nur via ipv4
deren Spamerkennung auf ipv6 war zumindest mal sehr fehlerhaft


Hallo Robert,
wie kann man einstellen, dass nur für bestimmte Domains kein ipv6 
verwendet werden soll? Ich kenne nur den parameter inet_protocols, der 
gilt aber für alles.


Jochen

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-28 13:21, schrieb Boris Behrens:

Kein IPv6 ptr?


Doch.

Re: Google blockt Mails

[J. Fahrner]

Neue Erkenntnis: wenn ich Postfix nur über ipv4 senden lasse, dann geht 
die Mail durch. Nur bei ipv6 werden sie geblockt.

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 20:38, schrieb Patrick Ben Koetter:

Was sagt denn Googles Feedback Loop?


Keine Ahnung wie man das einrichtet. Liest sich ziemlich kompliziert. 
Ist mir den Aufwand ehrlich gesagt nicht wert.
In den Postmaster Tools wurde die Domain endlich aktiv, aber das hätte 
ich mir auch sparen können:


"Momentan sind keine Daten zum Anzeigen vorhanden. Versuchen Sie es 
später noch einmal."

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 19:40, schrieb J. Fahrner:

Am 2019-02-27 18:56, schrieb Robert Schetterer:

google hat zb mal pauschal etliche Hetzner Ips/Netze gesperrt


Meiner ist bei Hetzner. Das wäre ja ne schöne Sauerei :-(


Selbst wenn ich mir von Google aus schreibe und dann darauf antworte, 
wird die Mail abgewiesen. Die sind doch völlig Gaga!

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 18:56, schrieb Robert Schetterer:

google hat zb mal pauschal etliche Hetzner Ips/Netze gesperrt


Meiner ist bei Hetzner. Das wäre ja ne schöne Sauerei :-(

Re: AW: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 16:24, schrieb Uwe Drießen:

Absender soll den Empfänger verständigen der soll sich mit Google
auseinandersetzen warum Google seine Nachrichten im Empfang
unterdrückt.


Eigentlich genau die richtige Einstellung. Ich frage mich gerade, wie 
ist das eigentlich rechtlich? Ich meine mal gelesen zu haben, dass der 
Mailprovider dafür haftet wenn (wichtige) Mails nicht ankommen. Deswegen 
blocken die meisten Provider nicht, sondern markieren die Mails 
lediglich als Spam und überlassen es dem Anwender, diese per Filterregel 
in einen Spam-Ordner zu verschieben oder zu löschen. So sind sie aus der 
Verantwortung.


Jochen

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 15:06, schrieb Martin Steigerwald:

Noch dazu hatte ich es immer wieder mal auch mit einem Spammer, der ein
Google-Konto verwendet, zu tun. Google war dabei alles anderes als
hilfreich, weswegen ich mittlerweile einen solchem Spammer ohne
Rücksprache mit Google blocke.

Mit anderen Worten: Wer da anzieht, sollte auch vor der eigenen Haustür
kehren.


Die Beobachtung kann ich bestätigen. Die sollten sich erstmal auf ihren 
ausgehenden Spam konzentrieren, bevor sie die Hürden inbound ins 
Unermessliche steigern.
Das blöde ist ja, dass Google bei Mails mittlerweile so groß ist, dass 
man es nicht mehr ignorieren kann, und sich mit deren Sch... Hürden 
zeitintensiv auseinandersetzen muss. :-(


Jetzt soll ich mich auch noch bei ihrem Drecks Postmaster Tool anmelden 
und meine Domain da registrieren. Das allein ist ja schon eine 
Frechheit. Man stelle sich mal vor, alle würden das so machen: 
Microsoft, Yahoo, GMX, Web.de, Posteo... da würde man ja nicht mehr 
fertig werden. Und dann funktioniert deren Tool noch nicht mal gescheit. 
Habe wie befohlen einen TXT-Record in mein DNS eingefügt (man stelle 
sich wieder vor, jeder würde das verlangen), und jetzt warte ich schon 
seit Stunden darauf, dass die Domain akzeptiert wird. Obwohl der 
TXT-Record im Internet von jeder Online-DNS-Abfrage gesehen wird, kann 
Google den immer noch nicht finden.


"Das Prüftoken in den TXT-Einträgen Ihrer Domain konnte nicht gefunden 
werden. Sie müssen eventuell einige Minuten warten, bevor Ihre 
Änderungen in den TXT-Einträgen wirksam werden.".


Dreck, Dreck, dreckerter Dreck!

Jochen

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 13:56, schrieb Patrick Ben Koetter:

* J. Fahrner :

Am 2019-02-27 13:13, schrieb Patrick Ben Koetter:

> Hast Du SPF und DKIM am Start?

Ja beides.


DMARC?


Laut appmaildev.com Prüfreport ist alles in Ordnung. Ich sehe da keinen 
Grund warum Google das ablehnen sollte.



This is SPF/DKIM/DMARC/RBL report generated by a test tool provided
by AdminSystem Software Limited.

Any problem, please contact supp...@emailarchitect.net

Report-Id: 3c6fe315
Sender: 
Header-From: 
HELO-Domain: server.fahrner.name
Source-IP: 88.198.89.240
Validator-Version: 1.08

Original email header:

x-sender: x...@fahrner.name
x-receiver: test-3c6fe...@appmaildev.com
Received: from server.fahrner.name ([88.198.89.240]) by appmaildev.com 
with Microsoft SMTPSVC(8.5.9600.16384);

 Wed, 27 Feb 2019 12:33:09 +
Received: from roundcube.fahrner.name (localhost.localdomain 
[127.0.0.1])

by server.fahrner.name (Postfix) with ESMTP id 11DAF101F60
	for ; Wed, 27 Feb 2019 13:33:08 +0100 
(CET)

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fahrner.name;
	s=dkim; t=1551270789; 
h=from:from:sender:reply-to:subject:subject:date:date:

 message-id:message-id:to:to:cc:mime-version:mime-version:
 content-type:content-type:
 content-transfer-encoding:content-transfer-encoding:in-reply-to:
 references; bh=cJ1CPihF7oM5a/4pQaRuKUhDnJoeSUjAYsNqUkn49iE=;
b=qgWNi3NVBdRc6xRDcHObZESb6QTiYhb3oRJhJHJaznWZRPC8NfgBWT/Plp6OwzzeczM+T7
qfNSiSsywadC+u/YH2CddJNBU7u0OAk16nm8mL06c0iDZfPdz7myYVtgonbR3Nrq4MuMYa
c9nh6c6RcMgM5Ejz3dendKZkgBGtQak=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Wed, 27 Feb 2019 13:33:08 +0100
From: Joachim Fahrner 
To: test-3c6fe...@appmaildev.com
Subject: Test DKIM
Message-ID: <09a9d9b5b738db5bf089952c05537...@fahrner.name>
X-Sender: x...@fahrner.name
User-Agent: Roundcube Webmail/1.3.8
Return-Path: x...@fahrner.name
X-OriginalArrivalTime: 27 Feb 2019 12:33:10.0267 (UTC) 
FILETIME=[994984B0:01D4CE98]



SPF: Pass


SPF-Record: v=spf1 mx -all
Sender-IP: 88.198.89.240
Sender-Domain-Helo-Domain: fahrner.name

Query TEXT record from DNS server for: fahrner.name
[TXT]: 
google-site-verification=WA1zKN0guMFR7X0wUgBCQzWvxAUcnlwkC2ZFscfCXEs

[TXT]: v=spf1 mx -all
Parsing SPF record: v=spf1 mx -all

Mechanisms: v=spf1

Mechanisms: mx
Testing mechanism mx
Query MX record from DNS server for: fahrner.name
[MX]: server.fahrner.name
Testing mechanism A:server.fahrner.name/128
Query A record from DNS server for: server.fahrner.name
[A]: 88.198.89.240
Testing CIDR: source=88.198.89.240;  88.198.89.240/128
mx hit, Qualifier: +


DKIM: pass


DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fahrner.name;
	s=dkim; t=1551270789; 
h=from:from:sender:reply-to:subject:subject:date:date:

 message-id:message-id:to:to:cc:mime-version:mime-version:
 content-type:content-type:
 content-transfer-encoding:content-transfer-encoding:in-reply-to:
 references; bh=cJ1CPihF7oM5a/4pQaRuKUhDnJoeSUjAYsNqUkn49iE=;
b=qgWNi3NVBdRc6xRDcHObZESb6QTiYhb3oRJhJHJaznWZRPC8NfgBWT/Plp6OwzzeczM+T7
qfNSiSsywadC+u/YH2CddJNBU7u0OAk16nm8mL06c0iDZfPdz7myYVtgonbR3Nrq4MuMYa
c9nh6c6RcMgM5Ejz3dendKZkgBGtQak=
Signed-by: x...@fahrner.name
Expected-Body-Hash: cJ1CPihF7oM5a/4pQaRuKUhDnJoeSUjAYsNqUkn49iE=
Public-Key: v=DKIM1; k=rsa; 
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCveg3UhG1yz4KDznQwnd4u2CwBUeb0UhdFU8Ml6gbSBs7v/DlftlDdJxKS+FRfE6e38Jx9k6qR1lXwDSFEOl1LkhzSZJasNLhOA26jYC6l3vYrbSO9asl9PkWe1tHjBfkg5gqVDCxvMgiAONe+WMyEXbwLksFIKh7L5PCZPrmn3QIDAQAB;


DKIM-Result: pass


DMARC: pass


_dmarc.fahrner.name: v=DMARC1;p=none
Received-SPF: pass (appmaildev.com: domain of x...@fahrner.name 
designates 88.198.89.240 as permitted sender) client-ip=88.198.89.240

Authentication-Results: appmaildev.com;
dkim=pass header.d=fahrner.name;
spf=pass (appmaildev.com: domain of x...@fahrner.name designates 
88.198.89.240 as permitted sender) client-ip=88.198.89.240;

dmarc=pass (adkim=r aspf=r p=none) header.from=fahrner.name;


Domain

Re: Google blockt Mails

[J. Fahrner]

Am 2019-02-27 13:13, schrieb Patrick Ben Koetter:


Hast Du SPF und DKIM am Start?


Ja beides.

Google blockt Mails

[J. Fahrner]

Hallo Liste,
Google blockt in letzter Zeit Mails von meinem Server an Gmail Accounts.

<***@gmail.com>: host
   gmail-smtp-in.l.google.com[2a00:1450:400c:c09::1b] said: 550-5.7.1
   [2a01:4f8:c17:12f8::2  12] Our system has detected that this 
550-5.7.1

   message is likely unsolicited mail. To reduce the amount of spam sent
   550-5.7.1 to Gmail, this message has been blocked. Please visit 
550-5.7.1
   https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1  
for

   more information. q9si858297wmf.73 - gsmtp (in reply to end of DATA
   command)

Hat jemand eine Idee was die da prüfen um zu dem Ergebnis zu kommen?

Jochen

Re: Bounces wegen voller Mailbox

[J. Fahrner]

Komisch, jetzt geht es, nachdem ich noch eine Weile rumprobiert habe.
Unter anderem habe ich

check_policy_service inet:localhost:12340

durch

check_policy_service inet:127.0.0.1:12340

ersetzt. Kann es daran gelegen haben?

Jochen

Am 2019-02-09 12:00, schrieb J. Fahrner:

Am 2019-02-09 10:39, schrieb Robert Schetterer:

https://wiki2.dovecot.org/Quota
https://blog.sys4.de/postfix-dovecot-mailbox-quota-en.html


Ich hab das jetzt mal wie beschrieben konfugiert. Der Dovecot Service
läuft, wie mir ein netstat zeigt:

sudo netstat -tulpn | fgrep 12340
tcp0  0 0.0.0.0:12340   0.0.0.0:*
LISTEN  4217/dovecot

Postfix sollte den Policy service nutzen, habe in main.cf:

smtpd_recipient_restrictions =
reject_non_fqdn_recipient
reject_unknown_recipient_domain
check_policy_service inet:localhost:12340
permit_sasl_authenticated
permit_mynetworks
reject_unauth_pipelining
permit

Trotzdem wird die Mail erstmal zugestellt, und Dovecot erzeugt den 
Bounce.

In den Logs finde ich nichts, warum die Prüfung nicht funktioniert.
Wie könnte man das debuggen?

Jochen

Re: Bounces wegen voller Mailbox

[J. Fahrner]

Am 2019-02-09 10:10, schrieb Thore Bödecker:

dazu am besten die Mail gar nicht erst annehmen und selbst Backscatter
generieren, sondern die Mail direkt ablehnen wenn das Postfach des
Empfängers bereits voll ist.

Dazu brauchst du im Postfix/MTA einen Quota-Check, der bei Dovecot
nachfragt.


Hört sich gut an, aber wie macht man das "bei Dovecot nachfragen"?

Jochen

Bounces wegen voller Mailbox

[J. Fahrner]

Hallo,
hat hier jemand eine Idee wie man das lösen kann?
Mein Sohn hat's nicht so mit aufräumen (kennen wohl alle Väter), und 
damit er mir nicht meinen Server vollmüllt habe ich ein Quota auf seine 
Mailbox gelegt.
Nun kommt es natürlich immer wieder mal vor, dass die voll ist, und 
Dovecot verschickt Reject-Meldungen an den Absender. Nun werden aber 
viele Newsletter und so Zeugs mit Adressen verschickt, an die man nix 
senden kann. Das hat dann häufig zur Folge, dass der Postmaster (also 
ich) eine Bounce-Meldung von denen bekommt. Das nervt. Wie verhindere 
ich das?


Jochen

Re: Public Mailserver mit Self-Signed-Zertifikat

[J. Fahrner]

Am 2019-01-23 20:31, schrieb Stefanie Leisestreichler:

Wenn es jedoch unter Punkt 1 darauf herausläuft, dass der sendende MX
zu Absicherung der Kommunikation mein Zertifikat importieren muss,
dann ist das ein Showstopper, weil dies sicherlich keiner tun wird.

Lass mich raten: Genau das hast Du gemeint, korrekt? Und ehrlich
gesagt war es dann genau das, was ich nicht hören wollte :-(


Mir ist kein Ernst zu nehmender Mailserver bekannt, der eine Mail 
ablehnt, weil ihm das Zertifikat nicht gefällt. Der Grossteil aller 
Mails wird immer noch unverschlüsselt übermittelt. Eine Verschlüsselung 
ablehnen, weil das Zertifikat selbst-signiert ist macht überhaupt keinen 
Sinn. Wer seinen Mailserver so einstellt, schneidet sich damit selbst 
vom Netz ab. Kann er machen, ist seine eigene Entscheidung, solche 
"Einsiedler" wären aber kein Entscheidungskriterium für mich.


Wer Wert darauf legt, seinen gegenüber zu verifizieren, der macht das 
mit PGP oder S/MIME Signaturen. Das ist nicht die Aufgabe des 
Transportsystems!


Die Post transportiert auch jeden Brief. Will ich meinen Gegenüber 
identifizieren, dann muss ich eben zum Postident-Verfahren greifen.


Jochen

Re: Public Mailserver mit Self-Signed-Zertifikat

[J. Fahrner]

Am 2019-01-21 18:19, schrieb Stefanie Leisestreichler:

Ich möchte gerne die Kommunkation zwischen meinem Mailserver und
anderen Mailservern, die Mails bei diesem einliefern, per TLS
verschlüsseln.

Ist es OK, wenn ich hierfür ein selbst signiertes Zertifikat verwende?


Ja, das reicht völlig.

Gruss Jochen

Re: check_sender_access mit MySQL

[J. Fahrner]

Am 2018-10-26 09:40, schrieb Walter H.:

ok, und kann man mehrere Datenbanken verwenden z.B.

smtpd_sender_restrictions = ...,
check_sender_access 
mysql:/etc/postfix/mysql-virtual-sender-access.cf

check_sender_access hash:/etc/postfix/sender_access,
permit


Sollte nix dagegen sprechen. Probier's aus. ;-)

Re: check_sender_access mit MySQL

[J. Fahrner]

Am 2018-10-25 12:59, schrieb Walter H.:

habe hier eine Anleitung gefunden
https://kitt.hodsden.org/blog/2014/06/postfix_check_recipient_access_mysql
wie man dies mittels einer MySQL-Datenbank implementiert;


Was der da schreibt kapiere ich nicht. Er prüft das RCPT TO (also den 
Empfänger), und nennt das dann in der Datenbank Sender?
Und in den Kommentaren heisst es "any email address _from_ that domain 
will be blocked"?

Was denn jetzt? Sender oder Empfänger?



meine Gretchenfrage dazu:

wenn man wie im Kommentar z.B.  nur outlook.com hat,
macht hier das System selbststängig entsprechend mehrere Abfragen,
weil die WHERE-Klausel bei einer ganzen E-mailadresse nie etwas ergibt 
...


wie sieht es damit aus, wenn z.B.

h...@example.com OK
aber auch
example.com  REJECT
vorkommt?
spielt hier eine Reihenfolge eine Rolle?


In der access man page ist im Abschnitt EMAIL ADDRESS PATTERNS 
beschrieben, in welcher Reihenfolge die Datenbankabfragen durchgeführt 
werden.

http://www.postfix.org/access.5.html

Jochen

Re: abuse-Reporting verbessern

[J. Fahrner]

Am 2018-09-12 14:01, schrieb Walter H.:

> irgendwie ein Widerspruch; nicht mir soll man abuse Dritter schicken,
> sondern ich hätte gerne was wohin ich Abuse¹-Meldungen durch Dritte schicken 
> kann,
> wo sich auch jemand darum kümmert, und nicht der Eindruck entsteht, daß es 
> gegen /dev/null geht ...
> 
> ¹ Abuse der sich nicht auf SMTP beschränkt ...

+1

Re: abuse-Reporting verbessern

[J. Fahrner]

Am 2018-09-11 12:56, schrieb Kai Fürstenberg:

Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?


Dafür hat rspamd ein schönes Feature: man kann whitelists von anderen 
Symbolen abhängig machen, z.B. dass der Absender SPF-verifiziert wurde.


Beispiel:

# local.d/multimap.conf
FROM_WHITELISTED {
  require_symbols = "R_SPF_ALLOW & !MAILLIST";
  type = "from";
  map = "/some/list";
}

Re: abuse-Reporting verbessern

[J. Fahrner]

Am 2018-09-11 12:06, schrieb Patrick Ben Koetter:

Ihr wollt *bitte* die Absenderadresse repo...@reports.cert-bund.de
whitelisten.


Wozu whitelisten? Werden deren Mails so leicht mit Spam verwechselt? :-D

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-09-03 13:46, schrieb J. Fahrner:

Am besten gefällt mir Roberts Vorschlag, From: und Reply-To: zu
vergleichen. Nur wenn beides Freemail ist und sie sich unterscheiden,
dann blocken. Kriegt man aber mit header_checks nicht hin. Müsste man
irgendwie ins Spamassassin reinbasteln oder in rspamd. Da mir SA
bisher nie so richtig gefallen hat (Konfiguration komplex und
unübersichtlich, und Trefferrate schlecht) stelle ich gerade auf
rspamd um. Muss mich da aber erst reinfuchsen.


So, klappt mit rspamd wunderbar. War zwar etwas mühsam weil die lua 
module etwas spärlich dokumentiert sind, aber nun läuft meine Regel. 
Falls es jemand brauchen kann, hier der lua Code:


-- Requires freemail maps loaded in multimap
local function freemail_reply_neq_from_addr(task)
  local frt = task:get_symbol('FREEMAIL_REPLYTO')
  local ff  = task:get_symbol('FREEMAIL_FROM')
  local reply_to = task:get_header('Reply-To')
  local mail_from = task:get_from()
  if (frt and ff and reply_to ~= mail_from)
  then
return true
  end
  return false
end


rspamd_config:register_symbol({
  name = 'FREEMAIL_REPLYTO_NEQ_FROM',
  callback = freemail_reply_neq_from_addr,
  description = 'Freemail From and Reply-To, but to different Freemail 
addresses',

  score = 10.0,
  group = 'headers',
})
rspamd_config:register_dependency('FREEMAIL_REPLYTO_NEQ_FROM', 
'FREEMAIL_REPLYTO')
rspamd_config:register_dependency('FREEMAIL_REPLYTO_NEQ_FROM', 
'FREEMAIL_FROM')

===

Einfach in /etc/rspamd/rspamd.local.lua reinkopieren.
Rspamd hat übrigens eine Liste mit über 3000 Freemailern im Bauch.

Jochen

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-09-03 13:36, schrieb Walter H.:
habe schon echten SPAM bekommen, der einen List-Id drin hatte; kann 
sein,
daß man auf die Art manche False Positives nicht blockt und kann sein 
daß

man auf die Art echten SPAM durchläßt;

Postfix + Sieve -> wie geht das am einfachsten?


Wenn schon, dann dürfte man nur List-Ids zulassen die man auch abonniert 
hat. Optimal ist das aber nicht, jedesmal die Postfix Config ändern zu 
müssen wenn man eine neue Liste abonniert.


Am besten gefällt mir Roberts Vorschlag, From: und Reply-To: zu 
vergleichen. Nur wenn beides Freemail ist und sie sich unterscheiden, 
dann blocken. Kriegt man aber mit header_checks nicht hin. Müsste man 
irgendwie ins Spamassassin reinbasteln oder in rspamd. Da mir SA bisher 
nie so richtig gefallen hat (Konfiguration komplex und unübersichtlich, 
und Trefferrate schlecht) stelle ich gerade auf rspamd um. Muss mich da 
aber erst reinfuchsen.


Jochen

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-09-02 16:12, schrieb Walter H.:

ich wuerde per se Mail Lists ausnehmen



Ja, diese sind bei mir oben unter #handverlesene liste# inkludiert


Deine #handverlesene liste# betrifft aber nur das reply-to. Das hilft 
dir nicht wenn irgendsoein Esel mit reply-to freemail in die Liste 
postet. Da bräuchte man ein whitelisting von Listen das vorher schon 
greift.


Jochen

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-25 09:49, schrieb Walter H.:

hier diese header_checks-Regel, wie ich sie habe ...

if /^reply-to:[[:space:]].*$/
/^reply-to:[[:space:]][[:print:]]*(\<)?[[:alnum:]_\.\-]+\@(aol\.com|mail\.ru|sms\.at|web\.de|googlemail\.com|gmail\.com|rocketmail\.com|qq\.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:]\.]+)(\>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not 
accepted.

/^reply-to:[[:space:]][[:print:]]*(\<)?(#handverlesene liste#)(\>)?.*$/
OK
# tld .at, .de, .eu ist erlaubt
/^reply-to:[[:space:]][[:print:]]*(\<)?[[:alnum:]_\.\-]+\@[[:alnum:]_\.\-]+\.(at|de|eu)(\>)?.*$/
OK
/^reply-to:[[:space:]][[:print:]]*(\<)?[[:alnum:]_\.\-]+\@[[:alnum:]_\.\-]+(\>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted.
endif

es gibt für mich keinen sinnvollen use case, der die notwendigkeit
eines reply-to's zwingend notwendig macht ...


Heute hat die erste Regel 2 mal zugeschlagen. Einmal war es wirklich 
SPAM, das zweite Mal kam die Mail offensichtlich von einer abonnierten 
Mailingliste. Wobei mir nicht ganz klar ist was das soll. Wieso taucht 
in einer Mailingliste ein Reply-To an eine gmail-Adresse auf? Wenn ich 
antworte, dann will ich doch an die Liste antworten. Das scheint mir 
wohl ein Bug der Mailingliste zu sein, wenn die sowas überhaupt zulässt. 
Das macht ja keinen Sinn.


Jochen

Re: [eX-Spam]: Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-25 09:48, schrieb Robert Schetterer:

Ich greif diese Idee nochmal auf ,gleich ein Liste
von Freemailern zu nutzen und entweder in einen extra Ordner filtern
oder mit einer Message gleich ganz abzulehnen
wenn Reply-To und From nicht gleich sind find ich ganz brauchbar
am coolsten ist das in spamassassin um das ueber das default Tag level
zu hieven, oder mit sieve


SA scheint so eine Regel schon zu haben, heisst wohl FREEMAIL_REPLYTO. 
Wahrscheinlich muss ich da nur den Score erhöhen.

Re: Spamassasin permission Probleme

[J. Fahrner]

Am 2018-08-26 09:23, schrieb Christoph Kukulies:

> Ich muß der folgenden Meldung mal nachgehen, aber nach dist-upgrade meines 
> Servers von 16 auf 18 
> habe ich diese logs im anacron: 
> 
> /etc/cron.daily/spamassassin: 
> gpg: WARNING: unsafe ownership on homedir 
> '/var/lib/spamassassin/sa-update-keys' 
> gpg: failed to create temporary file 
> '/var/lib/spamassassin/sa-update-keys/.#lk0x018bd9f1.ego.org [1].25748': 
> Permission denied 
> gpg: keyblock resource '/var/lib/spamassassin/sa-update-keys/pubring.kbx': 
> Permission denied 
> gpg: no writable keyring found: Not found 
> gpg: error reading '/usr/share/spamassassin/sa-update-pubkey.txt': General 
> error 
> gpg: import from '/usr/share/spamassassin/sa-update-pubkey.txt' failed: 
> General error 
> gpg: process '/usr/bin/gpg --homedir='/var/lib/spamassassin/sa-update-keys' 
> --batch --no-tty --status-fd=1 -q --logger-fd=1 --import' finished: exit 2 
> error: unable to refresh mirrors file for channel updates.spamassassin.org 
> [2], using old file 
> channel: could not find working mirror, channel failed 
> sa-update failed for unknown reasons

Was für ein System? Mit welchem User/Gruppe läuft SA? Wie sind die
Berechtigungen der Verzeichnisse/Dateien? 

Unter Debian sieht das so aus: 

SA läuft mit debian-spamd:debian-spamd. 

drwx-- 3 debian-spamd debian-spamd 4096 Jun 10 07:49
/var/lib/spamassassin/sa-update-keys 

-rw-r--r-- 1 root root 4777 Nov 19  2017
/usr/share/spamassassin/sa-update-pubkey.txt 

Links:
--
[1] http://lk0x018bd9f1.ego.org
[2] http://updates.spamassassin.org

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-25 09:48, schrieb Robert Schetterer:

Ich greif diese Idee nochmal auf ,gleich ein Liste
von Freemailern zu nutzen und entweder in einen extra Ordner filtern
oder mit einer Message gleich ganz abzulehnen
wenn Reply-To und From nicht gleich sind find ich ganz brauchbar
am coolsten ist das in spamassassin um das ueber das default Tag level
zu hieven, oder mit sieve


Das mit dem spamfence.net hat sich schon wieder erledigt, die 2 Mails 
von Robert wurden gleich mal als Spam aussortiert. :-(


Ich versuche mal ob ich das als Rule für Spamassassin hinbekomme. Hab 
sowas leider noch nie gemacht.


Jochen

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-25 16:51, schrieb Walter H.:

hier hast Du die Mail aber bereits angenommen und bist nicht mehr in
der Lage sie so abzulehnen,


Nein, ich meinte ich lasse das Script mal über alle meine gespeicherten 
Mails laufen, und gucke ob irgendeine legitime Mail nach der Methode 
abgelehnt worden wäre. Wenn nein, dann kann ich das mit den von dir 
verwendeten header-checks so einsetzen.


Mein erster Eindruck ist schon mal, dass Spamfence besser arbeitet als 
Spamassasin.

mehr Basis durch welchen dieser Filter trainiert wurde?


Wenn ich das richtig interpretiert habe, dann leben die davon, dass 
viele Leute ihre Mails da durchleiten. Die erzeugen dann von jedem 
Mailbody einen Hash-Wert, und wenn innerhalb kurzer Zeit mehrere Mails 
mit dem gleichen Hashwert eintrudeln, dann erkennen die das als Spam. 
Bedeutet natürlich eine kurze Verzögerung, aber die ist kaum 
feststellbar, das liegt im Bereich von wenigen Sekunden. Und Newsletter 
müssen sie auch irgendwie erkennen, die haben ja auch den gleichen 
Hashwert. Keine Ahnung wie das funktioniert, scheint aber ziemlich 
genial zu sein.



auch SPAMassassin ist ein fremder Dienst ...


Das stimmt leider. Merkt man dann, wwenn der tägliche Cronjob 
Fehlermeldungen liefert, weil der Update-Service wieder mal nicht 
erreichbar war. Auch das stört mich. Eigentlich möchte ich so wenig wie 
möglich von fremden Diensten abhängig sein.

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-25 09:52, schrieb Robert Schetterer:


cool
eine Ausnahme fuer/mit  List-Id besonders fuer yahoo waere evtl 
sinnvoll


Das mit dem Vergleich von From: und Reply-To: ist auf jeden Fall ein 
interessanter Ansatz. Ich bastel mir mal ein kleines Python 
Analsysescript, mit dem ich das auswerten und verifizieren kann. Das 
wird aber ein bisschen dauern. In der Zwischenzeit leite ich meine 
öffentliche Mailadresse über spamfence.net, mal sehen wie sich das 
bewährt. Mein erster Eindruck ist schon mal, dass Spamfence besser 
arbeitet als Spamassasin. Aber nichtsdestotrotz, man möchte natürlich 
unabhängig von fremden Diensten sein (wobei DNS Blacklists ja auch schon 
fremde Dienste sind).


Aber mal ganz unabhängig davon: das mit dem Spam ist schon eine üble 
Seuche, die mal ausgerottet gehört.

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-24 19:22, schrieb Walter H.:


Du könntest nach einem Reply-to im Header prüfen, und wenn der eine
Freemail-Domain ist => Reject, genau das mach ich nämlich;
wobei ich lass nur ein Reply-to von einer handverlesenen liste an 
Domains zu ...


Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, 
wieso sollte der Spam identifizieren können?

Re: Spam von gmail.com und yahoo

[J. Fahrner]

Am 2018-08-24 17:03, schrieb Robert Schetterer:


Ich kann vermehrten Spam von google nicht bestaetigen


Komisch. Ich krieg da jetzt alles Mögliche, Betreffs wie "How are you 
doing", oder irgendwas mit Bitcoin, kein erkennbares Muster drin. Und 
immer andere gmail Absender.


Betroffen ist nur meine eine Mailadresse, die ich praktisch überall 
öffentlich im Internet verwende, Online-Shops, Foren, und auch hier in 
der Liste. Meine Private Adresse ist davon bisher nicht betroffen.


Ich leite meine öffentliche Adresse jetzt mal über spamfence.net, mal 
sehen ob das Besserung bringt. Wie gesagt, Spamassassin enttäuscht mich.


Jochen

Spam von gmail.com und yahoo

[J. Fahrner]

Hallo Liste,

ich bekomme in letzter Zeit vermehrt Spam von gmail.com Adressen sowie 
yahoo. Ich habe den Eindruck, diese Firmen kämpfen in letzter Zeit mehr 
gegen "Hatespeech" als gegen Spam. Das Schlimme: Blacklists sind hier 
wirkungslos, und auch Spamassassin versagt da völlig (mit SA habe ich 
ohnehin keine guten Erfahrungen, was nicht durch DNS Blacklists geblockt 
wird passiert auch SA mühelos. Kann ich glaub ich rauswerfen).


Habt ihr Ideen wie man gegen den gmail Spam vorgehen könnte? Notfalls 
müsste ich eine Sieve-Regel anlegen die *@gmail.com automatisch in den 
Spamordner verschiebt. Irgendwie nervt das nämlich.


Jochen

Re: #efail

[J. Fahrner]

Am 2018-05-15 05:23, schrieb Walter H.:

schlimmer finde ich ein ganz anderes Szenario, da er ja die
verschlüsselte Mail im Original hat, hat er auch den Public Key des
Empfängers, und damit kann er dann den kompletten verschlüsselten
Inhalt durch was anderes ersetzen


Nur, wenn der Empfänger seinen Key auf einen Keyserver hochgeladen hat. 
In der Mail ist der nicht enthalten. Keys von Keyservern holen kann aber 
jeder, dazu muss er nicht als man-in-the-middle eine Mail abfangen und 
manipulieren. Und Mail signieren kann er überhaupt nicht, dazu bräuchte 
er den private key des Senders.

Re: #efail

[J. Fahrner]

Am 2018-05-14 18:32, schrieb Robert Schetterer:

Die Berichterstattung empfinde
ich etwas zu sensationsgetrieben , von der Sorte "seht Email ist 
einfach

nicht mehr zu retten"


Heise scheint da tatsächlich etwas zu übertreiben.
https://blog.fefe.de/?ts=a4076a8a

Re: #efail

[J. Fahrner]

Am 2018-05-14 18:32, schrieb Robert Schetterer:

ich seh jetzt keinen direkten Zusammenhang, es geht ja um "man in the
middle",


Der "man in the middle" modifiziert die Mail und fügt einen Anhang vorne 
und hinten an. Damit passt die DKIM-Signatur nicht mehr, was der 
Empfänger ja leicht feststellen kann (so er denn die Signatur prüft).

#efail

[J. Fahrner]

Mit DKIM signierten Mails sollte das doch eigentlich nicht zum Problem 
werden, oder?

https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-efail-4048873.html

LG Jochen

Re: [postfix] pipe alias permission denied

[J. Fahrner]

> Also "gar nicht" im Sinne dieser Grundlage kann nicht stimmen.

Ich habe dir nur die grundlegende Funktion von chroot beschrieben. Um
dein seltsames Verhalten zu erklären müsste man wissen, welche Prozesse
Postfix mit chroot laufen lässt, und welche nicht. Alle können es
offensichtlich nicht sein, da manches ja gefunden wird. Aber das Wissen
wird dir nicht helfen, denn du kannst das Verhalten ja nicht ändern. 

Daher bleibt meine Empfehlung: schalte das chroot aus, du wirst nicht
froh damit.

Re: [postfix] pipe alias permission denied

[J. Fahrner]

Welche user/group und permissions haben denn diese beiden Verzeichnisse?

lstat64("/var/www/horde/whups/lib", 0xbec65ee0) = -1 EACCES (Permission 
denied)
lstat64("/var/www/horde/whups", 0xbec65df0) = -1 EACCES (Permission 
denied)


Am 2018-03-12 13:59, schrieb Carsten:

Hallo zusammen,
ich möchte unter Verwendung einer aliases pipe ein PHP-Script
triggern, welches eine eingehende Mail verarbeitet, und bekomme ein
"permission denied", sobald ein "require_once" getriggert wird (php
interpreter).

Verwendete Software: Horde Groupware -> Modul "Whups" (Tickettracking)
-> "whups-mail-filter"
Der gesamte Vorgang ist schon sehr kleinteilig durch die Horde
Mailingliste gegangen, weil ich zunächst von einem Fehler dort
ausging.
Hier der letzte Teil des Troubleshootings:

In der main.cf habe ich den Wert "default_privs = postfix-pipe" 
gesetzt.

Den Benutzer habe ich angelegt.
Die Webanwendung residiert unter /var/www/horde
Die fragliche Datei (require_once) unter
/var/www/horde/whups/lib/Application.php
Ab ../horde/.. gilt: 750 www-data:www-horde
Die Benutzer "postfix" und "postfix-pipe" sind Mitglieder der Gruppe
"www-horde".
Die /etc/aliases sieht so aus:
## WHUPS queue links
whups:   "|/usr/bin/whups-mail-filter -g -a carsten@[mydn.tld]e -Q 5"

In der Datei "/usr/bin/whups-mail-filter" habe ich zu Debuggingzwecken
diese Zeilen am Anfang eingefügt
$shellex = shell_exec("logger INFO whoami: $(whoami)");
$shellex = shell_exec("logger INFO who am i: $(who am i)");
$shellex = shell_exec("touch /tmp/hallowelt.ini");

Für das weitere Debugging habe ich eine Datei "testmail" angelegt mit
diesem Inhalt:
##
From: root@derdapp001.[mydn.tld]
To: whups@[mydn.tld]
subject: Monitoring: Testticket

Hello World

###
Jetzt kann ich mit dem Befehl
"sudo -u postfix-pipe cat testmail|/usr/bin/whups-mail-filter -g -a
carsten@[mydn.tld] -Q 5"
den Vorgang auf der Kommandozeile testen und bekomme im Whups Ticket
System mein gewünschtes Ticket.
Nun gehe ich auf ein drittes System und sende von dort die "scharfe"
E-Mail -also jetzt triggere ich den postfix:
#
root@derdapp001 ~ # sendmail whups@[mydn.tld]
subject: monitoring: testticket

Hallo welt

[ctrl]+d
###
Jetzt bekomme ich im syslog des mail server diesen output:
#
##
Mar 12 13:35:27 derdapp004 logger: INFO whoami: postfix-pipe
Mar 12 13:35:27 derdapp004 logger: INFO who am i: <=Anmerkung: leer:
kein "parent user"
Mar 12 13:35:27 derdapp004 postfix/local[16770]: BE46441CCB:
to=, orig_to=, relay=local,
delay=0.95, delays=0.02/0.01/0/0.92, dsn=5.3.0, status=bounced
(Command died with status 255: "/usr/bin/whups-mail-filter -g -a
carsten@[mydn.tld] -Q 5". Command output: PHP Warning:
require_once(/var/www/horde/whups/lib/Application.php): failed to open
stream: Permission denied in /usr/bin/whups-mail-filter on line 77 PHP
Fatal error:  require_once(): Failed opening required
'/var/www/horde/whups/lib/Application.php'
(include_path='.:/usr/share/php:/usr/share/pear') in
/usr/bin/whups-mail-filter on line 77 )
Mar 12 13:35:27 derdapp004 postfix/cleanup[16769]: B13E641CD6:
message-id=<20180312123527.B13E641CD6@[mydn.tld]>
Mar 12 13:35:27 derdapp004 postfix/bounce[16774]: BE46441CCB: sender
non-delivery notification: B13E641CD6
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: B13E641CD6: from=<>,
size=3250, nrcpt=1 (queue active)
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: BE46441CCB: removed
Mar 12 13:35:27 derdapp004 dovecot: lda(no-reply@[mydn.tld]):
msgid=<20180312123527.B13E641CD6@[mydn.tld]>: saved mail to INBOX
Mar 12 13:35:27 derdapp004 postfix/pipe[16777]: B13E641CD6:
to=, orig_to=, relay=dovecot,
delay=0.14, delays=0.02/0.01/0/0.12, dsn=2.0.0, status=sent (delivered
via dovecot service)
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: B13E641CD6: removed
##

Aus dem "touch" entsteht diese Datei:
#
##
ll /tmp/hallo*
-rw--- 1 postfix-pipe postfix-pipe  0 Mar 12 13:35 
hallowelt.ini

##
#
Wie zu sehen ist, funktioniert der Aufruf des "require_once" in der
whups-mail-filter auf die Application.php nicht.
Es scheint das System nicht zu interessieren, welcher Benutzer dort
hinterlegt ist.
Alle offensichtlichen Zeichen, zeigen klar, daß der Benutzer
"postfix-pipe" Verwendung findet.
In der Kommandozeile hat dieser auch ordenlichen Zugriff. Nur aus dem
Postfix heraus, klappt es nicht.
Wenn ich ein 755 auf das horde-verzeichnis gebe -also "other" =
"read" gebe, so funktioniert es.
Das kann aber wohl nicht als ernsthafte Lösung gesehen werden, oder?

Ich habe noch zwei straces auf den Process.
Hier der output, wenn ich aus dem postfix komme:

###
[...snip...]
gettimeofday({1520811096, 605233}, NULL) = 0
lstat64("/var/www/horde/whups/lib/Application.php", 0xbec64008) = -1
EACCES (Permission denied)
gettimeofday({1520811096, 

sa-update failed for unknown reasons

[J. Fahrner]

Hallo,
mein cron.daily bringt seit heute folgenden Fehler:

/etc/cron.daily/spamassassin:
rules: failed to run FORGED_GMAIL_RCVD test, skipping:
(Can't locate object method 
"check_for_forged_gmail_received_headers" via package 
"Mail::SpamAssassin::PerMsgStatus" at (eval 1288) line 1501.

)
channel: lint check of update failed, channel failed
sa-update failed for unknown reasons

Hat das noch jemand? Irgendeine Idee was da schief ist? Google liefert 0 
Treffer zu der Fehlermeldung.


Jochen

Re: spam...@tiscali.it

[J. Fahrner]

Am 2017-12-28 13:59, schrieb Ublun:

Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
your hostname, [195.22.125.20]; from=
to= proto=ESMTP helo=

wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist 
geblockt.


whois 195.22.125.20 da kommt einer aus Polen


Ich hab davon noch mehr:
Dec 17 16:07:52 rbltrap: from=  
to=  ip=186.115.221.50  Colombia
Dec 18 07:31:45 CLIENT:  from=  
to=  ip=24.89.83.147Canada
Dec 18 09:51:14 rbltrap: from=  
to=  ip=8.21.104.53 USA
Dec 18 10:00:24 rbltrap: from=  
to=  ip=8.21.104.53 USA
Dec 27 10:55:18 rbltrap: from=  
to=  ip=190.17.15.94Argentina
Dec 27 21:24:03 HOSTNM:  from=  
to=  ip=172.82.179.74
Dec 28 04:29:35 rbltrap: from=  
to=  ip=195.22.125.20   Poland

spam...@tiscali.it

[J. Fahrner]

Hallo Liste,
immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz 
besonders auf: spam...@tiscali.it
Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so 
langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert 
und nennt seinen Spamabsender "spameri"? Und probiert es damit in 
schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der 
letzte diese Mails blocken.
Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der 
Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich 
jetzt echt mal interessieren.


Jochen

Re: DNSBL Problem

[J. Fahrner]

Am 2017-12-16 17:46, schrieb Juri Haberland:

Die Hetzner-Netze scheinen komplett von Spamhaus geblockt zu werden. 
Ist

bei mir auch so


Danke für deine Einschätzung. Hatte auch schon so einen Verdacht, aber 
zuerst sucht man den Fehler halt immer bei sich selber. ;-)


Gruss Jochen

Re: AW: PHP mail from Adresse

[J. Fahrner]

Am 2017-11-28 16:00, schrieb Andreas Mock:

Und nicht alle Elemente einer From-Adresse dürfen nach RFC 2047
enkodiert werden.


Hm, dann wäre die Frage: wer macht den Fehler? Wie könnte man das am 
einfachsten rausfinden?


Jochen

Re: PHP mail from Adresse

[J. Fahrner]

Am 2017-11-28 14:28, schrieb Alex JOST:


Vielleicht 'append_at_myorigin'?


Bingo! Das war's.

In der Doku heisst es dazu aber:
Note 1: this feature is enabled by default and must not be turned off. 
Postfix does not support domain-less addresses.


Muss an bleiben???

Ich vermute, Ursache für mein Problem ist, dass im From Umlaute 
enthalten sind, dann sieht das so aus:


From: 
=?UTF-8?B?QmFyZnXDnyBpbSBBbGxnw6R1IDxhZG1pbkBiYXJmdXNzLWFsbGdhZXUuZGU+?=


Und da erkennt Postfix wohl nicht, dass sehr wohl eine Domain enthalten 
ist, und hängt die dann nochmal an.


Wie könnte ich das Problem lösen? Das CMS packt den Namen der Seite mit 
in das From rein, und der enthält nunmal Umlaute. Das möchte ich auch 
nicht ändern, denn das erscheint überall im Seitenkopf.


Kann ich das append_at_myorigin gefahrlos auf no lassen?

Jochen