[postfix] pipe alias permission denied
Hallo zusammen,
ich möchte unter Verwendung einer aliases pipe ein PHP-Script triggern,
welches eine eingehende Mail verarbeitet, und bekomme ein "permission
denied", sobald ein "require_once" getriggert wird (php interpreter).
Verwendete Software: Horde Groupware -> Modul "Whups" (Tickettracking)
-> "whups-mail-filter"
Der gesamte Vorgang ist schon sehr kleinteilig durch die Horde
Mailingliste gegangen, weil ich zunächst von einem Fehler dort ausging.
Hier der letzte Teil des Troubleshootings:
In der main.cf habe ich den Wert "default_privs = postfix-pipe" gesetzt.
Den Benutzer habe ich angelegt.
Die Webanwendung residiert unter /var/www/horde
Die fragliche Datei (require_once) unter
/var/www/horde/whups/lib/Application.php
Ab ../horde/.. gilt: 750 www-data:www-horde
Die Benutzer "postfix" und "postfix-pipe" sind Mitglieder der Gruppe
"www-horde".
Die /etc/aliases sieht so aus:
## WHUPS queue links
whups: "|/usr/bin/whups-mail-filter -g -a carsten@[mydn.tld]e -Q 5"
In der Datei "/usr/bin/whups-mail-filter" habe ich zu Debuggingzwecken
diese Zeilen am Anfang eingefügt
$shellex = shell_exec("logger INFO whoami: $(whoami)");
$shellex = shell_exec("logger INFO who am i: $(who am i)");
$shellex = shell_exec("touch /tmp/hallowelt.ini");
Für das weitere Debugging habe ich eine Datei "testmail" angelegt mit
diesem Inhalt:
##
From: root@derdapp001.[mydn.tld]
To: whups@[mydn.tld]
subject: Monitoring: Testticket
Hello World
###
Jetzt kann ich mit dem Befehl
"sudo -u postfix-pipe cat testmail|/usr/bin/whups-mail-filter -g -a
carsten@[mydn.tld] -Q 5"
den Vorgang auf der Kommandozeile testen und bekomme im Whups Ticket
System mein gewünschtes Ticket.
Nun gehe ich auf ein drittes System und sende von dort die "scharfe"
E-Mail -also jetzt triggere ich den postfix:
#
root@derdapp001 ~ # sendmail whups@[mydn.tld]
subject: monitoring: testticket
Hallo welt
[ctrl]+d
###
Jetzt bekomme ich im syslog des mail server diesen output:
#
##
Mar 12 13:35:27 derdapp004 logger: INFO whoami: postfix-pipe
Mar 12 13:35:27 derdapp004 logger: INFO who am i: <=Anmerkung: leer:
kein "parent user"
Mar 12 13:35:27 derdapp004 postfix/local[16770]: BE46441CCB:
to=<whups@localhost>, orig_to=<whups@[mydn.tld]>, relay=local,
delay=0.95, delays=0.02/0.01/0/0.92, dsn=5.3.0, status=bounced (Command
died with status 255: "/usr/bin/whups-mail-filter -g -a
carsten@[mydn.tld] -Q 5". Command output: PHP Warning:
require_once(/var/www/horde/whups/lib/Application.php): failed to open
stream: Permission denied in /usr/bin/whups-mail-filter on line 77 PHP
Fatal error: require_once(): Failed opening required
'/var/www/horde/whups/lib/Application.php'
(include_path='.:/usr/share/php:/usr/share/pear') in
/usr/bin/whups-mail-filter on line 77 )
Mar 12 13:35:27 derdapp004 postfix/cleanup[16769]: B13E641CD6:
message-id=<20180312123527.B13E641CD6@[mydn.tld]>
Mar 12 13:35:27 derdapp004 postfix/bounce[16774]: BE46441CCB: sender
non-delivery notification: B13E641CD6
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: B13E641CD6: from=<>,
size=3250, nrcpt=1 (queue active)
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: BE46441CCB: removed
Mar 12 13:35:27 derdapp004 dovecot: lda(no-reply@[mydn.tld]):
msgid=<20180312123527.B13E641CD6@[mydn.tld]>: saved mail to INBOX
Mar 12 13:35:27 derdapp004 postfix/pipe[16777]: B13E641CD6:
to=<no-reply@[mydn.tld]>, orig_to=<root@[mydn.tld]>, relay=dovecot,
delay=0.14, delays=0.02/0.01/0/0.12, dsn=2.0.0, status=sent (delivered
via dovecot service)
Mar 12 13:35:27 derdapp004 postfix/qmgr[16757]: B13E641CD6: removed
##
Aus dem "touch" entsteht diese Datei:
#
##
ll /tmp/hallo*
-rw--- 1 postfix-pipe postfix-pipe 0 Mar 12 13:35 hallowelt.ini
##
#
Wie zu sehen ist, funktioniert der Aufruf des "require_once" in der
whups-mail-filter auf die Application.php nicht.
Es scheint das System nicht zu interessieren, welcher Benutzer dort
hinterlegt ist.
Alle offensichtlichen Zeichen, zeigen klar, daß der Benutzer
"postfix-pipe" Verwendung findet.
In der Kommandozeile hat dieser auch ordenlichen Zugriff. Nur aus dem
Postfix heraus, klappt es nicht.
Wenn ich ein 755 auf das horde-verzeichnis gebe -also "other" =
"read" gebe, so funktioniert es.
Das kann aber wohl nicht als ernsthafte Lösung gesehen werden, oder?
Ich habe noch zwei straces auf den Process.
Hier der output, wenn ich aus dem postfix komme:
###
[...snip...]
gettimeofday({1520811096, 605233}, NULL) = 0
lstat64("/var/www/horde/whups/lib/Application.php", 0xbec64008)
Re: [postfix] pipe alias permission denied
root@derdapp004 ~www/horde/whups/lib # uname -a Linux derdapp004 3.4.113-bananian #9 SMP PREEMPT Sat May 6 12:20:11 UTC 2017 armv7l GNU/Linux root@derdapp004 ~www/horde/whups/lib # ps -ef|grep postfix root 2124 1 0 Mar11 ? 00:00:02 /usr/lib/postfix/master postfix 16757 2124 0 13:33 ? 00:00:00 qmgr -l -t unix -u postfix 16765 2124 0 13:34 ? 00:00:00 tlsmgr -l -t unix -u -c postfix 17738 2124 0 13:46 ? 00:00:00 anvil -l -t unix -u -c postfix 24447 2124 0 15:13 ? 00:00:00 pickup -l -t unix -u -c postfix 24906 2124 0 15:17 ? 00:00:00 smtpd -n smtp -t inet -u -c -o stress= -s 2 postfix 25657 2124 0 15:28 ? 00:00:00 smtpd -n smtp -t inet -u -c -o stress= -s 2 Update aus einem weiteren Test (C von der Horde mailing List): # ## I reworked the permissions on the tree as follows: / : drwxr-xr-x 16 root root /var /var : drwxr-xr-x 4 root root 4096 May 6 2017 www /var/www : drwxr-xr-x 24 www-data www-horde 4096 Mar 7 11:33 horde /var/www/horde : drwxr-xr-x 13 www-data www-horde 4096 Mar 7 11:33 whups /var/www/horde/whups : drwxr-xr-x 14 www-data www-horde 4096 Mar 7 11:33 lib /var/www/horde/whups/lib : -rwxr-x--- 1 postfix-pipe www-horde 9232 Mar 11 18:55 Application.php Pointing out the changes: set 755 from "var" down to "lib" and changed owner of "Application.php" to "postfix-pipe". =>> This version works. If I set the owner of "Application.php" back to "www-data" it fails again. Just to make sure, the group member ship is correct: ## root@derdapp004 ~www/horde/whups/lib # groups postfix-pipe postfix-pipe : postfix-pipe www-horde ## It seems to ignore the group member ship, if triggered by postfix aliases. ## # Am 12.03.2018 um 15:17 schrieb Marco Dickert: Welches Betriebssystem setzt du ein? Unter debian-basierten Systemen läuft der Postfix meist chrooted, vielleicht könnte das das Problem sein.
Re: [postfix] pipe alias permission denied
Am 12.03.2018 um 15:33 schrieb Carsten:
root@derdapp004 ~www/horde/whups/lib # uname -a
Linux derdapp004 3.4.113-bananian #9 SMP PREEMPT Sat May 6 12:20:11
UTC 2017 armv7l GNU/Linux
root@derdapp004 ~www/horde/whups/lib # ps -ef|grep postfix
root 2124 1 0 Mar11 ? 00:00:02 /usr/lib/postfix/master
postfix 16757 2124 0 13:33 ? 00:00:00 qmgr -l -t unix -u
postfix 16765 2124 0 13:34 ? 00:00:00 tlsmgr -l -t unix -u -c
postfix 17738 2124 0 13:46 ? 00:00:00 anvil -l -t unix -u -c
postfix 24447 2124 0 15:13 ? 00:00:00 pickup -l -t unix -u -c
postfix 24906 2124 0 15:17 ? 00:00:00 smtpd -n smtp -t inet
-u -c -o stress= -s 2
postfix 25657 2124 0 15:28 ? 00:00:00 smtpd -n smtp -t inet
-u -c -o stress= -s 2
Update aus einem weiteren Test (C von der Horde mailing List):
#
##
I reworked the permissions on the tree as follows:
/ : drwxr-xr-x 16 root root /var
/var : drwxr-xr-x 4 root root 4096 May 6 2017 www
/var/www : drwxr-xr-x 24 www-data www-horde 4096 Mar 7 11:33 horde
/var/www/horde : drwxr-xr-x 13 www-data www-horde 4096 Mar 7 11:33
whups
/var/www/horde/whups : drwxr-xr-x 14 www-data www-horde 4096 Mar 7
11:33 lib
/var/www/horde/whups/lib : -rwxr-x--- 1 postfix-pipe www-horde 9232
Mar 11 18:55 Application.php
Pointing out the changes: set 755 from "var" down to "lib" and changed
owner of "Application.php" to "postfix-pipe".
=>> This version works.
If I set the owner of "Application.php" back to "www-data" it fails
again.
Just to make sure, the group member ship is correct:
##
root@derdapp004 ~www/horde/whups/lib # groups postfix-pipe
postfix-pipe : postfix-pipe www-horde
##
It seems to ignore the group member ship, if triggered by postfix
aliases.
##
#
Am 12.03.2018 um 15:17 schrieb Marco Dickert:
Welches Betriebssystem setzt du ein? Unter debian-basierten Systemen
läuft der
Postfix meist chrooted, vielleicht könnte das das Problem sein.
Hi noch einmal,
der Hinweis mit dem chroot hat mich animiert in diese Richtung zu suchen
(ich bin jetzt nicht DER Linux Experte, daher bitte ich um Nachsicht).
Also, es scheint einen Zusammenhang zu geben.
Wenn ich die Datei "whups-mail-filter" um diese Zeile erweitere:
"..
$shellex = shell_exec("logger INFO my id: $(id)");
$shellex = shell_exec("logger INFO my groups: $(groups)");
.."
bekomme ich im syslog diese Ausgabe:
"...
Mar 12 17:56:42 derdapp004 logger: INFO my id: uid=1001(postfix-pipe)
gid=1002(postfix-pipe) groups=1002(postfix-pipe)
Mar 12 17:56:42 derdapp004 logger: INFO my groups: postfix-pipe
..."
Ja, postfix ist chrooted in der master.cf.
Jetzt habe angefangen, zu experimentieren, aber bis jetzt hat nichts
geholfen.
Zum Beispiel habe ich einfach mal die "/etc/passwd" und die "/etc/group"
in das Verzeichnis "/var/spool/postfix/etc" kopiert und postfix neu
gestartet.
Leider ohne eine sichtbare Änderung.
Die Frage scheint also lauten zu müssen: Wie bekomme ich den chroot des
postfix dazu, eine group-datei zu lesen?
Any ideas?
Gruss
Carsten
Re: [postfix] pipe alias permission denied
Am 12.03.2018 um 21:52 schrieb Walter H.: On 12.03.2018 20:29, Carsten wrote: Ja, postfix ist chrooted in der master.cf. Jetzt habe angefangen, zu experimentieren, aber bis jetzt hat nichts geholfen. Zum Beispiel habe ich einfach mal die "/etc/passwd" und die "/etc/group" in das Verzeichnis "/var/spool/postfix/etc" kopiert und postfix neu gestartet. Leider ohne eine sichtbare Änderung. Die Frage scheint also lauten zu müssen: Wie bekomme ich den chroot des postfix dazu, eine group-datei zu lesen? SELinux oder so kommt nicht zusätzlich ins Spiel, oder ist SELinux nur ein Feature von RHEL basierten Linuxen, was bei Dir ja nicht der Fall ist ... Walter Hallo, SELinux hatte ich auch schon mal im Verdacht, ebenso, wie Apparmor, aber SELinux ist nicht aktiviert und Apparmor nur für den mysql deffiniert. und es bleibt ja im Raum, daß es von der Kommandozeile -also ohne den chroot; funktioniert. Gruss Carsten
Re: [postfix] pipe alias permission denied
Am 13.03.2018 um 08:01 schrieb J. Fahrner:
Am 2018-03-12 20:29, schrieb Carsten:
Ja, postfix ist chrooted in der master.cf.
Die Frage scheint also lauten zu müssen: Wie bekomme ich den chroot
des postfix dazu, eine group-datei zu lesen?
Gar nicht. Das bei chroot angegebene Verzeichnis wird für diesen
Prozess (und alle Subprozesse) zum "root", du hast keinen Zugriff mehr
auf alles was außerhalb davon ist. Dir fehlt also nicht nur dein PHP
Script, sondern der ganze PHP Interpreter und alles was der so
benötigt (config, Libraries, Datenbank, usw.).
Für das was du vor hast darfst du Postfix nicht mit chroot laufen lassen.
Hallo
Die Aussage kann so nicht stimmen.
Dann würde er das "whups-mail-filter" ja überhaupt nicht ziehen und das
tut er.
Sonst hätte ich die Ausgabe der Zeilen
"..
$shellex = shell_exec("logger INFO my id: $(id)");
$shellex = shell_exec("logger INFO my groups: $(groups)");
.."
ja gar nicht im syslog zu sehen bekommen:
"...
Mar 12 17:56:42 derdapp004 logger: INFO my id: uid=1001(postfix-pipe)
gid=1002(postfix-pipe) groups=1002(postfix-pipe)
Mar 12 17:56:42 derdapp004 logger: INFO my groups: postfix-pipe
..."
Und die Fehlermeldung in dieser Form wäre auch nicht existent:
"...
Mar 8 12:40:38 derdapp004 postfix/local[30799]: 04C7040C4C:
to=<whups@localhost>, orig_to=<whups@[mydn.tdl]>, relay=local,
delay=0.58, delays=0.09/0.04/0/0.45, dsn=5.3.0, status=bounced (Command
died with status 255: "/usr/bin/whups-mail-filter -g". Command output:
PHP Warning:
require_once(/usr/share/php/www/horde/whups/lib/Application.php): failed
to open stream: No such file or directory in /usr/bin/whups-mail-filter
on line 73 PHP Fatal error: require_once(): Failed opening required
'/usr/share/php/www/horde/whups/lib/Application.php'
(include_path='.:/usr/share/php:/usr/share/pear') in
/usr/bin/whups-mail-filter on line 73 )
..."
Auch würde ich dann im strace kein "permission denied" sehen, sondern
ein "not found"
"...
[...snip...]
gettimeofday({1520811096, 605233}, NULL) = 0
lstat64("/var/www/horde/whups/lib/Application.php", 0xbec64008) = -1
EACCES (Permission denied)
gettimeofday({1520811096, 605766}, NULL) = 0
lstat64("/var/www/horde/whups/lib/Application.php", 0xbec63f18) = -1
EACCES (Permission denied)
gettimeofday({1520811096, 606180}, NULL) = 0
lstat64("/var/www/horde/whups/lib/Application.php", 0xbec65fe0) = -1
EACCES (Permission denied)
lstat64("/var/www/horde/whups/lib", 0xbec65ee0) = -1 EACCES (Permission
denied)
lstat64("/var/www/horde/whups", 0xbec65df0) = -1 EACCES (Permission denied)
lstat64("/var/www/horde", {st_mode=S_IFDIR|0770, st_size=4096, ...}) = 0
lstat64("/var/www", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
lstat64("/var", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
open("/var/www/horde/whups/lib/Application.php", O_RDONLY|O_LARGEFILE) =
-1 EACCES (Permission denied)
[...snip...]
..."
Also "gar nicht" im Sinne dieser Grundlage kann nicht stimmen.
Gruss
Carsten
Re: [postfix] pipe alias permission denied
Am 13.03.2018 um 08:34 schrieb Carsten: Am 12.03.2018 um 21:52 schrieb Walter H.: On 12.03.2018 20:29, Carsten wrote: Ja, postfix ist chrooted in der master.cf. Jetzt habe angefangen, zu experimentieren, aber bis jetzt hat nichts geholfen. Zum Beispiel habe ich einfach mal die "/etc/passwd" und die "/etc/group" in das Verzeichnis "/var/spool/postfix/etc" kopiert und postfix neu gestartet. Leider ohne eine sichtbare Änderung. Die Frage scheint also lauten zu müssen: Wie bekomme ich den chroot des postfix dazu, eine group-datei zu lesen? SELinux oder so kommt nicht zusätzlich ins Spiel, oder ist SELinux nur ein Feature von RHEL basierten Linuxen, was bei Dir ja nicht der Fall ist ... Walter Hallo, SELinux hatte ich auch schon mal im Verdacht, ebenso, wie Apparmor, aber SELinux ist nicht aktiviert und Apparmor nur für den mysql deffiniert. und es bleibt ja im Raum, daß es von der Kommandozeile -also ohne den chroot; funktioniert. Gruss Carsten Moin nochmal, ich bekomm' hier echt einen an der Waffel -gibt Menschen, die behaupten, ich hätte da schon eine kleben ;-) chroot oder nicht chroot. Das ist hier die Frage. Laut syslog ist dieser Prozess: "postfix/local" für das Ausführen der aliases Pipe zuständig -zumindest wird es so im Syslog gemeldet: "..Mar 13 11:08:06 derdapp004 postfix/local[10609]: 8D8E741E10: to=<whups@localhost>, ..." Schaue ich nun in die master.cf, so steht dort in der Zeile für den local: " discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual ..." was sich für mich ließt, daß er NICHT im chroot läuft. Warum sollte also der Prozess die /etc/group nicht ziehen, wie die Ausgabe von $(groups) im Script vermuten läßt: "... #!/usr/bin/php Mar 13 11:08:06 derdapp004 logger: INFO my id: uid=1001(postfix-pipe) gid=1002(postfix-pipe) groups=1002(postfix-pipe) Mar 13 11:08:06 derdapp004 logger: INFO my groups: postfix-pipe ..." Komme ich aus der Kommandozeile mit einem "... sudo -u postfix-pipe /tmp/testmail ..." steht im syslog: "... Mar 13 11:19:24 derdapp004 logger: INFO whoami: postfix-pipe Mar 13 11:19:24 derdapp004 logger: INFO who am i: Mar 13 11:19:24 derdapp004 logger: INFO my id: uid=1001(postfix-pipe) gid=1002(postfix-pipe) groups=1002(postfix-pipe),1001(www-horde) Mar 13 11:19:25 derdapp004 logger: INFO my groups: postfix-pipe www-horde ..." Inhalt der /tmp/testmail: "... echo "From: root@[mydn.tld]_ To: whups@[mydn.tld]_ subject: Monitoring: Testticket_ _ Hello World_ _"|/usr/bin/whups-mail-filter -g -a carsten@[mydn.tld] -Q 5; ..." Ich habe die MANPAGES von Postfix jetzt rauf und runter gelesen, aber irgendwas muss ich übersehen, oder? Ich bin not amused gruss Carsten
Re: [postfix] pipe alias permission denied (SOLVED: finaly)
hallo zusammen, ein herzliches Danke für die Unterstützung. Die Lösung gibt es hier: https://inoculat0r.blogspot.de/2018/03/postfix-and-secondary-group-issue-with.html ;-) Am 13.03.2018 um 13:45 schrieb J. Fahrner: Also "gar nicht" im Sinne dieser Grundlage kann nicht stimmen. Ich habe dir nur die grundlegende Funktion von chroot beschrieben. Um dein seltsames Verhalten zu erklären müsste man wissen, welche Prozesse Postfix mit chroot laufen lässt, und welche nicht. Alle können es offensichtlich nicht sein, da manches ja gefunden wird. Aber das Wissen wird dir nicht helfen, denn du kannst das Verhalten ja nicht ändern. Daher bleibt meine Empfehlung: schalte das chroot aus, du wirst nicht froh damit.
Re: Frage zu check_recipient_access in bei einem relayhost
Am 23.03.2018 um 09:04 schrieb Boris Behrens: Hi, vielleicht sehe ich den Wald vor lauter Bäumen nicht. Kurz zum Setup: Wir haben einen ausgehenden Mailrelay bei dem alle vServer mit einem eigenen Postfix Ihre E-Mails abgeben sollen. Das funktioniert auch wirklich gut. Nur leider bekomme ich es irgendwie nicht hin einzelne Adressen zu discarden (weil der Enduser in der Anwendung Bullshit eingetragen hat.) # cat main.cf compatibility_level=2 smtpd_banner = $myhostname ESMTP $mail_name biff = no append_dot_mydomain = no readme_directory = no smtp_use_tls = yes smtpd_relay_restrictions = check_recipient_access hash:/etc/postfix/host-specific-blacklisted, permit_mynetworks, defer_unauth_destination, reject_unknown_sender_domain Bin ich jetzt unwissend, oder fehlt da ein Komma?? Müsste das nicht so lauten: smtpd_relay_restrictions = check_recipient_access, ##<--- da Komma hash:/etc/postfix/host-specific-blacklisted, permit_mynetworks, defer_unauth_destination, reject_unknown_sender_domain gruss Carsten myhostname = testhost.kervyn.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = $myhostname mydestination = localhost relayhost = fra.mail.kervyn.de mynetworks = 127.0.0.0/8 [:::127.0.0.0]/104 [::1]/128 message_size_limit = 51200 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = loopback-only smtp_tls_loglevel = 1 smtp_tls_security_level = secure smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 # cat host-specific-blacklisted b...@kervyn.de discard # postmap -q b...@kervyn.de host-specific-blacklisted discard Ich hätte jetzt gedacht, wenn ich eine Mail lokal abgebe (echo "test" | mail -s test b...@kervyn.de) dass die Mail einfach verworfen wird. Ich habe auch schon versucht relayhost durch default_transport zu ersetzen, smtpd_relay_restrictions mit smtpd_recipient_restrictions zu kombinieren/ersetzen. Entweder habe ich irgendwo n dummen Syntaxfehler drin, oder ich habe irgendwo n dummen Denkfehler drin. Gruß Boris
[postfix] set content-type for specific receipient
Hallo zusammen, folgende Konstellation: Auf meinem Postfix Server läuft auch ein Hylafax server. Ich habe einen Transport mit der Domäne "fax" eingerichtet, welche an diesen übergibt. Eine Mail an einen Faxempfänger wird so adressiert: 0203654321@fax Jetzt habe ich das Problem, daß der Hylafax Server den Text in der E-Mail nicht richtig umwandelt -speziell Umlaute. Ich habe herausgefunden, daß es eine Frage der Kodierung der Mail beim Senden ist. Im Header muss das hier stehen, damit es klappt: -- Content-Type: text/plain; charset=ISO-8859-2; format=flowed Content-Language: de-DE Content-Transfer-Encoding: 8bit -- Natürlich kann ich nun jedes Mal im Thunderbird o.Ä. die Kodierung anpassen (Mitteleuropäisch (ISO)), damit das funktioniert. Im Webinterface (Horde-Groupware) geht das leider nicht für einzelne Mails, sondern immer nur für den Benutzer als ganzes. Besteht eine Möglichkeit, einen Filter einzurichten -eventuell im Dovecot; der die Mail bei erkennen der empfangenden Domäne "fax" automatisch in den o.g. Typ umwandelt -unabhängig von welchem Client gesendet wird? Dank und Gruss Carsten
Re: DKIM signing bei Mailweiterleitung
On 02.04.2019 10:30, J. Fahrner wrote: Hier versucht jetzt rspamd wieder zu signieren, obwohl der Absender natürlich nicht aus meiner Domain ist und somit auch kein Key vorhanden ist. Das quittiert rspamd regelmässig mit einer Fehlermeldung. Ist zwar nicht schlimm, die Mail wird trotzdem verarbeitet, aber halt unschön. Wie könnte ich sowas verhindern? Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet, wenn es keine spezifische Option für eine Domain gibt wird der Default angenommen. https://rspamd.com/doc/modules/dkim_signing.html
Frage nach etwas tieferem Knoff-Hoff über SASL Atacken
Moin zusammen. Mein Fail2Ban meldet mir immer mal wieder solche Versuche: "... Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: connect from 16c13.w.time4vps.cloud[195.181.245.88] Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: warning: 16c13.w.time4vps.cloud[195.181.245.88]: SASL LOGIN authentication failed: Invalid authentication mechanism Mar 12 12:33:03 derdapp004 postfix/smtpd[23102]: disconnect from 16c13.w.time4vps.cloud[195.181.245.88] ..." Ich würde gerne den Mechanismus hinter dieser Art von Angriff verstehen, da es sich wohl nicht um einen "normalen" Passwort Zugriff handelt. Im Netz finde ich jedoch nichts dazu. Kann mir mal jemand auf die Sprünge helfen? Gruss Carsten
sendmail parameter "C"
Hi list, man pages say, that there is a parameter "-C" to give sendmail an alternative config file "main.cf". My purpose is to have different configurations on sending mails under certain conditions. Most simple is to use a dedicated smarthost for a special script w/o changing the configuration of the core sendmail/postfix config. I tried this: #1 create a simple text file containing "From", "To", "Subject" and some text. #2 create a /var/tmp/main.cf just containing: "relayhost = [my.smart.host.ip]" #3 send mail using this command: "cat mysimpletextfile | sendmail -t -C /var/tmp" But regardless, what I put into the main.cf, sendmail allways uses the "regular" mail server. Even so if I put some unreachable IP in the file, it successfully submits the mail. If I change the "-C" parameter to some faulty string like "-C /var/tux", sendmail claims no main.cf found and stops. What am I doing wrong? br Carsten -- Was dem Einen sein Ferrari, ist dem Anderen seine Signatur
Address Rewriting mit Regex in allen Adressfeldern (From, To, Cc, ...)
Guten Morgen, auch nach intensiverer Suche habe ich noch keine Lösung für folgendes Problem gefunden: Wir möchten in den ausgehenden E-Mails (also die wir selber versenden), alle Adressfelder der Mail prüfen und ggfls. korrigieren. Konkretes Beispiel f. eine Adresse, die korrigiert werden soll (ursprüngliche Adresse -> geänderte Adresse): carsten.gummersbach/camco_g...@camco.de -> carsten.gummersb...@camco.de Die verwendete Postfix Version ist 2.8.1. Mein Ansatz war, das über header_checks mit Regex zu erledigen: header_checks = regexp:/etc/postfix/header_checks /etc/postfix/header_checks: /^(To|From|Cc|Reply-To)(:.*)(\/CAMCO_GmbH)(.*)/ REPLACE $1$2$4 # Datenbank f. Postfix erzeugen (header_checks.db) sudo /usr/sbin/postmap header_checks # Testen kann man seine Filter ebenfalls mit postmap: sudo postmap -q "Cc: Carsten.Gummersbach/camco_g...@camco.de" regexp:/etc/postfix/header_checks REPLACE Cc: carsten.gummersb...@camco.de Wie man sieht, klappt das in diesem Fall auch. Allerdings funktioniert das nicht mehr, wenn mehrere Adressen in einer Zeile vorkommen, die korrigiert werden sollen: sudo postmap -q "Cc: Carsten.Gummersbach/camco_g...@camco.de, Foo.Bar/camco_g...@camco.de" regexp:/etc/postfix/header_checks REPLACE Cc: Carsten.Gummersbach/camco_g...@camco.de, foo@camco.de Mir ist ebenfalls klar, dass dies mit dem gewählten Regex Pattern nicht funktionieren kann. Allerdings habe ich keine Idee, wie das Pattern aussehen müsste, um alle Vorkommen von "/CAMCO_GmbH" in der Zeile zu ersetzen. Oder gibt es eine andere Möglichkeit, so ein Rewriting in Postfix durchzuführen? Vielen Dank im voraus für eure Beiträge. Herzliche Grüße, Carsten -- View this message in context: http://postfix.1071664.n5.nabble.com/Address-Rewriting-mit-Regex-in-allen-Adressfeldern-From-To-Cc-tp88356.html Sent from the Postfix Germany mailing list archive at Nabble.com.
Re: Spoofing erkennen
Hey, es gibt den harten Weg im Postfix oder den komplexen und variablen im Spamassassin. Im Postfix kannst du den envelope-from bzw. den header-from hart prüfen und rejecten. Mit 2-99 Regeln im Spamassassin kannst du das ganze entsprechend variabler gestalten. Du kannst einfach auf header-from, received, spf, dkim, ... prüfen und dann mit entsprechenden Meta-Rules hohe scores setzen. Das neue FNAME Plugin (oder so ähnlich) in 3.4.2 kann dir da sicher auch gute Dienste leisten. VG Carsten On 05.12.18 17:05, Marc Risse wrote: > Hallo Liste, > > das BSI empfiehlt ja folgendes: > > "E-Mail-Server sollten von extern eingelieferte E-Mails mit > Absenderadressen der eigenen Organisation (sowohl im Envelope- als auch > im From-Header inkl. Prüfung des Anzeigenamens) ablehnen, in Quarantäne > verschieben oder mindestens im Betreff deutlich markieren." > > Wie löst man das am besten? SPF auf "-all" ist ja wegen Weiterleitungen > und Co nicht so doll und überprüft auch nicht den Anzeigenamen. DKIM > haben wir bisher nur testweise implementiert. Ich habe versucht ein > Script auf den MXern zu schreiben, welches die Header inkl. Anzeigenamen > gegen eine Liste der eigenen Domains prüft. Kurz: ich bin gescheitert. > Gibt es vielleicht Scripte von fähigen Entwicklern dazu? > Die ADDRESS_VERIFICATION-Readme von Postfix hat mir auch nicht die Augen > geöffnet. > Gibt es da nicht etwas von Ratiopha... ähh Amavis? > > Viele Grüße > Marc >
Re: DKIM signing bei Mailweiterleitung
Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach rspamd.com forken, ändern und PR stellen. https://github.com/rspamd/rspamd.com Ist halt Open Source und die meiste Man-Power geht in den Code. Jede Hilfe bei fehlender Doku oder Verständnisproblemen ist willkommen. Das geht auch super bei den Maps die nachgeladen werden: https://github.com/rspamd/maps VG c On 02.04.19 20:08, J. Fahrner wrote: > Am 2019-04-02 19:55, schrieb Carsten: >> Es gibt eine "try_fallback" Option. Der Default ist "true". Bedeutet, >> wenn es keine spezifische Option für eine Domain gibt wird der Default >> angenommen. >> >> https://rspamd.com/doc/modules/dkim_signing.html > > Danke! Hört sich gut an. Werde ich testen. Schade, dass rspamd so > mickrig dokumentiert ist. Wäre schön, wenn die einzelnen Optionen besser > erklärt wären.
Re: DKIM signing bei Mailweiterleitung
> Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung. Forken meinte ich im Sinne wie es typischerweise auf Github/-lab läuft. Du forkst ein Projekt, machst die Änderungen an deinem persönlichen Fork und stellst dann einen Pull-Request an das Haupt-Projekt in den nur die direkten Maintainer direkt etwas einstellen können. > Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten > auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da > beisst sich die Katze in den Schwanz! Aus der Entwicklersicht scheint manches vielleicht erstmal völlig logisch, was von den Anwendern dann aber gar nicht so verstanden wird. Eine kleiner Zusatz kann dann schon helfen etwas noch weiter auszuführen. VG c On 02.04.19 20:34, J. Fahrner wrote: > Am 2019-04-02 20:23, schrieb Carsten Rosenberg: >> Wenn dir etwas auffällt, dass besser dokumentiert sein könnte, einfach >> rspamd.com forken, ändern und PR stellen. > > Sorry, aber deine Sichtweise ist ziemlich naiv. Forken ist keine Lösung. > Ich würde ja gerne bei der Doku mitwirken (was ich bei anderen Projekten > auch tue!), aber dazu müsste ich's natürlich erstmal verstehen. Da > beisst sich die Katze in den Schwanz!
Re: DKIM signing bei Mailweiterleitung
- To be eligible for signing, a mail must be received from an authenticated user OR a reserved IP address OR an address in the sign_networks map (if defined) - Selector and path to key are selected from domain-specific config if present, falling back to global config https://rspamd.com/doc/modules/dkim_signing.html Dort steht genau die Lösung deines Problems. Was sollte hier noch fehlen? Viele Grüße Carsten On 02.04.19 21:04, J. Fahrner wrote: > Am 2019-04-02 21:00, schrieb Carsten Rosenberg: >> Forken meinte ich im Sinne wie es typischerweise auf Github/-lab läuft. >> Du forkst ein Projekt, machst die Änderungen an deinem persönlichen Fork >> und stellst dann einen Pull-Request an das Haupt-Projekt in den nur die >> direkten Maintainer direkt etwas einstellen können. > > Und was hat das jetzt mit "missing doku" zu tun? Was nicht dokumentiert > ist, kann ich auch in einem persönlichen Fork nicht besser dokumentieren.
Re: DKIM signing bei Mailweiterleitung
Genau und dass es einen Fallback gibt wenn das nicht explizit definiert ist. Im kommentierten Config Beispiel siehst du, dass du auch auswählen kannst ob Rspamd header-from, smtp-from oder den auth-user zur Suche der Domain benutzt. Es steht aber nirgendwo, dass zu signierende Domänen erst definiert werden müssen. Das ist analog zum Amavis, da macht man das ja auch nicht. >> - To be eligible for signing, a mail must be received from an >> authenticated user OR a reserved IP address OR an address in the >> sign_networks map (if defined) Das ist sein Aufhänger (Amavis: ORIGINATING) Und für jede Mail, die Rspamd meint signieren zu wollen, sucht er keys. Erst explizit, dann als Fallback # Default path to key, can include '$domain' and '$selector' variables path = "/var/lib/rspamd/dkim/$domain.$selector.key"; -- Ich seh immer noch nicht wo Rspamd hier mikrig dokumentiert ist. VG c On 03.04.19 07:21, J. Fahrner wrote: > Am 2019-04-03 06:31, schrieb Carsten Rosenberg: >> - To be eligible for signing, a mail must be received from an >> authenticated user OR a reserved IP address OR an address in the >> sign_networks map (if defined) >> >> - Selector and path to key are selected from domain-specific config if >> present, falling back to global config >> >> https://rspamd.com/doc/modules/dkim_signing.html >> >> >> Dort steht genau die Lösung deines Problems. Was sollte hier noch fehlen? > > Nun, da steht ja nur wie er sich die Keys und den Selektor bestimmt. Da > steht nicht, wie man ihm sagt für welche Domains er überhaupt signieren > soll. >
Re: Spam/Virus-Filter in lmtp einbauen?
Hey, theoretisch kannst du mit Sieve auch Spam-Filter abfragen. Aber macht das wirklich Sinn? Ich würde abgeholte Mails immer an den Postfix zustellen und dort ggf. mit anderen Settings (dir fehlen viele Infos aus dem SMTP Dialog) auf Spam prüfen lassen. VG c On 10.03.19 19:05, Mike Mildner wrote: > Hi, > > wie binde ich o.g. Scanner über/in lmtp ein? > > Ich habe mich an das Dovecot-Buch gehalten und stelle mit getmail geholte > Mails via dovecot-lda direkt dem richtigen Postfach zu. > Wie bindet man jetzt die Scanner an dieser Stelle ein? Ich finde dazu nichts > brauchbares. Alles läuft darauf hinaus das man in Postfix einen Transportweg > hinzufügt. Aber so würde ich ja nur vom Client erzeugte Mails scannen > können...? >
Re: DKIM Signatur
Hallo Wolfgang, einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab. Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein, aber in den meisten Fällen geht die Mail trotzdem durch. Eine Signatur einer anderen Domain fließt meist einfach nicht in die Bewertung ein. -- Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur. # If `true` get pubkey from DNS record and check if it matches private key check_pubkey = true; # Set to `false` if you want to skip signing if public and private keys mismatch allow_pubkey_mismatch = false; Das macht sich sehr praktisch, wenn man viele Domains hat und nur die signiert werden sollen, die den pub.key im DNS hinterlegt haben. Viele Grüße Carsten On 01.07.20 14:45, Wolfgang Rosenauer wrote: > Hallo, > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp > oder einen Link. > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag > gibt? > > Hintergrund: ein Mailserver für viele Domains aber ohne direkte > Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer > den Eintrag im DNS überhaupt nicht vornehmen. > > Eine zweite Variante: > Falls obiges blöd ist, könnte ich eine generische Signatur mit > entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem > Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte > damit wohl mindestens ein Problem? > > > > Danke, > Wolfgang >
Re: Postfix - clamav - Ausnahmen für OLE2BlockMacros möglich?
Hey,
du kannst im Rspamd Virenmeldungen via Pattern Regex ein eigenes Symbol
zuweisen:
clamav {
...
patterns {
CLAM_HEUR_OLE2_VBA_MACRO =
"^(Heuristics\.OLE2\.ContainsMacros.*|File contains macros)";
}
}
Das nutzen wir sehr intensiv um auch die Unofficial Signaturen zu
kategorisieren.
Wenn du jetzt den Reject nicht im Plugin sondern via force_actions
machst, kannst du in einem Settings-Profil darauf Einfluss nehmen.
force_actions.conf:
rules {
VIRUS_REJECT {
action = "reject";
expression = "CLAMAV_VIRUS | CLAM_HEUR_OLE2_VBA_MACRO";
message = "REJECT - virus found";
}
}
Und deaktivieren via settings.conf
internal_systems {
id = "internal_systems";
priority = high;
# remote client ip
ip = "172.16.0.1/32";
apply {
symbols_disabled = [
"CLAM_HEUR_OLE2_VBA_MACRO",
];
groups_disabled = [
];
}
}
Viele Grüße
Carsten
On 29.11.21 09:06, Andreas Wass - Glas Gasperlmair wrote:
Hallo zusammen,
wir verwenden Postfix in Kombination mit ClamAV (über rspamd
eingebunden) mit der Einstellung "OLE2BlockMacros true"
(/etc/clamav/clamd.conf).
Ist es möglich, diese Einstellung für spezielle Kunden IP-Adressen zu
umgehen und deren E-Mails mit Macros in Dokumenten zuzulassen?
vg, Andi
Re: Sparkassenspam
On 09.11.21 18:23, Robert Schetterer wrote:
Am 09.11.21 um 16:45 schrieb Andreas Reschke:
Hallo zusammen,
täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw.
Pishing an. Mein rspamd lässt viele davon leider durch.
Was kann kann ich ändern bzw. wie Abhilfe leisten?
So zeigt rspamd dies über das Webinterface an:
Symbols
Sort by:
*RSPAMD_URIBL* (4.5) [yomegosmr.com:url]
*RECEIVED_SPAMHAUS_XBL* (3) [92.80.251.71:received]
*OLD_X_MAILER* (2)
*AUTH_NA* (1)
*R_MIXED_CHARSET* (0.83) [subject]
*MV_CASE* (0.5)
*MIME_HTML_ONLY* (0.2)
*RCVD_NO_TLS_LAST* (0.1)
*FROM_HAS_DN* (0)
*TO_DN_NONE* (0)
*ARC_NA* (0)
*RCVD_VIA_SMTP_AUTH* (0)
*RCVD_COUNT_TWO* (0) [2]
*RECEIVED_SPAMHAUS_PBL* (0) [92.80.251.71:received]
*R_SPF_NA* (0) [no SPF record]
*MIME_TRACE* (0) [0:~]
*TO_MATCH_ENVRCPT_ALL* (0)
*FROM_EQ_ENVFROM* (0)
*DMARC_NA* (0) [carsystem.co.rs]
*MID_RHS_MATCH_FROM* (0)
*GREYLIST* (0) [pass,body]
*RCPT_COUNT_ONE* (0) [1]
*R_DKIM_NA* (0)
*ASN* (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
*PREVIOUSLY_DELIVERED* (0) [x...@xxx.de]
subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
Gruß
Andreas
Kann ich dir natuerlich nicht garantieren
aber clamav-milter mit
https://sanesecurity.com/usage/signatures/
war da eigentlich immer ganz gut
ansonsten besser mal auf der rspamd liste fragen
mit Beispielen , oder eben an ein paar parameter drehen
Moin,
Sanesecurity und Securiteinfo als extra Signaturen für ClamAV kann ich
auch nur empfehlen.
Für die Sparkassen Spams bzw für alle Spams mit etwas mehr Text, macht
sich anlernen im Bayes und Fuzzy ganz gut.
Vor allem Fuzzy solltest du dir anschauen:
https://rspamd.com/doc/workers/fuzzy_storage.html#configuration
https://rspamd.com/doc/modules/fuzzy_check.html
Wenn du danach die Mails mit einer hohen Gewichtung anlernst, bekommst
du schnell eine gute Erkennung:
rspamc -f 1 -w 50 fuzzy_add /path/to/spammail
Bei deinem Beispiel könntest du auch eine Composite Rule bauen:
https://rspamd.com/doc/configuration/composites.html
z.B.
SPK_SPAM {
expression = "RSPAMD_URIBL & RECEIVED_SPAMHAUS_XBL";
score = 20;
policy = "leave";
description = "Sparkassen Spam"
}
Oder dir auch die force_actions angucken, die vom matching ähnlich
funktionieren.
Viele Grüße
Carsten
[postfix-users] smtpd-auth
Hallo alle zusammen Ich habe ein Problem mit der Authtentifizierung über mysql und weiß nicht so recht, wie ich es lösen kann. Meldung in der log-Datei: S03 postfix/smtpd[10591]: warning: unknown[10.242.2.6]: SASL LOGIN authentication failed: authentication failure Habe keine Idee, wo ich drehen muss, damit dies funktioniert. Momentan lasse ich nur relaying aus meinem LAN zu. Wäre super, wenn jemand unterstützen kann. Mit freundlichem Gruß Carsten Laun-De Lellis Anbei ein Auszug aus dem Ergebnis von saslfinger: saslfinger - postfix Cyrus sasl configuration Fr 19. Jun 12:38:03 CEST 2009 version: 1.0.4 mode: server-side SMTP AUTH -- basics -- Postfix: 2.5.5 System: Ubuntu 9.04 \n \l -- smtpd is linked to -- libsasl2.so.2 = /usr/lib/libsasl2.so.2 (0xb7d1f000) -- active SMTP AUTH and TLS parameters for smtpd -- broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous -- listing of /usr/lib/sasl2 -- insgesamt 944 drwxr-xr-x 2 root root 4096 2009-06-15 09:55 . drwxr-xr-x 63 root root 20480 2009-06-15 17:09 .. -rw-r--r-- 1 root root 13868 2009-03-06 17:05 libanonymous.a -rw-r--r-- 1 root root 989 2009-03-06 17:05 libanonymous.la -rw-r--r-- 1 root root 13752 2009-03-06 17:05 libanonymous.so -rw-r--r-- 1 root root 13752 2009-03-06 17:05 libanonymous.so.2 -rw-r--r-- 1 root root 13752 2009-03-06 17:05 libanonymous.so.2.0.22 -rw-r--r-- 1 root root 16390 2009-03-06 17:05 libcrammd5.a -rw-r--r-- 1 root root 975 2009-03-06 17:05 libcrammd5.la -rw-r--r-- 1 root root 17848 2009-03-06 17:05 libcrammd5.so -rw-r--r-- 1 root root 17848 2009-03-06 17:05 libcrammd5.so.2 -rw-r--r-- 1 root root 17848 2009-03-06 17:05 libcrammd5.so.2.0.22 -rw-r--r-- 1 root root 47760 2009-03-06 17:05 libdigestmd5.a -rw-r--r-- 1 root root 998 2009-03-06 17:05 libdigestmd5.la -rw-r--r-- 1 root root 46828 2009-03-06 17:05 libdigestmd5.so -rw-r--r-- 1 root root 46828 2009-03-06 17:05 libdigestmd5.so.2 -rw-r--r-- 1 root root 46828 2009-03-06 17:05 libdigestmd5.so.2.0.22 -rw-r--r-- 1 root root 14160 2009-03-06 17:05 libldapdb.a -rw-r--r-- 1 root root 982 2009-03-06 17:05 libldapdb.la -rw-r--r-- 1 root root 17780 2009-03-06 17:05 libldapdb.so -rw-r--r-- 1 root root 17780 2009-03-06 17:05 libldapdb.so.2 -rw-r--r-- 1 root root 17780 2009-03-06 17:05 libldapdb.so.2.0.22 -rw-r--r-- 1 root root 13906 2009-03-06 17:05 liblogin.a -rw-r--r-- 1 root root 969 2009-03-06 17:05 liblogin.la -rw-r--r-- 1 root root 13748 2009-03-06 17:05 liblogin.so -rw-r--r-- 1 root root 13748 2009-03-06 17:05 liblogin.so.2 -rw-r--r-- 1 root root 13748 2009-03-06 17:05 liblogin.so.2.0.22 -rw-r--r-- 1 root root 30324 2009-03-06 17:05 libntlm.a -rw-r--r-- 1 root root 963 2009-03-06 17:05 libntlm.la -rw-r--r-- 1 root root 30196 2009-03-06 17:05 libntlm.so -rw-r--r-- 1 root root 30196 2009-03-06 17:05 libntlm.so.2 -rw-r--r-- 1 root root 30196 2009-03-06 17:05 libntlm.so.2.0.22 -rw-r--r-- 1 root root 14226 2009-03-06 17:05 libplain.a -rw-r--r-- 1 root root 969 2009-03-06 17:05 libplain.la -rw-r--r-- 1 root root 17844 2009-03-06 17:05 libplain.so -rw-r--r-- 1 root root 17844 2009-03-06 17:05 libplain.so.2 -rw-r--r-- 1 root root 17844 2009-03-06 17:05 libplain.so.2.0.22 -rw-r--r-- 1 root root 22402 2009-03-06 17:05 libsasldb.a -rw-r--r-- 1 root root 1000 2009-03-06 17:05 libsasldb.la -rw-r--r-- 1 root root 21804 2009-03-06 17:05 libsasldb.so -rw-r--r-- 1 root root 21804 2009-03-06 17:05 libsasldb.so.2 -rw-r--r-- 1 root root 21804 2009-03-06 17:05 libsasldb.so.2.0.22 -rw-r--r-- 1 root root 24164 2009-03-06 17:05 libsql.a -rw-r--r-- 1 root root 1098 2009-03-06 17:05 libsql.la -rw-r--r-- 1 root root 26064 2009-03-06 17:05 libsql.so -rw-r--r-- 1 root root 26064 2009-03-06 17:05 libsql.so.2 -rw-r--r-- 1 root root 26064 2009-03-06 17:05 libsql.so.2.0.22 -- listing of /etc/postfix/sasl -- insgesamt 12 drwxr-xr-x 2 root root 4096 2009-06-19 11:57 . drwxr-xr-x 4 root root 4096 2009-06-18 17:50 .. -rw-r--r-- 1 root root 458 2009-06-19 11:57 smtpd.conf -- content of /etc/postfix/sasl/smtpd.conf -- #Global parameters log_level: 5 pwcheck_method: auxprop mech_list: plain login # cram-md5 digest-md5 #auxiliary plugin parameters auxprop_plugin:sql sql_engine:mysql sql_hostnames:localhost sql_database:mail sql_user: --- replaced --- sql_password: strenggeheim # sql_select: SELECT '%p' from virtual_users where username = '%u' and userrealm = '%r' and auth = '1' sql_select: SELECT password from virtual_users where username = '%u' and auth = '1' sql_usessl: no -- content of /etc/postfix/sasl/smtpd.conf -- #Global parameters log_level: 5 pwcheck_method: auxprop mech_list: plain login # cram-md5 digest-md5 #auxiliary plugin parameters auxprop_plugin:sql sql_engine:mysql sql_hostnames:localhost sql_database:mail sql_user: --- replaced --- sql_password: strenggeheim # sql_select: SELECT '%p' from
Re: [postfix-users] smtpd-auth
Hallo Habe in sql_passwd geändert, aber funktioniert immer noch nicht. Gruß Carsten Werner Detter schrieb: Patrick Ben Koetter schrieb: * Carsten Laun-De Lellis postfix-users@de.postfix.org: Hallo alle zusammen Ich habe ein Problem mit der Authtentifizierung über mysql und weiß nicht so recht, wie ich es lösen kann. Meldung in der log-Datei: S03 postfix/smtpd[10591]: warning: unknown[10.242.2.6]: SASL LOGIN authentication failed: authentication failure Es muss sql_passwd und nicht sql_password in smtpd.conf heissen. p...@rick Da hat er recht der p...@trick mit den Adleraugen :-) Lg, Werner ___ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users ___ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
[postfix-users] Script zum Start von policyd-weight beim Systemstart
Hallo alle zusammen Ich bin auf der Suche nach einem script, welches mir den policyd-weight automatisch beim Systemstart startet. Ich habe bisher versucht auf Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes script für policyd-weight zu erstellen aber leider funktioniert das so nicht. Auch der Versuch über cron hat es bisher nicht gebracht. Würde mich sehr freuen, wenn jemand da einen Tipp für mich hätte. Das ganze läuft im übrigen unter OpenSUSE 11.1 Mit freundlichem Gruß Carsten Laun-De Lellis Dipl.-Ing. Elektrotechnik Certified Information Systems Auditor (CISA) Hauptstrasse 13 D-67705 Trippstadt Phone: +49 (6306) 992140 Mobile: +49 (151) 27530865 email:mailto:carsten.delel...@delellis.net carsten.delel...@delellis.net ___ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Re: [postfix-users] [Postfixbuch-users] Script um policyd-weight automatisch zu starten
Hallo Ralf Vielen Dank für den Tipp. Funktioniert super. Musste das script zwar noch um 3 Einträge ergänzen, aber es tut genau das, was ich möchte. Meine Idee mit cron war, das policyd bei jedem Start ausführen zu lassen. So ist es aber natürlich viel eleganter. Nochmals vielen Dank. Mit freundlichem Gruß Carsten Laun-De Lellis Dipl.-Ing. Elektrotechnik Certified Information Systems Auditor (CISA) Hauptstrasse 13 D-67705 Trippstadt Phone: +49 (6306) 992140 Mobile: +49 (151) 27530865 email: carsten.delel...@delellis.net -Original Message- From: Ralf Hildebrandt [mailto:ralf.hildebra...@charite.de] Sent: Donnerstag, 19. November 2009 14:09 To: Carsten Laun-De Lellis Subject: Re: [Postfixbuch-users] Script um policyd-weight automatisch zu starten * Carsten Laun-De Lellis carsten.delel...@delellis.net: Ich bin auf der Suche nach einem script, welches mir den policyd-weight automatisch beim Systemstart startet. Ich habe bisher versucht auf Grundlage des postgrey scriptes in /etc/init.d/ ein entsprechendes script für policyd-weight zu erstellen aber leider funktioniert das so nicht. Auch der Versuch über cron hat es bisher nicht gebracht. cron ist ja nur auch der falsche Ansatz. Würde mich sehr freuen, wenn jemand da einen Tipp für mich hätte. http://wiki.rootforum.de/mailserver/postfix/policyd-weight -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebra...@charite.de | http://www.charite.de ___ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Re: [postfix-users] [Postfixbuch-users] Script um policyd-weight automatisch zu starten
Hallo an alle Vielen Dank für die vielen Tipps. Die Hinweise von Robert und Ralf haben mir aber schon geholfen. Das ganze funzt. Mit freundlichem Gruß Carsten Laun-De Lellis Dipl.-Ing. Elektrotechnik Certified Information Systems Auditor (CISA) Hauptstrasse 13 D-67705 Trippstadt Phone: +49 (6306) 992140 Mobile: +49 (151) 27530865 email: carsten.delel...@delellis.net -Original Message- From: postfixbuch-users-boun...@listen.jpberlin.de [mailto:postfixbuch-users-boun...@listen.jpberlin.de] On Behalf Of Peer Heinlein Sent: Donnerstag, 19. November 2009 14:06 To: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein. Subject: Re: [Postfixbuch-users] Script um policyd-weight automatisch zu starten Am Donnerstag, 19. November 2009 schrieb Carsten Laun-De Lellis: Das ganze läuft im übrigen unter OpenSUSE 11.1 Ich habe u.a. für policyd-weight fertige RPM-Pakete. Einfach als Quelle einbinden und über YaST installieren und gut ist. http://download.opensuse.org/repositories/home:/pheinlein/ Gruß Peer -- 4. Secure Linux Administration Conference (SLAC) Am 10. und 11. Dezember in Berlin: http://www.heinlein-support.de/slac Heinlein Professional Linux Support GmbH Linux: Akademie - Support - Hosting http://www.heinlein-support.de Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht Berlin-Charlottenburg, Geschäftsführer: Peer Heinlein -- Sitz: Berlin -- ___ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH postfixbuch-us...@listen.jpberlin.de https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users ___ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Kein Mailversand mit Outlook oder Live Mail Client
Hallo ich benötige etwas Hilfe / ich hoffe das ist kein Doppelpost, ich habe mich eben erst in die Liste eingetragen Ich bin mit meinen Mail Server von Linux und Postfix 2 umgezogen auf einen neuen FreeBSD 10.3 diesen habe ich sogleich mit postfix 3.1 / dovecot aufgesetzt. Das Problem besteht jetzt darin die Clients mit Windows Live Mail oder Outlook Express keine Mails mehr versenden können. Alle anderen Clients Thunderbird/ Outlook / Apple Mail mit den SSL /TLS /STARTTLS oder ohne Verschlüsselung funktionieren ohne Probleme. Der Server befindet sich in einen Subnetz auf einem ESXI Server die Ports sind über eine Router VM per Forwarding weitergeleitet auf den Mail Host. 25/110/143/465/587/993/995 Fehlermeldung von Windows Live Mail Die Nachricht konnte nicht gesendet werden. Möglicherweise muss die Einstellung für Ihren Postausgangsserver [SMTP] konfiguriert werden. Wenn Sie beim Feststellen der Servereinstellungen für "x...@gmail.com" Hilfe benötigen, wenden Sie sich an Ihren E-Mail-Dienstanbieter. Ohne Verschlüsselung Betreff 'asda' Serverfehler: 554 Serverantwort: 554 5.7.1 <...@gmail.com>: Relay access denied Server: 'mail..de' Windows Live Mail-Fehlernummer: 0x800CCC79 Protokoll: SMTP Port: 25 Secure (SSL): Nein Konfiguration append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes compatibility_level = 2 disable_vrfy_command = yes dovecot_destination_recipient_limit = 1 inet_protocols = ipv4 mail_owner = postfix mailbox_size_limit = 0 message_size_limit = 52428800 mydestination = 10.1.1.20 myhostname = mail.hit-enter.de mynetworks = 10.0.0.0/8 78.46.XXX.XXX/29 127.0.0.1 10.1.1.2 localhost mynetworks_style = subnet myorigin = $mydomain proxy_read_maps = $local_recipient_maps,$myhostname,$mynetworks,$virtual_mailbox_domains,$virtual_mailbox_maps,$virtual_alias_maps recipient_delimiter = + show_user_unknown_table_name = no smtpd_banner = $myhostname ESMTP $mail_name (Alien) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, reject_rbl_client ix.dnsbl.manitu.net, permit smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/black.lst, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated smtpd_sasl_auth_enable = yes smtpd_sasl_exceptions_networks = $mynetworks smtpd_sasl_path = private/auth smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, permit smtpd_tls_auth_only = no smtpd_tls_cert_file = /usr/local/etc/ssl/fullchain.pem smtpd_tls_key_file = /usr/local/etc/ssl/privkey.pem smtpd_tls_security_level = may smtpd_use_tls = yes smtputf8_enable = yes strict_rfc821_envelopes = yes virtual_alias_maps = proxy:mysql:$config_directory/mysql_cf/virtual_alias_maps.cf virtual_gid_maps = static:500 virtual_mailbox_base = /var/mail/accounts virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_cf/virtual_domains_maps.cf virtual_mailbox_limit = 10240 virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_cf/virtual_mailbox_maps.cf virtual_minimum_uid = 500 virtual_transport = dovecot virtual_uid_maps = static:500 # Kann es sein das die Option broken_sasl_auth_clients= yes nich mehr funktioniert ? Ich habe jetzt schon nochmal die Option smtpd_relay_restrictions angepasst aber das hat auch nichts geholfen mfg Jens
keine Mails mit Live Mail oder Outlook nach upgrade
Hallo ich benötige etwas Hilfe Ich bin mit meinen Mail Server von Linux und Postfix 2 umgezogen auf einen neuen FreeBSD 10.3 diesen habe ich sogleich mit postfix 3.1 / dovecot aufgesetzt. Das Problem besteht jetzt darin die Clients mit Windows Live Mail oder Outlook Express keine Mails mehr versenden können. Alle anderen Clients Thunderbird/ Outlook / Apple Mail mit den SSL /TLS /STARTTLS oder ohne Verschlüsselung funktionieren ohne Problem. Der Server befindet sich in einen Subnetz auf einem ESXI Server die Ports sind über eine Router VM per Forwarding weitergeleitet auf den Mail Host. 25/110/143/465/587/993/995 Fehlermeldung von Windows Live Mail Die Nachricht konnte nicht gesendet werden. Möglicherweise muss die Einstellung für Ihren Postausgangsserver [SMTP] konfiguriert werden. Wenn Sie beim Feststellen der Servereinstellungen für "x...@gmail.com" Hilfe benötigen, wenden Sie sich an Ihren E-Mail-Dienstanbieter. Ohne Verschlüsselung Betreff 'asda' Serverfehler: 554 Serverantwort: 554 5.7.1 <...@gmail.com>: Relay access denied Server: 'mail..de' Windows Live Mail-Fehlernummer: 0x800CCC79 Protokoll: SMTP Port: 25 Secure (SSL): Nein Konfiguration append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes compatibility_level = 2 disable_vrfy_command = yes dovecot_destination_recipient_limit = 1 inet_protocols = ipv4 mail_owner = postfix mailbox_size_limit = 0 message_size_limit = 52428800 mydestination = 10.1.1.20 myhostname = mail.hit-enter.de mynetworks = 10.0.0.0/8 78.46.XXX.XXX/29 127.0.0.1 10.1.1.2 localhost mynetworks_style = subnet myorigin = $mydomain proxy_read_maps = $local_recipient_maps,$myhostname,$mynetworks,$virtual_mailbox_domains,$virtual_mailbox_maps,$virtual_alias_maps recipient_delimiter = + show_user_unknown_table_name = no smtpd_banner = $myhostname ESMTP $mail_name (Alien) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, reject_rbl_client ix.dnsbl.manitu.net, permit smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/black.lst, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated smtpd_sasl_auth_enable = yes smtpd_sasl_exceptions_networks = $mynetworks smtpd_sasl_path = private/auth smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, permit smtpd_tls_auth_only = no smtpd_tls_cert_file = /usr/local/etc/ssl/fullchain.pem smtpd_tls_key_file = /usr/local/etc/ssl/privkey.pem smtpd_tls_security_level = may smtpd_use_tls = yes smtputf8_enable = yes strict_rfc821_envelopes = yes virtual_alias_maps = proxy:mysql:$config_directory/mysql_cf/virtual_alias_maps.cf virtual_gid_maps = static:500 virtual_mailbox_base = /var/mail/accounts virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_cf/virtual_domains_maps.cf virtual_mailbox_limit = 10240 virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_cf/virtual_mailbox_maps.cf virtual_minimum_uid = 500 virtual_transport = dovecot virtual_uid_maps = static:500 # Kann es sein das die Option broken_sasl_auth_clients= yes nich mehr funktioniert ? Ich habe jetzt schon nochmal die Option smtpd_relay_restrictions angepasst aber das hat auch nichts geholfen mfg Jens
Re: Kein Mailversand mit Outlook oder Live Mail Client
Ich habe sasl noch getestet auf port 25 geht auch 220 mail.x.de ESMTP Postfix (Alien) EHLO mail..de 500 5.5.2 Error: bad UTF-8 syntax EHLO mail..de 250-mail.x.de 250-PIPELINING 250-SIZE 52428800 250-ETRN 250-STARTTLS 250-AUTH PLAIN 250-AUTH=PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250 SMTPUTF8 AUTH PLAIN 235 2.7.0 Authentication successful Am 20.04.2016 um 18:18 schrieb Jens Carsten Lukas: Hallo ich benötige etwas Hilfe / ich hoffe das ist kein Doppelpost, ich habe mich eben erst in die Liste eingetragen Ich bin mit meinen Mail Server von Linux und Postfix 2 umgezogen auf einen neuen FreeBSD 10.3 diesen habe ich sogleich mit postfix 3.1 / dovecot aufgesetzt. Das Problem besteht jetzt darin die Clients mit Windows Live Mail oder Outlook Express keine Mails mehr versenden können. Alle anderen Clients Thunderbird/ Outlook / Apple Mail mit den SSL /TLS /STARTTLS oder ohne Verschlüsselung funktionieren ohne Probleme. Der Server befindet sich in einen Subnetz auf einem ESXI Server die Ports sind über eine Router VM per Forwarding weitergeleitet auf den Mail Host. 25/110/143/465/587/993/995 Fehlermeldung von Windows Live Mail Die Nachricht konnte nicht gesendet werden. Möglicherweise muss die Einstellung für Ihren Postausgangsserver [SMTP] konfiguriert werden. Wenn Sie beim Feststellen der Servereinstellungen für "x...@gmail.com" Hilfe benötigen, wenden Sie sich an Ihren E-Mail-Dienstanbieter. Ohne Verschlüsselung Betreff 'asda' Serverfehler: 554 Serverantwort: 554 5.7.1 <...@gmail.com>: Relay access denied Server: 'mail..de' Windows Live Mail-Fehlernummer: 0x800CCC79 Protokoll: SMTP Port: 25 Secure (SSL): Nein Konfiguration append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes compatibility_level = 2 disable_vrfy_command = yes dovecot_destination_recipient_limit = 1 inet_protocols = ipv4 mail_owner = postfix mailbox_size_limit = 0 message_size_limit = 52428800 mydestination = 10.1.1.20 myhostname = mail.hit-enter.de mynetworks = 10.0.0.0/8 78.46.XXX.XXX/29 127.0.0.1 10.1.1.2 localhost mynetworks_style = subnet myorigin = $mydomain proxy_read_maps = $local_recipient_maps,$myhostname,$mynetworks,$virtual_mailbox_domains,$virtual_mailbox_maps,$virtual_alias_maps recipient_delimiter = + show_user_unknown_table_name = no smtpd_banner = $myhostname ESMTP $mail_name (Alien) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, reject_rbl_client ix.dnsbl.manitu.net, permit smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit smtpd_helo_required = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/black.lst, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated smtpd_sasl_auth_enable = yes smtpd_sasl_exceptions_networks = $mynetworks smtpd_sasl_path = private/auth smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/usr/local/etc/postfix/white.lst, permit smtpd_tls_auth_only = no smtpd_tls_cert_file = /usr/local/etc/ssl/fullchain.pem smtpd_tls_key_file = /usr/local/etc/ssl/privkey.pem smtpd_tls_security_level = may smtpd_use_tls = yes smtputf8_enable = yes strict_rfc821_envelopes = yes virtual_alias_maps = proxy:mysql:$config_directory/mysql_cf/virtual_alias_maps.cf virtual_gid_maps = static:500 virtual_mailbox_base = /var/mail/accounts virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_cf/virtual_domains_maps.cf virtual_mailbox_limit = 10240 virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_cf/virtual_mailbox_maps.cf virtual_minimum_uid = 500 virtual_transport = dovecot virtual_uid_maps = static:500 # Kann es sein das die Option broken_sasl_auth_clients= yes nich mehr funktioniert ? Ich habe jetzt schon nochmal die Option smtpd_relay_restrictions angepasst aber das hat auch nichts geholfen mfg Jens
Re: Einzelne E-Mail Adresse soll temporär (wg. Wartungszwecken) nicht erreichbar sein, aber kein reject oder User not exist zurückgeben
Hey, bei einem check_recipient_access wird die Mail von deinem Server nicht angenommen. Das kannst du auch ohne regex machen: smtpd_recipient_restrictions = ... check_recipient_access hash:/etc/postfix/access_recipient # Test testu...@meinedomain.at DEFER und einmal postmap hash:/etc/postfix/access_recipient Wenn Postfix Mails annehmen aber nicht zustellen soll, kannst du das mit der Tranport Map machen: # main.cf transport_maps = hash:/etc/postfix/transport_maps # transport_maps testu...@meinedomain.at retry: Das erzeugt dann einen temporären Fehler bei der Zustellung. Viele Grüße Carsten On 10.04.24 08:11, Andreas Wass - Glas Gasperlmair via postfix-users wrote: Hm?, das funktioniert aber nur mit E-Mails von außerhalb. Gibt es so etwas auch für LMTP? (Konnte bis jetzt nix finden) VG, Andi Am 10.04.2024 um 07:47 schrieb Andreas Wass - Glas Gasperlmair via postfix-users: Ich glaub, ich hab's mittlerweile rausgefunden: vi main.cf smtpd_recipient_restrictions = ... check_recipient_access regexp:/etc/postfix/access_recipient ... vi /etc/postfix/access_recipient # Test /^testuser@meinedomain\.at$/ DEFER_IF_PERMIT Am 09.04.2024 um 16:55 schrieb Andreas Wass - Glas Gasperlmair via postfix-users: Hallo Postfix-Gemeinde, ist es möglich (für eine einzige unserer E-Mail-Adressen) allen Mailservern da draußen vorübergehend mit "4.7.1 Try again later" zu antworten, bis ich mit den Wartungsarbeiten am Postfach dieser 1 E-Mail-Adresse fertig bin. Was müsste ich hier in der main.cf und/oder master.cf machen. VG, Andi
