From postfix at linuxmaker.de Sat Nov 9 12:33:22 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 12:33:22 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails Message-ID: <17496055.7qJsr341hj@stuttgart> Hallo, ich habe gerade einen funktionierenden Mailserver auf eine andere Maschine umgezogen. Bei ausgehenden Mails dauert der Versandprozess noch zu lange wegen diesem Punkt hier: Nov 9 12:17:21 mx amavis[23892]: (23892-06) Checking: ZmB_xq_hvXfW [93.189.15.204] -> Nov 9 12:17:21 mx amavis[23892]: (23892-06) (!)run_av (ClamAV-clamd) FAILED - unexpected , output="/var/lib/amavis/tmp/amavis-20191109T120107-23892- chDodeVy/parts: lstat() failed: Permission denied. ERROR\n" Nov 9 12:17:21 mx amavis[23892]: (23892-06) (!)ClamAV-clamd av-scanner FAILED: CODE(0x55b981a9e6a8) unexpected , output="/var/lib/amavis/tmp/ amavis-20191109T120107-23892-chDodeVy/parts: lstat() failed: Permission denied. ERROR\n" at (eval 101) line 951. Der Clamav-User ist bereits in der Amavis-Gruppe: # id clamav uid=108(clamav) gid=116(clamav) Gruppen=116(clamav),123(amavis) Ich bin deshalb etwas ratlos, warum das Senden dieses Problem zeigt, während es beim Empfang nicht auftritt. Beste Grüße Andreas From wn at neessen.net Sat Nov 9 14:01:15 2019 From: wn at neessen.net (Winfried Neessen) Date: Sat, 09 Nov 2019 14:01:15 +0100 Subject: =?UTF-8?Q?Re=3A_Permission_denied_f=C3=BCr_Clamav_bei_zu_versend?= =?UTF-8?Q?enden_Mails?= In-Reply-To: <17496055.7qJsr341hj@stuttgart> References: <17496055.7qJsr341hj@stuttgart> Message-ID: <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> Hi, Am 2019-11-09 12:33, schrieb Andreas: > Der Clamav-User ist bereits in der Amavis-Gruppe: > # id clamav > uid=108(clamav) gid=116(clamav) Gruppen=116(clamav),123(amavis) > Hast Du clamd auch neu gestartet, nachdem Du ihn in die amavis-Gruppe gepackt hast? Ansonsten... wie sind die Owner/Permissions von /var/lib/amavis/tmp/? Winni From postfix at linuxmaker.de Sat Nov 9 15:10:28 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 15:10:28 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails In-Reply-To: <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> References: <17496055.7qJsr341hj@stuttgart> <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> Message-ID: <39335372.KjGWhbdLW7@stuttgart> Hallo Winfried, den kann ich so nicht starten. > Hast Du clamd auch neu gestartet, nachdem Du ihn in die amavis-Gruppe > gepackt hast? # systemctl status clamd Unit clamd.service could not be found. # systemctl enable clamd Failed to enable unit: Unit file clamd.service does not exist. Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese Meldungen genauso aus. Auf Beiden laufen diese Prozesse: mx:~# ps aux | grep clam clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 /usr/bin/ freshclam -d --foreground=true clamav 489 0.1 13.7 1107692 819516 ? Ssl Nov06 7:27 /usr/sbin/ clamd --foreground=true bzw. der Alte: mx1:~# ps aux | grep clam root 5400 0.0 0.0 6088 880 pts/0 R+ 15:05 0:00 grep clam clamav 7844 0.0 20.4 1108784 828192 ? Ssl Okt08 43:07 /usr/sbin/ clamd --foreground=true clamav 14662 0.0 0.4 58684 16296 ? Ss Okt05 3:06 /usr/bin/ freshclam -d --foreground=true > Ansonsten... wie sind die Owner/Permissions von /var/lib/amavis/tmp/? Hatte ich auch schon geprüft mx:~ # ll -d /var/lib/amavis/tmp/ drwxrwx--- 4 amavis amavis 4096 Nov 9 14:09 /var/lib/amavis/tmp/ mx1:~ # ll -d /var/lib/amavis/tmp/ drwxrwx--- 3 amavis amavis 4096 Nov 9 10:03 /var/lib/amavis/tmp/ Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Sat Nov 9 15:24:07 2019 From: wn at neessen.net (Winfried Neessen) Date: Sat, 9 Nov 2019 15:24:07 +0100 Subject: =?utf-8?Q?Re=3A_Permission_denied_f=C3=BCr_Clamav_bei_zu_versende?= =?utf-8?Q?nden_Mails?= In-Reply-To: <39335372.KjGWhbdLW7@stuttgart> References: <17496055.7qJsr341hj@stuttgart> <9e5bcba6ac5fbbde8a91ea5f887aa210@neessen.net> <39335372.KjGWhbdLW7@stuttgart> Message-ID: Hi, On 9. Nov 2019, at 15:10, Andreas wrote: > # systemctl status clamd > Unit clamd.service could not be found. > # systemctl enable clamd > Failed to enable unit: Unit file clamd.service does not exist. > Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese Meldungen genauso aus. Dann heisst der Dienst auf Deinem System anders. Irgendwie muss er ja vom OS gestartet werden. Probier mal: systemctl | grep clam > Auf Beiden laufen diese Prozesse: > mx:~# ps aux | grep clam > clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 /usr/bin/freshclam -d --foreground=true > clamav 489 0.1 13.7 1107692 819516 ? Ssl Nov06 7:27 /usr/sbin/clamd --foreground=true > Jo, die wurden am 6. November gestartet. Also evtl. nicht mehr seit Du den clamav-User in die Amavis-Gruppe gepackt hast - was das Permission-Problem erklaert. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From postfix at linuxmaker.de Sat Nov 9 15:37:39 2019 From: postfix at linuxmaker.de (Andreas) Date: Sat, 09 Nov 2019 15:37:39 +0100 Subject: Permission denied =?UTF-8?B?ZsO8cg==?= Clamav bei zu versendenden Mails In-Reply-To: References: <17496055.7qJsr341hj@stuttgart> <39335372.KjGWhbdLW7@stuttgart> Message-ID: <2869635.xPnsSv51BY@stuttgart> Am Samstag, 9. November 2019, 15:24:07 CET schrieb Winfried Neessen: > Hi, > > On 9. Nov 2019, at 15:10, Andreas wrote: > > # systemctl status clamd > > Unit clamd.service could not be found. > > # systemctl enable clamd > > Failed to enable unit: Unit file clamd.service does not exist. > > Das Gleiche gilt für clamav. Aber auf dem alten Server sehen diese > > Meldungen genauso aus. > Dann heisst der Dienst auf Deinem System anders. Irgendwie muss er ja vom OS > gestartet werden. Probier mal: systemctl | grep clam > > > Auf Beiden laufen diese Prozesse: > > mx:~# ps aux | grep clam > > clamav 444 0.0 0.1 50792 8652 ? Ss Nov06 0:15 > > /usr/bin/freshclam -d --foreground=true clamav 489 0.1 13.7 1107692 > > 819516 ? Ssl Nov06 7:27 /usr/sbin/clamd --foreground=true > Jo, die wurden am 6. November gestartet. Also evtl. nicht mehr seit Du den > clamav-User in die Amavis-Gruppe gepackt hast - was das Permission-Problem > erklaert. > > > Winni Stimmt, habe ich jetzt total übersehen. Jetzt läuft wieder alles. Besten Dank Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From pw at wk-serv.de Mon Nov 11 10:56:38 2019 From: pw at wk-serv.de (Patrick Westenberg) Date: Mon, 11 Nov 2019 10:56:38 +0100 Subject: private/dnsblog service: Resource temporarily unavailable Message-ID: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> Hallo zusammen, seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine Mailserver durch sehr hohen Load nicht mehr reagieren. Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nov 11 09:33:45 mx02 postfix/postscreen[7592]: warning: psc_dnsbl_request: connect to private/dnsblog service: Resource temporarily unavailable Nennenswert mehr Verbindungsversuche als zu anderen Zeitpunkten gibt es nicht wenn das auftritt, aber es scheint dnsblog dennoch auszulasten. Auf den Systemen läuft jeweils unbound als lokaler Caching-Nameserver. Kann man dnsblog irgendwie tunen? Gruß Patrick # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # Do not forget to execute "postfix reload" after editing this file. # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - - - 1 postscreen smtpd pass - - - - - smtpd -o receive_override_options=no_address_mappings -o smtpd_proxy_filter=127.0.0.1:10024 dnsblog unix - - - - 0 dnsblog tlsproxy unix - - - - 0 tlsproxy #submission inet n - - - - smtpd # -o smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #smtps inet n - - - - smtpd # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING #628 inet n - - - - qmqpd pickup fifo n - - 60 1 pickup cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - - 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - - - - smtp -o smtp_fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # See the Postfix UUCP_README file for configuration details. # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user} 127.0.0.1:10025 inet n - n - - smtpd -o content_filter= -o smtpd_proxy_filter= lmtps unix - - - - - lmtp -o lmtp_use_tls=yes -o lmtp_enforce_tls=yes -o lmtp_tls_mandatory_protocols=!SSLv2,!SSLv3 -o lmtp_tls_protocols=!SSLv2,!SSLv3 -o lmtp_tls_mandatory_ciphers=high -o lmtp_tls_ciphers=high -o lmtp_send_xforward_command=yes -o lmtp_tls_security_level=encrypt -o lmtp_tls_note_starttls_offer=yes -o lmtp_address_preference=ipv4 # -o lmtp_tls_mandatory_exclude_ciphers=aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no bounce_queue_lifetime = 1d broken_sasl_auth_clients = yes default_privs = vmail inet_interfaces = 83.149.67.233,[2001:1af8:3100:b010:20:2:2:1] inet_protocols = all lmtp_bind_address = 172.17.1.52 mailbox_size_limit = 0 maximal_queue_lifetime = 3d message_size_limit = 104857600 milter_default_action = tempfail mydestination = mx02.wk-serv.net, localhost myhostname = mx02.wk-serv.net mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname non_smtpd_milters = inet:127.0.0.1:22500 postscreen_access_list = permit_mynetworks postscreen_cache_cleanup_interval = 0 postscreen_cache_map = memcache:/etc/postfix/postscreen_cache postscreen_dnsbl_action = drop postscreen_dnsbl_sites = zen.spamhaus.org, bl.spamcop.net, ix.dnsbl.manitu.net, b.barracudacentral.org, bl.blocklist.de, bl.mailspike.net, dnsbl.sorbs.net postscreen_dnsbl_threshold = 3 postscreen_greet_action = drop postscreen_greet_banner = $smtpd_banner postscreen_greet_wait = 6s proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache readme_directory = no recipient_bcc_maps = hash:/etc/postfix/bcc_maps recipient_delimiter = + relay_domains = proxy:pgsql:/etc/postfix/transport_maps.pgsql sender_bcc_maps = hash:/etc/postfix/bcc_maps smtp_dns_support_level = dnssec smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA smtp_tls_loglevel = 1 smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CBC3-SHA, KRB5-DES, CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3 smtp_tls_note_starttls_offer = yes smtp_tls_protocols = !SSLv2,!SSLv3 smtp_tls_security_level = dane smtp_use_tls = yes smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_milters = inet:127.0.0.1:22500 smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unverified_recipient, reject_unauth_destination, check_policy_service inet:dovecot-backends.wk-serv.net:12340, permit smtpd_sasl_auth_enable = yes smtpd_sasl_path = private/auth smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_tls_CAfile = /etc/ssl/certs/intermediate.pem smtpd_tls_CApath = /etc/ssl/certs smtpd_tls_cert_file = /etc/ssl/certs/mx02_wk-serv_net.crt smtpd_tls_dh1024_param_file = /etc/postfix/dh1024.pem smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem smtpd_tls_key_file = /etc/ssl/private/mx02_wk-serv_net.key smtpd_tls_loglevel = 1 smtpd_tls_mandatory_ciphers = high smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3 smtpd_tls_protocols = !SSLv2,!SSLv3 smtpd_tls_received_header = yes smtpd_tls_security_level = may smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtpd_use_tls = yes tls_preempt_cipherlist = yes transport_maps = proxy:pgsql:/etc/postfix/transport_maps.pgsql virtual_alias_maps = proxy:pgsql:/etc/postfix/virtual_mailbox_forwardings.pgsql -- Westenberg + Kueppers GbR Spanische Schanzen 37 ---- Buero Koeln ---- 47495 Rheinberg pwestenberg at wk-serv.de Tel.: +49 (0)2843 90369-06 http://www.wk-serv.de Fax : +49 (0)2843 90369-07 Gesellschafter: Sebastian Kueppers & Patrick Westenberg From Ralf.Hildebrandt at charite.de Mon Nov 11 16:14:36 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Mon, 11 Nov 2019 16:14:36 +0100 Subject: [ext] private/dnsblog service: Resource temporarily unavailable In-Reply-To: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> References: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> Message-ID: <20191111151434.qw7q2dwwfnywijc4@charite.de> * Patrick Westenberg : > Hallo zusammen, > > seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine > Mailserver durch sehr hohen Load nicht mehr reagieren. > Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: Echte Hardware oder VM? Habe das auf keinem meiner drei (bare metal) Server. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From pw at wk-serv.de Mon Nov 11 16:32:16 2019 From: pw at wk-serv.de (Patrick Westenberg) Date: Mon, 11 Nov 2019 16:32:16 +0100 Subject: [ext] private/dnsblog service: Resource temporarily unavailable In-Reply-To: <20191111151434.qw7q2dwwfnywijc4@charite.de> References: <04149f3e-e727-ddff-195a-4e9f27a5a847@wk-serv.de> <20191111151434.qw7q2dwwfnywijc4@charite.de> Message-ID: Am 11.11.19 um 16:14 schrieb Ralf Hildebrandt: > * Patrick Westenberg : >> seit ein paar Tagen habe ich mehrmals am Tag das Problem, dass meine >> Mailserver durch sehr hohen Load nicht mehr reagieren. >> Im Log tauchen zu dem Zeitpunkt immer folgende Meldungen auf: > > Echte Hardware oder VM? > Habe das auf keinem meiner drei (bare metal) Server. Das sind LXC. Überlast schließe ich aus. Zum einen haben die Hosts generell keine große Last (heute morgen war es z.B. < 1) und zum anderen hatte ich einen Container auch schon alleine auf einem Host. From BrotherJ at gmx.de Wed Nov 13 11:20:19 2019 From: BrotherJ at gmx.de (Uwe Maisa) Date: Wed, 13 Nov 2019 11:20:19 +0100 Subject: fatal: mail system startup failed Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wn at neessen.net Wed Nov 13 11:27:35 2019 From: wn at neessen.net (Winfried Neessen) Date: Wed, 13 Nov 2019 11:27:35 +0100 Subject: fatal: mail system startup failed In-Reply-To: References: Message-ID: Hi, On 13. Nov 2019, at 11:20, Uwe Maisa wrote: > > Wie bekomme ich heraus, warum Postfix plötzlich nicht mehr starten will? Das Logfile waere da der erste Ansatz. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From BrotherJ at gmx.de Wed Nov 13 14:55:00 2019 From: BrotherJ at gmx.de (Uwe Maisa) Date: Wed, 13 Nov 2019 14:55:00 +0100 Subject: Aw: Re: fatal: mail system startup failed In-Reply-To: References:

Message-ID: Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bbu at mailbox.org Wed Nov 13 20:27:45 2019 From: bbu at mailbox.org (Bjoern Buerger) Date: Wed, 13 Nov 2019 20:27:45 +0100 Subject: Aw: Re: fatal: mail system startup failed In-Reply-To: References:

Message-ID: <39a11130-ef37-4591-7cbe-13be4a2a486e@mailbox.org> On 13.11.19 14:55, Uwe Maisa wrote: > Es stand zwar nichts Besonders im Logfile, aber lsof -i hat einen > laufenden Fuglu bemerkt. Wo kann man den denn deaktivieren? systemctl disable fuglu.service wäre die naheliegende Antwort :-) LG, Bjørn From ffiene at veka.com Wed Nov 13 21:41:09 2019 From: ffiene at veka.com (Frank fiene) Date: Wed, 13 Nov 2019 21:41:09 +0100 Subject: Rspamd and URIBL Message-ID: N?Abend, Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. Was könnte das sein? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From andre.peters at debinux.de Wed Nov 13 21:49:05 2019 From: andre.peters at debinux.de (=?utf-8?q?Andr=c3=a9=20Peters?=) Date: Wed, 13 Nov 2019 20:49:05 +0000 Subject: Rspamd and URIBL In-Reply-To: References: Message-ID: Frag am besten auch mal im Telegram Channel oder mach eine Issue im Git auf. :) Solltest eventuell debug_modules = ["rbl"] (denke, dass es das rbl Modul ist) vorher aktivieren und einmal testen, damit du Logs in der Hand hast. ------ Originalnachricht ------ Von: "Frank fiene" An: postfixbuch-users at listen.jpberlin.de Gesendet: 13.11.2019 21:41:09 Betreff: Rspamd and URIBL >N?Abend, > >Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. > >Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. >Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. > >Was könnte das sein? > >Viele Grüße! Frank >-- >Frank Fiene >IT-Security Manager VEKA Group > >Fon: +49 2526 29-6200 >Fax: +49 2526 29-16-6200 >mailto: ffiene at veka.com >http://www.veka.com >PGP-ID: 20419C64 >PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 > >VEKA AG >Dieselstr. 8 >48324 Sendenhorst >Deutschland/Germany > >Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >HRB 8282 AG Münster/District Court of Münster From tw at b-a-l-u.de Wed Nov 13 22:06:36 2019 From: tw at b-a-l-u.de (Thomas Walter) Date: Wed, 13 Nov 2019 22:06:36 +0100 Subject: Rspamd and URIBL In-Reply-To: References: Message-ID: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> Hi, On 13.11.19 21:41, Frank fiene wrote: > Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. > > Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. > Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. das hier vielleicht? https://github.com/rspamd/rspamd/issues/3137 Balu From ffiene at veka.com Thu Nov 14 07:33:09 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 07:33:09 +0100 Subject: Rspamd and URIBL In-Reply-To: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> Message-ID: <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> Ja, sieht so aus. Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. Viele Grüße! Frank > Am 13.11.2019 um 22:06 schrieb Thomas Walter : > > Hi, > > On 13.11.19 21:41, Frank fiene wrote: >> Irgendwie funktioniert bei mir URIBL nicht mehr. Ich habe das Gefühl seit dem Update auf Rspamd-2.1. >> >> Es erscheint im Log ?Cannot send invalid DNS request ._.df.uribl.com. >> Ubuntu-18.04 mit eigenem caching DNS. Lizenz läuft noch, ist auch korrekt. > > das hier vielleicht? > > https://github.com/rspamd/rspamd/issues/3137 > > Balu -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Thu Nov 14 07:35:16 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 07:35:16 +0100 Subject: [ext] Re: Rspamd and URIBL In-Reply-To: <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> Message-ID: <20191114063514.gz5yxvplgwaodzic@charite.de> * Frank Fiene : > Ja, sieht so aus. > > Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die von rspamd bereitgestellten Pakete. Die originalen Ubuntu/Debian Pakete sind Müll und veraltet Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Thu Nov 14 08:26:20 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 08:26:20 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <20191114063514.gz5yxvplgwaodzic@charite.de> References: <9d4073d1-0505-75a6-db7e-dc6471b00f9c@b-a-l-u.de> <61128BAD-6DE3-4520-95FA-D150429F73B1@veka.com> <20191114063514.gz5yxvplgwaodzic@charite.de> Message-ID: Hmmm, Gibt es ein Repository? Ich mag automatische Updates. > Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Ja, sieht so aus. >> >> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. > > Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die > von rspamd bereitgestellten Pakete. > > Die originalen Ubuntu/Debian Pakete sind Müll und veraltet > > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From andre.peters at debinux.de Thu Nov 14 08:52:39 2019 From: andre.peters at debinux.de (=?utf-8?q?Andr=C3=A9?= Peters) Date: Thu, 14 Nov 2019 08:52:39 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: References: Message-ID: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> Ja, direkt auf Rspamd.com zu finden. Mit besten Grüßen André Peters > Am 14.11.2019 um 08:26 schrieb Frank Fiene : > > ?Hmmm, > > Gibt es ein Repository? > > Ich mag automatische Updates. > > > >>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt : >>> >>> * Frank Fiene : >>> Ja, sieht so aus. >>> >>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >> >> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >> von rspamd bereitgestellten Pakete. >> >> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >> >> Ralf Hildebrandt >> Geschäftsbereich IT | Abteilung Netzwerk >> Charité - Universitätsmedizin Berlin >> Campus Benjamin Franklin >> Hindenburgdamm 30 | D-12203 Berlin >> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >> ralf.hildebrandt at charite.de | https://www.charite.de >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From ffiene at veka.com Thu Nov 14 08:55:34 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 08:55:34 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> References: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> Message-ID: <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> Ich habe erstmal das rbl.lua per Hand gepatcht. Läuft erstmal. Das Original Repository schaue ich mir dann mal an. Danke an alle! > Am 14.11.2019 um 08:52 schrieb André Peters : > > Ja, direkt auf Rspamd.com zu finden. > > Mit besten Grüßen > André Peters > >> Am 14.11.2019 um 08:26 schrieb Frank Fiene : >> >> ?Hmmm, >> >> Gibt es ein Repository? >> >> Ich mag automatische Updates. >> >> >> >>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt >: >>> >>> * Frank Fiene >: >>>> Ja, sieht so aus. >>>> >>>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >>> >>> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >>> von rspamd bereitgestellten Pakete. >>> >>> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >>> >>> Ralf Hildebrandt >>> Geschäftsbereich IT | Abteilung Netzwerk >>> Charité - Universitätsmedizin Berlin >>> Campus Benjamin Franklin >>> Hindenburgdamm 30 | D-12203 Berlin >>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>> ralf.hildebrandt at charite.de | https://www.charite.de >>> >> >> Viele Grüße! >> i.A. Frank Fiene >> -- >> Frank Fiene >> IT-Security Manager VEKA Group >> >> Fon: +49 2526 29-6200 >> Fax: +49 2526 29-16-6200 >> mailto: ffiene at veka.com >> http://www.veka.com >> >> PGP-ID: 62112A51 >> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >> Threema: VZK5NDWW >> >> VEKA AG >> Dieselstr. 8 >> 48324 Sendenhorst >> Deutschland/Germany >> >> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >> HRB 8282 AG Münster/District Court of Münster >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Thu Nov 14 09:03:21 2019 From: ffiene at veka.com (Frank Fiene) Date: Thu, 14 Nov 2019 09:03:21 +0100 Subject: [ext] Rspamd and URIBL In-Reply-To: <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> References: <8C1B4066-6EBC-4673-969E-D00DF3E50E6C@debinux.de> <10912C9A-0850-4842-8A0D-65F2260FB9C1@veka.com> Message-ID: Oh Mann, Was man nicht im Kopf hat. Also ich hatte natürlich das Original-Repository schon genutzt. Der Patch ist aber wohl noch nicht ausreichend getestet um es auszurollen. ;-) Viele Grüße! Frank > Am 14.11.2019 um 08:55 schrieb Frank Fiene : > > Ich habe erstmal das rbl.lua per Hand gepatcht. Läuft erstmal. > > Das Original Repository schaue ich mir dann mal an. > > > Danke an alle! > > > > >> Am 14.11.2019 um 08:52 schrieb André Peters >: >> >> Ja, direkt auf Rspamd.com zu finden. >> >> Mit besten Grüßen >> André Peters >> >>> Am 14.11.2019 um 08:26 schrieb Frank Fiene >: >>> >>> ?Hmmm, >>> >>> Gibt es ein Repository? >>> >>> Ich mag automatische Updates. >>> >>> >>> >>>> Am 14.11.2019 um 07:35 schrieb Ralf Hildebrandt >: >>>> >>>> * Frank Fiene >: >>>>> Ja, sieht so aus. >>>>> >>>>> Na super, es gibt auch für Ubuntu noch kein Update, da werde ich das LUA-Script mal selber paschen müssen. >>>> >>>> Bei rspamd gilt: Nicht die Ubuntu/Debian Pakete nehmen, sondern die >>>> von rspamd bereitgestellten Pakete. >>>> >>>> Die originalen Ubuntu/Debian Pakete sind Müll und veraltet >>>> >>>> Ralf Hildebrandt >>>> Geschäftsbereich IT | Abteilung Netzwerk >>>> Charité - Universitätsmedizin Berlin >>>> Campus Benjamin Franklin >>>> Hindenburgdamm 30 | D-12203 Berlin >>>> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >>>> ralf.hildebrandt at charite.de | https://www.charite.de >>>> >>> >>> Viele Grüße! >>> i.A. Frank Fiene >>> -- >>> Frank Fiene >>> IT-Security Manager VEKA Group >>> >>> Fon: +49 2526 29-6200 >>> Fax: +49 2526 29-16-6200 >>> mailto: ffiene at veka.com >>> http://www.veka.com >>> >>> PGP-ID: 62112A51 >>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 >>> Threema: VZK5NDWW >>> >>> VEKA AG >>> Dieselstr. 8 >>> 48324 Sendenhorst >>> Deutschland/Germany >>> >>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), >>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, >>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer >>> HRB 8282 AG Münster/District Court of Münster >>> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From gjn at gjn.priv.at Thu Nov 14 12:18:29 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 12:18:29 +0100 Subject: Postfix auf Fehler testen Message-ID: <41417834.j3LgHpVl1T@techz> Hallo, habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu Zeit mal, weil irgend ein Milter abgeraucht ist? Ein Neustart des Milters oder reboot behebt das Problem, wie könnte man am besten feststellen / Überprüfen ob das Teil läuft oder wieder mal einen Schluckauf hat. Das ganze sollte Zeitnah funktionieren und am einfachsten mit einer Mail an mich? Ich weiß, mit rspamd könnte man das ganze auf ein Programm eingrenzen, aber im Moment traue ich mir das noch nicht zu ;-). Danke für eine Antwort, -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From Ralf.Hildebrandt at charite.de Thu Nov 14 12:49:00 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 12:49:00 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <41417834.j3LgHpVl1T@techz> References: <41417834.j3LgHpVl1T@techz> Message-ID: <20191114114858.ytw6xjevezjih3fv@charite.de> * Günther J. Niederwimmer : > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > Zeit mal, weil irgend ein Milter abgeraucht ist? Ist der Milter dann weg oder stellt er sich nur tot? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Thu Nov 14 12:49:00 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 12:49:00 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <41417834.j3LgHpVl1T@techz> References: <41417834.j3LgHpVl1T@techz> Message-ID: <20191114114858.ytw6xjevezjih3fv@charite.de> * Günther J. Niederwimmer : > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > Zeit mal, weil irgend ein Milter abgeraucht ist? Ist der Milter dann weg oder stellt er sich nur tot? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From gjn at gjn.priv.at Thu Nov 14 13:59:33 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 13:59:33 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <20191114114858.ytw6xjevezjih3fv@charite.de> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> Message-ID: <1800381.A0pnd5DnzH@techz> Am Donnerstag, 14. November 2019, 12:49:00 CET schrieb Ralf Hildebrandt: > * Günther J. Niederwimmer : > > habe da mal eine Frage an die Profis ;-) mein Mailserver steht von Zeit zu > > Zeit mal, weil irgend ein Milter abgeraucht ist? > > Ist der Milter dann weg oder stellt er sich nur tot? Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei systemctl status smf-spf dead so aus. ich finde aber nichts darüber in den logfiles diesmal war es der spf milter der sich abgeschossen hat? Ich habe das in main.cf milter_default_action = tempfail dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. Wie gesagt es kommt nur alle XX Monate vor, aber ich würde gerne benachrichtigt werden wenn es passiert, aber wie? Ist ein Centos 7 system -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From thomas at plant.systems Thu Nov 14 15:08:02 2019 From: thomas at plant.systems (Thomas Plant) Date: Thu, 14 Nov 2019 15:08:02 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <1800381.A0pnd5DnzH@techz> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> <1800381.A0pnd5DnzH@techz> Message-ID: Am 14.11.2019 um 13:59 schrieb Günther J. Niederwimmer: > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > systemctl status smf-spf > dead > so aus. > > ich finde aber nichts darüber in den logfiles > > diesmal war es der spf milter der sich abgeschossen hat? > > Ich habe das in main.cf > milter_default_action = tempfail > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. > > Wie gesagt es kommt nur alle XX Monate vor, aber ich würde gerne > benachrichtigt werden wenn es passiert, aber wie? > > Ist ein Centos 7 system Wie man per Postfix generell prüfen kann ob ein Milter noch da ist weiß ich nicht, aber SystemD kann 'abgerauchte' Dienste neu starten. Suche hier https://www.freedesktop.org/software/systemd/man/systemd.service.html nach "Restart=" und "RestartSec=". Am besten den/die betroffenen Dienst(e) mit 'systemctl edit --full DIENSTNAME.service' editieren, dann wird der SystemD Daemon auch nach dem Speichern der Änderungen 'reloaded'. LG, Thomas From Ralf.Hildebrandt at charite.de Thu Nov 14 15:25:48 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 14 Nov 2019 15:25:48 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <1800381.A0pnd5DnzH@techz> References: <41417834.j3LgHpVl1T@techz> <20191114114858.ytw6xjevezjih3fv@charite.de> <1800381.A0pnd5DnzH@techz> Message-ID: <20191114142546.veti6fwygo6k52i7@charite.de> * Günther J. Niederwimmer : > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > systemctl status smf-spf > dead > so aus. Schwer zu sagen. Würde aber sagen: Läuft nicht mehr. Also müsste man mit einem Monitoring prüfen ob der läuft ODER den Service so abändern, daß er im "Beendigungsfalle" neu gestartet wird. > Ich habe das in main.cf > milter_default_action = tempfail > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. Man könnte es durch Loganaylse finden. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 195 bytes Beschreibung: nicht verfügbar URL : From gjn at gjn.priv.at Thu Nov 14 16:20:10 2019 From: gjn at gjn.priv.at (=?ISO-8859-1?Q?G=FCnther_J=2E?= Niederwimmer) Date: Thu, 14 Nov 2019 16:20:10 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <20191114142546.veti6fwygo6k52i7@charite.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> Message-ID: <2377551.6rBGtH76OZ@techz> Am Donnerstag, 14. November 2019, 15:25:48 CET schrieb Ralf Hildebrandt: > * Günther J. Niederwimmer : > > Anscheinend ist er weg "abgeraucht" jedenfalls schaut das ganze bei > > systemctl status smf-spf > > dead > > so aus. > > Schwer zu sagen. Würde aber sagen: Läuft nicht mehr. Also müsste man > mit einem Monitoring prüfen ob der läuft ODER den Service so abändern, > daß er im "Beendigungsfalle" neu gestartet wird. ;-) Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren könnte? ist auf alle Fälle lästig wenn so was vorkommt... > > Ich habe das in main.cf > > milter_default_action = tempfail > > > > dadurch merke ich es erst wenn ich mal wieder eine Mail schreibe. > > Man könnte es durch Loganaylse finden. Das ist etwas zu "Hoch" für mich alten Mann ;-) -- mit freundlichen Grüßen / best regards Günther J. Niederwimmer From karol at babioch.de Thu Nov 14 23:47:18 2019 From: karol at babioch.de (Karol Babioch) Date: Thu, 14 Nov 2019 23:47:18 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <2377551.6rBGtH76OZ@techz> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> Message-ID: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Hallo, Am 14.11.19 um 16:20 schrieb Günther J. Niederwimmer: > Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein > PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren > könnte? > > ist auf alle Fälle lästig wenn so was vorkommt... Wie zuvor gesagt: Wenn systemd die tote "Unit" erkennt, dann brauchst du dich um die Details (PIDFile, usw.) gar nicht mehr kümmern. Ein Restart löst systemd dann ganz von alleine aus, wenn die Unit entsprechend konfiguriert ist. Entgegen dem Hinweis ein "systemdctl edit --full" zu machen, würde ich vom "full" aber absehen und nur ein Drop In erstellen. So bleiben andere Parameter unangetastet und Änderungen durch Upgrades sind noch immer möglich. Mit freundlichen Grüßen, Karol Babioch -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From andreas.schulze at datev.de Fri Nov 15 09:33:42 2019 From: andreas.schulze at datev.de (Andreas Schulze) Date: Fri, 15 Nov 2019 09:33:42 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Message-ID: <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> Am 14.11.19 um 23:47 schrieb Karol Babioch: > Ein Restart löst systemd dann ganz von alleine aus, wenn die Unit entsprechend > konfiguriert ist. wo liest man denn Doku zum Thema am besten? so richtig formale Doku finde ich auf https://www.freedesktop.org/wiki/Software/systemd/ nicht. Welche Files sind involviert? Welche Parameter gibt's, was machen die? systemd halt ... :-/ Irgendwie bin ich von http://www.postfix.org/postconf.5.html zu verwöhnt schönes Wochenende! Andreas -- A. Schulze DATEV eG From wn at neessen.net Fri Nov 15 09:41:13 2019 From: wn at neessen.net (Winfried Neessen) Date: Fri, 15 Nov 2019 09:41:13 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> <5330ef07-0f43-96b2-465e-91c7975bdac9@datev.de> Message-ID: <0E4615C7-2F36-4126-B761-0927B4E9F3BD@neessen.net> Hi Andreas, On 15. Nov 2019, at 09:33, Andreas Schulze wrote: > wo liest man denn Doku zum Thema am besten? > so richtig formale Doku finde ich auf https://www.freedesktop.org/wiki/Software/systemd/ nicht. > Welche Files sind involviert? Welche Parameter gibt's, was machen die? > systemd halt ... :-/ > Hier solltest Du alles dazu finden, was Du brauchst: https://www.freedesktop.org/software/systemd/man/systemd.service.html Vor allem die Optionen: Type, Restart, GuessMainPID, PIDFile, und RemainAfterExit sind hier von Interesse. Winni -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From r.sander at heinlein-support.de Fri Nov 15 09:58:07 2019 From: r.sander at heinlein-support.de (Robert Sander) Date: Fri, 15 Nov 2019 09:58:07 +0100 Subject: [ext] Postfix auf Fehler testen In-Reply-To: <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> References: <41417834.j3LgHpVl1T@techz> <1800381.A0pnd5DnzH@techz> <20191114142546.veti6fwygo6k52i7@charite.de> <2377551.6rBGtH76OZ@techz> <33f77784-844d-82cf-f037-d0236ba01a51@babioch.de> Message-ID: <5f7eeed5-e6d7-d8af-ad54-86f088408fb5@heinlein-support.de> Hallo, On 14.11.19 23:47, Karol Babioch wrote: > > Am 14.11.19 um 16:20 schrieb Günther J. Niederwimmer: >> Ja, Thomas hat mich schon auf systemd hingewiesen, da das Programm aber kein >> PID File schreibt, muss ich erst mal nachlesen wie so was funktionieren >> könnte? >> >> ist auf alle Fälle lästig wenn so was vorkommt... > > Wie zuvor gesagt: Wenn systemd die tote "Unit" erkennt, dann brauchst du > dich um die Details (PIDFile, usw.) gar nicht mehr kümmern. Ein Restart > löst systemd dann ganz von alleine aus, wenn die Unit entsprechend > konfiguriert ist. BTW: CheckMK in Version 1.6 kann jetzt auch systemd Units überwachen. Viele Grüße -- Robert Sander Heinlein Support GmbH Schwedter Str. 8/9b, 10119 Berlin https://www.heinlein-support.de Tel: 030 / 405051-43 Fax: 030 / 405051-19 Amtsgericht Berlin-Charlottenburg - HRB 93818 B Geschäftsführer: Peer Heinlein - Sitz: Berlin -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From Peer-Joachim.Koch at hki-jena.de Mon Nov 18 11:43:32 2019 From: Peer-Joachim.Koch at hki-jena.de (Peer-Joachim Koch) Date: Mon, 18 Nov 2019 11:43:32 +0100 Subject: Offtopic: Frage zu saslauthd Message-ID: <131cc42e-782b-48d7-8f6e-e03402bca3f7@hki-jena.de> Hallo, kurze Frage die sich nicht direkt um postfix freht. Auf unserem Mailgate läuft saslauthd für die Einlieferung von Mails. Seit wir das System von SLES11 auf SLES12SP4 gehoben haben, passiert es regelmäßig, dass der Daemon hängt. Last ist bei 100% aber es gibt keine Antwort, nach einem Neustart des Daemon geht wieder alles. Allerdings keine LOG-Einträge. Hat jemand eine Idee ? -- Mit freundlichen Grüßen Peer-Joachim Koch ____________________________________ Leibniz-Institut für Naturstoff-Forschung und Infektionsbiologie e. V. Hans-Knöll-Institut (HKI) Dr. Peer-Joachim Koch Beutenbergstraße 11a 07745 Jena Tel.: +49 3641 5321029 Fax.: +49 3641 5322029 e-Mail: Peer-Joachim.Koch at Leibniz-HKI.de -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5380 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Tue Nov 19 12:13:18 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:13:18 +0100 Subject: SOPHOS_VIRUS_FAIL Message-ID: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> Moin! Mal wieder etwas neues: Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher): Nov 19 11:36:51 smtp1 rspamd[9849]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Woran kann das liegen? Wie funktioniert das Multithreading im savdi? Wird der Scanner blockiert, wenn eine Datei untersucht wird? Dann wäre der Scanner aber ziemlich unbrauchbar. Da meine Ausnahme ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } Auch gerade nicht funktioniert und Mails von diesen IPs mit SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] abgewiesen werden, sieht es für mich so aus, als wenn der Rspamd mit dem savdi ein Problem hätte. Hilfe! Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Nov 19 12:31:55 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 19 Nov 2019 12:31:55 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> Message-ID: <20191119113153.oksgvws3d24invlf@charite.de> * Frank Fiene : > Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher): > > Nov 19 11:36:51 smtp1 rspamd[9849]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Ich sehe die auch, aber selten (2.1 schon lange im Einsatz): # xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log* /var/log/mail.log-20191112.xz:0 /var/log/mail.log-20191113.xz:10 /var/log/mail.log-20191114.xz:6 /var/log/mail.log-20191115.xz:2 /var/log/mail.log-20191116.xz:1 /var/log/mail.log-20191117.xz:0 /var/log/mail.log-20191118:0 /var/log/mail.log:4 Heute: Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0" und Nov 19 10:24:23 mail-cbf rspamd[1891]: ; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed Blick ins Log: *** sagt mir nix, weil der Scans nicht protokolliert :( **** -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue Nov 19 12:36:39 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:36:39 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113153.oksgvws3d24invlf@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> Message-ID: Seit etwas mehr als zwei Wochen: /var/log/mail.log:835 /var/log/mail.log.1:2347 /var/log/mail.log.2:1792 /var/log/mail.log.3:22 /var/log/mail.log.4:27 Das ganze mal drei wegen dreier Gateways. :-( > Am 19.11.2019 um 12:31 schrieb Ralf Hildebrandt : > > xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log* Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From Ralf.Hildebrandt at charite.de Tue Nov 19 12:39:30 2019 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Tue, 19 Nov 2019 12:39:30 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> Message-ID: <20191119113930.4deqrwhyeaq6nid2@charite.de> * Frank Fiene : > Seit etwas mehr als zwei Wochen: > > /var/log/mail.log:835 > /var/log/mail.log.1:2347 > /var/log/mail.log.2:1792 > /var/log/mail.log.3:22 > /var/log/mail.log.4:27 Mein Setup: action = "reject"; scan_mime_parts = true; scan_text_mime = true; scan_image_mime = true; symbol = "SOPHOS_VIRUS"; type = "sophos"; log_clean = false; timeout = 30.0; retransmits = 4; servers = "127.0.0.1:4010"; -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Tue Nov 19 12:50:39 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 12:50:39 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113930.4deqrwhyeaq6nid2@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> Message-ID: <73C8084F-090E-4375-964A-C4A5FAED76E1@veka.com> Komplett: action = "reject"; message = 'VEKA ${SCANNER}: virus found: "${VIRUS}"'; savdi_report_oversize = true; savdi_report_encrypted = true; scan_mime_parts = true; scan_text_mime = true; scan_image_mime = true; #max_size = 8192000; symbol = "SOPHOS_VIRUS"; type = "sophos"; servers = "/var/run/savdid/savdid.sock"; patterns { # symbol_name = "pattern"; SOPHOS_FILE_ENCRYPTED = "^SAVDI_FILE_ENCRYPTED$"; SOPHOS_FILE_OVERSIZED = "^SAVDI_FILE_OVERSIZED$"; } ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", "SOPHOS_FILE_ENCRYPTED", "SOPHOS_VIRUS_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } whitelist = "/etc/rspamd/antivirus.wl"; > Am 19.11.2019 um 12:39 schrieb Ralf Hildebrandt : > > * Frank Fiene : >> Seit etwas mehr als zwei Wochen: >> >> /var/log/mail.log:835 >> /var/log/mail.log.1:2347 >> /var/log/mail.log.2:1792 >> /var/log/mail.log.3:22 >> /var/log/mail.log.4:27 > > Mein Setup: > > action = "reject"; > > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; > > type = "sophos"; > > log_clean = false; > timeout = 30.0; > retransmits = 4; > > servers = "127.0.0.1:4010"; > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de > Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From cr at ncxs.de Tue Nov 19 12:46:32 2019 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 19 Nov 2019 12:46:32 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <20191119113930.4deqrwhyeaq6nid2@charite.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> Message-ID: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Hey, es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob das im 2.1 Release schon drin war. Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und schau mal ins savdi log. Wegen der max Connections: https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 Vielleicht muss du da noch was drehen. > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; Das erzeugt natürlich auch viele Requests. > > SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] Das ist das neue generische Symbol für verschlüsselte Files. Da musst du deine Settings anpassen. Viele Grüße Carsten On 19.11.19 12:39, Ralf Hildebrandt wrote: > * Frank Fiene : >> Seit etwas mehr als zwei Wochen: >> >> /var/log/mail.log:835 >> /var/log/mail.log.1:2347 >> /var/log/mail.log.2:1792 >> /var/log/mail.log.3:22 >> /var/log/mail.log.4:27 > > Mein Setup: > > action = "reject"; > > scan_mime_parts = true; > scan_text_mime = true; > scan_image_mime = true; > symbol = "SOPHOS_VIRUS"; > > type = "sophos"; > > log_clean = false; > timeout = 30.0; > retransmits = 4; > > servers = "127.0.0.1:4010"; > From ffiene at veka.com Tue Nov 19 13:23:14 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 13:23:14 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: <0ADD88E9-98C1-41AC-AE3F-F143B04B54B4@veka.com> Du meinst hier? Seitdem du mir das gezeigt hattest, lief es nur mit ?SAVDI_FILE_ENCRYPTED? korrekt ALLOW_ENCR_ATT { id = "allow_encr_att"; priority = high; ip = "2a00:e50:f155:800::76"; # Behrmann und Partner ip = "193.27.50.76"; # Behrmann und Partner apply { symbols_disabled = [ "SAVDI_FILE_ENCRYPTED", "SOPHOS_FILE_ENCRYPTED", "SOPHOS_VIRUS_ENCRYPTED", ]; } # Always add these symbols when settings rule has matched symbols [ "ALLOW_ENCR_ATT" ] } Viele Grüße! > Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg : > > Hey, > > es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob > das im 2.1 Release schon drin war. > > Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und > schau mal ins savdi log. > Wegen der max Connections: > https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 > Vielleicht muss du da noch was drehen. > >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; > > Das erzeugt natürlich auch viele Requests. > >> >> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] > > Das ist das neue generische Symbol für verschlüsselte Files. Da musst du > deine Settings anpassen. > > Viele Grüße > > Carsten > > > On 19.11.19 12:39, Ralf Hildebrandt wrote: >> * Frank Fiene : >>> Seit etwas mehr als zwei Wochen: >>> >>> /var/log/mail.log:835 >>> /var/log/mail.log.1:2347 >>> /var/log/mail.log.2:1792 >>> /var/log/mail.log.3:22 >>> /var/log/mail.log.4:27 >> >> Mein Setup: >> >> action = "reject"; >> >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; >> >> type = "sophos"; >> >> log_clean = false; >> timeout = 30.0; >> retransmits = 4; >> >> servers = "127.0.0.1:4010"; >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From ffiene at veka.com Tue Nov 19 13:33:12 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 13:33:12 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: > Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg : > > Hey, > > es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob > das im 2.1 Release schon drin war. > > Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und > schau mal ins savdi log. Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren. Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung ?early? beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder? > Wegen der max Connections: > https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 > Vielleicht muss du da noch was drehen. Da stand vorher threadcount = 30 maxquedsessions=20 Ich habe den Wert der maxquedsessions auf 2 gesetzt. Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt? >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; > > Das erzeugt natürlich auch viele Requests. Was ist deine Empfehlung? >> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] > > Das ist das neue generische Symbol für verschlüsselte Files. Da musst du > deine Settings anpassen. > > Viele Grüße > > Carsten > > > On 19.11.19 12:39, Ralf Hildebrandt wrote: >> * Frank Fiene : >>> Seit etwas mehr als zwei Wochen: >>> >>> /var/log/mail.log:835 >>> /var/log/mail.log.1:2347 >>> /var/log/mail.log.2:1792 >>> /var/log/mail.log.3:22 >>> /var/log/mail.log.4:27 >> >> Mein Setup: >> >> action = "reject"; >> >> scan_mime_parts = true; >> scan_text_mime = true; >> scan_image_mime = true; >> symbol = "SOPHOS_VIRUS"; >> >> type = "sophos"; >> >> log_clean = false; >> timeout = 30.0; >> retransmits = 4; >> >> servers = "127.0.0.1:4010"; >> Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From buettnerp at web.de Tue Nov 19 13:55:19 2019 From: buettnerp at web.de (Peter Buettner) Date: Tue, 19 Nov 2019 13:55:19 +0100 Subject: Zertifikate und web.de Message-ID: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> Hallo Liste, nach einem Update meiner Let's Encrypt Zertifikate geschehen wundersame Dinge, die ich mir nicht erklären kann. Das ssl-tools und cryptcheck nicht mehr auf Zertifikate von Let's Encrypt ansprechen, sei erst einmal dahin gestellt. Das Update war auf EC-384. Von meinem web.de Account zu meinem Postfix Server kommt eine Verbindung mit ECDHE-ECDSA-AES256-GCM-SHA384 zustande. Das ist OK und so von meinem Server gewollt. In umgekehrter Richtung, von meinem Server zu web.de, ist die Verbindung mit ECDHE-RSA-AES256-GCM-SHA384. Web.de kann nicht höher. Wie kann das sein? Ich habe gar kein RSA Zertfikat. Hat jemand eine Idee, was ich da falsch mache? Gruß Peter Büttner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: OpenPGP digital signature URL : From ffiene at veka.com Tue Nov 19 14:00:16 2019 From: ffiene at veka.com (Frank Fiene) Date: Tue, 19 Nov 2019 14:00:16 +0100 Subject: [ext] SOPHOS_VIRUS_FAIL In-Reply-To: References: <3592FA56-866E-46CA-9A70-9BE8C65A9AFF@veka.com> <20191119113153.oksgvws3d24invlf@charite.de> <20191119113930.4deqrwhyeaq6nid2@charite.de> <2a580db0-4f0e-926f-254f-980acb38a15c@ncxs.de> Message-ID: Jetzt habe ich sogar savdi_report_encrypted = false; Gesetzt, und es erscheint immer noch im Log: Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; sophos.lua:143: Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108: sophos: result - FAILED with error: "SAVDI: Message is encrypted (FAIL 0212) - score: 0" Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108: sophos: result - Scan has returned that input was encrypted: "File is encrypted - score: 1" Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy; rspamd_add_passthrough_result: : set pre-result to 'reject' (no score): 'VEKA sophos: virus found: "File is encrypted"' from sophos(1) Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject: END-OF-MESSAGE from idvmailout01.datevnet.de[193.27.50.76]: 5.7.1 VEKA sophos: virus found: "File is encrypted"; from= to= proto=ESMTP helo= WTF? > Am 19.11.2019 um 13:33 schrieb Frank Fiene : > > > >> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg >: >> >> Hey, >> >> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob >> das im 2.1 Release schon drin war. >> >> Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und >> schau mal ins savdi log. > > Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren. > > Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung ?early? beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder? > > >> Wegen der max Connections: >> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 >> Vielleicht muss du da noch was drehen. > > Da stand vorher > > threadcount = 30 > maxquedsessions=20 > > Ich habe den Wert der maxquedsessions auf 2 gesetzt. > > > Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt? > > >>> scan_mime_parts = true; >>> scan_text_mime = true; >>> scan_image_mime = true; >>> symbol = "SOPHOS_VIRUS"; >> >> Das erzeugt natürlich auch viele Requests. > > Was ist deine Empfehlung? > > >>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted] >> >> Das ist das neue generische Symbol für verschlüsselte Files. Da musst du >> deine Settings anpassen. >> >> Viele Grüße >> >> Carsten >> >> >> On 19.11.19 12:39, Ralf Hildebrandt wrote: >>> * Frank Fiene >: >>>> Seit etwas mehr als zwei Wochen: >>>> >>>> /var/log/mail.log:835 >>>> /var/log/mail.log.1:2347 >>>> /var/log/mail.log.2:1792 >>>> /var/log/mail.log.3:22 >>>> /var/log/mail.log.4:27 >>> >>> Mein Setup: >>> >>> action = "reject"; >>> >>> scan_mime_parts = true; >>> scan_text_mime = true; >>> scan_image_mime = true; >>> symbol = "SOPHOS_VIRUS"; >>> >>> type = "sophos"; >>> >>> log_clean = false; >>> timeout = 30.0; >>> retransmits = 4; >>> >>> servers = "127.0.0.1:4010"; >>> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AG > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer > HRB 8282 AG Münster/District Court of Münster Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 833 bytes Beschreibung: Message signed with OpenPGP URL : From stse+postfixbuch at fsing.rootsland.net Tue Nov 19 14:32:42 2019 From: stse+postfixbuch at fsing.rootsland.net (Stephan Seitz) Date: Tue, 19 Nov 2019 14:32:42 +0100 Subject: Zertifikate und web.de In-Reply-To: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> References: <4024b432-4158-a44c-cc61-a66704c1e5ed@web.de> Message-ID: <20191119T142750.GA.025e3.stse@fsing.rootsland.net> On Di, Nov 19, 2019 at 01:55:19 +0100, Peter Buettner wrote: >nach einem Update meiner Let's Encrypt Zertifikate geschehen wundersame >Dinge, die ich mir nicht erklären kann. >Das ssl-tools und cryptcheck nicht mehr auf Zertifikate von Let's >Encrypt ansprechen, sei erst einmal dahin gestellt. > >Das Update war auf EC-384. Du hast für deinen Postfix-Server nur ein ECDSA-Zertifikat? Das ist eher schlecht, wie ich festgestellt habe. Es gibt Gegenstellen, die können nur RSA-Ciphers (z.B. die Fritzbox oder auch die Postfix-ML). >Von meinem web.de Account zu meinem Postfix Server kommt eine Verbindung >mit ECDHE-ECDSA-AES256-GCM-SHA384 zustande. Das ist OK und so von meinem > Server gewollt. >In umgekehrter Richtung, von meinem Server zu web.de, ist die Verbindung >mit ECDHE-RSA-AES256-GCM-SHA384. Web.de kann nicht höher. Was hat dein Postfix-Server-Zertifikat damit zu tun, was dein Postfix-Server als Client macht? In diesem Fall ist der Server der von Web.de, und der kann natürlich noch RSA-Zertifikate haben. Shade and sweet water! Stephan -- | If your life was a horse, you'd have to shoot it. |