From Daniel at Mail24.vip Thu Sep 5 15:21:02 2024 From: Daniel at Mail24.vip (Daniel) Date: Thu, 5 Sep 2024 15:21:02 +0200 Subject: =?iso-8859-1?Q?Frage_zur_=DCbertragungsbest=E4tigung_=FCber_Relay?= Message-ID: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> Hallo in die Runde, sollte man wenn man ein Relay nutzt, diesen whitelisten, damit alles was SPF, DMARC usw. angeht umgangen wird? Eine Lesebestätigung verschickt ja Mailclient vom Empfänger, entsprechend hat man hier auch korrekte SPF, DKIM usw. Aber bei Übertragungsbestätigung verschickt ja das Relay eine Nachricht, dass dieser ganze losgeworden ist. In meinem Beispiel geht ganze via Mailbox.org raus: Received: from mout-p-101.mailbox.org (mout-p-101.mailbox.org [IPv6:2001:67c:2050:0:465::101]) ... for ; Thu, 5 Sep 2024 14:37:26 +0200 (CEST) Received: by mout-p-101.mailbox.org (Postfix) id x; Thu, 5 Sep 2024 14:37:19 +0200 (CEST) From: "Mail Delivery System" ... Subject: Successful Mail Delivery Report ... Authentication-Results: meine-domain; dmarc=none (p=none dis=none) header.from=mout-p-101.mailbox.org Authentication-Results: meine-domain; dkim=none; dmarc=fail reason="No valid SPF, No valid DKIM" header.from=mailbox.org (policy=reject); spf=none (meine-domain: domain of mout-p-101.mailbox.org has no SPF policy when checking 2001:67c:2050:0:465::101) smtp.helo=mout-p-101.mailbox.org ... Für die Sub Sub Sub Domain setzt ja keiner SPF usw., also wohl soweit ok. Manchmal ist die Bestätigung auch bei mir im Spam gelandet, weil dmarc fail im Spam landet, seiden ne Richtlinie sagt reject, dann wird halt reject ausgeführt. Und das Relay kann ja für den eigentlichen Server nicht signieren. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Thu Sep 5 15:21:34 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Thu, 05 Sep 2024 15:21:34 +0200 Subject: =?ISO-8859-1?Q?Antw:=20Frage=20zur=20=DCbertragungsbest=E4tigung?= =?ISO-8859-1?Q?=20=FCber=20Relay=20(Out=20of=20office=20(05.09.->=2027.0?= =?ISO-8859-1?Q?9.])?= In-Reply-To: <2B153F4D020000E79C015D01@weida.hki-jena.de> References: <2B153F4D020000E79C015D01@weida.hki-jena.de> Message-ID: <66D9B05E020000E90009C753@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From nico.funke at spun-industries.de Fri Sep 6 08:47:46 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 08:47:46 +0200 Subject: dovecot: imap-login // SSL_get_servername Message-ID: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> Hallo, sry das ich euch nochmal nerven muss. Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die Mailbox verbinden. Log: dovecot[3153232]: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session= Ich habe einiges getestet und mich belesen, es handelt sich offensichtlich um ein SNI Problem; openssl s_client -connect ergibt: Can't use SSL_get_servername Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: local_name imap.example.org {   ssl_cert = -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From stickybit at myhm.de Fri Sep 6 17:30:03 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 17:30:03 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> Message-ID: <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Hi, versuche mal das hier: ssl_require_crl = no ssl_verify_client_cert = no -- LG Andre Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: > > Hallo, > > sry das ich euch nochmal nerven muss. > > Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die > Mailbox verbinden. > > Log: > dovecot[3153232]: imap-login: Disconnected: Connection closed: > SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad > certificate: SSL alert number 42 (no auth attempts in 0 secs): > user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: > error:0A000412:SSL routines::sslv3 alert bad certificate: SSL > alert number 42, session= > > Ich habe einiges getestet und mich belesen, es handelt sich > offensichtlich um ein SNI Problem; > > openssl s_client -connect ergibt: Can't use SSL_get_servername > > Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: > > local_name imap.example.org { >   ssl_cert =   ssl_key = } > > Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue > Errormeldung. > Das ist jetzt ein wenig verwirrend. > > > Hat zufällig jemand eine Idee, wo der Fehler liegt? > > Best, > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From stickybit at myhm.de Fri Sep 6 17:31:43 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 17:31:43 +0200 Subject: header_checks in MySQL In-Reply-To: References: <98aeb423-9aac-43d8-aec9-e9068caaac95@linuxfox.de> <78af6f2f-3e78-43a0-a27f-749e75c43208@tachtler.net> <3ca03ce6-03d0-47e9-a9cc-10d8969683aa@myhm.de> Message-ID: Hallo Klaus, hallo Markus danke, gut zu wissen für die Zukunft... -- LG Andre Am 31.08.24 um 20:26 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Andre > > Du hast Recht, in https://www.postfix.org/header_checks.5.html > steht nichts von mysql. > > mysql ist bei maps beschrieben und nicht bei checks. > > > Grüße > Klaus. > From stickybit at myhm.de Fri Sep 6 18:30:36 2024 From: stickybit at myhm.de (Andre) Date: Fri, 6 Sep 2024 18:30:36 +0200 Subject: Absender-Adresse & SASL Message-ID: Hallo zusammen, bevor ich meine User mit evtl. unnötigen Einschränkungen drangsaliere, Frage in die Runde. Einige User verwenden bei deren Mail-Clients abweichende Absender-Adressen, was zu unterschiedlichen Envelope und Header From führt. Ist erstmal nichts Verwerfliches. Man erstellt bspw. ein einziges Postfach, das von mehreren Kameras gemeinsam genutzt wird: cam at domain.tld. Jede Kamera bekommt unterschiedliche Absender wie flur at domain.tld, hof at domain.tld, etc. und alle versenden über den selben SASL-User cam at domain.tld. Die Frage ist nur, was passiert mit einer solchen Mail mal unzustellbar ist? Diese wird dann nämlich zurück kommen und da kein Postfach existiert vernichtet. Nicht schön oder egal? Wie handhabt ihr das? Bei der Untersuchung stellte ich noch fest, dass ein Paar User sogar E-Mail-Adressen an Domains, die wir gar nicht verwalten, als Absender angegeben haben. Das heißt, evtl. Retouren gehen sogar an Fremdsysteme. Ist das so üblich oder sollte man damit was machen? -- LG Andre From Daniel at Mail24.vip Fri Sep 6 18:56:06 2024 From: Daniel at Mail24.vip (Daniel) Date: Fri, 6 Sep 2024 18:56:06 +0200 Subject: AW: Absender-Adresse & SASL In-Reply-To: References: Message-ID: <004301db007d$aa4cbf30$fee63d90$@Mail24.vip> Moin, Jedem Nutzer kann man mehrere Adressen zuweisen, daher sollten User angeben welche Adressen benötigt werden, alles andere wird blockiert. Man möchte ja nicht, dass User A mit User B sendet, oder gar mit fremden Domains außerhalb der eigenen Kontrolle. Würde da knallhart ganze beschränken, sonst bist ja quasi halb offenes Relay. Zudem muss jede Kamer eigene Adresse haben? Absendername kann ja entsprechend anders sein, oder im Betreff kann User nen Standort angeben lassen. Also da sollte es genug Optionen geben, als da alles durchzuwinken. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From nico.funke at spun-industries.de Fri Sep 6 21:07:47 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 21:07:47 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: Hi Andre, hat leider nicht funktioniert. Seltsamerweise auch keine andere Fehlermeldung. Ich denke ich habe irgendwo anders einen Fehler. Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit ich hier besser Daten liefern kann? Oder bleibt nur copy&paste? Best, Am 06.09.24 um 17:30 schrieb Andre via Postfixbuch-users: > > Hi, > > versuche mal das hier: > > ssl_require_crl = no > ssl_verify_client_cert = no > > -- > LG > Andre > Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: >> >> Hallo, >> >> sry das ich euch nochmal nerven muss. >> >> Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die >> Mailbox verbinden. >> >> Log: >> dovecot[3153232]: imap-login: Disconnected: Connection closed: >> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad >> certificate: SSL alert number 42 (no auth attempts in 0 secs): >> user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: >> error:0A000412:SSL routines::sslv3 alert bad certificate: SSL >> alert number 42, session= >> >> Ich habe einiges getestet und mich belesen, es handelt sich >> offensichtlich um ein SNI Problem; >> >> openssl s_client -connect ergibt: Can't use SSL_get_servername >> >> Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: >> >> local_name imap.example.org { >>   ssl_cert = >   ssl_key = > } >> >> Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue >> Errormeldung. >> Das ist jetzt ein wenig verwirrend. >> >> >> Hat zufällig jemand eine Idee, wo der Fehler liegt? >> >> Best, >> -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From klaus at tachtler.net Fri Sep 6 21:18:46 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Fri, 6 Sep 2024 21:18:46 +0200 (GMT+02:00) Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> Hallo Nico, was ist das für ein Zertifikat? Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? Siehe auch: >> >> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Nico Funke via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Nico Funke Datum: 06.09.2024 21:08:12 Betreff: Re: dovecot: imap-login // SSL_get_servername > Hi Andre, > > hat leider nicht funktioniert. > > Seltsamerweise auch keine andere Fehlermeldung. > Ich denke ich habe irgendwo anders einen Fehler. > > Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit ich hier besser Daten liefern kann? > Oder bleibt nur copy&paste? > > > Best, > > Am 06.09.24 um 17:30 schrieb Andre via Postfixbuch-users: >> >> Hi, >> >> versuche mal das hier: >> >> ssl_require_crl = no >> ssl_verify_client_cert = no >> >> -- >> LG >> Andre >> Am 06.09.24 um 08:47 schrieb Nico Funke via Postfixbuch-users: >>> Hallo, >>> >>> sry das ich euch nochmal nerven muss. >>> >>> Ich kann mich mit meinem Mail Clienten (Thunderbird) nicht in die Mailbox verbinden. >>> >>> Log: >>> dovecot[3153232]: imap-login: Disconnected: Connection closed: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42 (no auth attempts in 0 secs): user=<>, rip=IP, lip=IP, TLS handshaking: SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number 42, session= >>> >>> Ich habe einiges getestet und mich belesen, es handelt sich offensichtlich um ein SNI Problem; >>> >>> openssl s_client -connect ergibt: Can't use SSL_get_servername >>> >>> Jetzt habe ich in 10-ssl.conf um folgendes ergänzt: >>> >>> local_name imap.example.org { >>>   ssl_cert = >>   ssl_key = >> } >>> >>> Jedoch ändert sich nichts. Auch erhalte ich keine andere / neue Errormeldung. >>> Das ist jetzt ein wenig verwirrend. >>> >>> >>> Hat zufällig jemand eine Idee, wo der Fehler liegt? >>> >>> Best, > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From nico.funke at spun-industries.de Fri Sep 6 23:15:47 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Fri, 6 Sep 2024 23:15:47 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> Message-ID: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Hi Klaus, das ist ein Zertifikat von DigiCert (gekauft). Das welches ich auch für andere Dienste nutze. Dem Webserver zum Beispiel. Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im Dovecot keine Errormeldung hierzu. Danke für den Link, auf diese Seite bin ich auch gestoßen. Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. Best, Am 06.09.24 um 21:18 schrieb Klaus Tachtler via Postfixbuch-users: > Hallo Nico, > > was ist das für ein Zertifikat? > > Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? > > Siehe auch: > >>> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number > 42 > > https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ > > > Grüße > Klaus. > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From klaus at tachtler.net Sat Sep 7 07:02:01 2024 From: klaus at tachtler.net (Klaus Tachtler) Date: Sat, 7 Sep 2024 07:02:01 +0200 (GMT+02:00) Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: <7b4b3a75-63ff-44d7-9a5f-c2e06a008636@tachtler.net> Hallo Nico, scheinbar erkennt Thunderbird zumindest, Dein Zertifikat nicht als gültig an, wenn man die Fehlermeldungen so liest. Du benötigst im Thunderbird die sog. Chain of Trust. D.h. Dein Zertifikat ist von Digicert, die haben sog. Root und ggf. Intermediate Zertifikate, so dass dies eine Kette ergibt, welche der Thunderbird dann vertraut. Das habe ich auf die Schnelle mal dazu gefunden, für Dich: https://www.keyfactor.com/de/blog/certificate-chain-of-trust/ Du solltest also als erstes mal überprüfen, ob Dein Thunderbird die Root und die Intermediate Zertifikate für Digicert hat bzw. diesen vertraut. Grüße Klaus. -- Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet. Von: Nico Funke via Postfixbuch-users An: postfixbuch-users at listen.jpberlin.de Kopie: Nico Funke Datum: 06.09.2024 23:16:10 Betreff: Re: dovecot: imap-login // SSL_get_servername > Hi Klaus, > > das ist ein Zertifikat von DigiCert (gekauft). > > Das welches ich auch für andere Dienste nutze. Dem Webserver zum Beispiel. > > Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im Dovecot keine Errormeldung hierzu. > > Danke für den Link, auf diese Seite bin ich auch gestoßen. > Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. > > > Best, > > Am 06.09.24 um 21:18 schrieb Klaus Tachtler via Postfixbuch-users: >> Hallo Nico, >> >> was ist das für ein Zertifikat? >> >> Ist das Root-Zertifikat dem Thunderbird und auch dem Dovecot bekannt? >> >> Siehe auch: >> >>>> >>>> SSL_accept() failed: error:0A000412:SSL routines::sslv3 alert bad certificate: SSL alert number >> 42 >> >> https://softwareprocess.es/homepage/posts/dovecot-thunderbird-ssl-alert-number-42/ >> >> >> Grüße >> Klaus. >> > -- --------------------------------------- e-Mail : klaus at tachtler.net Homepage: https://www.tachtler.net DokuWiki: https://dokuwiki.tachtler.net --------------------------------------- From ml at irmawi.de Sat Sep 7 10:17:22 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:17:22 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> Message-ID: <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Hallo Nico, On 06.09.24 21:07, Nico Funke via Postfixbuch-users wrote: > Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, damit > ich hier besser Daten liefern kann? > Oder bleibt nur copy&paste? schicke mal bitte die Ausgabe von: doveconf -n Viele Grüße Markus From technoworx at gmx.de Sat Sep 7 10:21:44 2024 From: technoworx at gmx.de (Alexander Stoll) Date: Sat, 7 Sep 2024 10:21:44 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: Am 06.09.2024 um 23:15 schrieb Nico Funke via Postfixbuch-users: > Hi Klaus, > > das ist ein Zertifikat von DigiCert (gekauft). > > Das welches ich auch für andere Dienste nutze. Dem Webserver zum > Beispiel. > > Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im > Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im > Dovecot keine Errormeldung hierzu. > > Danke für den Link, auf diese Seite bin ich auch gestoßen. > Ich habe dort jedoch nichts raus lesen können, was ich falsch habe. In ganz komprimierter Form: - Thunderbird lässt nicht mehr wie früher triviale Ausnahmen für self signed certs und Zertifikate, die nicht über eine trusted CA im Client verfügen zu, früher kam eine Dialogbox, mit der man eine Ausnahme bestätigen konnte... nun ist die Welt halt viel "sicherer"... - das vom Server präsentierte Cert muss von einer trusted CA stammen, kann man auch selbst generieren und einpflegen -> Aufwand - der Hostname für den IMAP-Server muss EXAKT dem im Server Cert entsprechen (wenn also Cert www.xxxxxx.de lautet und im Thunderbird imap.xxxxxx.de konfiguriert ist -> Fehler) - die Furchtlosen editieren direkt das config file im TB Profil um das alte Verhalten herzustellen. From ml at irmawi.de Sat Sep 7 10:26:46 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:26:46 +0200 Subject: Absender-Adresse & SASL In-Reply-To: References: Message-ID: <0b4eca9c-81e4-4f57-9883-41fe999f66ac@irmawi.de> Hallo Andre, On 06.09.24 18:30, Andre via Postfixbuch-users wrote: > Jede Kamera bekommt unterschiedliche Absender wie flur at domain.tld, > hof at domain.tld, etc. und alle versenden über den selben SASL-User > cam at domain.tld. > > Die Frage ist nur, was passiert mit einer solchen Mail mal unzustellbar ist? > > Diese wird dann nämlich zurück kommen und da kein Postfach existiert > vernichtet. Nicht schön oder egal? letztgenannte Frage kannst Du nur selbst beantworten. ;-) Ich selber würde diese alternativen Absenderadressen einfach als Aliases auf das Postfach packen, mit dem die Authentifizierung fürs Senden erfolgt. Damit landen die Bounces auch genau an der Stelle, die sich letztlich darum kümmern muss, wenn die Mails nicht ankommen. Keep it simple, und Du selbst hast keinen Stress damit. ;-) > Bei der Untersuchung stellte ich noch fest, dass ein Paar User sogar E- > Mail-Adressen an Domains, die wir gar nicht verwalten, als Absender > angegeben haben. > > Das heißt, evtl. Retouren gehen sogar an Fremdsysteme. > > Ist das so üblich oder sollte man damit was machen? So weit ich Deine Konstellation beurteilen kann: Das ist so _gar nicht_ üblich und sollte man tunlichst vermeiden. Viele Grüße Markus From ml at irmawi.de Sat Sep 7 10:45:42 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 10:45:42 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <506264eb-236d-4744-a581-2a4773470a6f@tachtler.net> <8f7c0f47-0207-42e5-a8f0-132a32ce198e@spun-industries.de> Message-ID: <6310a1da-4187-413c-ba46-670ce7906dca@irmawi.de> On 07.09.24 10:21, Alexander Stoll via Postfixbuch-users wrote: > Am 06.09.2024 um 23:15 schrieb Nico Funke via Postfixbuch-users: >> >>     das ist ein Zertifikat von DigiCert (gekauft). >> >>     Das welches ich auch für andere Dienste nutze. Dem Webserver zum >>     Beispiel. >> >>     Was meinst du mit Root Zertifikat? Ich habe es im Dovecot sowie im >>     Postfix hinterlegt. Im Postfix gibt es keine Errors und auch im >>     Dovecot keine Errormeldung hierzu. @Nico: Ich kenne zwar Deine Config noch nicht genauer, aber ich vermute, dass bei: ssl_cert = In ganz komprimierter Form: > > - Thunderbird lässt nicht mehr wie früher triviale Ausnahmen für self > signed certs und Zertifikate, die nicht über eine trusted CA im Client > verfügen zu, früher kam eine Dialogbox, mit der man eine Ausnahme > bestätigen konnte... nun ist die Welt halt viel "sicherer"... > > - das vom Server präsentierte Cert muss von einer trusted CA stammen, kann > man auch selbst generieren und einpflegen -> Aufwand [...] IMHO alles unnötig: Nico hat ein offizielles Cert, dieses aber nicht korrekt in Dovecot eingebunden, würde ich bisher mal vermuten. > - der Hostname für den IMAP-Server muss EXAKT dem im Server Cert > entsprechen (wenn also Cert www.xxxxxx.de lautet und im Thunderbird > imap.xxxxxx.de konfiguriert ist -> Fehler) Genau und s. o.: Das ist eine mögliche Ursache. Durch den verschleierten Domainname lässt sich das aber für uns als Liste ja nicht beurteilen. Viele Grüße Markus From nico.funke at spun-industries.de Sat Sep 7 11:03:25 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 7 Sep 2024 11:03:25 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Message-ID: Hallo zusammen, Änderungen am Thunderbird sind doch auch keine Lösung. Das muss von allein funktionieren. Ich bin mir fast sicher, dass noch ein Verweis im Dovecot zu einem Zertifikat benötigt. Nur ein .pem habe ich nicht. Nur .cert, .key und .cabundle Wo könnte das cabundle hinterlegt werden? Ich denke, dies löst das Issue. doveconf -n # 2.3.19.1 (9b53102964): /etc/dovecot/dovecot.conf # Pigeonhole version 0.5.19 (4eae2f79) # OS: Linux 6.1.0-23-amd64 x86_64 Debian 12.6 ext4 # Hostname: hostname disable_plaintext_auth = no mail_location = maildir:/srv/vmail mail_privileged_group = mail managesieve_notify_capability = mailto managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext namespace inbox {   inbox = yes   location =   mailbox Drafts {     special_use = \Drafts   }   mailbox Junk {     special_use = \Junk   }   mailbox Sent {     special_use = \Sent   }   mailbox "Sent Messages" {     special_use = \Sent   }   mailbox Trash {     special_use = \Trash   }   prefix = INBOX/   separator = / } passdb {   driver = pam } passdb {   args = scheme=CRYPT username_format=%u /etc/dovecot/users   driver = passwd-file } plugin {   sieve = file:~/sieve;active=~/.dovecot.sieve } protocols = " imap lmtp sieve pop3" service auth {   unix_listener /var/spool/postfix/private/auth {     mode = 0666   } } service imap-login {   inet_listener imaps {     port = 993     ssl = yes   } } service lmtp {   inet_listener lmtp {     port = 24   } } service submission-login {   inet_listener submission {     port = 587   } } ssl = required ssl_cert = Hallo Nico, > > On 06.09.24 21:07, Nico Funke via Postfixbuch-users wrote: >>     Kann man die Konfiguration, wie bei Postfix auch ausgeben lassen, >> damit >>     ich hier besser Daten liefern kann? >>     Oder bleibt nur copy&paste? > > schicke mal bitte die Ausgabe von: > > doveconf -n > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ml at irmawi.de Sat Sep 7 11:19:32 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 11:19:32 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Message-ID: Hallo Nico, danke für den Output von doveconf. Ich schaue mir das noch genauer an, falls das mit dem Cert unten nicht schon die Lösung ist. On 07.09.24 11:03, Nico Funke via Postfixbuch-users wrote: > > Änderungen am Thunderbird sind doch auch keine Lösung. > > Das muss von allein funktionieren. Richtig. ;-) > Nur ein .pem habe ich nicht. > Nur .cert, .key und .cabundle Dann hast du doch alles, was Du brauchst. > Wo könnte das cabundle hinterlegt werden? cat certificate.crt digicert.cabundle > /etc/ssl/folder/foo.pem (Den Dateiname des CA-Bundles habe ich natürlich nur geraten). ssl_cert = Ich denke, dies löst das Issue. Wie schon geschrieben: Das denke ich auch (unter der Voraussetzung, dass der Servername, den Du bei Thunderbird verwendest, im Cert als SAN enthalten ist). Viele Grüße Markus From nico.funke at spun-industries.de Sat Sep 7 17:45:23 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sat, 7 Sep 2024 17:45:23 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> Message-ID: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Hi Markus, vielen Dank für Deine Mühe. Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. Dann habe ich mit und ohne der Option "local_name" das ganze getestet. Hat leider nicht funktioniert. Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) was du angesprochen hast geschaut. Es ist die die entsprechende Domain und noch die www Version vorhanden. Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht unter "ssl_ca" hinterlegen sollte? Best, Am 07.09.24 um 11:19 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > danke für den Output von doveconf. Ich schaue mir das noch genauer an, > falls das mit dem Cert unten nicht schon die Lösung ist. > > On 07.09.24 11:03, Nico Funke via Postfixbuch-users wrote: >> >>     Änderungen am Thunderbird sind doch auch keine Lösung. >> >>     Das muss von allein funktionieren. > > Richtig. ;-) > >>     Nur ein .pem habe ich nicht. >>     Nur .cert, .key und .cabundle > > Dann hast du doch alles, was Du brauchst. > >>     Wo könnte das cabundle hinterlegt werden? > > cat certificate.crt digicert.cabundle > /etc/ssl/folder/foo.pem > > (Den Dateiname des CA-Bundles habe ich natürlich nur geraten). > > ssl_cert = > >> Ich denke, dies löst das Issue. > > Wie schon geschrieben: Das denke ich auch (unter der Voraussetzung, > dass der Servername, den Du bei Thunderbird verwendest, im Cert als > SAN enthalten ist). > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ad+lists at uni-x.org Sat Sep 7 17:59:19 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sat, 7 Sep 2024 17:59:19 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Message-ID: <7e3f0762-4dbf-4288-98f4-80e75ecb8284@uni-x.org> Am 07.09.2024 um 17:45 schrieb Nico Funke via Postfixbuch-users: >    Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht >    unter "ssl_ca" hinterlegen sollte? Da Du selber keine eigene CA betreibst und nicht alle Digicert signierten Zertifikate als für Dein Dovecot valide erklären willst, kommt Dein Server- samt Intermediate Zertifikat dort nicht rein. Prüfe Dein Dovecot SSL Setup per echo QUIT | openssl s_client -connect mail.domain.tld:993 Die Ausgabe beginnt mit Darstellung der Trust of Chain. Anhand derer kannst Du ablesen, ob Server- und Intermediate Zertifkat(e) von Dovecot ausgeliefert werden. Die Root CA muss im Client Trust Store integriert sein. Alexander From Peer-Joachim.Koch at leibniz-hki.de Sat Sep 7 17:59:43 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Sat, 07 Sep 2024 17:59:43 +0200 Subject: Antw: Re: dovecot: imap-login // SSL_get_servername (Out of office (05.09.-> 27.09.]) In-Reply-To: References: <09C88EFA02000003257646A2@weida.hki-jena.de> <878B6B1B02000012257646A2@weida.hki-jena.de> <306134EC020000A3257646A2@weida.hki-jena.de> <66EEBAF4020000F0257646A2@weida.hki-jena.de> Message-ID: <66DC786F020000E90009C988@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From ad+lists at uni-x.org Sat Sep 7 18:02:55 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sat, 7 Sep 2024 18:02:55 +0200 Subject: Antw: Re: dovecot: imap-login // SSL_get_servername (Out of office (05.09.-> 27.09.]) In-Reply-To: <66DC786F020000E90009C988@weida.hki-jena.de> References: <09C88EFA02000003257646A2@weida.hki-jena.de> <878B6B1B02000012257646A2@weida.hki-jena.de> <306134EC020000A3257646A2@weida.hki-jena.de> <66EEBAF4020000F0257646A2@weida.hki-jena.de> <66DC786F020000E90009C988@weida.hki-jena.de> Message-ID: Ist es eines Postmasters würdig, eine Out-of-Office Funktion zu aktivieren, die Mailinglisten-Mails nicht beantwortet? Am 07.09.2024 um 17:59 schrieb Peer-Joachim Koch via Postfixbuch-users: > I am traveling with very limited access to my email. > Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. > > For urgent messages send an email to > Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. > > Kind regards, > Peer-Joachim Koch From ml at irmawi.de Sat Sep 7 18:09:01 2024 From: ml at irmawi.de (Markus Winkler) Date: Sat, 7 Sep 2024 18:09:01 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> Message-ID: <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> Hallo Nico, On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote: > > Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. > > Dann habe ich mit und ohne der Option "local_name" das ganze getestet. > Hat leider nicht funktioniert. local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf derselben IP-Adresse nutzen willst. > Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) > was du angesprochen hast geschaut. > Es ist die die entsprechende Domain und noch die www Version vorhanden. Schade, dass Du sie leider nicht nennen magst ... Hast Du denn mit openssl s_client ... mal getestet, ob nun die komplette Cert-Chain angezeigt wird? Und ebenfalls entscheidend ist: Was trägst Du denn als Servername bei Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon als mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber weiterhin herum. > Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht unter > "ssl_ca" hinterlegen sollte? Ja, da bin ich mir sicher. ;-) https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates Viele Grüße Markus From nico.funke at spun-industries.de Sun Sep 8 00:28:27 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sun, 8 Sep 2024 00:28:27 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> Message-ID: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Hi Markus, ich schreib dir mal so damit der Kreis etwas kleiner ist. Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, nur soll die Konfiguration so weit wie möglich unbekannt bleiben. Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man weiß ja nie. Auch leider nie wer still mitliest. Ich hoffe ich nerve dich jetzt nicht zu sehr. Das ist die Ausgabe: echo QUIT | openssl s_client -connect mail.anarchydica.net:993 CONNECTED(00000003) depth=0 CN = anarchydica.net verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 CN = anarchydica.net verify error:num=21:unable to verify the first certificate verify return:1 depth=0 CN = anarchydica.net verify return:1 --- Certificate chain  0 s:CN = anarchydica.net    i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1    a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256    v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59 2025 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIGJzCCBQ+gAwIBAgIQBklP6vPUhUt+tmcHSxIxczANBgkqhkiG9w0BAQsFADBe MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 d3cuZGlnaWNlcnQuY29tMR0wGwYDVQQDExRUaGF3dGUgVExTIFJTQSBDQSBHMTAe Fw0yNDA2MjgwMDAwMDBaFw0yNTA2MjcyMzU5NTlaMBoxGDAWBgNVBAMTD2FuYXJj aHlkaWNhLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKzX9Q6n wLz5UkF14D/NlcokKgMTQPt/qOz//VZbH5AFZiMajyWCpzA8UJzQUVEqlATICUzN /DQLHEKeoSi1vPG50FzXC6z/TvKhfrGRKYUSCWqvDsoZR8sTbBBA+HSA0LWNXa3S +ZH7qaIb2Gkc1HamIDksp4o69G1mKuhmaQzbEIyAurj6oi8KYPxXWcLvsBIzlthh ap+nDidCOswffEd4TwEbiMimi2ZP8MsN7vnv75Vn79RcqLlmuTeZvuxQNOjgVLzK AvCmFfmmly7rjKjSMKQVXN7Xdwxty1tdCgGxWSRtrRMDrFxOgjKjKhBKYS7D18m4 dA8Q/GtR/zMcomkCAwEAAaOCAyMwggMfMB8GA1UdIwQYMBaAFKWM/jLM6w8s1BnG CLgAJIhdw8W3MB0GA1UdDgQWBBR5zPd/EhSmoS9MSFO7CpzsEU94ZDAvBgNVHREE KDAmgg9hbmFyY2h5ZGljYS5uZXSCE3d3dy5hbmFyY2h5ZGljYS5uZXQwPgYDVR0g BDcwNTAzBgZngQwBAgEwKTAnBggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2Vy dC5jb20vQ1BTMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYI KwYBBQUHAwIwOwYDVR0fBDQwMjAwoC6gLIYqaHR0cDovL2NkcC50aGF3dGUuY29t L1RoYXd0ZVRMU1JTQUNBRzEuY3JsMHAGCCsGAQUFBwEBBGQwYjAkBggrBgEFBQcw AYYYaHR0cDovL3N0YXR1cy50aGF3dGUuY29tMDoGCCsGAQUFBzAChi5odHRwOi8v Y2FjZXJ0cy50aGF3dGUuY29tL1RoYXd0ZVRMU1JTQUNBRzEuY3J0MAwGA1UdEwEB /wQCMAAwggF+BgorBgEEAdZ5AgQCBIIBbgSCAWoBaAB2AE51oydcmhDDOFts1N8/ Uusd8OCOG41pwLH6ZLFimjnfAAABkF9iz/oAAAQDAEcwRQIhAK3GRgFaXBK9NJa9 112AID9tqa/JfcT4Hj8+uHMbidhzAiAeVeZd/wWx0nD3AaGm9iC7n0/3sXlkxFv4 ctn//KL9vQB2AH1ZHhLheCp7HGFnfF79+NCHXBSgTpWeuQMv2Q6MLnm4AAABkF9i z3MAAAQDAEcwRQIhAJRESddZ9cAEk3ku5g+YR7g3WKye/6BJcqQtbO7G+l82AiAl wOT7dCK1iaHDzmHnWmJKEhO1j88qrRMeObsi+hoBfAB2AObSMWNAd4zBEEEG13G5 zsHSQPaWhIb7uocyHf0eN45QAAABkF9iz4IAAAQDAEcwRQIgYT43kMt6/E3R37e8 E6S4+gpo1ImNtsvw9cI1M/Vr5xkCIQDR2oBwHIwShKuBvwUAELWnd4FoBCu7IJo/ eNoXNupmNDANBgkqhkiG9w0BAQsFAAOCAQEAXMpzMW1y4uUfIRaGrY3unpuXngjs TNzkuq51Qh6ORXoHSNRqjh2BycbrI1SNH7Iqdg0/27U+yTtc0JtY8l9D9Zin+cCg SFdHCUo+apqYb9fF8NoYj/n98SikXposmlYX61qhRrfcUU87u7AxzuZVxD4lxliH O4jZdmngaYlLPUwfaFQhoht3cPSchX8tTGUR8apcTPXmgKcptXI3VIhBM8fmtXUA VzIpRK8ghzWz34v6kiaYUMjKTfATAGCYMPCvbpFuRipUnFPpuWYqiYFvd4guF3o6 4S3WYPx5xyW+EEPTjEuCmuFvgsX8Oo0MXL8qMgCpcmU2L8cvGtao+ml22g== -----END CERTIFICATE----- subject=CN = anarchydica.net issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte TLS RSA CA G1 --- No client certificate CA names sent Peer signing digest: SHA256 Peer signature type: RSA-PSS Server Temp Key: X25519, 253 bits --- SSL handshake has read 2139 bytes and written 406 bytes Verification error: unable to verify the first certificate --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 2048 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 21 (unable to verify the first certificate) --- DONE Best, Am 07.09.24 um 18:09 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote: >> >>     Ich habe mit dem Befehl, dass .pem generiert und hinterlegt. >> >>     Dann habe ich mit und ohne der Option "local_name" das ganze >> getestet. >>     Hat leider nicht funktioniert. > > local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf > derselben IP-Adresse nutzen willst. > >>     Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name) >>     was du angesprochen hast geschaut. >>     Es ist die die entsprechende Domain und noch die www Version >> vorhanden. > > Schade, dass Du sie leider nicht nennen magst ... > > Hast Du denn mit openssl s_client ... mal getestet, ob nun die > komplette Cert-Chain angezeigt wird? > > Und ebenfalls entscheidend ist: Was trägst Du denn als Servername bei > Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon als > mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber weiterhin > herum. > >>     Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht >> unter >>     "ssl_ca" hinterlegen sollte? > > Ja, da bin ich mir sicher. ;-) > > https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates > > > Viele Grüße > Markus > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From ad+lists at uni-x.org Sun Sep 8 02:35:42 2024 From: ad+lists at uni-x.org (Alexander Dallou) Date: Sun, 8 Sep 2024 02:35:42 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Message-ID: <5299495d-65a1-4159-be3f-8bfd623a17af@uni-x.org> Am 08.09.2024 um 00:28 schrieb Nico Funke via Postfixbuch-users: > Das ist die Ausgabe: >    echo QUIT | openssl s_client -connect mail.anarchydica.net:993 > >    CONNECTED(00000003) >    depth=0 CN = anarchydica.net >    verify error:num=20:unable to get local issuer certificate >    verify return:1 >    depth=0 CN = anarchydica.net >    verify error:num=21:unable to verify the first certificate >    verify return:1 >    depth=0 CN = anarchydica.net >    verify return:1 >    --- >    Certificate chain >      0 s:CN = anarchydica.net >        i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte >    TLS RSA CA G1 >        a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 >        v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59 >    2025 GMT 1. Das Server Zertifikat ist auf anarchydica.net ausgestellt, nicht mail.anarchydica.net. Der MX Record zeigt auf mail.anarchydica.net, ergo wirst Du mit dem Zertifikat keine Freude haben. 2. Ausgestellt wurde das Server Zertifikat von der SubCA "Thawte TLS RSA CA G1". Siehe https://www.digicert.com/kb/digicert-root-certificates.htm. Du lieferst diese SubCA aber serverseitig nicht zusammen mit dem Serverzertifikat aus. Also scheitert die Validierung der Chain of Trust. Alexander From ml at irmawi.de Sun Sep 8 11:47:13 2024 From: ml at irmawi.de (Markus Winkler) Date: Sun, 8 Sep 2024 11:47:13 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> Message-ID: <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> Hallo Nico, On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote: > > ich schreib dir mal so damit der Kreis etwas kleiner ist. da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt hattest, antworte ich Dir auch mal hier. ;-) > Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, > nur soll die Konfiguration so weit wie möglich unbekannt bleiben. > Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man weiß > ja nie. Auch leider nie wer still mitliest. Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die paar Details hier nicht. ;-) > echo QUIT | openssl s_client -connect mail.anarchydica.net:993 > CONNECTED(00000003) > depth=0 CN = anarchydica.net > verify error:num=20:unable to get local issuer certificate > verify return:1 > depth=0 CN = anarchydica.net > verify error:num=21:unable to verify the first certificate > verify return:1 > depth=0 CN = anarchydica.net > verify return:1 Wie Alexander schon schrieb: Dein Server schickt nach wie vor das Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das Server-Cert nicht verifizieren. Möglicherweise hast Du beim Erstellen der Datei /etc/ssl/folder/foo.pem etwas falsch gemacht oder die cabundle-Datei ist nicht korrekt (was ich mir aber fast nicht vorstellen kann). Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde die bitte so ein (den Dateiname kannst Du natürlich anpassen): ssl_cert = From nico.funke at spun-industries.de Sun Sep 8 22:29:06 2024 From: nico.funke at spun-industries.de (Nico Funke) Date: Sun, 8 Sep 2024 22:29:06 +0200 Subject: dovecot: imap-login // SSL_get_servername In-Reply-To: <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> References: <1e7c544f-fde3-4687-9307-1cf1e79841ef@spun-industries.de> <0457a4fb-b830-42bd-9562-c9268e514a59@myhm.de> <2d1191f7-b51b-4077-9de6-e6278aa8f6b2@irmawi.de> <17e40da1-1fcf-4e91-a3e7-4b55d73d4e17@spun-industries.de> <7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de> <235b9f94-a2f5-49ab-84a8-46bba2568b47@spun-industries.de> <2568ef3c-014c-450f-892c-59dce9150056@irmawi.de> Message-ID: Hallo zusammen, ich danke euch vielmals für eure Hilfe. In meiner .pem Version waren die Key's doppelt hinterlegt. Deine hat funktioniert, Markus. Jedoch jetzt sofort ein Disconnect. Wie dem auch sei, das Zertifikat ist in Eile entstanden, wobei ich nicht den Punkt mit dem zusätzlichen SNA nicht beachtet habe. Ich werde mir Zeit nehmen und ein neues organisieren welches entsprechende Voraussetzungen hat und mir das mit Ruhe ansehen. Ich kann mich nur bedanken, dass ihr euch die Mühe gemacht habt, mir bei meiner Unwissenheit zu helfen. Und sry für die Anonymisierung. Ich wollte es einfach so Anonym wie möglich halten. Hat jedoch definitiv nichts mit euch zu tun. Danke nochmals. Best, Am 08.09.24 um 11:47 schrieb Markus Winkler via Postfixbuch-users: > Hallo Nico, > > On 08.09.24 00:28, Nico Funke via Postfixbuch-users wrote: >> >>     ich schreib dir mal so damit der Kreis etwas kleiner ist. > > da Du es (wahrscheinlich unbeabsichtigt) doch an die Liste geschickt > hattest, antworte ich Dir auch mal hier. ;-) > >>     Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll, >>     nur soll die Konfiguration so weit wie möglich unbekannt bleiben. >>     Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man >> weiß >>     ja nie. Auch leider nie wer still mitliest. > > Deine Infos sind völlig unkritisch. Die Kiste steht frei zugänglich im > Netz. Wenn da jemand was im Schilde führen sollte, benötigt er die > paar Details hier nicht. ;-) > >> echo QUIT | openssl s_client -connect mail.anarchydica.net:993 >>     CONNECTED(00000003) >>     depth=0 CN = anarchydica.net >>     verify error:num=20:unable to get local issuer certificate >>     verify return:1 >>     depth=0 CN = anarchydica.net >>     verify error:num=21:unable to verify the first certificate >>     verify return:1 >>     depth=0 CN = anarchydica.net >>     verify return:1 > > Wie Alexander schon schrieb: Dein Server schickt nach wie vor das > Intermediate-Cert nicht mit. Und dadurch kann Dein Thunderbird das > Server-Cert nicht verifizieren. > > Möglicherweise hast Du beim Erstellen der Datei > /etc/ssl/folder/foo.pem etwas falsch gemacht oder die cabundle-Datei > ist nicht korrekt (was ich mir aber fast nicht vorstellen kann). > > Ich habe Dir mal die Datei für Dovecot erstellt und angehängt. Binde > die bitte so ein (den Dateiname kannst Du natürlich anpassen): > > ssl_cert = > > Aber auch der zweite, schon mehrfach angesprochene Punkt ist wichtig: > Du hattest den openssl-Test mit 'mail.anarchydica.net' ausgeführt. Da > das Cert diesen Hostname nicht als SAN enthält, wird Thunderbird auch > an dieser Stelle meckern (selbst wenn die Chain jetzt komplett ist). > > Du hast zwei Möglichkeiten, dieses Problem zu lösen: > > (1) Trage als Servername in Thunderbird statt 'mail.anarchydica.net' > nun 'anarchydica.net' ein. > > 'www.anarchydica.net' steht zwar ebenfalls als SAN im Cert und wäre > damit theoretisch auch möglich, aber: > > $ host www.anarchydica.net > Host www.anarchydica.net not found: 3(NXDOMAIN) > > > (2) Besorge Dir ein Zertifikat (von LE wäre es ja sogar kostenlos), > bei dem (u. a.) 'mail.anarchydica.net' als SAN enthalten ist. Dann, > und nur dann, kannst Du in Thunderbird 'mail.anarchydica.net' als > Servername verwenden. > > (Nebenbei: Da Du als MX für diese Domain 'mail.anarchydica.net' > eingetragen hast, wäre (2) vielleicht der elegantere Weg, da Du es > dann auch für Postfix nutzen kannst und auch dort gleich alles passen > sollte.) > > Viele Grüße > Markus -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc Dateityp : application/pgp-keys Dateigröße : 3927 bytes Beschreibung: OpenPGP public key URL : -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : OpenPGP_signature.asc Dateityp : application/pgp-signature Dateigröße : 840 bytes Beschreibung: OpenPGP digital signature URL : From usenet at schani.com Tue Sep 10 19:32:29 2024 From: usenet at schani.com (christian) Date: Tue, 10 Sep 2024 19:32:29 +0200 Subject: bounce "Sender address rejected: not owned by user" Message-ID: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> Hallo, ich hab grad was komisches. Ein PHP Script verwendet eine alte Swift Mail Version zum senden von Emails. Jetzt sollte dies um eine Bounce Funktion erweitert werden. Emails gehen raus über info at domain.com Und falls Sie nicht zugestellt werden wird per Swift Mail noch eine bounce at domain.com mitgegeben ($message->setReturnPath('bounce at domain.com');) Swiftmail liefert an Postfix - Postfix versucht zuzustellen - Bekommt Meldung: : Sender address rejected: not owned by user info at domain.com Woran kann das liegen? Könnt Ihr mir einen Tipp geben? Danke Christian From list+postfixbuch at gcore.biz Tue Sep 10 22:05:32 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 10 Sep 2024 22:05:32 +0200 Subject: bounce "Sender address rejected: not owned by user" In-Reply-To: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> References: <002fcb63-de16-42c6-855b-6967622eb276@schani.com> Message-ID: <0BB84465-D132-4C07-B657-40822B85240A@gcore.biz> > Ein PHP Script verwendet eine alte Swift Mail Version zum senden von Emails. > Jetzt sollte dies um eine Bounce Funktion erweitert werden. > > Emails gehen raus über info at domain.com > Und falls Sie nicht zugestellt werden wird per Swift Mail noch eine bounce at domain.com mitgegeben ($message->setReturnPath('bounce at domain.com');) > > Swiftmail liefert an Postfix - Postfix versucht zuzustellen - Bekommt Meldung: > > : Sender address rejected: not owned by user info at domain.com > > Woran kann das liegen? https://www.postfix.org/postconf.5.html#reject_sender_login_mismatch https://www.postfix.org/postconf.5.html#smtpd_sender_login_maps Viele Grüße Gerald From Peer-Joachim.Koch at leibniz-hki.de Tue Sep 10 22:06:14 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Tue, 10 Sep 2024 22:06:14 +0200 Subject: Antw: Re: bounce "Sender address rejected: not owned by user" (Out of office (05.09.-> 27.09.]) In-Reply-To: <0F3989960200003C9A81E8E0@weida.hki-jena.de> References: <2E799AFE020000F44BFCCB17@weida.hki-jena.de> <0F3989960200003C9A81E8E0@weida.hki-jena.de> Message-ID: <66E0A6B6020000E90009D00C@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From list+postfixbuch at gcore.biz Tue Sep 10 22:46:32 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Tue, 10 Sep 2024 22:46:32 +0200 Subject: =?utf-8?Q?Re=3A_Frage_zur_=C3=9Cbertragungsbest=C3=A4tigung_?= =?utf-8?Q?=C3=BCber_Relay?= In-Reply-To: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> Message-ID: <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> > sollte man wenn man ein Relay nutzt, diesen whitelisten, damit alles was SPF, DMARC usw. angeht umgangen wird? Kannst Du machen, rspamd schaltet bei lokalen IP-Adressen auch einige Checks ab. Falls es öfters Probleme gibt, kann sich der Relay sonst intern eine schlechte Reputation erarbeiten. Allerdings hilft das nicht bei Notifies, die nach Extern verschickt werden. SPF fällt raus weil Delivery Notifications mit dem Null-Sender <> als Absender verschickt werden. Es gibt also auf SMTP-Ebene keine Maildomain, über die man via DNS Informationen wie SPF einholen könnte. Eine fehlende DKIM-Signatur muss auch nicht zwangsläufig problematisch sein, da der Absender innerhalb der Mail ("From") meist mit einer Subdomain schickt, also z.B. MAILER-DAEMON at relay.domain.de statt MAILER-DAEMON at domain.de. Bleibt noch eine DMARC-Policy die alles ablehnt, auch unsignierte Mails von Subdomains. Für den Fall könnte man die Policy für Subdomains mit sp=none anpassen: https://powerdmarc.com/de/what-is-the-dmarc-sp-subdomain-policy-tag/ Falls es rein um Delivery Notifications geht, kannst Du die Möglichkeit solche anzufordern am Relay auch abschalten: # main.cf smtpd_discard_ehlo_keywords = silent-discard, dsn Viele Grüße Gerald From Daniel at Mail24.vip Tue Sep 10 23:17:31 2024 From: Daniel at Mail24.vip (Daniel) Date: Tue, 10 Sep 2024 23:17:31 +0200 Subject: =?utf-8?Q?AW:_Frage_zur_=C3=9Cbertragungsbest=C3=A4t?= =?utf-8?Q?igung_=C3=BCber_Relay?= In-Reply-To: <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> Message-ID: <008301db03c6$d92ca030$8b85e090$@Mail24.vip> Ich bezweifle dass man bei MailboxOrg und co als Kunde sowas abschalten kann, besonders da es nicht zielführend ist, da man ja explizit die Zustellung quittiert haben möchte. ;-) Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From list+postfixbuch at gcore.biz Wed Sep 11 00:22:36 2024 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Wed, 11 Sep 2024 00:22:36 +0200 Subject: =?utf-8?Q?Re=3A_Frage_zur_=C3=9Cbertragungsbest=C3=A4tigung_?= =?utf-8?Q?=C3=BCber_Relay?= In-Reply-To: <008301db03c6$d92ca030$8b85e090$@Mail24.vip> References: <007d01daff96$7478c4e0$5d6a4ea0$@Mail24.vip> <6996DD01-C4B5-423A-BC52-B922B9090754@gcore.biz> <008301db03c6$d92ca030$8b85e090$@Mail24.vip> Message-ID: <553059EC-B9C9-467E-A629-2D5D15B2C93C@gcore.biz> > Ich bezweifle dass man bei MailboxOrg und co als Kunde sowas abschalten kann, besonders da es nicht zielführend ist, da man ja explizit die Zustellung quittiert haben möchte. ;-) Da hast Du natürlich Recht, auch auf die DMARC-Policy von mailbox.org hast Du keinen Einfluss. Ich hab das Beispiel fälschlicherweise nur als Beispiel interpretiert, da es für mich persönlich wenig Sinn ergab den Relay einer anderen Firma zu nutzen, um dann lokal bei eigenen Mailservern dafür eine Whitelist zu führen. In dem Punkt, dass die Abschaltung von DSNs nicht zielführend ist, bin ich anderer Meinung. Es gibt Provider bei denen man das nicht via SMTP anfordern kann und die den Kunden solche Informationen aus dem Maillog übersichtlich in einem Webinterface zur Verüfgung stellen. Die Information ist also nicht verloren sondern wird nur anders bzw. gesammelt dargestellt. Nebenbei erhalten Kunden einen genaueren Einblick in den Mailflow und man verhindert dadurch, dass der Relay wegen der von Dir beschriebenen Probleme auf Blacklisten landet und an Reputation einbüßt. Wenn man die Zustellung explizit nachweisen möchte, ist der zuvor beschriebene Weg daher auch zielführend und ggf. sogar zuverlässiger als DSNs. Viele Grüße Gerald From alexander.kaltenbacher at gmail.com Wed Sep 11 10:07:09 2024 From: alexander.kaltenbacher at gmail.com (alexander.kaltenbacher at gmail.com) Date: Wed, 11 Sep 2024 10:07:09 +0200 Subject: Frage zu rate limiting Message-ID: <13a201db0421$99d7cc10$cd876430$@gmail.com> Liebe postfix-User, "isch hätt da gern mal a Problem ?" (wie der Kabarettist sagt), evtl. bin ich hier auch nicht ganz richtig. Wir haben eine etwas unübliche Mail-Konstellation: * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), * Mails nach und von Außen laufen über ein Postfix-System Da wir immer wieder User haben, deren Konto gehackt wird bzw. die meinen viele Mails versenden zu müssen, haben wir auf postfix (postfwd) für eine bestimmte Mail-Gruppe ein Rate-Limit von 50 Mails/Stunde und 200 Mails/Tag eingeführt. Damit haben wir erheblich weniger Probleme mit Black-/Greylisting (außer die Microsoft-Plattformen live.de/outlook.de/outlook.com). So weit so gut, aber wenn z.B. ein User meint 151 Mails versenden zu wollen, dann gehen ja die ersten 50 Mails raus, die restlichen 101 gehen quasi an Exchange zurück. Exchange versucht aber innerhalb einer Stunde mehrfach diese 101 Mails wieder zuzustellen. Und da beginnt das Problem, denn das 50 Mails/Stunde-Limit läuft ja noch und verlängert sich wieder und das geht dann so lange, bis Exchange nach zwei Tagen aufgibt, die 101 Mails zuzustellen und ich bekomme jede halbe Stunde eine Mitteilung über ein erreichtes rate-limit. Die Firma, die uns bei unserem Postfix-System unterstützt meint, da kann man seitens postfix nichts machen und bei Exchange wird uns geraten, doch das rate-limit anzuheben ?. Wo könnte ich denn noch suchen und/oder eine Eistellung treffen? Auf Exchange habe ich so nichts gefunden (auch die Firma nicht), wo ich ?drehen? könnte. Außer, dass ich wie im obigen Beispiel die nicht zustellbaren 101 Mails lösche und dem Absender eine Nichtzustellbarkeits-Benachrichtigung zukommen lasse. Ich weiß, das ist nicht unbedingt ein reines postfix-Problem, aber vielleicht habt Ihr ein paar Hinweise. Im Voraus danke für die Hilfe und die Mühen. Viele Grüße Alexander Kaltenbacher --- Alexander Kaltenbacher Egerlandstrasse 77 85053 Ingolstadt Tel.: 0841 940 246 (priv) 0841 937 21885 (dstl) 0176 46509696 (mobil) Email: alexander.kaltenbacher at gmail.com -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From d-j.wienecke at ostfalia.de Wed Sep 11 10:28:12 2024 From: d-j.wienecke at ostfalia.de (David Wienecke) Date: Wed, 11 Sep 2024 10:28:12 +0200 Subject: Frage zu rate limiting In-Reply-To: <13a201db0421$99d7cc10$cd876430$@gmail.com> References: <13a201db0421$99d7cc10$cd876430$@gmail.com> Message-ID: Hallo Liste, Hallo Alexander, kann der postfwd nicht mit einem 500er Fehler ablehnen? Dann sollte der postfix pre-Queue ablehnen und der Exchange einen Bounce generieren und nicht noch mal zustellen. Ich meine, bei uns wöre das exakt so konfiguriert. Viele Grüße David Alexander Kaltenbacher via Postfixbuch-users schrieb am Mi, 11. Sep 10:07: > Liebe postfix-User, > > > > "isch hätt da gern mal a Problem ?" (wie der Kabarettist sagt), evtl. bin ich hier auch nicht ganz richtig. Wir haben eine etwas unübliche Mail-Konstellation: > > * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), > * Mails nach und von Außen laufen über ein Postfix-System > > > > Da wir immer wieder User haben, deren Konto gehackt wird bzw. die meinen viele Mails versenden zu müssen, haben wir auf postfix (postfwd) für eine bestimmte Mail-Gruppe ein Rate-Limit von 50 Mails/Stunde und 200 Mails/Tag eingeführt. Damit haben wir erheblich weniger Probleme mit Black-/Greylisting (außer die Microsoft-Plattformen live.de/outlook.de/outlook.com). So weit so gut, aber wenn z.B. ein User meint 151 Mails versenden zu wollen, dann gehen ja die ersten 50 Mails raus, die restlichen 101 gehen quasi an Exchange zurück. Exchange versucht aber innerhalb einer Stunde mehrfach diese 101 Mails wieder zuzustellen. Und da beginnt das Problem, denn das 50 Mails/Stunde-Limit läuft ja noch und verlängert sich wieder und das geht dann so lange, bis Exchange nach zwei Tagen aufgibt, die 101 Mails zuzustellen und ich bekomme jede halbe Stunde eine Mitteilung über ein erreichtes rate-limit. Die Firma, die uns bei unserem Postfix-System unterstützt meint, da kann man seitens postfix nichts machen und bei Exchange wird uns geraten, doch das rate-limit anzuheben ?. > > > > Wo könnte ich denn noch suchen und/oder eine Eistellung treffen? Auf Exchange habe ich so nichts gefunden (auch die Firma nicht), wo ich ?drehen? könnte. Außer, dass ich wie im obigen Beispiel die nicht zustellbaren 101 Mails lösche und dem Absender eine Nichtzustellbarkeits-Benachrichtigung zukommen lasse. > > > > Ich weiß, das ist nicht unbedingt ein reines postfix-Problem, aber vielleicht habt Ihr ein paar Hinweise. -- David Johann Wienecke Rechenzentrum Ostfalia Hochschule fuer angewandte Wissenschaften - Hochschule Braunschweig/Wolfenbuettel Salzdahlumer Str. 46/48 38302 Wolfenbuettel Tel. : +49 5331 939 19270 Fax : +49 5331 939 19272 Mail : d-j.wienecke at ostfalia.de Web : http://www.ostfalia.de/rz -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/x-pkcs7-signature Dateigröße : 5556 bytes Beschreibung: nicht verfügbar URL : From Peer-Joachim.Koch at leibniz-hki.de Wed Sep 11 10:28:33 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 11 Sep 2024 10:28:33 +0200 Subject: Antw: Re: Frage zu rate limiting (Out of office (05.09.-> 27.09.]) In-Reply-To: <9188BD590200003E5A0708AC@weida.hki-jena.de> References: <64AE45DB020000E2824A10E1@weida.hki-jena.de> <9188BD590200003E5A0708AC@weida.hki-jena.de> Message-ID: <66E154B1020000E90009D0A5@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch From driessen at fblan.de Wed Sep 11 12:32:03 2024 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Wed, 11 Sep 2024 12:32:03 +0200 Subject: AW: Frage zu rate limiting In-Reply-To: <13a201db0421$99d7cc10$cd876430$@gmail.com> References: <13a201db0421$99d7cc10$cd876430$@gmail.com> Message-ID: Im Auftrag von Alexander Kaltenbacher via > Betreff: Frage zu rate limiting > > > * Im ?Inneren? nutzen wir ein Exchange-System (Exchange 2019 mit > DAG, etwa 7000 User-Postfächer und 400 shared Mailboxen), > * Mails nach und von Außen laufen über ein Postfix-System Hallo Alexander Na hab ich ein Glück das ich kein Exchange habe :-) Aber da gibt es doch sicherlich ein VBA dazu ? (ich weiß die MS Anwendern sind Kummer gewöhnt) Postfwd die Meldungen zum Überschreiten der Einfachen Limits abschalten eine Übersicht pro Tag sollte reichen um Unregelmäßigkeiten in der Richtung zu erkennen. Die Mails der eigenen User ebenfalls durch Spam und Virenerkennung. Innerhalb von Postfix kann mit verschiedenen Limits gearbeitet werden Nur eine Mail Pro "groß"anbieter transport_maps = hash:/etc/postfix/maps/transport_slow, gmail_initial_destination_concurrency = 2 gmail_destination_concurrency_limit = 3 gmail_destination_recipient_limit = 5 gmail_destination_rate_delay = 1m maps/transport_slow mail.de gmail: gmail.com gmail: web.de gmail: t-online.de gmail: master.cf gmail unix - - n - - smtp -o syslog_name=postfix-gmail -o inet_protocols=ipv4 -o inet_interfaces=14x.xxx.xxx.xxx Damit habe ich zumindest keine Probs mehr mit abgelehnten "normalen" Mails von dem Empfangsservern default_destination_concurrency_limit = 10 default_destination_recipient_limit = 20 smtpd_delay_reject = no smtpd_client_connection_count_limit = 10 smtpd_client_connection_rate_limit = 5 smtpd_recipient_limit = 30 smtpd_client_message_rate_limit = 30 smtpd_recipient_overshoot_limit = 30 default_extra_recipient_limit = 10 #smtpd_client_auth_rate_limit = 5 smtpd_client_recipient_rate_limit = 30 kann man auch mal schauen ob man an den Werten was verändert #anvil_rate_time_unit = 60s #default #anvil_status_update_time = 660m #default 600 Gehackte Konten ....... Da gab es was von Rathiofarm ----- outgoingd ----- Ich weiß nimmer ob es noch so heißt Es wird überprüft von wie viele unterschiedlichen IP-Adressen in wie viel unterschiedlichen Ländern innerhalb einer Zeitspanne X auf das Konto zugegriffen wird Es kann ja nicht sein das jemand JETZT in DE und in einer Stunde aus USA zugreift versucht sich anzumelden und dann wieder 15 min später aus dem Iran..... Wird das festgestellt wird das Konto erstmal gesperrt :-) https://roessner-network-solutions.com Christian hat das mal geproggt wenn nicht zu finden anfragen :-) Wenns hilft nehm ich mal nen daumen hoch :-))) > > Alexander Kaltenbacher > Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "Wissen macht den Unterschied zu Titel, Titel kosten - Wissen verdient." "Digitalisierung löst KEINE Probleme, wer nicht Analog arbeiten kann wird es auch digital nicht können, Digitalisierung deckt gnadenlos jedes Problem auf." "wenn Digitalisierung den Aufwand zur Analogen Arbeitsweise erhöht, den Gewinn schmälert dann wird es Zeit zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung ist die Intelligente Art erforderliche Arbeit auf Kunden zu übertragen. ?" "Digitalisierung darf nicht zur Entmündigung führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steintafeln und wie alt ist das älteste elektronische Dokument?" From Peer-Joachim.Koch at leibniz-hki.de Wed Sep 11 12:42:46 2024 From: Peer-Joachim.Koch at leibniz-hki.de (Peer-Joachim Koch) Date: Wed, 11 Sep 2024 12:42:46 +0200 Subject: Antw: AW: Frage zu rate limiting (Out of office (05.09.-> 27.09.]) In-Reply-To: <66C318C7020000AC273CF23A@weida.hki-jena.de> References: <64AE45DB020000E2824A10E1@weida.hki-jena.de> <66C318C7020000AC273CF23A@weida.hki-jena.de> Message-ID: <66E17426020000E90009D0C4@weida.hki-jena.de> I am traveling with very limited access to my email. Please use the Helpdesk (https://helpdesk.hki-jena.de) for requests. For urgent messages send an email to Stefan.Liebert at leibniz-hki.de or Daniel.Prautsch at leibniz-hki.de. Kind regards, Peer-Joachim Koch