Das längste Thema

Du rejectest, d.h. der andere Mailserver wird die Mail nie los. Du wirst damit kein Backscatter. Im Log sieht das dann so aus:

2018-07-24 20:36:38 1fi2An-00043F-TE H=mail.alihost.co.ua [213.202.212.238] F=<iyhuvys@alihost.co.ua> rejected after DATA: This message scored 9.0 spam points.
2018-07-25 09:40:56 1fiEPo-0000nY-FM H=ecs-117-78-44-171.compute.hwclouds-dns.com (myphc.com) [117.78.44.171] F=<stanfielfltd@gmail.com> rejected after DATA: This message contains a virus (winnow.spam.ts.xmailer.2.UNOFFICIAL).

Du lehnst per RBL beim TCP-Connect ab. Du darfst aber genauso auch nach dem DATA-Part ganz am Ende noch sagen: "Hey, die Mail passt mir doch nicht".

Nachtrag: Reject ist nicht Bouncing.

Ist alles klar und logisch, aber so erkenn ich das bei deinem Log nicht; sprich bei mir habe ich da einen Unterschied, ob die Mail gleich mal gar nicht in die Queue kommt - REJECT noch während des einlieferns, oder ob sie doch in die Queue kommt - REJECT nachdem sie bereits Übernommen wird;

genau den 2ten Fall will ich vermeiden, und das bekomm ich bei SPAMassassin nicht hin (läuft momentan nur zu Hause in einer VM)

in der master.cf hab ich folgendes

smtp inet n - n - - smtpd

bzw.

spamassassin unix - n n - - pipe user=spamfilter argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Postfix ist da nicht so flexibel einfach im Setup. Früher hat man postfix + amavis genutzt, dann amavis-new. Das hat dann auch gleich clamav mit sanesecurity integriert. auch wenn es so viele Tutorials geben sollte, die Anleitungen von Postfix, Exim, Spamassassin selbst sind immer noch am besten: https://wiki.apache.org/spamassassin/IntegratedInMta . Dort dann der Teil mit before-queue bei postfix

Zitat von mainziman

die Mail soll ja wenn einer dieser Listen anschlägt rejecten

Und genau das ist das Problem. Ein einziges False-Positive und sie wird rejected. Deshalb verwendet man normalerweise mehrere RBLs mit unterschiedlicher Gewichtung. Eine RBL alleine (die man nicht ausschließlich selbst füttert) darf niemals als einziger Ablehnungsgrund herhalten!

Postscreen wäre übrigens auch eine Möglichkeit, wenn man es ohne externe Dienste stemmen will. Dort kann man RBLs direkt konfigurieren.

Zitat von H6G

Dovecot hat nichts mit E-Mail senden zu tun. Dovecot ist für IMAP zuständig, damit du die Mails in deinem Client sehen kannst.

btw: Dovecot hat mittlerweile einen Submission-Daemon. Der ist zwar nur ein halbwegs intelligenter Proxy (mit Zusatzfeatures wie BURL) für einen richtigen SMTP-Server, aber das könnte in Zukunft noch sehr interessant werden. Vor allem, weil man die Authentifizierung und den TLS-Kram für den MUA-Bereich nur mehr an einer einzigen Stelle konfigurieren muss. Postfix braucht die Userauthentifizierung somit gar nicht mehr und kann bei TLS etwas weniger streng konfiguriert werden, damit die ungepflegten Mailserver da draußen kein Problem haben.

Ich teste so ein Setup derzeit, mal schauen, ob es sich lohnt. Praktisch wäre es auf jeden Fall, da es für eine deutlich klarere Struktur sorgt!

da hat eine gerade aber Bastel Laune

erst nginx mit TLS1.3 und nun Dovecot

Zitat von Gunah

da hat eine gerade aber Bastel Laune

erst nginx mit TLS1.3 und nun Dovecot

Das habe ich auch gleich gedacht

Das mit nginx und TLS1.3 wollte ich schon immer testen, aber komme bis jetzt nicht vernünftig zu meiner Bastelstunde, keine Zeit im Moment

Alle paar Jahre muss man das eigene Setup mal infrage stellen und experimentieren. Selbstverständlich auf einem neuen System.

Wobei ich TLS 1.3 ja wieder entfernt habe, solange OpenSSL 1.1.1 nicht aus der Beta raus ist. Aber die Config ist vorbereitet und nur einen Daemon-Restart entfernt.

wo bei ich gestehen muss dass ich für die 2 Jessie Systeme hier auch NGINX mit OpenSSL 1.1.0 ausliefere, damit ich bei HTTP2 auch ALPN habe

Zitat von Gunah

OpenSSL 1.1.0 […] HTTP2 […] ALPN

Sollte dafür nicht sogar 1.0.2 aus Backports reichen?

(Ja, ich weiß: Backports ist bei LTS nicht dabei. Also spätestens jetzt veraltet… )

Zitat von florian2833z

Benutzt hier eigentlich irgendjemand mobile SSH Clients und wenn ja, welche? JuiceSSH scheint nicht mehr weiterentwickelt zu werden.

Genau den Client nutze ich noch, in der Pro Version, seit Jahren.

Ob der nun große weiterentwickelt werden muss, ist hier die Frage. Ist ja nicht so als würde sich der Standard hier groß monatlich oder jährlich ändern ?

Zitat von killerbees19

Sollte dafür nicht sogar 1.0.2 aus Backports reichen?

(Ja, ich weiß: Backports ist bei LTS nicht dabei. Also spätestens jetzt veraltet… )

ja hatte ich damals gesehen und da wir es eh selber bauen, bundlen wir es direkt und wenn nen OpenSSL Update kommt muss es neu ausgerollt werden.

ist mir da lieber

Juhu, mein Mailserver ist endlich erwachsen*

(* Erwachsen ist ein Mailserver dann, wenn er erstmalig von Microsoft blockiert wurde)

Zitat von killerbees19

Ich teste so ein Setup derzeit, mal schauen, ob es sich lohnt.

220 example.net ESMTP Postfix
EHLO example.net
250-example.net
[…]
250-XCLIENT NAME ADDR PROTO HELO REVERSE_NAME PORT LOGIN DESTADDR DESTPORT
[…]
XCLIENT ADDR=IPV6:2001:db8::1 PORT=54321 LOGIN=username
220 example.net ESMTP Postfix
[…]

Received: from example.net (localhost [IPV6:2001:db8::1])
    (Authenticated sender: username)
    by example.net (Postfix) with ESMTPA id A7508227D3
    for <foobar@example.org>; Thu, 26 Jul 2018 18:58:16 +0200 (CEST)
Received: from [IPv6:2001:db8::1] ([2001:db8::1])
    by example.net with ESMTPSA
    id 1ZuXJqj9WVvJTgAAqAMVow
    (envelope-from <username@example.net>)
    for <foobar@example.org>; Thu, 26 Jul 2018 18:58:16 +0200

Zitat von mfnalex

Juhu, mein Mailserver ist endlich erwachsen*

(* Erwachsen ist ein Mailserver dann, wenn er erstmalig von Microsoft blockiert wurde)

dann ist meiner ja quasi schon tot

mein Mailserver ist jetzt fertig configuriert und SPAM kommt keines durch ...

smtpd_delay_reject_submission = yes
smtpd_delay_reject = no

smtpd_helo_required = yes

smtpd_helo_restrictions = permit_mynetworks,
	permit_sasl_authenticated,
	reject_invalid_helo_hostname,
	reject_unknown_helo_hostname,
	reject_non_fqdn_helo_hostname,
	reject_rhsbl_helo rhsbl.sorbs.net,
	check_helo_mx_access cidr:/etc/postfix/drop.cidr,
	check_helo_ns_access cidr:/etc/postfix/drop.cidr,
	permit

smtpd_client_restrictions_submission = permit_sasl_authenticated, reject
smtpd_client_restrictions = permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_pipelining,
	reject_unknown_client_hostname,
	reject_unknown_reverse_client_hostname,
	reject_rbl_client cbl.abuseat.org,
	reject_rbl_client ix.dnsbl.manitu.net,
	reject_rbl_client noptr.spamrats.com,
	reject_rbl_client dyna.spamrats.com,
	reject_rbl_client dnsbl.sorbs.net,
	reject_rbl_client zen.spamhaus.org,
	reject_rbl_client bl.spamcop.net,
	check_client_access cidr:/etc/postfix/client_access.cidr,
	permit

smtpd_sender_restrictions = reject_unknown_sender_domain,
	reject_non_fqdn_sender,
	reject_rhsbl_sender rhsbl.sorbs.net,
	check_sender_mx_access cidr:/etc/postfix/drop.cidr,
	check_sender_ns_access cidr:/etc/postfix/drop.cidr,
	check_sender_access hash:/etc/postfix/sender_access,
	permit

smtpd_recipient_restrictions = permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	reject_unauth_pipelining,
	reject_non_fqdn_recipient,
	reject_unknown_recipient_domain,
	check_policy_service unix:private/policy-spf,
	check_recipient_access hash:/etc/postfix/recipient_access,
	reject

smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_etrn_restrictions = permit_mynetworks, reject 

/etc/postfix/drop.cidr kommt von hier: http://www.spamhaus.org/drop/drop.lasso

/etc/postfix/client_access.cidr beinhaltet Netzwerkblöcke, denen ich den Zugriff verweigere

(z.B. alle Netze welche über spf.protection.outlook.com aufgelöst werden)

/etc/postfix/sender_access beinhaltet Absender, die ich ablehne

(z.B. alle Länder-TLDs bis auf ein paar handverlesene,

Freemail-Domains wie hotmail.com, yahoo, ...)

/etc/postfix/recipient_access beinhaltet alle meine Mailaliase

mittels Header-Checks noch ein paar Besonderheiten:

z.B. Mails in einem Zeichensatz, den ich nicht verstehe (Alle bis auf: US-ASCII, UITF-8, ISO-8859-1(5))

KB19 Du hast recht, daß man hier false positives erzeugen kann, aber es ist bewußt so, weil ich die

umgekehrte Logik beachte: "Du bist nur sauber wenn niemand üiber dich schimpft"

p.s. weil vor kurzen von uptime die rede war, meine NT-VM überraschte mich

[MS-Windows XP x64 5.20, D:\]: uptime \\NTWALDIVM-001
\\NTWALDIVM-001 has been up for: 1838 day(s), 1 hour(s), 13 minute(s), 22 second(s)

Estimate based on last boot record in the event log.

mainziman Bei Spamhaus und SORBS wäre ich halt vorsichtig. Deren Geschäftspraktiken sind alles andere als gut. Wenn man sich auf die als einziges Kriterium verlässt, sind Fehlalarme vorprogrammiert. Das wird legitime Absender, die absolut nichts falsch gemacht haben, sicher freuen…

Zitat von killerbees19

Wen interessiert das überhaupt? Bitte nicht weiterlesen…

Bis auf die Tatsache, dass sich mein Thunderbird seltsam verhält (Fehlermeldung & sofortige Speicherung in gesendeten Objekten⁈), wenn der Postfix dahinter aufgrund von Fehlern nicht erreichbar ist, ist besonders das XCLIENT-Feature für dovecot-submissiond sehr praktisch.

Einziger Schönheitsfehler: Derzeit gibt es keine Möglichkeit, Details über den verwendeten TLS-Cipher im Header zu hinterlegen. Dovecot selbst kann es noch nicht und Postfix weiß nichts davon, was Dovecot vorher ausgehandelt hat.

Wenn das stabil läuft, sehe ich trotzdem keinen Grund mehr, für Postfix mehr als Port 25 nach außen zu öffnen.

Interesiert mich auf jeden Fall. Das soll in mein "Buster"-Setup dann auch mit rein. Gerne weiter berichten. Weiterer Vorteil: Dovecot unterstützt SNI, Postfix nicht. Obwohl das mit Postfix 3.4 vielleicht doch kommen soll. Damit kann dann auch jeder unter mail.seinedomain seine Mails abgeben, ohne das man ein Zertifikat braucht in dem alle Domains drin stehen, die der Server bedient.

Was sagt ihr zum aktuellen Root-Server 2000 Plus G8 Angebot?

Ich hab mal zugeschlagen. Hatte bis heute den 2000 Plus G7 am laufen. Der ist jetzt gekündigt und ich bin auf den 2000 Plus G8 umgezogen.

200 GB mehr Platz, aus 10 GB RAM werden 24 GB und das alles bei gleichem Preis und monatlicher Laufzeit. Ich bin zufrieden.