IPFire mit Mail-Proxyfunktion
Re: IPFire mit Mail-Proxyfunktion
@5p9
die Mail hängt noch in deinem Postfix und muss da raus gelöscht werden. Kann auch sein, dass es mehrere sind. Zur Not postsuper -d ALL. Das "185.207.8.14 550 service not available IPACL" verhindert nur das neuer Müll von der Quelle dazu kommt.
Grüße, gocart
die Mail hängt noch in deinem Postfix und muss da raus gelöscht werden. Kann auch sein, dass es mehrere sind. Zur Not postsuper -d ALL. Das "185.207.8.14 550 service not available IPACL" verhindert nur das neuer Müll von der Quelle dazu kommt.
Grüße, gocart
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
Morgen,
also irgendwie will er nicht so recht die IP fern halten, denn ich habe gestern und heute wieder einige in den Queues gefunden:
obwohl ich in der smtp_access diese hinterlegt hatte:
Und eigentlich sollte diese ja auch greifen, oder nicht?
Das eigentliche Problem scheint wohl die IP zu sein, denn die SPAMs kommen wohl nicht direkt von der von mir geblockten IP:
Echt seltsam. Hast du noch eine Idee wie ich Ihn hier unterbinden kann?
VG. 5p9
PS: Allen natürlich noch ein schönes neues Jahr! Und auf das alles besser wird
also irgendwie will er nicht so recht die IP fern halten, denn ich habe gestern und heute wieder einige in den Queues gefunden:
Code: Select all
postqueue -p
Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
52FDB1CA036 6730 Thu Jan 3 07:00:46 MAILER-DAEMON
(connect to digitalskinz.info[185.207.8.14]:25: Connection refused)
sigismundmxymktr@digitalskinz.info
79A951CA049 6454 Thu Jan 3 07:51:32 MAILER-DAEMON
(connect to dekhomovie.com[185.207.8.14]:25: Connection refused)
timoxwmdkgq@dekhomovie.com
obwohl ich in der smtp_access diese hinterlegt hatte:
Code: Select all
# Foo Mailaddress
185.207.8.14 550 service not available IPACL
Code: Select all
# Transport Restictions
smtpd_client_restrictions =
permit_mynetworks,
sleep 1,
reject_unauth_pipelining,
check_client_access btree:$maps_dir/smtpd_access,
reject_unknown_client_hostname,
check_client_access btree:$maps_dir/sld_access,
check_client_access btree:$maps_dir/tld_access,
#check_client_access btree:$maps_dir/tld_new_access,
regexp:$conf_dir/ptr.cf,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.inps.de,
reject_multi_recipient_bounce,
permit
Code: Select all
Blocked SPAM {RejectedInbound,Quarantined}, [185.234.183.12]
Code: Select all
Jan 3 07:00:45 ipfw postfix/cleanup[24106]: 9F0C01CA004: message-id=<jdlyhkaa.vloordjlafuoatlahojhik@cefg.digitalskinz.info>
Jan 3 07:00:45 ipfw postfix/qmgr[19489]: 9F0C01CA004: from=<sigismundmxymktr@digitalskinz.info>, size=3873, nrcpt=1 (queue active)
Jan 3 07:00:45 ipfw amavis[17591]: (17591-04) LMTP :10024 /var/amavis/tmp/amavis-20190103T052838-17591-67JqXmVj: <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de> SIZE=3873 BODY=8BITMIME Received: from MEIN.MAIL-GATEWAY.de ([127.0.0.1]) by localhost (MEIN.MAIL-GATEWAY.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <MITARBEITER@MEINE.DOMAIN.de>; Thu, 3 Jan 2019 07:00:45 +0100 (CET)
Jan 3 07:00:45 ipfw amavis[17591]: (17591-04) Checking: opnq_l241gsy [185.234.183.12] <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de>
Jan 3 07:00:46 ipfw amavis[17591]: (17591-04) Blocked SPAM {RejectedInbound,Quarantined}, [185.234.183.12]:48102 [185.234.183.12] <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de>, quarantine: spam-opnq_l241gsy.gz, Queue-ID: 9F0C01CA004, Message-ID: <jdlyhkaa.vloordjlafuoatlahojhik@cefg.digitalskinz.info>, mail_id: opnq_l241gsy, Hits: 10.766, size: 3872, 644 ms
Jan 3 07:00:46 ipfw postfix/smtp[24111]: connect to digitalskinz.info[185.207.8.14]:25: Connection refused
Jan 3 07:00:46 ipfw postfix/smtp[24111]: 52FDB1CA036: to=<sigismundmxymktr@digitalskinz.info>, relay=none, delay=0.04, delays=0.01/0/0.04/0, dsn=4.4.1, status=deferred (connect to digitalskinz.info[185.207.8.14]:25: Connection refused)
VG. 5p9
PS: Allen natürlich noch ein schönes neues Jahr! Und auf das alles besser wird

Re: IPFire mit Mail-Proxyfunktion
@5p9
Mutmßungen sind schwierig wenn man das genaue Log nicht kennt. Ich vemute mit dir, dass die IP nicht die Quelle ist, denn diese ist geblockt. Du müsstet suchen wann und von wo genau das gekommen ist... Das "Connect fom..." könnte weiter helfen. Die Schwierigkeit ist, das richtige zu finden.
Grüße, gocart
Mutmßungen sind schwierig wenn man das genaue Log nicht kennt. Ich vemute mit dir, dass die IP nicht die Quelle ist, denn diese ist geblockt. Du müsstet suchen wann und von wo genau das gekommen ist... Das "Connect fom..." könnte weiter helfen. Die Schwierigkeit ist, das richtige zu finden.
Grüße, gocart
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
Moin,
Dann gehts weiter:
weiter mit:
Und jetzt kommt der Teil wo ich antworten will:
Also kommen tut er irgendwie aktuell bei dieser Mail von Ihm hier - ich kämpfe gerade mit halb Ungarn so wie es aussieht und möchte/ kann und darf nicht dieses ganze Land aussperren - im Moment blocke ich die ersten drei Oktetten, damit es nicht ganz so hart eingestellt ist:
Und löst es dann aber über dies IP zurück auf:
Kann es sein, das das an dem Spamassassin liegt, z.B. aus dieser Ecke:
https://wiki.apache.org/spamassassin/VBounceRuleset
Amavisd macht dazu laut meinem Setting nichts an dieser Stelle:
die Infos habe ich und zwar kommt er von hier:Das "Connect fom..." könnte weiter helfen. Die Schwierigkeit ist, das richtige zu finden.
Code: Select all
postfix/smtpd[20614]: connect from large.deloitteab.com[193.39.187.78]
Code: Select all
postfix/smtpd[20614]: 51C1F1CA03A: client=large.deloitteab.com[193.39.187.78]
Code: Select all
postfix/cleanup[20356]: 51C1F1CA03A: message-id=<tdtjtduin.xoubszsrfqwtxjzufcprttroxrzu@cftq.dianayjavier.com>
Jan 3 11:32:26 ipfw postfix/qmgr[19729]: 51C1F1CA03A: from=<leocdggtxjursler@dianayjavier.com>, size=3432, nrcpt=1 (queue active)
Jan 3 11:32:26 ipfw amavis[18932]: (18932-03) LMTP :10024 /var/amavis/tmp/amavis-20190103T112646-18932-B4tIUR5v: <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de> SIZE=3432 BODY=8BITMIME Received: from MEIN.MAIL-GATEWAY.de ([127.0.0.
1]) by localhost (MEIN.MAIL-GATEWAY.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <MITARBEITER@MEINE.DOMAIN.de>; Thu, 3 Jan 2019 11:32:26 +0100 (CET)
Jan 3 11:32:26 ipfw amavis[18932]: (18932-03) Checking: bfLAXYH5SniF [193.39.187.78] <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de>
Jan 3 11:32:26 ipfw postfix/smtpd[20614]: disconnect from large.deloitteab.com[193.39.187.78] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jan 3 11:32:27 ipfw amavis[18932]: (18932-03) local delivery: <> -> spam-quarantine, mbx=/var/virusmails/spam-bfLAXYH5SniF.gz
Jan 3 11:32:27 ipfw amavis[18932]: (18932-03) Blocked SPAM {RejectedInbound,Quarantined}, [193.39.187.78]:33195 [193.39.187.78] <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de>, quarantine: spam-bfLAXYH5SniF.gz, Queue-ID: 51C1F1C
A03A, Message-ID: <tdtjtduin.xoubszsrfqwtxjzufcprttroxrzu@cftq.dianayjavier.com>, mail_id: bfLAXYH5SniF, Hits: 6.912, size: 3431, 666 ms
Jan 3 11:32:27 ipfw postfix/lmtp[20357]: 51C1F1CA03A: to=<MITARBEITER@MEINE.DOMAIN.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.5, delays=1.8/0/0/0.67, dsn=5.7.0, status=bounced (host 127.0.0.1[127.0.0.1] said: 554 5.7.0 Reject, id=18932-03 - spam
(in reply to end of DATA command))
Code: Select all
Jan 3 11:32:27 ipfw postfix/cleanup[20356]: 1F6361CA049: message-id=<20190103103227.1F6361CA049@MEIN.MAIL-GATEWAY.de>
Jan 3 11:32:27 ipfw postfix/bounce[20617]: 51C1F1CA03A: sender non-delivery notification: 1F6361CA049
Jan 3 11:32:27 ipfw postfix/qmgr[19729]: 1F6361CA049: from=<>, size=6286, nrcpt=1 (queue active)
Jan 3 11:32:27 ipfw postfix/qmgr[19729]: 51C1F1CA03A: removed
Jan 3 11:32:27 ipfw postfix/smtp[20360]: connect to dianayjavier.com[185.207.8.14]:25: Connection refused
Jan 3 11:32:27 ipfw postfix/smtp[20360]: 1F6361CA049: to=<leocdggtxjursler@dianayjavier.com>, relay=none, delay=0.04, delays=0.01/0/0.04/0, dsn=4.4.1, status=deferred (connect to dianayjavier.com[185.207.8.14]:25: Connection refused)
Also kommen tut er irgendwie aktuell bei dieser Mail von Ihm hier - ich kämpfe gerade mit halb Ungarn so wie es aussieht und möchte/ kann und darf nicht dieses ganze Land aussperren - im Moment blocke ich die ersten drei Oktetten, damit es nicht ganz so hart eingestellt ist:
Code: Select all
[193.39.187.78] <leocdggtxjursler@dianayjavier.com>
Code: Select all
connect to dianayjavier.com[185.207.8.14]:25: Connection refused
https://wiki.apache.org/spamassassin/VBounceRuleset
Amavisd macht dazu laut meinem Setting nichts an dieser Stelle:
Code: Select all
# Notify spam sender?
$warnspamsender = 0;
# Notify sender of banned files? can do it...
$warnbannedsender = 0;
Re: IPFire mit Mail-Proxyfunktion
So wie ich es bisher verstanden und recherchiert habe ist backscatter ein allgemeines Problem.
Aber ich denke, wenn ich den Schalter für: Blocked SPAM {RejectedInbound,Quarantined} und dessen Bounce finden könnte für SPAMs , dann wäre es schon weitaus ruhiger.
Aber Bounces an sich will und sollte man, solange legetim nicht blockieren. Hilft alleine schon der Sicherstellung des Senders das er es mitbekommt das seine Mail nicht durchgekommen ist. Aber wenn der Filter wegen einer SPAM angeht, da habe ich weniger Angst. Dies ist so selten bis nie der Fall, kann aber muss ja nicht und diese liegen ja eh im virusordner ab für eine Weile.
Vielleicht hat noch jemand Ideen dazu. Wünsche noch einen ruhigen Abend zusammen.
VG, 5p9
Aber ich denke, wenn ich den Schalter für: Blocked SPAM {RejectedInbound,Quarantined} und dessen Bounce finden könnte für SPAMs , dann wäre es schon weitaus ruhiger.

Aber Bounces an sich will und sollte man, solange legetim nicht blockieren. Hilft alleine schon der Sicherstellung des Senders das er es mitbekommt das seine Mail nicht durchgekommen ist. Aber wenn der Filter wegen einer SPAM angeht, da habe ich weniger Angst. Dies ist so selten bis nie der Fall, kann aber muss ja nicht und diese liegen ja eh im virusordner ab für eine Weile.
Vielleicht hat noch jemand Ideen dazu. Wünsche noch einen ruhigen Abend zusammen.
VG, 5p9
Re: IPFire mit Mail-Proxyfunktion
Moin..
Aber wie hier beschrieben https://wiki.apache.org/spamassassin/VBounceRuleset mal in der /etc/mail/spamassassin/v320.pre schauen ob die # vor Mail::SpamAssassin::Plugin::VBounce weg ist und whitelist_bounce_relays in der /etc/mail/spamassassin/local.cf anlegen. Amavis neu starten und schaun ob es was gebracht hat.
Ansonsten konnte man auch das dianayjavier bzw. deloitteab in die spamphrases-block.pcre einpflegen um die Quelle zu blocken. Dann käme das gar nicht bis zu SA.
Grüße, gocart
Den jibt es so nicht... Die harte Variante wäe $final_spam_destiny auf D_DISCARD umzustellen. Hat aber auch negative Nebenwirkungen was false Positives betrifft.Aber ich denke, wenn ich den Schalter für: Blocked SPAM {RejectedInbound,Quarantined} und dessen Bounce finden könnte für SPAMs , dann wäre es schon weitaus ruhiger
Aber wie hier beschrieben https://wiki.apache.org/spamassassin/VBounceRuleset mal in der /etc/mail/spamassassin/v320.pre schauen ob die # vor Mail::SpamAssassin::Plugin::VBounce weg ist und whitelist_bounce_relays in der /etc/mail/spamassassin/local.cf anlegen. Amavis neu starten und schaun ob es was gebracht hat.
Ansonsten konnte man auch das dianayjavier bzw. deloitteab in die spamphrases-block.pcre einpflegen um die Quelle zu blocken. Dann käme das gar nicht bis zu SA.
Grüße, gocart
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
@5p9 Alternativ bzw. das Pferd anders aufgezogen... bzw. da war noch was.
http://www.postfix.org/SMTPD_PROXY_README.html Amavis/SA als Postfix before-queue content filter. Der Effekt: Postfix wartet mit dem REJECT bis Amavis/SA die Mail geprüft haben und reicht den SA REJECT durch... Ohne Bounce... Diese Konstellation hat aber auch wieder Nebenwirkungen...
Grüße, gocart
http://www.postfix.org/SMTPD_PROXY_README.html Amavis/SA als Postfix before-queue content filter. Der Effekt: Postfix wartet mit dem REJECT bis Amavis/SA die Mail geprüft haben und reicht den SA REJECT durch... Ohne Bounce... Diese Konstellation hat aber auch wieder Nebenwirkungen...
Grüße, gocart
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
Moin,
hier mal am Rande noch zwei Infos.
Ich habe gerade eine recht gute Liste gefunde, auf der ich einige Ähnlichkeiten zu meinen Aktivitäten am Mail Gateway gesehenen Spammer und Spammails wieder erkenne. Oder ein wenig.
http://toastedspam.com/deny
Jedenfalls werde ich mir diese Liste mal für die Ipfrire MailGateway zusammenbasteln, mal sehen wie die Welt danach aussieht. Werde berichten.
Ein weiterer Fakt ist das der Anbieter dieser Listen, kostet auch nichts, nur eine Anmeldung hierfür benötigt wird http://www.securiteinfo.com aber sehr gute Spam Blacklisten für ClamAV bereit stellt! Ich teste diese auch schon seit rund 4 Wochen und bin wirklich postiv überrascht. Aber dazu muss man sich registrieren da jeder seinen eigene ID erhält für den Download, aber coole Listen, wie z.B.:
Interessant ist auch das ich in der amavisd config (siehe sanesecurity BLs) diese Listen nicht gepflegt habe, jedoch diese entsprechend geblockt werden, da Sie keine Score Angaben von mir erhalten haben. Aber funktioniert super! 
Ausschnitt meiner amavisd.conf:
Aktuell habe ich nun folgende ClamAV Listen aktiv:
Evtl will jemand diese dann auch verwenden, hier kann ich sagen bisher keinen false/postiv erlebt zu haben - bzw. keinen der relevant war.
VG, 5p9
hier mal am Rande noch zwei Infos.
Ich habe gerade eine recht gute Liste gefunde, auf der ich einige Ähnlichkeiten zu meinen Aktivitäten am Mail Gateway gesehenen Spammer und Spammails wieder erkenne. Oder ein wenig.
http://toastedspam.com/deny
Jedenfalls werde ich mir diese Liste mal für die Ipfrire MailGateway zusammenbasteln, mal sehen wie die Welt danach aussieht. Werde berichten.
Ein weiterer Fakt ist das der Anbieter dieser Listen, kostet auch nichts, nur eine Anmeldung hierfür benötigt wird http://www.securiteinfo.com aber sehr gute Spam Blacklisten für ClamAV bereit stellt! Ich teste diese auch schon seit rund 4 Wochen und bin wirklich postiv überrascht. Aber dazu muss man sich registrieren da jeder seinen eigene ID erhält für den Download, aber coole Listen, wie z.B.:
Code: Select all
securiteinfo.hdb|LOW # Malwares in the Wild
javascript.ndb|LOW # Malwares Javascript
securiteinfohtml.hdb|LOW # Malwares HTML
securiteinfoascii.hdb|LOW # Text file malwares (Perl or shell scripts, bat files, exploits, ...)
securiteinfopdf.hdb|LOW # Malwares PDF
securiteinfoandroid.hdb|LOW # Malwares Java/Android Dalvik
# HIGH
spam_marketing.ndb|HIGH # Spam Marketing / spammer blacklist

Ausschnitt meiner amavisd.conf:
Code: Select all
@virus_name_to_spam_score_maps = (new_RE(
[ qr'^Phishing\.' => 6.1 ],
[ qr'^Structured\.(SSN|CreditCardNumber)\b' => 6.1 ],
[ qr'^(?:Email|HTML|Sanesecurity)\.(?:Phishing|SpearL?)\.'i => 6.1 ],
[ qr'^(?:Email|HTML|Sanesecurity)\.(?:Spam|Scam)[a-z0-9]?\.'i => 4.6 ],
[ qr'^Sanesecurity\.(Malware|Rogue|Trojan)\.' => undef ],
[ qr'^winnow\.(?:botnets?|phish|complex|mailer)\.'x => 6.1 ],
[ qr'^winnow\.spam(?:domain)?\.'x => 2.6 ],
[ qr'^winnow\.(?:malware|trojan|compromised)\.'x => undef ],
[ qr'^winnow\.'x => 2.6 ]
));
Code: Select all
-rw-r--r-- 1 clamav clamav 87584 Jan 3 09:32 badmacro.ndb
-rw-r--r-- 1 clamav clamav 588622 Jan 9 21:10 blurl.ndb
-rw-r--r-- 1 clamav clamav 2132 Jan 9 21:03 bofhland_cracked_URL.ndb
-rw-r--r-- 1 clamav clamav 106188 Jan 9 21:03 bofhland_malware_attach.hdb
-rw-r--r-- 1 clamav clamav 592 Jan 9 21:03 bofhland_malware_URL.ndb
-rw-r--r-- 1 clamav clamav 6604 Jan 9 21:03 bofhland_phishing_URL.ndb
-rw-r--r-- 1 clamav clamav 1013248 Jan 2 17:52 bytecode.cld
-rw-r--r-- 1 clamav clamav 160960512 Jan 10 20:57 daily.cld
-rw-r--r-- 1 clamav clamav 51613 Mar 26 2018 foxhole_generic.cdb
-rw-r--r-- 1 clamav clamav 17038183 Dec 9 11:12 javascript.ndb
-rw-r--r-- 1 clamav clamav 7236645 Jan 3 09:12 junk.ndb
-rw-r--r-- 1 clamav clamav 117892267 Dec 12 21:56 main.cvd
-rw-r--r-- 1 clamav clamav 124101 Jan 9 21:05 malware.expert.ndb
-rw------- 1 clamav clamav 260 Jan 10 20:57 mirrors.dat
-rw-r--r-- 1 clamav clamav 4073206 Jan 3 10:08 phish.ndb
-rw-r--r-- 1 clamav clamav 2323527 Jan 9 21:00 phishtank.ndb
-rw-r--r-- 1 clamav clamav 567740 Jan 9 21:00 porcupine.ndb
-rw-r--r-- 1 clamav clamav 223327 Jan 9 20:11 rogue.hdb
-rw-r--r-- 1 clamav clamav 8253809 Jan 10 09:56 securiteinfoascii.hdb
-rw-r--r-- 1 clamav clamav 4663770 Jan 10 08:41 securiteinfohtml.hdb
-rw-r--r-- 1 clamav clamav 18343 Dec 18 20:10 spamimg.hdb
-rw-r--r-- 1 clamav clamav 1646085 Jan 10 14:18 spam_marketing.ndb
-rw-r--r-- 1 clamav clamav 16271 Mar 5 2018 winnow_extended_malware.hdb
-rw-r--r-- 1 clamav clamav 18189 Mar 5 2018 winnow_malware.hdb
-rw-r--r-- 1 clamav clamav 14961 Nov 14 10:48 winnow_malware_links.ndb
-rw-r--r-- 1 clamav clamav 6577 Nov 13 17:32 winnow_phish_complete.ndb
-rw-r--r-- 1 clamav clamav 6577 Nov 13 17:34 winnow_phish_complete_url.ndb
-rw-r--r-- 1 clamav clamav 2768 Nov 14 11:11 winnow_spam_complete.ndb
VG, 5p9
Re: IPFire mit Mail-Proxyfunktion
Morgen zusammen.
Ich wollte hier erst einmal nachfragen bevor ich mich ans Postfix-Forum wende, ob die Einstellungen so richtig sind, bzw. Sinn machen in euren Augen.
Und zwar habe ich meinen Exchange (lokal im LAN) gesagt, er soll jetzt den SMTP-Proxy als "SmartHost" verwenden für den Versand von intern nach extern. Der Versand einer Mail geht dann vom Exchande - SMTP-Proxy - ISP Relay.
Dazu habe ich noch meine main.cf in der sender_restriction mein Netzwerk freigegeben, bzw. meinen Mailsserver:
Soweit funktioniert alles, er macht hier TLS für die Transportverschlüsselung und alles ist super und der Empfänger erhält die Mail mit folgendem Header:
Das "verify=NOT" an dieser Stelle ist mir bekannt, jedoch vertraut er dem Zertifikat nicht, da unbekannt:
Ist zwar nicht schlimm, aber noch nicht schön genug. Jemand eine Ahnung wie ich dies verifizieren lassen kann?
Jetzt stellt sich mir noch eine weiter Frage, ob es richtig ist an dieser Stelle meinen Exchange und dessen lokale IP im Header anzuzeigen:
Auch das "unknown" gefällt mir hier noch nicht so richtig. Wie könnte man dies besser machen und welche Informationen muss ich hier auch wirklich preis geben?
Danke soweit und noch einen schönen Tag.
VG, 5p9
Ich wollte hier erst einmal nachfragen bevor ich mich ans Postfix-Forum wende, ob die Einstellungen so richtig sind, bzw. Sinn machen in euren Augen.
Und zwar habe ich meinen Exchange (lokal im LAN) gesagt, er soll jetzt den SMTP-Proxy als "SmartHost" verwenden für den Versand von intern nach extern. Der Versand einer Mail geht dann vom Exchande - SMTP-Proxy - ISP Relay.
Code: Select all
# Outbound relay host if needed
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noplaintext noanonymous
smtp_sasl_password_maps = btree:$maps_dir/sasl_passwd
relayhost = relay.ISP.de:587
Code: Select all
smtpd_sender_restrictions =
permit_mynetworks,
check_helo_access hash:$maps_dir/helo_access,
check_sender_access btree:$maps_dir/sender_access,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
...............
...............
...............
Soweit funktioniert alles, er macht hier TLS für die Transportverschlüsselung und alles ist super und der Empfänger erhält die Mail mit folgendem Header:
Code: Select all
Return-Path: <Absender@ MEINE-DOMAIN.de>
Received: from relay.ISP.de ([194.AAA.BBB.CCC]) by mx-ha.gmx.net (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) id 1MzRXs-1hUIUS12mm-00vM7K for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:24 +0100
Received: from mailgw. MEINE-DOMAIN.de (business-24-AAA-BBB-CCC.pool2.vodafone-ip.de [24.AAA.BBB.CCC]) (authenticated bits=0) by relay.ISP.de (8.15.2/8.15.2) with ESMTPSA id x0BG0NZe063813 (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NOT) for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:23 +0100 (CET) (envelope-from Absender@ MEINE-DOMAIN.de)
Received: from localhost (localhost.localdomain [127.0.0.1]) by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id E34611CA004 for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)
Received: from mailgw. MEINE-DOMAIN.de ([127.0.0.1]) by localhost (mailgw. MEINE-DOMAIN.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP id syQlUS_ox1w6 for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)
Received: from MEIN-EXCHANGE.DOMAIN.local (unknown [192.168.AAA.BBB]) by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id 5B2CE1CA03F for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)
X-Virus-Scanned: amavisd-new at MEINE-DOMAIN.de
E-Mail Body usw ................................................
Das "verify=NOT" an dieser Stelle ist mir bekannt, jedoch vertraut er dem Zertifikat nicht, da unbekannt:
Code: Select all
relay.ISP.de (8.15.2/8.15.2) with ESMTPSA id x0BG0NZe063813 (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NOT)
Jetzt stellt sich mir noch eine weiter Frage, ob es richtig ist an dieser Stelle meinen Exchange und dessen lokale IP im Header anzuzeigen:
Code: Select all
Received: from MEIN-EXCHANGE.DOMAIN.local (unknown [192.168.AAA.BBB]) by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id 5B2CE1CA03F for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)
Danke soweit und noch einen schönen Tag.
VG, 5p9
Re: IPFire mit Mail-Proxyfunktion
Hi,
zu dem oben aufgeführten Thema, hätte ich noch ein Anliegen.
Und zwar erhalte ich stetig - egal welcher Absender, aber immer kommend von outbound.protection.outlook.com folgenden Hinweis:
Danach baut sich wohl ein unverschlüsselter Kanal auf und die Mail rutscht rein.
Ich habe nur noch nicht gefunden, welchen chiper outlook.com will den ich nicht zulasse oder liegt dies an meinem Cert?
Hierzu noch diese Info von MS: https://support.microsoft.com/de-de/hel ... office-365
Frage in die kleine Runde: Hat jemand irgendwelche Erfahrungen damit schon machen dürfen?
VG, 5p9
zu dem oben aufgeführten Thema, hätte ich noch ein Anliegen.
Und zwar erhalte ich stetig - egal welcher Absender, aber immer kommend von outbound.protection.outlook.com folgenden Hinweis:
Code: Select all
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: connect from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: SSL_accept error from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]: -1
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:ssl/statem/statem_srvr.c:2253:
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: lost connection after STARTTLS from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: disconnect from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu] ehlo=1 starttls=0/1 commands=1/2
Ich habe nur noch nicht gefunden, welchen chiper outlook.com will den ich nicht zulasse oder liegt dies an meinem Cert?
Hierzu noch diese Info von MS: https://support.microsoft.com/de-de/hel ... office-365
Es wird erwartet, dass diese Produkte TLS 1.2 bis Mitte des Jahres 2019 unterstützen werden.
Code: Select all
postconf -d | grep cipher
lmtp_tls_ciphers = medium
lmtp_tls_exclude_ciphers =
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers =
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers =
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
tls_export_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:HIGH:@STRENGTH
tls_low_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:+RC4:@STRENGTH
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_session_ticket_cipher = aes-256-cbc
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers
Code: Select all
postconf -n | grep cipher
smtp_tls_exclude_ciphers = EXPORT,aNULL, DES, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2, RC4
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = EXPORT,aNULL ,DES, LOW, MD5, SEED, IDEA, RC2, RC4
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
tls_high_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!RC4:!DES:!SSLv2:!MD5:!SSLV3:!3DES:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
tls_preempt_cipherlist = yes
VG, 5p9
Re: IPFire mit Mail-Proxyfunktion
@5p9
häng mal AES128-GCM-SHA256 an die Cipherlist vor :!aNULL:!eNULL dran. Da ist das EDCHE für Perfect Forward Security nicht aktiv. Als "compat" sozusagen. Eventell hängt das mit dem neuen OpenSSL zusammen.
Wenn man die Header anpassen möchte gibt es die smtp_header_checks.pcre. Da kann man mir Regex zu ziemlich alles verändern bzw. entfernen.
Grüße gocart.
häng mal AES128-GCM-SHA256 an die Cipherlist vor :!aNULL:!eNULL dran. Da ist das EDCHE für Perfect Forward Security nicht aktiv. Als "compat" sozusagen. Eventell hängt das mit dem neuen OpenSSL zusammen.
Wenn man die Header anpassen möchte gibt es die smtp_header_checks.pcre. Da kann man mir Regex zu ziemlich alles verändern bzw. entfernen.
Grüße gocart.
Last edited by gocart on January 18th, 2019, 10:15 am, edited 1 time in total.
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
@5p9
das ECDSA-AES128-SHA:RSA-AES128-SHA war Unsinn! Das habe ich gemint : AES128-GCM-SHA256
Von hier : https://wiki.mozilla.org/Security/Server_Side_TLS
Grüße, gocart
das ECDSA-AES128-SHA:RSA-AES128-SHA war Unsinn! Das habe ich gemint : AES128-GCM-SHA256
Von hier : https://wiki.mozilla.org/Security/Server_Side_TLS
Grüße, gocart
Mail Gateway: https://forum.ipfire.org/viewtopic.php?f=17&t=17360
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Mail Server: https://forum.ipfire.org/viewtopic.php? ... 328#p92212
Re: IPFire mit Mail-Proxyfunktion
Hallo gocart,
nachdem ich gestern meinen Ipfire samt Mail-Proxy aktualisiert habe, bekomme ich folgende Meldung im Maillog. Amavis nimmt die Mail zum Checken an und nach genau 5 Minuten kommt diese Fehlermeldung und die Mail wird weitergeleitet.
Kannst du mir einen Tipp geben, wo ich ansetzen kann?
nachdem ich gestern meinen Ipfire samt Mail-Proxy aktualisiert habe, bekomme ich folgende Meldung im Maillog. Amavis nimmt die Mail zum Checken an und nach genau 5 Minuten kommt diese Fehlermeldung und die Mail wird weitergeleitet.
Code: Select all
(08829-01) SA info: check: exceeded time limit in Mail::SpamAssassin::Plugin::Check::_eval_tests_type11_prineg90_set3, skipping further tests
Re: IPFire mit Mail-Proxyfunktion
Morgen,
was ich dazu gefunden habe ist folgendes:
Dies könnte an MySQL liegen da zu langsam, bad settings, etc.
Mach mal ein:
Welche Werte hast du da?
Was auch sein könnte, wenn ein RBL Abfrage vor SA ausgeführt wird, diese über deinen MTA nicht erreichbar ist, dass er da in einen Timeout läuft?!
Welche BL hast du denn in deiner Postfix-Umgebung oder ClamAV hinterlegt?
Wie hast du deinen Postfix aktualisiert? Ich bin da lieber vorsichtig und deinstalliere erst alles und dann spiele ich nach der "Erstinstallation" wieder alle wichtigen Files zurück. Ist zwar etwas Handarbeit, aber ich habe dann auch gleich eine Sicherung.
Entweder machst du dir eine Sicherung über die WUI (Backup + Addon Backup) und greifst in die kompremierte backupXY.ipfire rein und navigierst in die Ordner, oder du sicherst alle Daten unterhalb von "/etc/postfix" "/etc/amavisd.conf" und holst die benötigten Files dort und legst sie wieder an ihren ursprünglichen Ort ab.
was ich dazu gefunden habe ist folgendes:
Code: Select all
prineg90 = priority -90 = BAYES rules
Mach mal ein:
Code: Select all
grep priority /var/lib/spamassassin/3.004002/updates_spamassassin_org/*.cf
Was auch sein könnte, wenn ein RBL Abfrage vor SA ausgeführt wird, diese über deinen MTA nicht erreichbar ist, dass er da in einen Timeout läuft?!
Welche BL hast du denn in deiner Postfix-Umgebung oder ClamAV hinterlegt?
Wie hast du deinen Postfix aktualisiert? Ich bin da lieber vorsichtig und deinstalliere erst alles und dann spiele ich nach der "Erstinstallation" wieder alle wichtigen Files zurück. Ist zwar etwas Handarbeit, aber ich habe dann auch gleich eine Sicherung.
Entweder machst du dir eine Sicherung über die WUI (Backup + Addon Backup) und greifst in die kompremierte backupXY.ipfire rein und navigierst in die Ordner, oder du sicherst alle Daten unterhalb von "/etc/postfix" "/etc/amavisd.conf" und holst die benötigten Files dort und legst sie wieder an ihren ursprünglichen Ort ab.
Re: IPFire mit Mail-Proxyfunktion
Hallo 5p9,
vielen Dank für deine Antwort.
Die Ausgabe von grep ist folgende:
Ich kann damit leider recht wenig anfangen, da ich mich damit zu wenig auskenne.
Blacklisten habe ich folgende eingetragen:
In dem Zusammenhang: Kannst du mir noch welche außer SORBS empfehlen?
Das Update habe ich ganz normal via gocarts Installscript gemacht. Full ohne Config.
Das mit der kompletten Reinstall wäre mein nächster Ansatz gewesen, wenn hier auch niemand etwas mit dem Fehler auf die Schnelle anfangen kann. Wird denn bei der Deinstall über das Installscript auch Spamassassin komplett gelöscht, sodass ich danach eine komplett frische Install habe?
Danke für deine Hilfe bisher.
vielen Dank für deine Antwort.
Die Ausgabe von grep ist folgende:
Code: Select all
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_00 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_05 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_20 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_40 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_50 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_60 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_80 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_95 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_99 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_99 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_999 -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_CHECK 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_00_12 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_13_19 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_70_89 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_90_94 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_95_98 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_99_100 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_pyzor.cf:priority PYZOR_CHECK 30
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_razor2.cf:priority RAZOR2_CHECK 20
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_razor2.cf:priority RAZOR2_CF_RANGE_51_100 20
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_awl.cf:priority AWL 1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:# SpamAssassin tries hard not to launch DNS queries before priority -100.
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:# such rule priority is below -100.
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_WHITELIST -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_DEF_WHITELIST -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_ALL_SPAM_TO -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority SUBJECT_IN_WHITELIST -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority ALL_TRUSTED -950
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority SUBJECT_IN_BLACKLIST -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_BLACKLIST_TO -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_BLACKLIST -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_txrep.cf:priority TXREP 1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_whitelist_auth.cf:def_whitelist_auth *@*.epriority.com
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:describe MSM_PRIO_REPTO MSMail priority header + Reply-to + short subject
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:header __HDRS_LCASE ALL =~ /\n(?:Message-id|Content-type|X-MSMail-priority|from|subject|to|cc|Disposition-notification-to):/sm
/var/lib/spamassassin/3.004002/updates_spamassassin_org/local.cf:# SpamAssassin tries hard not to launch DNS queries before priority -100.
/var/lib/spamassassin/3.004002/updates_spamassassin_org/local.cf:# sure such rule priority is below -100. These examples are already:
Blacklisten habe ich folgende eingetragen:
Code: Select all
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client bl.spamcop.net,
Das Update habe ich ganz normal via gocarts Installscript gemacht. Full ohne Config.
Das mit der kompletten Reinstall wäre mein nächster Ansatz gewesen, wenn hier auch niemand etwas mit dem Fehler auf die Schnelle anfangen kann. Wird denn bei der Deinstall über das Installscript auch Spamassassin komplett gelöscht, sodass ich danach eine komplett frische Install habe?
Danke für deine Hilfe bisher.