IPFire mit Mail-Proxyfunktion

Anregungen & Feature Requests
User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » December 30th, 2018, 10:35 pm

@5p9

die Mail hängt noch in deinem Postfix und muss da raus gelöscht werden. Kann auch sein, dass es mehrere sind. Zur Not postsuper -d ALL. Das "185.207.8.14 550 service not available IPACL" verhindert nur das neuer Müll von der Quelle dazu kommt.

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 3rd, 2019, 7:13 am

Morgen,

also irgendwie will er nicht so recht die IP fern halten, denn ich habe gestern und heute wieder einige in den Queues gefunden:

Code: Select all

postqueue -p
Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
52FDB1CA036     6730 Thu Jan  3 07:00:46  MAILER-DAEMON
           (connect to digitalskinz.info[185.207.8.14]:25: Connection refused)
                                         sigismundmxymktr@digitalskinz.info

79A951CA049     6454 Thu Jan  3 07:51:32  MAILER-DAEMON
             (connect to dekhomovie.com[185.207.8.14]:25: Connection refused)
                                         timoxwmdkgq@dekhomovie.com


obwohl ich in der smtp_access diese hinterlegt hatte:

Code: Select all

# Foo Mailaddress
185.207.8.14 550 service not available IPACL
Und eigentlich sollte diese ja auch greifen, oder nicht?

Code: Select all

# Transport Restictions
smtpd_client_restrictions =
    permit_mynetworks,
    sleep 1,
    reject_unauth_pipelining,
    check_client_access btree:$maps_dir/smtpd_access,
    reject_unknown_client_hostname,
    check_client_access btree:$maps_dir/sld_access,
    check_client_access btree:$maps_dir/tld_access,
    #check_client_access btree:$maps_dir/tld_new_access,
    regexp:$conf_dir/ptr.cf,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client dnsbl.inps.de,
    reject_multi_recipient_bounce,
    permit

Das eigentliche Problem scheint wohl die IP zu sein, denn die SPAMs kommen wohl nicht direkt von der von mir geblockten IP:

Code: Select all

Blocked SPAM {RejectedInbound,Quarantined}, [185.234.183.12]

Code: Select all

Jan  3 07:00:45 ipfw postfix/cleanup[24106]: 9F0C01CA004: message-id=<jdlyhkaa.vloordjlafuoatlahojhik@cefg.digitalskinz.info>
Jan  3 07:00:45 ipfw postfix/qmgr[19489]: 9F0C01CA004: from=<sigismundmxymktr@digitalskinz.info>, size=3873, nrcpt=1 (queue active)
Jan  3 07:00:45 ipfw amavis[17591]: (17591-04) LMTP :10024 /var/amavis/tmp/amavis-20190103T052838-17591-67JqXmVj: <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de> SIZE=3873 BODY=8BITMIME Received: from MEIN.MAIL-GATEWAY.de ([127.0.0.1]) by localhost (MEIN.MAIL-GATEWAY.de  [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <MITARBEITER@MEINE.DOMAIN.de>; Thu,  3 Jan 2019 07:00:45 +0100 (CET)
Jan  3 07:00:45 ipfw amavis[17591]: (17591-04) Checking: opnq_l241gsy [185.234.183.12] <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de>
Jan  3 07:00:46 ipfw amavis[17591]: (17591-04) Blocked SPAM {RejectedInbound,Quarantined}, [185.234.183.12]:48102 [185.234.183.12] <sigismundmxymktr@digitalskinz.info> -> <MITARBEITER@MEINE.DOMAIN.de>, quarantine: spam-opnq_l241gsy.gz, Queue-ID: 9F0C01CA004, Message-ID: <jdlyhkaa.vloordjlafuoatlahojhik@cefg.digitalskinz.info>, mail_id: opnq_l241gsy, Hits: 10.766, size: 3872, 644 ms

Jan  3 07:00:46 ipfw postfix/smtp[24111]: connect to digitalskinz.info[185.207.8.14]:25: Connection refused
Jan  3 07:00:46 ipfw postfix/smtp[24111]: 52FDB1CA036: to=<sigismundmxymktr@digitalskinz.info>, relay=none, delay=0.04, delays=0.01/0/0.04/0, dsn=4.4.1, status=deferred (connect to digitalskinz.info[185.207.8.14]:25: Connection refused)
Echt seltsam. Hast du noch eine Idee wie ich Ihn hier unterbinden kann?

VG. 5p9

PS: Allen natürlich noch ein schönes neues Jahr! Und auf das alles besser wird ;)
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » January 3rd, 2019, 11:30 am

@5p9

Mutmßungen sind schwierig wenn man das genaue Log nicht kennt. Ich vemute mit dir, dass die IP nicht die Quelle ist, denn diese ist geblockt. Du müsstet suchen wann und von wo genau das gekommen ist... Das "Connect fom..." könnte weiter helfen. Die Schwierigkeit ist, das richtige zu finden.

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 3rd, 2019, 3:22 pm

Moin,
Das "Connect fom..." könnte weiter helfen. Die Schwierigkeit ist, das richtige zu finden.
die Infos habe ich und zwar kommt er von hier:

Code: Select all

postfix/smtpd[20614]: connect from large.deloitteab.com[193.39.187.78] 
Dann gehts weiter:

Code: Select all

postfix/smtpd[20614]: 51C1F1CA03A: client=large.deloitteab.com[193.39.187.78] 
weiter mit:

Code: Select all

postfix/cleanup[20356]: 51C1F1CA03A: message-id=<tdtjtduin.xoubszsrfqwtxjzufcprttroxrzu@cftq.dianayjavier.com>
Jan  3 11:32:26 ipfw postfix/qmgr[19729]: 51C1F1CA03A: from=<leocdggtxjursler@dianayjavier.com>, size=3432, nrcpt=1 (queue active)                                                                                                                    
Jan  3 11:32:26 ipfw amavis[18932]: (18932-03) LMTP :10024 /var/amavis/tmp/amavis-20190103T112646-18932-B4tIUR5v: <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de> SIZE=3432 BODY=8BITMIME Received: from MEIN.MAIL-GATEWAY.de ([127.0.0.
1]) by localhost (MEIN.MAIL-GATEWAY.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <MITARBEITER@MEINE.DOMAIN.de>; Thu, 3 Jan 2019 11:32:26 +0100 (CET)                                                                                                   
Jan  3 11:32:26 ipfw amavis[18932]: (18932-03) Checking: bfLAXYH5SniF [193.39.187.78] <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de>                                                                                                
Jan  3 11:32:26 ipfw postfix/smtpd[20614]: disconnect from large.deloitteab.com[193.39.187.78] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5                                                                                                              
Jan  3 11:32:27 ipfw amavis[18932]: (18932-03) local delivery: <> -> spam-quarantine, mbx=/var/virusmails/spam-bfLAXYH5SniF.gz                                                                                                                            
Jan  3 11:32:27 ipfw amavis[18932]: (18932-03) Blocked SPAM {RejectedInbound,Quarantined}, [193.39.187.78]:33195 [193.39.187.78] <leocdggtxjursler@dianayjavier.com> -> <MITARBEITER@MEINE.DOMAIN.de>, quarantine: spam-bfLAXYH5SniF.gz, Queue-ID: 51C1F1C
A03A, Message-ID: <tdtjtduin.xoubszsrfqwtxjzufcprttroxrzu@cftq.dianayjavier.com>, mail_id: bfLAXYH5SniF, Hits: 6.912, size: 3431, 666 ms                                                                                                                        
Jan  3 11:32:27 ipfw postfix/lmtp[20357]: 51C1F1CA03A: to=<MITARBEITER@MEINE.DOMAIN.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.5, delays=1.8/0/0/0.67, dsn=5.7.0, status=bounced (host 127.0.0.1[127.0.0.1] said: 554 5.7.0 Reject, id=18932-03 - spam
 (in reply to end of DATA command)) 
Und jetzt kommt der Teil wo ich antworten will:

Code: Select all

Jan  3 11:32:27 ipfw postfix/cleanup[20356]: 1F6361CA049: message-id=<20190103103227.1F6361CA049@MEIN.MAIL-GATEWAY.de>
Jan  3 11:32:27 ipfw postfix/bounce[20617]: 51C1F1CA03A: sender non-delivery notification: 1F6361CA049                    
Jan  3 11:32:27 ipfw postfix/qmgr[19729]: 1F6361CA049: from=<>, size=6286, nrcpt=1 (queue active)                         
Jan  3 11:32:27 ipfw postfix/qmgr[19729]: 51C1F1CA03A: removed                                                            
Jan  3 11:32:27 ipfw postfix/smtp[20360]: connect to dianayjavier.com[185.207.8.14]:25: Connection refused                
Jan  3 11:32:27 ipfw postfix/smtp[20360]: 1F6361CA049: to=<leocdggtxjursler@dianayjavier.com>, relay=none, delay=0.04, delays=0.01/0/0.04/0, dsn=4.4.1, status=deferred (connect to dianayjavier.com[185.207.8.14]:25: Connection refused) 

Also kommen tut er irgendwie aktuell bei dieser Mail von Ihm hier - ich kämpfe gerade mit halb Ungarn so wie es aussieht und möchte/ kann und darf nicht dieses ganze Land aussperren - im Moment blocke ich die ersten drei Oktetten, damit es nicht ganz so hart eingestellt ist:

Code: Select all

[193.39.187.78] <leocdggtxjursler@dianayjavier.com>
Und löst es dann aber über dies IP zurück auf:

Code: Select all

connect to dianayjavier.com[185.207.8.14]:25: Connection refused
Kann es sein, das das an dem Spamassassin liegt, z.B. aus dieser Ecke:
https://wiki.apache.org/spamassassin/VBounceRuleset

Amavisd macht dazu laut meinem Setting nichts an dieser Stelle:

Code: Select all

# Notify spam sender?
$warnspamsender = 0; 
# Notify sender of banned files?  can do it...  
$warnbannedsender = 0; 
Mail Gateway: mail proxy

Image

Image

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 3rd, 2019, 10:44 pm

So wie ich es bisher verstanden und recherchiert habe ist backscatter ein allgemeines Problem.

Aber ich denke, wenn ich den Schalter für: Blocked SPAM {RejectedInbound,Quarantined} und dessen Bounce finden könnte für SPAMs , dann wäre es schon weitaus ruhiger. ;)

Aber Bounces an sich will und sollte man, solange legetim nicht blockieren. Hilft alleine schon der Sicherstellung des Senders das er es mitbekommt das seine Mail nicht durchgekommen ist. Aber wenn der Filter wegen einer SPAM angeht, da habe ich weniger Angst. Dies ist so selten bis nie der Fall, kann aber muss ja nicht und diese liegen ja eh im virusordner ab für eine Weile.

Vielleicht hat noch jemand Ideen dazu. Wünsche noch einen ruhigen Abend zusammen.

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » January 4th, 2019, 8:11 am

Moin..
Aber ich denke, wenn ich den Schalter für: Blocked SPAM {RejectedInbound,Quarantined} und dessen Bounce finden könnte für SPAMs , dann wäre es schon weitaus ruhiger
Den jibt es so nicht... Die harte Variante wäe $final_spam_destiny auf D_DISCARD umzustellen. Hat aber auch negative Nebenwirkungen was false Positives betrifft.

Aber wie hier beschrieben https://wiki.apache.org/spamassassin/VBounceRuleset mal in der /etc/mail/spamassassin/v320.pre schauen ob die # vor Mail::SpamAssassin::Plugin::VBounce weg ist und whitelist_bounce_relays in der /etc/mail/spamassassin/local.cf anlegen. Amavis neu starten und schaun ob es was gebracht hat.

Ansonsten konnte man auch das dianayjavier bzw. deloitteab in die spamphrases-block.pcre einpflegen um die Quelle zu blocken. Dann käme das gar nicht bis zu SA.

Grüße, gocart

User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » January 4th, 2019, 8:40 am

@5p9 Alternativ bzw. das Pferd anders aufgezogen... bzw. da war noch was.

http://www.postfix.org/SMTPD_PROXY_README.html Amavis/SA als Postfix before-queue content filter. Der Effekt: Postfix wartet mit dem REJECT bis Amavis/SA die Mail geprüft haben und reicht den SA REJECT durch... Ohne Bounce... Diese Konstellation hat aber auch wieder Nebenwirkungen...

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 10th, 2019, 9:39 pm

Moin,

hier mal am Rande noch zwei Infos.

Ich habe gerade eine recht gute Liste gefunde, auf der ich einige Ähnlichkeiten zu meinen Aktivitäten am Mail Gateway gesehenen Spammer und Spammails wieder erkenne. Oder ein wenig.
http://toastedspam.com/deny

Jedenfalls werde ich mir diese Liste mal für die Ipfrire MailGateway zusammenbasteln, mal sehen wie die Welt danach aussieht. Werde berichten.

Ein weiterer Fakt ist das der Anbieter dieser Listen, kostet auch nichts, nur eine Anmeldung hierfür benötigt wird http://www.securiteinfo.com aber sehr gute Spam Blacklisten für ClamAV bereit stellt! Ich teste diese auch schon seit rund 4 Wochen und bin wirklich postiv überrascht. Aber dazu muss man sich registrieren da jeder seinen eigene ID erhält für den Download, aber coole Listen, wie z.B.:

Code: Select all

securiteinfo.hdb|LOW # Malwares in the Wild
javascript.ndb|LOW # Malwares Javascript
securiteinfohtml.hdb|LOW # Malwares HTML
securiteinfoascii.hdb|LOW # Text file malwares (Perl or shell scripts, bat files, exploits, ...)
securiteinfopdf.hdb|LOW # Malwares PDF
securiteinfoandroid.hdb|LOW # Malwares Java/Android Dalvik
# HIGH
spam_marketing.ndb|HIGH # Spam Marketing / spammer blacklist
Interessant ist auch das ich in der amavisd config (siehe sanesecurity BLs) diese Listen nicht gepflegt habe, jedoch diese entsprechend geblockt werden, da Sie keine Score Angaben von mir erhalten haben. Aber funktioniert super! ;)

Ausschnitt meiner amavisd.conf:

Code: Select all

@virus_name_to_spam_score_maps = (new_RE(
  [ qr'^Phishing\.'                                             => 6.1 ],
  [ qr'^Structured\.(SSN|CreditCardNumber)\b'                   => 6.1 ],
  [ qr'^(?:Email|HTML|Sanesecurity)\.(?:Phishing|SpearL?)\.'i   => 6.1 ],
  [ qr'^(?:Email|HTML|Sanesecurity)\.(?:Spam|Scam)[a-z0-9]?\.'i => 4.6 ],
  [ qr'^Sanesecurity\.(Malware|Rogue|Trojan)\.'                 => undef ],
  [ qr'^winnow\.(?:botnets?|phish|complex|mailer)\.'x           => 6.1 ],
  [ qr'^winnow\.spam(?:domain)?\.'x                             => 2.6 ],
  [ qr'^winnow\.(?:malware|trojan|compromised)\.'x              => undef ],
  [ qr'^winnow\.'x                                              => 2.6 ]
));
Aktuell habe ich nun folgende ClamAV Listen aktiv:

Code: Select all

-rw-r--r--  1 clamav clamav     87584 Jan  3 09:32 badmacro.ndb
-rw-r--r--  1 clamav clamav    588622 Jan  9 21:10 blurl.ndb
-rw-r--r--  1 clamav clamav      2132 Jan  9 21:03 bofhland_cracked_URL.ndb
-rw-r--r--  1 clamav clamav    106188 Jan  9 21:03 bofhland_malware_attach.hdb
-rw-r--r--  1 clamav clamav       592 Jan  9 21:03 bofhland_malware_URL.ndb
-rw-r--r--  1 clamav clamav      6604 Jan  9 21:03 bofhland_phishing_URL.ndb
-rw-r--r--  1 clamav clamav   1013248 Jan  2 17:52 bytecode.cld
-rw-r--r--  1 clamav clamav 160960512 Jan 10 20:57 daily.cld
-rw-r--r--  1 clamav clamav     51613 Mar 26  2018 foxhole_generic.cdb
-rw-r--r--  1 clamav clamav  17038183 Dec  9 11:12 javascript.ndb
-rw-r--r--  1 clamav clamav   7236645 Jan  3 09:12 junk.ndb
-rw-r--r--  1 clamav clamav 117892267 Dec 12 21:56 main.cvd
-rw-r--r--  1 clamav clamav    124101 Jan  9 21:05 malware.expert.ndb
-rw-------  1 clamav clamav       260 Jan 10 20:57 mirrors.dat
-rw-r--r--  1 clamav clamav   4073206 Jan  3 10:08 phish.ndb
-rw-r--r--  1 clamav clamav   2323527 Jan  9 21:00 phishtank.ndb
-rw-r--r--  1 clamav clamav    567740 Jan  9 21:00 porcupine.ndb
-rw-r--r--  1 clamav clamav    223327 Jan  9 20:11 rogue.hdb
-rw-r--r--  1 clamav clamav   8253809 Jan 10 09:56 securiteinfoascii.hdb
-rw-r--r--  1 clamav clamav   4663770 Jan 10 08:41 securiteinfohtml.hdb
-rw-r--r--  1 clamav clamav     18343 Dec 18 20:10 spamimg.hdb
-rw-r--r--  1 clamav clamav   1646085 Jan 10 14:18 spam_marketing.ndb
-rw-r--r--  1 clamav clamav     16271 Mar  5  2018 winnow_extended_malware.hdb
-rw-r--r--  1 clamav clamav     18189 Mar  5  2018 winnow_malware.hdb
-rw-r--r--  1 clamav clamav     14961 Nov 14 10:48 winnow_malware_links.ndb
-rw-r--r--  1 clamav clamav      6577 Nov 13 17:32 winnow_phish_complete.ndb
-rw-r--r--  1 clamav clamav      6577 Nov 13 17:34 winnow_phish_complete_url.ndb
-rw-r--r--  1 clamav clamav      2768 Nov 14 11:11 winnow_spam_complete.ndb
Evtl will jemand diese dann auch verwenden, hier kann ich sagen bisher keinen false/postiv erlebt zu haben - bzw. keinen der relevant war.

VG, 5p9
Mail Gateway: mail proxy

Image

Image

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 16th, 2019, 1:25 pm

Morgen zusammen.

Ich wollte hier erst einmal nachfragen bevor ich mich ans Postfix-Forum wende, ob die Einstellungen so richtig sind, bzw. Sinn machen in euren Augen.
Und zwar habe ich meinen Exchange (lokal im LAN) gesagt, er soll jetzt den SMTP-Proxy als "SmartHost" verwenden für den Versand von intern nach extern. Der Versand einer Mail geht dann vom Exchande - SMTP-Proxy - ISP Relay.

Code: Select all


# Outbound relay host if needed
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noplaintext noanonymous
smtp_sasl_password_maps = btree:$maps_dir/sasl_passwd
relayhost = relay.ISP.de:587

Dazu habe ich noch meine main.cf in der sender_restriction mein Netzwerk freigegeben, bzw. meinen Mailsserver:

Code: Select all

smtpd_sender_restrictions =
    permit_mynetworks,
    check_helo_access hash:$maps_dir/helo_access,
    check_sender_access btree:$maps_dir/sender_access,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
   ...............
   ...............
   ...............

Soweit funktioniert alles, er macht hier TLS für die Transportverschlüsselung und alles ist super und der Empfänger erhält die Mail mit folgendem Header:

Code: Select all

Return-Path: <Absender@ MEINE-DOMAIN.de>

Received: from relay.ISP.de ([194.AAA.BBB.CCC]) by mx-ha.gmx.net (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) id 1MzRXs-1hUIUS12mm-00vM7K for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:24 +0100

Received: from mailgw. MEINE-DOMAIN.de (business-24-AAA-BBB-CCC.pool2.vodafone-ip.de [24.AAA.BBB.CCC])	(authenticated bits=0)	by relay.ISP.de (8.15.2/8.15.2) with ESMTPSA id x0BG0NZe063813	(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NOT)	for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:23 +0100 (CET)	(envelope-from Absender@ MEINE-DOMAIN.de)

Received: from localhost (localhost.localdomain [127.0.0.1])	by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id E34611CA004	for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)

Received: from mailgw. MEINE-DOMAIN.de ([127.0.0.1])	by localhost (mailgw. MEINE-DOMAIN.de [127.0.0.1]) (amavisd-new, port 10024)	with LMTP id syQlUS_ox1w6 for <Empfänger@gmx.net>;	Fri, 11 Jan 2019 17:00:26 +0100 (CET)

Received: from MEIN-EXCHANGE.DOMAIN.local (unknown [192.168.AAA.BBB])	by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id 5B2CE1CA03F	for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)

X-Virus-Scanned: amavisd-new at MEINE-DOMAIN.de

E-Mail Body usw ................................................

Das "verify=NOT" an dieser Stelle ist mir bekannt, jedoch vertraut er dem Zertifikat nicht, da unbekannt:

Code: Select all

relay.ISP.de (8.15.2/8.15.2) with ESMTPSA id x0BG0NZe063813	(version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NOT)	
Ist zwar nicht schlimm, aber noch nicht schön genug. Jemand eine Ahnung wie ich dies verifizieren lassen kann?

Jetzt stellt sich mir noch eine weiter Frage, ob es richtig ist an dieser Stelle meinen Exchange und dessen lokale IP im Header anzuzeigen:

Code: Select all

Received: from MEIN-EXCHANGE.DOMAIN.local (unknown [192.168.AAA.BBB])	by mailgw. MEINE-DOMAIN.de (Postfix) with ESMTP id 5B2CE1CA03F	for <Empfänger@gmx.net>; Fri, 11 Jan 2019 17:00:26 +0100 (CET)
Auch das "unknown" gefällt mir hier noch nicht so richtig. Wie könnte man dies besser machen und welche Informationen muss ich hier auch wirklich preis geben?

Danke soweit und noch einen schönen Tag.

VG, 5p9
Mail Gateway: mail proxy

Image

Image

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 16th, 2019, 3:31 pm

Hi,

zu dem oben aufgeführten Thema, hätte ich noch ein Anliegen.
Und zwar erhalte ich stetig - egal welcher Absender, aber immer kommend von outbound.protection.outlook.com folgenden Hinweis:

Code: Select all

Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: connect from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: SSL_accept error from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]: -1
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:ssl/statem/statem_srvr.c:2253:
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: lost connection after STARTTLS from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu]
Jan 16 15:50:24 ipfw-postfix/smtpd[26927]: disconnect from mail-ABC.outbound.protection.outlook.com[40.xxx.yyy.uuu] ehlo=1 starttls=0/1 commands=1/2
Danach baut sich wohl ein unverschlüsselter Kanal auf und die Mail rutscht rein.

Ich habe nur noch nicht gefunden, welchen chiper outlook.com will den ich nicht zulasse oder liegt dies an meinem Cert?
Hierzu noch diese Info von MS: https://support.microsoft.com/de-de/hel ... office-365
Es wird erwartet, dass diese Produkte TLS 1.2 bis Mitte des Jahres 2019 unterstützen werden.

Code: Select all

postconf -d | grep cipher
lmtp_tls_ciphers = medium
lmtp_tls_exclude_ciphers =
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers =
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers =
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
tls_export_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:HIGH:@STRENGTH
tls_low_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:+RC4:@STRENGTH
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_session_ticket_cipher = aes-256-cbc
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers

Code: Select all

postconf -n | grep cipher
smtp_tls_exclude_ciphers = EXPORT,aNULL, DES, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2, RC4
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = EXPORT,aNULL ,DES, LOW, MD5, SEED, IDEA, RC2, RC4
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
tls_high_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!RC4:!DES:!SSLv2:!MD5:!SSLV3:!3DES:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
tls_preempt_cipherlist = yes
Frage in die kleine Runde: Hat jemand irgendwelche Erfahrungen damit schon machen dürfen?

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » January 17th, 2019, 7:20 am

@5p9

häng mal AES128-GCM-SHA256 an die Cipherlist vor :!aNULL:!eNULL dran. Da ist das EDCHE für Perfect Forward Security nicht aktiv. Als "compat" sozusagen. Eventell hängt das mit dem neuen OpenSSL zusammen.

Wenn man die Header anpassen möchte gibt es die smtp_header_checks.pcre. Da kann man mir Regex zu ziemlich alles verändern bzw. entfernen.

Grüße gocart.
Last edited by gocart on January 18th, 2019, 10:15 am, edited 1 time in total.

User avatar
gocart
Posts: 557
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » January 18th, 2019, 10:15 am

@5p9

das ECDSA-AES128-SHA:RSA-AES128-SHA war Unsinn! Das habe ich gemint : AES128-GCM-SHA256

Von hier : https://wiki.mozilla.org/Security/Server_Side_TLS

Grüße, gocart

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: IPFire mit Mail-Proxyfunktion

Post by Steven » January 22nd, 2019, 10:34 am

Hallo gocart,

nachdem ich gestern meinen Ipfire samt Mail-Proxy aktualisiert habe, bekomme ich folgende Meldung im Maillog. Amavis nimmt die Mail zum Checken an und nach genau 5 Minuten kommt diese Fehlermeldung und die Mail wird weitergeleitet.

Code: Select all

(08829-01) SA info: check: exceeded time limit in Mail::SpamAssassin::Plugin::Check::_eval_tests_type11_prineg90_set3, skipping further tests
Kannst du mir einen Tipp geben, wo ich ansetzen kann?

5p9
Mentor
Mentor
Posts: 1860
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » January 23rd, 2019, 10:51 am

Morgen,

was ich dazu gefunden habe ist folgendes:

Code: Select all

prineg90 = priority -90 = BAYES rules
Dies könnte an MySQL liegen da zu langsam, bad settings, etc.

Mach mal ein:

Code: Select all

grep priority /var/lib/spamassassin/3.004002/updates_spamassassin_org/*.cf
Welche Werte hast du da?

Was auch sein könnte, wenn ein RBL Abfrage vor SA ausgeführt wird, diese über deinen MTA nicht erreichbar ist, dass er da in einen Timeout läuft?!
Welche BL hast du denn in deiner Postfix-Umgebung oder ClamAV hinterlegt?

Wie hast du deinen Postfix aktualisiert? Ich bin da lieber vorsichtig und deinstalliere erst alles und dann spiele ich nach der "Erstinstallation" wieder alle wichtigen Files zurück. Ist zwar etwas Handarbeit, aber ich habe dann auch gleich eine Sicherung.

Entweder machst du dir eine Sicherung über die WUI (Backup + Addon Backup) und greifst in die kompremierte backupXY.ipfire rein und navigierst in die Ordner, oder du sicherst alle Daten unterhalb von "/etc/postfix" "/etc/amavisd.conf" und holst die benötigten Files dort und legst sie wieder an ihren ursprünglichen Ort ab.
Mail Gateway: mail proxy

Image

Image

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: IPFire mit Mail-Proxyfunktion

Post by Steven » January 23rd, 2019, 2:20 pm

Hallo 5p9,

vielen Dank für deine Antwort.

Die Ausgabe von grep ist folgende:

Code: Select all

/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_00   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_05   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_20   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_40   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_50   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_60   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_80   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_95   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_99   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_99   -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/23_bayes.cf:priority BAYES_999  -90
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_CHECK    10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_00_12  10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_13_19  10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_70_89  10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_90_94  10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_95_98  10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_dcc.cf:priority DCC_REPUT_99_100 10
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_pyzor.cf:priority PYZOR_CHECK        30
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_razor2.cf:priority RAZOR2_CHECK      20
/var/lib/spamassassin/3.004002/updates_spamassassin_org/25_razor2.cf:priority RAZOR2_CF_RANGE_51_100 20
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_awl.cf:priority AWL                    1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:# SpamAssassin tries hard not to launch DNS queries before priority -100. 
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:# such rule priority is below -100.
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_WHITELIST     -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_DEF_WHITELIST -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_ALL_SPAM_TO   -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority SUBJECT_IN_WHITELIST  -1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority ALL_TRUSTED            -950
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority SUBJECT_IN_BLACKLIST   -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_BLACKLIST_TO   -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_shortcircuit.cf:priority USER_IN_BLACKLIST      -900
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_txrep.cf:priority       TXREP   1000
/var/lib/spamassassin/3.004002/updates_spamassassin_org/60_whitelist_auth.cf:def_whitelist_auth *@*.epriority.com
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:describe   MSM_PRIO_REPTO              MSMail priority header + Reply-to + short subject
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:header         __HDRS_LCASE          ALL =~ /\n(?:Message-id|Content-type|X-MSMail-priority|from|subject|to|cc|Disposition-notification-to):/sm
/var/lib/spamassassin/3.004002/updates_spamassassin_org/local.cf:#   SpamAssassin tries hard not to launch DNS queries before priority -100. 
/var/lib/spamassassin/3.004002/updates_spamassassin_org/local.cf:#   sure such rule priority is below -100. These examples are already:
Ich kann damit leider recht wenig anfangen, da ich mich damit zu wenig auskenne.

Blacklisten habe ich folgende eingetragen:

Code: Select all

reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client bl.spamcop.net,
In dem Zusammenhang: Kannst du mir noch welche außer SORBS empfehlen?

Das Update habe ich ganz normal via gocarts Installscript gemacht. Full ohne Config.

Das mit der kompletten Reinstall wäre mein nächster Ansatz gewesen, wenn hier auch niemand etwas mit dem Fehler auf die Schnelle anfangen kann. Wird denn bei der Deinstall über das Installscript auch Spamassassin komplett gelöscht, sodass ich danach eine komplett frische Install habe?

Danke für deine Hilfe bisher.

Post Reply