Ich brauche Hilfe: subdomain striping

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

Ich brauche Hilfe: subdomain striping

Bjoern Meier
Hi,

kurze Randerklärung. Ich möchte intern Email-Verschlüsselung zentral.
verwalten. Wir haben nun ciphermail und ich bin zufrieden. Zumnindest
was externe Kommunikation betrifft.

Intern habe ich das Problem, dass eben nicht relayed wird. logischerweise.

Mein Plan war, eine encryption.maindomain.de einzurichten, dann über
Postfix die Subdomain zu stripen und dann kann die Mail den gewohnten
weg wieder gehen als wäre sie von extern gekommen.

Doch egal, welche Einstellung ich in Postfix versuche er macht mir
kein Recipient-Adress-Rewrite.

Könnt Ihr helfen?

Mit freundlichem Gruss
Bjoern Meier
Reply | Threaded
Open this post in threaded view
|

Re: Ich brauche Hilfe: subdomain striping

Werner Flamme
Bjoern Meier [16.01.2018 13:31]:

> Hi,
>
> kurze Randerklärung. Ich möchte intern Email-Verschlüsselung zentral.
> verwalten. Wir haben nun ciphermail und ich bin zufrieden. Zumnindest
> was externe Kommunikation betrifft.
>
> Intern habe ich das Problem, dass eben nicht relayed wird. logischerweise.
>
> Mein Plan war, eine encryption.maindomain.de einzurichten, dann über
> Postfix die Subdomain zu stripen und dann kann die Mail den gewohnten
> weg wieder gehen als wäre sie von extern gekommen.
>
> Doch egal, welche Einstellung ich in Postfix versuche er macht mir
> kein Recipient-Adress-Rewrite.
>
> Könnt Ihr helfen?
>
> Mit freundlichem Gruss
> Bjoern Meier
>
Ich kenne jetzt Deine Konfiguration nicht, aber das könnte mit dem
Parameter parent_domain_matches_subdomains zusammenhängen.

Ich habe mir einen internes Mailrelay gebaut, das Mails aus einem
Subnetz annimmt und an den zentralen Mailhost weiterleitet. Die Mails
gehen alle an eine Subdomain der zentralen Maildomain. Dazu musste ich

parent_domain_matches_subdomains = debug_peer_list, fast_flush_domains,
mynetworks, qmqpd_authorized_clients, smtpd_access_maps

setzen, sonst wurden entweder alle Mails als lokal angesehen (und von
mir als unzustellbar zurückgewiesen) oder alle Mails wurden an den
zentralen Host weitergeleitet - und von dem als unzustellbar abgelehnt,
wenn der Empfänger in der Subdomain lag.

HDH, Werner

--
Werner Flamme, Abt. WKDV
SAP Certified Technology Associate for NetWeaver/Oracle

Helmholtz-Zentrum für Umweltforschung GmbH - UFZ
Permoserstr. 15 - 04318 Leipzig / Germany
Tel.: +49 341 235-1921 - Fax +49 341 235-451921
Information nach §§ 37a HGB, 35a GmbHG:
Sitz der Gesellschaft: Leipzig
Registergericht: Amtsgericht Leipzig, Handelsregister Nr. B 4703
Vorsitzender des Aufsichtsrats: MinDirig Wilfried Kraus
Wissenschaftlicher Geschäftsführer: Prof. Dr. Dr. h.c. Georg Teutsch
Administrative Geschäftsführerin: Prof. Dr. Heike Graßmann


signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Ich brauche Hilfe: subdomain striping

Bjoern Meier
Hi Werner,

danke dir. Davon lese ich in der Tat zum ersten Mal. Es klingt
plausibel genug, dass ich das mal testen werde.
Mit freundlichem Gruss
Bjoern Meier




Am 17. Januar 2018 um 07:48 schrieb Werner Flamme <[hidden email]>:

> Bjoern Meier [16.01.2018 13:31]:
>> Hi,
>>
>> kurze Randerklärung. Ich möchte intern Email-Verschlüsselung zentral.
>> verwalten. Wir haben nun ciphermail und ich bin zufrieden. Zumnindest
>> was externe Kommunikation betrifft.
>>
>> Intern habe ich das Problem, dass eben nicht relayed wird. logischerweise.
>>
>> Mein Plan war, eine encryption.maindomain.de einzurichten, dann über
>> Postfix die Subdomain zu stripen und dann kann die Mail den gewohnten
>> weg wieder gehen als wäre sie von extern gekommen.
>>
>> Doch egal, welche Einstellung ich in Postfix versuche er macht mir
>> kein Recipient-Adress-Rewrite.
>>
>> Könnt Ihr helfen?
>>
>> Mit freundlichem Gruss
>> Bjoern Meier
>>
>
> Ich kenne jetzt Deine Konfiguration nicht, aber das könnte mit dem
> Parameter parent_domain_matches_subdomains zusammenhängen.
>
> Ich habe mir einen internes Mailrelay gebaut, das Mails aus einem
> Subnetz annimmt und an den zentralen Mailhost weiterleitet. Die Mails
> gehen alle an eine Subdomain der zentralen Maildomain. Dazu musste ich
>
> parent_domain_matches_subdomains = debug_peer_list, fast_flush_domains,
> mynetworks, qmqpd_authorized_clients, smtpd_access_maps
>
> setzen, sonst wurden entweder alle Mails als lokal angesehen (und von
> mir als unzustellbar zurückgewiesen) oder alle Mails wurden an den
> zentralen Host weitergeleitet - und von dem als unzustellbar abgelehnt,
> wenn der Empfänger in der Subdomain lag.
>
> HDH, Werner
>
> --
> Werner Flamme, Abt. WKDV
> SAP Certified Technology Associate for NetWeaver/Oracle
>
> Helmholtz-Zentrum für Umweltforschung GmbH - UFZ
> Permoserstr. 15 - 04318 Leipzig / Germany
> Tel.: +49 341 235-1921 - Fax +49 341 235-451921
> Information nach §§ 37a HGB, 35a GmbHG:
> Sitz der Gesellschaft: Leipzig
> Registergericht: Amtsgericht Leipzig, Handelsregister Nr. B 4703
> Vorsitzender des Aufsichtsrats: MinDirig Wilfried Kraus
> Wissenschaftlicher Geschäftsführer: Prof. Dr. Dr. h.c. Georg Teutsch
> Administrative Geschäftsführerin: Prof. Dr. Heike Graßmann
>
Reply | Threaded
Open this post in threaded view
|

Amavis Ablehnung von Mails massive bounces

Sebastian Schieke
In reply to this post by Werner Flamme
Hallo in die Runde,

in unserer Umgebung (Postfix, Postgrey, Amavis, Spamassassin) kommt es wiederholt zu Problemen bei der Zustellung von Mails aus Mailinglisten. Die Abonnenten werden wiederholt aus den Listen "ausgetragen". Als Begründung werden massive bounces unseres Mailservers genannt.

Laut unserem Logfile bestehen die Mails die Postfix restrictions und kommen auch durchs greylisting. Aber Amavis macht ihnen dann den Garaus:

Jan 16 11:11:24 mail2 amavis[9445]: (09445-16) Blocked SPAM {RejectedInbound}, [212.247.25.116]:57270 [212.247.25.31] <[hidden email]> -> <[hidden email]>, Message-ID: <[hidden email]>, mail_id: ftxPyPjRG8J4, Hits: 7.939, size: 4310, 1864 ms

Um die Prüfung durch Amavis für die Listendomains zu unterbinden, habe ich in der /etc/amavis/conf.d/50-user eine Whitelist eingefügt:

=============8<----------------

# global whitelist for sender domains or email addresses
read_hash(%whitelist_sender, "/etc/amavis/whitelist_sender");
@whitelist_sender_maps = (\%whitelist_sender);

=============8<----------------

Das File /etc/amavis/whitelist_sender listet dann die Domains in der Form

=============8<----------------

uni-leipzig.de
jiscmail.ac.uk

=============8<----------------

Dennoch kommt es zu Rejects. Habe ich da noch etwas übersehen?

Viele Grüße

Sebastian
Reply | Threaded
Open this post in threaded view
|

Re: Amavis Ablehnung von Mails massive bounces

Ralf Hildebrandt
* Sebastian Schieke <[hidden email]>:

> Jan 16 11:11:24 mail2 amavis[9445]: (09445-16) Blocked SPAM
> {RejectedInbound}, [212.247.25.116]:57270 [212.247.25.31]
> <[hidden email]> -> <[hidden email]>,
> Message-ID:
> <[hidden email]>,
> mail_id: ftxPyPjRG8J4, Hits: 7.939, size: 4310, 1864 ms

Interessant wäre natürlich in amavis das Logging hochzudrehen um
feststellen zu können WARUM das Spam ist.

Denn das ist ja das Problem, welches auch bei NICHT Listenmails
genauso zuschlagen kann!

gf. über eine Spam Quarantäne:
$spam_quarantine_to = '[hidden email]';

und dann in den Header nachsehen, warum das getriggert hat.

> Um die Prüfung durch Amavis für die Listendomains zu unterbinden, habe ich in der /etc/amavis/conf.d/50-user eine Whitelist eingefügt:
>
> =============8<----------------
>
> # global whitelist for sender domains or email addresses
> read_hash(%whitelist_sender, "/etc/amavis/whitelist_sender");
> @whitelist_sender_maps = (\%whitelist_sender);
>
> =============8<----------------
>
> Das File /etc/amavis/whitelist_sender listet dann die Domains in der Form
>
> =============8<----------------
>
> uni-leipzig.de
> jiscmail.ac.uk
>
> =============8<----------------
>
> Dennoch kommt es zu Rejects. Habe ich da noch etwas übersehen?

Von dem was ich gelesen habe sollte das eigentlich klappen.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Amavis Ablehnung von Mails massive bounces

Stefan Förster-4
In reply to this post by Sebastian Schieke
Hallo Sebastian,

* Sebastian Schieke <[hidden email]>:
>Laut unserem Logfile bestehen die Mails die Postfix restrictions und
>kommen auch durchs greylisting. Aber Amavis macht ihnen dann den
>Garaus:

Du kannst solche Dinge prinzipiell verhindern, indem Du einfach für
Mails von Mailinglisten eine deutlich laxere Policy lädst:

#v+
# additional policy bank for incoming mailing lists
$policy_bank{'PREQ-LOWPRECEDENCE'} = {
  final_spam_destiny => D_DISCARD,
  final_virus_destiny => D_DISCARD,
};
#v-

Aktivieren dann z.B. via Perl:

#v+
# /etc/amavis/conf.d/60-low-precedence.conf
package Amavis::Custom;
use strict;

BEGIN {
        import Amavis::Conf qw(:platform :confvars c cr ca $myhostname);
        import Amavis::Util qw(do_log untaint safe_encode safe_decode);
        import Amavis::rfc2821_2822_Tools;
        import Amavis::Notify qw(build_mime_entity);
}

sub new {
        my($class,$conn,$msginfo) = @_;
        my($self) = bless {}, $class;


        my $low_precedence = 0;

        foreach my $line (@{$msginfo->{'orig_header'}}) {
                $line =~ s/\n    / /g;
                $low_precedence = 1 if $line =~ m/^Precedence:\s+(bulk|list|junk)/i;
        }

        if ($low_precedence) {
                do_log(2, sprintf("Load low precedence policybank"));
                Amavis::load_policy_bank('PREQ-LOWPRECEDENCE')
        }
        return $self;
}

1;  # insure a defined return
#v-

Natürlich sind auch andere Header denkbar, z.B. "List-Id".

Ich hatte das vor Ewigkeiten mal gebloggt:
https://www.incertum.net/post/2009/amavis-mailinglist/


Ciao,
Stefan
Reply | Threaded
Open this post in threaded view
|

Re: Ich brauche Hilfe: subdomain striping

Bjoern Meier
In reply to this post by Bjoern Meier
Hey,

> Am 17. Januar 2018 um 07:48 schrieb Werner Flamme <[hidden email]>:
>> Ich kenne jetzt Deine Konfiguration nicht, aber das könnte mit dem
>> Parameter parent_domain_matches_subdomains zusammenhängen.
>>
>> Ich habe mir einen internes Mailrelay gebaut, das Mails aus einem
>> Subnetz annimmt und an den zentralen Mailhost weiterleitet. Die Mails
>> gehen alle an eine Subdomain der zentralen Maildomain. Dazu musste ich
>>
>> parent_domain_matches_subdomains = debug_peer_list, fast_flush_domains,
>> mynetworks, qmqpd_authorized_clients, smtpd_access_maps


ja das hat leider allein nicht funktioniert. Stimmt es das Recipient
Adresse Rwrite nur für lokale Benutzer geht? Wenn ich nämlich die
Domain als lokale Domäne einstelle und virtual user maps nutze, alles
kein Problem.
Optimal wäre es wenn ich intern relayen könnte und auch
masquerade_domain nutzen könnte. Das funktioniert leider nicht.
Mit freundlichem Gruss
Bjoern Meier