Postfix und SRS

classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|

Postfix und SRS

Thomas Plant
Hallo Postfix Gemeinde,

habe das Tutorial von tachtler.net bzgl. SRS
(https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_srs_einsetzen)
gelesen.
Soweit alles klar. Frage ist jetzt, ich möchte das nicht für alle
Empfänger Domains freischalten, sondern in einem speziellen Fall wo
unser Gateway die Mails an xxxx.yy.protection.outlook.com weiterleitet. 
Outlook.com meckert logischerweise wg. SPF der Absenderdomain.

Kann ich das so konfigurieren das SRS nur für einzelne unserer
Empfängerdomains aktiviert wird?

Danke und Grüße,
Thomas

Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Klaus Tachtler
Hallo Thomas,

es ist möglich in der Konfigurationsdatei: /etc/sysconfig/postsrsd
auch Domains auzuschließen:

---- %< ----

# Exclude additional domains.
# You may list domains which shall not be subjected to address rewriting.
# If a domain name starts with a dot, it matches all subdomains, but not
# the domain itself. Separate multiple domains by space or comma.
#
# Tachtler
#SRS_EXCLUDE_DOMAINS=.example.com,example.org

---- >% ----


Grüße
Klaus.

> Hallo Postfix Gemeinde,
>
> habe das Tutorial von tachtler.net bzgl. SRS
> (https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7_-_srs_einsetzen)
> gelesen.
> Soweit alles klar. Frage ist jetzt, ich möchte das nicht für alle
> Empfänger Domains freischalten, sondern in einem speziellen Fall wo
> unser Gateway die Mails an xxxx.yy.protection.outlook.com weiterleitet.&nbsp;
> Outlook.com meckert logischerweise wg. SPF der Absenderdomain.
>
> Kann ich das so konfigurieren das SRS nur für einzelne unserer
> Empfängerdomains aktiviert wird?
>
> Danke und Grüße,
> Thomas



--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Thomas Plant
Am 15.05.2020 um 11:19 schrieb Klaus Tachtler:

> Hallo Thomas,
>
> es ist möglich in der Konfigurationsdatei: /etc/sysconfig/postsrsd
> auch Domains auzuschließen:
>
> ---- %< ----
>
> # Exclude additional domains.
> # You may list domains which shall not be subjected to address rewriting.
> # If a domain name starts with a dot, it matches all subdomains, but not
> # the domain itself. Separate multiple domains by space or comma.
> #
> # Tachtler
> #SRS_EXCLUDE_DOMAINS=.example.com,example.org
>
> ---- >% ----
Ja danke, das hab ich gesehen. Aber bei ca. 5.000 Domains, eher
unhandlich das da einzutragen ;-)
Ideal wäre das in Kombination mit einer MySQL Abfrage. relay_domains und
transport_maps kommen auch aus MySQL, dann könnte man bei den Domains
ein Flag für SRS setzen, aber das werden wir dann eher sein lassen mit
SRS. Problem hat z.Z. nur ein Kunde mit gmx.de, die haben wohl ihren spf
von '~all' auf '-all' geändert, bis vor Kurzem ging alles.

Schönes WE,
Thomas
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Klaus Tachtler
Hallo Thomas,

> Ja danke, das hab ich gesehen. Aber bei ca. 5.000 Domains, eher
> unhandlich das da einzutragen ;-)

warum nicht aus MySQL per Abfrage eine durch Komma getrennte Liste mit
Domains erstellen und diese in die Konfigurationsdatei
/etc/sysconfig/postsrsd mit einfließen lassen?

Oder Ihr sprecht mal mit dem Programmierer --> https://github.com/roehling

> Ideal wäre das in Kombination mit einer MySQL Abfrage. relay_domains und
> transport_maps kommen auch aus MySQL, dann könnte man bei den Domains
> ein Flag für SRS setzen, aber das werden wir dann eher sein lassen mit
> SRS. Problem hat z.Z. nur ein Kunde mit gmx.de, die haben wohl ihren spf
> von '~all' auf '-all' geändert, bis vor Kurzem ging alles.
>
> Schönes WE,
> Thomas


Auch ein schönes Wochenende,
Klaus.


--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Andreas Pothe-2
Hallo,

wer auch immer dieser "Thomas" ist. Deine Nachrichten werden hier
abgelehnt, da Deine DKIM-Signatur nicht in Ordnung ist ("fail") und
deine DMARC-Policy sagt, dass man in diesem Fall die Nachricht ablehnen
soll.


May 15 13:15:19 mail postfix/smtpd[5232]: connect from
listi.jpberlin.de[91.198.250.5]
May 15 13:15:19 mail postfix/smtpd[5232]: Anonymous TLS connection
established from listi.jpberlin.de[91.198.250.5]: TLSv1.2 with cipher
ECDHE-ECDSA-AES256-GCM-SHA384 (256/256 bits)
May 15 13:15:20 mail postfix/smtpd[5232]: 09EE31F478:
client=listi.jpberlin.de[91.198.250.5]
May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478:
message-id=<[hidden email]>
May 15 13:15:20 mail opendkim[2766]: 09EE31F478: listi.jpberlin.de
[91.198.250.5] not internal
May 15 13:15:20 mail opendkim[2766]: 09EE31F478: not authenticated
May 15 13:15:20 mail opendkim[2766]: 09EE31F478: s=2018-10
d=plant.systems SSL error:04091068:rsa routines:int_rsa_verify:bad signature
May 15 13:15:20 mail opendkim[2766]: 09EE31F478: bad signature data
May 15 13:15:20 mail opendmarc[2753]: 09EE31F478 ignoring
Authentication-Results at 29 from ORIGINATING
May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: SPF(mailfrom):
[hidden email] pass
May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: plant.systems fail
May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478: milter-reject:
END-OF-MESSAGE from listi.jpberlin.de[91.198.250.5]: 5.7.1 rejected by
DMARC policy for plant.systems;
from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<listi.jpberlin.de>
May 15 13:15:20 mail postfix/smtpd[5232]: disconnect from
listi.jpberlin.de[91.198.250.5] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1
quit=1 commands=6/7

CU
Andreas

Am 15.05.2020 um 13:19 schrieb Klaus Tachtler:
> Hallo Thomas,
>
>> Ja danke, das hab ich gesehen. Aber bei ca. 5.000 Domains, eher
>> unhandlich das da einzutragen ;-)
>
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Thomas Plant
Am 15.05.2020 um 13:26 schrieb Andreas Pothe:

> Hallo,
>
> wer auch immer dieser "Thomas" ist. Deine Nachrichten werden hier
> abgelehnt, da Deine DKIM-Signatur nicht in Ordnung ist ("fail") und
> deine DMARC-Policy sagt, dass man in diesem Fall die Nachricht ablehnen
> soll.
>
>
> May 15 13:15:19 mail postfix/smtpd[5232]: connect from
> listi.jpberlin.de[91.198.250.5]
> May 15 13:15:19 mail postfix/smtpd[5232]: Anonymous TLS connection
> established from listi.jpberlin.de[91.198.250.5]: TLSv1.2 with cipher
> ECDHE-ECDSA-AES256-GCM-SHA384 (256/256 bits)
> May 15 13:15:20 mail postfix/smtpd[5232]: 09EE31F478:
> client=listi.jpberlin.de[91.198.250.5]
> May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478:
> message-id=<[hidden email]>
> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: listi.jpberlin.de
> [91.198.250.5] not internal
> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: not authenticated
> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: s=2018-10
> d=plant.systems SSL error:04091068:rsa routines:int_rsa_verify:bad signature
> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: bad signature data
> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478 ignoring
> Authentication-Results at 29 from ORIGINATING
> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: SPF(mailfrom):
> [hidden email] pass
> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: plant.systems fail
> May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478: milter-reject:
> END-OF-MESSAGE from listi.jpberlin.de[91.198.250.5]: 5.7.1 rejected by
> DMARC policy for plant.systems;
> from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP helo=<listi.jpberlin.de>
> May 15 13:15:20 mail postfix/smtpd[5232]: disconnect from
> listi.jpberlin.de[91.198.250.5] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1
> quit=1 commands=6/7
>
> CU
> Andreas
>
Hmmm, Google, MXToolBox, https://appmaildev.com/en/dkim und mail-tester.com haben keine Probleme mit meinem
DKIM Setup.

https://www.mail-tester.com/test-tl86y9wxg

Header aus Gmail:
Authentication-Results: mx.google.com;
dkim=pass header.i=@plant.systems header.s=2018-10 header.b=wsXS3LPd;
arc=pass (i=1); spf=pass (google.com: domain of [hidden email]
designates 2a02:c207:2027:430::1 as permitted sender)
smtp.mailfrom=[hidden email]; dmarc=pass (p=REJECT sp=REJECT
dis=NONE) header.from=plant.systems


appmaildev-report.txt (562 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Klaus Tachtler
Hallo Thomas,

schau mal, da stimmt etwas nicht:

Feedback-Type: auth-failure
Version: 1
User-Agent: OpenDMARC-Filter/1.3.2
Auth-Failure: dmarc
Authentication-Results: mx1.tachtler.net; dmarc=fail header.from=plant.systems
Original-Envelope-Id: BA4041800089
Original-Mail-From: [hidden email]
Source-IP: 91.198.250.5 (listi.jpberlin.de)
Reported-Domain: plant.systems


Grüße
Klaus.


> Am 15.05.2020 um 13:26 schrieb Andreas Pothe:
>> Hallo,
>>
>> wer auch immer dieser "Thomas" ist. Deine Nachrichten werden hier
>> abgelehnt, da Deine DKIM-Signatur nicht in Ordnung ist ("fail") und
>> deine DMARC-Policy sagt, dass man in diesem Fall die Nachricht ablehnen
>> soll.
>>
>>
>> May 15 13:15:19 mail postfix/smtpd[5232]: connect from
>> listi.jpberlin.de[91.198.250.5]
>> May 15 13:15:19 mail postfix/smtpd[5232]: Anonymous TLS connection
>> established from listi.jpberlin.de[91.198.250.5]: TLSv1.2 with cipher
>> ECDHE-ECDSA-AES256-GCM-SHA384 (256/256 bits)
>> May 15 13:15:20 mail postfix/smtpd[5232]: 09EE31F478:
>> client=listi.jpberlin.de[91.198.250.5]
>> May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478:
>> message-id=<[hidden email]>
>> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: listi.jpberlin.de
>> [91.198.250.5] not internal
>> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: not authenticated
>> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: s=2018-10
>> d=plant.systems SSL error:04091068:rsa routines:int_rsa_verify:bad signature
>> May 15 13:15:20 mail opendkim[2766]: 09EE31F478: bad signature data
>> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478 ignoring
>> Authentication-Results at 29 from ORIGINATING
>> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: SPF(mailfrom):
>> [hidden email] pass
>> May 15 13:15:20 mail opendmarc[2753]: 09EE31F478: plant.systems fail
>> May 15 13:15:20 mail postfix/cleanup[5238]: 09EE31F478: milter-reject:
>> END-OF-MESSAGE from listi.jpberlin.de[91.198.250.5]: 5.7.1 rejected by
>> DMARC policy for plant.systems;
>> from=<[hidden email]>
>> to=<[hidden email]> proto=ESMTP helo=<listi.jpberlin.de>
>> May 15 13:15:20 mail postfix/smtpd[5232]: disconnect from
>> listi.jpberlin.de[91.198.250.5] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1
>> quit=1 commands=6/7
>>
>> CU
>> Andreas
>>
>
> Hmmm, Google, MXToolBox, https://appmaildev.com/en/dkim und
> mail-tester.com haben keine Probleme mit meinem
> DKIM Setup.
>
> https://www.mail-tester.com/test-tl86y9wxg
>
> Header aus Gmail:
> Authentication-Results: mx.google.com;
> dkim=pass header.i=@plant.systems header.s=2018-10 header.b=wsXS3LPd;
> arc=pass (i=1); spf=pass (google.com: domain of [hidden email]
> designates 2a02:c207:2027:430::1 as permitted sender)
> smtp.mailfrom=[hidden email]; dmarc=pass (p=REJECT sp=REJECT
> dis=NONE) header.from=plant.systems

----- Ende der Nachricht von Thomas Plant <[hidden email]> -----



--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Andreas Pothe-2
In reply to this post by Thomas Plant

Am 15.05.2020 um 14:38 schrieb Thomas Plant:

>
> Hmmm, Google, MXToolBox, https://appmaildev.com/en/dkim und mail-tester.com haben keine Probleme mit meinem
> DKIM Setup.
>
> https://www.mail-tester.com/test-tl86y9wxg
>
> Header aus Gmail:
> Authentication-Results: mx.google.com;
> dkim=pass header.i=@plant.systems header.s=2018-10 header.b=wsXS3LPd;
> arc=pass (i=1); spf=pass (google.com: domain of [hidden email]
> designates 2a02:c207:2027:430::1 as permitted sender)
> smtp.mailfrom=[hidden email]; dmarc=pass (p=REJECT sp=REJECT
> dis=NONE) header.from=plant.systems

Du signierst Header, die die Mailingliste überschreibt. Dadurch wird die
Signatur ungültig, wenn eine Mailingliste diese weiterleitet. Reply-To:
ist immer so ein Kandidat, aber Du signierst über einige Header, die ich
jetzt auch nicht geprüft habe, ob das so sinnvoll ist.

CU
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Thomas Plant
Am 15.05.2020 um 17:08 schrieb Andreas Pothe:
>
> Du signierst Header, die die Mailingliste überschreibt. Dadurch wird die
> Signatur ungültig, wenn eine Mailingliste diese weiterleitet. Reply-To:
> ist immer so ein Kandidat, aber Du signierst über einige Header, die ich
> jetzt auch nicht geprüft habe, ob das so sinnvoll ist.
>
> CU
> Andreas
>
Ok, danke für die Info. Werde ich mir nochmal die "Rspamd Dkim signing
Config" überprüfen.

Gruß,
Thomas
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Daniel-6
Ist auch nicht neu das Thema, hatten wir letzten Wochen/Monate schon mehrmals, und habe auch ganze als Info an Liste geschrieben.

Evt. sollte Pierre mal ne Info an Benutzer schreiben dass der Reply-to überschrieben wird und daher nicht zur Signatur genutzt werden sollte.

Gruß Daniel

> Am 15.05.2020 um 17:19 schrieb Thomas Plant <[hidden email]>:
>
> Am 15.05.2020 um 17:08 schrieb Andreas Pothe:
>>
>> Du signierst Header, die die Mailingliste überschreibt. Dadurch wird die
>> Signatur ungültig, wenn eine Mailingliste diese weiterleitet. Reply-To:
>> ist immer so ein Kandidat, aber Du signierst über einige Header, die ich
>> jetzt auch nicht geprüft habe, ob das so sinnvoll ist.
>>
>> CU
>> Andreas
>>
> Ok, danke für die Info. Werde ich mir nochmal die "Rspamd Dkim signing
> Config" überprüfen.
>
> Gruß,
> Thomas

smime.p7s (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix und SRS

Thomas Plant
'reply-to' ist raus aus dem Rspamd/DKIM signing. Mal sehen ob es jetzt
besser ist.....

On 15.05.20 18:03, Daniel wrote:

> Ist auch nicht neu das Thema, hatten wir letzten Wochen/Monate schon mehrmals, und habe auch ganze als Info an Liste geschrieben.
>
> Evt. sollte Pierre mal ne Info an Benutzer schreiben dass der Reply-to überschrieben wird und daher nicht zur Signatur genutzt werden sollte.
>
> Gruß Daniel
>
>> Am 15.05.2020 um 17:19 schrieb Thomas Plant <[hidden email]>:
>>
>> Am 15.05.2020 um 17:08 schrieb Andreas Pothe:
>>> Du signierst Header, die die Mailingliste überschreibt. Dadurch wird die
>>> Signatur ungültig, wenn eine Mailingliste diese weiterleitet. Reply-To:
>>> ist immer so ein Kandidat, aber Du signierst über einige Header, die ich
>>> jetzt auch nicht geprüft habe, ob das so sinnvoll ist.
>>>
>>> CU
>>> Andreas
>>>
>> Ok, danke für die Info. Werde ich mir nochmal die "Rspamd Dkim signing
>> Config" überprüfen.
>>
>> Gruß,
>> Thomas