[postfix-users] postfix-users Nachrichtensammlung, Band 26, Eintrag 7

Frank Lohoff f.lohoff at nielsen-design.de
Mo Jun 7 13:16:07 CEST 2010


Am Sa 05.06.2010 12:00 schrieb postfix-users-request at de.postfix.org:

>Um E-Mails an die Liste postfix-users zu schicken, nutzen Sie bitte
>die Adresse
>
>postfix-users at de.postfix.org
>
>Um sich via Web von der Liste zu entfernen oder draufzusetzen:
>
>http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
>oder, via E-Mail, schicken Sie eine E-Mail mit dem Wort 'help' in
>Subject/Betreff oder im Text an
>
>postfix-users-request at de.postfix.org
>
>Sie koennen den Listenverwalter dieser Liste unter der Adresse
>
>postfix-users-owner at de.postfix.org
>
>erreichen
>
>Wenn Sie antworten, bitte editieren Sie die Subject/Betreff auf einen
>sinnvollen Inhalt der spezifischer ist als "Re: Contents of
>postfix-users digest..."
>
>
>Meldungen des Tages:
>
>1. Re: postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>(Frank Lohoff)
>2. Re: postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>(Ralf Hildebrandt)
>3. Re: postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>(Ralf Hildebrandt)
>4. Re: postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>(Matthias Haegele)
>
>
>----------------------------------------------------------------------
>
>Message: 1
>Date: Fri, 4 Jun 2010 12:56:34 +0200 (CEST)
>From: Frank Lohoff <f.lohoff at nielsen-design.de>
>To: postfix-users at de.postfix.org
>Subject: Re: [postfix-users] postfix-users Nachrichtensammlung, Band
>26, Eintrag 2
>Message-ID:
><8370903.5831275648994491.OPEN-XCHANGE.WebMail.tomcat at openex>
>Content-Type: text/plain; charset=ISO-8859-15
>
> 
>>Message: 2
>>Date: Wed, 2 Jun 2010 15:59:10 +0200 (CEST)
>>From: Frank Lohoff <f.lohoff at nielsen-design.de>
>>To: postfix-users at de.postfix.org
>>Subject: [postfix-users] E-Mails interner User werden fäschlicherweise
>>als Virus von clamav gefiltert
>>Message-ID:
>><32011538.5601275487150458.OPEN-XCHANGE.WebMail.tomcat at openex>
>>Content-Type: text/plain; charset=ISO-8859-15
>>
>>Hallo zusammen,
>>
>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>>ist.
>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>>
>>Bisher klappte das auch ganz gut aber jetzt werden immer öfter E-Mails
>>von internen Users als Virus erkannt und zurück behalten. Das ist
>>Problematisch, da nur der Empfänger eine Benachrichtigung bekommt und
>>nicht der Sender. Dieser geht davon aus, das seine E-Mail ordenlich
>>und
>>ohne Probleme versendet wurde.
>>
>>In einem Fall z.B. ist es eine reine Textemail ohne Anhang die
>>zurückgehalten wurde. Scanne ich mit clamscan die orginal Datei
>>bekomme
>>ich folgende Meldung:
>>64070.: INetMsg.SpamDomain-2w.versanet_de.UNOFFICIAL FOUND
>>
>>Ein zweiter Virenscanner erkennt den Virus nicht und sagt alles Ok.
>>
>>Wie kann ich dieses Fehlverhalten abstellen? Gibt es eine whitelist
>>für
>>den clamav?
>>
>>
>>Mit freundlichem Gruß
>>
>>Frank Lohoff
>>IT-Administrator
>>
>>Fon: 0049 (0) 52 42 - 41 05 244
>>Fax: 0049 (0) 52 42 - 94 61 244
>>E-Mail: f.lohoff at nielsen-design.de
>>
>>
>>----------------------------------------
>>Nielsen Design GmbH & Co. KG
>>Röntgenstraße 10-12
>>33378 Rheda-Wiedenbrück
>>Amtsgericht Gütersloh, HRA 5463
>>
>>persönlich haftender Gesellschafter:
>>Nielsen Design VerwaltungsGmbH
>>Röntgenstraße 10-12
>>33378 Rheda-Wiedenbrück
>>Amtsgericht Gütersloh, HRB 6443
>>Geschäftsführer: Albrecht Nitschke
>>
>>
>>
>>------------------------------
>>
>>Message: 3
>>Date: Wed, 2 Jun 2010 16:05:35 +0200
>>From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
>>To: postfix-users at de.postfix.org
>>Subject: Re: [postfix-users] E-Mails interner User werden
>>fäschlicherweise als Virus von clamav gefiltert
>>Message-ID: <20100602140535.GP24353 at charite.de>
>>Content-Type: text/plain; charset=utf-8
>>
>>* Frank Lohoff <f.lohoff at nielsen-design.de>:
>>>Hallo zusammen,
>>>
>>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>>>ist.
>>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>>
>>Jetzt die Gretchenfrage: WELCHE?
>>
>>Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.
>>
>>--
>>Ralf Hildebrandt
>>Geschäftsbereich IT | Abteilung Netzwerk
>>Charité - Universitätsmedizin Berlin
>>Campus Benjamin Franklin
>>Hindenburgdamm 30 | D-12203 Berlin
>>Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>>ralf.hildebrandt at charite.de | http://www.charite.de
>>
>>
>>
>>------------------------------
>>
>>Message: 4
>>Date: Wed, 02 Jun 2010 17:44:48 +0200
>>From: Robert Schetterer <robert at schetterer.org>
>>To: postfix-users at de.postfix.org
>>Subject: Re: [postfix-users] E-Mails interner User werden
>>fäschlicherweise als Virus von clamav gefiltert
>>Message-ID: <4C067C70.4030405 at schetterer.org>
>>Content-Type: text/plain; charset=ISO-8859-1
>>
>>Am 02.06.2010 16:05, schrieb Ralf Hildebrandt:
>>>* Frank Lohoff <f.lohoff at nielsen-design.de>:
>>>>Hallo zusammen,
>>>>
>>>>wir scannen unsere E-Mails mit clamav welches in amavis eingebunden
>>>>ist.
>>>>Der Clamav wurde den clamav-unofficial-sigs Signaturen aufgewertet.
>>>
>>>Jetzt die Gretchenfrage: WELCHE?
>>>
>>>Wenn du alle clamav-unofficial-sigs nimmst, dann machts heftig BUMM.
>>>
>
>Ich nutze die folgenden Datenbanken:
>
>MSRBL-Images.hdb
>MSRBL-SPAM.ndb
>honeynet.hdb
>mbl.db
>mbl.ndb
>sanesecurity-INetMsg-SpamDomains-2m.ndb
>sanesecurity-INetMsg-SpamDomains-2w.ndb
>sanesecurity-doppelstern.hdb
>sanesecurity-doppelstern.ndb
>sanesecurity-junk.ndb
>sanesecurity-jurlbl.ndb
>sanesecurity-jurlbla.ndb
>sanesecurity-lott.ndb
>sanesecurity-phish.ndb
>sanesecurity-rogue.hdb
>sanesecurity-scam.ndb
>sanesecurity-scamnailer.ndb
>sanesecurity-spam.ldb
>sanesecurity-spamattach.hdb
>sanesecurity-spamimg.hdb
>sanesecurity-spear.ndb
>sanesecurity-spearl.ndb
>sanesecurity-winnow.attachments.hdb
>sanesecurity-winnow.complex.patterns.ldb
>sanesecurity-winnow_extended_malware.hdb
>sanesecurity-winnow_extended_malware_links.ndb
>sanesecurity-winnow_malware.hdb
>sanesecurity-winnow_malware_links.ndb
>sanesecurity-winnow_phish_complete.ndb
>sanesecurity-winnow_phish_complete_url.ndb
>sanesecurity-winnow_spam_complete.ndb
>securiteinfo.hdb
>vx.hdb
>
>und habe glaube ich das Problem gefunden:
>
># Additional Sanesecruity distributed database that can be used and
># their associated potential fales-positive ratings:
>#
># USE 'ONLY' ONE OF THE FOLLOWING TWO SIGNATURE DATABASES:
>#
># INetMsg-SpamDomains-2w.ndb    : HIGH false-positive rating
># INetMsg-SpamDomains-2m.ndb    : HIGH false-positive rating
>
>genau die INetMsg-SpamDomains-2w.ndb macht ordentlich Probleme.
>
>Werde sie aus meiner Liste entfernen. Weiter habe ich eine false
>postive
>Support E-Mail Adresse gefunden:
>false_positive at sanesecurity.me.uk
>
>Dahin habe ich meine Fälle eingeschickt.
>
>Vielen Dank für eure Hilfe und ein schönes Wochenende!
>
>Gruß,
>Frank Lohoff
>
>>mit clamav-milter koenntest du die mail in der hold schlange liegen
>>lassen und auch whitelists benutzen ( geht auch mit amavis aber
>>anderes
>>Konzept), evtl verzichtest du auch auf outbound scanning etc, da gibts
>>diverse moeglichkeiten
>>ich verzichte mittlerweile auf amavis und mach das mit clamav-milter
>>und
>>spamass-milter, aber auch das hat nicht nur Vorteile
>>aber wie schon erwaehnt wenn du keine zusaetzlichen clamav antispam
>>signaturen benutzt sollt es eigentlich so gut wie nie zu false
>>positives
>>kommen
>>
>>
>>--
>>Best Regards
>>
>>MfG Robert Schetterer
>>
>>Germany/Munich/Bavaria
>>
>>
>>------------------------------
>>
>>Message: 5
>>Date: Wed, 2 Jun 2010 21:10:58 +0200
>>From: KP Kirchdoerfer <kapeka at bering-uclibc.de>
>>To: postfix-users at de.postfix.org
>>Subject: [postfix-users] amavis local_domain_maps und sql
>>Message-ID: <201006022110.58996.kapeka at bering-uclibc.de>
>>Content-Type: text/plain; charset="iso-8859-1"
>>
>>Hallo;
>>
>>ich komm nicht so recht weiter mit dem Eintrag für @local_domain_maps
>>in der
>>amavis Konfiguration.
>>
>>Es funktioniert, wenn ich die Domains in der Art eintrage:
>>@local_domains_maps = ( [ ".$mydomain", ".domain-1.de", "domain-n.de"
>>]
>>);
>>
>>Ich kann aus amavis auf eine mysql-DB zugreifen um bspw. Spam in mysql
>>zu
>>speichern mit den Einträgen
>>
>>@lookup_sql_dsn=
>>(
>>['DBI:mysql:database=amavis;host=127.0.0.1;port=3306',
>>'amavis','passwort'],
>>);
>>@storage_sql_dsn = @lookup_sql_dsn;
>>
>>Ich habe hier
>

>>>>>>http://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg13906.html
>>gelesen, daß das gehen könnte, die in der DB eingetragenen Benutzer in
>>user.local für @local_domain_maps verwenden, nur verstanden hab ich es
>>nicht :)
>>
>>Wie müßte dann der Eintrag für @local_domain_maps lauten, damit die DB
>>verwendet wird?
>>
>>TIA
>>
>>kp
>>
>>
>>------------------------------
>>
>>Message: 6
>>Date: Thu, 3 Jun 2010 10:45:16 +0200
>>From: "Andreas" <andreas at kado-web.de>
>>To: <postfix-users at de.postfix.org>
>>Subject: [postfix-users] Mailqueue wird mails nicht los
>>Message-ID: <DF0710604399472A8211709BCED72BE0 at ldap3792b335e9>
>>Content-Type: text/plain; charset="iso-8859-1"
>>
>>Hi list,
>>
>>
>>
>>seit kurzem ist mir aufgefallen dass unser postfix-mail-server 1, der
>>als
>>haupt-mail-server fungiert und die mails nach innen und aussen
>>weiterleitet,
>>die queue mit allerhand mails voll hat. Darunter sind auch mails an
>>verteiler.
>>
>>Teilweise gibt es timeouts bei der kommunikation mit dem mailserver 2,
>>welcher die postfächer enthält. (postfix, dovecot mit 2000
>>postfächern)
>>
>>Postqueue –p auf mail server 1 enthält viele Nachrichten einer
>>Aussendung
>>an mehr als 1000 user in der Queue.
>>
>>Es gibt folgende Meldung:
>>
>>(conversation with mailserver 2 [ip] timed out while sending RCPT TO)
>>
>>Diese Mails an die Verteiler stecken seit einigen Tagen in der queue
>>fest.
>>
>>Was blockiert die Aussendung dieser Verteiler-Mail ?
>>
>>Vor allem gibt es keine Meldung, dass die Mails verzögert werden oder
>>nicht
>>angekommen sind.
>>
>>
>>
>>Die log-Dateien geben nichts verdächtiges aus.
>>
>>Wie gesagt, mails gehen rein und raus, nur bei den mails an die
>>verteiler
>>hakt es ordentlich.
>>
>>
>>
>>Config –n (mailserver 1)
>>
>>
>>
>>
>>
>>Mailserver 1:/ # postconf -n
>>
>>alias_database = hash:/etc/aliases
>>
>>alias_maps = hash:/etc/aliases
>>
>>allow_percent_hack = yes
>>
>>append_at_myorigin = yes
>>
>>command_directory = /usr/sbin
>>
>>config_directory = /etc/postfix
>>
>>content_filter =
>>
>>daemon_directory = /usr/lib/postfix
>>
>>debug_peer_level = 20
>>
>>default_destination_recipient_limit = 9000
>>
>>default_extra_recipient_limit = 9000
>>
>>defer_transports =
>>
>>disable_dns_lookups = no
>>
>>empty_address_recipient = MAILER-DAEMON
>>
>>inet_interfaces = IP
>>
>>local_recipient_maps = unix:passwd.byname $alias_maps
>>
>>mail_owner = postfix
>>
>>mail_spool_directory = /var/mail
>>
>>mailbox_command =
>>
>>mailbox_size_limit = 0
>>
>>mailbox_transport =
>>
>>mailq_path = /usr/bin/mailq
>>
>>manpage_directory = /usr/share/man
>>
>>maps_rbl_domains = pbl.spamhaus.org sbl-xbl.spamhaus.org
>>relays.ordb.org
>>combined.njabl.org
>>
>>masquerade_classes = envelope_sender, header_sender, header_recipient
>>
>>masquerade_domains = domain.de
>>
>>masquerade_exceptions = root
>>
>>mydestination = $myhostname, localhost.$mydomain, localhost,
>>$mydomain,
>>domain-2.de
>>
>>mydomain = domain.de
>>
>>myhostname = server.domain.de
>>
>>mynetworks = IP
>>
>>myorigin = $mydomain
>>
>>newaliases_path = /usr/bin/newaliases
>>
>>queue_directory = /var/spool/postfix
>>
>>readme_directory = /usr/share/doc/postfix/README_Debian
>>
>>relay_domains = $mydestination
>>
>>relayhost =
>>
>>sendmail_path = /usr/sbin/sendmail
>>
>>setgid_group = postdrop
>>
>>smtp_sasl_auth_enable = no
>>
>>smtp_use_tls = no
>>
>>smtpd_client_restrictions = reject_rbl_client sbl-xbl.spamhaus.org
>>reject_rbl_client cbl.abuseat.org
>>
>>smtpd_helo_required = yes
>>
>>smtpd_helo_restrictions =
>>
>>smtpd_recipient_limit = 9000
>>
>>smtpd_recipient_restrictions =
>>permit_mynetworks,reject_unauth_destination
>>
>>smtpd_sasl_auth_enable = no
>>
>>smtpd_use_tls = no
>>
>>strict_rfc821_envelopes = no
>>
>>swap_bangpath = yes
>>
>>unknown_local_recipient_reject_code = 450
>>
>>virtual_alias_domains = virtual-domain.de
>>
>>virtual_alias_maps = hash:/etc/postfix/virtual
>>
>>
>>
>>
>>
>>
>>
>>postconf –n (mailserver 2)
>>
>>
>>
>>mailserver 2:~# postconf -n
>>
>>alias_maps = hash:/etc/aliases
>>
>>command_directory = /usr/sbin
>>
>>config_directory = /etc/postfix
>>
>>daemon_directory = /usr/lib/postfix
>>
>>default_destination_recipient_limit = 9000
>>
>>default_extra_recipient_limit = 9000
>>
>>home_mailbox = Maildir/
>>
>>html_directory = /usr/share/doc/postfix/html
>>
>>inet_interfaces = IP
>>
>>mail_owner = postfix
>>
>>mailq_path = /usr/bin/mailq
>>
>>manpage_directory = /usr/share/man
>>
>>message_size_limit = 30960000
>>
>>mydestination = $myhostname, localhost.$mydomain, localhost
>>
>>mydomain = mailserver 2.domain.de
>>
>>myhostname = mailserver 2.domain.de
>>
>>mynetworks = IPs
>>
>>myorigin = $mydomain
>>
>>newaliases_path = /usr/bin/newaliases
>>
>>queue_directory = /var/spool/postfix
>>
>>readme_directory = /usr/share/doc/postfix
>>
>>relay_domains = $mydestination
>>
>>sample_directory = /usr/share/postfix
>>
>>sendmail_path = /usr/sbin/sendmail
>>
>>setgid_group = postdrop
>>
>>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>>
>>smtpd_recipient_limit = 9000
>>
>>unknown_local_recipient_reject_code = 550
>>
>>
>>
>>
>>
>>-------------- nächster Teil --------------
>>Ein Dateianhang mit HTML-Daten wurde abgetrennt...
>>URL:

>>>><http://de.postfix.org/pipermail/postfix-users/attachments/20100603/786b84f2/attachment.html>
>>
>>------------------------------
>>
>>_______________________________________________
>>postfix-users mailing list
>>postfix-users at de.postfix.org
>>http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>
>>
>>Ende postfix-users Nachrichtensammlung, Band 26, Eintrag 2
>>**********************************************************
>
>
>
>------------------------------
>
>Message: 2
>Date: Fri, 4 Jun 2010 13:35:00 +0200
>From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
>To: postfix-users at de.postfix.org
>Subject: Re: [postfix-users] postfix-users Nachrichtensammlung, Band
>26, Eintrag 2
>Message-ID: <20100604113500.GO28646 at charite.de>
>Content-Type: text/plain; charset=utf-8
>
>* Frank Lohoff <f.lohoff at nielsen-design.de>:
>
>># USE 'ONLY' ONE OF THE FOLLOWING TWO SIGNATURE DATABASES:
>>#
>># INetMsg-SpamDomains-2w.ndb    : HIGH false-positive rating
>># INetMsg-SpamDomains-2m.ndb    : HIGH false-positive rating
>>
>>genau die INetMsg-SpamDomains-2w.ndb macht ordentlich Probleme.
>
>Ging mir genauso.
>
>>Werde sie aus meiner Liste entfernen. Weiter habe ich eine false
>>postive
>>Support E-Mail Adresse gefunden:
>>false_positive at sanesecurity.me.uk
>>
>>Dahin habe ich meine Fälle eingeschickt.
>
>Du nutzt den falschen Updater :)
>Es gibt einen der nur die low FP databases laedt.
>
>--
>Ralf Hildebrandt
>Geschäftsbereich IT | Abteilung Netzwerk
>Charité - Universitätsmedizin Berlin
>Campus Benjamin Franklin
>Hindenburgdamm 30 | D-12203 Berlin
>Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>ralf.hildebrandt at charite.de | http://www.charite.de
>
>
>
>------------------------------
>
>Message: 3
>Date: Fri, 4 Jun 2010 13:40:48 +0200
>From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
>To: postfix-users at de.postfix.org
>Subject: Re: [postfix-users] postfix-users Nachrichtensammlung, Band
>26, Eintrag 2
>Message-ID: <20100604114047.GP28646 at charite.de>
>Content-Type: text/plain; charset=utf-8
>
>* Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>:
>
>>Du nutzt den falschen Updater :)
>>Es gibt einen der nur die low FP databases laedt.
>
># This script freely provided by Bill Landry (bill at inetmsg.com).
># Comments, suggestions, and recommendations for improving this
># script are always welcome.
>#
># Script documentation and updates can be viewed/downloaded from:
>#
># http://www.inetmsg.com/pub/
>#
># The latest version will always be named:
>clamav-unofficial-sigs.tar.gz
># Older versions can be found in the "archive" directory.
>
>ist gut :)
>

Danke für den Link! Ich habe bisher das Script in der Version 3.6
genutzt und es jetzt upgedatetet und es entsprechend konfiguriert.

>------------------------------
>
>Message: 4
>Date: Sat, 05 Jun 2010 10:56:25 +0200
>From: Matthias Haegele <mathias.haegele at gmx.de>
>To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft
><postfix-users at de.postfix.org>
>Subject: Re: [postfix-users] postfix-users Nachrichtensammlung, Band
>26, Eintrag 2
>Message-ID: <4C0A1139.8070807 at gmx.de>
>Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
>Am 04.06.2010 12:56, schrieb Frank Lohoff:
>>
>>>Message: 2
>>>Date: Wed, 2 Jun 2010 15:59:10 +0200 (CEST)
>>>From: Frank Lohoff<f.lohoff at nielsen-design.de>
>>>To: postfix-users at de.postfix.org
>>>Subject: [postfix-users] E-Mails interner User werden
>>>fäschlicherweise
>>>als Virus von clamav gefiltert
>
>>>Bisher klappte das auch ganz gut aber jetzt werden immer öfter
>>>E-Mails
>>>von internen Users als Virus erkannt und zurück behalten. Das ist
>>>Problematisch, da nur der Empfänger eine Benachrichtigung bekommt und
>>>nicht der Sender. Dieser geht davon aus, das seine E-Mail ordenlich
>>>und
>>>ohne Probleme versendet wurde.
>
>Wie authentifizieren sich die internen Benutzer dem Postfix gegenüber?.
>(Bei uns ist es afk so daß die Filter ausgeschaltet sind wenn die sich
>erfolgreich angemeldet haben (sasl-authenticated afair), ...)
>
>Imho wäre eine dauerhafte Lösung daß die Filterung bei Mails von Innen
>nach Aussen nach erfolgreicher Authentifizierung einfach abgeschaltet
>wird ...?
>
>Auf der Liste hier kann Dir sicher dabei geholfen werden ...

Das wäre prima!
Die internen Benutzer authentifizieren sich per sasl gegenüber dem
Postfix.
################ SASL config ##############
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
#########################################

Hoffe das ist richtig so.
Wie kann ich jetzt die Filterung von innen nach außen abschalten?


>
>Grüsse
>MH
>
>
>------------------------------
>
>_______________________________________________
>postfix-users mailing list
>postfix-users at de.postfix.org
>http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
>
>Ende postfix-users Nachrichtensammlung, Band 26, Eintrag 7
>**********************************************************



Mehr Informationen über die Mailingliste postfix-users