Jump to content
Froxlor Forum

lonesomewalker

Members
  • Content Count

    30
  • Joined

  • Last visited

  • Days Won

    1

lonesomewalker last won the day on July 4 2016

lonesomewalker had the most liked content!

Community Reputation

1 Neutral

About lonesomewalker

  • Rank
    Advanced Froxie

Recent Profile Visitors

1606 profile views
  1. @DaSilva: ROCK SOLID worked as expected, saved me a lot of debugging time
  2. Daß Postfix das normalerweise macht, ist klar, denn dafür gibt es ja eine Latte an Einstellungsmöglichkeiten. Habe ich getroffen. Das Problem ist aber, da steht localhost.localdomain -> permit_mynetworks Die Reihenfolge ist entscheidend, denn sie wird von oben nach unten abgearbeitet. also jede Reihe entweder permit -> wird verschickt, oder reject -> wird verworfen
  3. Ich muß da jetzt aber mal nachtreten: auf einem meiner Server habe ich ein ähnliches Problem, welches ich durch simples Debugging nicht in den Griff bekomme. Alte Büchse von Courier auf Dovecot migriert, also ohnehin alle Configs neu geschrieben. Als Erstes hatte ich auch vermutet, daß der Webspace gehackt wurde. Also Cleanup und dann einfach in die PHP-Config, daß er alle Mail-Aufrufe mitloggen soll. Hm, nein, Mail nicht über die Webseite. So, dann alle Postfächer halt das Kennwort geändert. Nein, Spam geht noch immer raus. Also im Postfix always_bcc, und dann sieht man ja, was so passiert. Passt zum Logfile: So, und die no-reply@domain.tld gibt es halt nicht. Mich beunruhigt das localhost.localdomain, da das auf ein serverseitiges Problem deutet. Cronjobs laufen im Hintergrund aber keine...
  4. Auch angewidert von den tollen vielen .xyz und .link Spammails? Hier habt Ihr die Möglichkeit, ressourcenschonend abzulehnen. Als Erstes gucken, ob Postfix mit pcre umgehen kann: postconf -m Da müßte dann pcre dabeistehen. Wenn nicht, muß das nachinstalliert werden. Unter Debian geht das mit: apt-get install postfix-pcre (wäre vielleicht nett, das im froxlor-Installguide auch gleich zu berücksichtigen...?) Dann legt Ihr eine Datei an, Name egal. Meine habe ich sender_access.pcre genannt, kann aber jeder nennen, wie er will. Inhalt der Datei: /\.xyz$/ REJECT Mail from .xyz not accepted /\.link$/ REJECT Mail from .link not accepted /\.party$/ REJECT Mail from .party not accepted /\.win$/ REJECT Mail from .win not accepted /\.pw$/ REJECT Mail from .pw not accepted /\.click$/ REJECT Mail from .click not accepted /\.trade$/ REJECT Mail from .trade not accepted /\.review$/ REJECT Mail from .review not accepted /\.site$/ REJECT Mail from .site not accepted /\.top$/ REJECT Mail from .top not accepted Könnt Ihr noch beliebige andere TLD's dazu machen, wie z.B. cn. Oder auch eigenen Regex dazuschreiben, für spezielle Mailadressen... Oder eigenen Ablehnungstext. Oder ... Jetzt in der main.cf von Postfix folgende Zeile hinzufügen: smtpd_recipient_restrictions = ..., check_sender_access pcre:/etc/postfix/sender_access.pcre, ..., Besser ziemlich weit oben (noch vor den rbl's). Danach reicht ein simples: service postfix reload auf der Konsole (bei Debian), und schon ist das geblockt. Sieht dann so aus: Jul 4 10:58:00 debian postfix/smtpd[2347]: NOQUEUE: reject: RCPT from abc.xyz[xx.xx.xx.xx]: 554 5.7.1 <sample@abc.xyz>: Sender address rejected: Mail from .xyz not accepted; from=<sample@abc.xyz> to=<me@myserver.de> proto=ESMTP helo=<abc.xyz> Sharing is caring, have fun
  5. nano mochte copy/paste im Terminal-Fenster wohl nicht so richtig... Bin der Reihe noch mal alle durch gegangen, und festgestellt, die vorherige conf war nicht sauber...
  6. Irgendwie weiß ich nicht, was da falsch gelaufen sein könnte. Debian Jessie, latest. Froxlor latest. Configs aus dem Backend kopiert. Fehler im mail.log: Any clues?
  7. Ist halt bissel schade f?r die, welche das bisher immer genutzt haben :-(
  8. Okay, den Fehler mit dem gid-lookup habe ich gefixt -> MySQL open_files_limit. Toll, da? einen das nach dem Update erwischt...? Bleibt aber noch immer der Deliver von Postfix zu Courier. Da habe ich schon nachvollziehen k?nnen, die Mails werden ins passende Postfach geschoben, Ordner new. Aber wenn Courier die dann ausliefern soll, verschwinden die...??? Und wenn mir noch jemand erkl?ren k?nnte, wozu ich die: /etc/postfix/mysql-virtual_uid_maps.cf /etc/postfix/mysql-virtual_gid_maps.cf anlegen soll, obwohl die gar nirgends in der main.cf inkludiert werden...? Kann es sein, da? evtl. durch das MySQL-Problem das Update die DB kaputt gemacht hat, und Courier dadurch nicht zuordnen kann...? Okay, step by step: /etc/courier/authmysqlrc MYSQL_SERVER 127.0.0.1 MYSQL_USERNAME froxlor MYSQL_PASSWORD froxlorpwd MYSQL_PORT 0 MYSQL_OPT 0 MYSQL_DATABASE froxlor MYSQL_USER_TABLE mail_users MYSQL_CRYPT_PWFIELD password_enc MYSQL_UID_FIELD uid MYSQL_GID_FIELD gid MYSQL_LOGIN_FIELD username MYSQL_HOME_FIELD homedir MYSQL_MAILDIR_FIELD maildir MYSQL_QUOTA_FIELD (quota*1024*1024) MYSQL_AUXOPTIONS_FIELD CONCAT("allowimap=",imap,",allowpop3=",pop3) Bin alle Zuordnungen in der DB durchgegangen, passt so, sind deckungsgleich mit allen anderen Installationen, bei denen es keine Probleme gibt. /etc/courier/authdaemonrc authmodulelist="authmysql" authmodulelistorig="authuserdb authpam authpgsql authldap authmysql authcustom authpipe" daemons=5 authdaemonvar=/var/run/courier/authdaemon DEBUG_LOGIN=0 DEFAULTOPTIONS="" LOGGEROPTS="" Also testweise ein Dummy-Email-File in den new Ordner gelegt, tada, wird nach cur verschoben und als ungelesen im Postfach angezeigt. Also scheint es wohl irgendwo auf dem Weg zwischen Postfix und Courier ein Verst?ndigungsproblem zu geben...? mail.log sagt: Dec 6 11:32:22 debian postfix/smtpd[13600]: connect from mout.web.de[xx.xx.xx.xx] Dec 6 11:32:22 debian postfix/smtpd[13600]: Anonymous TLS connection established from mout.web.de[xx.xx.xx.xx]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits) Dec 6 11:32:23 debian postfix/smtpd[13600]: 0A5C743013B4: client=mout.web.de[xx.xx.xx.xx] Dec 6 11:32:23 debian postfix/cleanup[13593]: 0A5C743013B4: message-id=<000001d13011$62ba9f70$282fde50$@web.de> Dec 6 11:32:23 debian postfix/qmgr[13584]: 0A5C743013B4: from=<dummy@web.de>, size=2133, nrcpt=1 (queue active) Dec 6 11:32:23 debian postfix/smtpd[13600]: disconnect from mout.web.de[xx.xx.xx.xx] Dec 6 11:32:23 debian postfix/virtual[13602]: 0A5C743013B4: to=<existiert@domain.tld>, relay=virtual, delay=0.52, delays=0.43/0/0/0.09, dsn=2.0.0, status=sent (delivered to maildir) Dec 6 11:32:23 debian postfix/qmgr[13584]: 0A5C743013B4: removed Kann das sein, da? hier Postfix Probleme mit dem Maildir hat??? Ein postconf -d (defaults) sagt mir: virtual_gid_maps = virtual_uid_maps = virtual_mailbox_base = In der main.cf steht angepa?t: virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 virtual_mailbox_base = /var/customers/mail/ Und ein postconf -n sagt passend: virtual_gid_maps = static:2000 virtual_mailbox_base = /var/customers/mail/ virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_uid_maps = static:2000Hmmmmmmmmmmmmm... /var/customers/mail/var/customers/mail/hierdanndieganzengedroptenemails Was ist denn DA schief gelaufen? Stimmt da ein SQL-Query nicht? Jepp, it's a bug: https://redmine.froxlor.org/issues/1575
  9. Hallo zusammen, nach dem letzten Update, welches bei mir ein etwas gr??erer Sprung war (0.9.32), habe ich jetzt mehrere Probleme: zum einen l?st er mir die UNIX-Gruppen nicht mehr auf -> tippe auf nscd Zum Anderen nimmt der Postfix zwar Emails an, aber beim Deliver in die Mailbox landet die Email im Nirvana. Das ist nat?rlich jetzt gar nicht so lustig Any debug clues?
  10. Hallo zusammen, ich habe hier einen Fehler, bei dem es mir an der grunds?tzlichen Verst?ndnis fehlt. Kunde hat Wordpress von einem anderen Server auf meinen umgezogen. Auf den ersten Blick nichts kaputt, auch die Datenbank hat den Umzug geschafft (serialisierte Daten wurden ersetzt). Dummerweise hat der Kunde timthumb im Einsatz (mein Lieblings-Schwachstellen-Script...) Im php-errorlog taucht jetzt jedesmal bei Bildergalerien oder ?hnlichen Sachen folgende Meldung auf: [Wed Aug 27 12:37:12 2014] [error] [client xxx.xxx.xxx.xxx] FastCGI: server "/var/www/php-fpm/kunde/domain.tld/fpm.external" stderr: PHP message: PHP Warning: file_exists(): open_basedir restriction in effect. File(/var/customers/webs/kunde/domain.tld/wp-content/themes/blacklabel/framework/timthumb.php/wp-content/uploads/2013/02/Referenz_Gabor-Schuhe-Produktpr\xc3\xa4sentation-e1373531344636.jpg) is not within the allowed path(s): (/var/customers/webs/kunde/domain.tld/:/var/customers/tmp/kunde/:/usr/share/php/:/usr/share/php5/:/tmp/) in /var/customers/webs/kunde/domain.tld/wp-content/themes/blacklabel/framework/timthumb.php on line 909, referer: http://www.domain.tld/referenzen/ ?hm, also das Einzige, was diese Sachen von den anderen unterscheidet ist der Umlaut-Kram. Hat hier jemand schon Erfahrungen gemacht, warum das so ist...?
  11. Gemach, gemach. Es geht hier nicht um das "ans-Bein-pinkeln". Wie Du schon richtig schreibst, manche Sachen lassen sich mit entsprechender Config erledigen. Wenn ich mir das hier dann so ansehe, stelle ich fest, da werden oben noch paar Sachen aus dem PM drangematscht; wenn man die noch pro Domain/Config ?ndern k?nnte, w?re MEIN Problem auch schon behoben (und wahrscheinlich das von ein paar Anderen hier auch ) Nicht jede Domain braucht gleich viel Performance; manche haben sogar nur 5-10 Besucher am Tag ;PHP-FPM configuration for "domain.tld" created on 2014.08.13 09:07:02 [domain.tld] listen = /var/lib/apache2/fastcgi/customer-domain.tld-php-fpm.socket listen.owner = customer listen.group = customer listen.mode = 0666 user = customer group = customer pm = ondemand pm.max_children = 50 pm.start_servers = 3 pm.process_idle_timeout = 900 pm.max_requests = 0 Es mag ja sein, da? Du von vielen hier immer nur "ich will" h?rst/liest. Liegt vielleicht daran, da? viele davon nicht wirklich wissen, wie man einen Server "zu Fu?" administriert, und daher eine (kostenfreie, nicht so umst?ndliche) grafische Oberfl?che gesucht haben. Ich habe eine grafische Oberfl?che zur Verwaltung eines Servers f?r Kunden gesucht, die mir die Freiheit zu manchen Modifikationen l??t. Und da bietet mir froxlor mit Abstand die beste Ausbeute
  12. Das hat wer behauptet? DU hast geschrieben, "kannst ja pro Domain eine eigene php-fpm-config erstellen", and this, my friend is not a php.ini Ich wei?, ich bin verw?hnt, und verlange auch immer viel. Wie man an meinem Setup-Guide zu Postfix sehen kann, gebe ich aber auch gerne
  13. Hallo zusammen, nachdem die Default-Installation ja ein wenig mager in Sachen Verschlüsselung ist, habe ich die Freiheit von Froxlor genutzt, um ein paar Anpassungen vorzunehmen. Die hier gezeigten Config-Files erheben keinerlei Anspruch auf Vollständigkeit, sollten jedoch ein gutes Grundgerüst dafür geben, was möglich ist. (und um Verbesserungen/Korrekturen wird dringendst gebeten ) Also, Postfix und Courier wurden über die vorgeschlagenen Paketabhängigkeiten von Froxlor installiert und die Konfigurationsdateien wurden entsprechend der Vorgaben aus Froxlor befüllt. Diese mögen für eine 0815-Installation durchaus ausreichend sein; wir möchten jedoch ein wenig mehr rauskitzeln Bitte beachten: alle Kommandos werden als root ausgeführt; sollte jemand untypischerweise sudo verwenden, so sollte der auch wissen, wie die einzelnen Befehle abzuändern sind. (brrrr, sudo ) Als Erstes nehmen wir uns Postfix vor. Der soll ja in Zukunft ordentlich STARTTLS oder SMTPS machen (ich schreibe bewußt BEIDES). Hierzu brauchen wir also als Allererstes ein paar Voraussetzungen erfüllt, damit das dann auch alles zusammenpaßt. cat /etc/hostname und ein cat /etc/mailname sollten auf der Konsole beide Male den FQDN ausspucken. FQDN = full qualified domain name, also sowas wie: servername.domain.tld Das hat den Hintergrund, daß wir nicht einfach Emails rejecten können, wenn unser System selbst sich nicht ordnungsgemäß ausweist. Bitte bei Diskrepanzen den jeweiligen Inhalt korrigieren. Zertifikat So, dann wollen wir erst mal ein entsprechendes Zertifikat generieren, welches uns dann die notwendigen Files ausspuckt; ich bevorzuge 4096 Bit, kann aber jeder machen, wie er will: mkdir /etc/postfix/ssl cd /etc/postfix/ssl/ openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 Jetzt kommen da ein paar Fragen, die Ihr ordnungsgemäß beantworten solltet: root@debian:/etc/postfix/ssl# openssl genrsa -des3 -rand /dev/urandom -out smtpd.key 4096 351 semi-random bytes loaded Generating RSA private key, 4096 bit long modulus ...................................................................................++ ..............++ e is 65537 (0x10001) Enter pass phrase for smtpd.key: (hier ein sehr gutes Kennwort eingeben, in Zukunft referenziert als CERTKEY) Verifying - Enter pass phrase for smtpd.key: (CERTKEY wiederholen) root@debian:/etc/postfix/ssl# Das ist jetzt unser Master-Key, von dem wir in Zukunft alles ableiten; erst mal nur für root zugänglich machen: chmod 600 smtpd.key Nun ein Cert, welches 10 Jahre gültig ist; zuerst den CSR: openssl req -new -key smtpd.key -out smtpd.csr -sha256 Enter pass phrase for smtpd.key: (CERTKEY eingeben) You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (hier den ISO-Code Eures Landes) State or Province Name (full name) [Some-State]: (Euer Bundesland/Kanton) Locality Name (eg, city) []: (Eure Heimatstadt oder den Serverstandort) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (Firmenname oder Euer Clan, oder wasauchimmer) Organizational Unit Name (eg, section) []: (EDV, oder IT, oder irgendeine Sub-Kategorie zu Firma/Clan...) Common Name (e.g. server FQDN or YOUR name) []: (hier den FQDN - Servernamen) Email Address []: (Eure Mailadresse) Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: (leer lassen) An optional company name []: (einfach das Gleiche wie oben bei Firma eingeben) ... dann das Signieren: openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt -sha256 Signature ok subject=/C=EuerLand/ST=Bundesland/L=EureStadet/O=EureFirmaoderClan/OU=IT/CN=euerfqdnservername/emailAddress=euremailadresse Getting Private key Enter pass phrase for smtpd.key: (CERTKEY eingeben) kurz encrypten, um später zwar etwas weniger Sicherheit, dafür aber mehr Komfort zu gewinnen (Thema Neustart...) openssl rsa -in smtpd.key -out smtpd.key.unencrypted Enter pass phrase for smtpd.key: (CERTKEY eingeben) writing RSA key mv -f smtpd.key.unencrypted smtpd.key ...und dann das Publizieren: openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 Generating a 2048 bit RSA private key ................................+++ ................................+++ ................................+++ ................................+++ writing new private key to 'cakey.pem' Enter PEM pass phrase: (CERTKEY eingeben) Verifying - Enter PEM pass phrase: (CERTKEY eingeben) ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: (gleiche Informationen wie oben...) State or Province Name (full name) [Some-State]: (gleiche Informationen wie oben...) Locality Name (eg, city) []: (gleiche Informationen wie oben...) Organization Name (eg, company) [Internet Widgits Pty Ltd]: (gleiche Informationen wie oben...) Organizational Unit Name (eg, section) []:(gleiche Informationen wie oben...) Common Name (e.g. server FQDN or YOUR name) []: (gleiche Informationen wie oben...) Email Address []: (gleiche Informationen wie oben...) Zugegeben, den Schlüssel unencrypted zu speichern ist nicht die feine englische Art. Das kann jeder für sich selbst entscheiden. So, jetzt haben wir erst mal die Hausaufgaben für Postfix gemacht. Courier Zwischendrin kümmern wir uns noch um unseren IMAP-Server. In der Standard-Installation von froxlor ist da ja nur IMAP und POP3, wir wollen da aber mit SSL arbeiten. M?ssen wir also noch ein paar Pakete nachinstallieren: dpkg --get-selections | grep courier Aha, da fehlen die Pakete courier-*-ssl, welche wir mit: apt-get install courier-imap-ssl courier-pop-ssl courier-ssl gamin nachinstallieren; es kommt dabei ein Hinweis auf SSL, dort einfach auf OK klicken. So, jetzt haben wir uns so viel Mühe gemacht, Postfix ein hübsches Zertifikat mitzugeben, und jetzt schiebt uns Courier 2x 0815 unter. Also, erst mal die beiden Snakeoil-PEM's löschen: rm /etc/courier/*.pem Jetzt müssen wir aber eigene generieren. Hierzu werden die Dateien: imapd.cnf und pop3d.cnf entsprechend angepaßt: RANDFILE = /usr/lib/courier/imapd.rand [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no default_md = sha1 [ req_dn ] C=(Euer Land) ST=(Euer Bundesland/Kanton) L=(Eure Stadt) O=Courier Mail Server OU=Automatically-generated IMAP SSL key CN=(Euer FQDN-Servername) emailAddress=(Eure Emailadresse) [ cert_type ] nsCertType = server Bitte die gleichen Werte wie auch schon beim Postfix verwenden. Mit einem: mkimapdcert && mkpop3dcert erhaltet Ihr anders als beim Postfix je ein Zertifikat für IMAP und POP3, jedoch ist dieses nur für 1 Jahr gültig. Damit Courier die Verbindungen in Zukunft also verschl?sselt, ein: service courier-imap-ssl restart && service courier-pop-ssl restart Tada, Courier versteht IMAP jetzt auch auf Port 993 und POP3 auf Port 995. Generell lassen sich die Ports vom Courier aber auch auf beliebige Werte anpassen, sofern sie nicht in Konflikt mit bereits belegten Ports kommen. Die Anpassung können in den Dateien: /etc/courier -> pop3d-ssl, imapd-ssl > SSLPORT=XXX und /etc/courier -> pop3d, imapd > PORT=XXX vorgenommen werden. Postfix Ich gehe davon aus, daß die entsprechenden Konfigurationen im Backend von froxlor gemacht wurden, d.h. eine Verbindung von Postfix zur froxlor-Datenbank funktioniert. Den Schritt von froxlor, mx-access, kann jeder nach Bedarf dazu ergänzen, ich bin kein Freund davon. Also, im Schritt 1 ändern wir die /etc/postfix/main.cf ab, damit sie inhaltlich ungefähr dem hier entspricht: (interessante Stellen wurden mit # kommentiert) main.cf: command_directory = /usr/sbin daemon_directory = /usr/lib/postfix data_directory = /var/lib/postfix # hier sollte der wirkliche Namen des Servers stehen myhostname = {{ FQDN des Servers }} mydomain = {{ FQDN des Servers }} # ah, genau, da steht der FQDN auch noch mal drin, theoretisch lie?e sich das alles zusammenfassen; # aus der Praxis hat sich aber gezeigt, da? es hier aber zu undefinierbaren Problemen kommen kann... # Anpassungen daher auf eigene Gefahr myorigin = /etc/mailname # wir lauschen auf allen Netzwerkkarten inet_interfaces = all mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain unknown_local_recipient_reject_code = 550 mynetworks = 127.0.0.0/8 smtpd_banner = $myhostname ESMTP $mail_name debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix readme_directory = /usr/share/doc/postfix # ich beschränke meinen Postfix im Moment noch auf IPv4, kann aber jeder entscheiden, wie er will... inet_protocols = ipv4 append_dot_mydomain = no biff = no #####--- Anti-Spam start ---##### smtpd_helo_required = yes disable_vrfy_command = yes strict_rfc821_envelopes = yes invalid_hostname_reject_code = 554 multi_recipient_bounce_reject_code = 554 non_fqdn_reject_code = 554 relay_domains_reject_code = 554 unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 554 unknown_relay_recipient_reject_code = 554 unknown_virtual_alias_reject_code = 554 unknown_virtual_mailbox_reject_code = 554 unverified_recipient_reject_code = 554 unverified_sender_reject_code = 554 smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_sender,reject_unknown_helo_hostname,reject_unknown_recipient_domain,reject_unknown_sender_domain # bitte hier beachten: DNSBL sind mit Vorsicht zu genie?en # zum Einen entscheidet die Reihenfolge # (manche RBL-Anbieter lassen nur x queries/Tag zu, daher besser vorher schon ordentlich Spam wegputzen) # und zum Anderen das Vertrauen in den jeweiligen Anbieter # UCEPROTECT z.B. wird von vielen sehr kritisch betrachtet; # ich f?r meinen Teil kann deren Vorgehen jedoch nur unterst?tzen smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_rbl_client ix.dnsbl.manitu.net,reject_rbl_client bl.spamcop.net,reject_rbl_client multi.surbl.org,reject_rbl_client dnsbl-1.uceprotect.net,reject_rbl_client cbl.abuseat.org,reject_rbl_client combined.rbl.msrbl.net,reject_rbl_client b.barracudacentral.org,reject_invalid_hostname,reject_non_fqdn_hostname,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,reject_unauth_pipelining,reject_unauth_destination,reject_unlisted_recipient smtpd_helo_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_non_fqdn_hostname,reject_invalid_hostname,reject_unauth_pipelining smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname # die Mailgröße darf jeder selbst bestimmen; ich für meinen Teil habe hier 1/4 GB... message_size_limit = 268435456 ## SASL Auth Settings smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname broken_sasl_auth_clients = yes # Zusatz-Setting, bei Problemen bitte mit einer Raute auskommentieren smtpd_sasl_authenticated_header = yes # Virtual delivery settings virtual_mailbox_base = /var/customers/mail/ virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf # Das ist per Default aktiv; wenn man so wie ich Kunden hat, die verschiedene Konten haben, aber über EIN Absendekonto alles rauspusten # (Stichwort Exchange und Smarthost mit single-auth) # Wenn das bei Euch nicht der Fall ist, einfach auskommentieren! # smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 local_transport = local alias_maps = $alias_database mailbox_size_limit = 0 virtual_mailbox_limit = 0 ### TLS settings ### ## TLS for outgoing mails from the server to another server smtp_use_tls = yes smtp_tls_security_level = may smtp_tls_note_starttls_offer = yes ## TLS for email client smtpd_use_tls = yes smtpd_tls_auth_only = no smtpd_tls_security_level = may # hier sind unsere ganzen Zertifikats-Sachen, die wir zuvor generiert haben smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom # hier die Haupt-IP vom Server; bei mehreren IP's wichtig wegen SPF und Co... smtp_bind_address = xxx.xxx.xxx.xxx Bei der nächsten Datei liste ich nur die 2 Settings, die entkommentiert werden können. Ich habe BEIDE aktiv, theoretisch reicht eines aus. Die meisten bevorzugen submission, ich habe aber auch Anwendungsfälle, in denen smtps benötigt wird... master.cf: submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o milter_macro_daemon_name=ORIGINATING Nachdem die beiden Dateien modifiziert worden sind, heißt es nur noch, dem Postfix die neue Konfiguration bekannt zu machen: service postfix reload Manchmal kann es sein, daß es mit einem freundlichen reload nicht klappt, dann einfach ein: service postfix restart (Achtung, dabei können dann Emails verschütt gehen...! So, jetzt sollte auch unser Postfix auf Port 587 (submission) und auf Port 465 (smtps) lauschen, und wenn wir mittels telnet eine Session zum Server öffnen: telnet localhost 25 und uns dann mal mit: ehlo localhost bemerkbar machen, dann sollten wir ein: root@debian:~# telnet localhost 25 Trying 127.0.0.1... Connected to localhost.localdomain. Escape character is '^]'. 220 EUER FQDN ESMTP Postfix ehlo localhost 250-euer-fqdn 250-PIPELINING 250-SIZE 268435456 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN zurückbekommen, welches wir mit einem quit und dem Drücken der Enter-Taste verlassen. So, Verbesserungsvorschläge/Korrekturen herzlich willkommen. (ich weiß, gehört eigentlich ins Wiki; aber das war ja auch kürzlich schon mal offline...) Dovecot habe ich in diesem Fall außen vor gelassen, da ich persönlich zwar schon die Vorteile von Dovecot sehe, aber auch die ständigen Probleme mit den Konfigurationen. (aber wer weiß, vielleicht ergänze ich das dann ja noch...)
  14. Ja, damit kann ich dann aber den Pool nicht wirklich beeinflussen, nech? Sowas wie: Anzahl der beim Starten zu erstellenden Kind-Prozesse
  15. Das habe ich schon verzweifelt gesucht :-P Wo zu finden?
×
×
  • Create New...