SpamAssassin und Mails versenden

[AndreasEausD]

Jahlives (und ich) haben bei der Lösung meines Problems "Mail versenden mit DDNS" festgestellt, dass bei einer "Standard"-Installation von SpamAssassin wohl auch ausgehende Mails über SA gecheckt werden.

Die obige Mail hat bis zur Fehlermeldung 45 Sekunden Verarbeitungszeit gebraucht!! Bei Mails die du verschickst (also ausgehende) Mails würde ich den Spamassassin deaktiviere. Dann saust die Mail in gut 1/10 Sekunde durch

Kann mir bitte jemand helfen, wie für ausgehende Mails SpamAssassin deaktiviert werden kann ?

 

[jahlives]

Da brauchst du einen zusätzlichen Port für Postfix (smtp), der ohne Spamassassin eingerichtet wird. Wie man zusätzliche Ports in Postfix einrichten kann steht hier (http://www.synology-wiki.de/index.php/Zusaetzliche_Ports_fuer_Postfix)

 

[AndreasEausD]

Habe mir mal den Artikel http://www.synology-wiki.de/index.php/Zusaetzliche_Ports_fuer_Postfix angeschaut

Was ist bislang verstanden habe ist, ich muss Änderungen in den files
/usr/syno/mailstation/etc/master.cf
/usr/syno/mailstation/etc/main.cf
machen.
Was mir nicht ganz klar ist, sind die IP-Adresse, die im Artikel bei den Einträgen angegeben sind.
z.B.
192.168.100.102:25 oder 192.168.100.102:2525
Klaro xxxx:25 bzw. xxx:2525 steht für die Ports, die verwendet werden. Aber muss ich auf meiner DS nicht die IP der DS in meinem LAN eintragen ?
(192.168.100.102 ist bei mir auf dem LAN NICHT vorhanden )

Weitere Frage wäre die Einträge in der /user/syno/mailstation/etc/main.cf.
Wo sollen / müssen diese eingetragen werden (Am Ende oder vor den Eintragungen für den Relay-Servers) ?

# Relay Server
# Änderung durch Andreas 06.01.2011  08:12
# ------------------------------------------------
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/opt/etc/postfix/sasl_passwd
sender_dependent_relayhost_maps = hash:/opt/etc/postfix/sender_relay
smtp_sender_dependent_authentication = yes

smtp_use_tls = yes
smtp_tls_enforce_peername = no
smtp_sasl_mechanism_filter=plain,login
smtp_tls_security_level=may
smtp_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_banner = $myhostname
smtp_helo_name = $myhostname
cyrus_sasl_config_path = /usr/syno/mailstation/etc
smtp_tls_loglevel = 1

Was passiert mit bereits vorhandenen Einträge wie z.B.

smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Können diese einfach erweitert werden oder müssen diese vorhandenen Einträge durch die im Artikel genannte ersetzt werden ?

Danke im voraus für euren Support .

 

[jahlives]

Wenn ich eine Beschreibung schreibe kann ich ja nicht wissen, was für IPs die DS der User haben. Also verwende ich meist meine internen IPs
du musst natürlich deine interne LAN-IP deiner DS verwenden, damit es klappt.

 

[AndreasEausD]

@Jahlives
Hast Du Dir noch den zweiten Teil der fragen betreffs "Einträge in der /user/syno/mailstation/etc/main.cf " angesehen und möglicherweise auch eine Antwort für mich ??

 

[jahlives]

In der main.cf lässt du die restiction Einträge wie sie sind. Erst in master.cf passt du sie so an wie sie für dich sein sollen

 

[AndreasEausD]

In der main.cf lässt du die restiction Einträge wie sie sind. Erst in master.cf passt du sie so an wie sie für dich sein sollen

Werden dann die von Dir im Artikel beschriebenen Variablen

smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_client_restrictions =
    permit_mynetworks,
    reject_rbl_client,
    reject_rhsbl_client
smtpd_sender_restrictions =
    reject_unknown_address,
    reject_unknown_sender_domain
smtpd_recipient_restrictions =
    reject_unauth_destination,
    reject_unknown_recipient_domain,
    permit

durch die master.cf in die main.cf eingetragen ?

 

[jahlives]

Nein:
master.cf definiert pro Service die Einstellungen. In der main.cf hingegen definierst du die Werte global für alle Services. du kannst dann in der master.cf diejenigen Vars überschreiben, die du aus der main.cf ned brauchst

 

[AndreasEausD]

OK habe ich glaube ich verstanden.
Somit passe ich nur die master.cf an

# Aenderung durch Andreas 06.01.2011   17:40
# -------------------------------------------
192.x.x.3:25  inet    n       -       n       -       -       smtpd
 -o receive_override_option=no_header_body_checks
 -o content_filter=spamfilter:dummy
 -o smtpd_soft_error_limit=1
 -o smtpd_hard_error_limit=3
 -o smtpd_error_sleep_time=2
192.x.x.3:2525        inet    n       -       n       -       -       smtpd
 -o smtpd_sender_restrictions=reject_unknown_address,reject_unknown_sender_domain
 -o smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_mynetworks,reject
submission      inet    n       -       n       -       -       smtpd
 -o smtpd_etrn_restrictions=reject
 -o smtpd_sasl_type=dovecot
 -o smtpd_sasl_path=private/auth
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_reject_unlisted_sender=yes
 -o smtpd_sender_restrictions=reject_unknown_address,reject_unknown_sender_domain
 -o smtpd_recipient_restrictions=reject_unknown_recipient_domain,permit_sasl_authenticated,reject

MAche noch ein schnelles
$ /usr/syno/mailstation/sbin/postfix reload
Öffne im Router den Port 587
und
fertig ....

 

[jahlives]

Gemäss deiner master.cf würde ich empfehlen Port 25 und 587 am Router zu öffnen. Port 2525 solltest du nur im LAN nutzen.
Die Restrictions im File sehen gut aus. Mich würden jetzt noch deine aktuellen Restrictions in main.cf wundernehmen. Kannst du die auch nochmal posten?
Btw: Schon bermerkt wieviel schneller die Verarbeitung geht wenn du für deine ausgehenden Mails Port 587 resp 2525 verwendest?

 

[AndreasEausD]

Btw: Schon bermerkt wieviel schneller die Verarbeitung geht wenn du für deine ausgehenden Mails Port 587 resp 2525 verwendest?

Leider nein, da ich derzeitig keinen Zugriff auf RoundCube Webmail oder der Verwaltungsoberfläche der DSM habe.
Weder über https://<NAME>.dyndns.org:5001/ noch über https://192.x.x.3:5001.
Netzwerk ist unter Windoof sichtbar.
Über SSH kann ich mich als root anmelden.
Bin noch auf der Suche warum.

Hier aber schon mal meine main.cf

inet_protocols = ipv4, ipv6
mailbox_size_limit = 0
# broken_sasl_auth_clients = yes                       # by Andreas 06.01.2011.12:41 da doppelter Eintrag siehe unten
# cyrus_sasl_config_path = /usr/syno/mailstation/etc   # by Andreas 06.01.2011  12:41 da doppelter Eintrag siehe unten
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_sasl_authenticated_header = yes
smtpd_tls_cert_file = /usr/syno/etc/ssl/ssl.crt/server.crt
smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key

smtpd_tls_security_level = may


# Relay Server
# Änderung durch Andreas 06.01.2011  08:12
# ------------------------------------------------
# relayhost = mail.gmx.net
# relayhost = smtp.web.de
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/opt/etc/postfix/sasl_passwd
sender_dependent_relayhost_maps = hash:/opt/etc/postfix/sender_relay
smtp_sender_dependent_authentication = yes

smtp_use_tls = yes
smtp_tls_enforce_peername = no
smtp_sasl_mechanism_filter=plain,login
smtp_tls_security_level=may
smtp_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_banner = $myhostname
smtp_helo_name = $myhostname
cyrus_sasl_config_path = /usr/syno/mailstation/etc
smtp_tls_loglevel = 1

notify_classes = bounce, 2bounce, delay, policy, protocol, resource, software
myhostname = xxx.dyndns.org
smtpd_sasl_auth_enable = yes
message_size_limit = 10485760

 

[AndreasEausD]

Irgendwie habe ich wohl Postfix abgeschossen !!

FILESERVER02> /usr/syno/mailstation/sbin/postfix stop
postfix/postfix-script: fatal: the Postfix mail system is not running

FILESERVER02> /usr/syno/mailstation/sbin/postfix start
postfix/postfix-script: starting the Postfix mail system
FILESERVER02> /usr/syno/mailstation/sbin/postfix reload
postfix/postfix-script: fatal: the Postfix mail system is not running

Also bin ich mal auf der Suche, was ich wieder mal alsch gemacht habe

 

[jahlives]

Ein Absturz des postfix liegt (fast) immer an der master.cf. Poste auch mal noch die hier rein. Was sagen denn die Logs dazu? So ein fataler Crash muss geloggt werden

 

[AndreasEausD]

@Jahlives:
Welche Log meinst Du ?

Habe wohl auch noch anderen Besuch auf der DS !! Auszug aus /opt/var/log/syslog

an 6 21:11:17 FILESERVER02 sshd[2270]: Failed password for root from 222.35.137.17 port 37632 ssh2
Jan 6 21:11:20 FILESERVER02 sshd[2277]: Invalid user alisia from 222.35.137.17
Jan 6 21:11:20 FILESERVER02 sshd[2277]: Failed password for invalid user alisia from 222.35.137.17 port 37817 ssh2
Jan 6 21:11:24 FILESERVER02 sshd[2284]: Failed password for root from 222.35.137.17 port 38012 ssh2
Jan 6 21:11:27 FILESERVER02 sshd[2294]: Invalid user john from 222.35.137.17
Jan 6 21:11:27 FILESERVER02 sshd[2294]: Failed password for invalid user john from 222.35.137.17 port 38201 ssh2
Jan 6 21:11:31 FILESERVER02 sshd[2300]: Invalid user dev from 222.35.137.17
Jan 6 21:11:31 FILESERVER02 sshd[2300]: Failed password for invalid user dev from 222.35.137.17 port 38400 ssh2
Jan 6 21:11:34 FILESERVER02 sshd[2307]: Invalid user slib from 222.35.137.17
Jan 6 21:11:34 FILESERVER02 sshd[2307]: Failed password for invalid user slib from 222.35.137.17 port 38594 ssh2
Jan 6 21:11:38 FILESERVER02 sshd[2313]: Invalid user sercon from 222.35.137.17
Jan 6 21:11:38 FILESERVER02 sshd[2313]: Failed password for invalid user sercon from 222.35.137.17 port 38787 ssh2
Jan 6 21:11:41 FILESERVER02 sshd[2319]: Invalid user lipo from 222.35.137.17
Jan 6 21:11:41 FILESERVER02 sshd[2319]: Failed password for invalid user lipo from 222.35.137.17 port 38988 ssh2
Jan 6 21:11:45 FILESERVER02 sshd[2325]: Failed password for root from 222.35.137.17 port 39174 ssh2
Jan 6 21:11:48 FILESERVER02 sshd[2331]: Failed password for root from 222.35.137.17 port 39377 ssh2
Jan 6 21:11:52 FILESERVER02 sshd[2337]: Failed password for root from 222.35.137.17 port 39587 ssh2
Jan 6 21:11:55 FILESERVER02 sshd[2343]: Failed password for root from 222.35.137.17 port 39789 ssh2
Jan 6 21:11:58 FILESERVER02 sshd[2349]: Failed password for root from 222.35.137.17 port 39998 ssh2
Jan 6 21:12:02 FILESERVER02 sshd[2356]: Failed password for root from 222.35.137.17 port 40195 ssh2
Jan 6 21:12:06 FILESERVER02 sshd[2362]: Failed password for root from 222.35.137.17 port 40430 ssh2

master.cf ist im Posting um 17:30 Uhr ersichtlich.

 

[jahlives]

Du hast ja syslog-ng und dann sollte eigentlich entweder ein mail.log existieren oder du schaust in /opt/var/log/messages ob postfix dort reinloggt.
Du scheinst den ssh Port im Internet offen zu haben. Hoffentlich hast du Autoblock aktiviert. Wenn du ssh ins Internet freigibst muss Autoblock imho immer laufen. Oder du stellst auf PubliyKey Auth um und kannst jegliche Bruteforce Attacken ausschliessen

So auf die Schnelle sehe ich auch in master.cf keine Fehler. Also können dir wohl nur noch die Logs helfen

 

[AndreasEausD]

In /opt/var/log/mail.log fand ich nachdem ich nachmittags gegen 17:30 ein postfix reload gemacht hatte jetzt

Jan 6 17:40:48 FILESERVER02 postfix/postfix-script[28431]: refreshing the Postfix mail system
Jan 6 17:40:48 FILESERVER02 postfix/postfix-script[28431]: refreshing the Postfix mail system
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: reload configuration /usr/syno/mailstation/etc
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: reload configuration /usr/syno/mailstation/etc
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: fatal: bind 192.xx.xx.3 port 25: Address already in use
Jan 6 17:45:06 FILESERVER02 postfix/postfix-script[32479]: fatal: the Postfix mail system is not running
Jan 6 17:45:06 FILESERVER02 dovecot: Killed with signal 15
Jan 6 17:45:06 FILESERVER02 dovecot: Killed with signal 15
Jan 6 17:45:06 FILESERVER02 spamd[2614]: spamd: server killed by SIGTERM, shutting down
Jan 6 17:45:06 FILESERVER02 spamd[2614]: spamd: server killed by SIGTERM, shutting down

 

[AndreasEausD]

In /opt/var/log/mail.log fand ich nachdem ich nachmittags gegen 17:30 ein postfix reload gemacht hatte jetzt

Jan 6 17:40:48 FILESERVER02 postfix/postfix-script[28431]: refreshing the Postfix mail system
Jan 6 17:40:48 FILESERVER02 postfix/postfix-script[28431]: refreshing the Postfix mail system
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: reload configuration /usr/syno/mailstation/etc
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: reload configuration /usr/syno/mailstation/etc
Jan 6 17:40:48 FILESERVER02 postfix/master[3133]: fatal: bind 192.xx.xx.3 port 25: Address already in use
Jan 6 17:45:06 FILESERVER02 postfix/postfix-script[32479]: fatal: the Postfix mail system is not running
Jan 6 17:45:06 FILESERVER02 dovecot: Killed with signal 15
Jan 6 17:45:06 FILESERVER02 dovecot: Killed with signal 15
Jan 6 17:45:06 FILESERVER02 spamd[2614]: spamd: server killed by SIGTERM, shutting down
Jan 6 17:45:06 FILESERVER02 spamd[2614]: spamd: server killed by SIGTERM, shutting down

Port 22 habe ich für SMTP in meiner Fritz!Box freigegeben.

 

[jahlives]

Wenn Postfix sich nicht an die IP binden kann liegt es wohl daran, dass sich in master.cf wohl eine weitere Konfig für Port 25 befindet. Schau mal ob du einen Eintrag dort drin hast, der in der ersten Zeile smtpd verwendet und nicht auskommentiert ist.

 

[AndreasEausD]

Wenn Postfix sich nicht an die IP binden kann liegt es wohl daran, dass sich in master.cf wohl eine weitere Konfig für Port 25 befindet. Schau mal ob du einen Eintrag dort drin hast, der in der ersten Zeile smtpd verwendet und nicht auskommentiert ist.

Finde nur einen Eintrag mit

smtp      unix  -       -       n       -       -       smtp

Hat aber nichts mit smtpd zu tun.

Habe in der Zwischenzeit auch port 22 für SSH deaktiviert und port 25 nach wie vor für SMTP offen.

 

[jahlives]

Nö der smtp ist der Client. Der kann nix damit zu tun haben.
Ich würde testweise mal in master.cf alle Zeilen des ersten Service (Port 25) auskommentieren und postfix nochmals zu starten probieren. Kommt Postfix dann komplett hoch?