kais-universum.de

Spamassassin – test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.daily )

8. April 20215. April 2021 von Kai

Nach einem Systemupgrade hatte ich (wieder) Mails in meiner Mailbox mit dem Subjekt: „test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.daily )“ und dem Inhalt:

/etc/cron.daily/spamassassin:
Wide character in print at /usr/bin/sa-compile line 433, <$fh> line 2518.
Wide character in print at /usr/bin/sa-compile line 433, <$fh> line 2931.

Ich konnte mich dunkel daran erinnern, dass ich genau das schon einmal hatte und gelöst hatte. Offensichtlich liegt das Problem also in dem neuen Spamassissin. Wieder begann erneut eine Suche im Internet nach der Lösung denn ich hatte vergessen wie ich das damals gerade gebogen hatte. Daher habe ich hier die Lösung jetzt dokumentiert denn ich fürchte spätestens mit dem Upgrade auf Bullseye (Debian 11), vermutlich im Sommer dieses Jahres, wird das Problem erneut auftreten.

Postfix mit DKIM, SPF und DMARC ausstatten

29. März 202126. März 2021 von Kai

Viele Betreiber von kleineren Email-Servern kennen das Problem, dass die großen Anbieter die Mails von ihren Servern gerne mal als Spam einsortieren. t-online.de geht sogar soweit, dass sie Mails von kleinen Servern direkt abweisen und man muss erst durch Email an die angegebene Email-Adresse seinen Mailserver freischalten lassen. Mit einer neuen IP-Adresse beginnt das Spiel dann von neuem.
Daher ist es sinnvoll seine Mails mit allem Möglichen und möglichst fehlerfrei auszustatten was als state-of-the-art auf dem Gebiet der Email-Sicherheit betrifft gilt. Die Sinnhaftigkeit und Wirkung dieser Maßnahme was das Identifizieren von potentiellen Spam betrifft braucht man da nicht in Frage zu stellen denn oft macht es wenig sinn denn niemand verhindert, dass Spammer die gleichen Methoden benutzen. Gängig auf dem Gebiet ist DKIM, SPF und DMARC. Interessanterweise haben viele größere Email-Provider Probleme mit ihrer eigenen korrekten Implementierung oder verzichten ganz darauf.

Wikipedia definiert folgendes:

DKIM: DomainKeys, auch bekannt unter DomainKeys Identified Mail (DKIM), ist ein Identifikationsprotokoll zur Sicherstellung der Authentizität von E-Mail-Absendern. Es wurde konzipiert, um bei der Eindämmung von unerwünschter E-Mail wie Spam oder Phishing zu helfen.
SPF: Das Sender Policy Framework (SPF; früher Sender Permitted From) ist ein Verfahren, mit dem das Fälschen der Absenderadresse einer E-Mail verhindert werden soll, genauer das Versenden von E-Mail über nicht legitimierte Mail Transfer Agents (MTAs) unterbindet. Es entstand als Verfahren zur Abwehr von Spam. Bei SPF trägt der Inhaber einer Domain in das Domain Name System ein, welche Adressen von MTAs zum Versand von E-Mails für diese Domain berechtigt sind.
DMARC: Domain-based Message Authentication, Reporting and Conformance (DMARC) ist eine Spezifikation, die entwickelt wurde, um den Missbrauch von E-Mails zu reduzieren, wie er etwa bei Mail-Spoofing vorkommt. DMARC versucht einige seit langem bestehende Unzulänglichkeiten im Zusammenhang mit der Authentifizierung von E-Mails zu beheben und wurde bei der IETF zur Standardisierung eingereicht.

Ein wenig zu Postfix und der Mailqueue

8. Februar 20213. Februar 2021 von Kai

Postfix ist ein weit verbreiteter Mail Transfer Agent (MTA) der auch bei mir in Benutzung ist. Seltsamerweise ist Email eine der komplexesten Dienste auf einem Server. Daher kann es durchaus vorkommen, dass etwas nicht rund läuft. Hier soll in einem kurzen How-To die Mailqueue von Postfix behandelt werden. Für mich soll das hier so etwas wie ein Spickzettel sein denn der Umgang mit der Mailqueue ist alles andere als intuitiv und offensichtlich. Postfix sammelt dort alle Mails die eintreffen oder versandt werden sollen die aus welchen Gründen auch immer nicht sofort abgearbeitet werden können. Die aktuelle Mailqueue kann man sich mit mailq anzeigen lassen und sie sollte eigentlich so aussehen:

# mailq
Mail queue is empty

Einen Yubikey mit Enigmail/Thunderbird für GnuPG einrichten

11. Oktober 202030. Juli 2020 von Kai

Achtung, diese Anleitung gilt nur bis Thunderbird kleiner als Version 78.0.0 denn für aktuellere Versionen ist Enigmail nicht mehr verfügbar. Ich werde ein Update nachreichen wenn das jetzt eingebaute OpenPGP einen fortgeschrittenen Eindruck macht was derzeit nicht der Fall ist.

GNU Privacy Guard (GnuPG) ist ein Kryptographiesystem was zum Verschlüsseln, Entschlüsseln und der Erzeugung und Verifizierung von Signaturen von Daten dient. Das Open-Source-Emailprogramm Thunderbird bietet mit der Erweiterung Enigmail eine gute Grundlage um sowohl den Yubikey leicht einzurichten als auch für den späteren Gebrauch der Smartcard als Kryptografiesystem für Email.

Zunächst einmal muss Enigmail installiert werden. In Thunderbird kann man unter Extras → Addons nach Addons suchen und installieren. Nachdem Thunderbird mit aktiven Enigmail gestartet ist wird der Yubikey in einen freien USB-Port gesteckt. In der Konsole kann man dann überprüfen ob der Yubikey richtig erkannt wurde:

$ gpg --card-status
Reader ...........: 1050:0116:X:0
Application ID ...: D2760001240102000006073265510000
Version ..........: 2.0
Manufacturer .....: Yubico
Serial number ....: 06353846
Name of cardholder: [not set]
Language prefs ...: [not set]
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

ISPConfig mit Postfix, Apache2, Spamfilter usw. einrichten (Teil 3 – Postfix, Dovecot und Mariadb installieren)

27. Juli 202016. Februar 2020 von Kai

Nachdem wir im 2. Teil weitere Vorarbeiten erledigt haben kommt nun der Postfix dran. Postfix ist ein Mail Transfer Agent (gemeinhin auch Mailserver genannt der angetreten ist die Schwachstellen des sendmail zu beseitigen. Postfix ist ein sehr modular aufgebauter MTA dessen Softwaredesign auf Sicherheit ausgelegt ist. Postfix besitzt nur zwei Konfigurationsdateien und ist deshalb deutlich konfigurationsfreundlicher als sendmail – was darüber hinaus irgendwann auch für seine geballte Ladung an Sicherheitslücken bekannt war. Postfix funktioniert unter Debian in einfacher Form fast ohne Eingreifen von root und Alpine als Mailclient aber wir möchten ja ein modernes Mailsystem auf SQL-Basis aufbauen. Zunächst müssen die Pakete installiert werden und dazu wird der gute alte apt-get bemüht:

apt-get install postfix postfix-mysql postfix-doc

Dabei wird exim4 vom Server entfernt und Postfix lassen wir gerade unkonfiguriert. Ein:

apt-get remove --purge exim4

entsorgt auch die letzten Exim4-Reste.

Mittlerweile überflüssige Pakete kann man mit:

apt-get autoremove

entfernen.

ISPConfig mit Postfix, Apache2, Spamfilter usw. einrichten (Teil 2 – Allgemeine Software installieren)

27. Juli 202016. Februar 2020 von Kai

Im ersten Teil dieser Serie wurden die Einstellungen am DNS-System vorgenommen die für den Betrieb eines Mailservers (MTA) nötig sind. Nun ist es an der Zeit die nötige Software zu installieren. Ursprünglich hatte ich vor, das ganze in ziemlich einem Rutsch zu machen aber das erwies sich bei der großen Menge an Paketen als zu fehlerträchtig bzw. als unpraktikabel zur Fehlersuche.

Allgemeine Software

Natürlich sind die Ansprüche an die Auswahl an Paketen recht individuell und die Images der Serverprovider sind mit Minimalinstallation mit unterschiedlicher Software ausgestattet. Man muss unter Debian/apt nicht nachschauen ob man ein bereits installiertes Paket noch einmal installieren will denn apt-get erkennt das.

Editor – Linux bietet eine große Anzahl an Editoren und viel davon haben eine fast religöse Anhängerschaft. Wir werden hier eine größere Anzahl an Konfigurationsdateien bearbeiten so das wir einen Texteditor brauchen der einem liegt und den man in der Konsole benutzen kann. Ich selber nutze normalerweise vi oder nano. Statt vi installiere ich mir noch den vim der sich etwas intuitiver als der orginal vi bedienen lässt. Ein beherztes apt-get install nano vim befördert die beiden Pakete auf die Festplatte.

ISPConfig mit Postfix, Apache2, Spamfilter usw. einrichten (Teil 1 – Allgemeine Vorarbeiten und DNS-Einstellungen)

27. Juli 20206. Februar 2020 von Kai

Diese Anleitung geht von einem vServer oder Root-Server aus der unter Debian 9 frisch installiert ist. Debian 10 ist leider noch nicht allgemeiner Standard bei den Providern. Zunächst wird also Debian auf den neusten Stand gebracht. Leider unterstützen manche Provider heute noch nicht Debian 10 aber die Anleitung sollte zum Größtenteil auch unter Debian 9 funktionieren. Ich habe das hier auf einem vServer von Strato und einer kostenlosen .tk-Domain nachgestellt.

Bitte nicht auf einem Home-Server mit dynamischer IP-Adresse in den Produktivbetrieb umsetzen denn das wird in die Hose gehen. Auch sollte man genug Linux-Kenntnisse mitbringen um evtl. Kleinigkeiten zu fixen denn jedes Provider-Image sieht anders aus und beinhaltet andere Pakete. Die Anleitung ist absolut nichts für Anfänger geeignet es ein komplexes System ist was fortgeschrittene Kenntnisse erfordert. Verschiedene Provider-Images enthalten auch Software die nicht benötigt wird und das Betriebssystem anfällig für Angriffe machen. Daher alles nicht benötigte, vor allem an Daemons die auf Netzwerkschnittstellen lauschen deinstallieren.

Ein Mailserver ist komplex und nicht ganz einfach zu installieren, zu konfigurieren und zu administrieren. Diese Anleitung ist zwar von

Als Domainnamen werde ich hier exemplarisch example.com und als IP-Adresse die 10.0.0.1 verwenden. Diese müssen selbstverständlich an die gegebenen Verhältnisse angepasst werden.