Hallo Liste,
habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche grade eine DKIM-konforme Mailing Liste zu konfigurieren.
Mailman Version 2.1.20 Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
--- # The following is a three way setting. It sets the default for the list's # from_is_list policy which is applied to all posts except those for which a # dmarc_moderation_action other than accept applies. # 0 -> Do not rewrite the From: or wrap the message. # 1 -> Rewrite the From: header of posts replacing the posters address with # that of the list. Also see REMOVE_DKIM_HEADERS above. # 2 -> Do not modify the From: of the message, but wrap the message in an outer # message From the list address. DEFAULT_FROM_IS_LIST = 1 ALLOW_FROM_IS_LIST = Yes
# Do not break existing DKIM signatures DEFAULT_SUBJECT_PREFIX = "" DEFAULT_MSG_HEADER = "" DEFAULT_MSG_FOOTER = "" ---
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Viele Grüße, Tobias
P.S.: Anbei ein Beispiel eines Header einer Mail meiner Liste:
Authentication-Results: winnetou.kokelnet.de (amavisd-new); dkim=pass (2048-bit key) header.d=lists.freifunk-mwu.de header.b=gVoLtNo9; dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=hachmer.de header.b=mTQwAKes DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d= lists.freifunk-mwu.de; h=reply-to:from:from:list-subscribe :list-help:list-post:list-archive:list-unsubscribe:list-id :precedence:content-type:content-type:mime-version:user-agent :date:date:message-id:subject:subject:received:received:received :received:received:received:received:received:received; s= mail201507; t=1438710780; x=1440525181; bh=No13gESS3ijjWw4vdYwTT 749sVehetUqcGudn0DUXcI=; b=gVoLtNo9zsIAGXBq1MRVWZGMr6bM+e2UW/3x3 tL/Ud3BgPz2pHlDH3c9RydaT/TedkpMoQ3Q9L73QoLeF4IkPu+EXV1UbDImcfiQP OwZ/uaz9pN+41iACfZq49WApMsjiM8mk6Jycl9vMejY4p1RBfJwD1B+emVivfmXZ 2ODZkAy1LbZbyhCruum2xY3hP94adMyLb66U2TW6f9m4m3/8f25Rhjeail4XhxE6 FHeRMf26YnL628Sn1Gbut3Kkn7MSmJO6HNmR90X4nJI4R0nzM+YzMlbsZjcFUsHU rWH5/UZJp3ZL4VNaGDiX02yZEV9hHNId/vm5tl+ngONs8eyjw== DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=hachmer.de; h= content-type:content-type:mime-version:user-agent:date:date :message-id:subject:subject:from:from:received:received :received; s=d1024; t=1438710777; x=1440525178; bh=No13gESS3ijjW w4vdYwTT749sVehetUqcGudn0DUXcI=; b=mTQwAKesMfgjATTYbCfIKM6w3TCuC iyZZ2FECgV1KNBxOMduHh9SNb2wyMacEymb7hZKoHETG52G3sDMHM1zzujgG31X9 2z7S+WXN+YtdcNqmRBlKqCf42XydI/LIqvzhSUiDuxSUM1GZ/Jf8O9tK4yuUDUuW +DEErLQXl6i248= To: admin@lists.freifunk-mwu.de Subject: test X-Mailman-Version: 2.1.20 From: Tobias Hachmer via Admin admin@lists.freifunk-mwu.de Reply-To: Tobias Hachmer tobias@hachmer.de
* Tobias Hachmer tobias@hachmer.de:
Hallo Liste,
habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche grade eine DKIM-konforme Mailing Liste zu konfigurieren.
Mailman Version 2.1.20 Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
# The following is a three way setting. It sets the default for the list's # from_is_list policy which is applied to all posts except those for which a # dmarc_moderation_action other than accept applies. # 0 -> Do not rewrite the From: or wrap the message. # 1 -> Rewrite the From: header of posts replacing the posters address with # that of the list. Also see REMOVE_DKIM_HEADERS above. # 2 -> Do not modify the From: of the message, but wrap the message in an outer # message From the list address. DEFAULT_FROM_IS_LIST = 1 ALLOW_FROM_IS_LIST = Yes
# Do not break existing DKIM signatures DEFAULT_SUBJECT_PREFIX = "" DEFAULT_MSG_HEADER = "" DEFAULT_MSG_FOOTER = ""
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
p@rick
Viele Grüße, Tobias
P.S.: Anbei ein Beispiel eines Header einer Mail meiner Liste:
Authentication-Results: winnetou.kokelnet.de (amavisd-new); dkim=pass (2048-bit key) header.d=lists.freifunk-mwu.de header.b=gVoLtNo9; dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=hachmer.de header.b=mTQwAKes DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d= lists.freifunk-mwu.de; h=reply-to:from:from:list-subscribe :list-help:list-post:list-archive:list-unsubscribe:list-id :precedence:content-type:content-type:mime-version:user-agent :date:date:message-id:subject:subject:received:received:received :received:received:received:received:received:received; s= mail201507; t=1438710780; x=1440525181; bh=No13gESS3ijjWw4vdYwTT 749sVehetUqcGudn0DUXcI=; b=gVoLtNo9zsIAGXBq1MRVWZGMr6bM+e2UW/3x3 tL/Ud3BgPz2pHlDH3c9RydaT/TedkpMoQ3Q9L73QoLeF4IkPu+EXV1UbDImcfiQP OwZ/uaz9pN+41iACfZq49WApMsjiM8mk6Jycl9vMejY4p1RBfJwD1B+emVivfmXZ 2ODZkAy1LbZbyhCruum2xY3hP94adMyLb66U2TW6f9m4m3/8f25Rhjeail4XhxE6 FHeRMf26YnL628Sn1Gbut3Kkn7MSmJO6HNmR90X4nJI4R0nzM+YzMlbsZjcFUsHU rWH5/UZJp3ZL4VNaGDiX02yZEV9hHNId/vm5tl+ngONs8eyjw== DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=hachmer.de; h= content-type:content-type:mime-version:user-agent:date:date :message-id:subject:subject:from:from:received:received :received; s=d1024; t=1438710777; x=1440525178; bh=No13gESS3ijjW w4vdYwTT749sVehetUqcGudn0DUXcI=; b=mTQwAKesMfgjATTYbCfIKM6w3TCuC iyZZ2FECgV1KNBxOMduHh9SNb2wyMacEymb7hZKoHETG52G3sDMHM1zzujgG31X9 2z7S+WXN+YtdcNqmRBlKqCf42XydI/LIqvzhSUiDuxSUM1GZ/Jf8O9tK4yuUDUuW +DEErLQXl6i248= To: admin@lists.freifunk-mwu.de Subject: test X-Mailman-Version: 2.1.20 From: Tobias Hachmer via Admin admin@lists.freifunk-mwu.de Reply-To: Tobias Hachmer tobias@hachmer.de
Hallo Patrick,
On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu nichts finden.
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Achso, also wird das aktuell auch gar nicht mehr empfohlen?
Viele Grüße, Tobias
* Tobias Hachmer tobias@hachmer.de:
Hallo Patrick,
On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
Wie rum hast Du denn die Transportkette aufgebaut?
- Du generierst eine Mail, - übergibst diese an Postfix - Postfix gibt sie an amavis - amavis packt die DKIM-Signatur drauf - Postfix gibt die Mail an mailman - und dann...?
Oder ist der Weg anders?
- Du generierst eine Mail, - übergibst diese an Postfix - Postfix gibt sie an mailman - mailman gibt die Mail Postfix zurück - Postfix gibt sie an amavis - amavis packt die DKIM-Signatur drauf - ...
Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu nichts finden.
Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu signieren, dann passt das so. Amavis läuft mit brauchbaren Standardeinstellungen.
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Achso, also wird das aktuell auch gar nicht mehr empfohlen?
Ja, genau. Steht das noch im Blog? Das sollte ich aktualisieren. :/
p@rick
Halo Patrick,
On 08/04/2015 10:15 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Hallo Patrick,
On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
- Tobias Hachmer tobias@hachmer.de:
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.
Wie rum hast Du denn die Transportkette aufgebaut?
- Du generierst eine Mail,
- übergibst diese an Postfix
- Postfix gibt sie an amavis
- amavis packt die DKIM-Signatur drauf
- Postfix gibt die Mail an mailman
- und dann...?
Bei mir ist der Weg folgendermaßen. Mein Mail-Server:
- Thunderbird (mein IMAP-Server) - Submission auf IMAP Server (ohne amavis) - Imap-Server hat als relayhost direktive in master.cf für submission service meinen MTA mit extra Port 10026 (mein MTA) - MTA nimmt Mail an 10026 - MTA gibt im pre-queue-filter modus die Mail an amavis (policy bank originating auf port 10030) - amavis erzeugt DKIM Signatur und gibt diese wieder an Postfix zurück - Postfix stellt die Mail an den MTA für die Mailing Liste zu ("fremder" Mail-Server für die erwähnte Mailing-Liste) - Postfix nimmt Mail entgegen (pre-queue-filter) - Amavis verarbeitet die Mail und gibt diese an Postfix zurück - Postfix übergibt die Mail per transport map an mailman:, also an /usr/lib/mailman/bin/postfix-to-mailman.py - Mailman gibt seine Mails an Postfix über Port 10026 ab) - Postfix nimmt mail auf Port 10026 im pre-queu-filter mode an und übergibt amavis - amavis verarbeitet (signiert per DKIM) und übergibt wieder an Postfix - Postfix stellt Mail wieder meinem MTA zu (mein MTA) - Postfix nimmt Mail angegen im pre-queue-filter mode übergibt an amavis - amavis verarbeitet (prüft dkim signaturen, etc.) und übergibt an postfix - postfix übergibt an IMAP Server per SMTP (Mein IMAP-Server) - Postfix nimmt Mail entgegen und liefert per LMTP an Dovecot
Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu nichts finden.
Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu signieren, dann passt das so. Amavis läuft mit brauchbaren Standardeinstellungen.
Ja, quasi Standard Einstellungen (ist ein Ubuntu Trusty System):
# DKIM $enable_dkim_verification = 1; # enable DKIM signatures verification $enable_dkim_signing = 1; # load DKIM signing code, keys defined by dkim_key @dkim_signature_options_bysender_maps = ( { '.' => { ttl => 21*24*3600, c => 'relaxed/simple' } } );
Und natürlich die Keys.
Viele Grüße, Tobias
On 04.08.2015 20:46, Patrick Ben Koetter wrote:
- Tobias Hachmertobias@hachmer.de:
Hallo Liste,
habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche grade eine DKIM-konforme Mailing Liste zu konfigurieren.
Mailman Version 2.1.20 Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
# The following is a three way setting. It sets the default for the list's # from_is_list policy which is applied to all posts except those for which a # dmarc_moderation_action other than accept applies. # 0 -> Do not rewrite the From: or wrap the message. # 1 -> Rewrite the From: header of posts replacing the posters address with # that of the list. Also see REMOVE_DKIM_HEADERS above. # 2 -> Do not modify the From: of the message, but wrap the message in an outer # message From the list address. DEFAULT_FROM_IS_LIST = 1 ALLOW_FROM_IS_LIST = Yes
# Do not break existing DKIM signatures DEFAULT_SUBJECT_PREFIX = "" DEFAULT_MSG_HEADER = "" DEFAULT_MSG_FOOTER = ""
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Hallo Patrick,
die Geschichte mit Mailinglisten und DMARC kann aber auch ganz böse sein, und ist sie zwangsweise auch; nimm nur folgende Situation her:
jemand hat bei seiner Domain nur folgende 2 DNS-Einträge:
_dmarc.domain.tld TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-feedback@domain.tld; ruf=mailto:dmarc-failure@domain.tld" und domain.tld TXT "v=spf1 mx -all"
dann wird er bei Versand an einer sehr großen Mailingliste und sobald DMARC einen gewissen Grad an Verbreitung überschreitet, eine sehr böse Überraschung erleben;
jeder Adressat (respetive dessen Mailserver) wird ihn mit DMARC-Mails im wahrsten Sinn des Wortes zumüllen, und das kann nicht Sinn des ganzen sein;
DKIM ist da dann eine ganz andere Geschichte, wobei DKIM-signierte Mails landen bei mir grundsätzlich in der Quarantäne oder werden mit ein paar Ausnahmen gleich geblockt;
Grüße, Walter
Walter,
* Walter H. Walter.H@mathemainzel.info:
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Hallo Patrick,
die Geschichte mit Mailinglisten und DMARC kann aber auch ganz böse sein, und ist sie zwangsweise auch; nimm nur folgende Situation her:
jemand hat bei seiner Domain nur folgende 2 DNS-Einträge:
_dmarc.domain.tld TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-feedback@domain.tld; ruf=mailto:dmarc-failure@domain.tld" und domain.tld TXT "v=spf1 mx -all"
dann wird er bei Versand an einer sehr großen Mailingliste und sobald DMARC einen gewissen Grad an Verbreitung überschreitet, eine sehr böse Überraschung erleben;
jeder Adressat (respetive dessen Mailserver) wird ihn mit DMARC-Mails im wahrsten Sinn des Wortes zumüllen, und das kann nicht Sinn des ganzen sein;
Du bringst es auf den Punkt. Deshalb wurde und wird DMARC ja auch so kritisiert.
Andererseits ist längst Tatsache ("normative Kraft des Faktischen"), dass US-Unternehmen DMARC produktiv einsetzen. Aus deren Sicht überwiegt der Nutzen den Schaden - auch wenn sie Re-Mailer/Forwader/Mailinglisten damit de facto 'kaputt' machen.
Darüber ist viel diskutiert und noch mehr (unsachlich) gestritten worden. Soviel, dass die Moderatoren der IETF-Liste sich genötigt sahen einzelne Personen zuerst öffentlich zu ermahnen und sie dann sogar zu bannen. Ein durchaus hitziges Thema also.
Eine kompatible Lösung scheint gefunden. Die DMARC WG der IETF scheint ein agreement zu haben. Ich habe es mir noch nicht angesehen, weil es IIRC noch nicht final war/ist.
(Mindestens) solange setzen wir auf MLMs kein DMARC ein. Ob das auch für diese Liste gilt? Ich persönlich bin ein Freund von "eat your own dogfood". Wer wenn nicht wir könnten frühzeitig herausfinden was taugt und was (noch) nicht taugt. Mal sehen. Offensichtlich ins Verderben rennen muss ja auch nicht sein. ;)
DKIM ist da dann eine ganz andere Geschichte, wobei DKIM-signierte Mails landen bei mir grundsätzlich in der Quarantäne oder werden mit ein paar Ausnahmen gleich geblockt;
Eine DKIM-Signatur ist eine Identität. Sie ist *keine* Reputation. An eine Identität kann ich für eine bestimmte Domain z.B. bewußt ein Whitelisting hängen. Unbewußt (lies: automatisch entschieden) mache ich DKIM nicht zur Grundlage von Entscheidungen.
p@rick
participants (3)
-
Patrick Ben Koetter -
Tobias Hachmer -
Walter H.