kleine Frage, Postix... SASL und TLS

[Domi]

Hallo Leute, ich habe da mal eine kleine Frage.
Ich hatte schon so das eine Tutorial und HowTo durch gelesen und es immer so verstanden das SASL und TLS im Prinzip das gleiche machen, verschlüsseln!

Wenn das so ist, frage ich mich für was man beide Varianten hat. Ich habe mir die Config von einem root-Server (vorkonfiguriert) angeschaut, und da ist SASL aktiviert. Wenn ich mir die default-Konfig von Postfix anschaue, die installiert ist nachdem man "aptitude install postfix" macht, ist TLS dort eingetragen.

Wenn ich es richtig gesehen habe, wird SASL auch benötigt wenn man in Verbindung mit dovecot arbeitet und TLS kann komplett weg gelassen werden, richtig?

Mfg. Anubis

 

[Sven_R]

Hallo Leute, ich habe da mal eine kleine Frage.
Ich hatte schon so das eine Tutorial und HowTo durch gelesen und es immer so verstanden das SASL und TLS im Prinzip das gleiche machen, verschlüsseln!

nicht korrekt !!

SASL ist ein authentifizierungs dienst, der als "stellvertreter" einen login
macht und diesen dann an andere programme durchreichen kann.
SASL WIKI

TLS ist eine end zu end verschlüsselung ähnlich wie ssh, sie dient im
wesentlichen nur dazu den datentransport zu verschlüsseln und/oder
auch komprimieren.

Sven

 

[danton]

Oder um es mit einem einfachen Beispiel zu erklären:
Per SASL fragt dein Postfix bei deinem Dovecot nach, ob die Kombination aus Username und Passwort korrekt ist und der User Mails verwenden darf.
TLS sorgt für die Verschlüsselung der Verbindung zwischen deinem Mail-Client (z.B. Thunderbird oder Outlook) und deinem Postfix, damit keiner mitlauschen kann.

 

[Domi]

Ahh...
********
SASL = Postfix <-> Dovecot
TLS = Client <-> Postfix
********

Dann macht es ja doch Sinn, beide Verfahren zu verwenden. Und ich dachte schon ich kann eines der beiden weg lassen

 

[Domi]

Eine Frage habe ich da noch... Darf / kann man für SASL und TLS ruhig das gleiche Zertifikat verwenden, oder sollte man dafür unterschiedliche Zertifikate verwenden?!

 

[danton]

Wie so das gleiche Zertifikat? Normalerweise brauchst du doch kein Zertifikat für SASL - SASL ist ein Authentifizierungsprotokoll - eine definierte Schnittstelle, mit dem ein Programm (z.B. Postfix) ein anderes Programm (z.B. Dovecot) bittet, die Anmeldung zu überprüfen.

 

[Domi]

Args.. Okay, ich hatte in einer main.cf von einem funktionierenden System rum gestöbert, und bin beim drüber gucken in einer Zeile verrutscht und dachte, ich hätte was von den Key-Files bei den sasl Parametern gelesen... Aber da ging es um die TLS Parameter.

 

[Domi]

Eine kleine Frage habe ich da noch, kann man mir kurz und knackig erklären für was die "smtpd restrictions" sind?

Es gibt client, recipient, helo und sender... Ich hatte schon mal versucht durch ein Manual durch zusteigen, aber irgendwie hab ich es nicht so ganz verstanden. Zumal ich auch nur von zwei restrictions ausgegangen war. So etwas wie "sender" und "recipient"

Also eine Regel, wenn eine Email direkt an das Postfix-System gesendet wird, und einmal eine Regel wenn über Postfix versendet wird... Aber anscheinend ist das nicht der Fall.

 

[danton]

http://www.postfix.org/SMTPD_ACCESS_README.html

 

[Joe User]

Ebenfalls lesenswert: http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt

 

[Domi]

Okay, dann verstehe ich das wie folgt...

smtpd_client_restrictions, erlaubt nur Verbindungen von vertrauenswürdigen Netzwerken. Ich vermute mal das "Vertrauenswürdig" wird durch "Auth" reguliert...

smtpd_helo_restrictions, wenn mein Postfix eine Email zu Server XY senden will und der helo keinen Hostnamen beinhaltet oder dieser nicht mit dem reverse DNS übereinstimmt, wird das abgelehnt. Richtig?

smtpd_sender_restrictions, diese Regel bezieht sich auf den A oder MX Eintrag einer Domain. Wenn ich von "bla@hükü.de" schreibe und es dafür keinen A oder MX gibt, wird diese abgewiesen...

smtpd_recipient_restrictions, das sind die erlaubten Parameter (Whitelist), so steht es in der einen Anleitung.

Ich hoffe mal, ich habe es richtig verstanden...
Mfg. Anubis

 

[Joe User]

Ich hoffe mal, ich habe es richtig verstanden...

Nein, lies die beiden Links bitte nochmal genauer.

 

[Domi]

So, jetzt wollte ich ja noch mal auf das Thema zurück kommen.. Ich habe nur noch gebrochenes Englisch drauf und ein Kumpel hat es mir auch noch mal übersetzt und trotzdem peile ich nichts.

Und die Aussage "nein, lies die beiden Links bitte nochmal genauer", hilft mir da auch nicht wirklich weiter. Kennst du das "man sieht den Wald vor lauter Bäumen nicht!"??

Zumal ich nicht nur diese Anleitungen gelesen habe.. ubuntuusers.de, diverse Foren etc. hab ich auch schon durch geschaut (wegen dem gebrochenen Englisch) doch nirgends hab ich das gelesen wo ich sagen könnte "ding, jetzt kapiere ich es!"

Ich habe ein Postfix System laufen, es funktioniert auch, es ist auch kein open-Relay (hab ich schon getestet, und ein Kumpel ebenfalls) und dennoch würde ich gerne mal die Konfig etwas genauer verstehen. Ich hatte z.B. vorher auch Probleme, via SASL mit Dovecot zu kommunizieren... Somit hab ich ein weiteres Tutorial durch geschaut, das nächste nach gebaut und siehe da es funktioniert.. Warum?? keine Ahnung

 

[TerraX]

Maybe hilft das hier weiter ...

http://chains.ch/docs/postfix-UCE-HOWTO-de.html

 

[wh.for]

Hi,

die Fragen die ich bisher von dir gehört habe, wurden mir in dem Buch Postix alle sehr ausführlich und verständlich erklärt. Zudem konnte ich so einige "Fehler/Probleme" anhand des Buches lösen. Ich persönlich kann es nur empfehlen.

Für jeden der einen sicheren Mail-Server aufsetzen will ist auch http://workaround.org zu empfehlen.

mfg wh.for

 

[Domi]

Ich hätte es fasst vergessen und habe noch gegrübelt wo ich ein Topic unbeantwortet gelassen habe. Schon mal vielen Dank für die Link, ich werde mir das einmal genauer angucken und hoffe dann das ich alles hin bekomme

Ich bin vergangene Woche darauf gestoßen, wieso ich so auf die "restrictions" erpicht bin. Es geht um zwei Beispiele, wobei das eine Beispiel jetzt ein Qmail ist, aber ein ähnliches Problem hatte ich beim Postfix vom Kumpel.

Fall 1 (Qmail), Kollege in der Firma wollte eine Email versenden. Diese Email sollte von müller@domain1.de an chef@domain1.de gehen! Somit wäre die Email sogar auf dem Server geblieben und nur von Postfach 1 zu Postfach 2 gewandert. Also, Kollege sagt im Thunderbird "absenden" und er bekam die Rückmeldung dass unsere IP (die WAN IP von unserem ISP, der Telekom) geblockt wurde durch RBLs Einfache Lösung, "reconnect" vom DSL Anschluss und gut.

Fall 2 (Postfix), ich stand bei meiner Mutti in der Wohnung, hab eine Email bekommen und wollte diese von meinem Handy beantworten. Als ich die Email versenden wollte, bekam auch ich auf dem Handy die Rückmeldung das meine IP wohl dank RBL geblockt ist Ergebnis, ich habe die Email dann später von zuhause versandt.

Das Qmail Problem ist mir eigentlich egal, die Kiste soll ja später durch ein Postfix ersetzt werden. Nur soll der erst mal richtig funktionieren Aber nicht so, wie der Postfix von meinem Kumpel in Fall 2!

Das ist der Grund gewesen, warum ich versuche das mit den restrictions zu verstehen Ich bin halt ab und an ein wenig Begriffsstutzig Ich verwechsele auch immer gerne den Unterschied vom SMTP und SMTPd, so ad-hock würde ich es definitiv wieder falsch erklären. gibt es da eine Eselsbrücke oder so etwas?

Mfg. Anubis

 

[Thorsten]

Hallo!

Fall 2 (Postfix), ich stand bei meiner Mutti in der Wohnung, hab eine Email bekommen und wollte diese von meinem Handy beantworten. Als ich die Email versenden wollte, bekam auch ich auf dem Handy die Rückmeldung das meine IP wohl dank RBL geblockt ist Ergebnis, ich habe die Email dann später von zuhause versandt.

Reihenfolge der smtpd_recipient_restrictions eventuell? permit_mynetworks, permit_sasl_authenticated,reject_unauth_destination,reject_rbl_client sbl-xbl.spamhaus.org.

mfG
Thorsten

 

[Domi]

... SSH Zugriff ist schon was feines

Da ich jetzt nicht genau weiß, welcher der Server vom Kumpel die Zicken gemacht hatte... schubse ich mal beide Config Varianten hier rein, damit ich weiß... welche schlecht ist Nicht das ich mich noch nach einer richte, die falsch oder schlecht ist

smtpd_recipient_restrictions =
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unknown_sender_domain,
  reject_unknown_recipient_domain,
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_rbl_client zen.spamhaus.org,
  reject_rbl_client ix.dnsbl.manitu.net,
  reject_rbl_client bl.spamcop.net,
  reject_unverified_recipient,
  reject_unauth_destination,
  permit

smtpd_helo_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname

smtpd_sender_restrictions =
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 permit_mynetworks,
 permit_sasl_authenticated

smtpd_recipient_restrictions =
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_destination,
 reject_unlisted_recipient,
 check_policy_service inet:127.0.0.1:12525,
 check_policy_service inet:127.0.0.1:60000,
 permit

smtpd_data_restrictions =
 reject_multi_recipient_bounce,
 reject_unauth_pipelining

Wobei ich ehrlich zugeben muss, im größeren Config File sind die RBLs wohl schon entfernt worden