Postfix Authentifizierung am relayhost smtp.strato.de:587

[zeichensatz]

Ich versuche einem postfix unter openSUSE 11, der bisher ohne Probleme Mails an den Port 25 an relayhosts weitergibt, zu überreden, über eine sichere Verbindung Mails an den relayhost smtp.strato.de:587 weiterzuleiten.

Ich versuche mich verzweifelt schon seit Tagen.

Vielleicht kann mir jemand einen Tipp geben, was ich noch versuchen könnte!
Ich weiss echt nicht mehr weiter ...

Testweise habe ich den Mailversand auf einer Diskstation von Synology ausprobiert und dort hat es auch geklappt. Ich habe alle möglichen Einstellungen abgeglichen und bekomme dennoch unter openSUSE immer Fehlermeldungen.

Zunächst dieser Art:

Feb  4 14:28:50 ms postfix/smtp[19006]: certificate verification failed for smtp.strato.de[81.169.145.133]:587: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Feb  4 14:28:50 ms postfix/smtp[19006]: EB76F2A6D0: to=<testssl@mydomain.de>, relay=smtp.strato.de[81.169.145.133]:587, delay=0.33, delays=0.01/0.05/0.24/0.03, dsn=5.7.0, status=bounced (host smtp.strato.de[81.169.145.133] said: 530 5.7.0 Bitte konfigurieren Sie ihr E-Mailprogramm fuer Authentifizierung am SMTP Server, wie auf www.strato.de/email-hilfe beschrieben. - Please configure your mail client for using SMTP Server Authentication (in reply to MAIL FROM command))

Ich habe zunächst die cacert.pem aus der DiskStation auf meine openSUSE-Installation unter /etc/ssl/certs kopiert und diese dann in der /etc/postfix/main.cf eingebunden:

smtp_tls_CAfile = /etc/ssl/certs/cacert.pem

Damit ist zwar die Zertifikats-Fehlermeldung weg, aber weiter bin ich nicht wirklich, denn danach erhalte ich die folgenden Fehlermeldungen:

Feb  4 15:43:07 ms postfix/pickup[21322]: A52932AC71: uid=0 from=<root>
Feb  4 15:43:07 ms postfix/cleanup[21337]: A52932AC71: message-id=<20140204144307.A52932AC71@ms.mydomain.lan>
Feb  4 15:43:07 ms postfix/qmgr[21325]: A52932AC71: from=<user@mydomain.de>, size=462, nrcpt=1 (queue active)
Feb  4 15:43:08 ms postfix/smtp[21339]: A52932AC71: to=<testssl@mydomain.de>, relay=smtp.strato.de[81.169.145.133]:587, delay=0.38, delays=0.05/0.06/0.25/0.03, dsn=5.7.0, status=bounced (host smtp.strato.de[81.169.145.133] said: 530 5.7.0 Bitte konfigurieren Sie ihr E-Mailprogramm fuer Authentifizierung am SMTP Server, wie auf www.strato.de/email-hilfe beschrieben. - Please configure your mail client for using SMTP Server Authentication (in reply to MAIL FROM command))
Feb  4 15:43:08 ms postfix/cleanup[21337]: 135242AC72: message-id=<20140204144308.135242AC72@ms.mydomain.lan>
Feb  4 15:43:08 ms postfix/qmgr[21325]: 135242AC72: from=<>, size=2713, nrcpt=1 (queue active)
Feb  4 15:43:08 ms postfix/bounce[21341]: A52932AC71: sender non-delivery notification: 135242AC72
Feb  4 15:43:08 ms postfix/qmgr[21325]: A52932AC71: removed
Feb  4 15:43:08 ms postfix/smtp[21339]: 135242AC72: to=<user@mydomain.de>, relay=smtp.strato.de[81.169.145.133]:587, delay=0.28, delays=0.01/0/0.24/0.03, dsn=5.7.0, status=bounced (host smtp.strato.de[81.169.145.133] said: 530 5.7.0 Bitte konfigurieren Sie ihr E-Mailprogramm fuer Authentifizierung am SMTP Server, wie auf www.strato.de/email-hilfe beschrieben. - Please configure your mail client for using SMTP Server Authentication (in reply to MAIL FROM command))
Feb  4 15:43:08 ms postfix/qmgr[21325]: 135242AC72: removed

Hier die Ausgabe von postconf -n auf dem openSUSE-Mailserver:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
biff = no
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
defer_transports = 
disable_dns_lookups = no
disable_mime_output_conversion = no
fallback_transport = cyrus
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = ipv4
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command = /usr/lib/cyrus/bin/deliver
mailbox_size_limit = 0
mailbox_transport = cyrus
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains = mydomain.de
masquerade_exceptions = root
message_size_limit = 256000000
mydestination = ms.mydomain.lan,localhost.mydomain.lan,mydomain.lan
myhostname = ms.mydomain.lan
mynetworks_style = subnet
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost = [smtp.strato.de]:587
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/certs/cacert.pem
smtp_tls_cert_file = /netzwerk/ZSmail/lib/server.pem
smtp_tls_key_file = /netzwerk/ZSmail/lib/server.pem
smtp_use_tls = yes
smtpd_client_restrictions = 
smtpd_helo_required = no
smtpd_helo_restrictions = 
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = ms
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_cert_file = /netzwerk/ZSmail/lib/server.pem
smtpd_tls_key_file = /netzwerk/ZSmail/lib/server.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_8bitmime = no
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virtual

Hier die /etc/postfix/master.cf

#
# Postfix master process configuration file.  For details on the format
# of the file, see the Postfix master(5) manual page.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       10       smtpd -o content_filter=smtp:[127.0.0.1]:10024
# previous line changed to the following [wok 2009/01/21]
#smtp      inet  n       -       n       -       2       smtpd -o content_filter=smtp:[127.0.0.1]:10024
#submission inet n      -       n       -       -       smtpd
#       -o smtpd_etrn_restrictions=reject
#       -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps    inet  n       -       n       -       10       smtpd -o smtpd_tls_wrappermode=yes -o content_filter=smtp:[127.0.0.1]:10024
#  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#submission   inet    n       -       n       -       -       smtpd
#  -o smtpd_etrn_restrictions=reject
#  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
# folling line uncommented for TLS support [wok 2009/01/21]
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
localhost:10025 inet    n       -       n       -       -       smtpd -o content_filter= -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_address_mappings
# previous line replaced with the following [wok 2009/01/21]
#localhost:10025 inet n - y - - smtpd -o content_filter=smtp:[127.0.0.1]:10026
# following line added [wok 2009/01/21]
#localhost:10027 inet n - n - - smtpd -o content_filter=
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}
retry     unix  -       -       n       -       -       error
proxywrite unix -       -       n       -       1       proxymap

 

[.A.]

Dann mach das, was Strato sagt:

Feb  4 15:43:08 ms postfix/smtp[21339]: A52932AC71: to=<testssl@mydomain.de>, relay=smtp.strato.de[81.169.145.133]:587, delay=0.38, delays=0.05/0.06/0.25/0.03, dsn=5.7.0, status=bounced (host smtp.strato.de[81.169.145.133] said: 530 5.7.0 [I]Bitte konfigurieren Sie ihr E-Mailprogramm fuer Authentifizierung am SMTP Server, wie auf www.strato.de/email-hilfe beschrieben[/I]. - Please configure your mail client for using SMTP Server Authentication (in reply to MAIL FROM command))

--
.A.

 

[zeichensatz]

Ufff! Geschafft!
Ich hatte zuletzt noch einen kleinen Fehler drin:

Es muss heissen

relayhost = smtp.strato.de:587

und nicht

relayhost = [smtp.strato.de]:587

da ich in der Passwort-Datei den Server auch ohne die Klammern drin hatte.

Das hat ganz schön Zeit gekostet :-(

 

[zeichensatz]

Dann mach das, was Strato sagt:

Feb  4 15:43:08 ms postfix/smtp[21339]: A52932AC71: to=<testssl@mydomain.de>, relay=smtp.strato.de[81.169.145.133]:587, delay=0.38, delays=0.05/0.06/0.25/0.03, dsn=5.7.0, status=bounced (host smtp.strato.de[81.169.145.133] said: 530 5.7.0 [I]Bitte konfigurieren Sie ihr E-Mailprogramm fuer Authentifizierung am SMTP Server, wie auf www.strato.de/email-hilfe beschrieben[/I]. - Please configure your mail client for using SMTP Server Authentication (in reply to MAIL FROM command))

--
.A.

Das hab ich ja die ganze Zeit versucht!

Na ja, jetzt ist der Fehler gefunden.

 

[s3vv4]

Hallo zeichensatz,

ich habe auch eine Domain bei strato.de, weiss aber nicht genau mit welchen daten man die SMTP Authentifizierung durchfuehrt.

Die Datei auf die smtp_sasl_password_maps zeigt ist bei mir momentan mit "smtp.strato.de userassword" gefuellt.
Wird dort nach einem Benutzer/Passwort auf dem Strato-Mailserver gefragt, oder was fuer Daten muss man angeben?
Leider klappt bei mir nur das versenden zu hotmail Mailadressen nicht, und das scheint davon abhaengig zu sein.

 

[Whistler]

http://www.strato-faq.de/article/259/Die STRATO E-Mailserver.html

Benutzername/Konto: Ihre vollständige E-Mail-Adresse (z. B. mail@wunschname.de)
Passwort: Das Passwort vergeben Sie im Kundenbereich unter dem Menüpunkt E-Mail und E-Mail Verwaltung