Postfix mit Confixx Einrichten Mailversand

[gelleneu]

Nach einer langen Odysee muß ich hier doch mal schreiben:

habe nach einem Systemupdate nun Suse 10.0, Apache 2.2, PHP 5.2.6., MySQL 5.x und Confix 3.3.1. Besonders das Update von Confixx bereitete Streß, weil es mein Postfix "zerschossen" hatte bzw. die main.cf nicht mehr stimmte.

Also hab ich mich rangesetzt und die Main.cf bearbeitet. Nach ewigen Fehlern, Relay access denied usw.. funktioniert jetzt wenigstens
a) das Empfangen von Mails von intern und extern
b) das verschicken von Mails nach intern und extern über Confixx

es funktioniert leider noch nicht
c) das verschicken von Mails über Clients wie Thunderbird

ich vermute das es an der Authentifizierung liegt. Möchte meine Main.cf
auch so konfiguriert haben das alles möglichst "sicher" ist und der Server nicht als Spamschleuder mißbraucht werden kann.

Darum wäre ich für Hinweise dankbar wie ich Punkt c) wieder zum laufen bekomme und was ich an der main.cf noch verändern, verbessern kann um es sicherer zu machen:

Hier die main.cf

alias_maps = hash:/etc/aliases
biff = no
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual,
hash:/etc/postfix/confixx_localDomains,
hash:/etc/postfix/confixx_virtualUsers
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
broken_sasl_auth_clients = yes
disable_vrfy_command = yes
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/spool/mail !!! (unter /var/mail/ liegt ein ähnlicher Dateistruktur auf meinem Server - warum?) !!!
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 20480000

mydomain = +++meine Domain.de+++
myorigin = $mydomain

mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost,
smtp.$mydomain, mail.$mydomain
myhostname = +++meine Domain.de+++
mynetworks = 127.0.0.0/8, +++meine IP+++/32
mynetworks_style = host

newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_invalid_hostname,
                               reject_non_fqdn_hostname,
                               reject_non_fqdn_sender,
                               reject_non_fqdn_recipient,
                               reject_unauth_destination,
                               reject_unknown_sender_domain,
                               reject_unknown_recipient_domain

strict_8bitmime = no
strict_rfc821_envelopes = no

unknown_local_recipient_reject_code = 550
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
#smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
#receive_override_options = no_address_mappings
#smtpd_client_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unknown_reverse_client_hostname, permit
#smtpd_data_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unauth_pipelining, permit
#smtpd_sender_restrictions = hash:/etc/postfix/access
#smtpd_delay_reject = yes

#smtpd_tls_auth_only = no
#smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
#smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
#smtpd_tls_dh1024_param_file = /etc/postfix/ssl/dh_1024.pem
#smtpd_tls_dh512_param_file = /etc/postfix/ssl/dh_512.pem
#smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
#smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
#smtpd_tls_security_level = may

 

[Huschi]

Siehe Probleme mit Postfix und SASL
Bitte mal den Output von "saslfinger -s".

huschi.

 

[gelleneu]

Den genauen Output kann ich erst heut abend posten, nur soviel:

vom Root aus Saslfinger aufrufen, da findet er nix.
Dieser Aufruf:

testsaslauthd -f /var/run/saslauthd/mux -u USER -p PASSWORT

ergibt auch nix, aber
testsaslauthd -f /var/run/sasl2/mux -u USER -p PASSWORT

ergibt eine Ausgabe mit einer fetten 0. Was dahinter auf englisch kommt, kann ich erst gegen 19.00 Uhr posten.

Es gibt auch unter var/run/ nur einen Ordner sasl2 also statt saslauthd.

Ja soviel fürs erste..

 

[Huschi]

vom Root aus Saslfinger aufrufen, da findet er nix.

Du mußt es auch erst installieren/downloaden.

huschi.

 

[gelleneu]

saslfinger - postfix Cyrus sasl configuration Tue May 20 19:30:42 CEST 2008
version: 1.0
mode: server-side SMTP AUTH
-- basics --
Postfix: 2.2.5
System: 
Welcome to SUSE LINUX 10.0 (i586) - Kernel \r (\l).
-- smtpd is linked to --
	libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x400e9000)
-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_use_tls = yes
-- listing of /usr/lib/sasl2 --
total 177
drwxr-xr-x   2 root root   400 Nov  2  2006 .
drwxr-xr-x  56 root root 17720 May 10 09:08 ..
-rwxr-xr-x   1 root root 13592 Sep  9  2005 libanonymous.so
-rwxr-xr-x   1 root root 13592 Sep  9  2005 libanonymous.so.2
-rwxr-xr-x   1 root root 13592 Sep  9  2005 libanonymous.so.2.0.21
-rwxr-xr-x   1 root root 14420 Sep  9  2005 liblogin.so
-rwxr-xr-x   1 root root 14420 Sep  9  2005 liblogin.so.2
-rwxr-xr-x   1 root root 14420 Sep  9  2005 liblogin.so.2.0.21
-rwxr-xr-x   1 root root 18756 Sep  9  2005 libsasldb.so
-rwxr-xr-x   1 root root 18756 Sep  9  2005 libsasldb.so.2
-rwxr-xr-x   1 root root 18756 Sep  9  2005 libsasldb.so.2.0.21
-rw-------   1 root root    49 Sep  9  2005 smtpd.conf
-- content of /usr/lib/sasl2/smtpd.conf --
pwcheck_method: saslauthd
mech_list: plain login
-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       n       -       -       smtpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
	-o fallback_relay=
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache	  unix	-	-	n	-	1	scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus	  unix	-	n	n	-	-	pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp	  unix	-	n	n	-	-	pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}
-- mechanisms on localhost --
250-AUTH LOGIN

250-AUTH=LOGIN

-- end of saslfinger output --

 

[gelleneu]

@Huschi

also es ist irgendwie ganz kompliziert :-/

Er sendet doch von Thunderbird aus (von Confixx ja sowieso), wenn man als SMTP-Konto-Einstellung "TLS wenn möglich" einstellt. ABER: bei einem Account hat er jetzt grad ohne Fehlermeldung verschickt,
bei einem anderen Postfach, auf nem anderen Confixx Account kommt dann schon mal "Es konnte nicht per STARTTLS mit dem SMPT-Server xy Kontakt aufgenommen werden, da er STARTTLS nicht in Verbindung mit EHLO unterstützt.

Auch meldet er Fehler wenn PGP im Spiel ist und und und. Ich glaube es müßte doch mal einfach die main.cf noch weiter überarbeitet werden, insbesondere einige TLS Kommandos hab ich da ja wieder auskommentiert, obwohl die darin enthaltenen Parameter korrekt angelegt sind und stimmen..

EDIT: ok ich hab jetzt was herausgefunden: durch die TLS Verschlüsselung die momentan zum Senden wohl nötig ist, spielen einige Virenscanner, bzw. wahrschl. auch das PGP Desktop verrückt. Das heißt, ich muß es hinbekommen das er TLS NICHT mehr braucht, bitte halt mich für doof, aber ich freue mich jetzt so das es überhaupt läuft, das ich am liebsten nur noch nach Anleitung in der Main.cf auskommentieren möchte. Also was sollte da raus, damit auch ohne TLS gesendet wird?

 

[Huschi]

Ohne TLS geht es doch immer. Das brauchst Du lediglich Deinem Client sagen.
Aber Du hast auch einige wesentlichen Bestandteile von TLS nicht in der main.cf drin. Vor allem kein Zertifikat.
Siehe Debian/Postfix: TLS einrichten - huschi.net

Von VirenScanner, die den Mailverkehr abhören halte ich grundsätzlich nichts. Die machen lediglich doppelte Arbeit, kosten Performance und behindern ggf. sogar eine teilweise zeitkritische Connection.
Und GPG hab ich als Plugin im Thunderbird. D.h. der lauscht auch nicht dazwischen sondern arbeitet brav im Hintergrund.

Was mich an Deinem SaslFinger-Output wundert, ist daß oben noch login+plain steht, unten aber nur "AUTH LOGIN".

huschi.

 

[gelleneu]

Danke

Danke - aber, was nun?