Postfix: SMTP Auth für reale und virtuelle Benutzer

P

Papier

New Member
Hallo,

ich habe ein Problem mit der SMTP Authentifizierung von Postfix. Die ganzen Zugangsdaten der Kunden liegen in einer MySQL-Datenbank, die von SysCP verwaltet wird und der Zugriff darauf funktioniert auch. Ich möchte allerdings auch gerne E-Mail über Konten verschicken, die nicht von SysCP verwaltet werden und bei dieser Erweiterung fehlt mir jetzt nur noch die SMTP Authentifizierung. Da Postfix über sasl ja nur die Logins aus einer Quelle auslesen kann, benutze ich den saslauthd mit PAM und dort die Module pam_unix und pam_mysql:

Code: 
auth    sufficient      pam_unix.so     nullok
auth    sufficient      pam_mysql.so    user=... passwd=... host=127.0.0.1 db=syscp table=mail_users usercolumn=username passwdcolumn=password
account sufficient      pam_unix.so
account sufficient      pam_mysql.so    user=... passwd=... host=127.0.0.1 db=syscp table=mail_users usercolumn=username passwdcolumn=password

In der Datenbank sind die Zugänge als komplette Mail-Adresse gespeichert, daher rufe ich den saslauthd mit der Option -r auf, damit die Domain an den Benutzernamen gehängt wird und der Eintrag in der Datenbank gefunden werden kann. Damit kann ich jetzt allerdings keine Mails von echten Benutzerkonten verschicken, weil pam_unix natürlich keine Benutzernamen mit angehängter Domain erkennt.

Ich kann jetzt entweder saslauth mit -r starten, dann funktionieren die virtuellen Konten oder ohne -r, dann funktionieren die echten...

Bevor ich jetzt noch 5 weitere Dienste zur Authentifizierung suche und dazwischenschalte wollte ich einfach mal fragen, ob ihr noch eine einfachere Idee dazu habt oder wie ihr das löst. Ich möchte ungerne komplett von SysCP abhängig sein, deswegen habe ich meine Domain nicht auch einfach in die Datenbank eingetragen.

Auch über Hinweise zur Sicherheit würde ich mich freuen. Um die Verschlüsselung der Passwörter wollte ich mich noch kümmern, sobald das Grundsystem erstmal läuft, aber ansonsten wollte ich das so einsetzen.
 
Hallo und Willkommen an Board!

Papier said:
Ich möchte ungerne komplett von SysCP abhängig sein, deswegen habe ich meine Domain nicht auch einfach in die Datenbank eingetragen.
Click to expand...
Da ist die Frage, warum nicht?
Denn ich sehe gerade keine (einfache) Lösung für Dein Problem.

huschi.
 
Tja, wieso eigentlich nicht? Ich habe auch noch nicht so viel Erfahrung mit Servern, die von außen erreichbar sind, daher weiß ich nicht, ob

Mich stört z.B. der Datenbankserver dazwischen... das ist ja ein weiterer Dienst der ausfallen kann und mich von meinen Mailkonten aussperren kann. Wenn ich mich dann vom Server per Mail informieren lassen möchte, dass die Datenbank nicht mehr richtig läuft, bekomme ich ja nichts davon mit. Allerdings sollte ich mir ja zumindestens auffallen, dass ich keine Mails mehr senden/empfangen kann, also könnte das schon als Hinweis reichen ;)

Dann könnte ich ja irgendwann mal das Admin-System wechseln wollen. Da wäre ich dann auch wieder während der Umstellung von meinen Mailkonten getrennt.

Vielleicht mal ein paar Worte zur Situation: ich habe nur einen einzigen Kunden auf dem Server und der möchte sich trotzdem gerne selber Mail-Adressen, Datenbanken usw anlegen. Deswegen habe ich mich für ein möglichst simples Admin-System entschieden und bin durchaus noch in der Lage das notfalls nochmal zu wechseln.

Insgesamt werde ich aber wohl doch entweder meine Serverdomain in SysCP eintragen müssen oder auf das Verschicken von Mails über diese Konten verzichten. Sollte ja auch noch akzeptabel sein, hauptsache der Server kann mir was schicken, eine weitere Domain um selber auch Mails zu schreiben kann ich ja immer noch in SysCP anlegen.
 
Genau dafür kann ich nur eine Email bei GMX/Web.de/etc. empfehlen.
Solltest Du eh haben. Solltest Du auch bei Deinem Hoster hinterlegen.

Denk nur an folgendes Scenario:
Dein Host wird gehackt und ein DoS von dort gestartet.
Der ISP merkt dies und sperrt den Server.
Er Schickt Dir freundlicherweise ein Email an die Kontaktadresse...

Es muß nicht immer gleich ein Hack sein, es kann auch andere Gründe geben, warum der ISP Deinen Server sperrt.
Aber Du solltest in jedem Fall eine Email-Adresse haben, die nicht über den Server geht.
Und aus diesen Gründen sollten auch die root-Mails über eine externe Mail-Adresse gehen.

huschi.
 
Ja klar, beim ISP hab ich natürlich eine andere eMail-Adresse angegeben. Danke aber für den Hinweis, auch wenn ich gehofft hatte die Gratis-Mailer endlich los zu sein.. ;)
 
Ähm, hä? Mal das mal zu reduzieren, würde es Dir ausreichen, wenn Du mit nem beliebigen SASL authentifizierten Zugang mit beliebiger Absenderadresse senden könntest (was in der einfachen Form dann für alle User auf dem Server geht, Du also bei bösen Usern ein Spam Problem bekommen KÖNNTEST, aber für Spam ja eh dann meist irgendwelche PHP Sachen genommen werden, die lokal aufm Server versenden, also eher ein theoretisches Problem)

???
 
You must log in or register to reply here.
Back
Top