S4F vserver smpt pop auth

[m|b]

hallo zusamen. habe meinen vserver mit RH9 und confixx versehen. beim einrichten der postfächer ist mir sehr negativ aufgefallen, dass smtp keinen beschränkungen unterliegt (kein auth, kein smtp after pop). ich hab mich auch noch nicht sehr tiefschürfend damit beschäftigt, da, egal was ich auf bs ebene einstellen würde, mir confixx doch wieder alles überschreibt (warum hab ich mich auch darauf eingelassen). wie kann ich nun eine authentifizierung hinbekommen und sollte die standardinstallation sowas nicht schon von vornherein ausschliessen?

mfg

m

 

[Huschi]

(kein auth, kein smtp after pop)

Erstmal Grundlagen:
Wärend SMTP-Auth zu einem festen Bestandteil von sendmail geworden ist, ist smtp-after-pop schon immer nur ein Patch gewesen, da sendmail und entsprechender POP3-Server eigendlich immer getrennt von einander laufen.

SMTP-Auth sollte eigendlich std.-mässig eingeschaltet sein.
Du findes i.d.R. unter /etc/mail/sendmail.mc die M4-Konfigurationsdatei, aus der die /etc/sendmail.cf erstellt wird. In dieser Datei solltest Du Zeilen wie diese finden:

define(`confAUTH_OPTIONS', `A')dnl
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

Wenn ja, dann ist SMTP-Auth eingeschaltet.
Wenn nein, dann solltest Du etwas daran tun.

huschi.

 

[m|b]

das war eine schnelle antwort. danke. ich hab nach solchen zeilen gesucht, aber keine gefunden. ein paar sachen mit *auth* sind da, aber ich schau da rein wie die sprichwörtliche sau ins uhrwerk.
sicherheitshalber habe ich auch noch bi s4f angerufen (7 EUR) und mein herz über dieses problem ausgeschüttet. ergebnis: man sagte uns relaying denied...

hier das, was ich tue (und das funktionierte mit dem RH7 nicht!)

telnet xxxxxx.vserver.de 25
220 xxxxxx.vserver.de ESMTP Sendmail 8.12.8/8.12.8; Wed, 10 Mar 2004 16:03:30 +0
100
HELO www.whatever.com
250 xxxxxx.vserver.de Hello pxxxxxxxx.dip.t-dialin.net [xxx.xxx.xxx.xxx], pleased
to meet you
MAIL FROM: jon@doe.com
250 2.1.0 jon@doe.com... Sender ok
RCPT TO: xxx@xxxxxxxxx.de
250 2.1.5 xxx@xxxxxxxxx.de... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
Subject: das darf nicht gehen!!!

und es geht trotzdem!
.
250 2.0.0 i2AF3U2p011424 Message accepted for delivery

so. die daten hab ich sinnvollerweise weggelassen (bei nem open relay). die adresse xxx@xxxxxxxxx.de ist eine firmenadresse bei einem anderen lokalen provider. die email kommt dort an 7 eur um so nen schwehren fehler zu melden und dann abgekanzelt zu werden....

naja

mfg

m

 

[Dennis]

Also ich denke auch dass es standartmäßig aktiviert ist. Kannst auch testen indem du einfach mal versuchst ne Mail zu versenden ohne dich zu authetifizieren.

Ansonsten solltest du tatsächlich ganz schnell was dagegen tun oder erstmal den sendmail stoppen. Sonst kann sein du hast bald ne menge Traffic und Ärger.

Gruß Dennis

 

[Thorsten]

Hallo m !
Unter http://www.ordb.org/submit/ kannst du 'von außen' testen lassen ob es sich tatsächlich um ein offenes relay handelt.

mfG
Thorsten

 

[Huschi]

Unter http://www.ordb.org/submit/ kannst du 'von außen' testen lassen ob es sich tatsächlich um ein offenes relay handelt.

Aber vorsicht!!! Die setzen einen sofort auf die Blacklist.

Ich bin leider (immer noch) kein Sendmail-Profi. Ich kämpfe mich eher schlecht als recht durch meinen Sendmail-Konfigurationen.
In diesem Thread habe ich mal versucht zu beschreiben, wie man SMTP-Auth nachträglich (mit Hilfe von Webmin) aktiviert.

Sicher Dir auf jedenfall o.g. Dateien, damit Du ggf. die alte Config wieder herstellen kannst.

huschi.

 

[m|b]

danke für die freundliche hilfe allerseits

und ich möchte grossteils entwarnen.
der sachverhalt ist folgender (ich bin kein sendmailexperte, mir fehlt einfach die zeit, ich gebe es mal laienhaft wieder):
smtp auth scheint nach einer erfolgreichen authentifizierung sich die ip adresse, von der sie kam eine zeitlang zu merken (in meinem fall scheint es eine stunde zu sein). so lang kann jeder, der mit der selben ip adresse kommt, innerhalb dieses zeitfensters mit diesem server mails verschicken. es klappt auch, wenn irgendjemand mit irgendeinem postfach eine mail absendet und dann ein anderer, der auf der gleichen adresse connected (am gleichen router hängt, wie der, der sich authentifiziert hat) innerhalb dieses zeitfensters.
mein szenario: ein kollege hat auf dem server ein eigenes postfach und einen eigenen auth und hat auch dort schon email abgeholt. ich check in dem zeitfenster mit telnet, ob ich relayen kann und tapp scheinbar jedesmal genau da hinein.
ob das verhalten nun gut oder schlecht oder mehr oder weniger wünschenswert ist, mag dahingestellt sein. auf alle fälle ist es kein open relay oder der missbrauch dazu ist eben nur unter oben dargestellten szenario möglich (worst-case: studentenwohnheim. wie werden eigendlich die dial-up ips verteilt? auch nicht uninteressant vor diesem hintergrund).

nochmals vielen dank für die freundliche hilfe

mfg

m

 

[TTRCmedia]

smtp auth scheint nach einer erfolgreichen authentifizierung sich die ip adresse, von der sie kam eine zeitlang zu merken (in meinem fall scheint es eine stunde zu sein).

Frage an die Experten on Board: Lässt sich die Dauer dieses "Zeitfensters" beeinflussen? Also z.B. auf 15 Minuten senken?

Übrigens lässt sich mit oben beschriebenem Verfahren auch schön testen, ob SpamAssassin funktioniert... *g*

 

[Eternal]

Anscheinend hat S4y daran gearbeitet. Jetzt ist SMTP-Auth wirklich aktiviert....vor 2 Wochen war das nicht der Fall.

 

[society]

Anscheinend hat S4y daran gearbeitet. Jetzt ist SMTP-Auth wirklich aktiviert....vor 2 Wochen war das nicht der Fall.

also bei mir gehts noch nicht, hast du suse9 druff?

 

[Huschi]

Lässt sich die Dauer dieses "Zeitfensters" beeinflussen? Also z.B. auf 15 Minuten senken?

Ich bin ehrlich gesagt nicht sicher, ob es ein solches Zeitfenster überhaupt gibt.
In der entsprechenden RFC für SMTP-Auth steht nichts davon und ich bin auch sonst noch nirgends darüber gestolpert...

huschi.

 

[miko93]

...smtp auth scheint nach einer erfolgreichen authentifizierung sich die ip adresse, von der sie kam eine zeitlang zu merken (in meinem fall scheint es eine stunde zu sein). so lang kann jeder, der mit der selben ip adresse kommt, innerhalb dieses zeitfensters...

Hatte auch den Eindruck, dass das bei mir so ist. Alle (naja, 2) Tests im web meldeten "kein Relay", und trotzdem konnte ich mit einem neu erstellten Outlook acc ohne pwd mails senden.
m|b, woher hast Du denn diese Info ?

edit: typo. mann mann

 

[Huschi]

Wie gesagt, Outlook erkenne ich nicht als Referenz-Client an.

Es kommt aber auch immer drauf an, welche Email-Adressen Du als Empfänger und Absender verwendest.
Wenn Du z.B. myDomain.com hast und schickst eine Email von blabla@gmx.de an spamtest@myDomain.com muss sich der Lieferant der Email nicht Authentifizieren.
Das Selbe gilt für eine Email von spamversand@myDomain.com an spamtest@myDomain.com.

huschi.

 

[Eternal]

Hier mein Test auf meinem vServer:

eternal@host:~> telnet ***.de 25
Trying 62.75.***.***...
Connected to ***.de.
Escape character is '^]'.
220 ***.de ESMTP Sendmail 8.12.10/8.12.10/SuSE Linux 0.7; Tue, 8 Jun 2004 08:38:11 +0200
helo blablabla.com
250 ***.de Hello *** [80.***.***.***], pleased to meet you
mail from: haha@blablabla.com
250 2.1.0 haha@blablabla.com... Sender ok
rcpt to: spam@blablabla.com
550 5.7.1 spam@blablabla.com... Relaying denied. Proper authentication required.

Also auf meinem Server kann ich nicht mehr "einfach so" eMails verschicken...