smtp-Auth mit postfix per plain oder login

Miksch

Miksch

New Member
Hallo Forum! :)
Mein OS ist debian etch, ich habe mir postfix installiert und moechte ueber einen smarthost meine Mails relayen und empfangen.
Da mein Provider auf smtp-Auth besteht und nur login oder plain akzeptiert habe ich mir cyrus-sasl2 installiert.
Meine /etc/postfix/main.cf sieht wie folgt aus:
Code: 
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=no
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = localhost
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = tuxolino.net, localhost, localhost.localdomain, localhost
relayhost = mail.tuxolino.net
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit mynetworks, che
ck_relay_domains

smtp_sasl_auth_enable=yes
smtp_sasl_password_maps=hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options=login

Meine /etc/postfix/sasl_passwd enthaelt folgenden Eintrag:
Code: 
tuxolino.net     pinguin@tuxolino.net:passwort

Folgende Fragen habe ich dazu:
1. Mein System traegt vor meinem Mailnamen immer meinen 'username' ein, was es nicht soll
2. Mein Provider verweigert das Relaying, da ich mich nicht richtig authentifziere.
Hat jemand von Euch eine Idee oder einen Vorschlag, was ich falsch mache?
TIA und viele Gruesse,
Miksch
 
Erstmal die Frage aller Fragen: Was steht im Logfile?

Zum anderen ist "login" kein erlaubter Wert für smtp_sasl_security_options.

PS: Crossposting in anderen Foren an ein und dem selben Tag sind nicht wirklich gern gesehen.
Das spricht nämlich dafür, daß Du weder dem einen noch dem anderen Forum entsprechende Kompetenz einräumst. Und damit beleidigst Du ne ganze Menge an Usern.

huschi.
 
Hallo Huschi!
Zunaechst einmal vielen Dank fuer Deine Antwort! Der Hinweis, auf die sasl_security_options erscheint mir schon mal sehr wertvoll.
Die log-Datei werde ich, sobald ich wieder zu Hause bin, nachreichen.
Das Crossposting, tut mir wirklich leid! Es war unbedacht von mir und ich hatte nicht im geringsten die Absicht jemanden zu beleidigen. Ich war lediglich, leider, zu ungeduldig.
Viele Gruesse,
Miksch
 
Last edited by a moderator:
Guten Abend!
meine /etc/postfix/main.cf habe ich auf 'sasl_security_options=noanonymous' geaendert. Das Relayen wird dennoch verweigert. Meine /var/log/mail.log sieht wie folgt aus:
Code: 
Nov 12 19:02:39 localhost postfix/pickup[4041]: 825712B6B9: uid=1000 from=<michael>
Nov 12 19:02:39 localhost postfix/cleanup[4070]: 825712B6B9: message-id=<20071112180239.GA4061@tuxolino.net>
Nov 12 19:02:39 localhost postfix/qmgr[4042]: 825712B6B9: from=<michael@tuxolino.net>, size=448, nrcpt=1 (queue active)
Nov 12 19:02:40 localhost postfix/smtp[4072]: 825712B6B9: to=<mgschmidt@foni.net>, relay=mail.tuxolino.net[89.246.255.36]:25, delay=0.65, delays=0.11/0.19/0.29/0.06, dsn=5.7.1, status=bounced (host mail.tuxolino.net[89.246.255.36] said: 550 5.7.1 <mgschmidt@foni.net>... Relaying denied. Proper authentication required. (in reply to RCPT TO command))
Nov 12 19:02:40 localhost postfix/cleanup[4070]: 237382B6BA: message-id=<20071112180240.237382B6BA@localhost>
Nov 12 19:02:40 localhost postfix/qmgr[4042]: 237382B6BA: from=<>, size=2309, nrcpt=1 (queue active)
Nov 12 19:02:40 localhost postfix/bounce[4073]: 825712B6B9: sender non-delivery notification: 237382B6BA
Nov 12 19:02:40 localhost postfix/qmgr[4042]: 825712B6B9: removed
Nov 12 19:02:40 localhost postfix/local[4074]: 237382B6BA: to=<michael@tuxolino.net>, relay=local, delay=0.11, delays=0.01/0.03/0/0.07, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Nov 12 19:02:40 localhost postfix/qmgr[4042]: 237382B6BA: removed
Meine /etc/postfix/sasl_passwd habe ich wie folgt angepasst:
Code: 
tuxolino.net    michael@tuxolino.net:passwort
Hat jemand von Euch dennoch eine Idee wo der Hase im Pfeffer liegen koennte?
TIA und viele Gruesse,
Miksch

P.S.: Ich habe nun schon einiges wieder ausprobiert und getestet, habe mir auch den Link von Huschi angeschaut. Danach scheint es mir, dass sasl gar kein plain oder login, also keine unverscluesselte Authentifizierung zulaesst. Habe ich das richtig verstanden?
 
Last edited by a moderator:
Es scheint mir doch SEHR problematisch zu sein einen postfix-Server zu betreiben, wenn ein Relayhost verwendet werden soll der keine Verschluesselung fuer die smtp-Authentifizierung akzeptiert.
Wessen bedarf es denn um eine eigene Maildomain "selbst" zu betreiben? Also so zu betreiben, dass ich selbst festlegen kann ob eine Verschluesselung moeglich ist oder nicht.
Brauche ich dafuer einen root oder rackserver? Oder geht das auch billiger? Hier komme ich wieder mit meinem "alten PC" den ich mit fester IP oder womoeglich mit einer dyndns-IP vom Internet erreichbar machen kann.
Ist das wieder nur eine vollkommen irreale Vorstellung von mir oder ein moeglicher Weg?
TIA und viele Gruesse,
Miksch
 
Miksch said:
status=bounced (host mail.tuxolino.net[89.246.255.36] said: 550 5.7.1 <mgschmidt@foni.net>... Relaying denied. Proper authentication required. (in reply to RCPT TO command))
Click to expand...
Die Authentifizierung wurde nicht weiter gegeben.

Danach scheint es mir, dass sasl gar kein plain oder login, also keine unverscluesselte Authentifizierung zulaesst.
Click to expand...
Wenn "noplaintext" gelassen wird, schon.

Miksch said:
Wessen bedarf es denn um eine eigene Maildomain "selbst" zu betreiben?
Click to expand...
Immer wieder die selbe Frage... :(
Im Zweifelsfall einfach einen Webspace anmieten und die Domain drauf legen.

huschi.
 
Guten Morgen Huschi!
Selbstverstaendlich habe ich "noplaintext" NICHT dort stehen gelassen. Der einzige Eintrag den ich dort hatte war "noanonymous". Ebenso habe ich es mit einem leeren Feld nach dem "=" und mit auskommentiertem "sasl_security_options" probiert.
Der Erfolg war jedes Mal negativ.
Zu meiner zweiten Frage:
Es ist eine ganz andere Frage als die bisherigen. Vielleicht ist es fuer Dich selbstverstaendlich, wie man einen eigenen Relayhost installiert. ich weiss es nicht. Ich habe ja eine Domain bei einem Provider gehostet, der aber leider nicht die technische Moeglichkeit bietet Passwoerter verschluesselt zu uebermitteln. Daher meine Frage nach dem eigenen Relayhost.
Viele Gruesse,
Miksch
 
Miksch said:
Ebenso habe ich es mit einem leeren Feld nach dem "=" und mit auskommentiertem "sasl_security_options" probiert.
Click to expand...
Siehe Doku: "smtp_sasl_security_options (default: noplaintext, noanonymous)"
Wenn Du es also leer läßt, kommt der Default-Wert rein.

Daher meine Frage nach dem eigenen Relayhost.
Click to expand...
Was soll der eigene Relayhost denn dann für Vorteile bringen?
Wenn Dein ISP nur Login und Plain zuläßt erhöhst Du nicht die Sicherheit indem Du einen Relay dazwischen schaltest.
Außerdem bietet Dein ISP TLS. D.h. die ganze Übertragung inkl. Passwort wird verschlüsselt. Einem direkten Kontakt zwischen ISP und Deinem Mail-Client steht eigentlich nichts im Wege.

Was die Fehlersuche angeht:
Verbose-Logging in Postfix - huschi.net

huschi.
 
Guten Morgen Huschi!
Danke fuer Deine Hinweise!
Du hast natuerlich Recht mit dem "default-Wert" fuer sasl_security_options". Das habe ich auch gesehen, dennoch wollte ich einfach verdeutlichen, was ich alles probiert habe. Den Hinweis habe ich naemlich erst zu spaet gelesen.
Was mich interessieren wuerde ist woher Du weisst das mein Provider, Versatel, tls erlaubt. Mir hat man telefonisch die Auskunft erteilt, dass gar keine Verschluesselung, ausser direkt ueber die Versatel Homepage, moeglich ist. Das will natuerlich nicht heissen, das die Auskunft stimmte.
Ich werde gleich noch mal anrufen.
Mein Gedanke beim eigenen Relayhost, was ich vielleicht, als newbie in diesem Bereich, ja auch falsch ausgedrueckt hatte, ist, das ich einen "Rechner" mit eigenem OS betreibe auf dem ich entscheiden kann ob SSL TLS md5 etc. nutzbar sein soll oder nicht.
Gruss,
Miksch

P.S.: Eben hat mir Versatel erneut telefonisch die Auskunft gegeben, dass keinerlei verschluesselte Uebertragung moeglich ist.
 
Last edited by a moderator:
Miksch said:
das ich einen "Rechner" mit eigenem OS betreibe auf dem ich entscheiden kann ob SSL TLS md5 etc. nutzbar sein soll oder nicht.
Click to expand...
Ja, aber wenn dieser Server die Emails wieder an Deinen ISP ohne gesicherter Leitung weiter reicht, bleibt es doch bei der selben Sicherheitslücke.
Wenn Du einen eigenen Server (virtuellen/dedizierten Server) nimmst, dann nimm auch die ganze Domain mit drauf.
Bzw. evtl. wäre einfach nur Sinnvoll einen richtigen Webspace (nicht bei Versatel) zu mieten.

Aber mit einem Home-Server bleibt Dein Problem so wie es ist bestehen.

Eben hat mir Versatel erneut telefonisch die Auskunft gegeben, dass keinerlei verschluesselte Uebertragung moeglich ist.
Click to expand...
Das TLS war tatsächlich nur gerate, weil dies inzwischen Standard sein sollte.
Aber dies ist ein entsprechender Grund den Anbieter zu wechseln.
Zu Deiner Domain tuxolino.net sind zwei MX-Server eingetragen.
Der Zweite (mfb.versatel.de) erlaubt folgende AUTH-Methoden: GSSAPI DIGEST-MD5 CRAM-MD5.

huschi.
 
Hallo Huschi!
Ich finde es sehr nett von Dir, dass Du Dir mit meinen Belangen so viel Muehe gibst, obwohl ich ja eher Anlass fuer Missbilligung biete. Danke!
Huschi said:
Ja, aber wenn dieser Server die Emails wieder an Deinen ISP ohne gesicherter Leitung weiter reicht, bleibt es doch bei der selben Sicherheitslücke.
Wenn Du einen eigenen Server (virtuellen/dedizierten Server) nimmst, dann nimm auch die ganze Domain mit drauf.

Der Zweite (mfb.versatel.de) erlaubt folgende AUTH-Methoden: GSSAPI DIGEST-MD5 CRAM-MD5.

.
Click to expand...
Das meinte ich. Ich werde mal sehen ob ich das Problem dann mit den von Dir entdeckten Methoden loesen kann. Sonst werde ich mich tatsaechlich mal nach einem anderen Hoster umschauen.
Viele Gruesse,
Miksch


P.S.: Auf erneutes Nachfragen habe ich einen neuen smtp-Server von Versatel genannt bekommen, der nun auf einmal doch Verschluesseln kann ;).
Die Adresse lautet: ens34fl.versatel.de.
Es waere sehr nett von Dir huschi, wenn Du mir jetzt noch erklaeren wuerdest wie ich herausbekomme welche Verschluesselung dieser Server anbietet.
TIA, Miksch
 
Last edited by a moderator:
Das Problem ist geloest. Das Ziel des 'relayhost' muss in [ ] eckige Klammern gesetzt werden.
Code: 
relayhost=[rel.lay.host]
Macht man das nicht startet startet Postfix eine DNS-Anfrage und schickt die Mail ab. Dabei kann das Ziel auch ein verkehrter Rechner sein, so wie bei mir geschehen.
Wird der 'relayhost' jedoch in [ ] eckige Klammern gesetzt wird die Mail DIREKT dorthin geschickt.
Danach klappte es auch :)
Viele Gruesse,
Miksch
 
You must log in or register to reply here.
Back
Top