smtp_auth Problem

[Cloughar]

Hallo,
mmein Problem ist, dass ich mich via Outlook etc nicht mehr an meinem Emailserver (zum Versenden) anmelden kann (Emails empfangen funktioniert einwandfrei). Wenn ich eine Email versenden will, fragt Outlook mich immer nach meinem Passwort.
In /var/log/messages steht dazu folgendes:

smtp_auth: SMTP connect from unknown@xxxxxxx.de [xx.xx.xx.xx]
smtp_auth: smtp_auth: exit 2 at point x

Ich habe einen Qmailserver mit Plesk bei Strato (Suse 9.3)

Danke für eure Hilfe
Hendrik

 

[kroimon]

Wah!
Ich hab genau das gleiche Problem!
Wenn man zum SMTP Server verbindet schließt dieser die Verbindung sofort wieder.
Im Log taucht genau das gleiche wie oben auf.

Hat irgendjemand eine Idee, was das sein könnte?

 

[kroimon]

OK, ich hatte wohl 2 unabhängige Probleme. Das Erste war nur temporär, das war bei meiner Fehlersuche entstanden und ist hier auch nicht wichtig. Es sorgte dafür, dass der Server die Verbindung wie oben beschrieben direkt schloss. Das hatte ich schnell gemerkt und behoben, blieb das Hauptproblem:

Also wenn ich zum SMTP verbunden hatte konnte ich ohne Anmeldung E-Mails einliefern, also Mails "von Außen nach Innen" kamen an.
Bei ausgehenden Mails ausgehend muss man ja durch Anmeldung per SMTP AUTH erst das relaying freischalten, damit man auch Mails an externe Mailserver schicken kann. Da lag das Problem. Das Anmelden ging nicht und das sagt auch die Fehlermeldung aus dem ersten Post aus, nämlich dass das (Sub-)Programm von qmail, dass für die Anmeldung da ist, einen Fehler lieferte.
Da ich keine andere Möglichkeit sah, da ran zu kommen, und ich per Telnet nicht on-the-fly die Login-Daten verschlüsseln und schicken konnte, hab ich per tcpdump meinen Thunderbird bei dem Versuch belauscht, eine Mail los zu werden. Dabei kam das hier raus:

220 server.name.de ESMTP
EHLO [192.168.2.102]
250-server.name.de
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-AUTH LOGIN CRAM-MD5 PLAIN
250-STARTTLS
250-PIPELINING
250 8BITMIME
AUTH CRAM-MD5
334 *passwort challenge*
*passwort response*
[COLOR="Red"]cmd5checkpw: Unable to open admin password file: Permission denied
System error 13: Permission denied
cmd5checkpw: Unable to open admin password file: Permission denied
System error 13: Permission denied[/COLOR]
AUTH PLAIN *thunderbirds 2ter versuch mit plain*
535 auth failure
235 go ahead

Man sieht also, das cmd5checkpw Programm von Plesk macht Probleme. Da ein strace oder ähnliches in dem Zustand nicht funktioniert hab ich mir also mal den disassemblierten Code des Programms angeguckt und festgestellt, dass direkt vor dieser Fehlermeldung versucht wird, auf die Datei /etc/psa/.psa.shadow zuzugreifen. Das scheint dank falscher Dateirechte fehlgeschlagen zu sein...

-rw-------  1 psaadm psaadm     9 Nov 17 16:30 /etc/psa/.psa.shadow
-r-xr-xr-x  1 root   qmail  65148 Sep 18 05:26 /var/qmail/bin/cmd5checkpw

Temporär hab ich jetzt die .psa.shadow mal auf world-readable gesetzt, was natürlich eine seeehr suboptimale Lösung ist.

Kann mir jemand, der Plesk 8.2.1 betreibt, die richtigen Rechte und Besitzer der Dateien posten?

Danke schonmal...

(hab das hier mal ausführlich beschrieben, vielleicht hilft es jemandem, der mal das gleiche Problem hat...)

 

[chris085]

Aber sicher, an dem solls nicht kiegen

-r-sr-xr-x   1 root   root    64892 2007-09-18 06:06 cmd5checkpw
-rw-------   1 psaadm psaadm    14 2007-09-27 17:05 .psa.shadow

 

[Huschi]

und ich per Telnet nicht on-the-fly die Login-Daten verschlüsseln und schicken konnte

Für's nächste mal: ESMTP-Dialog (SMTP-Auth)

-r-xr-xr-x cmd5checkpw

Da fehlt das Stickybit. Damit wird erreicht, daß cmd5checkpw unter root-Rechten die Passwort-Datei öffnen kann.
Das selbe gilt auch für /var/qmail/bin/smtp_auth. Prüfe hier ebenfalls die Rechte.

huschi.

 

[kroimon]

Dankeschön =)
Scheint nu zu laufen...

@huschi:
Ja, die Theorie war mir bekannt, nur hätte ich mir die Mühe machen müssen, die CRAM-MD5 Methode von Hand zu simulieren, und irgendwie war das mehr Mühe mit dem Challenge und MD5 usw als dass ich einfach was bestehendes mitlogge

 

[Huschi]

Du hättest zum Testen auch eine andere Auth-Methode wählen können...

huschi.

 

[kroimon]

Tja, hätte ich können, aber ich wusste ja erstmal nicht, woran es lag und soweit hab ich nich gedacht

Danke nochmal für die PN mit den vollständigen Dateirechten der qmail binarys, jetzt läuft alles und ich kann weiter an meiner eigenen Greylisting Implementation feilen, weil die Andere mir nicht genug bot (feinere Einstellungen, für welche Domains / Empfänger es aktiv sein soll, Umgehung bei SPF pass, ein paar Konfigurationsmöglichkeiten über control-Dateien, ohne jedesmal neu kompilieren zu müssen, strukturiertere Datenbank etc... Sollte da jemand Interesse anmelden, kann ich das dann auch mal hier irgendwo präsentieren)

 

[Huschi]

Sollte da jemand Interesse anmelden

Anmeldung!

huschi.