Postfix einrichten STMP-Auth

[netsrac]

Hallo zusammen,
ich habe hier und auf anderen Foren schon ziemlich viel zum Thema Relaying und SMTP-Auth gelesen, aber irgendwie komme ich nicht weiter.

Ich bin, was mailserver angeht, noch nicht so der Guru, möchte aber auch über meinen Server mails an externe adressen senden können.

Nun habe ich in verbindung mit smrp-auth schon von TSL, PAM, MySQL und SASL gelesen und bin ziemlich durcheinander.

Ich habe ein Mailsystem mit ca 10 Mailboxen, bei denen alle einen lokalen User haben. Ist bei 10 Mailboxen auhc nicht wirklich das Problem.

Meinen Server will ich über webmins Virtualmin verwalten, damit ich auch Freunden, die ihre Domain bei mir hosten erlauben kann ihre Mailadressen selbst einzurichten.

Soweit klappt das auch schon ganz gut, und jede Mailbox ist per POP abrufbar.

Das einzige Problem was ich, und wahrscheinlich noch 1000 andere Root-newbies haben ist das relaying...

Wie muß ich vorgehen, das postfix in SMTP-Auth auf die lokalen User prüft??
So wie ich das mitbekommen habe ist cryus oder mysql ja eine verwaltung virtueller mailbenutzer. richtig?

Am besten wäre eine Lösung, bei der Postfix immer schaut, ob der smtp-auth user im lokalen system mit dem passwort vorhanden ist.

Also das ich nicht jedesmal wenn eine neue mailbox angelegt werden soll, einen neuen user in die sasl_datei schreiben muß...

Gibt es eine solche Möglichkeit? Ich bin für jeden Link, jede Doku und jede Erklärung dankbar. Egal ob deutsch oder englisch... ;) Lediglich das PostfixBuch wollte ich mir wegen 10 Mailboxen sparen... Abgesehen davon, das es momentan eh vergriffen ist.


Ich betreibe das alles auf meinem Suse 8.1er Entry bei Hetzner.

Besten Dank
Grüße
Carsten

[squize]

SMTP AUTH Howto

Gruss

Marc

[sambo]

Hi Carsten,
ich bin wohl auch noch nicht der 'guru' - habe mich aber nun lange mit postfix, Spam und virencheck auf einem rootserver beschäftigt.
Du kannst in Postfix eigentlich direkt festlegen, was erlaubt ist und wer "relayen" darf ... die entsprechenden Einträge findest Du in der
/etc/postfix/main.cf (die sollten nahezu selbsterklärend sein ...)

Um nur lokalen nutzern das senden zu erlauben, müsstest du die "smtpd_sender_restrictions" entsprechend setzten...

Ist den das postfix an und für sich schon am laufen?!?
und ist smpt_auth auch schon aktiv ?!? .. oder beginnst Du damit erst
(davon hängt ja ein wenig ab, welche Links die besten für dich sind ;-) )

Erst mal besten Gruß

PEter

[netsrac]

Um nur lokalen nutzern das senden zu erlauben, müsstest du die "smtpd_sender_restrictions" entsprechend setzten...

Also um eventuelle Missverständnisse gleich auszumerzen, mit lokalen Usern mein ich nicht die User, die eventuell an der Kiste hängen oder in irgendeinem Subnetz sitzen. lokale User stehen hier mal für die User, die auf meinem System eingerichtet sind, also ein Passwort und u.a. auch FTP-Zugriff haben.

Ist den das postfix an und für sich schon am laufen?!?
und ist smpt_auth auch schon aktiv ?!? .. oder beginnst Du damit erst
(davon hängt ja ein wenig ab, welche Links die besten für dich sind ;-) )

Postfix läuft schon. Soweit gibt es da auch keine Probleme. Mails, die an diesen Server gehen, werden schon in die Richtigen Mailboxen verteilt und können auch über POP abgerufen werden. Ich hab da GNU-POP3 o.ä.

Bei POP werden auch die Userkennungen verwendet, die der user am server direkt hat.

Es geht eignetlich nur im die Einstellung "smtpd_sender_restrictions". Also was genau ich dort eintragen müßte...
Müssen es Einstellung wie Cryus SASL sein, oder gibt es vielleicht nur einen schalter, der dann Postfix quasi mit der /etc/.shadow verknüpft um die passworter gegenzuchecken?

Ich hab halt ??"den Fehler gemacht"?? und die Grundeinrichtung mit Webmin / Virtualmin gemacht. Daher ist mir die main.cf nicht wirklich selbsterklärend.

Die Hauptfrage ist halt erstmal, ob ich SASL brauche, oder ob Postfix auch selbst gegen die angelegten User authentifizieren kann.

Wenn es nur mit SASL geht, dann weiß ich schonmal eine richtung.

Danke!

[sambo]

Also um eventuelle Missverständnisse gleich auszumerzen, mit lokalen Usern mein ich nicht die User, die eventuell an der Kiste hängen oder in irgendeinem Subnetz sitzen. lokale User stehen hier mal für die User, die auf meinem System eingerichtet sind, also ein Passwort und u.a. auch FTP-Zugriff haben.

War soweit schon klar ;-)

Müssen es Einstellung wie Cryus SASL sein, oder gibt es vielleicht nur einen schalter, der dann Postfix quasi mit der /etc/.shadow verknüpft um die passworter gegenzuchecken?

Hier verstehe ich, dass Cyrus SASL schon läuft ....

Die Hauptfrage ist halt erstmal, ob ich SASL brauche, oder ob Postfix auch selbst gegen die angelegten User authentifizieren kann.

hier dann wieder doch nicht ?!?

Was gibt den ein
postconf -n aus ?!?

[netsrac]

Also SASL läuft schon. Ich habe jetzt mit saslpasswd einen User erzeugt.

also

saslpasswd -c usereins

dann 2x das PW bestätigt und Postfix neu gestartet.

Dann habe ich eine Mail versandt und in mail.log stand dies drin.

Code: Select all

Feb  2 19:26:59 linux postfix/master[3011]: reload configuration
Feb  2 19:26:59 linux postfix/qmgr[9261]: B346E161BC: from=<nobody@domainname.de>, size=1298, nrcpt=1 (queue active)
Feb  2 19:27:10 linux postfix/smtpd[9338]: connect from pD9ECAB43.dip.t-dialin.net[XXX.XXX.XXX.XXX]
Feb  2 19:27:11 linux postfix/smtpd[9338]: warning: pD9ECAB43.dip.t-dialin.net[XXX.XXX.XXX.XXX]: SASL LOGIN authentication failed
Feb  2 19:27:16 linux postfix/smtpd[9338]: lost connection after AUTH from pD9ECAB43.dip.t-dialin.net[XXX.XXX.XXX.XXX]
Feb  2 19:27:16 linux postfix/smtpd[9338]: disconnect from pD9ECAB43.dip.t-dialin.net[XXX.XXX.XXX.XXX]

Ich habe gesehen, das cryus eine datei /etc/sasldb angelegt hat und habe in meine main.cf alles angegeben... denke ich... :(

hier mein postconf:

Code: Select all

alias_maps = hash:/etc/aliases
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter =
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
mail_spool_directory = /var/mail
mailbox_command =
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
myhostname = domainname.de
myorigin = domainname.de
newaliases_path = /usr/sbin/sendmail
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_password_maps = hash:/etc/sasldb
smtpd_recipient_restrictions = permit_sasl_authenticated check_relay_domains
smtpd_sasl_auth_enable = yes
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
virtual_maps = hash:/etc/postfix/virtual

So wie ich die smtpd recipient restrictions verstehe müßte es doch stimmen oder nicht?
Ich hab mal meine domain xxxx.de in domainname.de getauscht... also nicht wundern. ;)

was hab ich hier vergessen? ich finds nicht...

[netsrac]

Nachtrag:
Ich hab grad in /log/warn diese Zeile gesehen...

Code: Select all

eb  2 19:27:11 linux postfix/smtpd[9338]: unable to open Berkeley db /etc/sasldb: Permission denied

ok, zugriffsrechtsproblem, aber da nur ich auf der kiste bin hab ich es mal auf 644 gesetzt... vorerst... das ist dann ein anderes problem...

also postfix reload und nun habe ich das problem.

Code: Select all

Feb  2 19:43:21 linux postfix/smtpd[14527]: warning: pD9ECAB4x.dip.t-dialin.net[XXX.XXX.XXX.XXX]: SASL LOGIN authentication failed

Nur benutze ich die gleichen zugangsdaten wie bei POP. Ich habe nur mit saslpasswd den user angelegt... Da ich das pw bestätigen mußte kann ich einen vertipper ausschließen. Im outlook ist nun bei smtp authentifizierung angekreuzt, er fragt aber trotzdem nach Name und PW. Leider funktioniert es nicht....

Noch irgendwelche Ideen? ich schätze wenn ich schon hier bin, kann ich nicht mehr weit vom ziel sein... zumindest das es erstmal funktioniert.

danke

[sambo]

jeep ... soweit kanns nicht mehr sein ;-))

zum Vergleich stell ich Dir einfach mal mein postconf hier rein ... angemerkt sei dazu allerdings, dass ich confixx für die Userverwaltung verwende und zusätzlich mit amavisd-new arbeite , ansonsten müsste die conf relativ ähnlich deiner sein (Suse 8.1)

Code: Select all

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes ## es gib so viele schlecht konf. Mailclients ;-)
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
default_privs = autoresp
defer_transports =
disable_dns_lookups = no
fast_flush_domains = $relay_domains
in_flow_delay = 0
inet_interfaces = all
local_recipient_maps = $alias_maps unix:passwd.byname
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_domains = relays.ordb.org
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains = deinedomain.de
masquerade_exceptions = root
message_size_limit = 20480000
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mydomain = deinedomain.com
myhostname = deinedomain.de
mynetworks = 168.100.189.0/28, 127.0.0.0/8
mynetworks_style = host
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_password_maps = hash:/etc/shadow
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, check_sender_access hash:/etc/postfix/access, reject_maps_rbl, reject_unknown_sender_domain
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains

ich hoffe mal das hilft dir weiter ...

[netsrac]

ok, ich bin jetzt gestern noch soweit gekommen, das ich mich via sasl authentifizieren konnte. War dann doch bißchen einfacher als ich dachte...

Nun müßte ich ja aber für jeden User einen SASLuser mit saslpasswd anlegen... Oder ist die sasldb einfach nur eine hash-datei, die ich mit jedem editor bearbeiten kann und mit postmap umwandeln kann?

Ich hab auch gesehen, das du in deiner main.cf folgende zeile hast.

smtp_sasl_password_maps = hash:/etc/shadow

was machst du mit der shadow im sasl? Ist das die authentifizierung deiner User mit ihrem normalen passwort? Ich hab das gleiche getestet, aber es hat irgendwie nicht funktioniert.

[sambo]

Hi Carsten,
freut mich das Du schon etwas weiter bist ;-)

Ich hab auch gesehen, das du in deiner main.cf folgende zeile hast.

smtp_sasl_password_maps = hash:/etc/shadow

was machst du mit der shadow im sasl? Ist das die authentifizierung deiner User mit ihrem normalen passwort? Ich hab das gleiche getestet, aber es hat irgendwie nicht funktioniert.

hmm.. ja, die shadow wird (soweit ich das bis jetzt kapiere...) von confixx geschrieben, enthält alle user und ich war der Meinung, dass postfix gegen diese abgleicht ...
entsprechendes steht eigentlich auch in dem entsprechenden README_SASL unter:

Code: Select all

/usr/share/doc/packages/postfix/README_FILES

vielleicht schaust Du dir das nochmal an ... wenn Du's nicht haben solltest, sag Bescheid, dann schick ich's Dir (ist für hier etwas zu lang)

Gruß

Peter

[adjustman]

... und ich war der Meinung, dass postfix gegen diese abgleicht ...
...

Geht das bei Dir? Oder? Ich suche auch nach einer Möglichkeit, ohne dass die User im Mailclient was umstellen müssen (Confixx-User - Outlook Express-User), SMTP-Auth zu benutzen.

P.S. Postfixx 2.0.18 Confixx 2.0.11 Debian

[sambo]

Hallo adjustMan,

... ohne dass die User im Mailclient was umstellen müssen (Confixx-User - Outlook Express-User), SMTP-Auth zu benutzen.

P.S. Postfixx 2.0.18 Confixx 2.0.11 Debian

... Die User müssen natürlich in Ihrem Mail-Client SMTP_auth benutzen,
also für Outlook(-Express) -> Konten -> Server: Postausgangsserver "Server erfordert Authentifizierung" anklicken und unter "Einstellungen" -> "gleiche Daten wie bei beim Posteingangserver verwenden"
Im Confixx WebMail müssen die User nichts umstellen, hier authentifizieren sie sich ja schon für das Postfach und das WebMail spricht den Server dann local an ...

Gruß

Peter

[adjustman]

... Die User müssen natürlich in Ihrem Mail-Client SMTP_auth benutzen ..

Du meinst wirklich, das ist SMTP-Auth!? Dieses "Anklicken" ist IMHO für Popb4SMTP nötig. Soweit ich weiss, kann OE gar kein SMTP-Auth. 8O

[sambo]

Hi adjustMan,

Soweit ich weiss, kann OE gar kein SMTP-Auth. 8O

.. ich glaube wenn dem so wäre, hätten sicher viele Kunden von 1und1 und anderen Providern ein Problem... nein, im Ernst, OE unterstützt SMTP_auth seit der Version 5
siehe hierzu auch :
http://faq.1und1.de/hosting/mail_ums/cl ... uth/2.html

Gruß

Peter

[adjustman]

das heisst also: Wenn ich bei Postfix kein SMTP-Auth verwende, kann das Häkchen "wegfallen"? (Z.Zt. arbeite ich "bloss" mit popb4smtp) Wenn ich aber SMTP-Auth aktiviere, muss das Häkchen rein? Alles andere bleibt gleich? Und Postfix authentifiziert sich dann über die shadow? *Fragen über Fragen* Was wird dann mit popb4smtp? Abschalten?

[sambo]

das heisst also: Wenn ich bei Postfix kein SMTP-Auth verwende, kann das Häkchen "wegfallen"?

.. jeep

(Z.Zt. arbeite ich "bloss" mit popb4smtp) Wenn ich aber SMTP-Auth aktiviere, muss das Häkchen rein? Alles andere bleibt gleich?

.. jeep

Und Postfix authentifiziert sich dann über die shadow? *Fragen über Fragen* Was wird dann mit popb4smtp? Abschalten?

Hier gehts jetzt wieder um die postfix-spezifischen Fragen ich bin der Meinung das postfix sich dann über die shadow abgleicht - bei Carsten scheint das noch nicht so zu funktionieren ... popb4smtp würde ich abschalten, wenn deine USer alle SMTP_auth können (weils halt doch sicherer ist ;-) )

Besten Gruß
Peter

[adjustman]

danke erstmal. Ich werd mal den Postfix-Guru konsultieren.

EDIT: Er verweist auch bloss auf den Link
SMTP AUTH Howto

[adjustman]

Code: Select all

smtp_sasl_password_maps = hash:/etc/shadow

Mir ist jetzt erst aufgefallen, dass Du hash:/shadow schreibst, d.h. Du müsstest sie mit postmap in eine Datenbank "verwandelt" haben. DAS kann nicht gehen. Ergo, funktioniert das so nicht. Klär mich mal bitte auf. Danke. :)

[squize]

Ich denke mal diese Threads könnten für dich hilfreich sein:

HowTo
PwCheck

Gruss

Marc

[sambo]

Hi,

Code: Select all

smtp_sasl_password_maps = hash:/etc/shadow

Mir ist jetzt erst aufgefallen, dass Du hash:/shadow schreibst, d.h. Du müsstest sie mit postmap in eine Datenbank "verwandelt" haben. DAS kann nicht gehen. Ergo, funktioniert das so nicht. Klär mich mal bitte auf. Danke. :)

Also nach heutigem Verständniss muss ich Dir Recht geben ... dazu müsste es eine Datenbank shadow.db geben ... allerdings finde ich diese bei mir auch nicht - und **wunder**, es funktioniert dennoch ...
Laut Postfix HOWTO ist die referenzierte Datei durchaus die mit dem Plaintext (/etc/postfix/sasl_passwd) - allerdings müsste eben mit postmap eine *.db erstellt worden sein ... warum es nun bei mir trotzdem geht, kann ich leider (noch) nicht erklären, da ich die Ã?nderungen von confixx bei der Anlage eines neuen Users noch nicht durchgegangen bin.
ich versuche das mal noch herauszufinden ...

Gruß

Peter

[squize]

Leute,
ihr fummelt an der falschen Stelle rum :)

smtp_sasl_password_maps

dient dazu, postfix anzuweisen, bei verschicken von mails SMTP AUTH zu benutzen. Man beachte den Unterschied zwischen smtp und smtpd!!!!!!!!


Die Anweisungen, die das SMTP AUTH für Postfix als server bedienen sind folgende

smtpd_sasl_local_domain=$myhostname
smtpd_sasl_auth_enable=yes
smtpd_sasl_security_options=noanonymous
broken_sasl_auth_clients=yes
smtpd_recipient_restrictions=permit_sasl_authenticated, permit_mynetworks, check_relay_domains

So jetzt weiss Postfix, dass es sasl zu authentifiezieren benutzen soll.

Jetzt müsst ihr sasl mitteilen, dass es auf die shadow datei zugreifen soll. Das ist ein bissen kniffeliger, da die shadow datei nur von Root gelesen werden kann und zudem postfix im chroot läuft.

Dies ist alles hier beschrieben, ich hoffe es hilft euch weiter.

Gruss

Marc

[adjustman]

smtpd_sasl_local_domain=$myhostname

und zudem postfix im chroot läuft.

smtpd_sasl_local_domain =

muss leer bleiben

und bei sasl hat Postfix Probleme auf die libs zuzugreifen, wenn es im chroot läuft. Ergo: rausnehmen

[squize]

Für virtualdomains muss ich adjust recht geben. Mir ging es auch darum die Anweisungen zu posten, die mit SMTP AUTH zu tun haben, ich hätte aber auf jeden Fall beim Copy&Paste besser aufpassen sollen.

Danke adjust, denke mal das hätte weitere Verwirrung gestifftet :)

Gruss

Marc

[adjustman]

Danke adjust, denke mal das hätte weitere Verwirrung gestifftet :)

Der Name ist adjustMan :-D Und diese "Weisheiten" sind nicht auf meinem Mist gewachsen. Werdet Mitglied in der Postfix Liste.

[squize]

Ich bin im Moment aber schon in der qmail und qmailadmin Liste und habe zur Zeit keine postfix produktiv laufen, d.h. das kommt bei mir erst, wenn ich wieder einen postfix am laufen habe :D

Marc :-D