Postfix und SASL

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
cyberline
Posts: 97
Joined: 2003-01-28 10:11
Location: Hürth

Postfix und SASL

Post by cyberline » 2003-04-17 10:16

Hoi, folgendes Problem: habe Postfix und Cyrus-Salsl laufen für clientanmeldung per SMTP-AUTH. Dabei greife ich per SASL auf die /etc/shadow zu. postfix läuft non-chrooted und der user postfix gehört der gruppe postfix und root an. Trotzdem muß die shadow chmod 444 haben damit die Anmeldung klappt. Weiß jemand warum ? ich hätte die shadow gerne wieder chmod 400.
Und dann würde ich noch gerne Wissen ob es möglich ist, bzw. wie es möglich ist, an eine zu versendende Mail den Header (AUTH webXpX) anzuhängen wie ich das bei einigen Mailanbietern habe.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix und SASL

Post by dodolin » 2003-04-17 11:14

a) Ã?berlege das doch nochmal genau:
Postfix läuft als postfix.root (btw. sicher nicht gerade ratsam, das als gruppe root laufen zu lassen!). Die shadow gehört root.root (nehme ich an). Ergo müsste die shadow mindestens 440 haben, damit postfix über seine Gruppe noch zugreifen kann. Aber glaube mir, so ein Setup willst du nicht haben.

In de.comm.software.mailserver wurde für dieses altbekannte Problem (welches unabhängig vom MTA ist) vorgeschlagen, man solle regelmässig per Cron die shadow in ein Verzeichnis des MTA kopieren und diese Kopie mit entsprechend restriktiven Rechten ausstatten, dass nur der User des MTAs drauf zugreifen kann.

b) Mit Exim ist das kein Problem. IIRC hatte ebenso in obiger Gruppe mir mal jemand gesagt, dass Postfix keine Möglichkeit hat, die Received Zeilen anzupassen. Könnte sich ja aber in der Zwischenzeit auch geändert haben...

mark
Posts: 295
Joined: 2003-04-15 16:48
Location: Oldenburg

Re: Postfix und SASL

Post by mark » 2003-04-17 21:17

Mhh...

Ich nutze postfix - sasl2 (saslauthd) - pam - passwd/shadow und meine

shadow hat 640. Cyrus greift ja auf die Datei zu, nicht postfix.

Zumindest ist das bei sasl2 so der fall und der saslauthd läuft ja mit root.

Gruß
Mark