Rootserver, Postfix und Mails versenden

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
anmu
Posts: 26
Joined: 2003-06-12 21:41

Rootserver, Postfix und Mails versenden

Post by anmu » 2003-06-12 21:54

Ich habe einen rootserver bei puretec und schaffe es nicht, Mails darüber zu verschicken.
Mit Postfix kenne ich mich wenig aus (in sendmail weiß ich gut Bescheid, aber das ist ja nicht mehr auf den rootservern installiert), habe aber eigentlich nicht an den Settings rumgespielt.

Wenn ich unter Netscape als Emailadresse web1p1@domain.de und als Username web1p1 eintrage, kann ich sowohl verschicken als auch damit empfangen.

Mit Eudora bekomme ich das aber nicht hin: Wenn ich in den Standardeinstellungen, in denen ich sonst jeden Server im Internet benutzen kann (web.de sowie 3 eigene Server bei verschiedenen Providern), nur beim Puretec-Server sagt er mir "SSL Negotiation Failed".
Im Logfile var/log/mail steht "SASL CRAM-MD5 authentication failed"

Nach einigem Suchen habe ich dann ein wenig bei den Einstellungen von Eudora (Secure Socket when sending) rumgespielt und nun bekomme ich von Eudora nur noch die Meldung "Cant send ... Relay access denied". Im Maillog steht allerdings immer noch " SASL CRAM-MD5 authentication failed"...

Was muß ich wo einstellen?
Wieso funktioniert das bei dem Puretec-Server nicht so wie bei allen anderen?

Ich teste hier mitlerweile den ganzen Tag rum und bin ziemlich frustiert. Die Hotline kann mir da auch nicht helfen. Ich bin kurz davor, postfix komplett zu deinstallieren (und damit Confixx unbrauchbar zu machen) und mir sendmail raufzuspielen.. :(

Kann mir irgendwer helfen?

Andreas

anmu
Posts: 26
Joined: 2003-06-12 21:41

Re: Rootserver, Postfix und Mails versenden

Post by anmu » 2003-06-12 22:18

Nochmal eben ein Nachtrag:

Im Grunde würde ich schon, wenn es geht, bei Postfix bleiben. Es darf nur nicht so kompliziert sein, wenn ein Kunde eine Emailadresse einrichtet und Mails abrufen/verschicken will.
Computeranwender sind dann mit Certifikaten erstellen und den Ã?nderungen von den Standardeinstellungen überfordert. Und, wie ich befürchte, dann auch noch alle 2 Monate ein neues Zertifikat erstellt werden muß, muß der Benutzer dies dann auch jedesmal für gut befinden?

Andreas

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: Rootserver, Postfix und Mails versenden

Post by squize » 2003-06-13 00:33

Hallo anmu,
ohne config ist es natürlich immer schwer, also am besten ein

postconf -n

und dann hier posten

Es kann sein, dass deine Zertifikate fürs SSL fehlen, SSL falsch oder gar nicht konfiguriert ist.

Zudem können die meisten Emailclient nur Plain oder Login Authetifizierung, könnte also auch sein, dass dies falsch ist.

also mehr Infos vorbeibringen

Gruss

Marc

anmu
Posts: 26
Joined: 2003-06-12 21:41

Re: Rootserver, Postfix und Mails versenden

Post by anmu » 2003-06-13 08:56

Ich habe hier die Standardkonfiguration von Puretec. Wo ich schon mal geguckt habe (und beim Stöbern bei Google gemerkt habe, daß es für Fragen wichtig sein könnte), liste ich mal auf:

Also, postconf -n ergibt folgende Ausgabe:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
default_privs = autoresp
fast_flush_domains = $relay_domains
in_flow_delay = 0
inet_interfaces = all
local_recipient_maps = $alias_maps unix:passwd.byname
mail_owner = postfix
mail_spool_directory = /var/mail
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains = wb1-server.de
masquerade_exceptions = root
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mydomain = wb1-server.de
myhostname = p15133061.pureserver.info
mynetworks_style = host
newaliases_path = /usr/sbin/sendmail
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains


Ein Versuch des Verschickens einer Mail per Eudora ergibt folgende Zeilen im maillog (in message steht nix):

Jun 12 21:50:15 p15133061 postfix/smtpd[31577]: setting up TLS connection from p508691FA.dip.t-dialin.net[80.134.145.250]
Jun 12 21:50:15 p15133061 postfix/smtpd[31577]: TLS connection established from p508691FA.dip.t-dialin.net[80.134.145.250]: SSLv3 with cipher DES-CBC3-SHA (168/168 bits)
Jun 12 21:50:15 p15133061 postfix/smtpd[31577]: connect from p508691FA.dip.t-dialin.net[80.134.145.250]
Jun 12 21:50:16 p15133061 postfix/smtpd[31577]: warning: p508691FA.dip.t-dialin.net[80.134.145.250]: SASL CRAM-MD5 authentication failed
Jun 12 21:50:21 p15133061 postfix/smtpd[31577]: 2B8A7488028: client=p508691FA.dip.t-dialin.net[80.134.145.250]
Jun 12 21:50:21 p15133061 postfix/smtpd[31577]: reject: RCPT from p508691FA.dip.t-dialin.net[80.134.145.250]: 554 <andreas@woauchimmer.de>: Relay access denied; from=<blabla@wb1-server.de> to=<andreas@woauchimmer.de>
Jun 12 21:50:26 p15133061 postfix/smtpd[31577]: disconnect from p508691FA.dip.t-dialin.net[80.134.145.250]


p15133061:/ # locate smtpd.conf
/usr/lib/sasl/smtpd.conf
p15133061:/ # more /usr/lib/sasl/smtpd.conf
pwcheck_method: pam

p15133061:/var/log # sasldblistusers
user: u15111287 realm: p15133061.pureserver.info mech: PLAIN
user: u15111287 realm: p15133061.pureserver.info mech: CRAM-MD5
user: u15111287 realm: p15133061.pureserver.info mech: DIGEST-MD5


Und das wichtigste hier: eigentlich sollte es also funktionieren (Paßwort und den ausgegebenen String habe ich natürlich geändert):

p15133061:/etc/postfix # perl -MMIME::Base64 -e 'print encode_base64("web1p1web1p1PASSWORT");'
d2ViMXAxAHdlYjFwMQBQQVNTV09SVA==
p15133061:/etc/postfix # telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 p15133061.pureserver.info ESMTP Postfix
EHLO
wb1501 Syntax: EHLO hostname
502 Error: command not implemented
EHLO wb1-server.de
250-p15133061.pureserver.info
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-XVERP
250 8BITMIME
AUTH PLAIN d2ViMXAxAHdlYjFwMQBQQVNTV09SVA==
235 Authentication successful
QUIT
221 Bye
Connection closed by foreign host.

Demnach sollte AUTH also funktionieren, nur nicht mit Eudora??

Andreas

anmu
Posts: 26
Joined: 2003-06-12 21:41

Re: Rootserver, Postfix und Mails versenden

Post by anmu » 2003-06-13 09:04

Hier noch eben die Ausgabe und Einstellungen von Eudora:

http://www.wb1-server.de/starttls.gif

Wenn ich "If Available" auf "Required, Alternate Port" ändere, hat das keinen Effekt.


Anmu

[Edit CaptainCrunch : Ich hab das Bildchen mal durch den URL ersetzt, bitte demnächst drauf achten]

Anonymous

...

Post by Anonymous » 2003-06-13 09:36

Ich habe genau das gleiche Problem... hoffentlich kennt hier im Forum jemand die Lösung!

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Rootserver, Postfix und Mails versenden

Post by rootmaster » 2003-06-13 13:18

anmu wrote: Mit Eudora bekomme ich das aber nicht hin: Wenn ich in den Standardeinstellungen, in denen ich sonst jeden Server im Internet benutzen kann (web.de sowie 3 eigene Server bei verschiedenen Providern), nur beim Puretec-Server sagt er mir "SSL Negotiation Failed".
Im Logfile var/log/mail steht "SASL CRAM-MD5 authentication failed"
eudora präferiert wohl standardmäßig die sicherste methode der authentifizierung. da aber diese nicht ordentlich eingerichtet wurde (siehe fehlermeldungen) schlägt auch ein fallback fehl.
wenn du auf tls und cram verzichten kannst, dann deaktivier das ;)

tls:
unter tools->options->sending
secure sockets auf "never"

cram-md5:
mir ist nicht bekannt, wie man das in eudora abschaltet :-/
da sasl gegen die entsprechenden libraries gelinkt wurde, unterstützt auch postfix standardmäßig cram-md5.
workaround: entfern die libraries...

Code: Select all

cd /usr/lib
mkdir sasl.bak
mv sasl/libcrammd5* sasl.bak
mv sasl/libdigestmd5* sasl.bak
postfix reload
"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

mstuebner
RSAC
Posts: 184
Joined: 2002-06-19 00:05
Location: 84424 Isen

Re: Rootserver, Postfix und Mails versenden

Post by mstuebner » 2003-06-13 13:42

anmu wrote:Mit Eudora bekomme ich das aber nicht hin: Wenn ich in den Standardeinstellungen, in denen ich sonst jeden Server im Internet benutzen kann (web.de sowie 3 eigene Server bei verschiedenen Providern), nur beim Puretec-Server sagt er mir "SSL Negotiation Failed".
Im Logfile var/log/mail steht "SASL CRAM-MD5 authentication failed"
Das erinnert mich an einen Beitrag in der FAQ wo es um die in der Installation nicht funktionierende CRAM-MD5 ging. Der Beitrag in der FAQ hat mir aber leider auch nicht geholfen, daher Postfix --> Qmail und jetzt gehts.

anmu
Posts: 26
Joined: 2003-06-12 21:41

Re: Rootserver, Postfix und Mails versenden

Post by anmu » 2003-06-13 14:00

Ich habe inzwischen reichlich im Internet weiter gesucht und festgestellt, daß das offensichtlich ein Bug von Eudora bzw. stunnel ist. Die ganzen Lösungsvorschläge waren mir zu kompliziert, da ich im Grunde an der Puretec-Installation nichts ändern wollte (oder, wie am Anfang gepostet, gleich sendmail installiereren :) )

Nun habe ich aber eine Lösung gefunden. Ich habe mir popaccess-1.4.tar.gz von freshmeat gezogen und das so angepaßt, daß es mit Postfix läuft (ist ja eigentlich für sendmail gedacht). Nun gibt es gleich zwei Möglichkeiten des Verschickens:
Per AUTH, wenn derjenige das kann. Oder, wenn AUTH abgeschaltet ist, so muß der Benutzer zuerst Mails ziehen (IP übermitteln) und kann dann saugen.
Vorteil ist, wenn z.B. Mailserver von Firmen, die das meist nicht können ( 8O ) ebenfalls funktionieren, wenn SIe dich an das "popb4smtp" halten.

Im Logfile stehen zwar immer noch die Fehlermeldungen "SASL CRAM-MD5 authentication failed", aber danach verschickt er trotzdem.
Wenn ich vorher nicht sauge, steht die IP nicht in der access.db und ich bekomme ein Relaying Denied.

Anmu

neo geoz
Posts: 8
Joined: 2004-09-08 11:00

Achtung! Gefahr eines offenen Relays!

Post by neo geoz » 2004-09-08 11:11

hallo zusammen.

habe vor wochen das gleiche problem gehabt. ich konnte meine mails prima senden und empfangen - außer mit eudora! da ich eudora seit mehreren jahren nutze, war mir eine lösung für diesen mailclient sehr wichtig.

gemäß dem o.g. beitrag von rootmaster habe ich die 6 dateien im verzeichnis /usr/lib/sasl/ verschoben und alles funktionierte augenscheinlich prima.

gestern habe ich nun festgestellt, daß man meinen server als offenes relay nutzen kann. das absenden einer mail mit beliebiger adresse (z.B. bill.gates@microsoft.com) ist möglich!!!

nachdem ich die dateien wieder rekonstruiert habe, ist dieses problem behoben. darauf hinzuweisen, diese dateien zu verschieben, betrachte ich daher ziemlich kritisch. wer kann schon ohne authentifizierung auskommen?

das problem mit qualcomm's eudora ist damit aber wieder aktuell. kennt jemand mittlerweile eine lösung für den client? wenn nicht, wäre ich auch mit dem hinweis auf eine export-möglichkeit dankbar, da ich ziemlich viele daten in meinem eudora habe und meine tägliche arbeit damit organisiere.

gruß
neogeoz

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: Rootserver, Postfix und Mails versenden

Post by sascha » 2004-09-08 13:28

Bist du sicher dass man *ohne* Authentifizierung Mails verschicken konnte? Natürlich kann man immer eine beliebige Adresse im From: Header angeben.

Ã?brigens ist mittlerweile sasl2 aktuell. Dort kann man die unterstützten Authentifizierungsmechanismen in der smtpd.conf eintragen. Ein verschieben der o.G. libs ist dann nicht mehr nötig.

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Rootserver, Postfix und Mails versenden

Post by [nix]pepe » 2004-09-08 14:37

befolg einfach das tut hier inner faq, dann läufts wenns die standard install von 1und1 is, hatte das prob auch...
Last edited by [nix]pepe on 2004-09-08 15:03, edited 1 time in total.

Anonymous

Re: Rootserver, Postfix und Mails versenden

Post by Anonymous » 2004-09-08 14:55

[NIX]Pepe wrote:befolg einfach das tut hier inner faq, dann läufts wenns die standart install von 1und1 is, hatte das prob auch...
standarD :wink:

neo geoz
Posts: 8
Joined: 2004-09-08 11:00

Ohne Authentifizierung

Post by neo geoz » 2004-09-08 14:56

Das ganze hebelt sicher die Authentifizierung aus. In meinem Test habe ich Mails über die Telnet-Konsole versendet - ohne jedes Kennwort oder Kontoangabe!

[nix]pepe
Userprojekt
Userprojekt
Posts: 244
Joined: 2003-04-08 19:36

Re: Rootserver, Postfix und Mails versenden

Post by [nix]pepe » 2004-09-08 15:03

smashie wrote:
[NIX]Pepe wrote:befolg einfach das tut hier inner faq, dann läufts wenns die standart install von 1und1 is, hatte das prob auch...
standarD :wink:
ups *gg*

@neo geoz, was genau hebelt das jetzt aus?

neo geoz
Posts: 8
Joined: 2004-09-08 11:00

Authentifizierung im A....

Post by neo geoz » 2004-09-09 11:25

Sorry, reden wir jetzt aneinander vorbei? :roll: Es hebelt jeglichen Authentifizierungsmechanismus aus und schafft ein offenes Relay.

Wenn ich die Lösung von Rootmaster (s.o.) befolge und die 6 Dateien verschoben habe kann ich mit folgenden Telnet-Kommandos erfolgreich Mails versenden:

Code: Select all

telnet xxx.xxx.xxx.xxx 25
mail from: gerd.schroeder@bundestag.de
rcpt to: me@xxxxxx.de
data
Das ist ein Test.
.
Dabei fragt der Server nach keinem Konto, keinem Passwort und reiht die Mail ohne zu meckern in die Queue ein. Kurz darauf schiebt postfix sie in mein (oder auch jedes externe) Konto. Ã?brigens verwende ich Suse 8.1 und Confixx 2.0.

Verschiebe ich die 6 Dateien zurück, funktioniert die o.g. Telnet-Attacke nicht. Der Server quittiert dann mit

Code: Select all

554 <absender@adresse.de>: relay access denied
- so wie es sein sollte.

Werde mich jetzt mal mit SASL2 beschäftigen (danke Sascha für die Info) und hoffe das schafft Abhilfe. Möchte nämlich ungern auf Eudora bzw. Authentifizierung verzichten. :P

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Rootserver, Postfix und Mails versenden

Post by captaincrunch » 2004-09-09 12:12

Seit wann muss sich jemand authentifizieren, wenn er eine Mail an dich (oder besser gesagt jemanden, der einen Mailaccount auf dem Server hat) schickt? Deine Logik an dieser Stelle scheint etwas verquer. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

neo geoz
Posts: 8
Joined: 2004-09-08 11:00

Logikfehler?

Post by neo geoz » 2004-09-09 13:12

nö, ich hab keinen Logikfehler. meine persönlichen daten (mailadresse, IP) habe ich mit "xxx..." unkenntlich gemacht. die mailadresse gerd.schroeder@bundestag.de (absenderadresse) war durchaus ernst gemeint! :idea:

die mail wird natürlich außerdem von einem x-beliebigen externen client und nicht vom server selbst (also sich oder seinem netzwerk) gesendet.

und nein, es findet keine authentifizierung statt. senden ist für jeden erlaubt. wenn jemand den kontonamen kennt, können auch mails runtergeladen werden - ohne kennwort.

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: Rootserver, Postfix und Mails versenden

Post by kenzo » 2004-09-09 13:29

nö, ich hab keinen Logikfehler
Doch, hast du.
meine persönlichen daten (mailadresse, IP) habe ich mit "xxx..." unkenntlich gemacht. die mailadresse gerd.schroeder@bundestag.de (absenderadresse) war durchaus ernst gemeint!
Ja ... und?
und nein, es findet keine authentifizierung statt. senden ist für jeden erlaubt.
In deinem obigen Beispiel ist das auch absolut legitim - guck es dir nochmal genau an.

Code: Select all

mail from: gerd.schroeder@bundestag.de (...)
554 <absender@adresse.de>: relay access denied
Irgendwie sind deine Beispiele nicht ganz konsistent.

neo geoz
Posts: 8
Joined: 2004-09-08 11:00

Watn jetzt?

Post by neo geoz » 2004-09-09 13:45

Dabei fragt der Server nach keinem Konto, keinem Passwort und reiht die Mail ohne zu meckern in die Queue ein. Kurz darauf schiebt postfix sie in mein (oder auch jedes externe) Konto. Ã?brigens verwende ich Suse 8.1 und Confixx 2.0.

Verschiebe ich die 6 Dateien zurück, funktioniert die o.g. Telnet-Attacke nicht. Der Server quittiert dann mit


Code:
554 <absender@adresse.de>: relay access denied
stimmt! alles ist beim zurückschieben der dateien ok. für outlook, mozilla, wahrscheinlich auch pegasus. ABER MEIN EUDORA KOTZT!!! :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Rootserver, Postfix und Mails versenden

Post by captaincrunch » 2004-09-09 13:50

Könntest du dein Problem dann bitte einmal in klaren Worten beschreiben, und nicht von Hü auf Hott kommen? Mindestens eins der von dir genannten Probleme ist keins.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc