Page 1 of 3
Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-07 23:46
by klausi01
Hallo,
Ich habe mein system in den vergangenen Tagen auf Debian umgestellt und bin mitlerweile bis zu postfix vorgedrungen und habe nun folgendes Problem :
Ich kann per confixx webmail von den webXX accounts aus email nach aussen und innen senden.
Alles andere, das heisst also Mails von aussen empfangen, mails per client sofware verschicken usw klappt nicht.
Auszug meiner main.cf :
Code: Select all
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
setgid_group = postdrop
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
myhostname = p15121968.pureserver.info
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
smtpd_recipient_restrictions = permit_mynetworks, check_client_access btree:/var/lib/drac//dracd, check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_use_tls = yes
smtpd_enforce_tls = no
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /usr/local/etc/postfix/rootcrew_cert.pem
smtpd_tls_key_file = /usr/local/etc/postfix/rootcrew_key.pem
smtpd_tls_loglevel = 1
### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###
sun_mailtool_compatibility = yes
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 01:07
by squize
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
Diese zwei Dateien enthalten die Information für welche Domains sich postfix zusätzlich zu mydestination verantwortlich fühlt.
Du solltest als erstes mal reinschauen, ob dort deine Domains und deine user drinstehen.
Falls dies der Fall ist, ist es noch wichtig zu wissen, das postfix nicht mit diesen Dateien arbeitet, sondern diese erst in ein Format überführt werden müssen, das eine performantere Verarbeitung erlaubt.
Mit dem Befehl
übersetzt du die einzelnen Tables ( musst du für alle machen). Eine Ausnahme ist die aliases table die mit
übersetzt wird.
Ausserdem sieht
Code: Select all
check_client_access btree:/var/lib/drac//dracd, check_relay_domains
ein bissen komisch aus und ich würde mal den Pfad checken und wie das funktionieren soll.
Viel Spass noch
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 01:24
by klausi01
Du solltest als erstes mal reinschauen, ob dort deine Domains und deine user drinstehen.
Habe ich getan. Steht alles drin.
Ausserdem sieht Code:
check_client_access btree:/var/lib/drac//dracd, check_relay_domains
ein bissen komisch aus und ich würde mal den Pfad checken und wie das funktionieren soll.
Ich habe den teil
btree:/var/lib/drac//dracd
Enfernt und nun schaut die Zeile wie folgt aus :
smtpd_recipient_restrictions = permit_mynetworks, check_client_access, check_relay_domains
Wenn ich jetzt per client eine mail verschicken will bekomme ich eine 451 fehlermeldung.
Und mir fällt auf, das ich anscheinend auch lokal keine mails senden kann.
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 01:56
by squize
check_client_access
Das muss auch raus, wenn du es rausmachst, die Frage ist aber eher, warum es drinsteht.
ist nicht gesetzt, da solltest du deine Domein reinschreiben.
Ausserdem fehlt da wohl ein permit_sasl_authenticated wenn du SMTP-AUTH einsetzen willst.
Also etwa
Code: Select all
mynetworks=127.0.0.1/8
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains
Dann würde ich das noch
Code: Select all
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
in das
ändern.
Du solltest Unbekannten nicht mehr Informationen geben als notwendig.
Gruss
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 08:50
by captaincrunch
Du solltest Unbekannten nicht mehr Informationen geben als notwendig.
An dieser Stelle einmal wieder : Security by obscurity funktioniert nicht ...
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 13:55
by squize
Hat ja auch keiner behauptet, aber muss ich deswegen meine Federn aufplustern und allen alles mitteilen?
Ich stehe halt auf dem Standpunkt, dass mein Server mit Informationen geizig umgehen soll, unabhängig von Sicherheit.
Wenn es einen Exploit für eine Sofwareversion gibt, und jemand den Scanner anschmeisst, dann wird die Kiste geknackt, ob du die Information hergibst oder nicht, aber deine Kiste wird als erste geknackt, wenn du die Information rauslässt.
Es geht also nicht darum, sicherer zu werden, sondern nicht unnötig auf sich aufmerksam zu machen.
Gruss
Marc
P.S.: Oder findest du die Information hat sonst für irgendjemand einen Nutzen, ich nicht, also weg mit.
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 19:31
by klausi01
Meine Main.cf schaut nun wie folgt aus :
# see /usr/share/postfix/main.cf.dist for a commented, fuller
# version of this file.
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP
setgid_group = postdrop
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
##wh
mynetworks = 127.0.0.0/8 , 217.160.178.6/32 ## Deine ip eben
##/wh
myhostname = p15121968.pureserver.info
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP
setgid_group = postdrop
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
##wh
mynetworks = 127.0.0.0/8 , 217.160.178.6/32 ## Deine ip eben
##/wh
myhostname = p15121968.pureserver.info
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
##wh Wir wollen auch nen Helo sehen... ##
smtpd_helo_required = yes
##/wh
##wh definiere blacklists ##
maps_rbl_domains = bl.spamcop.net,
relays.ordb.org,
opm.blitzed.org,
blackholes.easynet.nl,
list.dsbl.org,
opm.blitzed.org,
sbl.spamhaus.org
##/wh damit wird festgelegt: Wenn einer davon Hier ruft, ists n spammer
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_client_access, check_relay_domains
##wh
##Du erlaubst im original mynetworks OHNE die oben definiert zu haben??? Wunderlich...
##/wh
##wh
##/wh Hier werden die blacklists abgefragt, die oben festgelegt wurden...
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_use_tls = yes
smtpd_enforce_tls = no
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /usr/local/etc/postfix/rootcrew_cert.pem
smtpd_tls_key_file = /usr/local/etc/postfix/rootcrew_key.pem
smtpd_tls_loglevel = 1
### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###
mailbox_delivery_lock = dotlock
########################################################################################################
##und hier kommen die Begrenzungen, die bei mir laufen...
##smtpd_client_restrictions = permit_sasl_authenticated
## erlaubt nur die, die per sasl den smtp-auth-server ansprechen.
##smtpd_recipient_restrictions = reject_invalid_hostname,
##hier weden ungxfcltige servernamen wie deiner gekillt...
## reject_non_fqdn_sender,
## reject_non_fqdn_recipient,
##na ja und hier solche, die nicht richtig sind
## reject_unknown_sender_domain,
## reject_unknown_recipient_domain,
##hier werden die gekillt, die nicht in nem nameserver stehen...
## reject_unauth_pipelining,
## reject_unauth_destination,
##killt pipeliners und so...
## reject_maps_rbl,
##Hier werden die blacklists abgefragt, die oben festgelegt wurden...
## permit_mynetworks ,
## permit_sasl_authenticated,
##erlaubnis fxfcr alle meine eigenen ips und sasl-authentifizierte...
## check_relay_domains
##ne liste mit erlaubten relays. Sollte IMMER als letzter check kommen.
##smtpd_client_restrictions = permit_sasl_authenticated
##smtpd_sasl_auth_enable=yes
##smtpd_sasl_security_optons= noanonymous
##broken_sasl_auth_clients = yes
##smtpd_sasl_local_domain = $myhostname
Und nun bekomme ich folgende meldung im mail.log :
Jul 8 18:56:44 p15121968 postfix/postfix-script: refreshing the Postfix mail system
Jul 8 18:56:44 p15121968 postfix/master[15411]: reload configuration
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: warning: smtpd_sasl_auth_enable is true, but SASL support is not compiled in
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: connect from dsdf-d5141932.dsl.mediaWays.net[213.20.25.50]
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: A18681400A0: client=dsdf-d5141932.dsl.mediaWays.net[213.20.25.50]
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: warning: restriction `permit_sasl_authenticated' ignored: no SASL support
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: warning: restriction check_client_access requires maptype:mapname
Jul 8 18:56:52 p15121968 postfix/smtpd[26428]: reject: RCPT from dsdf-d5141932.dsl.mediaWays.net[213.20.25.50]: 451 Server configuratio
n error; from=<
webmaster@clansnet.de> to=<
klausi@mydragons.de>
Jul 8 18:56:57 p15121968 postfix/cleanup[26431]: CE7541400A1: message-id=<
20030708165657.CE7541400A1@p15121968.pureserver.info>
Jul 8 18:56:58 p15121968 postfix/smtpd[26428]: disconnect from dsdf-d5141932.dsl.mediaWays.net[213.20.25.50]
Jul 8 18:56:58 p15121968 postfix/qmgr[26426]: CE7541400A1: from=<
double-bounce@p15121968.pureserver.info>, size=838, nrcpt=1 (queue act
ive)
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 19:50
by squize
Wie hast du postfix installiert?
Du hast eine postfixversion laufen, die kein sasl unterstützt.
Da solltest du nachbessern
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 19:51
by klausi01
Habe das mit apt-get gemacht.
Wie installiere ich denn sasl mit apt-get ? gibts ein debian howto dafür ?
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 19:54
by klausi01
Aber das Sasl mal ausser acht gelassen..
Ich kann also nun per webinterface von confixx, mails versenden, nach innen und aussen.
Ich kann Mails von aussen abrufen.
Was ich nicht kann, ist mails von aussen empfangen ...
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 20:16
by squize
Als erstes solltest du mydomain definieren, da du es ja überall benutzt.
Im Moment nimmt postfix nur mails für deine IP, localhost.$mydomain (nicht definiert :-( ), $mydomain ( nicht definiert :-( ) und die virtual_map an.
Wenn deine Domains jetzt nicht in der virtual_map stehen, dann nimmt postfix sie auch nicht an. Zudem müssen die Maps nach dem Ã?ndern neu übersetzt werden ( postmap <map_name> ) und postfix neu gestartet werden ( bin mir da nicht ganz sicher ).
Was für Postfix lokal ist, wird über
Code: Select all
mydestination
und
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
festgelegt. Du solltes also mal reinschauen, was da so drinsteht
Bei debian heisst das Packet, dass du installieren solltest übrigens postfix-tls also einfach zusätzlich zu postfix installieren, dann solltest du sasl support mit dabei haben
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 20:19
by klausi01
mit mydomain ist so eine sache, denn ich habe ja mehrere url´s auf dem server laufen ( mein clan, meine private seite , die seite meines daddy´s usw )
Muss ich die dann alle von hand adden, oder gibts eine möglichkeit, das sich postfix die domains aus einem file holt, wie es bei den aliases auch passiert ?
Habe jetzt tsl nach installiert und bekomme im mail.log folgendes :
Code: Select all
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: unable to get certificate from '/usr/local/etc/postfix/rootcrew_cert.pem'
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: 8455:error:02001002:system library:fopen:No such file or directory:bss_file.c:245:fopen('
/usr/local/etc/postfix/rootcrew_cert.pem','r'):
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: 8455:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:247:
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: 8455:error:140DC002:SSL routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:
758:
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: TLS engine: cannot load RSA cert/key data
Jul 8 20:22:44 p15121968 postfix/smtpd[8455]: fatal: no SASL authentication mechanisms
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 20:24
by squize
mydomain ist die Domain, die dein server wirklich hat. Alles andere sind virtuelle Domains, die z.B. in die Datei /etc/postfix/confixx_localDomains kommen.
Diese Datei hat einen einfachen Sysntax:
<your_virt_domain> <irgendeintext>
<mail@virtdomain> <goes_to_mail_address>
Die zweite Zeile kannst du auch in /etc/postfix/confixx_virtualUsers unterbringen.
Du solltest dir mal ein bissen Lektüre zur Konfiguration virtueller Domains besorgen.
Damit TLS funktioniert musst du erst einen KEY erzeugen, auch dazu gibt es mit ein bissen googlen gute
Debian Postfix TLS HowTos
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-08 23:54
by klausi01
Danke ! Tls habe ich hÃnbekommen.
Jetzt kommt noch folgendes :
warning: restriction check_client_access requires maptype:mapname
Und das sagt mir so gar nichts...[/code]
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 00:13
by squize
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_client_access, check_relay_domains
Gitb an was postfix überprüfen soll, bevir es mail verschickt.
permit_sasl_authenticated <- erlaubt relaying für authetifizierte
check_client_access hash:/etc/postfix/client_access <- kann benutzt werden um bestimmte Sachen zu erlauben o. zu verbieten, brauchst du im moment nicht
check_relay_domains <- checked ob sonst noch relayed werdnen darf
Du kannst die Zeile erst einmal weglassen und sie wieder einfügen, wenn du sie brauchst.
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 00:36
by klausi01
ok...habe es rausgenommen, und die fehlermeldung ist weg.
Nun bekomme ich eine 554 ( relay access denied ) *grmpf*
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 00:49
by squize
na logisch,
da du ja jetzt ein System hast, dass nur relayed, wen du dich authetifizierst. du musst also User/Passwort anlegen und dann deinen client so konfigurieren, dass er SMTP-AUTH benutzt
saslpasswd <user>
legt einen user an und fragt nach dem Passwort.
smtpd_sasl_local_domain = "realm" sollte dem entsprechen, was bei realm
steht, wenn du ein sasldblistusers machst.
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 00:54
by klausi01
Also Auth ist in meinem Clienten eingestellt.
Wenn ich sasldblistusers mache kommt :
p15121968:/var/log# sasldblistusers
user: klausi realm: p15121968.pureserver.info mech: DIGEST-MD5
user: klausi realm: p15121968.pureserver.info mech: CRAM-MD5
user: klausi realm: p15121968.pureserver.info mech: PLAIN
p15121968:/var/log#
Damm müsste smtpd_sasl_local_domain = "realm" also
smtpd_sasl_local_domain = p15121968.pureserver.info heissen ?
Habs so versucht, bekomme die selbe relay access meldung ...
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:03
by squize
Steht nicht vorher, dass die Auth in die Hose gegangen ist und poste nach all den Ã?nderungen mal dein main.cf noch einmal ausserdem hast du TLS aktiviert, dass musst du bei deinem Client jetzt natürlich auch machen.
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:07
by klausi01
Tls ist im client aktiv.
Meine main.cf :
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
smtpd_banner = $myhostname ESMTP
setgid_group = postdrop
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
##wh
mynetworks = 127.0.0.0/8 , 217.160.178.6/32 ## Deine ip eben
##/wh
mydomain = kerznet.de
myhostname = p15121968.pureserver.info
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
##wh Wir wollen auch nen Helo sehen... ##
smtpd_helo_required = yes
##/wh
##wh definiere blacklists ##
maps_rbl_domains = bl.spamcop.net,
relays.ordb.org,
opm.blitzed.org,
blackholes.easynet.nl,
list.dsbl.org,
opm.blitzed.org,
sbl.spamhaus.org
##/wh damit wird festgelegt: Wenn einer davon Hier ruft, ists n spammer
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains
##wh
##Du erlaubst im original mynetworks OHNE die oben definiert zu haben??? Wunderlich...
##/wh
##wh
##/wh Hier werden die blacklists abgefragt, die oben festgelegt wurden...
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = p15121968.pureserver.info
smtpd_sasl_security_options = noanonymous
smtpd_enforce_tls = no
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/privkey.pem
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
tls_daemon_random_source = dev:/dev/urandom
### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###
mailbox_delivery_lock = dotlock
########################################################################################################
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:22
by squize
Jetzt machst du einfach mal eine shell auf und schreibst
tail -f /var/log/mail
und dann schickst du eine Mal und postest was ins Log geschrieben wurde
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:26
by klausi01
Da kommst du auf ein weiteres problem :-)
Das file mail.log habe ich wohl vorhin irgenwann versehentlich gelöscht und es wird nicht neu angelegt.
Auch manuelles anlegen hat nicht geholfen, es wird nicht neu beschrieben.
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:31
by squize
syslogd schreibt die Logs asynchron, d.h. die Logs werden in den Speicher geschrieben und erst beim Neustart in die Datei gedumpt.
Mach mal ein /etc/init.d/syslogd restart oder so etwas ähnliches
Marc
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 01:41
by klausi01
Also in der mail.log ist nichts, dafür aber in der mail.warn :
Jul 9 01:15:57 p15121968 postfix/smtpd[28003]: fatal: parameter "smtpd_recipient_restrictions": specify at least one working instance of: check_relay_domain
s, reject_unauth_destination or reject
Re: Postfix, Conifxx 2.0.10 und Debian
Posted: 2003-07-09 02:10
by squize
Kollege ich habe dir mindestens zweimal gesagt, du sollst relay_domains denifieren:
relay_domains = $mynetworks,$mydestination
Marc