Postfix & Confixx relayproblem mit einigen accounts.

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mutombo
Posts: 184
Joined: 2003-06-19 06:10

Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 12:27

habe ein paar seltsame probleme mit postfix.
neuerdings haben ein paar accounts probleme mails zu versenden, mit dem error relay denied.
alle mailaccounts wurden über confixx angelegt.
sowohl in der confixx_localdomains als auch in der confixx_virtualusers sind die passenden addressen und domains eingetragen.

confixx habe ich 2.0.10 laufen. postfix ist 1.1.12.
soweit habe ich an den grundconfigs nichts verändert.
bei postfix wurden nur neue certs installiert.

im log tauchen nur die reject: RCPT ...
einträge auf.

vielleicht hatte ja auch mal jemand das problem, thx

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 13:32

sind es nur neue mailadressen, bei denen es nicht tut ?

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 19:34

hab ein bischen rumprobiert, ja ist so bei allen neuen addressen und bei denen die passwörter geändert wurden.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 19:42

ist die Confixx Lizenz aktiviert ?
sonst läuft das Aktualisierungsscript nicht

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 19:48

jo ist gültig.

hier mal meine config vielleicht is da ja nen patzer drinne:
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
default_privs = autoresp
myhostname = p15122038.pureserver.info
mydomain = mobecs.de
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mynetworks_style = host
local_recipient_maps = $alias_maps unix:passwd.byname
in_flow_delay = 0
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mail_spool_directory = /var/mail
fast_flush_domains = $relay_domains
smtpd_banner = $myhostname ESMTP $mail_name
debug_peer_level = 4
debugger_command =
PATH=/usr/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
masquerade_domains = mobecs.de
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 19:52

so beim überfliegen ist mir nix aufgefallen....
schau mal die
/etc/postfix/confixx_localDomains
und
/etc/postfix/confixx_virtualUsers
an
sind da alle Adressen korrekt drinnen ?

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 19:53

und in der
/etc/postfix/access

steht kein quatsch ?

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 19:54

und schick mal bitte einen kopletten Logauszug aus der
/var/log/mail
von einem Versuch eine Mail zu schicken
inclusive login und logout des smtps

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 20:25

logs:

Code: Select all

Aug  8 20:07:11 p15122038 postfix/smtpd[16557]: connect from pD9549331.dip.t-dialin.net[217.84.147.49]
Aug  8 20:07:13 p15122038 postfix/smtpd[16557]: D2FC13AC002: client=pD9549331.dip.t-dialin.net[217.84.147.49]
Aug  8 20:07:13 p15122038 postfix/smtpd[16557]: reject: RCPT from pD9549331.dip.t-dialin.net[217.84.147.49]: 554 <mutombo@zieldomain.info>: Re
lay access denied; from=<test@localdomain.de> to=<mutombo@zieldomain.info>
Aug  8 20:07:19 p15122038 postfix/smtpd[16557]: disconnect from pD9549331.dip.t-dialin.net[217.84.147.49]
so sieht ein log aus. die emailaddressen hab ich halt jetzt mal geändert.
die beiden confixx_ files sind ok. in der localdomain stehen die passenden domains und in virtualusers die emailaddressen mit zugehörigem postfach.

nachdem ich jetzt allerdings die ein paar addressen im confixx gelöscht und wieder neu angelegt habed danach noch nen postfix restart, hab ich das prob mit allen addressen.

irgendwie muß ich doch etwas geändert haben als ich die neuen certs installiert habe.
die main.cf hab ich aber mit nem alten backup verglichen die sind gleich.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 20:33

also das log sagt mir, dass du dich nicht per SMTP-AUTH
authentifiziert hast...
check das mal bitte bei deinem Mailproggi
und ohne das tuts nach deiner config nicht

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 20:36

sehr verwunderlich.
das problem scheint nicht nur am server zu liegen.
mit outlook klappt es wunderbar.
ich selber verwende eudora, damit funktioniert es nicht, genauswenig mit vivian-mail oder thebat.

smtp_auth ist aber aktiviert.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 20:37

ach ja...
und tls fehlt auch noch....
das kann gar nicht klappen
Einstellungen im Mailproggie unbedingt checken

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 20:42

so siehts bei mir aus:

Code: Select all

Aug  8 19:48:17 p01234567 postfix/smtpd[8131]: connect from pD9502FC2.dip0.t-ipconnect.de[217.80.47.194]
Aug  8 19:48:17 p01234567 postfix/smtpd[8131]: setting up TLS connection from pD9502FC2.dip0.t-ipconnect.de[217.80.47.194]
Aug  8 19:48:17 p01234567 postfix/smtpd[8131]: TLS connection established from pD9502FC2.dip0.t-ipconnect.de[217.80.47.194]: TLSv1 with cipher RC4-MD5 (128/1
28 bits)
Aug  8 19:48:17 p01234567 smtpd[8131]: C9A9D42003F: client=pD9502FC2.dip0.t-ipconnect.de[217.80.47.194], sasl_method=LOGIN, sasl_username=web2p2
Aug  8 19:48:17 p01234567 postfix/cleanup[8132]: C9A9D42003F: message-id=<002c01c35dd5$44c03410$fe78a8c0@hallihallo>
Aug  8 19:48:17 p01234567 postfix/qmgr[10154]: C9A9D42003F: from=<test@meindomain.tld>, size=1488, nrcpt=1 (queue active)
Aug  8 19:48:17 p01234567 smtpd[8131]: disconnect from pD9502FC2.dip0.t-ipconnect.de[217.80.47.194]
Aug  8 19:48:18 p01234567 postfix/smtp[8138]: C9A9D42003F: to=<michael@meineexternedomain.tld>, relay=mx01.schlund.de[123.456.789.012], delay=1, status=sent (250 O
K id=19lBLe-00060d-00)
sasl_method=LOGIN, sasl_username=web2p2 << SMTP-AUTH
TLS connection established << TLS
Last edited by r00ty on 2003-08-08 20:47, edited 4 times in total.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 20:43

du brauchst auch die sichere TLS Verbindung, nicht nur SMTP-Auth (nach deiner Config)

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 21:15

eigentlich war es garnicht meine absicht alles auf tls umzustellen.
wäre mir sehr recht wenn man auf normalem wege weiterhin einloggen könnte.
hab mich leider bisher nie richtig mit postfix auseinandergesetzt, die configs sind auch soweit noch die orginal von puretec.
hab wie gesagt nur die ssl certs ausgetauscht.

würde es jetzt erstmal wieder gerne so laufen lassen wie es vorher war also komplett ohne ssl und sasl, bis ich das etwas besser verstanden habe.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by r00ty » 2003-08-08 21:30

also gut, dann kommen hier ein paar postfix/mta (<-mail transfer agent) basics

zu erst einmal ist SMTP-Auth schon ne sehr sinnvolle Sache... Weil sonst kann jeder über deinen Sever Emails schicken, was von Spammern natürlich kräftig genutzt wird (hat mich selber schon getroffen)

nun ein paar Worte zur Config:

Code: Select all

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
die Zeile erlaubt, dass nur Mails über deinen Server nach extern geschickt werden können, die sich per SMTP-Auth authentifiziert haben. Sonst kommt 'relay denied'.

Code: Select all

smtpd_use_tls = yes
das aktiviert den TLS.
Das dumme beim normalen POP/SMTP Verkehr ist, dass alles im Klartext geschickt wird - also auch Username und Passwort. Nun sollte ja eigentlich keiner das mitlauschen können, aber man weiss ja nie...

Code: Select all

smtpd_tls_auth_only = yes
nun, diese Zeile erzwingt, dass man SMTP-Auth nur in Verbindung mit TLS machen darf...
nach deinem letzten post solltest du es auskommentieren.... (ein # davor setzen)

und nach dem ändern immer ein

Code: Select all

rcpostfix reload
aber das ist ja nix neues

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-08 21:55

viel lieben dank.
aber irgend was liegt noch im argen:

Code: Select all

warning: pD9549331.dip.t-dialin.net[217.84.147.49]: SASL CRAM-MD5 authentication failed
das seltsame ist ich habe niemals sasl konfiguriert geschweigeden was dran geändert. naja möglicherweise durch nen suseupdate ?

ich weiß ich sollte mir mal die docs reinziehen, aber weiß vielleicht jemand wie ich das auf die schnelle fixen kann ?

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Postfix & Confixx relayproblem mit einigen accounts.

Post by mutombo » 2003-08-09 00:51

ok ich hab mein problem entdeckt.
als ich die neuen certs installiert habe ist mir aufgefallen das postfix keine permissions auf die sasldb hatte. da hatte ich dann die permissions angepasst.
leider hat das dann dazu geführt das sich cram-md5 für AUTH aktiviert hat, das funktioniert aber mit der standard config auf pam garnicht.
nur die datei entfernen hat leider auch keinen effekt gehabt.
AUTH bot mir immernoch CRAM-MD5 an.
in der /usr/lib/sasl/smtpd.conf habe ich jetzt einfach:

Code: Select all

mech_list: plain login 
hinzugefügt und postfix neugestartet.
wech ist cram-md5 :)

auf auth per sasldb umzustellen schreckt mich ein wenig ab weil damit das einrichten eines mailaccounts nichtmehr alleine übers confixx vornehmen kann.
hab aber gelesen das es wohl möglich ist per pam_mysql auch cram-md5 für pam zu aktivieren. Vielleicht läßt sich das ja besser anpassen.