postfix mit smtp-auth und pam

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
lounge
Posts: 8
Joined: 2004-02-11 10:44
Location: tinylittlechocolateland

postfix mit smtp-auth und pam

Post by lounge » 2004-02-18 22:20

moin moin

ich lerne im moment auf einer alten schrottkiste (266mhz) eine mailserver umgebung aufzubauen. denn, wenn ich hier mal "kriechen" lerne, kann ich das auf einem tollen "ichbinamsupereurobackboneangeschlossenerrootserver" auch ;)
in der zwischen zeit habe ich so einiges gelesen, ausprobiert und die kiste mächtig ins schwitzen gebracht. ich möchte schritt für schritt alles begreifen und fange deshalb simple an , ohne breitreifen, fette auspuffanlage, tiefergelegt und airbags (ein wenig) und sonstiges.

zu beginn habe ich mich für ein Mail system entschlossen, das mails auch von "remote" clients relayen kann. d.h heisst smtp-auth mit PAM

nun gut - meine konfiguration ist ein LAMP mit suse 8.1 mit postfix 1.1.12 und sasl 1.5.27 (updaten lerne ich später)

was bereits funktioniert/getan ist :
- posftix is chrooted
- bei postfix start erscheinen keine fehlermeldungen in den logs "tail -f /var/log/mail > warn > messages"
- intern können user untereinander mails senden/empfangen
- mails können durch die user extern via POP3 abrufen (mail client : outlook, Eudora ect.)
- beim senden (relayen) erscheint immerhin schon eine logon eingabe in der ich username und passwort eingeben kann
- in der /etc/sysconfig/mail habe ich YAST gesagt er soll von der main.cf die finger weglassen.
- im verzeichnis /var/spool/postfix/etc/pam.d habe ich das file smtpd angelegt mit dem inhalt :
# PAM configuration for

auth required pam_unix_auth.so shadow
account required pam_unix_acct.so

- im file /usr/lib/sasl/smtpd.conf steht der eintrag pwcheck_method: shadow
- der test mit "telnet relay-test.mail-abuse.org" sagt mein mail server ist dicht

wo ich noch probleme habe :

- User können keine mails von einem "remote" mail client via smtp-auth an andere mails versenden (relay access denied > scheint ein zum glück leidiges thema zu sein)

nun bin ich ein wenig mit meinem latein am ende und möcht euch um hilfe bitten. wo könnte ich noch rumschrauben ?

mir scheint als seie ich sehr nahe am ziel. (der teufel liegt im detail)
ich wollte bereits das postfix buch kaufen, das ist leider vergriffen und die neue auflage erscheint erst im märz wie ich mich erinnern mag.


bei einem mail test sieht das mir das so aus. dabei sehe ich das meine mail-server PLAIN LOGIN login verlangt. somit nehme ich an das smtp-auth funktioniert - oder liege ich mit meiner annahme falsch ?

sumsum:~ # telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 sum-sum.ch ESMTP Postfix
ichbins
502 Error: command not implemented
ehlo ichbins
250-sum-sum-mailer.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-XVERP
250 8BITMIME

postif main.cf sieht wie folgt aus :

sumsum:~ # postconf -n

Code: Select all

alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter =
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
inet_interfaces = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
mydestination = $myhostname, localhost.$mydomain
mydomain = sum-sum.ch
myhostname = sum-sum.ch
newaliases_path = /usr/sbin/sendmail
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = hash:/etc/postfix/access
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers,  hash:/etc/postfix/confixx_localDomains
gruss Thomas

PS: sorry für meine lange ausführung.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: postfix mit smtp-auth und pam

Post by captaincrunch » 2004-02-18 22:25

PS: sorry für meine lange ausführung.
Auch wenn's dir vielleicht nicht weiterhilft:
Kein "sorry" nötig. Endlich mal wieder eine richtig gut gestellte Frage, aus der man die nötigen Informationen rausziehen kann!
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: postfix mit smtp-auth und pam

Post by squize » 2004-02-19 18:17

Du liegst richtig, SMTP AUTH sollte funktionieren :)
ich habe es jetz nicht genau im Kopf, aber es sieht von der Config erst einmal Okay aus.

2 Sachen könnten dein Problem sein. Zum ersten hast du

smtpd_sasl_local_domain = $myhostname

gesetzt, da weiss ich nicht, ob das für SMTP AUTH gegen /etc/shadow passt. Das wahrscheinlich grössere Problem ist, dass postfix in chroot läuft und somit gar nicht an die von dir benutzten Libs kommt, da die ja nicht innerhalb von /var/spool/postfix liegen.

Im Forum gab es gerade vor kurzem ein paar Threads darüber, kannst ja mal schauen ob du sie findest.

Hier noch einmal ein Link mit einem Howto für Debian.

http://www.debianforum.de/forum/viewtopic.php?t=9628

Marc

P.S.: Um so mehr Info du bringst, um so grösser ist die Chance, dass dir einer hlefen kann und um so mehr Lust hat er, weil er sieht, dass du dich mit deinem Problem beschäftigst. Also gibt es auch von mir ein Lob für die Problemdarlegung. Du hättest eventuell noch dein Distri angeben können :)