Postfix & CRAM-MD5 funktioniert nicht.

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

Postfix & CRAM-MD5 funktioniert nicht.

Post by hottie » 2003-03-06 15:22

Habe schon weiter unten angefragt das ich das Problem habe mit AK-Mail und meinem Rootserver.

Der Support von AK-Mail schreibt:

--------------------------------------------------------------------------

Hallo Alle,

also: der SMTP-Server hat definitiv ein Problem. Ich habe getestet: AK-Mail, TheBat und Outlook Express.

AK-Mail und TheBat gehen beide nicht, weil beide die Methode CRAM-MD5 verwenden wollen, die serverseitig offensichtlich buggy ist. Outlook geht nur deswegen, weil es mit CRAM-MD5 nichts anfangen kann und aus Mangel an sicheren Auth-Methoden auf LOGIN zurückfällt, welches serverseitig funktioniert.

Fazit: Die Schuld liegt völlig eindeutig am Server und dieser muß gefixt werden.

----------------------------------------------------------------------------

In den logs erhalte ich nur folgende informationen:


Mar 3 12:47:52 pxxxxxxx postfix/smtpd[356]: warning: p50929F13.dip.t-dialin.net[80.146.159.19]: SASL CRAM-MD5 authentication failed

Das Fehler protokoll von AK-Mail:

SMTP: Verbinde zum Host-Rechner [smtp.xxxxx.de] am Montag, den 3. März 2003 18:44:30
SMTP: 18:44:30 [rx] 220 p151xxxxx.pureserver.info ESMTP Postfix
SMTP: 18:44:30 [tx] EHLO xxxxx.de
SMTP: 18:44:30 [rx] 250-p151xxxxx.pureserver.info
SMTP: 18:44:30 [rx] 250-PIPELINING
SMTP: 18:44:30 [rx] 250-SIZE 10240000
SMTP: 18:44:30 [rx] 250-VRFY
SMTP: 18:44:30 [rx] 250-ETRN
SMTP: 18:44:30 [rx] 250-STARTTLS
SMTP: 18:44:30 [rx] 250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
SMTP: 18:44:30 [rx] 250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5
SMTP: 18:44:30 [rx] 250-XVERP
SMTP: 18:44:30 [rx] 250 8BITMIME
SMTP: 18:44:30 [tx] AUTH CRAM-MD5
SMTP: 18:44:30 [rx] 334 PDMyMjE5Nzg0OTIuNjUyNTk4N0BwMTUxMTkzNzUucHVyZXNlcnZlci5pbmZvPg==
SMTP: 18:44:30 [tx] d2ViNHAxIGViN2UwZGExZjEwOTgwZTJjYjhhYjc3YTczM2I5Njcx
SMTP: 18:44:35 [rx] 535 Error: authentication failed
SMTP: 18:44:35 Fehler - Unerwartete Daten empfangen

Kann mir jemand einen Hinweis geben wo denn letztendlich der Fehler liegt und wie ich das behebe.

Gruß

Hottie

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-06 19:35

Hi ich habe das gleiche Problem.
Fazit: Die Schuld liegt völlig eindeutig am Server und dieser muß gefixt werden.
Da bin ich mir nicht sicher, aber nehme gerne deine meinung an.

---
ich hatt nur mal folgendes gelesen
> SMTP-Server sendet keinen RFC-konformen Banner Von Kundenseite wurde uns
> berichtet, dass es bei Verbindungen zu manchen Mailsystemen -- vom (z.B. Imail von
> Ipswitch) zu Problemen kommen kann. Der kontaktierte Mailserver sendet
> keinen RFC-konformen Banner (der Ausdruck ESMTP muss zwischen zwei
> Leerzeichen stehen) und Postfix sendet kein EHLO, welches für SMTP-AUTH
> nötig wäre. Als Abhilfe können Sie versuchen, zusätzlich die Zeile
>
> smtp_always_send_ehlo = yes
> in /etc/postfix/main.cf einzutragen (siehe auch
> /etc/postfix/sample-smtp.cf). Damit wird Postfix angewiesen, immer erst ein
> EHLO zu versuchen, bevor auf ein normales HELO zurückgegriffen wird.
das hab ich dann auch gemacht, ändert aber nix. Ich suche auch weiter

hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

Danke....

Post by hottie » 2003-03-06 19:56

aber bei mir hat es auch nicht funktioniert. Vorrausgesetzt ich habe es an der richtigen Stelle eingefügt.

#SMTPD Auth
smtp_always_send_ehlo = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

Ist es nötig den Postfix evtl. zu restarten bei sendmail ging es mit rcsendmail restart

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-06 20:02

ich habe auch nur restartet. (was soll man noch mehr machen stop start ist doch das Gleiche oder?)

hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

hmmmm

Post by hottie » 2003-03-06 20:09

Im folgendem Thread

http://www.rootforum.org/forum/viewtopic.php?t=8245

wird das selbe Thema behandelt. Meine Lizenzstatus ist jedoch gültig ...

Wie sieht das bei Dir aus ?

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-06 20:48

da hab ich auch schon fleisig mitgepostet. Lizens ist ok. Ich habe ja die Probleme nur mit Pegasus und the bat.

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by pwyll » 2003-03-07 06:44

Würde es was bringen, wenn man Postfix einfach deaktiviert und stattdessen Sendmail verwendet? So, wie es beim 'alten' Server unter Suse 7.2 läuft.

cu, Heiko

Anonymous

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by Anonymous » 2003-03-08 13:26

Hat denn mittlerweile jemand das Problem gelöst? Alternative (zumindest vorläufig) wäre auch, die Meldung "CRAM-MD5 wird unterstützt" bei Postfix abzuschalten. Wie geht das?

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by pwyll » 2003-03-10 20:10

Also ich habe heute mit dem Support und einem Techniker von 1und1 darüber gesprochen. Fazit: Das Problem ist bei denen bekannt, allerdings bisher nur in Verbindung mit Eudora. Das es auch mit AK-Mail und teilweise mit The Bat! nicht geht, war da neu. Aber sie haben dies zur Kenntnis genommen und es wird an einer Lösung gearbeitet, oder besser gesagt, weiter gearbeitet. Denn mir konnte keine Lösung genannt werden, weil sie einfach nicht wissen, warum es Probleme mit SMTP-Auth gibt.

Fazit für mich: Ich bin nicht wirklich schlauer geworden und als Alternative tendiere ich jetzt dazu, Postfix zu killen und Sendmail zu aktivieren.
Oder aber, AK-Mail bekommt die entsprechende Option eingebaut, so daß man MD5 ein- und ausschalten kann. Wenn es überhaupt daran liegt?!
Andreas (AK-Mail) hat von mir eine entsprechende Mail erhalten. Hoffen wir mal, daß man damit wenigstens beim Anwender einen Schrift weiter kommt.


cu, Heiko

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

MD5 SMTP Postfix problem

Post by mchenzi » 2003-03-10 20:38

Das sind doch mal Auskünfte. Danek schonmal. ich hoffe du postest weiter unter diesem Topic dass man sich nicht aus den augen werliert.

Bei The bat kann man MD5 ja auch ausschalten, die Version, die ich benutze nimmt aber immer MD5 (wenn auf dem Serve verfügbar)

naja, vielleicht ändern die bei Ritlabs das Programm noch.

Danke nochmal

Gruß

Sepp

hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

hmmm...

Post by hottie » 2003-03-10 20:39

werde mich dem anschliessen und auch eine entsprechende Bitte an Andreas richten. Bei Postfix handelt es sich ja nicht um eine exotenlösung, sondern ist ja künftig auf vielen Rootservern zu erwarten.

Aber jedesmal mein rundlaufendes System umzuwerfen muss nicht sein. Dafür ist AK-Mail im >2% Bereich und das Risiko nicht wert das der Rootserver mal wieder abschmiert (wegen div. Systemänderungen)

Sollte jemand eine Alternative Lösung finden, ich geb auch einen aus :-)

Gruß

Oliver
[hottie]

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: MD5 SMTP Postfix problem

Post by pwyll » 2003-03-10 20:42

Das sind doch mal Auskünfte. Danek schonmal. ich hoffe du postest weiter unter diesem Topic dass man sich nicht aus den augen werliert.
Sobald ich was neues weiß, setze ich es hier rein. Auch, wenn es nicht die guten News sein sollten.
Bei The bat kann man MD5 ja auch ausschalten, die Version, die ich benutze nimmt aber immer MD5 (wenn auf dem Serve verfügbar)
Ich nutze 1.62. Damit geht es.
naja, vielleicht ändern die bei Ritlabs das Programm noch.
Wie lange warten wir schon darauf? :-)


cu, Heiko

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-10 20:45

Ich habe Version 1.61, da steht auch in der Hilfe das er das mit dem Md5 automatisch macht.

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: hmmm...

Post by pwyll » 2003-03-10 20:46

werde mich dem anschliessen und auch eine entsprechende Bitte an Andreas richten. Bei Postfix handelt es sich ja nicht um eine exotenlösung, sondern ist ja künftig auf vielen Rootservern zu erwarten.
So in etwa habe ich es ihm geschrieben. Und ja, schreib ihn bitte auch und auch all die anderen, die damit Probleme haben.
Aber jedesmal mein rundlaufendes System umzuwerfen muss nicht sein. Dafür ist AK-Mail im >2% Bereich und das Risiko nicht wert das der Rootserver mal wieder abschmiert (wegen div. Systemänderungen)
Mist ist nur, daß AK-Mail an erster Stelle meiner Empfehlungen liegt und es auch daraufhin einige gekauft haben. Die klingeln jetzt alle bei mir durch und der Standardsatz ist klar - 'Ich kann nichts mehr versenden!'.
Und schon hacken sie alle auf mir rum. :-)
Sollte jemand eine Alternative Lösung finden, ich geb auch einen aus :-)
Du kannst auch gerne so einen ausgeben. :->


cu, Heiko

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-10 20:47

Ich zitiere aus der The Bat Doku
Once connected to an SMTP server, The Bat! checks which of the server's RFC-2554-authentication mechanisms is available, and chooses the most secure. Even when "Require secure (MD5) authentication" is off, if the server does supports it, secure authentication will take place.

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by pwyll » 2003-03-10 20:49

mchenzi wrote:Ich habe Version 1.61, da steht auch in der Hilfe das er das mit dem Md5 automatisch macht.
Dann mach mal 'n Update. :-)


cu, Heiko

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-10 20:50

bin dabei

hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

Also abwarten

Post by hottie » 2003-03-10 21:49

denke die einzigste Möglichkeit wäre dieses MD5 zu deaktivieren. Nur wie....

@pwyll

werde eine entsprechende Meldung an Andreas machen. Sollte ja auch in seinem Sinne sein.

Aber mal nachgehakt, was kann AK Mail was nicht jeder freemailer kann?
Abgesehen von diesem MD5 Zeug. Die Kontenverwaltung und Filterreglung ist doch nichts aussergewöhnliches, was da geboten wird beherscht sogar Outlook Express locker. Ich selber benutze Tobit.

Habe ich irgendwas übersehen, außer den Vorteil das es nicht von MS ist?


Das mit dem lecker Bierchen liesse sich ja gerne machen wenn es nicht an einer regionalen Hürde scheitert :-D

Gruß

Oliver
[hottie]

pwyll
Posts: 7
Joined: 2002-10-01 19:31
Location: D | BW | Talheim

Re: Also abwarten

Post by pwyll » 2003-03-11 07:02

Aber mal nachgehakt, was kann AK Mail was nicht jeder freemailer kann?
Abgesehen von diesem MD5 Zeug. Die Kontenverwaltung und Filterreglung ist doch nichts aussergewöhnliches, was da geboten wird beherscht sogar Outlook Express locker. Ich selber benutze Tobit.

Habe ich irgendwas übersehen, außer den Vorteil das es nicht von MS ist?
Naja, nicht das es OT wird, aber AKM hat schon seine Vorteile gegenüber OE und Konsorten. Alleine die, daß man bequem mehrere Konten verwalten kann, so, wie es sein sollte und eigentlich jeder Mailer können sollte. Neu ist auch eine Thread-Ansicht, welche wohl demnext 100pro fertig wird.
Es kenne halt nur einige, die weg wollen von OE. Ich selbst habe OE nie richtig benutzt, weil ich besseres kenne. Dumm ist halt jetzt, daß die jetzt nichts mehr mit AKM anfangen können, bloß weil sie auf meinem Server liegen.
Das mit dem lecker Bierchen liesse sich ja gerne machen wenn es nicht an einer regionalen Hürde scheitert :-D
D-BW-HN
Ausserdem - Erst die Arbeit, dann das Vergnügen! :-)


cu, Heiko

scheich
Posts: 6
Joined: 2002-10-09 10:43

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by scheich » 2003-03-13 18:58

Verstehe ich es richtig, dass es bei manchen eMail-Programmen doch funktioniert? Oder habt ihr generell mit Postfix+Cram Probleme?
Ich hatte das mal mit einiger arbeit auf meinem Suse 7.2 gut zum laufen gebracht, kenne all die Mailprogramme hier aber nicht. ;)

Die Auth-Verfahren sollte man in einer der conf-Dateien bequem per Liste und Reihenfolge angeben können, also auch Cram-MD5 rausnehmen können.

mchenzi
Posts: 19
Joined: 2003-03-03 08:55
Location: Würzburg

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by mchenzi » 2003-03-13 19:05

In welcher der conf Dateien? Ich habe schon mal danach gesucht (nicht sehr intensiv muss ich gestehen).

Viel Erfolg.

scheich
Posts: 6
Joined: 2002-10-09 10:43

Re: Postfix & CRAM-MD5 funktioniert nicht.

Post by scheich » 2003-03-13 19:10

Hmm, ok, nicht so ganz, man kann nur Plaintext deaktivieren.

Man kann aber einfach bei SASL die pwcheck_method von sasldb auf was anderes umstellen, wobei mich aber vielmehr interessieren würde, ob denna uch wirklich alles im Zusammenhang mit der sasldb richtig konfiguriert ist.
Habt ihr die User von Hand mit saslpasswd hinzugefügt?

Anonymous

Die Lösung des Problemes ist ganz einfach...

Post by Anonymous » 2003-03-27 08:44

Hi,

die Lösung des Problems ist ganz einfach...
... wenn man weiß wie.

In der Standardinstallation gehört die Datei /etc/sasldb dem Benutzer "root" und der Gruppe "root", daher kann Postfix die Datei nicht lesen.

Daher eingeben:

Code: Select all

chgrp postfix /etc/sasldb
Dann kann Postfix die Datei lesen, geschrieben werden kann sie aber weiterhin nur vom User Root.

Wenn das noch nicht hilft, dann mit

Code: Select all

sasldblistusers
überprüfen, welcher Wert bei den Nutzern als realm genutzt wird. Dann die /etc/postfix/main.cf editieren und in der Zeile

Code: Select all

smtpd_sasl_local_domain = $myhostname
das $myhostname durch den realm ersetzen. Also beispielsweise

Code: Select all

smtpd_sasl_local_domain = meinedomain
WICHTIG: Der Realm ist in der Regel ohne das .de|.com|.info usw.

HTH
ap

hottie
Posts: 11
Joined: 2003-01-18 11:17
Location: Siegen

hhhmmmm

Post by hottie » 2003-03-27 14:17

Danke für den Tip. Die Gruppe habe ich geändert aber keine Veränderung festgestellt und folgende Zeile befindet sich definitiv nicht in meiner main.cf

smtpd_sasl_local_domain = meinedomain

folgendes ist da zulesen :

#suseconfig:
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
masquerade_domains = meine.de
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
strict_rfc821_envelopes = no
#smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

#SMTPD Auth
smtp_always_send_ehlo = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

auch wenn dies da stünde und ich die Domain mit der hand eintrage nützt das dann für alle Domains auf dem Server?

Gruß

Oliver

Anonymous

Re: hhhmmmm

Post by Anonymous » 2003-03-27 14:30

hottie wrote:Danke für den Tip. Die Gruppe habe ich geändert aber keine Veränderung festgestellt und folgende Zeile befindet sich definitiv nicht in meiner main.cf
auch wenn dies da stünde und ich die Domain mit der hand eintrage nützt das dann für alle Domains auf dem Server?
Bei mir gibt es da definitiv keine Probleme. Wenn du die Zeile einträgst, sollte es eigentlich klappen.
Dein User "Postfix" gehört zur Gruppe "Postfix" und Postfix selbst läuft auch als dieser User in der Gruppe? Wenn nein, musst du die Angaben und Gruppenzugehörigkeit etc. entsprechend ändern.

Falls das immer noch nicht hilft, ändere mal den Benutzer der sasldb auf postfix.

Vor allem: Nicht vergessen mit

Code: Select all

saslpasswd -c benutzername
die berechtigten Benutzer einzutragen (beliebter Fehler) :D