Das ewige Thema: Postix und "Relay Access Denied"

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
ben burner
Posts: 18
Joined: 2003-04-02 15:28

Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-08 13:18

Hallo, mein erster Eintrag, aber nicht das erste mal hier.
Darum weiß ich gar nicht, womit ich anfangen soll - mich für die vielen Hilfestellungen zu bedanken, die mir diese Seite schon oft gegeben hat (z.B. die Debian-Installation) oder um vorweg zu nehmen, dass ich hier und im Usenet wirklich fast alles zu diesem Thema durchgelesen und nichts funtkionierendes gefunden habe, das Thema also nicht ins Blaue hinein gestartet habe.


Vielleicht hohle ich erstmal aus, um zu erläutern, was ich schon alles versucht habe:
Am Anfang war SuSE. Und ich erkannte, dass SuSE schlecht ist. Zumindest ging mir YaST gehörig auf den Geist, aber da will ich jetzt auch keine Flames starten.
Dann war Debian. Und ich erkannte, dass Debian gut ist. Und so setzte ich meinen Server mit Debian auf, apt-gettete die halbe Nacht um lustige Pakete zu integrieren und installierte Confixx. Es war wunderbar.
Da kam ein Freund, und sprach, "ich benötige mindestens PHP 4.2, am bestern gar 4.3 für die neuen GD-Funktionen", und ich sprach, so sei es.
So ergaben sich Abhängigkeiten beim PHP 4.2 Paket, dass ich mein Woody zum SID mutieren ließ. Nachdem ich alle Abhängigkeiten aufgelöst hatte, war mein System ein neues, gar ein schnelleres. Es war himmlisch.
Ich folgte den Geboten von RootForum und 1&1 zur Absicherung von Postfix, und so geschah es auch. Aber das Schicksal offenbarte mir, dass Postfix nicht recht mit SASL wollte. So ging ich zur Wurzel, und fertigte mir mein eigenes Postfix mit SASL2-Unterstützung. Das Schicksal meinte es trotzdem nicht gut mit mir. Einer seiner Boten, ldd, offenbarte mir, dass SIDS SASL2 gar nicht mit PAM-Unterstützung kompiliert ist.
So sprach ich, hinfort mit dir, Taugenichts SASL2, und kehre erst zurück, wenn du kannst, was man dir gelehrt! Und so löschte ich alle Verweise zu SASL2, und holte mir SASL wieder zurück, denn was länge währt, wird endlich gut.
Oh weh, welch Greuel sollten sich bei meinem Golem Postfix mit TLS auftun! So dachte ich mir, nimm deinem Postfix das Papier aus dem Mund und apt-gete dir postfix-tls. Auch erstellte ich mir Zertifikate und band sie ein. Es wahr himmlisch.
Alles? Nein, tönten meine Logfiles, es ist nicht alles himmlisch was glänzt. Und siehe da, das Relaying wurde mir verweigert. Mir, dem himmlischen Hüter des Debian-Servers! So müssten nicht nur die Spammer draussen bleiben, sondern auch alle Mails drinnen bleiben, die nach draussen dürften, denn, so sprach meine Logdatei, der Sender wäre zwar SASL-authentifiziert, aber dennoch verweigere mir Postfix die Zustellung ins ungelobte Land, den Weiten des Internets.
Auch das dann noch - "Der Feind kommt von innen, und nicht allein", dachte sich wohl dann TLS. Zwar wird eine Verschlüsselte Verbindung mit Outlook aufgebaut, aber dann passiert einfach nichts mehr, versicherten mir meine Logfiles. Keine SMTP-Befehle würde mir mein Outlook gönnen.

So dann verweile ich nun hier, Rast- und Ratlos, denn sowohl meine smtpd.conf als auch meine main.cf verheißen mir das himmlische, verhältnismäßig sichere Relaying auf dem eigenen Server.

Nun dann, frage ich meine Brüder und Schwestern im Kreise der Rootserver-Administratoren, ist da jemand, der mir helfen könnte?


Geplagt von den apokalyptischen Reitern des Postfix,

Ben
  • Debian SID
    Alle Pakete aus SID, besonders Postfix (TLS) und SASL
    Nur PHP 4.3.1 gönnte ich mir selbst zu kompilieren

nergal
RSAC
Posts: 82
Joined: 2002-05-24 09:32
Location: Mörfelden-Walldorf

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by nergal » 2003-04-08 14:28

Deine Config sieht schon gut aus, aber ersetze mal das hier:

Code: Select all

smtpd_recipient_restrictions = permit_mynetworks, reject_rbl_client relays.ordb.org, reject_unauth_destination, permit_sasl_authenticated
durch das hier:

Code: Select all

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client relays.ordb.org, reject_unauth_destination
in der main.cf - denn Du lehnst mit reject_unauth_destination die Mail schon ab, bevor die Regel für sasl_authenticated greift.

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-08 19:35

Hallelujah! Das hat in der Tat funktioniert! Wein und Oblaten für den beinahe Heiligen!
Aber mal zurück zu meinem zweiten Problem: du (meinetwegen auch wer anders) weißt jetzt aber nicht noch zufällig, warum nach STARTTLS von Outlook einfach nichts mehr kommt? Liegt das an Outlook, oder hängt das noch mit Postfix zusammen?
Interessant genug, Outlook (XP SP1 übrigens, mit dreimilliarden Sicherheitsupdates...) hat nicht mal gemosert, dass das Zerzifikat aus einer nicht-vertrauenswürdigen Quelle stammt.
Ich teste mal Mozillas lustigen E-Mail Client, mal sehen, was der ausspuckt.

- Ben

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-08 19:46

08.04.2003, 19:43:36: SEND - Einleitung TLS-Handshake
>08.04.2003, 19:43:36: SEND - Zertifikat S/N: 01, Algorithmus: RSA (1024 Bits), ausgestellt von 07 Apr 2003 bis 06 Apr 2004, für 1 Host(s): asocio.net.
>08.04.2003, 19:43:36: SEND - Besitzer: DE, NRW, Wuppertal, ASOCIO, IT, asocio.net, postmaster@asocio.net.
>08.04.2003, 19:43:36: SEND - Dieses Zertifikat wurde selbst ausgestellt.
>08.04.2003, 19:43:36: SEND - Ungültiges Serverzertifikat (Signaturüberprüfung misslungen).
08.04.2003, 19:43:36: SEND - Verbindung beendet - 0 Nachricht(en) versandt
Dem TLS-Problem scheine ich mich jetzt auch langsam zu nähern. The Bat gab das obige als Fehlermeldung aus. Schon mal ein besserer Ansatzpunkt als das lange schweigen von Outlook...

rǃppz
Posts: 127
Joined: 2003-04-02 14:14

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by rǃppz » 2003-04-08 20:34

Postet du mal bitte deine main.cf weil ich auch damit probleme habe...

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-08 20:38

Habe ich doch :)

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-08 20:41

Und wenn ich es mir so recht überlege, habe ich das Zertifikat auf asocio.net ausgestellt, nicht aber auf smtp.asocio.net...
Ich werkele gerade dran rum, wenn ich es raus habe, poste ich es hier natürlich.

rǃppz
Posts: 127
Joined: 2003-04-02 14:14

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by rǃppz » 2003-04-08 21:25

Hm bin ich dumm?

Wo hast du den deine Config gepostet? Sehe/´Finde sie gerade nicht. :oops:

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied&qu

Post by ben burner » 2003-04-08 21:34

So dann verweile ich nun hier, Rast- und Ratlos, denn sowohl meine smtpd.conf als auch meine main.cf verheißen mir das himmlische, verhältnismäßig sichere Relaying auf dem eigenen Server.
Auch Fließtexte wollen gelesen werden ;-)
Und so weit ich es gerade raus habe, liegt es in der Tat an einem falsch ausgestelltem Zertifikat. Arbeite mich da gerade ein wenig in die Materie ein...

nergal
RSAC
Posts: 82
Joined: 2002-05-24 09:32
Location: Mörfelden-Walldorf

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by nergal » 2003-04-10 08:29

Bei Outlook kann ich Dir da sicher nicht helfen, aber TheBat möchte Dein ausgestelltes Zertifikat gerne in seinem Adressbuch unter den vertrauenswürdigen Zertifikaten finden. Einfach dorthin importieren....

ben burner
Posts: 18
Joined: 2003-04-02 15:28

Re: Das ewige Thema: Postix und "Relay Access Denied"

Post by ben burner » 2003-04-10 13:35

Ja, das habe ich mit einem Freund auch getestet.
Leider benutzt nur er The Bat, und das macht's ein wenig kompliziert. Immerhin unterstützt Outlook Auth LOGIN...
Mal wieder das Usenet wälzen, ich denke nicht, dass ich der einzige mit diesem Problem bin! Hoffe ich zumindest.