Postfix, Confixx2, Cyrus-SASL

[cyberline]

Hi, folgende Konfiguration: (auszug)

main.cf:
smtpd_recipient_restrictions = permit_sasl_authenticated,check_client_access hash:/etc/postfix/pop-before-smtp,reject_maps_rbl,check_relay_domains

smtp_always_send_ehlo = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

/usr/lib/sasl/smtpd.conf:
pwcheck_method: pam


Und nun nach Postfix Restart das:

[root@www postfix]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.XXXXXX.de ESMTP Postfix
EHLO smtp.XXXXXX.de
250-smtp.XXXXXX.de
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-XVERP
250 8BITMIME

Auszug aus dem maillog:

Apr 8 14:28:20 www postfix/smtp[20076]: fatal: specify a password table via the `smtp_sasl_password_maps' configuration parameter

Ich find hier nur im Forum dazu irgendwie nix, wegen Confixx

[nergal]

Hi, folgende Konfiguration: (auszug)
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous

Da gehört überall noch ein "d" hin.... smtpd_sasl_auth_enable und smtpd_sasl_security_options - was Du da einstellst sind die Parameter für SMTP-Auth als CLIENT und nicht als Server. Daher will er auch eine Password-Map.

/usr/lib/sasl/smtpd.conf:
pwcheck_method: pam

Schreib das bitte (auch) nach /etc/postfix/sasl/smtpd.conf


Viel Erfolg!

[cyberline]

Ok, soweit war ich dann gestern schon mit hilfe der Postfix Mailingliste gekommen, wenn ich mich jetzt per telnet anmelde kommt folgendes:

...
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5
250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5
...

soweit so gut, in der main.cf hab ich nun folgendes stehen:

...
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sender_restrictions = permit_sasl_authenticated,check_sender_access hash:/etc/postfix/access
smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/pop-before-smtp,reject_maps_rbl,check_relay_domains
...

Will ich nun eine Mail versenden bekomme ich folgenden Fehler im maillog:

Apr 10 09:19:44 www postfix/smtpd[13263]: warning: dsl-213-023-164-150.arcor-ip.net[213.23.164.150]: SASL LOGIN authentication failed
Apr 10 09:19:49 www postfix/smtpd[13263]: lost connection after AUTH from dsl-213-023-164-150.arcor-ip.net[213.23.164.150]

In Outlook habe ich aber eingetragen das er sich mit den gleichen Daten wie beim POP3 am Server anmelden soll.

[nergal]

Ich hatte mit sasl2 und postfix auch so meine Probleme die Accounts mit PAM zu überprüfen. Ich benutze statt pam jetzt den saslauthd und damit funktioniert es bestens.

[cyberline]

Von pam hatte ich gar nicht gesprochen oder ?
ich habe shadow als auth methode gewählt.
der saslauthd Dienst läuft auch und trotzdem komm ich nix rein

[nergal]

Naja, oben schreibst Du:

/usr/lib/sasl/smtpd.conf:
pwcheck_method: pam

Also PAM... und shadow ist ein Problem, weil Du den smtpd von Postfix sicher chrooted laufen lässt, oder?

Ansonsten trag halt oben bei der pwcheck_method: saslauthd mal ein, wenn der schon läuft.

[cyberline]

master läuft als root, der quemanager als postfix user

[cyberline]

Jetzt hab ich mir da grad mal ein anderes Problem eingebaut:
ich kann von lokal gar keine Mails mehr verschicken, ich bekomme immer Fehler 554 als Antwort, Relaying denied.

Betreffende Zeilen:

virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
smtpd_recipient_restrictions = reject_maps_rbl,check_relay_domains,reject_unauth_destination
maps_rbl_domains = relays.ordb.org,spews.relays.osirusoft.com
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access
smtpd_client_restrictions = permit_sasl_authenticated

Ich raffs net mehr

[nergal]

master läuft als root, der quemanager als postfix user

Such in der master.cf mal nach smtpd und poste die Zeile!

Jetzt hab ich mir da grad mal ein anderes Problem eingebaut:
ich kann von lokal gar keine Mails mehr verschicken, ich bekomme immer Fehler 554 als Antwort, Relaying denied.

Betreffende Zeilen:

virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
smtpd_recipient_restrictions = reject_maps_rbl,check_relay_domains,reject_unauth_destination
maps_rbl_domains = relays.ordb.org,spews.relays.osirusoft.com
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access
smtpd_client_restrictions = permit_sasl_authenticated

Was soll das denn?

smtpd_client_restrictions = permit_sasl_authenticated

weg damit, ebenso mit der smtpd_sender_restrictions. Danach passe die smptd_recipient_restrictions so an:

Code: Select all

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_maps_rbl, reject_unauth_pipelining, check_relay_domains

Du kannst mir auch noch mal die komplette Ausgabe von postconf -n zukommen lassen, wenn es danach immer noch nicht geht.

[cyberline]

Geht immer noch net.
postconf -n:

alias_database = hash:/etc/postfix/aliases
alias_maps = hash:/etc/postfix/aliases
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
debug_peer_level = 2
disable_vrfy_command = yes
inet_interfaces = all
local_recipient_maps = $alias_maps unix:passwd.byname
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
maps_rbl_domains = relays.ordb.org,spews.relays.osirusoft.com
mydestination = $myhostname, localhost.$mydomain, $mydomain, 62.140.16.7, localhost
newaliases_path = /usr/bin/newaliases.postfix
readme_directory = /usr/share/doc/postfix-1.1.11/README_FILES
relay_domains = $virtual_maps
sample_directory = /usr/share/doc/postfix-1.1.11/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_always_send_ehlo = yes
smtpd_delay_reject = no
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_maps_rbl,reject_unauth_pipelining,check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains

master.cf:

smtp inet n - y - - smtpd

[nergal]

Geht immer noch net.

master.cf:
smtp inet n - y - - smtpd

Also läuft der smtpd chrooted.... dann hat Dein Postfix ein Problem auf den MUX-Port von saslauthd zuzugreifen. Ein HARD-Link von /var/run/saslauthd/mux nach /var/spool/postfix/var/run/saslauthd/mux sollte die Lösung sein.

[cyberline]

Link ist erstellt aber es geht immer noch nicht, das ist zum Harreraufen.

Mit folgender Konfiguration OHNE SASL gehts:

smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/pop-before-smtp,reject_maps_rbl,check_relay_domains
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access
smtpd_client_restrictions = check_client_access hash:/etc/postfix/pop-before-smtp

sobald ich aber auch nur einmal das pop-before-smtp weglasse oder gar gegen das sasl_auth tausche kommt 554, Relay access denied.

Nachtrag:
hab jetzt was anderes als Fehler:

Apr 10 10:56:15 www postfix/smtpd[8150]: warning: SASL authentication problem: unrecognized plaintext verifier saslauthd
Apr 10 10:56:15 www postfix/smtpd[8150]: warning: dsl-213-023-164-150.arcor-ip.net[213.23.164.150]: SASL LOGIN authentication failed

[cyberline]

Ok, ich hab mal in der master.cf smtpd -v eingestellt und versucht eine mail zu verschicken. Ich habe gelesen das man bei Postfix mit Confixx in der /usr/lib/sasl/smtpd.conf die methode auf pam stellen muß, das habe ich gemacht und postfix läuft nicht mehr chrooted.

Aber trotzdem will er die richtigen Userdaten nicht akzeptieren, warum ???


Apr 11 13:01:28 www postfix/smtpd[8312]: < dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: AUTH LOGIN
Apr 11 13:01:28 www postfix/smtpd[8312]: smtpd_sasl_authenticate: sasl_method LOGIN
Apr 11 13:01:28 www postfix/smtpd[8312]: smtpd_sasl_authenticate: uncoded challenge: Username:
Apr 11 13:01:28 www postfix/smtpd[8312]: > dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: 334 VXNlcm5hbWU6
Apr 11 13:01:28 www postfix/smtpd[8312]: < dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: d2ViMnAx
Apr 11 13:01:28 www postfix/smtpd[8312]: smtpd_sasl_authenticate: decoded response: web2p1
Apr 11 13:01:28 www postfix/smtpd[8312]: smtpd_sasl_authenticate: uncoded challenge: Password:
Apr 11 13:01:28 www postfix/smtpd[8312]: > dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: 334 UGFzc3dvcmQ6
Apr 11 13:01:28 www postfix/smtpd[8312]: < dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: eUozMjFlVDB2Tg==
Apr 11 13:01:28 www postfix/smtpd[8312]: smtpd_sasl_authenticate: decoded response: XXXXXXX <- (Ich hab jetzt mal mein Pass weggemacht aber es ist korrekt!)
Apr 11 13:01:28 www postfix/smtpd[8312]: warning: dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: SASL LOGIN authentication failed
Apr 11 13:01:28 www postfix/smtpd[8312]: > dsl-213-023-164-039.arcor-ip.net[213.23.164.39]: 535 Error: authentication failed

[cyberline]

Ok, ich habs hinbekommen mit shadow
chmod 404 /etc/shadow
und gut is

Kann ich es noch irgendwie einstellen das im Header der verschickten Mail sowas wie (AUTH web2p1) auftaucht ? bei anderen Providern is das manchmal so.