Problem beim versenden von Mail via Postfix

[skelle]

Hallo,

ich bin gerade dabei auf meinem vServer einen Mailserver aufzusetzen.

Ich bin nach folgender Anleitung vorgegangen:

HowtoForge Linux Tutorials Der Perfekte Server - Ubuntu Hardy Heron (Ubuntu 8.04 LTS Server)

Mails abfragen klappt mit Thunderbird einwandfrei, Mails versenden vom Server lokal klappt auch ohne Probleme - es ist allerdings nicht möglich mit Thunderbird Mails über den Postfixserver zu versenden =/

In der Mail.log ist folgendes zu finden:

Jul 29 18:15:22 v230881233 postfix/smtpd[29294]: connect from p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]

Jul 29 18:15:22 v230881233 postfix/smtpd[29294]: setting up TLS connection from p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]

Jul 29 18:15:22 v230881233 postfix/smtpd[29294]: Anonymous TLS connection established from p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)

Jul 29 18:15:26 v230881233 postfix/smtpd[29294]: warning: SASL authentication failure: Password verification failed

Jul 29 18:15:26 v230881233 postfix/smtpd[29294]: warning: p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]: SASL PLAIN authentication failed: authentication failure

Jul 29 18:15:28 v230881233 postfix/smtpd[29294]: warning: p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]: SASL LOGIN authentication failed: authentication failure

Jul 29 18:15:30 v230881233 postfix/smtpd[29294]: disconnect from p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]

Wenn ich mich mit username: frosch am server anmelde und dafür dann als pw 123 habe, dann muss ich mich doch auch auf dem smtp server mit frosch und 123 anmelden oder? Hier noch meine main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version



# Debian specific:  Specifying a file name will cause the first

# line of that file to be used as the name.  The Debian default

# is /etc/mailname.

#myorigin = /etc/mailname


smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)

biff = no


# appending .domain is the MUA's job.

append_dot_mydomain = no


# Uncomment the next line to generate "delayed mail" warnings

#delay_warning_time = 4h


readme_directory = no


# TLS parameters

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem

smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_use_tls=yes

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for

# information on enabling SSL in the smtp client.


myhostname = v230881233.yourvserver.net

alias_maps = hash:/etc/aliases

alias_database = hash:/etc/aliases

myorigin = /etc/mailname

mydestination = v230881233.yourvserver.net, localhost

relayhost = 

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

mailbox_size_limit = 0

recipient_delimiter = 

inet_interfaces = all

inet_protocols = ipv4

relay_domains = $mydestination

smtpd_sasl_local_domain = $myhostname

smtpd_sasl_auth_enable = yes

smtpd_sasl_security_options = noanonymous

broken_sasl_auth_clients = yes

smtpd_sasl_authenticated_header = yes

smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

smtpd_tls_auth_only = no

smtp_use_tls = yes

smtpd_use_tls = yes

smtp_tls_note_starttls_offer = yes

smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key

smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt

smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem

smtpd_tls_loglevel = 1

smtpd_tls_received_header = yes

smtpd_tls_session_cache_timeout = 3600s

tls_random_source = dev:/dev/urandom

home_mailbox = Maildir/

mailbox_command = 

Hoffe mir kann jemand helfen ... wenn ihr noch weitere angaben braucht, dann kann ich die auch noch posten.

greetz skelle

[flashpixx]

ich bin gerade dabei auf meinem vServer einen Mailserver aufzusetzen.

Ich bin nach folgender Anleitung vorgegangen:

Ich halte es für absolut fahrlässig, wenn Du in Deinem Leben noch nie einen Mailserver eingerichtet hast, dies auf einem Server im Netz zu tun. Du läuft Gefahr, dass er als Spamrelay verwendet wird und bist dann dafür verantwortlich. Gerade ein Mailserver muss wirklich mit Erfahrung eingerichtet werden, sonst landet er auf SBL.

Du kannst den Server konfigurieren, lass aber jemanden Erfahren mit drauf schauen, ob es korrekt ist

Jul 29 18:15:26 v230881233 postfix/smtpd[29294]: warning: SASL authentication failure: Password verification failed

Jul 29 18:15:26 v230881233 postfix/smtpd[29294]: warning: p54BE1DF0.dip0.t-ipconnect.de[x.x.x.x]: SASL PLAIN authentication failed: authentication failure

Bei Dir schlägt der SASL Mechanismus fehl. Aber ich möchte hier nicht weiter zur Fehlerbehebung beitragen, denn das ist Grundlagenwissen, was man als Administrator mit bringen muss, bevor man einen Serverdienst frei zugänglich konfiguriert

Wenn ich mich mit username: frosch am server anmelde und dafür dann als pw 123 habe, dann muss ich mich doch auch auf dem smtp server mit frosch und 123 anmelden oder?

Nein, das kommt ganz darauf an, wogegen man authentifiziert. Da Du aber mir genau hier zeigst, dass Du wirklich das Grundwissen nicht hast, bitte ich Dich lass dieses Vorhaben.

Phil

[lupo49]

(Obwohl ich mich flashpixx anschließe, versuche ich mal zu unterstützen.)

In der Anleitung steht

echo ‘pwcheck_method: saslauthd’ >> /etc/postfix/sasl/smtpd.conf

Wie ist der saslauthd-Dienst konfiguriert? Läuft der überhaupt?

Poste mal die Konfigurationsdatei von saslauthd und die Ausgabe von "ps aux | grep sasl"

[skelle]

ausgabe von ps aux | grep saslauthd

felix@v230881233:/etc/init.d$ ps aux | grep saslauthd

felix     4685  0.0  0.2   2076   560 pts/9    S+   19:12   0:00 grep saslauthd

root     22324  0.0  0.6   8644  1344 ?        Ss   17:38   0:00 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5

root     22325  0.0  0.6   8644  1324 ?        S    17:38   0:00 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5

root     22326  0.0  0.6   8644  1324 ?        S    17:38   0:00 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5

root     22327  0.0  0.6   8644  1324 ?        S    17:38   0:00 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5

root     22328  0.0  0.6   8644  1324 ?        S    17:38   0:00 /usr/sbin/saslauthd -a pam -c -m /var/spool/postfix/var/run/saslauthd -r -n 5

und die saslauthd config:

#

# Settings for saslauthd daemon

# Please read /usr/share/doc/sasl2-bin/README.Debian for details.

#


# Should saslauthd run automatically on startup? (default: no)

START=yes


# Description of this saslauthd instance. Recommended.

# (suggestion: SASL Authentication Daemon)

DESC="SASL Authentication Daemon"


# Short name of this saslauthd instance. Strongly recommended.

# (suggestion: saslauthd)

NAME="saslauthd"


# Which authentication mechanisms should saslauthd use? (default: pam)

#

# Available options in this Debian package:

# getpwent  -- use the getpwent() library function

# kerberos5 -- use Kerberos 5

# pam       -- use PAM

# rimap     -- use a remote IMAP server

# shadow    -- use the local shadow password file

# sasldb    -- use the local sasldb database file

# ldap      -- use LDAP (configuration is in /etc/saslauthd.conf)

#

# Only one option may be used at a time. See the saslauthd man page

# for more information.

#

# Example: MECHANISMS="pam"

MECHANISMS="pam"


# Additional options for this mechanism. (default: none)

# See the saslauthd man page for information about mech-specific options.

MECH_OPTIONS=""


# How many saslauthd processes should we run? (default: 5)

# A value of 0 will fork a new process for each connection.

THREADS=5


# Other options (default: -c -m /var/run/saslauthd)

# Note: You MUST specify the -m option or saslauthd won't run!

#

# WARNING: DO NOT SPECIFY THE -d OPTION.

# The -d option will cause saslauthd to run in the foreground instead of as

# a daemon. This will PREVENT YOUR SYSTEM FROM BOOTING PROPERLY. If you wish

# to run saslauthd in debug mode, please run it by hand to be safe.

#

# See /usr/share/doc/sasl2-bin/README.Debian for Debian-specific information.

# See the saslauthd man page and the output of 'saslauthd -h' for general

# information about these options.

#

# Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd"

#OPTIONS="-c -m /var/run/saslauthd"

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"

laufen tut der dienst auch

greetz skelle

[skelle]

So das Problem ist gelöst ...

ich weiss zwar nich genau was meine Änderung bewirkt allerdings funktionert es

ich hatte in der /etc/default/saslauthd folgendes zu stehen:

OPTIONS=â€-c -m /var/spool/postfix/var/run/saslauthd -râ€

nachdem ich den Paramaeter -r entfernt habe klappt die ganze sache

vllt kann mir ja noch jemand sagen was ich damit bewirkt habe

greetz skelle

[flashpixx]

Noch einmal die Frage: Du bist Dir ganz sicher, dass Du weißt was Du da tust?

vllt kann mir ja noch jemand sagen was ich damit bewirkt habe

man saslauthd

-r Combine the realm with the login (with an '@' sign in between). e.g. login: "foo" realm: "bar" will get passed as login: "foo@bar". Note that the realm will still be passed, which may lead to unexpected behavior.

Phil

[skelle]

nein 100% bin ich mir nicht sicher was ich tue... aber deswegen frag ich ja nach

ok auf die sache mit man saslauthd hätt ich jetz auch kommen können

eine letzte frage hab ich denn aber immernoch:

ohne den parameter "-r" brauch ich also nur noch den lokalen namen ohne den realm mit mit "-r" brauch ich also den benutzernamen verbunden mit einem "@" und dem realm

mein realm müsste doch mein hostname sein oder?

wenn ich nun im thunderbird als username user@hostname angebe hab ich das gl problem wie vorher wenn ich "-r" aus der config entferne und mich ohne hostname anmelde gehts allerdings

hab ich noch was übersehen?

greetz skelle

[flashpixx]

nein 100% bin ich mir nicht sicher was ich tue... aber deswegen frag ich ja nach

Ich will Dir noch einmal den Hinweis geben, dass Du, wenn Dein Server zum Spamversand missbraucht wird, rechtlich belangt werden kannst (eine WhoIs Anfrage im Header der Mail zeigt den Eigentümer). Und Unwissenheit schützt vor Strafe nicht.

ohne den parameter "-r" brauch ich also nur noch den lokalen namen ohne den realm mit mit "-r" brauch ich also den benutzernamen verbunden mit einem "@" und dem realm

Du weißt wofür saslauthd gedacht ist?

Da ich einen Mailserver für 3 Domain betreibe und lokale sowie virtuelle User habe, muss ich meine Authentifizierung anpassen. Zusätzlich solltest Du einmal darüber nachdenken, wenn Du einen Webserver laufen hast und man z.B. über ein Forum Mails versenden kann, wie dieser sich authentifiziert und vor allem mit welcher EMail Adresse er sendet.

mein realm müsste doch mein hostname sein oder?

nein, das kann sein, muss aber nicht sein. Mein Hostname ist v????, aber mein Realm @domain1.de @domain2.de @domain3.de

wenn ich nun im thunderbird als username user@hostname angebe hab ich das gl problem wie vorher wenn ich "-r" aus der config entferne und mich ohne hostname anmelde gehts allerdings

hab ich noch was übersehen?

Ja, weil Du nicht weißt wogegen Du authentifizierst. Darüber solltest Du ganz dringend nachdenken. Was passiert, wenn ich mich mit "root" anmelde?

Phil