[Postfixbuch-users] Postfix+TLS+Auth & Outlook XP

Patrick Ben Koetter p at state-of-mind.de
Do Feb 19 18:58:22 CET 2004 

* Jochen Staerk <jstaerk at usegroup.de> [040219 17:53]:
> Hallo,
> 
> Outlook XP meldet beim Senden von Outlook aus "relaying denied",
> obwohl der User eingeloggt ist - und broken_sasl_auth_clients = yes
> ist.

Du sagst, dass "der User eingeloggt ist" ist. Meinst Du damit SMTP
authentifiziert? Aus Deinen Logs geht das nicht hervor.

> Ich habe bei dem Kunden mindestens eine Person, bei dem das per Outlook 
> XP funktioniert; ich frage mich ob es bei der Person, bei der es nicht 
> funktioniert, an einem falschen Nutzernamen/Kennwort liegen kann oder an 
> einem eventuell nicht-akzeptierten Zertifikat. Die Mail erreicht die 
> Empfängeradresse z.B. unter meinem Mozilla ohne Probleme - mit demselben 
> cipher, aber unter Outlook XP meldet sich das Ding offensichtlich nicht 

Outlook kann NTLM und LOGIN. Das war's dann an Mechanismen.

> per MD5 an. Ich weiß erlich geagt nicht warum im log nicht zumindest 
> steht, dass er versucht sich anzumelden: Fehlender Eintrag "Der Server 

Wessen Log? Outlook? Postfix?
Kann es sein, dass Du in dieser Mail mehr Dampf abläßt, als
Hilfestellung zum Debuggen gibst?

> erfordert Authentifizierung" in Outlook? Untersützt Outlook kein MD5?

> Bei der Person, bei der es funktioniert, habe ich versuchshalber 
> .DER-Zertifikate des CAcert importiert - erfolglos, nebenbei, Outlook 
> sagt immer noch bei jedem Start, dass die Verbindung zum Server nicht 
> vertrauenswürdig sei.

Was steht im CN Deines Zertifikates? Ist das Attribut identisch mit dem
FQDN hostname Deines Mailservers? Es sollte identisch sein.

> Weiß jemand Rat? Ich möchte nicht ohne Grundlage drauf losraten,

Also:

1. Outlook braucht LOGIN, damit es sich bei SMTP AUTH wohlfühlt.

2. Check mal ob, bei den smtpd_tls_sasl_security_options "noplaintext"
   mit eingetragen ist. Wenn das so ist, dann wird Outlook nie was
   passendes für sich finden.
   In dem Fall einfach 'smtpd_tls_sasl_security_options = noanonymous'
   explizit setzen und nach einem reload nochmal probieren.

3. TLS disablen, 'telnet localhost 25', dann 'EHLO foo' und prüfen, ob
   der Server 'AUTH PLAIN LOGIN ...' anbietet. Wenn kein LOGIN dabei
   ist, dann mußt Du dafür sorgen, dass es dazu kommt.
   a) in der smtpd.conf den Wert LOGIN zur mech_list: hinzufügen
   b) SASL mit --with-login kompilieren, falls a) nichts bringt.
4. Dreh den smtpd daemon auf verbose '-v' logging in der master.cf.
   Schicke: so ein log, dann mit dem output der smtpd.conf, deiner SASL
   VErsion, Postfix version wieder an die Liste.

p at rick

-- 
Patrick Koetter <p at state-of-mind.de>
http://postfix.state-of-mind.de/patrick.koetter/

Mehr Informationen über die Mailingliste Postfixbuch-users