[Postfixbuch-users] Postfix & SASL - SMTP authentication failed

Patrick Ben Koetter p at state-of-mind.de
Mi Mär 9 20:29:13 CET 2005


* David Geiger <info at david-geiger.de>:
> Super, das war es, danke!
> Lag an der /etc/postfix/sasl/smtpd.conf
> 
> Kann ich außer PLAIN und LOGIN denn auch noch andere Mechanismen nutzen? 

Nur, wenn Du dich von saslauthd trennst und z.B. sasldb oder das auxprop sql
benützt. saslauthd selbst kann nur plaintext mechanismen.


> Ich würde für Nicht-TLS Verbindungen gerne etwas anderes anbieten...
> In /var/log/mail.warn sagt er
> Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
> Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL CRAM-MD5 authentication failed
> Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
> Mar  9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL NTLM authentication failed
> Liegt das an PAM oder schlicht und einfach an Mozilla? Welche 
> Mechanismen kann denn Thunderbird? 

Weiß ich nicht.

> http://www.melnikov.ca/mel/devel/SASL_ClientRef.html ist leider schon 
> etwas veraltet...
> 
> Und kann ich irgendwo die Reihenfolge einstellen, in der die Mechanismen 
> bei einer SMTP Connection abgefragt werden?

Nein, das kannst Du nicht beeinflussen. Der Client wählt den Mechanismus aus -
meistens den sichersten also shared-secret vor plaintext Mechanismen.

p at rick



> 
> Grüße, David
> 
> 
> Patrick Ben Koetter schrieb:
> 
> >* David Geiger <info at david-geiger.de>:
> > 
> >
> >>Hi,
> >>
> >>erstmal danke für die Antwort.
> >>Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt 
> >>mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5 
> >>draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da 
> >>gab's nur pwcheck).
> >>
> >>saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort 
> >>nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass 
> >>die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
> >>   
> >>
> >
> >Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.
> >
> > 
> >
> >>Ansonsten sieht es so aus:
> >>drwx--x---    2 root     sasl         4096  9. Mär 13:23 
> >>/var/run/saslauthd
> >>srwxrwxrwx    1 root     root            0  9. Mär 13:23 mux
> >>-rw-------    1 root     root            0  9. Mär 13:23 mux.accept
> >>-rw-------    1 root     root            5  9. Mär 13:23 saslauthd.pid
> >>---
> >>
> >>~ cat /etc/default/saslauthd:
> >># This needs to be uncommented before saslauthd will be run automatically
> >>START=yes
> >>
> >># You must specify the authentication mechanisms you wish to use.
> >># This defaults to "pam" for PAM support, but may also include
> >># "shadow" or "sasldb", like this:
> >># MECHANISMS="pam shadow"
> >>
> >>MECHANISMS="pam"
> >>   
> >>
> >
> >Nimm für den Anfang mal shadow, das ist einfacher.
> >
> >
> > 
> >
> >>---
> >>
> >>~ vi ps wax | grep saslauthd
> >>4535 ?        S      0:00 /usr/sbin/saslauthd -a pam
> >>4536 ?        S      0:00 /usr/sbin/saslauthd -a pam
> >>4537 ?        S      0:00 /usr/sbin/saslauthd -a pam
> >>4538 ?        S      0:00 /usr/sbin/saslauthd -a pam
> >>4539 ?        S      0:00 /usr/sbin/saslauthd -a pam
> >>4697 pts/0    S      0:00 grep saslauthd
> >>
> >>---
> >>
> >>~ ls /etc/pam.d
> >>chfn  chsh  common-account  common-auth  common-password  
> >>common-session  cron  login  other  passwd  proftpd  qpopper  samba  
> >>ssh  su  webmin
> >>
> >>---
> >>
> >>~ saslfinger -s
> >>saslfinger - postfix Cyrus sasl configuration Mi Mär  9 13:32:00 CET 2005
> >>version: 0.9.9.1
> >>mode: server-side SMTP AUTH
> >>
> >>-- basics --
> >>Postfix: 2.1.5
> >>System: Debian GNU/\s 3.0 \n \l
> >>
> >>-- smtpd is linked to --
> >>      libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
> >>
> >>-- active SMTP AUTH and TLS parameters for smtpd --
> >>broken_sasl_auth_clients = yes
> >>smtpd_sasl_auth_enable = yes
> >>smtpd_sasl_security_options = noanonymous
> >>
> >>
> >>-- listing of /usr/lib/sasl2 --
> >>insgesamt 848
> >>drwxr-xr-x    2 root     root         4096  9. Mär 12:19 .
> >>drwxr-xr-x   44 root     root         8192  9. Mär 13:05 ..
> >>-rw-r--r--    1 root     root        13488 16. Okt 23:02 libanonymous.a
> >>-rw-r--r--    1 root     root          851 16. Okt 23:02 libanonymous.la
> >>-rw-r--r--    1 root     root        13824 16. Okt 23:02 libanonymous.so
> >>-rw-r--r--    1 root     root        13824 16. Okt 23:02 libanonymous.so.2
> >>-rw-r--r--    1 root     root        13824 16. Okt 23:02 
> >>libanonymous.so.2.0.19
> >>-rw-r--r--    1 root     root        16298 16. Okt 23:02 libcrammd5.a
> >>-rw-r--r--    1 root     root          837 16. Okt 23:02 libcrammd5.la
> >>-rw-r--r--    1 root     root        16180 16. Okt 23:02 libcrammd5.so
> >>-rw-r--r--    1 root     root        16180 16. Okt 23:02 libcrammd5.so.2
> >>-rw-r--r--    1 root     root        16180 16. Okt 23:02 
> >>libcrammd5.so.2.0.19
> >>-rw-r--r--    1 root     root        47516 16. Okt 23:02 libdigestmd5.a
> >>-rw-r--r--    1 root     root          860 16. Okt 23:02 libdigestmd5.la
> >>-rw-r--r--    1 root     root        43944 16. Okt 23:02 libdigestmd5.so
> >>-rw-r--r--    1 root     root        43944 16. Okt 23:02 libdigestmd5.so.2
> >>-rw-r--r--    1 root     root        43944 16. Okt 23:02 
> >>libdigestmd5.so.2.0.19
> >>-rw-r--r--    1 root     root        13726 16. Okt 23:02 liblogin.a
> >>-rw-r--r--    1 root     root          831 16. Okt 23:02 liblogin.la
> >>-rw-r--r--    1 root     root        14028 16. Okt 23:02 liblogin.so
> >>-rw-r--r--    1 root     root        14028 16. Okt 23:02 liblogin.so.2
> >>-rw-r--r--    1 root     root        14028 16. Okt 23:02 
> >>liblogin.so.2.0.19
> >>-rw-r--r--    1 root     root        31248 16. Okt 23:02 libntlm.a
> >>-rw-r--r--    1 root     root          825 16. Okt 23:02 libntlm.la
> >>-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so
> >>-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so.2
> >>-rw-r--r--    1 root     root        30660 16. Okt 23:02 libntlm.so.2.0.19
> >>-rw-r--r--    1 root     root        20142 16. Okt 23:02 libotp.a
> >>-rw-r--r--    1 root     root          825 16. Okt 23:02 libotp.la
> >>-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so
> >>-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so.2
> >>-rw-r--r--    1 root     root        43184 16. Okt 23:02 libotp.so.2.0.19
> >>-rw-r--r--    1 root     root        13886 16. Okt 23:02 libplain.a
> >>-rw-r--r--    1 root     root          831 16. Okt 23:02 libplain.la
> >>-rw-r--r--    1 root     root        14096 16. Okt 23:02 libplain.so
> >>-rw-r--r--    1 root     root        14096 16. Okt 23:02 libplain.so.2
> >>-rw-r--r--    1 root     root        14096 16. Okt 23:02 
> >>libplain.so.2.0.19
> >>-rw-r--r--    1 root     root        21798 16. Okt 23:02 libsasldb.a
> >>-rw-r--r--    1 root     root          852 16. Okt 23:02 libsasldb.la
> >>-rw-r--r--    1 root     root        18692 16. Okt 23:02 libsasldb.so
> >>-rw-r--r--    1 root     root        18692 16. Okt 23:02 libsasldb.so.2
> >>-rw-r--r--    1 root     root        18692 16. Okt 23:02 
> >>libsasldb.so.2.0.19
> >>-rw-r--r--    1 root     root           25  9. Mär 12:59 smtpd.conf
> >>
> >>
> >>
> >>
> >>-- content of /usr/lib/sasl2/smtpd.conf --
> >>pwcheck_method:saslauthd
> >>   
> >>
> >
> >Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
> >/etc/postfix/sasl/smtpd.conf:
> >
> >pwcheck_method: saslauthd
> >mech_list: plain login
> >
> >
> >Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
> >localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
> >als AUTH mechs announced werden.
> >
> > 
> >
> >>-- active services in /etc/postfix/master.cf --
> >># service type  private unpriv  chroot  wakeup  maxproc command + args
> >>#               (yes)   (yes)   (yes)   (never) (100)
> >>smtp      inet  n       -       n       -       -       smtpd
> >>pickup    fifo  n       -       n       60      1       pickup
> >>cleanup   unix  n       -       n       -       0       cleanup
> >>qmgr      fifo  n       -       n       300     1       qmgr
> >>rewrite   unix  -       -       n       -       -       trivial-rewrite
> >>bounce    unix  -       -       n       -       0       bounce
> >>defer     unix  -       -       n       -       0       bounce
> >>trace     unix  -       -       n       -       0       bounce
> >>verify    unix  -       -       n       -       1       verify
> >>flush     unix  n       -       n       1000?   0       flush
> >>proxymap  unix  -       -       n       -       -       proxymap
> >>smtp      unix  -       -       n       -       -       smtp
> >>relay     unix  -       -       n       -       -       smtp
> >>showq     unix  n       -       n       -       -       showq
> >>error     unix  -       -       n       -       -       error
> >>local     unix  -       n       n       -       -       local
> >>virtual   unix  -       n       n       -       -       virtual
> >>lmtp      unix  -       -       n       -       -       lmtp
> >>anvil     unix  -       -       n       -       1       anvil
> >>maildrop  unix  -       n       n       -       -       pipe
> >>flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
> >>old-cyrus unix  -       n       n       -       -       pipe
> >>flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
> >>cyrus     unix  -       n       n       -       -       pipe
> >>user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
> >>uucp      unix  -       n       n       -       -       pipe
> >>flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
> >>($recipient)
> >>ifmail    unix  -       n       n       -       -       pipe
> >>flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> >>bsmtp     unix  -       n       n       -       -       pipe
> >>flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop 
> >>$recipient
> >>
> >>-- mechanisms on localhost --
> >>250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> >>250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> >>
> >>-- end of saslfinger output --
> >>
> >>
> >>...übrigens ein sehr praktisches Tool! :)
> >>
> >>Grüße, David
> >>
> >>Patrick Ben Koetter schrieb:
> >>
> >>   
> >>
> >>>* David Geiger <info at david-geiger.de>:
> >>>
> >>>
> >>>     
> >>>
> >>>>ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication 
> >>>>unter Debian Woody aufzusetzen.
> >>>>Installierte Pakete: postfix, postfix-tls, libsasl7, 
> >>>>libsasl-modules-plain.
> >>>> 
> >>>>
> >>>>       
> >>>>
> >>>Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus 
> >>>und
> >>>SASL gibt es mittlerweile in Version 2.1.20.
> >>>
> >>>
> >>>
> >>>     
> >>>
> >>>>Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN 
> >>>>noch LOGIN (telnet & mozilla).
> >>>>Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow 
> >>>>eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf 
> >>>>/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp 
> >>>>auf n in der master.cf).
> >>>> 
> >>>>
> >>>>       
> >>>>
> >>>pwcheck_method: saslauthd
> >>>
> >>>Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der 
> >>>Postfix
> >>>erobert sofort root Rechte...
> >>>
> >>>Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
> >>>anlangen darf.
> >>>
> >>>
> >>>
> >>>     
> >>>
> >>>>Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich 
> >>>>ungültige Werte für pwcheck_method reinschreibe oder Werte für 
> >>>>mech_list angebe, ändert sich nichts. Wenn ich jedoch z.B. das 
> >>>>plain-module aus 
> >>>>
> >>>>       
> >>>>
> >>>mech_list gab es IIRC in 1.5.27 noch nicht.
> >>>
> >>>
> >>>
> >>>     
> >>>
> >>>>/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr 
> >>>>angezeigt.
> >>>>
> >>>>Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls 
> >>>>nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein 
> >>>>multi-domain System handelt und andauernd neue User hinzukommen. Mit 
> >>>>saslauthd habe ich keine Erfahrung (gibt es das in der Version 
> >>>>überhaupt schon?).
> >>>> 
> >>>>
> >>>>       
> >>>>
> >>>Ja, da gab es saslauthd schon.
> >>>
> >>>
> >>>
> >>>     
> >>>
> >>>>Hat vielleicht jemand eine Idee? Danke...
> >>>> 
> >>>>
> >>>>       
> >>>>
> >>>saslfinger (siehe meine Signatur) laufen lassen und output an die Liste. 
> >>>Ich
> >>>geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst 
> >>>morgen.
> >>>
> >>>p at rick
> >>>
> >>>
> >>>
> >>>
> >>>     
> >>>
> >>>>Grüße, David
> >>>>
> >>>>
> >>>>Die config-Files:
> >>>>
> >>>>/etc/postfix/main.cf:
> >>>>*Code:*
> >>>>
> >>>>command_directory = /usr/sbin
> >>>>daemon_directory = /usr/lib/postfix
> >>>>program_directory = /usr/lib/postfix
> >>>>
> >>>>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> >>>>setgid_group = postdrop
> >>>>biff = no
> >>>>
> >>>># appending .domain is the MUA's job.
> >>>>append_dot_mydomain = no
> >>>>myhostname = txxx.greatnet.de
> >>>>alias_maps = hash:/etc/aliases
> >>>>alias_database = hash:/etc/aliases
> >>>>myorigin = /etc/mailname
> >>>>mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
> >>>>relayhost =
> >>>>mynetworks = 127.0.0.0/8
> >>>>mailbox_command = procmail -a "$EXTENSION"
> >>>>mailbox_size_limit = 0
> >>>>recipient_delimiter = +
> >>>>
> >>>>
> >>>># SASL
> >>>>smtpd_sasl_auth_enable = yes
> >>>>smtpd_sasl_security_options = noanonymous
> >>>>#smtpd_sasl_local_domain = txxx
> >>>>broken_sasl_auth_clients = yes
> >>>>
> >>>>
> >>>># Anti-UCE
> >>>>#smtpd_helo_required=yes
> >>>>#relay_domains =
> >>>>smtpd_recipient_restrictions = permit_mynetworks, 
> >>>>permit_sasl_authenticated, check_relay_domains
> >>>>
> >>>>
> >>>>### CONFIXX POSTFIX ENTRY ###
> >>>>virtual_maps = hash:/etc/postfix/confixx_virtualUsers, 
> >>>>hash:/etc/postfix/confixx_localDomains
> >>>>virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
> >>>>### /CONFIXX POSTFIX ENTRY ###
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
> >>>>*Code:*
> >>>>
> >>>>pwcheck_method: shadow
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>Auszug aus /var/log/mail.warn:
> >>>>*Code:*
> >>>>
> >>>>Mar  7 21:58:18 txxx postfix/smtpd[30159]: warning: 
> >>>>p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
> >>>>Mar  7 22:06:33 txxx postfix/smtpd[30907]: warning: 
> >>>>p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed
> >>>>
> >>>>-- 
> >>>>_______________________________________________
> >>>>Postfixbuch-users mailingliste
> >>>>Heinlein Professional Linux Support GmbH
> >>>>
> >>>>Postfixbuch-users at listi.jpberlin.de
> >>>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>>> 
> >>>>
> >>>>       
> >>>>
> >>>
> >>>     
> >>>
> >
> > 
> >
> >>-- 
> >>_______________________________________________
> >>Postfixbuch-users mailingliste
> >>Heinlein Professional Linux Support GmbH
> >>
> >>Postfixbuch-users at listi.jpberlin.de
> >>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>   
> >>
> >
> > 
> >

> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>




Mehr Informationen über die Mailingliste Postfixbuch-users