[Postfixbuch-users] Postfix & SASL - SMTP authentication failed
Patrick Ben Koetter
p at state-of-mind.de
Mi Mär 9 20:29:13 CET 2005
* David Geiger <info at david-geiger.de>:
> Super, das war es, danke!
> Lag an der /etc/postfix/sasl/smtpd.conf
>
> Kann ich außer PLAIN und LOGIN denn auch noch andere Mechanismen nutzen?
Nur, wenn Du dich von saslauthd trennst und z.B. sasldb oder das auxprop sql
benützt. saslauthd selbst kann nur plaintext mechanismen.
> Ich würde für Nicht-TLS Verbindungen gerne etwas anderes anbieten...
> In /var/log/mail.warn sagt er
> Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
> Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL CRAM-MD5 authentication failed
> Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication failure: no secret in database
> Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: p....dip0.t-ipconnect.de[...]: SASL NTLM authentication failed
> Liegt das an PAM oder schlicht und einfach an Mozilla? Welche
> Mechanismen kann denn Thunderbird?
Weiß ich nicht.
> http://www.melnikov.ca/mel/devel/SASL_ClientRef.html ist leider schon
> etwas veraltet...
>
> Und kann ich irgendwo die Reihenfolge einstellen, in der die Mechanismen
> bei einer SMTP Connection abgefragt werden?
Nein, das kannst Du nicht beeinflussen. Der Client wählt den Mechanismus aus -
meistens den sichersten also shared-secret vor plaintext Mechanismen.
p at rick
>
> Grüße, David
>
>
> Patrick Ben Koetter schrieb:
>
> >* David Geiger <info at david-geiger.de>:
> >
> >
> >>Hi,
> >>
> >>erstmal danke für die Antwort.
> >>Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt
> >>mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5
> >>draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da
> >>gab's nur pwcheck).
> >>
> >>saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort
> >>nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass
> >>die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
> >>
> >>
> >
> >Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.
> >
> >
> >
> >>Ansonsten sieht es so aus:
> >>drwx--x--- 2 root sasl 4096 9. Mär 13:23
> >>/var/run/saslauthd
> >>srwxrwxrwx 1 root root 0 9. Mär 13:23 mux
> >>-rw------- 1 root root 0 9. Mär 13:23 mux.accept
> >>-rw------- 1 root root 5 9. Mär 13:23 saslauthd.pid
> >>---
> >>
> >>~ cat /etc/default/saslauthd:
> >># This needs to be uncommented before saslauthd will be run automatically
> >>START=yes
> >>
> >># You must specify the authentication mechanisms you wish to use.
> >># This defaults to "pam" for PAM support, but may also include
> >># "shadow" or "sasldb", like this:
> >># MECHANISMS="pam shadow"
> >>
> >>MECHANISMS="pam"
> >>
> >>
> >
> >Nimm für den Anfang mal shadow, das ist einfacher.
> >
> >
> >
> >
> >>---
> >>
> >>~ vi ps wax | grep saslauthd
> >>4535 ? S 0:00 /usr/sbin/saslauthd -a pam
> >>4536 ? S 0:00 /usr/sbin/saslauthd -a pam
> >>4537 ? S 0:00 /usr/sbin/saslauthd -a pam
> >>4538 ? S 0:00 /usr/sbin/saslauthd -a pam
> >>4539 ? S 0:00 /usr/sbin/saslauthd -a pam
> >>4697 pts/0 S 0:00 grep saslauthd
> >>
> >>---
> >>
> >>~ ls /etc/pam.d
> >>chfn chsh common-account common-auth common-password
> >>common-session cron login other passwd proftpd qpopper samba
> >>ssh su webmin
> >>
> >>---
> >>
> >>~ saslfinger -s
> >>saslfinger - postfix Cyrus sasl configuration Mi Mär 9 13:32:00 CET 2005
> >>version: 0.9.9.1
> >>mode: server-side SMTP AUTH
> >>
> >>-- basics --
> >>Postfix: 2.1.5
> >>System: Debian GNU/\s 3.0 \n \l
> >>
> >>-- smtpd is linked to --
> >> libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
> >>
> >>-- active SMTP AUTH and TLS parameters for smtpd --
> >>broken_sasl_auth_clients = yes
> >>smtpd_sasl_auth_enable = yes
> >>smtpd_sasl_security_options = noanonymous
> >>
> >>
> >>-- listing of /usr/lib/sasl2 --
> >>insgesamt 848
> >>drwxr-xr-x 2 root root 4096 9. Mär 12:19 .
> >>drwxr-xr-x 44 root root 8192 9. Mär 13:05 ..
> >>-rw-r--r-- 1 root root 13488 16. Okt 23:02 libanonymous.a
> >>-rw-r--r-- 1 root root 851 16. Okt 23:02 libanonymous.la
> >>-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so
> >>-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so.2
> >>-rw-r--r-- 1 root root 13824 16. Okt 23:02
> >>libanonymous.so.2.0.19
> >>-rw-r--r-- 1 root root 16298 16. Okt 23:02 libcrammd5.a
> >>-rw-r--r-- 1 root root 837 16. Okt 23:02 libcrammd5.la
> >>-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so
> >>-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so.2
> >>-rw-r--r-- 1 root root 16180 16. Okt 23:02
> >>libcrammd5.so.2.0.19
> >>-rw-r--r-- 1 root root 47516 16. Okt 23:02 libdigestmd5.a
> >>-rw-r--r-- 1 root root 860 16. Okt 23:02 libdigestmd5.la
> >>-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so
> >>-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so.2
> >>-rw-r--r-- 1 root root 43944 16. Okt 23:02
> >>libdigestmd5.so.2.0.19
> >>-rw-r--r-- 1 root root 13726 16. Okt 23:02 liblogin.a
> >>-rw-r--r-- 1 root root 831 16. Okt 23:02 liblogin.la
> >>-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so
> >>-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2
> >>-rw-r--r-- 1 root root 14028 16. Okt 23:02
> >>liblogin.so.2.0.19
> >>-rw-r--r-- 1 root root 31248 16. Okt 23:02 libntlm.a
> >>-rw-r--r-- 1 root root 825 16. Okt 23:02 libntlm.la
> >>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so
> >>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2
> >>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2.0.19
> >>-rw-r--r-- 1 root root 20142 16. Okt 23:02 libotp.a
> >>-rw-r--r-- 1 root root 825 16. Okt 23:02 libotp.la
> >>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so
> >>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2
> >>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2.0.19
> >>-rw-r--r-- 1 root root 13886 16. Okt 23:02 libplain.a
> >>-rw-r--r-- 1 root root 831 16. Okt 23:02 libplain.la
> >>-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so
> >>-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2
> >>-rw-r--r-- 1 root root 14096 16. Okt 23:02
> >>libplain.so.2.0.19
> >>-rw-r--r-- 1 root root 21798 16. Okt 23:02 libsasldb.a
> >>-rw-r--r-- 1 root root 852 16. Okt 23:02 libsasldb.la
> >>-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so
> >>-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2
> >>-rw-r--r-- 1 root root 18692 16. Okt 23:02
> >>libsasldb.so.2.0.19
> >>-rw-r--r-- 1 root root 25 9. Mär 12:59 smtpd.conf
> >>
> >>
> >>
> >>
> >>-- content of /usr/lib/sasl2/smtpd.conf --
> >>pwcheck_method:saslauthd
> >>
> >>
> >
> >Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
> >/etc/postfix/sasl/smtpd.conf:
> >
> >pwcheck_method: saslauthd
> >mech_list: plain login
> >
> >
> >Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
> >localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
> >als AUTH mechs announced werden.
> >
> >
> >
> >>-- active services in /etc/postfix/master.cf --
> >># service type private unpriv chroot wakeup maxproc command + args
> >># (yes) (yes) (yes) (never) (100)
> >>smtp inet n - n - - smtpd
> >>pickup fifo n - n 60 1 pickup
> >>cleanup unix n - n - 0 cleanup
> >>qmgr fifo n - n 300 1 qmgr
> >>rewrite unix - - n - - trivial-rewrite
> >>bounce unix - - n - 0 bounce
> >>defer unix - - n - 0 bounce
> >>trace unix - - n - 0 bounce
> >>verify unix - - n - 1 verify
> >>flush unix n - n 1000? 0 flush
> >>proxymap unix - - n - - proxymap
> >>smtp unix - - n - - smtp
> >>relay unix - - n - - smtp
> >>showq unix n - n - - showq
> >>error unix - - n - - error
> >>local unix - n n - - local
> >>virtual unix - n n - - virtual
> >>lmtp unix - - n - - lmtp
> >>anvil unix - - n - 1 anvil
> >>maildrop unix - n n - - pipe
> >>flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
> >>old-cyrus unix - n n - - pipe
> >>flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
> >>cyrus unix - n n - - pipe
> >>user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
> >>uucp unix - n n - - pipe
> >>flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> >>($recipient)
> >>ifmail unix - n n - - pipe
> >>flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> >>bsmtp unix - n n - - pipe
> >>flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
> >>$recipient
> >>
> >>-- mechanisms on localhost --
> >>250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> >>250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> >>
> >>-- end of saslfinger output --
> >>
> >>
> >>...übrigens ein sehr praktisches Tool! :)
> >>
> >>Grüße, David
> >>
> >>Patrick Ben Koetter schrieb:
> >>
> >>
> >>
> >>>* David Geiger <info at david-geiger.de>:
> >>>
> >>>
> >>>
> >>>
> >>>>ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication
> >>>>unter Debian Woody aufzusetzen.
> >>>>Installierte Pakete: postfix, postfix-tls, libsasl7,
> >>>>libsasl-modules-plain.
> >>>>
> >>>>
> >>>>
> >>>>
> >>>Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus
> >>>und
> >>>SASL gibt es mittlerweile in Version 2.1.20.
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN
> >>>>noch LOGIN (telnet & mozilla).
> >>>>Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow
> >>>>eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf
> >>>>/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp
> >>>>auf n in der master.cf).
> >>>>
> >>>>
> >>>>
> >>>>
> >>>pwcheck_method: saslauthd
> >>>
> >>>Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der
> >>>Postfix
> >>>erobert sofort root Rechte...
> >>>
> >>>Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
> >>>anlangen darf.
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich
> >>>>ungültige Werte für pwcheck_method reinschreibe oder Werte für
> >>>>mech_list angebe, ändert sich nichts. Wenn ich jedoch z.B. das
> >>>>plain-module aus
> >>>>
> >>>>
> >>>>
> >>>mech_list gab es IIRC in 1.5.27 noch nicht.
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr
> >>>>angezeigt.
> >>>>
> >>>>Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls
> >>>>nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein
> >>>>multi-domain System handelt und andauernd neue User hinzukommen. Mit
> >>>>saslauthd habe ich keine Erfahrung (gibt es das in der Version
> >>>>überhaupt schon?).
> >>>>
> >>>>
> >>>>
> >>>>
> >>>Ja, da gab es saslauthd schon.
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>Hat vielleicht jemand eine Idee? Danke...
> >>>>
> >>>>
> >>>>
> >>>>
> >>>saslfinger (siehe meine Signatur) laufen lassen und output an die Liste.
> >>>Ich
> >>>geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst
> >>>morgen.
> >>>
> >>>p at rick
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>>Grüße, David
> >>>>
> >>>>
> >>>>Die config-Files:
> >>>>
> >>>>/etc/postfix/main.cf:
> >>>>*Code:*
> >>>>
> >>>>command_directory = /usr/sbin
> >>>>daemon_directory = /usr/lib/postfix
> >>>>program_directory = /usr/lib/postfix
> >>>>
> >>>>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> >>>>setgid_group = postdrop
> >>>>biff = no
> >>>>
> >>>># appending .domain is the MUA's job.
> >>>>append_dot_mydomain = no
> >>>>myhostname = txxx.greatnet.de
> >>>>alias_maps = hash:/etc/aliases
> >>>>alias_database = hash:/etc/aliases
> >>>>myorigin = /etc/mailname
> >>>>mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
> >>>>relayhost =
> >>>>mynetworks = 127.0.0.0/8
> >>>>mailbox_command = procmail -a "$EXTENSION"
> >>>>mailbox_size_limit = 0
> >>>>recipient_delimiter = +
> >>>>
> >>>>
> >>>># SASL
> >>>>smtpd_sasl_auth_enable = yes
> >>>>smtpd_sasl_security_options = noanonymous
> >>>>#smtpd_sasl_local_domain = txxx
> >>>>broken_sasl_auth_clients = yes
> >>>>
> >>>>
> >>>># Anti-UCE
> >>>>#smtpd_helo_required=yes
> >>>>#relay_domains =
> >>>>smtpd_recipient_restrictions = permit_mynetworks,
> >>>>permit_sasl_authenticated, check_relay_domains
> >>>>
> >>>>
> >>>>### CONFIXX POSTFIX ENTRY ###
> >>>>virtual_maps = hash:/etc/postfix/confixx_virtualUsers,
> >>>>hash:/etc/postfix/confixx_localDomains
> >>>>virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
> >>>>### /CONFIXX POSTFIX ENTRY ###
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
> >>>>*Code:*
> >>>>
> >>>>pwcheck_method: shadow
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>Auszug aus /var/log/mail.warn:
> >>>>*Code:*
> >>>>
> >>>>Mar 7 21:58:18 txxx postfix/smtpd[30159]: warning:
> >>>>p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
> >>>>Mar 7 22:06:33 txxx postfix/smtpd[30907]: warning:
> >>>>p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed
> >>>>
> >>>>--
> >>>>_______________________________________________
> >>>>Postfixbuch-users mailingliste
> >>>>Heinlein Professional Linux Support GmbH
> >>>>
> >>>>Postfixbuch-users at listi.jpberlin.de
> >>>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>>>
> >>>>
> >>>>
> >>>>
> >>>
> >>>
> >>>
> >
> >
> >
> >>--
> >>_______________________________________________
> >>Postfixbuch-users mailingliste
> >>Heinlein Professional Linux Support GmbH
> >>
> >>Postfixbuch-users at listi.jpberlin.de
> >>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >>
> >>
> >
> >
> >
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users