[Postfixbuch-users] Postfix. smtpd-auth mit sasl

[Patrick Ben Koetter]

* Axel Schmidat <axel.schmidat at lsg.nrw.de>:
> hi at all,
> 
> nachdem ich meinen neuen Postfix/Courier-Imap/Mysql-Server am Laufen 
> habe, möchte ich natürlich eine verschlüsselte Verbindung mittels SSL 
> aufbauen, um Mail abzurufen und auch zu versenden (Thunderbird-Client).
> Soweit so gut, ich habe nach Anleitung die smtpd.conf erstellt, aber 
> auch ein ssl-Zertifikat und Anbindung an die mysql-db.
> 
> Meine smtpd.conf sieht so aus:
> 
> pwcheck_method: auxprop
> auxprop_plugin: sql
> mech_list: login plain cram-md5 digest-md5
> sql_engine: mysql
> sql_hostnames: 127.0.0.1
> sql_user: postfix
> sql_passwd: lisa123
> sql_database: mailbase
> sql_select: select password from mailbase where id="%u@%r"
> log_level: 7

Hübsch. Geht sie auch ohne SSL?


> Auszüge aus der main.cf von postfix:
> # TLS parameters
> smtpd_tls_CAfile=/etc/postfix/cacert.pem
> smtpd_tls_cert_file=/etc/postfix/imap-cert.pem
> smtpd_tls_key_file=/etc/postfix/imap-key.pem
> smtpd_use_tls=yes
> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
> smtpd_sasl_auth_enable=yes
> smtpd_recipient_restirctions = permit_sasl_authenticated, permit_mynetworks
> smtp_tls_CAfile=/etc/postfix/cacert.pem
> smtp_tls_cert_file=/etc/postfix/imap-cert.pem
> smtp_tls_key_file=/etc/postfix/imap-key.pem
> smtp_use_tls=yes
> tls_random_source=dev:/dev/urandom

Bitte "saslfinger -s" Ausgabe senden.


> Die Logdatei gibt folgendes aus, wenn ich ein Mail verschlüsselt 
> versenden möchte
> Aug 16 12:18:48 imap postfix/smtpd[5214]: warning: SASL authentication 
> failure: no secret in database
> Aug 16 12:18:48 imap postfix/smtpd[5214]: warning: 
> unknown[10.200.17.111]: SASL CRAM-MD5 authentication failed
> Aug 16 12:18:48 imap postfix/smtpd[5214]: warning: SASL authentication 
> failure: Password verification failed
> Aug 16 12:18:48 imap postfix/smtpd[5214]: warning: 
> unknown[10.200.17.111]: SASL PLAIN authentication failed
> Aug 16 12:18:48 imap postfix/smtpd[5214]: warning: 
> unknown[10.200.17.111]: SASL LOGIN authentication failed
> 
> Auffällig ist auch, wenn ich jedesmal den Thunderbird-Client starte, 
> dass mit ein Sicherheitsfehler: Domainnamen stimmen nicht überein 
> angezeigt wird. Das "vorgezeigte" Sicherheitszertifikat gehört "localhost".
> 
> Hat da jemand eine Idee zu?

Leg Dir ein gültiges Zertifikat zu.
Reduziere die Fehlersuche auf entweder SASL oder SSL. Wenn SASL geht, dann SSL
angehen.

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>