[Postfixbuch-users] TLS und SMTP Auth Problem

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Mai 2 21:58:19 CEST 2007 

Andreas Krummrich wrote:
> Hallo zusammen,
> 
> folgende Umgebung habe ich:
> Ich habe zu Hause einen Debian Woody Rechner (nicht lachen, bitte -
> Woody hat seinen Grund ;-)) mit Postfix, dieser soll über meinen root
> Server mit Debian Sarge und QMail relayen. Der Server zu Hause soll sich
> per SMTP Auth und TLS anmelden. Und hier ist mein Problem.
> 
> Ein Telnet - Port 25 auf meinem root Server ergibt folgendes:
> 
> EHLO
> 250-rom.iunius.org
> 250-STARTTLS
> 250-AUTH LOGIN CRAM-MD5 PLAIN
> 250-AUTH=LOGIN CRAM-MD5 PLAIN
> 250-PIPELINING
> 250 8BITMIME
> 
> Mein Postfix zu Hause versucht die Verbindung aber folgender Maßen
> aufzubauen:
> 
> Apr 30 16:30:07 santa postfix/smtp[17645]: TLS connection established to
> iunius.org: TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)

Okay, TLS funktioniert also, dies hat aber in der Regel nichts mit
Authentifikation zu tun, sondern nur mit der Verschlüsselung der Übertragung.
rom.iunius.org scheint nicht optimal eingerichtet zu sein, wenn ein
Plaintext Mechanismus wie LOGIN benutzt werden darf ohne Verschlüsselung,
aber TLS angeboten wird.

> Mit dem Ergebnis, dass ich nicht relayen darf:
> 
> 553 sorry, that domain isn't in my list of allowed rcpthosts; no valid
> cert for gatewaying (#5.7.1))
> 
> Zum Vergleich: Die SMTP Auth Anmeldung von meinem Mailclient am Postfix
> funktioniert:
> 
> Apr 30 16:46:33 santa postfix/smtpd[18101]: TLS connection established
> from barney.springfield.home[10.10.42.18]: TLSv1 with cipher RC4-MD5
> (128/128 bits)

Dies ist KEINE Authentifikation! Es wird nur die Übertragung verschlüsselt!

> 
> Der Postfix meldet sich folgender Maßen:
> 
> 250-santa.springfield.home
> 250-PIPELINING
> 250-SIZE 10240000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-AUTH GSSAPI DIGEST-MD5 CRAM-MD5
> 250-AUTH=GSSAPI DIGEST-MD5 CRAM-MD5
> 250-XVERP
> 250 8BITMIME
> 
> So, wie ich das verstehe, verwendet mein Postfix die falschen
> Algorythmen, um sich an meinem externen qmail anzumelden und kann also
> kein SMTP Auth machen.

Nein, das Problem ist, dass du TLS und SMTP AUTH verwechselst. Beide sind
völlig unabhängig voneinander, technisch gesehen.

Zeige mal die Ausgabe von "saslfinger -c" auf deinem Postfix zuhause,
ebenso die Ausgabe von "postconf -n". Wenn das Script "saslfinger" bei dir
nicht vorhanden ist, lade es dir von der Homepage von Patrick runter.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users