[Postfixbuch-users] TLS und SMTP Auth Problem

Patrick Ben Koetter p at state-of-mind.de
So Mai 6 21:55:05 CEST 2007


* Andreas Krummrich <brutus at iunius.org>:
> Hier der Output:
> 
> brutus at itchy:~$ openssl s_client -starttls smtp -CAfile ca.crt -connect rom.iunius.org:25

Ist das ca.crt auch in Postfix eingebunden? In Deiner Config habe ich es nicht
gesehen.


> CONNECTED(00000003)
> depth=1  
> /C=DE/ST=NRW/L=Troisdorf/O=iunius.org/OU=Berlin/CN=rom/emailAddress=brutus at iunius.org
> verify return:1
> depth=0 /C=DE/ST=NRW/L=Troisdorf/O=iunius.org/CN=rom.iunius.org
> verify return:1
> ---
> Certificate chain
>   0 s:/C=DE/ST=NRW/L=Troisdorf/O=iunius.org/CN=rom.iunius.org
>      
> i:/C=DE/ST=NRW/L=Troisdorf/O=iunius.org/OU=Berlin/CN=rom/emailAddress=brutus at iunius.org
> ---
> Server certificate
> -----BEGIN CERTIFICATE-----

<snip>

> -----END CERTIFICATE-----
> subject=/C=DE/ST=NRW/L=Troisdorf/O=iunius.org/CN=rom.iunius.org
> issuer=/C=DE/ST=NRW/L=Troisdorf/O=iunius.org/OU=Berlin/CN=rom/emailAddress=brutus at iunius.org
> ---
> No client certificate CA names sent
> ---
> SSL handshake has read 1501 bytes and written 351 bytes
> ---
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 1024 bit
> Compression: NONE
> Expansion: NONE
> SSL-Session:
>      Protocol  : TLSv1
>      Cipher    : DHE-RSA-AES256-SHA
>      Session-ID:  
> A366319E8BF413D080B983BBD8C4BE3DC1DFB990A663603657AC3AEB3E7B3BB4
>      Session-ID-ctx:
>      Master-Key:  
> B18F8A5FE8851866C76E19DE7FDD5449CE4A8E7E4AB5F15970F5E8B8F35395FE56A38669C780D888BA0A64FD65ACEE50
>      Key-Arg   : None
>      Start Time: 1178461320
>      Timeout   : 300 (sec)
>      Verify return code: 0 (ok)
> ---
> 250 8BITMIME
> EHLO iunius.org
> 250-rom.iunius.org
> 250-AUTH LOGIN CRAM-MD5 PLAIN
> 250-AUTH=LOGIN CRAM-MD5 PLAIN

Also qmail bietet LOGIN, PLAIN und CRAM-MD5 an. Das ist schon mal gut.

> 250-PIPELINING
> 250 8BITMIME
> AUTH LOGIN
> 334 VXNlcm5hbWU6
> dGVzdA==
> 334 UGFzc3dvcmQ6
> dGVzdA==
> 235 ok, go ahead (#2.0.0)

LOGIN geht. Auch gut. Du möchtest aber den Nutzer "test" und das Kennwort
"test" umgehend ändern. Nicht das einer die kodierten, aber nicht
verschlüsselten Strings gegen Dich verwendet.

Da LOGIN zu gehen scheint, ein Vorschlag für einen Workaround:
Unterstützt Dein Postfix den $smtp_sasl_mechanism_filter-Parameter (Postfix
2.3 und später)?

Wenn ja, dann setze ihn auf Folgendes:

smtp_sasl_mechanism_filter = !cram-md5, static:rest

So wird Postfix CRAM-MD5 ignorieren und login oder plain nutzen. Das ist okay,
solange Du TLS nutzt.

Für plaintext-Mechanismen während TLS musst Du dann zusätzlich Folgendes
setzen:

smtp_sasl_tls_security_options = noanonymous

Es darf nicht der default (noplaintext, noanonymous), weil Postfix sonst dank
smtp_sasl_mechanism_filter kein CRAM-MD5 nutzen wird und nur
plaintext-Mechanismen übrig bleiben. Die darf Postfix aber mit
default-Settings nicht nutzen und würde "no worthy mechs" melden...

p at rick








> mail from: brutus at iunius.org
> 250 ok
> rcpt to: echo at tu-berlin.de
> 250 ok
> data
> 354 go ahead
> .
> 451 See http://pobox.com/~djb/docs/smtplf.html.
> closed
> brutus at itchy:~$
> 
> > p at rick
> >
> Gruß,
> Andreas
> 
> -- 
> I like work. I can sit there and watch it for hours.
> 
> 
> ----------------------------------------------------------------
> This message was sent using IMP, the Internet Messaging Program.
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users