[Postfixbuch-users] TLS und SMTP Auth Problem

Patrick Ben Koetter p at state-of-mind.de
Mo Mai 7 22:13:25 CEST 2007 

* Andreas Krummrich <brutus at iunius.org>:
> > smtp_sasl_mechanism_filter = !cram-md5, static:rest
> >
> >   
> Nein, das unterstützt er nicht. Ist noch ein uralter Postfix auf Debian 
> Woody.

Du hast nicht viel Spielraum. Jetzt kannst Du noch testen, ob Du mit dem
openssl s_client Kommando eine Verbindung aufbauen kannst und dann mit dem
gen-auth.pl 

    <http://www.jetmore.org/john/code/#gen-auth> 

Skript eine CRAM-MD5 Authentifizierung versuchen. Wenn die nicht
klappt, musst Du halt doch updaten.

> > smtp_sasl_tls_security_options = noanonymous
> >   
> Auch das hat nichts gebracht.

Ja, ohne den Filter bringt es nichts. Ausser Du kannst qmail so konfigurieren,
das es CRAM-MD5 nicht bei TLS anbietet.

Cyrus SASL wird immer den sicheren Mechanismus (hier: CRAM-MD5) haben wollen
und LOGIN und PLAIN sind halt die unterste Schublade in Sachen Sicherheit.


> Ich habe eben mal das Loglevel für TLS erhöht und dabei kam folgendes 
> herraus:
> Vielleicht hilft das ja etwas weiter:
> 
> May  7 21:12:01 santa postfix/smtpd[28035]: connect from 
> bart.springfield.home[10.10.42.10]
> May  7 21:12:01 santa postfix/smtpd[28035]: setting up TLS connection 
> from bart.springfield.home[10.10.42.10]
> May  7 21:12:01 santa postfix/smtpd[28035]: TLS connection established 
> from bart.springfield.home[10.10.42.10]: TLSv1 with cipher RC4-MD5 
> (128/128 bits)
> May  7 21:12:01 santa postfix/smtpd[28035]: 41CC2CD57D: 
> client=bart.springfield.home[10.10.42.10], sasl_method=CRAM-MD5, 
> sasl_username=brutus
> May  7 21:12:01 santa postfix/cleanup[28037]: 41CC2CD57D: 
> message-id=<463F79BA.1070303 at iunius.org>
> May  7 21:12:01 santa postfix/qmgr[28034]: 41CC2CD57D: 
> from=<brutus at iunius.org>, size=627, nrcpt=1 (queue active)
> May  7 21:12:01 santa postfix/smtpd[28035]: disconnect from 
> bart.springfield.home[10.10.42.10]
> May  7 21:12:01 santa postfix/smtp[28038]: SSL_connect:before/connect 
> initialization
> May  7 21:12:01 santa postfix/smtp[28038]: SSL_connect:SSLv2/v3 write 
> client hello A
> May  7 21:12:01 santa postfix/smtp[28038]: SSL_connect:error in SSLv2/v3 
> read server hello A

Die 'error's? Nein, die kannst Du getrost ignorieren.

Dein Problem ist, das Cyrus SASL für Postfix CRAM-MD5 auswählt und das
scheitert. Das ist zumindest er aktuelle Stand der Dinge.

p at rick



-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users