[Postfixbuch-users] smtpd_sasl_auth_enable vs. permit_tls_all_clientcerts

Christian Felsing hostmaster at taunusstein.net
So Jul 19 08:38:42 CEST 2009


Hallo,

das Verhalten von Postfix ist mir an einer Stelle etwas unklar:

Gewünschtes Verhalten
---------------------

Wenn sich der Client mit einem der lokalen CA bekannten Client
Zertifikat authentifiziert, soll die Mail auf jeden Fall relayed werden.
Ebenso, wenn sich der Benutzer mit SMTP AUTH anmeldet.

Ziel der ganzen Aktion sollen 2 alternative Authentifizierungsverfahren
sein.

Tatsächliches Verhalten
-----------------------
Auch wenn im Log Jul 19 08:20:55 mail postfix/smtpd[26732]: Trusted TLS
connection established from u5-2.dsl.vianetworks.de[194.231.189.2]:
TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) erscheint (Postfix
das Cert also als Trusted ansieht), dann will Postfix trotzdem SMTP AUTH
und bricht im Falle eines falschen (oder kein) Passwort die Verbindung ab.

Eine Gegenprobe auf Submission (587) mit smtpd_sasl_auth_enable=no hat
dazu geführt, dass alle Mails relayed wurden, wenn ein gültiges Client
Cert vorhanden ist.

Ist das in Postfix so gewollt ?

Auszug aus der main.cf
======================

# saslauthd
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
# dovecot sasl
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# TLS parameters
smtp_use_tls = yes
smtpd_tls_cert_file = mail.taunusstein.net.crt
smtpd_tls_key_file = mail.taunusstein.net.key
smtpd_tls_received_header = yes
tls_random_source = dev:/dev/urandom
smtp_tls_enforce_peername=no
smtp_tls_note_starttls_offer=yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_ask_ccert = yes

smtpd_recipient_restrictions =
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        permit_mynetworks,
        permit_tls_all_clientcerts,
        permit_sasl_authenticated,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_unauth_pipelining,
        #check_policy_service unix:private/policy,
        check_recipient_access ldap:/etc/postfix/valid-user.ldap,
        check_helo_access hash:/etc/postfix/helo_checks,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client cbl.abuseat.org,
        reject_unverified_recipient,
        permit



Viele Grüße
Christian Felsing



Mehr Informationen über die Mailingliste Postfixbuch-users