[Postfixbuch-users] Relay-Server benutzen (OT)

Stefan Bielenberg sbielenberg at ulysea.com
Do Aug 5 08:18:01 CEST 2010


Hallo Alexander,

besten Dank für die ausführlich Aufklarung. Ich bin da wohl ein bisschen 
durcheinander gekommen, aber nun ist es klar. Also werde ich aus der 
smtpd.conf die nicht unterstützten Methoden herausnehmen und dann TLS 
auf dem Webserver einrichten. Ich glaube, dann habe ich es.

Noch eine letzte Frage (ein bisschen OT): für TLS auf der Clientseite 
muss ich ja auch Zertifikate einrichten, wie ich gesehen habe. Wieso 
muss man das z.B. beim Thunderbird nicht machen? Oder macht der das 
intern? Wo sind dann aber diese Zertifikate und hat man darauf auch beim 
Thunderbird Zugriff?

Danke und Grüsse,
Stefan

04/08/2010 21:20, Alexander Dalloz:
>
> Hallo Stefan,
>
> ich versuche mal mein Glück, das ein bischen zu ordnen. Leider drückst
> Du Dich entweder sehr unglücklich aus, oder Du rührst einfach alles
> durch den Mixer und am Ende kommt da nichts Gutes bei raus. Dabei
> beziehe ich mich explizit auf Dein
>
> "Wusste nur nicht, dass der eingebaut Postfix-SMTP-Client nur PLAIN und
> LOGIN mag, hatte aber Name und Password nur in der sasldb2 angegeben,
> daher hat er auch nichts gefunden beim authentifizieren..."
>
> Also, in Deinem spezifischen Setup hast Du gleich beide Seiten, Postfix
> als Server, der AUTH nutzt (smtpd_sasl_*), um Deinem Webserver das
> Relaying zu erlauben, und eben den Webserver mit seinem Postfix, der
> dort SASL aus Clientsicht (smtp_sasl_*) einsetzt.
>
> Nun gut, Du richtest also auf dem Mailrelay SMTP AUTH unter Verwendung
> von cyrus-sasl ein. Da hast Du die Wahl zwischen saslauthd oder auxprop
> als Methode. Wie das von Dir zitierte Dokument richtig sagt, kannst Du
> mit saslauthd kein CRAM-MD5 oder DIGEST-MD5 machen. Frage also: Warum
> trägst Du beides dennoch unbeirrt in Deiner mech_list Anweisung ein?
>
> Ich meine mich zu erinnern, dass der saslauthd unter Debian so
> kompiliert ist, dass er eine sasldb als Backend nutzen kann - was in
> meinen Augen aber Unfug ist. Prüfen kann man das mit
>
> saslauthd -v
>
> Willst Du shared secret Mechanismen einsetzen, dann musst Du statt des
> saslauthd die cyrus-sasl Standardmethode auxprop einsetzen. Die
> simpelste und default Pluginvariante von auxprop ist der Einsatz von
> sasldb, der bei Einsatz von SASLv2 auf eine sasldb2 zugreift (cyrus-sasl
> Version 1 setzt bestimmt niemand mehr ein).
>
> Richtig ist also, dass bei Nutzung von "saslauthd -a shadow" keine
> sasldb2 abgefragt wird, sondern der saslauthd die von Clientseite
> übergebenen Credentials mit den shadow Systeminformationen abgleicht.
>
> Wohlgemerkt, ich rede die ganze Zeit von der Konfiguration von SASL AUTH
> auf der Seite, wo Dein Postfix als Authentifizierungsserver arbeitet. In
> der main.cf sind dazu die smtpd_sasl_* Parameter von Bedeutung.
>
> Auf Clientseite (bei Dir der Webserver mit Postfix) muss die
> Authentifizierung gegen den Server natürlich passend eingerichtet
> werden. Da Dein Server keine Authentifizerung per CRAM-MD5 unterstützt
> (auch wenn Du dies in der smtpd.conf eingetragen hast), hat es keinen
> Sinn, dies vom Client her zu versuchen. Also bleiben nur LOGIN und
> PLAIN. Auf Seiten des Clients musst Du dafür aber weder die smtpd.conf
> konfigurieren, noch einen saslauthd laufen lassen, noch eine sasldb2
> füttern. Du widmest Dich ganz den smtp_sasl_* Optionen in der main.cf,
> insbesondere smtp_sasl_password_maps. Kommen nun LOGIN und PLAIN als
> plaintext Mechanismen zum Einsatz, ist es - wie von Dir zitiert -
> unbedingt angeraten, die Verbindung zwischen Client und Server per
> TLS/SSL abzusichern, da sonst Username und Passwort als base64 codierte
> Werte mitgesnifft werden können.
>
> Die beiden Seiten von SMTP AUTH in Postfix konfiguriert hat Patrick auf
>
> http://postfix.state-of-mind.de/patrick.koetter/easterhegg2004/
>
> Ersetzt keine vollständige Dokumentation, aber ist sehr komprimiert das
> Wesentliche. Ich gebe zu, speziell cyrus-sasl ist hinsichtlich
> Dokumentation und Implementierung nicht unbedingt eines der
> Vorzeigeprojekte von OSS. Daher wundert es kaum, dass viele, die bereits
> Dovecot für IMAP4/POP3 einsetzen, auch gleich dessen SASL
> Implementierung für AUTH auf der Postfix Serverseite verwenden.
>
> Gruß
>
> Alexander
> --





Mehr Informationen über die Mailingliste Postfixbuch-users