SMTPAuth mit NTLM und senderabhängiges Relayen

Christian Schoepplein chris at schoeppi.net
Mo Nov 9 16:04:01 CET 2015 

Hallo,

ich muss auf einer Maschine für eine bestimmte Absenderdomain die 
ausgehenden Mails an einen Exchange übergeben, bei dem ich mich mittels 
NTLM anmelden soll. Alle restlichen Mails sollen ganz normal über 
MX-Eintrag zugestellt werden. Leider klappt das Ganze nicht, vor allem 
die NTLM Authentifizierung schlägt fehl :-(.

Hier die entsprechenden Konfigurationsauszüge:

--- /etc/postfix/main.cf ---
...
relayhost =
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
sender_dependent_relayhost_maps = hash:/etc/postfix/static-saas-tables/sender_relayhost
smtp_use_tls = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = ntlm
...
-----

--- /etc/postfix/sasl_passwd ---
exchange.domain.tld   username:password
-----

----- /etc/postfix/static-saas-tables/sender_relayhost -----
@domain.tld [exchange.domain.tld]:587
----------

$ ldd /usr/libexec/postfix/smtp | grep sasl
        libsasl2.so.3 => /usr/lib64/libsasl2.so.3 (0x00007f466d5f6000)

$ ls /usr/lib64/sasl2/
libanonymous.so        libcrammd5.so.3      libdigestmd5.so.3.0.0  
libntlm.so        libotp.so.3      libplain.so.3.0.0   libscram.so
libanonymous.so.3      libcrammd5.so.3.0.0  liblogin.so            
libntlm.so.3      libotp.so.3.0.0  libsasldb.so        libscram.so.3
libanonymous.so.3.0.0  libdigestmd5.so      liblogin.so.3          
libntlm.so.3.0.0  libplain.so      libsasldb.so.3      libscram.so.3.0.0
libcrammd5.so          libdigestmd5.so.3    liblogin.so.3.0.0      
libotp.so         libplain.so.3    libsasldb.so.3.0.0

Versuche ich es mit dem sender_dependent-Gedöns, wird die Mail 
verschickt, ohne das der Smarthost exchange.domain.tld 
überhaupt erst angesprochen wird, also an Hand vom ermittelten MX 
Eintrag.

Lasse ich das ganze sender_dependent-Gedöns weg und trage 
exchange.domain.tld direkt in die main.cf ein, kommt folgender Fehler:

Nov  9 10:21:52 domain postfix/smtp[26952]: 2A00419C3376: 
to=<ttester at domain.tld>, relay=exchange.domain.tld[xyz.x.xyz.xyz]:587, 
delay=1162, delays=1156/0.01/ =4.7.3, status=deferred (SASL 
authentication failed; server exchange.domain.tld[xyz.x.xyz.xyz] said: 
535 5.7.3 Authentication unsuccessful)

Die Zugangsdaten sind allerdings richtig, mit einem Mailclient klappt 
die Anmeldung und das Versenden von Mails. Auch bietet der Server ntlm 
als Auth-Mech an:

$ telnet exchange.domain.tld 587
Trying xyz.x.xyz.xyz...
Connected to exchange.domain.tld.
Escape character is '^]'.
220 exchange.domain.tld Microsoft ESMTP MAIL Service ready at Mon, 9 Nov 
2015 06:5
ehlo client
250-exchange.domain.tld Hello [xy.x.x.xy]
250-SIZE 15728640
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-AUTH GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250 CHUNKING

Ich habe auch mal smtp_sasl_security_options und 
smtp_sasl_tls_security_options geändert, also auf "noplaintext, 
noanonymous" oder ganz leer gelassen, auch kein Erfolg.

Hat jemand eine Idee, was da noch falsch läuft? Liegts an unserer Kiste 
oder am Exchange?

Ciao und danke für jeden Hinweis,

  Schöpp
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 173 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20151109/8b571bfa/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users