SMTPAuth mit NTLM und senderabhängiges Relayen
Christian Schoepplein
chris at schoeppi.net
Mo Nov 9 16:04:01 CET 2015
Hallo,
ich muss auf einer Maschine für eine bestimmte Absenderdomain die
ausgehenden Mails an einen Exchange übergeben, bei dem ich mich mittels
NTLM anmelden soll. Alle restlichen Mails sollen ganz normal über
MX-Eintrag zugestellt werden. Leider klappt das Ganze nicht, vor allem
die NTLM Authentifizierung schlägt fehl :-(.
Hier die entsprechenden Konfigurationsauszüge:
--- /etc/postfix/main.cf ---
...
relayhost =
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
sender_dependent_relayhost_maps = hash:/etc/postfix/static-saas-tables/sender_relayhost
smtp_use_tls = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_mechanism_filter = ntlm
...
-----
--- /etc/postfix/sasl_passwd ---
exchange.domain.tld username:password
-----
----- /etc/postfix/static-saas-tables/sender_relayhost -----
@domain.tld [exchange.domain.tld]:587
----------
$ ldd /usr/libexec/postfix/smtp | grep sasl
libsasl2.so.3 => /usr/lib64/libsasl2.so.3 (0x00007f466d5f6000)
$ ls /usr/lib64/sasl2/
libanonymous.so libcrammd5.so.3 libdigestmd5.so.3.0.0
libntlm.so libotp.so.3 libplain.so.3.0.0 libscram.so
libanonymous.so.3 libcrammd5.so.3.0.0 liblogin.so
libntlm.so.3 libotp.so.3.0.0 libsasldb.so libscram.so.3
libanonymous.so.3.0.0 libdigestmd5.so liblogin.so.3
libntlm.so.3.0.0 libplain.so libsasldb.so.3 libscram.so.3.0.0
libcrammd5.so libdigestmd5.so.3 liblogin.so.3.0.0
libotp.so libplain.so.3 libsasldb.so.3.0.0
Versuche ich es mit dem sender_dependent-Gedöns, wird die Mail
verschickt, ohne das der Smarthost exchange.domain.tld
überhaupt erst angesprochen wird, also an Hand vom ermittelten MX
Eintrag.
Lasse ich das ganze sender_dependent-Gedöns weg und trage
exchange.domain.tld direkt in die main.cf ein, kommt folgender Fehler:
Nov 9 10:21:52 domain postfix/smtp[26952]: 2A00419C3376:
to=<ttester at domain.tld>, relay=exchange.domain.tld[xyz.x.xyz.xyz]:587,
delay=1162, delays=1156/0.01/ =4.7.3, status=deferred (SASL
authentication failed; server exchange.domain.tld[xyz.x.xyz.xyz] said:
535 5.7.3 Authentication unsuccessful)
Die Zugangsdaten sind allerdings richtig, mit einem Mailclient klappt
die Anmeldung und das Versenden von Mails. Auch bietet der Server ntlm
als Auth-Mech an:
$ telnet exchange.domain.tld 587
Trying xyz.x.xyz.xyz...
Connected to exchange.domain.tld.
Escape character is '^]'.
220 exchange.domain.tld Microsoft ESMTP MAIL Service ready at Mon, 9 Nov
2015 06:5
ehlo client
250-exchange.domain.tld Hello [xy.x.x.xy]
250-SIZE 15728640
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-AUTH GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250 CHUNKING
Ich habe auch mal smtp_sasl_security_options und
smtp_sasl_tls_security_options geändert, also auf "noplaintext,
noanonymous" oder ganz leer gelassen, auch kein Erfolg.
Hat jemand eine Idee, was da noch falsch läuft? Liegts an unserer Kiste
oder am Exchange?
Ciao und danke für jeden Hinweis,
Schöpp
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 173 bytes
Beschreibung: nicht verfügbar
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20151109/8b571bfa/attachment.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users