sendmail Authentifikation
Hi SuSEs, ich hab' auf meinem Server diverse Kunden-Domains. Die Kunden versenden über meinen Mailserver ihre Mails und leider ist einer dabei, der über T-Offline reingeht. Ich habe in sendmail also dip.t-online.net als RELAY eingetragen (ich mach' das immer mit Webmin) ... leider hat das einige freundliche Benutzer dazu gebracht, meinen Server als Spammer zu mißbrauchen - ja, Schuld eigene, ich weiß. Ich habe - wenn ich ab und zu unterwegs bin - das gleiche Problem: Ich kann über meinen Server keine Mails versenden, bis ich meine aktuelle IP oder das Netz als RELAY eingetragen habe. Das kann's ja eigentlich nicht sein. Ich suche nun eine gute Quelle, aus der ich mir anlesen kann, wie ich intelligent und flexibel die User meinen Mail-Server benutzen lassen kann, die einen lokalen Account haben ... ich vermute mal, daß ich irgendwas grundlegendes falsch konfiguriert habe ;-) Ich bin auf jeden Fall für jede Anregung dankbar ... -- Cheers, Vince ''' ô¿ô -
Hallo Vincent, falls es nicht sendmail sein muss: www.wolfgarten.com/downloads/qmail.pdf und www.wolfgarten.com/downloads/qmail_vpopmail.pdf erklären die Installation von qmail mit vpopmail (d.h. virtuelle Benutzer und Domains sowie SMTP-after-POP) imho ganz gut. Vielleicht willst Du ja umsteigen??? (Bitte nicht nach den Vor- und Nachteilen fragen, das wird sonst nen Flamewar *g*) Viele Grüße, Sebastian -- Unix is very user-friendly. It's just picky who its friends are. - Unbekannt
"Vincent - D. Ertner"
Hi SuSEs,
ich hab' auf meinem Server diverse Kunden-Domains. Die Kunden versenden über meinen Mailserver ihre Mails und leider ist einer dabei, der über T-Offline reingeht.
Ich habe in sendmail also dip.t-online.net als RELAY eingetragen (ich mach' das immer mit Webmin) ... leider hat das einige freundliche Benutzer dazu gebracht, meinen Server als Spammer zu mißbrauchen - ja, Schuld eigene, ich weiß [...] Ich suche nun eine gute Quelle, aus der ich mir anlesen kann, wie ich intelligent und flexibel die User meinen Mail-Server benutzen lassen kann, die einen lokalen Account haben ... ich vermute mal, daß ich irgendwas grundlegendes falsch konfiguriert habe ;-)
Es gibt mehrere Konzepte. Sendmail kann z.B. - SASL-Authentifizierung - TLS und X.509 Zertifikate - LDAP - Access Liste Ich persönlich nutze X.509 Zertifikate, d.h. es wird durch STARTTLS eine verschlüsselte Verbindung hergestellt, durch die TLS Option verify muß das Zertifikat des Clients verifiziert werden und nur dann wird die Verbindung akzeptiert. SASL und Sendmail sind aber einfacher zu konfiguieren und durch den Mechanismus DIGEST-MD5 wird auch kein Paßwort sondern nur eine verschlüsselte Challenge und Challenge-Respond übertragen. Näheres findest du z.B. in der Doku von Sendmail und auf http://www.sendmail.org -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
"Vincent - D. Ertner" wrote:
Hi SuSEs,
ich hab' auf meinem Server diverse Kunden-Domains. Die Kunden versenden über meinen Mailserver ihre Mails und leider ist einer dabei, der über T-Offline reingeht.
Ich habe in sendmail also dip.t-online.net als RELAY eingetragen (ich mach' das immer mit Webmin) ... leider hat das einige freundliche Benutzer dazu gebracht, meinen Server als Spammer zu mißbrauchen - ja, Schuld eigene, ich weiß.
Ich habe - wenn ich ab und zu unterwegs bin - das gleiche Problem: Ich kann über meinen Server keine Mails versenden, bis ich meine aktuelle IP oder das Netz als RELAY eingetragen habe.
Das kann's ja eigentlich nicht sein.
Ich suche nun eine gute Quelle, aus der ich mir anlesen kann, wie ich intelligent und flexibel die User meinen Mail-Server benutzen lassen kann, die einen lokalen Account haben ... ich vermute mal, daß ich irgendwas grundlegendes falsch konfiguriert habe ;-)
Ich bin auf jeden Fall für jede Anregung dankbar ...
Das Problem bestaht darin, dass das smpt Protokoll zur authentifizierung des Mailabholers immer eine IP-Adresse verlangt (s. RFC) Da aber T-online User fuer jede beginnende Session eine andere IP-Adresse bekommen funktioniert das smpt Protokoll nicht mehr, es sei denn der Mail-Provider traegt laufend neue IP-Adressen, was natuerlch nicht moeglich ist. Dies bedeutet, dass der Mailuser!!! sein Mailprotokoll wechseln muss. Abhilfe: ======== 1) Mailuebertragung per uucp (nur von Unix/Linux zu Unix/Linux) Sehr gut, weil komprimierte Uebtragung und bei Abbruch kein Neubeginn der Uebertragung sondern Fortsetzung an der Abbruchstelle. 2) Mailuebertragung per sog. Multidrop (entspricht Pop3, die Authentifizierung erfolgt mit UID und Passwort) Abholung und Versand erfolgt jeweils fuer die komplette Maildomain System Provider User ---------------------------------------------- Unix/Linux QPopper Fetchmail (Postfix ?) Windows MS-Exchange MS-Exchange | Ken! | Mercury/32 (ohne Anspruch auf Vollstaendigkeit) Ob Postfix das beherrscht entzieht sich meiner Kenntnis. ... und tschuess jb -- Juergen Bertram * mailto:bertram@belwue.de
On Thu, May 22, 2003 at 09:37:09AM +0200, Juergen Bertram wrote:
Das Problem bestaht darin, dass das smpt Protokoll zur authentifizierung
SMTP (Simple Mail Transport Protocol)
des Mailabholers immer eine IP-Adresse verlangt (s. RFC)
SMTP stellt SMTP AUTH als SMTP Extension zur Verfügung. Das sieht dann so aus: kk@kris:~> telnet kettenhemdhuehner.de 25 Trying 217.160.131.79... Connected to kettenhemdhuehner.de. Escape character is '^]'. 220 p15104972.pureserver.info ESMTP Sendmail 8.12.6/8.12.6/SuSE Linux 0.6; Thu, 22 May 2003 10:38:36 +0200 ehlo netuse.de 250-p15104972.pureserver.info Hello firewall.netuse.de [193.98.110.7], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-AUTH PLAIN LOGIN 250-DELIVERBY 250 HELP quit 221 2.0.0 p15104972.pureserver.info closing connection Connection closed by foreign host. Hier siehst Du die AUTH Extension, die Login PLAIN und LOGIN erlaubt. Diese beiden AUTH MECHS (Authentication Mechanisms) haben den Nachteil, daß das Paßwort im Klartext über die Leitung geht und den Vorteil, daß Du keine zweite Paßwortverwaltung brauchst und stattdessen die normalen UNIX-Paßworte verwenden kannst, anstatt Dich mit sasldb zu schlagen. Kristian
Moin, moin, ...
"Vincent - D. Ertner"
Ich habe in sendmail also dip.t-online.net als RELAY eingetragen (ich mach' das immer mit Webmin) ... leider hat das einige freundliche Benutzer dazu gebracht, meinen Server als Spammer zu mißbrauchen - ja, Schuld eigene, ich weiß.
Hat Dein Linux-Server eine feste IP-Adresse? Steht dieser also im Internet "drin"? Oder mußt Du Dich selbst irgendwo dann einwählen? kind regards Martin Mewes -- Novacote Flexpack - Division of COIM Deutschland GmbH c/o IT/IS-Department - Hamburg - Germany
Hallo Vincent,
Am Freitag, 23. Mai 2003 00:57 schrieb
"Vincent - D. Ertner"
Hat Dein Linux-Server eine feste IP-Adresse? Steht dieser also im Internet "drin"?
Yip.
Oder mußt Du Dich selbst irgendwo dann einwählen?
Nope.
In der gebotenen Kürze ;-)
Dann wird Dir nix anderes über bleiben, als Deinen Usern smtp-auth (und natürlich auch Deinem MailServer) beizupulen. Aber das haben die anderen ja auch schon gesagt ;-) kind regards Martin Mewes -- http://www.mamemu.de/ | Meine VMware-Seiten und mehr ... ;-) http://vmware.itst.org/ | Ein deutschsprachiges VMware-Forum http://www.agent-de.org/ | Der "Forte Agent" auf Deutsch Key exported to: | pgp.mit.edu:11371 via WWW-Interface
Hi SuSEs, [23.05.2003] [...]
Dann wird Dir nix anderes über bleiben, als Deinen Usern smtp-auth (und natürlich auch Deinem MailServer) beizupulen.
Yo, das hört sich gut an ... ich werd' das mal ausprobieren
Aber das haben die anderen ja auch schon gesagt ;-)
... und bei dieser Gelegenheit auch nochmal vielen Dank an alle! -- Cheers, Vince ''' ô¿ô -
On Thu, May 22, 2003 at 01:45:29AM +0200, Vincent - D. Ertner wrote:
Ich suche nun eine gute Quelle, aus der ich mir anlesen kann, wie ich intelligent und flexibel die User meinen Mail-Server benutzen lassen kann, die einen lokalen Account haben ... ich vermute mal, daß ich irgendwas grundlegendes falsch konfiguriert habe ;-)
$ cd /etc/mail $ cat kettenhemdhuehner.de.mc divert(-1) include(`/usr/share/sendmail/m4/cf.m4') divert(0)dnl VERSIONID(`@(#)Setup for SuSE Linux 8.11.0-0.4') OSTYPE(`suse-linux')dnl MASQUERADE_AS(`kettenhemdhuehner.de')dnl MASQUERADE_DOMAIN_FILE(`/etc/mail/masquerade-domains') FEATURE(`nocanonify')dnl FEATURE(`limited_masquerade')dnl FEATURE(`masquerade_envelope')dnl FEATURE(`genericstable', `hash /etc/mail/genericstable')dnl GENERICS_DOMAIN_FILE(`/etc/mail/generics-domains')dnl TRUST_AUTH_MECH(`PLAIN LOGIN') define(`confAUTH_MECHANISMS', `PLAIN LOGIN')dnl DOMAIN(`generic')dnl LOCAL_CONFIG MAILER(`local')dnl MAILER(`smtp')dnl MAILER(`procmail')dnl MAILER_DEFINITIONS #################################################################### ### Additional SMTP Mailer specification for qmail at Port 26 ### #################################################################### Mesmtp26, P=[IPC], F=kmDFMuX, S=EnvFromSMTP/HdrFromSMTP, R=EnvToSMTP, E=\r\n, L=990, T=DNS/RFC822/SMTP, A=TCP $h 26 Dies generiert Dir eine sendmail.cf, die SMTP AUTH für eingetragene User in Deiner passwd-Datei zuläßt. Kristian
participants (7)
-
Dieter Kluenter
-
Juergen Bertram
-
Kristian Koehntopp
-
Martin Mewes
-
Martin Mewes
-
Sebastian Wolfgarten
-
Vincent - D. Ertner