user mit saslauth erzeugen
Hallo Liste, ich möchte meinen mailserver gerne etwas besser absichern und das hoffe ich mit sasl zu erreichen. dazu habe ich folgendes in meine main.cf eingetragen smtp_sasl_client_restrictions = permit_mynetwork,permit_sasl_authenticated smtp_sasl_auth_enable = yes einen user der auch einen localen account hat gibt es freilich auch so lege ich einen user an saslpasswd2 -c test jedoch wenn ich sasldblistusers2 eingebe kommt folgendes zurück test@mail:mail.canias.de ich hätte aber gerne das ich dem user noch sage das er sich eben über sasl authentifizieren soll nur weis ich nicht wie könnte mir da jemand bitte verraten wie ich das umsetzten kann? senden und empfangen geht ja schon (getestet) danke
Am Tuesday 13 September 2005 11:04 schrieb Uwe Grosskinsky:
ich möchte meinen mailserver gerne etwas besser absichern und das hoffe ich mit sasl zu erreichen. dazu habe ich folgendes in meine main.cf eingetragen smtp_sasl_client_restrictions = permit_mynetwork,permit_sasl_authenticated smtp_sasl_auth_enable = yes
s/smtp_/smtpd_/g ?
einen user der auch einen localen account hat gibt es freilich auch so lege ich einen user an saslpasswd2 -c test jedoch wenn ich
sasldblistusers2 eingebe kommt folgendes zurück test@mail:mail.canias.de
Das glaube ich nicht.
ich hätte aber gerne das ich dem user noch sage das er sich eben über sasl authentifizieren soll nur weis ich nicht wie könnte mir da jemand bitte verraten wie ich das umsetzten kann? senden und empfangen geht ja schon (getestet)
Schick mal "postconf -n" und die /usr/lib/sasl2/smtpd.conf Welche Suse-Version setzt Du ein? Was für Pakete von Cyrus-SASL sind installiert? Wo sollen die Accounts drin stehen? Systemuser, sasldb? -- Andreas
Distribution ist SuSE 9.3 Prof incl udadates stand gestern sasl version Built against SASL API version 2.1.20 LibSasl version 2.1.20 by "Cyrus SASL" cyrus version 2.2.12 cyrus-sasl ist auch installiert incl cyrus-sasl-crammd5 -sasl-devel -sasl-digestmd5 -sasl-gssapi -sasl-otp -sasl-plain -sasl-saslauth -sasl-sqlauxprop (brauch ich sicher nicht) -perl-Authen-SASL-Cyrus -perl-Cyrus-imap -perlCyrus-SIEVE-managesieve main.cf mail:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = canias.de masquerade_exceptions = root message_size_limit = 40960000 mydestination = $myhostname, localhost.$mydomain mydomain = canias.de myhostname = mail.canias.de mynetworks = 192.168.8.0/24 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = yes smtp_use_tls = no smtpd_client_restrictions = permit_mynetworks,permit_sasl_authenticated smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 smtp.conf pwcheck_method: saslauthd mech_list: plain login ich gehe mal davon aus das die user in sasldb stehen sollen mail:/usr/lib/sasl2 # sasldblistusers2 cyrus@mail: userPassword test@mail: userPassword bin mächtig gespannt wo es bei mir klemmt!! danke Am Dienstag, 13. September 2005 11:10 schrieb Andreas Winkelmann:
Am Tuesday 13 September 2005 11:04 schrieb Uwe Grosskinsky:
ich möchte meinen mailserver gerne etwas besser absichern und das hoffe ich mit sasl zu erreichen. dazu habe ich folgendes in meine main.cf eingetragen smtp_sasl_client_restrictions = permit_mynetwork,permit_sasl_authenticated smtp_sasl_auth_enable = yes
s/smtp_/smtpd_/g ?
einen user der auch einen localen account hat gibt es freilich auch so lege ich einen user an saslpasswd2 -c test jedoch wenn ich
sasldblistusers2 eingebe kommt folgendes zurück test@mail:mail.canias.de
Das glaube ich nicht.
ich hätte aber gerne das ich dem user noch sage das er sich eben über sasl authentifizieren soll nur weis ich nicht wie könnte mir da jemand bitte verraten wie ich das umsetzten kann? senden und empfangen geht ja schon (getestet)
Schick mal "postconf -n" und die /usr/lib/sasl2/smtpd.conf Welche Suse-Version setzt Du ein? Was für Pakete von Cyrus-SASL sind installiert? Wo sollen die Accounts drin stehen? Systemuser, sasldb?
-- Andreas
Am Tuesday 13 September 2005 11:37 schrieb Uwe Grosskinsky:
Distribution ist SuSE 9.3 Prof incl udadates stand gestern
sasl version
Built against SASL API version 2.1.20 LibSasl version 2.1.20 by "Cyrus SASL"
cyrus version 2.2.12 cyrus-sasl ist auch installiert incl cyrus-sasl-crammd5 -sasl-devel -sasl-digestmd5 -sasl-gssapi -sasl-otp -sasl-plain -sasl-saslauth -sasl-sqlauxprop (brauch ich sicher nicht) -perl-Authen-SASL-Cyrus -perl-Cyrus-imap -perlCyrus-SIEVE-managesieve
main.cf
mail:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = canias.de masquerade_exceptions = root message_size_limit = 40960000 mydestination = $myhostname, localhost.$mydomain mydomain = canias.de myhostname = mail.canias.de mynetworks = 192.168.8.0/24 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = yes smtp_use_tls = no smtpd_client_restrictions = permit_mynetworks,permit_sasl_authenticated smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Es zwei arten der Authentifizierung, Client und Server. Client heisst bei Postfix "smtp_" Server "smtpd_". Wenn Du möchtest, dass sich andere bei Dir authentifizieren, ist das ein Server, dann musst Du "smtpd_sasl_auth_enable = yes" setzen. Damit hast Du es schonmal eingeschaltet.
smtp.conf
pwcheck_method: saslauthd mech_list: plain login
Du benutzt also saslauthd.
ich gehe mal davon aus das die user in sasldb stehen sollen
mail:/usr/lib/sasl2 # sasldblistusers2 cyrus@mail: userPassword test@mail: userPassword
Das sieht schon eher nach der sasldb aus, allerdings benutzt Du diese nicht. saslauthd und sasldb sind zwei verschiedene Dinge. Und Du musst Dich entscheiden welches von beiden Du überhaupt möchtest. saslauthd benutzt Systemuser, also können sich Deine Systemuser bei Postfix authentifizieren. Wenn Du nicht-Systembenutzer möchtest, dann musst Du die sasldb einbinden. Für die sasldb wäre das. Postfix main.cf: smtpd_sasl_local_domain = mail /usr/lib/sasl2/smtpd.conf pwcheck_method: auxprop auxprop_plugin: sasldb mech_list: plain login cram-md5 digest-md5 Dann musst Du noch dafür sorgen, dass Postfix die sasldb auch lesen darf. Ich glaube bei Suse musst Du ihn in die Gruppe Mail mit aufnehmen. Versuche Dich zu authentifizieren und schau ins Log (/var/log/mail) und falls es noch nicht klappt, zeige die Fehler die da kommen. -- Andreas
Ähem .. erstmal danke Andreas, aber ich werde erst mal eine Weile brauchen um das alles in Ruhe anzusehen. falls alles klappt danke ich dir erstmal (in der Hoffnung das alles tut..die Hoffnung stirbt bekantermasen immer zuletzt) Am Dienstag, 13. September 2005 11:50 schrieb Andreas Winkelmann:
Am Tuesday 13 September 2005 11:37 schrieb Uwe Grosskinsky:
Distribution ist SuSE 9.3 Prof incl udadates stand gestern
sasl version
Built against SASL API version 2.1.20 LibSasl version 2.1.20 by "Cyrus SASL"
cyrus version 2.2.12 cyrus-sasl ist auch installiert incl cyrus-sasl-crammd5 -sasl-devel -sasl-digestmd5 -sasl-gssapi -sasl-otp -sasl-plain -sasl-saslauth -sasl-sqlauxprop (brauch ich sicher nicht) -perl-Authen-SASL-Cyrus -perl-Cyrus-imap -perlCyrus-SIEVE-managesieve
main.cf
mail:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = canias.de masquerade_exceptions = root message_size_limit = 40960000 mydestination = $myhostname, localhost.$mydomain mydomain = canias.de myhostname = mail.canias.de mynetworks = 192.168.8.0/24 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = yes smtp_use_tls = no smtpd_client_restrictions = permit_mynetworks,permit_sasl_authenticated smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Es zwei arten der Authentifizierung, Client und Server. Client heisst bei Postfix "smtp_" Server "smtpd_". Wenn Du möchtest, dass sich andere bei Dir authentifizieren, ist das ein Server, dann musst Du "smtpd_sasl_auth_enable = yes" setzen. Damit hast Du es schonmal eingeschaltet.
smtp.conf
pwcheck_method: saslauthd mech_list: plain login
Du benutzt also saslauthd.
ich gehe mal davon aus das die user in sasldb stehen sollen
mail:/usr/lib/sasl2 # sasldblistusers2 cyrus@mail: userPassword test@mail: userPassword
Das sieht schon eher nach der sasldb aus, allerdings benutzt Du diese nicht. saslauthd und sasldb sind zwei verschiedene Dinge. Und Du musst Dich entscheiden welches von beiden Du überhaupt möchtest.
saslauthd benutzt Systemuser, also können sich Deine Systemuser bei Postfix authentifizieren. Wenn Du nicht-Systembenutzer möchtest, dann musst Du die sasldb einbinden.
Für die sasldb wäre das.
Postfix main.cf: smtpd_sasl_local_domain = mail
/usr/lib/sasl2/smtpd.conf pwcheck_method: auxprop auxprop_plugin: sasldb mech_list: plain login cram-md5 digest-md5
Dann musst Du noch dafür sorgen, dass Postfix die sasldb auch lesen darf. Ich glaube bei Suse musst Du ihn in die Gruppe Mail mit aufnehmen.
Versuche Dich zu authentifizieren und schau ins Log (/var/log/mail) und falls es noch nicht klappt, zeige die Fehler die da kommen.
-- Andreas
Hallo Andreas Also danke nochmal :) der sasldb unter /etc/sasldb2 fehlten auf fileeben nur noch die gruppenrechte für postfix (leserechte) ich hatte zwar das alles so wie nach deiner hilfestellung angegeben war eingerichtet jedoch die filesystemeben und die rechte übersehen deshalb gings nicht *gg postfix stand schon in der gruippe mail drin dankeschön :) Am Dienstag, 13. September 2005 11:50 schrieb Andreas Winkelmann:
Am Tuesday 13 September 2005 11:37 schrieb Uwe Grosskinsky:
Distribution ist SuSE 9.3 Prof incl udadates stand gestern
sasl version
Built against SASL API version 2.1.20 LibSasl version 2.1.20 by "Cyrus SASL"
cyrus version 2.2.12 cyrus-sasl ist auch installiert incl cyrus-sasl-crammd5 -sasl-devel -sasl-digestmd5 -sasl-gssapi -sasl-otp -sasl-plain -sasl-saslauth -sasl-sqlauxprop (brauch ich sicher nicht) -perl-Authen-SASL-Cyrus -perl-Cyrus-imap -perlCyrus-SIEVE-managesieve
main.cf
mail:/etc/postfix # postconf -n alias_maps = hash:/etc/aliases biff = no canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = all inet_protocols = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = canias.de masquerade_exceptions = root message_size_limit = 40960000 mydestination = $myhostname, localhost.$mydomain mydomain = canias.de myhostname = mail.canias.de mynetworks = 192.168.8.0/24 127.0.0.0/8 myorigin = $mydomain newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = yes smtp_use_tls = no smtpd_client_restrictions = permit_mynetworks,permit_sasl_authenticated smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550
Es zwei arten der Authentifizierung, Client und Server. Client heisst bei Postfix "smtp_" Server "smtpd_". Wenn Du möchtest, dass sich andere bei Dir authentifizieren, ist das ein Server, dann musst Du "smtpd_sasl_auth_enable = yes" setzen. Damit hast Du es schonmal eingeschaltet.
smtp.conf
pwcheck_method: saslauthd mech_list: plain login
Du benutzt also saslauthd.
ich gehe mal davon aus das die user in sasldb stehen sollen
mail:/usr/lib/sasl2 # sasldblistusers2 cyrus@mail: userPassword test@mail: userPassword
Das sieht schon eher nach der sasldb aus, allerdings benutzt Du diese nicht. saslauthd und sasldb sind zwei verschiedene Dinge. Und Du musst Dich entscheiden welches von beiden Du überhaupt möchtest.
saslauthd benutzt Systemuser, also können sich Deine Systemuser bei Postfix authentifizieren. Wenn Du nicht-Systembenutzer möchtest, dann musst Du die sasldb einbinden.
Für die sasldb wäre das.
Postfix main.cf: smtpd_sasl_local_domain = mail
/usr/lib/sasl2/smtpd.conf pwcheck_method: auxprop auxprop_plugin: sasldb mech_list: plain login cram-md5 digest-md5
Dann musst Du noch dafür sorgen, dass Postfix die sasldb auch lesen darf. Ich glaube bei Suse musst Du ihn in die Gruppe Mail mit aufnehmen.
Versuche Dich zu authentifizieren und schau ins Log (/var/log/mail) und falls es noch nicht klappt, zeige die Fehler die da kommen.
-- Andreas
participants (2)
-
Andreas Winkelmann -
Uwe Grosskinsky