Benutzerauthentifizierung für Mailversand bei SuSE Email Server II
Hallo Leute, Ich hoffe, Ihr könnt mir da helfen. Ich habe SuSE Email Server II laufen und der versendet EMails intern über Postfix, glaube ich. Nun ist mein Problem, dass jeder beliebige aus dem Internet darüber Mails versenden kann. Die IP-adressen kann ich aber nicht einschränken, da die Nutzer auch von ausserhalb darüber Mails versenden können sollen. Ich habe gelesen, dass man da irgendwie eine Benutzerauthentifizierung für das versenden einrichten kann. Kann man das auch über die bestehende Nutzerdatenbank machen? Ich glaube, die läuft über einen LDAP-server. Oder wie kann man das pop-before-smtp einrichten? Schonmal danke, Thomas
Hallo,
Thomas Gräber
Hallo Leute,
Ich hoffe, Ihr könnt mir da helfen.
Ich habe SuSE Email Server II laufen und der versendet EMails intern über Postfix, glaube ich.
Nun ist mein Problem, dass jeder beliebige aus dem Internet darüber Mails versenden kann. Die IP-adressen kann ich aber nicht einschränken, da die Nutzer auch von ausserhalb darüber Mails versenden können sollen.
Ich habe gelesen, dass man da irgendwie eine Benutzerauthentifizierung für das versenden einrichten kann. Kann man das auch über die bestehende Nutzerdatenbank machen? Ich glaube, die läuft über einen LDAP-server.
Oder wie kann man das pop-before-smtp einrichten?
Du hast drei Möglichkeiten, die du einzeln oder in Kombination durchführen kannst. 1. Im Email-Server II ist DRAC enthalten, damit kannst du pop befor smtp realisieren. 2. Kannst du eine TLS/SSL Verbindung durch die Clients herstellen lassen, wobei die Authentifizierung über Certificates erfolgt. 3. Hast du die Möglichkeit der Authentifizierung und Autorisierung durch sasldb. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
----- Original Message -----
From: "Dieter Kluenter"
Hallo,
Thomas Gräber
writes: Hallo Leute,
Ich hoffe, Ihr könnt mir da helfen.
Ich habe SuSE Email Server II laufen und der versendet EMails intern über Postfix, glaube ich.
Nun ist mein Problem, dass jeder beliebige aus dem Internet darüber Mails versenden kann. Die IP-adressen kann ich aber nicht einschränken, da die Nutzer auch von ausserhalb darüber Mails versenden können sollen.
Ich habe gelesen, dass man da irgendwie eine Benutzerauthentifizierung für das versenden einrichten kann. Kann man das auch über die bestehende Nutzerdatenbank machen? Ich glaube, die läuft über einen LDAP-server.
Oder wie kann man das pop-before-smtp einrichten?
Du hast drei Möglichkeiten, die du einzeln oder in Kombination durchführen kannst. 1. Im Email-Server II ist DRAC enthalten, damit kannst du pop befor smtp realisieren. 2. Kannst du eine TLS/SSL Verbindung durch die Clients herstellen lassen, wobei die Authentifizierung über Certificates erfolgt. 3. Hast du die Möglichkeit der Authentifizierung und Autorisierung durch sasldb.
Danke für die Hinweise. An der dritten Möglichkeit bin ich dran. Habe dazu folgende Seite gefunden: http://www.tuxhausen.de/postfix_smtp_auth.html Ist es dabei auch möglich, die vorhandene Benutzerdatenbank zu verwenden, und wenn ja, wie? die /usr/lib/sasl/smtpd.conf habe ich schon auf pwcheck_method:pam umgestellt, aber ein sasldblistusers gibt nichts aus. Den Rest habe ich auch schon eingerichtet, wie in dem artikel beschrieben, aber irgendwie macht der Server das trotzdem noch nicht. Muss man da vielleicht zusätzlich noch etwas aktivieren? mfg, thomas
Hallo,
Thomas Gräber
Thomas Gräber
writes:
[...]
Ich habe gelesen, dass man da irgendwie eine Benutzerauthentifizierung für das versenden einrichten kann. Kann man das auch über die bestehende Nutzerdatenbank machen? Ich glaube, die läuft über einen LDAP-server.
Oder wie kann man das pop-before-smtp einrichten?
Du hast drei Möglichkeiten, die du einzeln oder in Kombination durchführen kannst. 1. Im Email-Server II ist DRAC enthalten, damit kannst du pop befor smtp realisieren. 2. Kannst du eine TLS/SSL Verbindung durch die Clients herstellen lassen, wobei die Authentifizierung über Certificates erfolgt. 3. Hast du die Möglichkeit der Authentifizierung und Autorisierung durch sasldb.
Danke für die Hinweise.
An der dritten Möglichkeit bin ich dran. Habe dazu folgende Seite gefunden: http://www.tuxhausen.de/postfix_smtp_auth.html
Ist es dabei auch möglich, die vorhandene Benutzerdatenbank zu verwenden, und wenn ja, wie? die /usr/lib/sasl/smtpd.conf habe ich schon auf pwcheck_method:pam umgestellt, aber ein sasldblistusers gibt nichts aus.
Was heißt hier umgestellt? pwcheck_method:pam ist doch default Einstellung des Emailservers. Das sasldblistusers nicht den Inhalt von /etc/sasldb ausgibt, ist verwunderlich. Dann hast du ein generelles Problem mit der Userverwaltung, denn /etc/sasldb wird vom User cyrus beim Einrichten von Benutzern erstellt.
Den Rest habe ich auch schon eingerichtet, wie in dem artikel beschrieben, aber irgendwie macht der Server das trotzdem noch nicht. Muss man da vielleicht zusätzlich noch etwas aktivieren?
Eigentlich mußt du beim Emailserver nichts mehr aktivieren oder einrichten, da ja auch cyrus-imap auf sasldb zugreift. Durch den Eintrag 'pwcheck_method:pam' wird sasl angewiesen, bei der Authentifizierung für den SMTPD pam zu nutzen, pam liest die Anweissungen für smtp in /etc/pam.d/smtp. Falls dort das Modul pam_ldap.so verlangt wird, liest pam die Benutzerdaten des DIT (Directory Information Tree). Dies ist aber alles Default beim Emailserver II, Es sollte daher ausreichen, Postfix zu konfigurieren. Dazu in main.cf folgende Einträge smtpd_sasl_auth_enable=yes smtpd_sasl_security_options=noanonymous smtpd_client_restrictions=sasl_authenticated Sieh dir aber mal in main.cf die Angaben zu smtpd_sender_restrictions und smtpd_recipient_restrictions an, möglicherweise mußt du da einiges ändern oder deine access erweitern. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Danke für die Hinweise. Ich habe das Problem schon weiter einkreisen können, denn wenn ich über Eudora E-Mails abhole geht es, nur über Outlook nicht. Scheiss Kleinweich. Die Option "broken_sasl_auth_clients" kennt mein Postfix nicht. Wo kann ich denn dafür ein Update herkriegen? Das mit den Sourcen neukompilieren klappt nicht, dann kennt Postfix keine Datenbanken mehr, ausserdem möchte ich das nicht unbedingt auf dem Server machen. Ein Update von SuSE wäre mir lieber, aber dummerweise habe ich meine Registrierdaten verlegt. Aber das ist mein Problem, die muss ich halt irgendwie wiederfinden. Danke für die Hilfe, Thomas
Hallo,
Thomas Gräber
writes: Thomas Gräber
writes: [...]
Ich habe gelesen, dass man da irgendwie eine Benutzerauthentifizierung für das versenden einrichten kann. Kann man das auch über die bestehende Nutzerdatenbank machen? Ich glaube, die läuft über einen LDAP-server.
Oder wie kann man das pop-before-smtp einrichten?
Du hast drei Möglichkeiten, die du einzeln oder in Kombination durchführen kannst. 1. Im Email-Server II ist DRAC enthalten, damit kannst du pop befor smtp realisieren. 2. Kannst du eine TLS/SSL Verbindung durch die Clients herstellen lassen, wobei die Authentifizierung über Certificates erfolgt. 3. Hast du die Möglichkeit der Authentifizierung und Autorisierung durch sasldb.
Danke für die Hinweise.
An der dritten Möglichkeit bin ich dran. Habe dazu folgende Seite gefunden: http://www.tuxhausen.de/postfix_smtp_auth.html
Ist es dabei auch möglich, die vorhandene Benutzerdatenbank zu verwenden, und wenn ja, wie? die /usr/lib/sasl/smtpd.conf habe ich schon auf pwcheck_method:pam umgestellt, aber ein sasldblistusers gibt nichts aus.
Was heißt hier umgestellt? pwcheck_method:pam ist doch default Einstellung des Emailservers. Das sasldblistusers nicht den Inhalt von /etc/sasldb ausgibt, ist verwunderlich. Dann hast du ein generelles Problem mit der Userverwaltung, denn /etc/sasldb wird vom User cyrus beim Einrichten von Benutzern erstellt.
Den Rest habe ich auch schon eingerichtet, wie in dem artikel
beschrieben,
aber irgendwie macht der Server das trotzdem noch nicht. Muss man da vielleicht zusätzlich noch etwas aktivieren?
Eigentlich mußt du beim Emailserver nichts mehr aktivieren oder einrichten, da ja auch cyrus-imap auf sasldb zugreift. Durch den Eintrag 'pwcheck_method:pam' wird sasl angewiesen, bei der Authentifizierung für den SMTPD pam zu nutzen, pam liest die Anweissungen für smtp in /etc/pam.d/smtp. Falls dort das Modul pam_ldap.so verlangt wird, liest pam die Benutzerdaten des DIT (Directory Information Tree).
Dies ist aber alles Default beim Emailserver II, Es sollte daher ausreichen, Postfix zu konfigurieren. Dazu in main.cf folgende Einträge smtpd_sasl_auth_enable=yes smtpd_sasl_security_options=noanonymous smtpd_client_restrictions=sasl_authenticated
Sieh dir aber mal in main.cf die Angaben zu smtpd_sender_restrictions und smtpd_recipient_restrictions an, möglicherweise mußt du da einiges ändern oder deine access erweitern.
-Dieter
-- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo,
Thomas Gräber
Danke für die Hinweise. Ich habe das Problem schon weiter einkreisen können, denn wenn ich über Eudora E-Mails abhole geht es, nur über Outlook nicht. Scheiss Kleinweich.
Die Option "broken_sasl_auth_clients" kennt mein Postfix nicht. Wo kann ich denn dafür ein Update herkriegen?
Dazu brauchst du kein Update, nur den richtigen Eintrag :-( Der Eintrag sollte folgendermaßen aussehen broken_sasl_auth_clients = yes siehe auch http://howto.state-of-mind.de/configuration/smtp_auth_mailclients.html
Das mit den Sourcen neukompilieren klappt nicht, dann kennt Postfix keine Datenbanken mehr, ausserdem möchte ich das nicht unbedingt auf dem Server machen. Ein Update von SuSE wäre mir lieber, aber dummerweise habe ich meine Registrierdaten verlegt. Aber das ist mein Problem, die muss ich halt irgendwie wiederfinden.
Ein update ist nun wirklich nicht notwendig, für den Mailserver II gibt es meines Wissens auch kein neueres RPM. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
----- Original Message -----
From: "Dieter Kluenter"
Hallo,
Thomas Gräber
writes: Danke für die Hinweise. Ich habe das Problem schon weiter einkreisen können, denn wenn ich über Eudora E-Mails abhole geht es, nur über Outlook nicht. Scheiss Kleinweich.
Die Option "broken_sasl_auth_clients" kennt mein Postfix nicht. Wo kann ich denn dafür ein Update herkriegen?
Dazu brauchst du kein Update, nur den richtigen Eintrag :-( Der Eintrag sollte folgendermaßen aussehen
broken_sasl_auth_clients = yes
Habe ich doch schon längst gemacht. Aber ein "postconf broken_sasl_auth_clients" sagt mir "unknown parameter" und bei nur postconf zeigt er den Parameter auch nicht mit an.
siehe auch http://howto.state-of-mind.de/configuration/smtp_auth_mailclients.html
Das mit den Sourcen neukompilieren klappt nicht, dann kennt Postfix keine Datenbanken mehr, ausserdem möchte ich das nicht unbedingt auf dem Server machen. Ein Update von SuSE wäre mir lieber, aber dummerweise habe ich meine Registrierdaten verlegt. Aber das ist mein Problem, die muss ich halt irgendwie wiederfinden.
Ein update ist nun wirklich nicht notwendig, für den Mailserver II gibt es meines Wissens auch kein neueres RPM.
participants (2)
-
Dieter Kluenter
-
Thomas Gräber