hallo, ich seh den wald vor lauter bäumen glaub ich nicht.... kann mir jemand beim lesen/verstehen helfen? thema: postfix + cyrus + sasl problem 1: irgendwas mit dem auflösen der hostnamen scheint nicht zu klappen Mar 30 23:14:22 lok postfix/smtpd[2380]: match_hostname: unknown ~? 127.0.0.0/8 Mar 30 23:14:22 lok postfix/smtpd[2380]: match_hostaddr: 10.0.1.30 ~? 127.0.0.0/8 Mar 30 23:14:22 lok postfix/smtpd[2380]: match_hostname: unknown ~? 10.0.1.0/24 Mar 30 23:14:22 lok postfix/smtpd[2380]: match_hostaddr: 10.0.1.30 ~? 10.0.1.0/24 Mar 30 23:14:22 lok postfix/smtpd[2380]: > unknown[10.0.1.30]: 250-XVERP Mar 30 23:14:22 lok postfix/smtpd[2380]: > unknown[10.0.1.30]: 250 8BITMIME Mar 30 23:14:22 lok postfix/smtpd[2380]: watchdog_pat: 0x809a418 Mar 30 23:14:22 lok postfix/smtpd[2380]: < unknown[10.0.1.30]: AUTH PLAIN xxxx problem 2: smtpd sasl plain haut nicht Mar 30 23:14:22 lok postfix/smtpd[2380]: smtpd_sasl_authenticate: sasl_method PLAIN, init_response xxxx Mar 30 23:14:22 lok postfix/smtpd[2380]: smtpd_sasl_authenticate: decoded initial response kai Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: SASL authentication problem: unknown password verifier Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: SASL authentication failure: Password verification failed Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: unknown[10.0.1.30]: SASL PLAIN authentication failed Mar 30 23:14:22 lok postfix/smtpd[2380]: > unknown[10.0.1.30]: 435 Error: authentication failed das selbe problem beim versuch über login: Mar 30 23:38:14 lok postfix/smtpd[2642]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory Mar 30 23:38:14 lok postfix/smtpd[2642]: warning: unknown[10.0.1.30]: SASL LOGIN authentication failed Mar 30 23:38:14 lok postfix/smtpd[2642]: > unknown[10.0.1.30]: 435 Error: authentication failed problem 3: smtp sasl login beim provider geht auch nicht lok:/etc/postfix # Mar 30 23:21:25 lok postfix/smtp[2491]: to=<kai@xxx.net>, relay=mail.provider.de[00.13.109.73], delay=7168, status=deferred (Authentication failed: SASL authentication failed; server mail.provider.de[00.13.109.73] said: 535 Error: authentication failed) passwort und username sind korrekt gesetzt, anmeldung beim provider habe ich "zu fuß" überprüft, das klappt. also kommt mir gedanke, dass ich was grundlegend falsch gemacht hab. der übersichtlichkeit halber verzichte ich jetzt mal auf das posten meiner gesamten config, bitte fragt nach. im allgemeinen hab ich mich an die howtos gehalten und die rpms von suse 9 benutzt. saslauthd benutzt pam danke schomal kai
Am Dienstag, 30. März 2004 22:29 schrieb Kai Dechert:
ich seh den wald vor lauter bäumen glaub ich nicht.... kann mir jemand beim lesen/verstehen helfen?
thema: postfix + cyrus + sasl
problem 1: irgendwas mit dem auflösen der hostnamen scheint nicht zu klappen
Das hat meistens mit einem chroot was zu tun. Entweder abschalten oder in / var/spool/postfix/etc die nötigen Config-Dateien ablegen.
Mar 30 23:14:22 lok postfix/smtpd[2380]: > unknown[10.0.1.30]: 250-XVERP Mar 30 23:14:22 lok postfix/smtpd[2380]: > unknown[10.0.1.30]: 250 8BITMIME Mar 30 23:14:22 lok postfix/smtpd[2380]: watchdog_pat: 0x809a418 Mar 30 23:14:22 lok postfix/smtpd[2380]: < unknown[10.0.1.30]: AUTH PLAIN xxxx
problem 2: smtpd sasl plain haut nicht
Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: SASL authentication problem: unknown password verifier
das selbe problem beim versuch über login:
Mar 30 23:38:14 lok postfix/smtpd[2642]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
# postconf -n # cat /usr/lib/sasl2/smtpd.conf # ps aux | grep saslauthd # saslauthd -d # ls /usr/lib/sasl2
problem 3: smtp sasl login beim provider geht auch nicht
lok:/etc/postfix # Mar 30 23:21:25 lok postfix/smtp[2491]: to=<kai@xxx.net>, relay=mail.provider.de[00.13.109.73], delay=7168, status=deferred (Authentication failed: SASL authentication failed; server mail.provider.de[00.13.109.73] said: 535 Error: authentication failed)
Was bietet der Provider denn überhaupt für Mechanismen an? $ telnet provider 25 [...] EHLO domain.tld Was kommt ab hier? -- Andreas
Am Mittwoch, 31. März 2004 06:27 schrieb Andreas Winkelmann: hab noch bis 5.30 an dem mist gesessen, bin grad erst wieder aufgestanden. es läuft zwar nun, aber lange nicht so wie ich es möchte. also----------------------------------------------------------
problem 1: irgendwas mit dem auflösen der hostnamen scheint nicht zu klappen
Das hat meistens mit einem chroot was zu tun. Entweder abschalten oder in / var/spool/postfix/etc die nötigen Config-Dateien ablegen.
diese feststellung habe ich auch gemacht. das problem bei sasl im postfix chroot war, dass postfix sich anscheinend auch nicht auf den soket verbinden konnte. hab es über einen symbolischen link versucht, aber da sagt er mir nur was von "too much symbolic links" (oder so ähnlich). ----------------------------------------------------------
problem 2: smtpd sasl plain haut nicht
Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: SASL authentication problem: unknown password verifier
das selbe problem beim versuch über login:
Mar 30 23:38:14 lok postfix/smtpd[2642]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
das habe ich immer noch nicht hinbekommen. allerdings musste ich wie unter problem 3 beschrieben, die sasl erweiterungspakete wieder deinstallieren.
# postconf -n | grep sasl
# cat /usr/lib/sasl2/smtpd.conf
broken_sasl_auth_clients = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains, reject smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains, reject smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains, pwcheck_method: saslauthd
# ps aux | grep saslauthd
24323 pts/1 S 0:00 \_ grep sasl 29479 ? S 0:00 /usr/local/sbin/saslauthd -a pam 29480 ? S 0:00 \_ /usr/local/sbin/saslauthd -a pam 29481 ? S 0:00 \_ /usr/local/sbin/saslauthd -a pam 29482 ? S 0:00 \_ /usr/local/sbin/saslauthd -a pam 29483 ? S 0:00 \_ /usr/local/sbin/saslauthd -a pam
# saslauthd -d saslauthd[24325] :main : no authentication mechanism specified usage: saslauthd [options] [...] saslauthd 2.1.15 authentication mechanisms: getpwent kerberos5 pam rimap shadow
# ls /usr/lib/sasl2
. libanonymous.la libanonymous.so.2 liblogin.la liblogin.so.2 libsasldb.la libsasldb.so.2 smtpd.conf .. libanonymous.so libanonymous.so.2.0.15 liblogin.so liblogin.so.2.0.15 libsasldb.so libsasldb.so.2.0.15 ----------------------------------------------------------
problem 3: smtp sasl login beim provider geht auch nicht
[...] Was bietet der Provider denn überhaupt für Mechanismen an?
$ telnet provider 25 250-AUTH LOGIN PLAIN CRAM-MD5 GSSAPI DIGEST-MD5
ich habe ausschließlich mit den rpm paketen der suse9 gearbeitet. nachdem ich gefrustet alle erweiterungen zu cyrus-sasl wieder entfernt hatte ging es plötzlich. selber kompelieren habe ich versucht, hat aber auch nicht so geklappt wie ich mir das dachte, und da es schon spät war musste ich mich bemühen, einen arbeitsfähigen stand herzustellen. kann es sein, dass ich mal wieder einen der beliebten KnownBugs nicht mitbekommen hab. wenn ich die orginal pakete installiere, sollte es doch wohl eigenlich funkionieren, oder?
-- Andreas
Am Mittwoch, 31. März 2004 13:51 schrieb Kai Dechert:
problem 1: irgendwas mit dem auflösen der hostnamen scheint nicht zu klappen
Das hat meistens mit einem chroot was zu tun. Entweder abschalten oder in / var/spool/postfix/etc die nötigen Config-Dateien ablegen.
diese feststellung habe ich auch gemacht. das problem bei sasl im postfix chroot war, dass postfix sich anscheinend auch nicht auf den soket verbinden konnte. hab es über einen symbolischen link versucht, aber da sagt er mir nur was von "too much symbolic links" (oder so ähnlich).
Was jetzt? SASL oder Namensauflösung? Sockets müssen sich im chroot befinen. symlinks klappen nicht.
----------------------------------------------------------
problem 2: smtpd sasl plain haut nicht
Mar 30 23:14:22 lok postfix/smtpd[2380]: warning: SASL authentication problem: unknown password verifier
das selbe problem beim versuch über login:
Mar 30 23:38:14 lok postfix/smtpd[2642]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
das habe ich immer noch nicht hinbekommen. allerdings musste ich wie unter problem 3 beschrieben, die sasl erweiterungspakete wieder deinstallieren.
# postconf -n | grep sasl
broken_sasl_auth_clients = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains, reject smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains, reject smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = $myhostname
Das sollte leer sein. Ist auch default. # postconf -e "smtpd_sasl_local_domain =" # postfix reload
smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains,
# ls /usr/lib/sasl2
. libanonymous.la libanonymous.so.2 liblogin.la liblogin.so.2 libsasldb.la libsasldb.so.2 smtpd.conf .. libanonymous.so libanonymous.so.2.0.15 liblogin.so liblogin.so.2.0.15 libsasldb.so libsasldb.so.2.0.15
Ich sehe kein libplain.*, dann funktioniert natürlich auch PLAIN nicht. Ist bei Suse-9 in einem extra Paket ausgelagert. Das solltest Du dann installieren.
----------------------------------------------------------
problem 3: smtp sasl login beim provider geht auch nicht
[...]
Was bietet der Provider denn überhaupt für Mechanismen an?
$ telnet provider 25
250-AUTH LOGIN PLAIN CRAM-MD5 GSSAPI DIGEST-MD5
ich habe ausschließlich mit den rpm paketen der suse9 gearbeitet. nachdem ich gefrustet alle erweiterungen zu cyrus-sasl wieder entfernt hatte ging es plötzlich.
Er nimmt das beste Verfügbare. Nehme mal an, Du hattest zu diesem Zeitpunkt GSSAPI auf der Platte. Dann funktioniert das nicht. -- Andreas
Am Mittwoch, 31. März 2004 17:42 schrieb Andreas Winkelmann:
Am Mittwoch, 31. März 2004 13:51 schrieb Kai Dechert:
problem 1: irgendwas mit dem auflösen der hostnamen scheint nicht zu klappen
Das hat meistens mit einem chroot was zu tun. Entweder abschalten oder in / var/spool/postfix/etc die nötigen Config-Dateien ablegen.
[]dass postfix sich anscheinend auch nicht auf den soket verbinden konnte.
Was jetzt? SASL oder Namensauflösung? Sockets müssen sich im chroot befinen. symlinks klappen nicht.
sorry, das hab ich durcheinander geworfen, nach dem postfix nicht mehr im chroot war, hatte ich einige probleme weniger. komischerweise hat das alles bei suse 8.1 auf anhieb geklappt. die sasl implementation hat mich damals nicht mal eine halbe stunde gekostet. wie bekomme ich denn den socket in das chroot jail?
----------------------------------------------------------
problem 2: smtpd sasl plain haut nicht
smtpd_sasl_local_domain = $myhostname
Das sollte leer sein. Ist auch default.
# postconf -e "smtpd_sasl_local_domain =" # postfix reload
DAS WAR ES!! unglaublich - soviele stunden ... naja nu läufts ja und dann freuts einen doch wieder :-) problem 3: relay login beim provider
Er nimmt das beste Verfügbare. Nehme mal an, Du hattest zu diesem Zeitpunkt GSSAPI auf der Platte. Dann funktioniert das nicht.
das erklärt es, ich habe mittlerweile herausgefunden, dass sich der provider zwar mit allen möglichkeiten brüstet, aber nur plain und login funktionieren. wie kann ich postfix bitten, einen bestimmten smtpd auth mechanismus zu benutzen?
Andreas vielen, vielen dank schonmal und lieben gruß --> kai
Am Donnerstag, 1. April 2004 00:48 schrieb Kai Dechert:
problem 3: relay login beim provider
Er nimmt das beste Verfügbare. Nehme mal an, Du hattest zu diesem Zeitpunkt GSSAPI auf der Platte. Dann funktioniert das nicht.
das erklärt es, ich habe mittlerweile herausgefunden, dass sich der provider zwar mit allen möglichkeiten brüstet, aber nur plain und login funktionieren.
Tja, das gibt es leider schonmal.
wie kann ich postfix bitten, einen bestimmten smtpd auth mechanismus zu benutzen?
Du meinst wahrscheinlich ausgehend (smtp)? Das klappt leider nicht so ganz. Er scannt das ab was er auf Platte findet und sucht sich aus dem was der Server anbietet das beste aus. Du kannst nur nach "oben" einschränken (smtp_sasl_security_options), sprich von den "schlechteren" Mechanismen welche ausklammern. Aber wenn der Server etwas besseres anbietet, was er nicht unterstüzt, hilft nur die Libraries zu löschen. Was sich dann natürlich auch auf ankommende (smtpd) Verbindungen auswirkt. -- Andreas
Am Donnerstag, 1. April 2004 06:06 schrieb Andreas Winkelmann:
Am Donnerstag, 1. April 2004 00:48 schrieb Kai Dechert:
wie kann ich postfix bitten, einen bestimmten smtpd auth mechanismus zu benutzen?
Du meinst wahrscheinlich ausgehend (smtp)? Das klappt leider nicht so ganz. Er scannt das ab was er auf Platte findet und sucht sich aus dem was der Server anbietet das beste aus. Du kannst nur nach "oben" einschränken (smtp_sasl_security_options), sprich von den "schlechteren" Mechanismen welche ausklammern. Aber wenn der Server etwas besseres anbietet, was er nicht unterstüzt, hilft nur die Libraries zu löschen. Was sich dann natürlich auch auf ankommende (smtpd) Verbindungen auswirkt.
-- Andreas
na schade, vielen dank trotzdem nocheinmal! gruß kai
participants (2)
-
Andreas Winkelmann -
Kai Dechert