Hola, tengo SuSE 9.0 y tengo problemas con la configuración de sasl sobre postfix, estas son mis configuraciones:
postconfig -n | grep sasl
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination,permit_sasl_authenticated
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous
cat /etc/postfix/sasl_passwd
MIDOMINIO username:password
Nota: donde MIDOMINIO corresponde al nombre especificado en $mydomain en postfix.
En /etc/sysconfig/network/postfix:
POSTFIX_SMTP_AUTH_SERVER = yes
POSTFIX_SMTP_AUTH = yes
POSTFIX_SMTP_AUTH_OPTIONS =' '
Reinicio la computadora y mediante un pequeño script en perl o un simple telnet comprobamos si ya deniego el acceso a usuario anónimos:
220 MIDOMINIO ESMTP Postfix
EHLO MIDOMINIO
250-MIDOMINIO
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN
250-XVERP
250 8BITMIME
MAIL FROM:
2005/11/27, -- :
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination,permit_sasl_authenticated
Con esta configuración, a la red local le estás dando acceso, por eso te permite enviar correo. Tienes que hacer la prueba desde un equipo remoto, conectado a través de Internet. Prueba con: smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination O bien con: smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,,reject_unauth_destination Para obligar a todos los usuarios a utilizar la autentificación, sean locales o no. Recuerda que después de cambiar los valores debes hacer un reload de Postfix para que tome los nuevos datos. La ayuda en línea sobre sasl está aquí: http://www.postfix.com/SASL_README.html Nota: también la tienes en tu disco duro... Saludos, -- Camaleón
smtpd_recipient_restrictions =
Obtengo el mismo resultado.
Aprovecho para dar algo más de información:
cat /usr/lib/sasl2/smtpd.conf
pwcheck_method: saslauthd
mech_list: plain login
Un Saludo.
----- Original Message -----
From: "Camaleón"
El 27/11/05, -- escribió:
Obtengo el mismo resultado.
¿Conectas desde otra red? Envía la sesión completa de telnet que estableces con Postfix.
Aprovecho para dar algo más de información:
cat /usr/lib/sasl2/smtpd.conf pwcheck_method: saslauthd mech_list: plain login
Envía los registros de Postfix relacionados con la autentificación, para ver qué cuentan... ¿Iniciaste el demonio saslauthd? Saludos, -- Camaleón
La sesión de telnet es tal cual la vez es como fui enviandola y la respuesta
es lo que responde el servidor de correo, postfix.
La red interna se compone de un servidor que hace de NAT, todos los
ordenadores en el mismo rango(192.168.0.0/255.255.255.0)
cat /var/log/mail
Nov 27 21:20:43 linux postfix/local[4375]: 283E58B23:
to=
Obtengo el mismo resultado.
¿Conectas desde otra red? Envía la sesión completa de telnet que estableces con Postfix.
Aprovecho para dar algo más de información:
cat /usr/lib/sasl2/smtpd.conf pwcheck_method: saslauthd mech_list: plain login
Envía los registros de Postfix relacionados con la autentificación, para ver qué cuentan... ¿Iniciaste el demonio saslauthd? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-27 a las 17:16 +0100, -- escribió:
MAIL FROM:
250 Ok RCPT TO: CUENTADELSISTEMA@MIDOMINIO 250 Ok DATA 354 End data with <CR><LF>.<CR><LF> To: CUENTADELSISTEMA@MIDOMINIO From: tareas de mantenimiento Subject: ASUNTO tal tal . 250 Ok: queued as BD76E12290 QUIT 221 Bye Evidentemente envia el mail sin ningun tipo de identificación, con lo cual cualquier desaprensivo puede hacer un telnet y utilizarme para enviar correo anónimamente. Espero vuestra ayuda.
No, lo que ves es absolutamente correcto y no debes impedirlo. Tu servidor es el destinatario de "MIDOMINIO", por lo que cualquier correo, viniendo de donde venga, con destino a "MIDOMINIO", debe admitirse sin ningún tipo de autentificación. Te lo aclaro con una tabla: De: * A: MIDOMINIO --> acceso libre (excpto spam). De: MIDOMINIO A: * --> acceso controlado (auth) De: * (xcpto MIDOMINIO) A: * --> prohibido o controlado (según normas) - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDihU4tTMYHG2NR9URAuwhAKCVTFFJz/irR+yG5RbjUDznVVeCnQCfVzRl wZ2yabx93G52IvzWh9YKJXc= =g7j7 -----END PGP SIGNATURE-----
Desgraciadamente no filtra en ningun caso
----- Original Message -----
From: "Carlos E. R."
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-27 a las 17:16 +0100, -- escribió:
MAIL FROM:
250 Ok RCPT TO: CUENTADELSISTEMA@MIDOMINIO 250 Ok DATA 354 End data with <CR><LF>.<CR><LF> To: CUENTADELSISTEMA@MIDOMINIO From: tareas de mantenimiento Subject: ASUNTO tal tal . 250 Ok: queued as BD76E12290 QUIT 221 Bye Evidentemente envia el mail sin ningun tipo de identificación, con lo cual cualquier desaprensivo puede hacer un telnet y utilizarme para enviar correo anónimamente. Espero vuestra ayuda.
No, lo que ves es absolutamente correcto y no debes impedirlo. Tu servidor es el destinatario de "MIDOMINIO", por lo que cualquier correo, viniendo de donde venga, con destino a "MIDOMINIO", debe admitirse sin ningún tipo de autentificación. Te lo aclaro con una tabla:
De: * A: MIDOMINIO --> acceso libre (excpto spam). De: MIDOMINIO A: * --> acceso controlado (auth) De: * (xcpto MIDOMINIO) A: * --> prohibido o controlado (según normas)
- -- Saludos Carlos Robinson
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDihU4tTMYHG2NR9URAuwhAKCVTFFJz/irR+yG5RbjUDznVVeCnQCfVzRl wZ2yabx93G52IvzWh9YKJXc= =g7j7 -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Donde tienes el sasldb ? recuerda que postfix esta en un entorno chroot y como tal debes de copiar el db a el directorio postfix Verifica que en smtpd.conf contienes la linea "pwcheck_method: sasldb" al igual que que para activar el soporte SASL, se debe asignar al menos una contraseña a cualquier cuenta de usuario en el sistema "saslpasswd -c usuario1" postfix debe de poder leer dicho archivo (sasldb) por lo tanto hay que darle permisos: chmod 640 sasldb chgrp postfix sasldb creas el enlace simbolico a /etc para no tener que copiar dicho archivo cada vez que se da de alta/baja un usuario: ln -s sasldb /etc/ Claro, das de alta a los usuarios: saslpasswd -c usuario2 saslpasswd -c usuario3 ... y levantas los demonios: rcsaslauthd start rcpostfix start suerte .. salu2
dir /etc/sasldb2
-rw-r--r-- 1 root postfix 12288 Nov 27 21:09 /etc/sasldb2
dir /etc/postfix/sasldb2
lrwxrwxrwx 1 root postfix 12 Nov 28 15:27
/etc/postfix/sasldb2 -> /etc/sasldb2
sasldblistusers2
CUENTADEL SISTEMA@MIDOMINIO: userPassword
CUENTADEL SISTEMA@linux: userPassword
He probado los siguientes casos:
1. cuenta externa (aaa@aaa.com) a CUENTADEL SISTEMA@MIDOMINIO
2. CUENTADEL SISTEMA@MIDOMINIO a una cuenta de hotmail
3. cuenta externa (aaa@aaa.com) a una cuenta de hotmail
Un Saludo.
----- Original Message -----
From: "chakal^-^"
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-28 a las 15:55 +0100, -- escribió:
He probado los siguientes casos: 1. cuenta externa (aaa@aaa.com) a CUENTADEL SISTEMA@MIDOMINIO 2. CUENTADEL SISTEMA@MIDOMINIO a una cuenta de hotmail 3. cuenta externa (aaa@aaa.com) a una cuenta de hotmail
¿Con que resultados, exactamente? ¿Estás haciendo los envios desde máquinas externas? Si lo haces desde tu maquina, no vale. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDi16JtTMYHG2NR9URApLnAJ9Oq10XyJp1exNi3x5GY2zliNgkkQCfZ/5s Ai5mHKqVWjbPJOVQ0/yNIGo= =2SE6 -----END PGP SIGNATURE-----
Supongamos que mi servidor es 192.168.0.1/255.255.255.0 y los clientes
192.168.0.X para x=1,2, tal.
Me voy a un ordenador cliente y desde la shell lanzo un pequeño script para
no tener que escribir:
#!/usr/bin/perl
use Net::SMTP;
$smtp = Net::SMTP->new( '192.168.0.1',Timeout => 60);
#$smtp->auth(cuentadeusuario,password);
$smtp->mail( 'abc@aaa.com' );
$smtp->to( 'UNACUENTADEHOTMAIL@HOTMAIL.COM' );
$smtp->data();
$smtp->datasend( 'To: 'UNACUENTADEHOTMAIL@HOTMAIL.COM' . "\n" );
$smtp->datasend( "\n" );
$smtp->datasend( "testing" );
$smtp->dataend();
$smtp->quit();
Así es más práctico de comprobar y se obtiene el mismo resultado. También se
me ocurrió probar desde
un pc ageno a mi red local y es lo mismo.
Un Saludo.
----- Original Message -----
From: "Carlos E. R."
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-28 a las 15:55 +0100, -- escribió:
He probado los siguientes casos: 1. cuenta externa (aaa@aaa.com) a CUENTADEL SISTEMA@MIDOMINIO 2. CUENTADEL SISTEMA@MIDOMINIO a una cuenta de hotmail 3. cuenta externa (aaa@aaa.com) a una cuenta de hotmail
¿Con que resultados, exactamente? ¿Estás haciendo los envios desde máquinas externas? Si lo haces desde tu maquina, no vale.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDi16JtTMYHG2NR9URApLnAJ9Oq10XyJp1exNi3x5GY2zliNgkkQCfZ/5s Ai5mHKqVWjbPJOVQ0/yNIGo= =2SE6 -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-28 a las 23:06 +0100, -- escribió:
Supongamos que mi servidor es 192.168.0.1/255.255.255.0 y los clientes 192.168.0.X para x=1,2, tal. Me voy a un ordenador cliente y desde la shell lanzo un pequeño script para no tener que escribir:
Si, pero desde dentro de tu red tienes autorización para enviar. No he visto en la salida de tu postconf cual es "mynetworks". Por otra parte, hay que mirar en el log del postfix, que además lo puedes poner "verbose": debug_peer_list = aaa.com - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDi4q8tTMYHG2NR9URAkQgAJ4kQF+HQma4xv5QhJutrSEeSYum+gCeN580 U7d3k5zrQvsot4K4PculZVg= =Y9Qz -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-28 a las 23:06 +0100, -- escribió:
Supongamos que mi servidor es 192.168.0.1/255.255.255.0 y los clientes 192.168.0.X para x=1,2, tal. Me voy a un ordenador cliente y desde la shell lanzo un pequeño script
Los mail se envian desde pc1.NOMBRE.no-ip.com[192.168.0.1] al servidor
192.168.0.10
cat /var/logmail | grep "Nov 29 13:20" | more
----------------------------------------------------------------------------
------------------------------------------------
Nov 29 13:20:12 linux postfix/master[5096]: terminating on signal 15
Nov 29 13:20:17 linux postfix/postfix-script: starting the Postfix mail
system
Nov 29 13:20:17 linux postfix/master[5245]: daemon started -- version 2.0.14
Nov 29 13:20:31 linux postfix/smtpd[5252]: connect from
pc1.NOMBRE.no-ip.com[192.168.0.1]
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 220 NOMBRE.no-ip.com ESMTP Postfix
Nov 29 13:20:31 linux postfix/smtpd[5252]: watchdog_pat: 0x8099ab0
Nov 29 13:20:31 linux postfix/smtpd[5252]: <
pc1.NOMBRE.no-ip.com[192.168.0.1]: EHLO localhost.localdomain
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-NOMBRE.no-ip.com
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-PIPELINING
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-SIZE 10240000
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-VRFY
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-ETRN
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-AUTH LOGIN PLAIN
Nov 29 13:20:31 linux postfix/smtpd[5252]: match_hostname:
pc1.NOMBRE.no-ip.com ~? 192.168.0.0/16
Nov 29 13:20:31 linux postfix/smtpd[5252]: match_hostaddr: 192.168.0.1 ~?
192.168.0.0/16
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250-XVERP
Nov 29 13:20:31 linux postfix/smtpd[5252]: >
pc1.NOMBRE.no-ip.com[192.168.0.1]: 250 8BITMIME
Nov 29 13:20:31 linux postfix/smtpd[5252]: watchdog_pat: 0x8099ab0
Nov 29 13:20:31 linux postfix/smtpd[5252]: <
pc1.NOMBRE.no-ip.com[192.168.0.1]: MAIL FROM:
no tener que escribir:
Si, pero desde dentro de tu red tienes autorización para enviar. No he visto en la salida de tu postconf cual es "mynetworks".
Por otra parte, hay que mirar en el log del postfix, que además lo puedes poner "verbose":
debug_peer_list = aaa.com
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDi4q8tTMYHG2NR9URAkQgAJ4kQF+HQma4xv5QhJutrSEeSYum+gCeN580 U7d3k5zrQvsot4K4PculZVg= =Y9Qz -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-29 a las 13:47 +0100, -- escribió:
Los mail se envian desde pc1.NOMBRE.no-ip.com[192.168.0.1] al servidor 192.168.0.10
192.168.0.1 está en tu misma red, y por tanto lo autoriza sin más (permit_mynetworks). Aunque le cambies el nombre.
Nov 29 13:20:31 linux postfix/smtpd[5252]: connect from pc1.NOMBRE.no-ip.com[192.168.0.1]
mynetworks = 192.168.0.0/16,127.0.0.0/8
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDjG0UtTMYHG2NR9URAmrdAJ0fttMf9v9p52zQp4uLEoUPAePy1gCePPwS 3Y3AaX3sgh4EGPPJrHXgXTc= =Ol9x -----END PGP SIGNATURE-----
Gracias a vuestra inestimable ayuda, Postfix funciona con soporte SASL. GRACIAS. Un Saludo.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-29 a las 23:12 +0100, -- escribió:
Gracias a vuestra inestimable ayuda, Postfix funciona con soporte SASL. GRACIAS.
¡Me alegro! ¿Que era al final? Lo digo porque he estado haciendo probatinas, y para conseguir que me pidiera autorización tuve que hacer: mynetworks = 192.168.100.2/32 127.0.0.0/8 [::1/128] ...........................^^ si no, mi red local entra sin más. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDjPjytTMYHG2NR9URAio1AJwIbcSSum9xrVtNiqnM2252WioeggCdFmBf 17ripjQiBQBa9zFmnxSICic= =zWZr -----END PGP SIGNATURE-----
Dentro de la red interna no lo he conseguido, lo dejo como cuenta pendiende pero sí he logrado que desde el exterior no se pueda enviar a terceros, para mí ése era el más grave problema. ¿Cómo? después de trastear tanto postfix no tengo ni idea, en mi último mail tienes la configuración de main.cf Un Saludo.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-11-29 a las 23:12 +0100, -- escribió:
Gracias a vuestra inestimable ayuda, Postfix funciona con soporte SASL. GRACIAS.
¡Me alegro! ¿Que era al final?
Lo digo porque he estado haciendo probatinas, y para conseguir que me pidiera autorización tuve que hacer:
mynetworks = 192.168.100.2/32 127.0.0.0/8 [::1/128] ...........................^^
si no, mi red local entra sin más.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDjPjytTMYHG2NR9URAio1AJwIbcSSum9xrVtNiqnM2252WioeggCdFmBf 17ripjQiBQBa9zFmnxSICic= =zWZr -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-30 a las 07:42 +0100, -- escribió:
Dentro de la red interna no lo he conseguido, lo dejo como cuenta pendiende
Eso se hace, como te dije, controlando la máscara de la red para que identifique al host individual: mynetworks = 192.168.0.10/32 127.0.0.0/8 [::1/128]
pero sí he logrado que desde el exterior no se pueda enviar a terceros, para mí ése era el más grave problema. ¿Cómo? después de trastear tanto postfix no tengo ni idea, en mi último mail tienes la configuración de main.cf
Ok! - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDji4/tTMYHG2NR9URAnPYAJ0UBCFDzlE9ofOE/aWdUSY8zNbboACfURAc mhUPOsBTmns6tk9cFl5gmRI= =G+nC -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-11-28 a las 15:04 +0100, chakal^-^ escribió:
Donde tienes el sasldb ? recuerda que postfix esta en un entorno chroot y como tal debes de copiar el db a el directorio postfix
¿Ein? Según la documentación, eso no funciona, o casi no: | To run software chrooted with SASL support is an interesting exercise. It | probably is not worth the trouble. (SASL_README) - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDi4lKtTMYHG2NR9URAiwyAJ9ZMGKnlIJb0osIwkT9YKbKPVukpQCcCgT3 GrwF4vTHpDnz6m6iryYOGbc= =G4Y3 -----END PGP SIGNATURE-----
participants (5)
-
--
-
--
-
Camaleón
-
Carlos E. R.
-
chakal^-^