postfix sasl authentication failed (gelöst)

hiroaki · 5 Jan. 2011

Hallo zusammen,

langsam verzweifel ich. :???:
Die Standardantworten bringen mich leider nicht weiter. Ich bin für jeden Tipp dankbar.
Wo kann ich noch nachsehen, was falsch ist?

Folgendes Problem:
Ich habe einen Server mit opensuse 11.3 neu installiert. Alles geht bis auf Mails versenden.
Die postfix Konfiguration main.cf, master.cf und sasl_passwd habe ich von meiner vorherigen Installation (suse 10.2) ohne Änderung übernommen. postmap sasl_passwd hab ich auch aufgerufen.

In /var/log/mail stehen Meldungen ala:
Jan 5 07:39:53 srv11 postfix/smtp[26167]: 2C5EF2B809A2: SASL authentication failed; server smtp.1und1.de[212.227.15.167] said: 535 Authentication failure
Jan 5 07:39:54 srv11 postfix/smtp[26168]: 2FB7D2B809BA: to=<x.xxxxxxx@gmx.de>, relay=smtp.1und1.de[212.227.15.167]:25, delay=39628, delays=39627/0.04/0.89/0, dsn=4.0.0, status=deferred (SASL authentication failed; server smtp.1und1.de[212.227.15.167] said: 535 Authentication failure)
Jan 5 07:39:54 srv11 postfix/qmgr[26151]: 5EEDD2B809AC: to=<x.xxxxxxx@gmx.de>, relay=none, delay=38962, delays=38960/1.5/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: SASL authentication failed; server smtp.1und1.de[212.227.15.167] said: 535 Authentication failure)

postconf | grep smtp_sasl liefert:
proxy_write_maps = $smtp_sasl_auth_cache_name $lmtp_sasl_auth_cache_name
smtp_sasl_auth_cache_name =
smtp_sasl_auth_cache_time = 90d
smtp_sasl_auth_enable = yes
smtp_sasl_auth_soft_bounce = yes
smtp_sasl_mechanism_filter =
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_path =
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
smtp_sasl_type = cyrus

spoensche · 5 Jan. 2011

Stimmt deine sender_canonical_map? Du musst schon mehr Informationen rausrücken. Nur Authentication Failure ist ein bisschen mager, daher die Frage: Stimmen Benutzername und Passwort?

hiroaki · 5 Jan. 2011

Hi,

ich habe von der alten Installation den Inhalt von /etc/postfix komplett und ohne Änderung übernommen. Lediglich den Aufruf des spamassassin habe ich aus der master.cf rausgenommen.
Ich kann gerne die kompletten Konfigurationen posten. Aber für mich stellt sich die Frage, warum es in einem System klappt und im anderen nicht bei gleicher postfix Konfiguration.

Vielleicht hab ich ja was anderes nicht installiert oder falsch konfiguriert, was mit dem sasl zusammenhängt? Was kann ich da noch untersuchen?

main.cf

Code:

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
mydomain = domaene.local
unknown_local_recipient_reject_code = 550
mynetworks = 192.168.1.0/24, 127.0.0.0/8
home_mailbox = Maildir/
mailbox_transport = maildrop
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
html_directory = /usr/share/doc/packages/postfix/html
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = ipv4
biff = no
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = hash:/etc/postfix/virtual
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = srv1.domaene.local
program_directory = /usr/lib/postfix
inet_interfaces = all
masquerade_domains =
mydestination = $myhostname, localhost.$mydomain, $mydomain
defer_transports =
mynetworks_style = subnet
disable_dns_lookups = no
relayhost = smtp.1und1.com
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
mailbox_transport =
strict_8bitmime = no
disable_mime_output_conversion = no
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = no
smtpd_use_tls = no
smtp_use_tls = no
alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 0

master.cf

Code:

smtp      inet  n       -       n       -       -       smtpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}

sender_canonical

Code:

user1@domaene.local     echter.name1@gmx.net
user2@domaene.local     echter.name2@gmx.net
user3@domaene.local     echter.name3@gmx.net

sasl_passwd

Code:

smtp.1und1.com  pt12345678:geheim

Die anderen Dateien (access, transport etc.) sind leer.
Für alle ist dateien ist postmap aufgerufen.

spoensche · 5 Jan. 2011

hiroaki schrieb:
sender_canonical

Code:

user1@domaene.local echter.name1@gmx.net user2@domaene.local echter.name2@gmx.net user3@domaene.local echter.name3@gmx.net

sasl_passwd

Code:

smtp.1und1.com pt12345678:geheim

Das kann und wird so garantiert nicht funktionieren, wie du ja schon festgestellt hast. Du kannst über 1und1.com keine e-Mails mit einer GMX Adresse verschicken. Dafür musst du den Mailserver von GMX verwenden.

Außerdem sollte man .local nicht verwenden. Warum man das nicht sollte wurde hier im Forum schon oft genug behandelt.

hiroaki · 5 Jan. 2011

Hi,

das kann nicht nur, das hat seit 4 Jahren einwandfrei funktioniert.
Nur seitdem ich mit neuer Hardware auf opensuse 11.3 umgestiegen bin geht es nicht mehr.

spoensche · 5 Jan. 2011

hiroaki schrieb:
Nur seitdem ich mit neuer Hardware auf opensuse 11.3 umgestiegen bin geht es nicht mehr.

Das hat nichts mit dem Umstieg auf 11.3 zu tun. Was meinst du den weshalb die Authentifizierung am SMTP- Server sonst fehlschlägt??

hiroaki · 5 Jan. 2011

Hi,
das die Ursache nicht der Umstieg sein muss ist mir klar. Alledings ist das nunmal die Änderung gewesen. Hab ich was vergessen zu installieren?
Weshalb die Authentifizierung fehlschlägt ist ja gerade das Rätsel. Langsam beginne ich zu befürchten, dass zufällig zeitgleich zu meinem Umstieg bei 1&1 eine Änderung eingebaut wurde.
Oder haben die was gesperrt wegen der vielen Fehlversuche (da hatte ich anfangs noch ein paar Fehler)?

hiroaki · 7 Jan. 2011

Hi,

das Problem hat sich in Luft aufgelöst.
1 & 1 hat wohl eine Änderung vorgenommen.
Die gleiche Konfiguration mit einem anderen relay hat korrekt gearbeitet.

spoensche · 7 Jan. 2011

hiroaki schrieb:
das Problem hat sich in Luft aufgelöst.
1 & 1 hat wohl eine Änderung vorgenommen.
Die gleiche Konfiguration mit einem anderen relay hat korrekt gearbeitet.

Als Relay verwendest du jetzt den Mailserver von GMX oder?

hiroaki · 8 Jan. 2011

Hi,

nein, ich habe noch einen root-server bei Strato angemietet und verwende diesen (mit gleicher Konfiguration).
Den GMX Server will ich nicht nehmen, die haben heftige Restriktionen. Meine Konstellation wäre da nicht möglich.

spoensche · 8 Jan. 2011

hiroaki schrieb:
Hi,
nein, ich habe noch einen root-server bei Strato angemietet und verwende diesen (mit gleicher Konfiguration).

Kopfschüttel. Wenn der Admin das sieht ist Ende.

hiroaki" Den GMX Server will ich nicht nehmen schrieb:
Was meinst du warum es die Restriktionen gibt? Hast bestimmt schon mal was von Missbrauch und Spam etc. gehört. Auserdem ist deine Konstellation möglich. Du musst deinen Mailserver nur richtig konfigurieren, da GMX als Absender auch eine GMX Adresse erwartet.

hiroaki · 8 Jan. 2011

spoensche schrieb:
hiroaki schrieb:

nein, ich habe noch einen root-server bei Strato angemietet und verwende diesen (mit gleicher Konfiguration).

Zum Vergrößern anklicken....

Kopfschüttel. Wenn der Admin das sieht ist Ende.

Was ist daran denn so falsch? Ich bin ja lernfähig und Vorschlägen gegenüber aufgeschlossen.

Nur zum Verständnis, was ich hier mache.
Der Server ist ein dialup und hat über dyndns einen DNS-Eintrag.
Ich habe wenige User. Jeder hat eine oder mehrere email-accounts bei verschiedenen Providern.
Ich ziehe von den jeweiligen Accounts mit fetchmail und verteile sie auf die lokalen User.
Beispiel: hiroaki.name@gmx.de und hiroaki@web.de landen gesammelt bei otto@domaene.local.
Auf domaene.local läuft ein Apache mit Squirrelmail. In Squirrelmail konfiguriert jeder User selber, mit welcher der eigenen Absenderadressen er gerade versenden will.
Squirrelmail versendet über domaene.local. Dort läuft postfix (und dovecot, dies aber nur am Rande erwähnt). postfix leitet die mail an den echten (also mit statischer IP) Server weiter.
In meinem Fall war das ein vitueller Server bei 1&1 und ist jetzt ein root Server (mit postfix) bei Strato.

Ergebnis:
Jeder User kann auf das Web-Interface squirrelmail von überall zugreifen (geht mit ssl).
Jeder User kann seine Absenderadresse von einem Account aus wählen (ich versende z.B. mal mit hiroaki.name@gmx.de mal mit hiroaki@web.de)
Antworten auf emails erfolgen jeweils automatisch mit der Empfängeradresse.
Alle Mail sind zentral auf einem Server und können problemlos ins Backup.

Auf die Art und Weise klappt das schon seit 9 Jahren mit wechselnden Programmen (ich hatte früher sendmail und courier).
Ich kann sogar noch auf die liebgewonnenen mails seit 1986 direkt zugreifen.

Langer Rede kurzer Sinn.
Alle sind zufrieden aber nenn mir ein besseres Konzept und ich bau es ein.
Und BTW ich bin der admin

spoensche · 8 Jan. 2011

Ich wusste nicht, dass du der Admin bist. Wenn es nicht dein externer Mailserver gewesen, hättest du niemals mit ..@gmx.de über den Mailserver von Starto verschicken können.

hiroaki schrieb:
Alle sind zufrieden aber nenn mir ein besseres Konzept und ich bau es ein.

Du Witzbold. Mal gerade so eben ein Konzept aus dem Ärmel schütteln ist so gut wie unmöglich, weil es von vielen Faktoren abhängt, die bei dem einen so und bei einem anderen in eine ganz andere Richtung gehen.

hiroaki · 9 Jan. 2011

spoensche schrieb:
Ich wusste nicht, dass du der Admin bist. Wenn es nicht dein externer Mailserver gewesen, hättest du niemals mit ..@gmx.de über den Mailserver von Starto verschicken können.
...
Du Witzbold. Mal gerade so eben ein Konzept aus dem Ärmel schütteln ist so gut wie unmöglich, weil es von vielen Faktoren abhängt, die bei dem einen so und bei einem anderen in eine ganz andere Richtung gehen.

Hi,
das mit dem "niemals" lass ich mal so stehen, hat ja viele Jahre mit 1&1 geklappt (bei denen war ich nicht admin). Naja, jetzt pfuscht mir keiner mehr übertrieben paranoid dazwischen.
Aber das mit dem besseren Konzept war schon ernst gemeint. Ich hab mir zwar viel Mühe gegeben, das so hinzukriegen aber es gibt bestimmt noch was besseres. Doch ich meinte nicht, erfinde für
mich was besseres. Das war eine nur eine Anmerkung zu Deinem "Kopfschüttel".

Wir sollten die öffentliche Diskussion beenden und weiter über PN schreiben. Es sei denn, es gibt noch was von allgemeinem Interesse.

cu
hiroaki

Tooltime · 9 Jan. 2011

In Prinzip müsste man das jetzt mit speziellen relaying und Auth für jede Mailadresse lösen können, ausprobiert habe ich das allerdings auch noch nicht. Siehe hierzu:

Configuring Sender-Dependent SASL authentication
http://www.postfix.org/SASL_README.html#client_sasl_sender