smtp vom Client zum Mailserver funzt nicht

[newbie1976]

Hallo!
Ich versuche meinen root-Server bei 1und1 als Mailserver mit postfix und cyrus einzurichten. Er soll so ähnlich wie in ISP funktionieren. Ich will von zu Hause über kmail/Thunderbird Mails über meinen Mailserver verschicken und natürlich auch empfangen. Als E-Mail-Account soll ein User auf dem root-Server dienen. Für einen oder zwei User ist keine MSQL-Datenbank nötig. Kmail meldet aber leider beim Versuch eine Mail zu senden:

Das Versenden ist fehlgeschlagen:
Ihr SMTP-Server unterstützt PLAIN nicht.
Bitte wählen Sie eine andere Authentifizierungsmethode.
Meldung des Servers: Error: authentication failed

Kmail erkennt aber TLS und Plain beim Testen der Server-Fähigkeiten.

/var/log/mail.info liefert:

Jun 27 20:16:47 s15235102 postfix/smtpd[5780]: connect from dialin-145-254-071-184.pools.arcor-ip.net[145.254.71.184]
Jun 27 20:16:48 s15235102 postfix/smtpd[5780]: warning: SASL authentication failure: Password verification failed
Jun 27 20:16:48 s15235102 postfix/smtpd[5780]: warning: dialin-145-254-071-184.pools.arcor-ip.net[145.254.71.184]: SASL PLAIN authentication failed
Jun 27 20:16:48 s15235102 postfix/smtpd[5780]: lost connection after AUTH from dialin-145-254-071-184.pools.arcor-ip.net[145.254.71.184]
Jun 27 20:16:48 s15235102 postfix/smtpd[5780]: disconnect from dialin-145-254-071-184.pools.arcor-ip.net[145.254.71.184]

Bei KMail ist das richtige Passwort (vom lokalem User des Servers) eingetragen.

Meine main.cf nach cat /etc/postfix/main.cf | grep -v ^#:

queue_directory = /var/spool/postfix

command_directory = /usr/sbin

daemon_directory = /usr/lib/postfix

mail_owner = postfix

unknown_local_recipient_reject_code = 550

home_mailbox = Maildir/

mailbox_transport = cyrus

debug_peer_level = 2

debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail

newaliases_path = /usr/bin/newaliases

mailq_path = /usr/bin/mailq

setgid_group = maildrop

html_directory = /usr/share/doc/packages/postfix/html

manpage_directory = /usr/share/man

sample_directory = /usr/share/doc/packages/postfix/samples

readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = ipv4
biff = no
myhostname = meinedomain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = $myhostname, localhost.meinedomain.de, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_use_tls = yes
smtpd_enforce_tls = yes
smtpd_tls_auth_only = yes
broken_sasl_auth_clients = yes

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtp_sasl_auth_enable = no
smtpd_tls_auth_only = yes

smtp_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_recipient_maps,
reject_unauth_destination,
permit_auth_destination

smtpd_helo_required = yes

smtpd_helo_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname,
check_helo_access

smtpd_sender_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_rhsbl_sender domain.tld,
reject_sender_login_mismatch

smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
reject_rhsbl_recipient domain.tld,
reject_unauth_destination,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client unconfirmed.dsbl.org,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client dialup.blacklist.jippg.org,
reject_rbl_client cbl.abuseat.org
permit

smtpd_data_restrictions = reject_unauth_pipelining

mime_header_checks=pcre:/etc/postfix/body_check

Welcher Eintrag ist falsch oder fehlt?

Ein openssl s_client -starttls smtp -host localhost -port 25 liefert, wie gewünscht Ausgaben zum Zertifikat und EHLO localhost:

220 meinedomain.de ESMTP Postfix
ehlo localhost
250-meinedomain.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250 8BITMIME

 

[b3ll3roph0n]

Und wogegen soll sich Postfix authentifizieren?

Welche Distribution ist da im Einsatz?

$SASL_DIR/smtpd.conf ?

In Kombination mit cyrus würde der saslauthd Sinn machen, der kann wiederum die SASL-DB, PAM, etc. als Backend nutzen.

Wenn Postfix im chroot läuft solltest du sicherstellen, dass Postfix auch auf den saslautd-socket zugreifen kann.

 

[newbie1976]

Auf dem Server läuft suse 9.3
Und die /usr/lib/sasl2/smtpd.conf hat nur diese 2 Einträge:

pwcheck_method: saslauthd
mech_list: plain login

Wenn Postfix im chroot läuft solltest du sicherstellen, dass Postfix auch auf den saslautd-socket zugreifen kann.

Das geht wie?

 

[newbie1976]

Habe gerade unter /etc/postfix/master.cf nachgeschaut. Postfix läuft z.Zt. nicht chroot.

#
# Postfix master process configuration file. For details on the format
# of the file, see the Postfix master(5) manual page.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - n - - smtpd
#submission inet n - n - - smtpd
# -o smtpd_etrn_restrictions=reject
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps inet n - n - - smtpd
# -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#submission inet n - n - - smtpd
# -o smtpd_etrn_restrictions=reject
# -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
#628 inet n - n - - qmqpd
pickup fifo n - n 60 1 pickup
cleanup unix n - n - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - n 1000? 1 tlsmgr
rewrite unix - - n - - trivial-rewrite
bounce unix - - n - 0 bounce
defer unix - - n - 0 bounce
trace unix - - n - 0 bounce
verify unix - - n - 1 verify
flush unix n - n 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - n - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - n - - smtp
-o fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - n - - showq
error unix - - n - - error
discard unix - - n - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
#localhost:10025 inet n - n - - smtpd -o content_filter=
scache unix - - n - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus unix - n n - - pipe
user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail unix - n n - - pipe
flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}

 

[b3ll3roph0n]

Auf dem Server läuft suse 9.3

Dann solltest du dir viel dringender Gedanken um ein Upgrade auf eine aktuelle Distribution machen.
Der Support für SuSE 9.3 ist gerade ausgelaufen ...
... und ein root-Server ohne Sicherheitsupdates ... *nocomment*

Und die /usr/lib/sasl2/smtpd.conf hat nur diese 2 Einträge:

pwcheck_method: saslauthd
mech_list: plain login

Und was benutzt der saslauthd als Backend?
=> /etc/sysconfig/saslauthd

Wenn Postfix im chroot läuft solltest du sicherstellen, dass Postfix auch auf den saslautd-socket zugreifen kann.

Das geht wie?

Unter openSUSE 10.2 übernimmt das SuSEconfig (k.A. ob das unter 9.3 auch der Fall ist - ist aber auch egal: s.o.).
Ansonsten: Sicherstellen, dass der Socket vom saslauthd im chroot von postfix liegt.
Normalerweise liegt dieser unter /var/run/sasl2/ oder /var/run/saslauthd/ - d.h. damit postfix daraufzugreifen kann muss der Socket nach /var/spool/postfix/var/run... verlegt werden.
Wichtig: Dabei den Sym-/Hardlink auf das ursprüngliche Verzeichnis (/var/run...) nicht vergessen, da cyrus sonst mit dem Daemon kommunizieren kann.

Wo der saslauthd den Socket ablegt, kannst du entweder in den saslauthd-Einstellungen (/etc/{config,default,sysconfig}/saslauthd) festlegen, oder im Init-Script (/etc/init.d/saslauthd).


[edit]

Habe gerade unter /etc/postfix/master.cf nachgeschaut. Postfix läuft z.Zt. nicht chroot.

Das sollte er IMHO aber unbedingt.


[edit2]
Für Shell-Ausgaben bitte die CODE-Tags benutzen:

[code]Da, wo die Text rein kommt

[/code]

 

[newbie1976]

Jetzt kommen wir der sache wohl schon näher:

/etc/sysconfig/saslauthd:

## Path: System/Security/SASL
## Type: list(getpwent,kerberos5,pam,rimap,shadow,ldap)
## Default: pam
## ServiceRestart: saslauthd
#
# Authentication mechanism to use by saslauthd.
# See man 8 saslauthd for available mechanisms.
#
SASLAUTHD_AUTHMECH=pam

Muss da nicht shadow für lokale User stehen?

Der Support für SuSE 9.3 ist gerade ausgelaufen ...
... und ein root-Server ohne Sicherheitsupdates ... *nocomment*

Ich weiß. 1und 1 wird hoffentlich bald eine neuere Version zur Verfügung stellen. Ein Upgarde mit YOU schlug bei mir leider fehl. http://www.linux-club.de/viewtopic.php?t=82401&highlight=

Sauerei das postfix nicht schon standardmäßig bei 1und 1 chroot läuft! Wenn mir jemand sagt wie das geht, hole ich es nach.
Ich bin doch blöd! Natürlich in der master.cf!

 

[Anonymous]

Ich weiß. 1und 1 wird hoffentlich bald eine neuere Version zur Verfügung stellen. Ein Upgarde mit YOU schlug bei mir leider fehl. http://www.linux-club.de/viewtopic.php?t=82401&highlight=

Das kann auch nicht funktionieren bei dem Versionssprung.

Neuinstallation ist angesagt. (serielle Konsole)

Sauerei das postfix nicht schon standardmäßig bei 1und 1 chroot läuft!

Schwachsinn.

Der Anbieter vermietet Dir die Hardware, alles andere ist _DEINE_ Aufgabe, deshalb heissen die Dinger im Volksmund auch "Root"server.

Das vorinstallierte 9.3er-Image ist ein nettes Feature, aber manchmal denke ich mir, es ist schon zu viel (warum ich das denke verkneife ich mir hier).

Greetz,

RM

 

[b3ll3roph0n]

Jetzt kommen wir der sache wohl schon näher:

/etc/sysconfig/saslauthd:
[...]

Muss da nicht shadow für lokale User stehen?

Nicht unbedingt.
Du kannst dich mit PAM gegen alles mögliche authentifizieren: SHADOW, MYSQL, ...
Entscheidend dafür sind die Dateien /etc/pam.d/{imap,smtp} - für cyrus brauchst du außerdem noch /etc/pam.d/{sieve,lmtp}.

Ich weiß. 1und 1 wird hoffentlich bald eine neuere Version zur Verfügung stellen.

Davon solltest du nicht ausgehen (für einen Server bist du i.d.R. ganz alleine Verantwortlich).

Ein Upgarde mit YOU schlug bei mir leider fehl. http://www.linux-club.de/viewtopic.php?t=82401&highlight=

Mit YOU kannst du auch kein Upgrade vornehmen.
Installier dir apt oder smart, leg dir die 10.2 Quellen an und versuch ein dist-upgrade/upgrade.
(10.0 mach kaum Sinn, die läuft auch in einem halben Jahr aus und die 10.1 würde ich an deiner Stelle überspringen)
Backup nicht vergessen!
Ich würde an deiner Stelle aber eine komplette Neuinstallation in Erwägung ziehen.

Sauerei das postfix nicht schon standardmäßig bei 1und 1 chroot läuft! Wenn mir jemand sagt wie das geht, hole ich es nach.

Bitte?
Wirf mal einen Blick in deine master.cf

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================

 

[newbie1976]

newbie1976 hat Folgendes geschrieben:
Ich weiß. 1und 1 wird hoffentlich bald eine neuere Version zur Verfügung stellen.
Davon solltest du nicht ausgehen (für einen Server bist du i.d.R. ganz alleine Verantwortlich).

bei den dezidierten Servern hat 1und1 schon umgestellt.

Installier dir apt oder smart, leg dir die 10.2 Quellen an und versuch ein dist-upgrade/upgrade.
(10.0 mach kaum Sinn, die läuft auch in einem halben Jahr aus und die 10.1 würde ich an deiner Stelle überspringen)
Backup nicht vergessen!
Ich würde an deiner Stelle aber eine komplette Neuinstallation in Erwägung ziehen.

Eine Neuinstallation auf einem virtuellen Server dürfte schwierig werden. (keine serielle Konsole z.B.). Ich dachte eheran ein schrittweises Upgrade: 9.3 -> 10.0 -> 10.1->10.2 wegen der ganzen Abhängigkeiten und so.Aber das ist ein anderes Thema.

 

[newbie1976]

Jetzt funzt. Lösung war tatsächlich:

SASLAUTHD_AUTHMECH=shadow

Fehlt nur noch POP3 mit SSL.

 

[b3ll3roph0n]

Jetzt funzt. Lösung war tatsächlich:

SASLAUTHD_AUTHMECH=shadow

Wenn du dir die entsprechende /etc/pam.d/smtp angelegt hättest, hätte das auch funktioniert.

Fehlt nur noch POP3 mit SSL.

Wenn du dazu Hilfe willst ...
... solltest du Informationen liefern.

 

[newbie1976]

Wenn du dir die entsprechende /etc/pam.d/smtp angelegt hättest, hätte das auch funktioniert.

Meine Variante war aber einfacher und schneller realisiert

Fehlt nur noch POP3 mit SSL.
Wenn du dazu Hilfe willst ...
... solltest du Informationen liefern.

Ich denke, ich werde eher IMAP nehmen. POP3 habe ich bisher immer verwendet (hat auch immer gereicht). Da die Post des einzigen Users aber in mehere Ordner sortiert werden soll , wäre IMAP (mit SSL natürlich) besser.
Ich schau mch gerade im Web nach Anleitungen um.

 

[b3ll3roph0n]

Meine Variante war aber einfacher und schneller realisiert

Schon klar ...
Aber PAM ist flexibler ... falls du mal auf virtuelle User umsteigen willst (User in einer MySQL-DB) bietet sich dazu pam_mysql an.

Ich denke, ich werde eher IMAP nehmen. POP3 habe ich bisher immer verwendet (hat auch immer gereicht). Da die Post des einzigen Users aber in mehere Ordner sortiert werden soll , wäre IMAP (mit SSL natürlich) besser.

Ja, Imap würde ich dir auch empfehlen.
Cyrus (vor allem in kombination mit sieve) ist da echt klasse!