Wie Sieve Script in Cyrus integrieren ??

[SCT]

Wie versuchst du dich denn über die Konsole mit sieveshell einzuloggen ???
Du schreibst du bist als root eingeloggt ...
Um es mal abzukürzen, sollte der Versuch so aussehen :

sieveshell -u username -a username localhost

--> Genau so mache ich das und ich bin als root eingeloggt. Also sieht das ganz so aus:
Computer:~ # sieveshell -u username -a username localhost

Zweitens solltest du dir im klaren sein das sieve ein Teil von cyrus ist und zusammen mit dem imapd konfiguriert wird.
Also die Frage, existiert die Mailbox für den User und kannst du als User auf die Mailbox zugreifen ?

--> Der ganze Server läuft seit vier Jahren. Alles tutipalletti... Ich wollte jetzt bloss den ganzen Spam einer extra behandlung unterziehen.

Drittens, versuche bitte in der /etc/imapd.conf folgende Parameter zu verwenden:

sasl_mech_list: PLAIN LOGIN
sasl_minimum_layer: 0

--> Das hatte ich gestern auch schon probiert. Wenn die SASL-Mech Liste fehlt wird einfach alles durch probiert. Diese Liste schränkt also eher ein, so meine Erfahrung gestern.

MD5 hin oder her ... solange du auf einem Rechner ( localhost ) bleibst brauchst du erst mal die Verbindung nicht abzusichern.
Sobald du dich aber von einem anderen Rechner mit der Mailbox verbindest solltest du z.B imaps verwenden.

--> Ich greife darauf mit meiner Windows Büchse im 192er Netz zu. Und von extern per http (Squirrelmail). Funktioniert prima seit Jahren.

Und um danach die sieve Regeln zu setzen wirst du wohl über ein Webfrontend gehen ( smartsieve, websieve oder das Horde Modul Ingo)

--> Smartsieve ist schon installiert, aber ich kann mich ja nicht einloggen...

Wenn der Apache auch auf diesem Rechner läuft brauchst du dort dann zur Absicherung der Verbindung https ...

--> Ach nööö... Ist das wirklich notwendig? Bisher hatte ich noch keine Intrusion. Da läuft noch eine Bildergallerie mit mySQL, Munin un danderes.

Generell gilt : Einen Mailserver zu betreiben erfordert viel Hintergrundwissen und Verantwortung

--> Stimme ich Dir in dem Punkt zu als das man auf keinen Fall einen Relay-Server bauen darf. Sonst bin ich aber eher gegen die große Verschwörung das es die ganze Welt nur auf meinen Server abgesehen hat. Dazu bin ich und mein Server zu unwichtig.

Wenn ich das richtig verstanden habe nutzt du den Mailserver nur für dich selber !?!

--> Ja, es existiert nur ein einziger Benutzer: Ich.

Bitte sei dir im klaren darüber das dies ein sehr umfangreiches Thema ist ... aber auch, zugegeben, ein sehr interessantes
Es gibt aber zu diesem Thema auch Unmengen an hervorragenden HowTos und Büchern ( z.B das Postfix Buch von Peer Heinlein als Einstieg)
Versuche also bitte an dieses Thema mit soviel Sorgfalt zu bearbeiten wie es verdient

--> Ich hatte damals auch echt lange gebraucht als ich den aufgesetzt habe damals und ich muss zugeben, daß ich mal lieber etwas mehr hätte aufschreiben sollen. Erst war das SuSE 9.2 und dann, vor 2 Jahren 10.2. Ich mache regelmässig (ööhmm so alle halbe Jahre) ein Backup mit mkcdrec. Kann ich nur empfehlen.

So long
Auch Thomas aka SCT

 

[ThomasF]

Nun gut ...

also noch mal von vorne

Der cyrus-imapd läuft also und du kannst dich auch als User einloggen und deine Mail abholen usw.
Aber wenn ich das richtig sehe hast du in deinem Posting nirgendwo deine config gepostet, oder ?

Was sagt denn bei dir die Ausgabe von : cat /etc/imapd.conf |grep -v ^# |grep sasl
Bzw. alle aktiven Parameter aus der /etc/imapd.conf
z.B könnte auch "allowplaintext: yes" eine Rolle spielen

Wo liegt denn der User der sich über imapd einloggen kann ?

Als weitere wichtige Datei wäre die /etc/cyrus.conf zu nennen ... ist dort der sieve Eintrag überhaupt aktiv ???
Sollte ungefähr so aussehen :

...
# useful if you need to give users remote access to sieve
# by default, we limit this to localhost in Debian
sieve           cmd="timsieved" listen="localhost:sieve" prefork=0 maxchild=100
...

Sieve läuft glaube ich auf Port 2000 ... ist dieser Port aktiv ?

netstat -natp |grep :2000

Startest du bei einer Änderung in einer Config den entsprechenden Dienst auch neu ?

So jetzt noch kurz ein paar Komentare zu deinem letzten Posting:

Wenn die SASL-Mech Liste fehlt wird einfach alles durch probiert. Diese Liste schränkt also eher ein, so meine Erfahrung gestern.

Meine Erfahrung hat gezeigt das diese Ausprobieren mit der "besten" Variante beginnt und das die Reihenfolge dieser Mechs durchaus eine Rolle spielt ...

Ich greife darauf mit meiner Windows Büchse im 192er Netz zu. Und von extern per http (Squirrelmail). Funktioniert prima seit Jahren.

In Ordnung ... habe ich verstanden ... aber trotzdem ... im internen Netz http zu verwenden ist ok ... von "extern" solltest du https nutzen ... einfach aus prinzip

Ach ja "Squirrelmail" kann glaube ich auch einfache Sieve-Scripte erstellen ... Ich habe mich damals jedoch gegen Squirrelmail, smartsieve oder websieve entschieden, da diese Frontends nicht wirklich die volle Leistungsfähigkeit von sieve nutzen können. Deshalb hatte ich mich schon damals nach langer Recherche für Horde als Webmailer entschieden ... weil das Ingo Plugin sehr viel flexibler und besser mit sieve umgehen kann und z.B auch selbst definierte Header Einträge nutzen kann

Die nächsten Punkte kann man eigentlich zusammenfassen :

Stimme ich Dir in dem Punkt zu als das man auf keinen Fall einen Relay-Server bauen darf. Sonst bin ich aber eher gegen die große Verschwörung das es die ganze Welt nur auf meinen Server abgesehen hat. Dazu bin ich und mein Server zu unwichtig.

IMHO geht es nicht darum das dein Server irgendwie interessant genug ist um ausgespäht oder angegiffen zu werden und die Wahrscheinlichkeit das jemand mit "men in the middle" dein Pass mitloggt ist eher gering .. aber es geht dabei wieder eher ums Prinzip ... das man niiiiemals sein Pass im Klartetxt übers Netz schickt !!! *fg*


So long

ThomasF

 

[SCT]

Aber wenn ich das richtig sehe hast du in deinem Posting nirgendwo deine config gepostet, oder ?

Was sagt denn bei dir die Ausgabe von : cat /etc/imapd.conf |grep -v ^# |grep sasl
Bzw. alle aktiven Parameter aus der /etc/imapd.conf
z.B könnte auch "allowplaintext: yes" eine Rolle spielen

--> mache ich heute Abend wenn ich zu Hause bin.

Wo liegt denn der User der sich über imapd einloggen kann ?

--> Die Frage verstehe ich nicht. Den User gibt es in der passwd, in der Shadow usw. Das maildir ist irgendwo auf /var/spool/maildir... Alles ganz klassich konfiguriert.

Als weitere wichtige Datei wäre die /etc/cyrus.conf zu nennen ... ist dort der sieve Eintrag überhaupt aktiv ???

--> Ja klar. Sieve beschwert sich auch bei jeder eingehenden Mail, daß das script was da gefunden wird nicht aus bytecode ist, sondern noch Klartext.

Startest du bei einer Änderung in einer Config den entsprechenden Dienst auch neu ?

--> :schockiert: Ist das jetzt Dein Ernst? Aber klar hast ja Recht. Es kann ja schon mal sein, daß man vergisst einen Dienste-Restart zu machen. Aber im Grunde weiss ich, daß man bei Änderungen an Konfigurationsdateien den betreffenden Dienst neu starten muss. Wie gesagt, ich mache das jetzt seit über vier Jahren und nun habe ich *mal* ein Problem wo ich mit meinem Latain am Ende bin.

... von "extern" solltest du https nutzen ... einfach aus prinzip

--> Ok, da setze ich mich dann dran wenn ich diesen Sieve-Filter endlich eingerichtet habe, aus dem Urlaub wieder da bin, mein Haus und den Garten in Ordnung gebracht habe und die vielen 1000 anderen Dinge.... verstehste was ich meine? Vieleicht im nächsten Winter. Das mit meinem Server ist wirklich nur aus Spaß an der Freude. beruflich habe ich täglich mit Linux zu tun. Allerdings Hardwaretreiber und technische Anwendungen für embedded Systeme.

Ach ja "Squirrelmail" kann glaube ich auch einfache Sieve-Scripte erstellen...

--> Ja, ich finde aber das sollte der Server machen, weil ich ja sowohl mit Outlook (Windows Büchse) als auch mit squirrelmail auf die Mails zugreife.

IMHO geht es nicht darum das dein Server irgendwie interessant genug ist um ausgespäht oder angegiffen zu werden und die Wahrscheinlichkeit das jemand mit "men in the middle" dein Pass mitloggt ist eher gering .. aber es geht dabei wieder eher ums Prinzip ... das man niiiiemals sein Pass im Klartetxt übers Netz schickt !!! *fg*

--> Ich habe dieses Thema immer als Glaubensfrage gesehen. Auf der einen Seite gibt es die Leute die eben ihre Prinzipien haben und auch aus Prinzip nicht auf die Strasse spucken, weil man sowas eben nicht macht. Andere rotzen einfach trotzdem auf die Strasse, warum auch nicht... Ich sehe die Welt als Pragmatiker.

SCT

 

[ThomasF]

Hehe,

so also bevor ich jetzt noch schnell in einer VM einen Mailserver aufsetzte um das ganze nachvollziehen zu können stelle ich noch eine Vermutung an ...

Also dein User ist ein Systemuser ... und obwohl du bislang deine Config nicht gepostet hattest vermute ich das du den saslauthd benutzt und dieser wiederum pam oder shadow ...

Wenn man nun Tante Google nach "sieve saslauthd" durchsucht findet man viele Treffer, so wie folgenden aus 2004 : http://lists.suse.com/archive/suse-imap-e/2004-Oct/0004.html

Die Antwort liefert das was ich die ganze Zeit schon sage : sasl_mech_list: plain login

Aber auch Treffer wie der folgende liefern Hinweise worauf man schauen könnte : http://www.postfix-howto.de/konfiguration/cyrus.htm

In der Tat kann ich nicht sagen wo zZ bei SuSE der saslauthd konfiguriert wird ... unter debian und ubuntu ist es /etc/default/saslauthd ... in dem genannten Post muss man die /etc/init.d/cyrus editieren.
Jedenfalls könnte es sein das du evt. shadow in pam ändern musst.

Kontrolieren kannst du das nach den restart des cyrus mit : ps aux |grep sasl

Sollte dann in etwa so aussehen :

root      5943  0.0  0.1   8340  2080 ?        Ss    2009   0:20 /usr/sbin/saslauthd -a pam -c -m /var/run/saslauthd -n 5

So long

ThomasF

 

[SCT]

Guten Abend ThomasF,

hier sind nun die gewünschten Dateien:

Hier die /etc/imapd.conf

configdirectory: /var/lib/imap
partition-default: /var/spool/imap
sievedir: /var/lib/sieve
admins: cyrus root
allowanonymouslogin: no
autocreatequota: 1000000
reject8bit: no
quotawarn: 90
timeout: 480
poptimeout: 10
dracinterval: 0
drachost: localhost
#sasl_pwcheck_method: saslauthd
sasl_pwcheck_method: auxprop
#sasl_mech_list: plain login
lmtp_overquota_perm_failure: no
lmtp_downcase_rcpt: yes
#
# if you want TLS, you have to generate certificates and keys
#
#tls_cert_file: /usr/ssl/certs/cert.pem
#tls_key_file: /usr/ssl/certs/skey.pem
#tls_ca_file: /usr/ssl/CA/CAcert.pem
#tls_ca_path: /usr/ssl/CA

Ich habe das oben mal ohne, mal mit der mech list probiert. Es funktioniert bei beiden Versionen nicht.

Hier die saslauthd config Datei. Sie ist bei SUSE in /etc/sysconfig

## Path:           System/Security/SASL
## Type:           list(getpwent,kerberos5,pam,rimap,shadow,ldap)
## Default:        pam
## ServiceRestart: saslauthd
#
# Authentication mechanism to use by saslauthd.
# See man 8 saslauthd for available mechanisms.
#
SASLAUTHD_AUTHMECH=pam

Also auch völlig unspektakulär, denke ich.

Brauchst noch ne Datei?

Ach so, wenn ich ein ps auf saslauthd mache dann kommen vier laufende saslauthd die alle gleichzeitig gestartet wurden. Alle mit dem Parameter -a pam.

Also ich gebe das dann erstmal auf. Geht ja auch nicht um Leben oder Tod. Samstag fahre ich in Urlaub bis Ostern und kann dann auch nichts posten.

Aber trotzdem vielen Dank für die Hilfe, die hier immer wieder geboten wird, besonders von Dir ThomasF.

SCT

 

[ThomasF]

Ok,

nur zur Vollständigkeit

Setzte bitte folgende Parameter in der /etc/imapd.conf

sasl_pwcheck_method: saslauthd
sasl_mech_list: PLAIN LOGIN
sasl_minimum_layer: 0
allowplaintext: yes

sasl_pwcheck_method: auxprop natürlich auskommentierten ...

Und sowohl den postfix , cyrus2.2 als auch den saslauthd neustarten !!!

Und dann probiere erstens dich am imap als User anzumelden und dann mit sieveshell ... und poste bitte noch mal die Logs

Thx

ThomasF