Jul 12, 2021

2083

Postfix sasl linux ubuntu funktioniert aber technische bzw. tls Fehler

Hallo Zusammen,

auf mein ubuntu server (18.04 lts, headless) läuft ein Dokumentmanagementserver DMS, der sich über dem smtp-server postfix (port 25) mit cyrus sasl authentifiziert.

Auf mein Applikation Server lege ich die Daten für den smtp-account ( username, pw, localhost:25 .... ), der verbindet sich mit postfix und ich kann über den DMS Email senden, no problem.

Jetzt, der technische Fehler, wo ich den Durchblick verlieren:

unter

/etc/postfix/main.cf

habe ich den flag

smtpd_tls_auth_only = yes

eingesetzt, aber mit dem DMS kann ich auch ohne TLS Option zum lokalen smtp-server verbinden, was eigentlich verwehrt werden sollte.

was mich noch verblüfft, über cli authentifizierung klappt gar nicht, obwohl der DMS ohne TLS Option verbinden konnte.

testsaslauthd -u noreply -p dasistsuper
connect() : No such file or directory

telnet prüfen zeigt 250-Auth ist nicht dabei.

telnet localhost:25 
ehlo localhost 
250-meinserver.com
250-PIPELINING
250-SIZE 32428800
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8

postfix version 3.3, läuft als chroot
cyrus sasl, läuft als root im Ordner

-c -m /var/spool/postfix/var/run/saslauthd

und postfix gehört zu Gruppe sasl.
TLS Zertifikat habe ich über letsencrypt gemacht.

jetzt zu Config:

saslauthd

/etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
log_level: 9

/etc/default/saslauthd/
START=yes

PWDIR="/var/spool/postfix/var/run/saslauthd"  
PARAMS="-m ${PWDIR}"  
PIDFILE="${PWDIR}/saslauthd.pid"  
NAME="saslauthd"  

MECHANISMS="shadow"  
MECH_OPTIONS=""  
THREADS=5
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"  

/etc/postfix/default/main.cf
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job. 
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings 
#delay_warning_time = 4h

readme_directory = no

# See http:{{comment_single_line_double_slash:0}}
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file = /etc/letsencrypt/live/meinserver/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/meinserver/privkey.pem
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname =meinserver.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, localhost.$mydomain, $mydomain
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_tls_auth_only = yes
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_sasl_path = smtpd
#smtpd_sasl_type = cyrus
# email anhang auf ca. 30 MB limitieren
message_size_limit = 32428800

/etc/postfix/master.cf

# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or 
# on-line: http:{{comment_single_line_double_slash:0}}
#
# Do not forget to execute "postfix reload" after editing this file.  
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       y      -       -       smtpd
#smtp      inet  n       -       y       -       1       postscreen
#smtpd     pass  -       -       y       -       -       smtpd
#dnsblog   unix  -       -       y       -       0       dnsblog
#tlsproxy  unix  -       -       y       -       0       tlsproxy
#submission inet n       -       y       -       -       smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
-o smtpd_tls_auth_only=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING

Vielen Dank und Viele Grüße

decehakan

Please also mark the comments that contributed to the solution of the article

Content-Key: 981657763

Url: https://administrator.de/contentid/981657763

Printed on: April 26, 2024 at 16:04 o'clock

11 Comments

Latest comment

Moin,
was mir auf die Schnelle aufgefallen ist, SMTPd (SMTP over TLS server side) != SMTP (SMTP over TLS client side). Somit dürfte der Parameter smtpd_tls_auth_only nur für Ersteres gelten.

was mich noch verblüfft, über cli authentifizierung klappt gar nicht, obwohl der DMS ohne TLS Option verbinden konnte.

Was steht zu dem Zeitpunkt in Logfile von Postfix?

smtpd_tls_security_level = may

Setze es zum Testen auf den Wert encrypt. Somit müsste TLS erforderlich sein.

Gruß,
Dani

Zitat von @decehakan:

unter

/etc/postfix/main.cf

habe ich den flag

smtpd_tls_auth_only = yes

eingesetzt, aber mit dem DMS kann ich auch ohne TLS Option zum lokalen smtp-server verbinden, was eigentlich verwehrt werden sollte.

smtpd_tls_security_level = may

Dies dürfte der Grund sein, da die Dokumentation hierzu sagt:

With this, the Postfix SMTP server announces STARTTLS support to remote SMTP clients, but does not require that clients use TLS encryption.

smtpd_tls_security_level = encrypt gesetzt, kein Änderung des Zustand.

es funktioniert ja die authentifizierung ,keine logs bzw. postfix saslauth ...

warum das folgende nicht funtkioniert, habe ich noch nich herausgefunden .. ?

testsaslauthd -u noreply -p dasistsuper
connect() : No such file or directory

vielleicht irgendwo rechteprobleme ??

Zitat von @decehakan:

smtpd_tls_cert_file = /etc/letsencrypt/live/meinserver/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/meinserver/privkey.pem

Hier fallen noch die falschen Pfadangaben auf.

Also der tls ist gültig, hab es über openssl geprüft
Verification: ok und ebenso über ein mail tester: der ebenfalls bestätigt, das alles in Ordnung ist Zertifikat ptr record. Hab da auch ein Score von 8,6 von 10 Punktrn, dass meine Mails vom smtp server nicht als spam deklariert wird.

also das problem

testsaslauthd -u noreply -p dasistsuper
connect() : No such file or directory

habe ich jetzt gelöst, mit symlink auf /var/run/saslauth

und jetzt mein tls problem steht noch, wie kann ich Authentifizierung nur auf Verbindungsicherheit-Level TLS beschränken.

@decehakan:

smtpd_tls_security_level = encrypt gesetzt, kein Änderung des Zustand.

Danach auch den Service von Postfix neu gestartet (postfix check && postfix reload)?

Gruß,
Dani

Ja den service neugestartet und nix gebracht.

Moin,
ergänze den nachfolgenden Parameter in /etc/main.cf:

smtp_enforce_tls = yes

Grüße,
Dani

Zitat von @Dani:

ergänze den nachfolgenden Parameter in /etc/main.cf:

smtp_enforce_tls = yes

smtp_* sind doch für den ausgehenden Datenverkehr gedacht.
Des weiteren ist smtp_enforce_tls seit 2.3 deprecated und durch smtp_tls_security_level ersetzt worden.

Auch das setzen des flag smtp_tls_security_level hat zu keine Änderung geführt, kann nach wie vor ohne tls authentifizieren.

German Question Linux