Kommentare zu: Dovecot SASL http://www.dovecot-book.com/mailingliste/dovecot-sasl/ Tue, 31 Dec 2013 16:34:33 +0000 hourly 1 https://wordpress.org/?v=4.5.7 Von: Ferdinand Gruber http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-486 Fri, 20 Dec 2013 22:27:54 +0000 http://www.dovecot-buch.de/?p=3813#comment-486 SMTP funktioniert jetzt – mit Port 25 und STARTTLS (Thunderbird als Client)
Habe folgende Änderung am Server gemacht:

In der/etc/postfix/master.cf folgende Zeile aktiviert:

tlsmgr unix – – n 1000? 1 tlsmgr

Habe aber auch bei postfix noch Änderungen gemacht, daher hier noch
einmal postconf -n

alias_maps = hash:/etc/aliases
biff = no
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter =
daemon_directory = /usr/lib/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
defer_transports =
delay_warning_time = 1h
disable_dns_lookups = no
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix-doc/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 0
message_strip_characters =
mydestination = $myhostname, localhost.$mydomain
mydomain = xxxxxx.xx
myhostname = xxxxx.$mydomain
mynetworks = 127.0.0.0/8
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix-doc/README_FILES
relay_domains = $mydestination, hash:/etc/postfix/relay
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix-doc/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_client_restrictions =
smtpd_enforce_tls = no
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
smtpd_tls_key_file = /etc/postfix/ssl/newkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_8bitmime = no
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virtual

Vielen Dank allen Beteiligten für die Geduld.
Ferdinand

]]>
Von: Ralf Petry http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-485 Fri, 20 Dec 2013 08:31:01 +0000 http://www.dovecot-buch.de/?p=3813#comment-485 ähm,
müsste das nicht Port 587 sein?

Am 19.12.13 17:48, schrieb Ferdinand Gruber:
> Wie gesagt, ich verwende in Thunderbird die Einstellungen
>
> Port: 25
> Verbindungssicherheit: SSL/TLS
> Authentifizierungsmethode: Passwort/normal

]]>
Von: Werner Flamme http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-483 Fri, 20 Dec 2013 07:26:42 +0000 http://www.dovecot-buch.de/?p=3813#comment-483 Ferdinand Gruber [19.12.2013 17:38]:
>
> smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
> smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem
>
> CAfile finde ich keines. Braucht man das?

Nein. Du kannst bei openSUSE und SLES auch

smtpd_tls_CApath = /etc/ssl/certs

und bei Bedarf auch

smtp_tls_CApath = /etc/ssl/certs

angeben.

HDH, Werner

]]>
Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-480 Fri, 20 Dec 2013 06:08:48 +0000 http://www.dovecot-buch.de/?p=3813#comment-480 Am 20.12.2013 00:28, schrieb Ferdinand Gruber:
> Ich habe jetzt genau nach der Anleitung im Buch die drei Dateien
> erstellt und nach /etc/postfix/ssl/ kopiert:
>
> /etc/postfix/ssl # dir
> -rw-r–r– 1 root root 3247 19. Dez 23:40 newcert.pem
> -rw——- 1 root root 916 19. Dez 23:40 newkey.pem
> -rw-r–r– 1 root root 700 19. Dez 23:40 newreq.pem

newreq ist ein New-REQUEST, ein „Request for Signing“. Das ist der
nicht-unterschriebene Schlüssel.

Also:

newreq + CA-Unterschrift = newcert

Du brauchst hier newreq nicht mehr, denn Dein Zertifikat ist ja
(mittlerweile unterschrieben) in newcert.

CAfile bleibt leer — und das ist im Buch auch nicht anders gezeigt.

> Connected to localhost.
> Escape character is ‚^]‘.
> 220 xx.xxxxxxx.xx ESMTP Postfix
> EHLO localhost
> 250-xx.xxxxxxx.xx
> 250-PIPELINING
> 250-SIZE
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-AUTH PLAIN
> 250-AUTH=PLAIN
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
>
> Sollte eigentlich passen, denke ich.

Sinnvoll ist es, bei diesem Test hier noch einmal STARTTLS einzugeben.
Dann sieht man, ob er hier noch einen Fehler wirft oder bereit ist, TLS
zu sprechen.

> In: STARTTLS
> Out: 454 4.7.0 TLS not available due to local problem

Eben. Es geht also nicht. Und im Logfile von Postfix steht dann auch,
was da los ist. => LESEN.

(Aber vermutlich kann es schon wegen CAfile nicht gehen, siehe oben)

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>
Von: Ferdinand Gruber http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-479 Thu, 19 Dec 2013 22:28:10 +0000 http://www.dovecot-buch.de/?p=3813#comment-479 Am 19.12.2013 15:57, schrieb Ferdinand Gruber:
> Am 19.12.2013 12:55, schrieb Peer Heinlein:
>> Postfixbuch, Kapitel 20.2 ab Seite 592.
Ich habe jetzt genau nach der Anleitung im Buch die drei Dateien
erstellt und nach /etc/postfix/ssl/ kopiert:

/etc/postfix/ssl # dir
-rw-r–r– 1 root root 3247 19. Dez 23:40 newcert.pem
-rw——- 1 root root 916 19. Dez 23:40 newkey.pem
-rw-r–r– 1 root root 700 19. Dez 23:40 newreq.pem

Möglicherweise habe ich aber die Verweise nicht richtig
in/etc/postfix/main.cf eingetragen:

smtpd_tls_key_file = /etc/postfix/ssl/newkey.pem
smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
smtpd_tls_CAfile = /etc/postfix/ssl/newreq.pem

Das bekomme ich mit telnet:

telnet localhost 25
Trying 127.0.0.1…
Connected to localhost.
Escape character is ‚^]‘.
220 xx.xxxxxxx.xx ESMTP Postfix
EHLO localhost
250-xx.xxxxxxx.xx
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Sollte eigentlich passen, denke ich.

Übrigens: Wenn ich in Thunderbird die Option STARTTLS nehme, dann wird
zwar auch kein Mail verschickt, ich bekomme aber vom Server eines retour
mit folgendem Inhalt:

Transcript of session follows.

Out: 220xx.xxxxxxx.xx ESMTP Postfix
In: EHLO [10.0.0.140]
Out: 250-xx.xxxxxxx.xx
Out: 250-PIPELINING
Out: 250-SIZE
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN
Out: 250-AUTH=PLAIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: STARTTLS
Out: 454 4.7.0 TLS not available due to local problem
In: QUIT
Out: 221 2.0.0 Bye

For other details, see the local mail logfile

Danke für weitere Hilfe.
Ferdinand

]]>
Von: Ferdinand Gruber http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-484 Thu, 19 Dec 2013 15:48:40 +0000 http://www.dovecot-buch.de/?p=3813#comment-484 Am 19.12.2013 17:38, schrieb Ferdinand Gruber:
> Es funktioniert jedenfalls noch nicht.
> Die letzte Meldung im Logfile /var/log/mail nach einem Sendeversuch
> mit Thunderbird als SMTP Client ist:
>
> Dec 19 17:24:06 xxxxxxx postfix/smtpd[29223]: connect from
> 212-197-137-81.adsl.highway.telekom.at[212.197.137.81]
>
> Nach einer Weile kommt dann:
>
> Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: lost connection after
> UNKNOWN from 212-197-137-81.adsl.highway.telekom.at[212.197.137.81]
> Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: disconnect from
> 212-197-137-81.adsl.highway.telekom.at[212.197.137.81]
>
Könnte es vielleicht an der Firewall liegen?:

Folgende Ports sind auf diesem Server offen:

22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
443/tcp open https
993/tcp open imaps
995/tcp open pop3s

Wie gesagt, ich verwende in Thunderbird die Einstellungen

Port: 25
Verbindungssicherheit: SSL/TLS
Authentifizierungsmethode: Passwort/normal

Gruß
Ferdinand


Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

]]>
Von: Ferdinand Gruber http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-482 Thu, 19 Dec 2013 15:38:50 +0000 http://www.dovecot-buch.de/?p=3813#comment-482 Am 19.12.2013 16:28, schrieb Peer Heinlein:
> Warum kann man nicht jene von Dovecot verwenden. Ich habe ja für Dovecot
> ein Zertifikat erzeugt.
> Kannst Du. Das ist 1:1 das gleiche.
Von Dovecot finde ich folgende zwei Dateien:

/etc/ssl/certs/dovecot.pem
/etc/ssl/private/dovecot.pem

Ich habe nun die alten Pfade auskommentiert und die neuen
in/etc/postfix/main.cf eingetragen:

# smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
# smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
# smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem

smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem

CAfile finde ich keines. Braucht man das?

Es funktioniert jedenfalls noch nicht.
Die letzte Meldung im Logfile /var/log/mail nach einem Sendeversuch mit
Thunderbird als SMTP Client ist:

Dec 19 17:24:06 xxxxxxx postfix/smtpd[29223]: connect from
212-197-137-81.adsl.highway.telekom.at[212.197.137.81]

Nach einer Weile kommt dann:

Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: lost connection after
UNKNOWN from 212-197-137-81.adsl.highway.telekom.at[212.197.137.81]
Dec 19 17:25:21 xxxxxxx postfix/smtpd[29223]: disconnect from
212-197-137-81.adsl.highway.telekom.at[212.197.137.81]

Danke im Voraus für weitere Hilfe
Ferdinand


Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

]]>
Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-481 Thu, 19 Dec 2013 14:28:20 +0000 http://www.dovecot-buch.de/?p=3813#comment-481 Am 19.12.2013 15:57, schrieb Ferdinand Gruber:

> Der im Buch angegebene Pfad /usr/lib/ssl/misc existiert bei mir (Suse
> 13.1) nicht.

/usr/share/ssl/misc

> Warum kann man nicht jene von Dovecot verwenden. Ich habe ja für Dovecot
> ein Zertifikat erzeugt.

Kannst Du. Das ist 1:1 das gleiche.

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>
Von: Ferdinand Gruber http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-478 Thu, 19 Dec 2013 13:57:57 +0000 http://www.dovecot-buch.de/?p=3813#comment-478 Am 19.12.2013 12:55, schrieb Peer Heinlein:
> Am 18.12.2013 23:48, schrieb Ferdinand Gruber:
>
>> Die Anleitung, nach der ich im Prinzip vorgegangen bin, ist hier zu
>> finden und ist wahrscheinlich etwas veraltet:
> Postfixbuch, Kapitel 20.2 ab Seite 592.
>
> Peer

Ich sehe im Logfile, dass mein Problem am Zertifikat liegen muss:

warning: cannot get RSA certificate from file
/etc/postfix/ssl/smtpd.crt: disabling TLS support
warning: TLS library problem: 27879:error:02001002:system
library:fopen:No such file or
directory:bss_file.c:404:fopen(‚/etc/postfix/ssl/smtpd.crt‘,’re‘):
warning: TLS library problem: 27879:error:20074002:BIO
routines:FILE_CTRL:system lib:bss_file.c:406:
warning: TLS library problem: 27879:error:140DC002:SSL
routines:SSL_CTX_use_certificate_chain_file:system lib:ssl_rsa.c:722:

In der Anleitung im Postfixbuch scheitere ich schon bei der Erstellung
des Zertifikats.
Der im Buch angegebene Pfad /usr/lib/ssl/misc existiert bei mir (Suse
13.1) nicht.

Wie kann ich die notwendigen Zertifikatdateien für postfix unter Suse
13.1 erstellen?
Warum kann man nicht jene von Dovecot verwenden. Ich habe ja für Dovecot
ein Zertifikat erzeugt.
Der Mailabruf über IMAP funktioniert ja über SSL/TLS.

Fragen über Fragen … :-[

Danke für jeden Tipp
Ferdinand


Ferdinand Gruber
f.gruber@eduhi.at
00 43 7249 48737
00 43 650 542 88 33
Grieskirchner Straße 22
4701 Bad Schallerbach
LPIC-1 zertifiziert

]]>
Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-sasl/comment-page-1/#comment-477 Thu, 19 Dec 2013 10:55:44 +0000 http://www.dovecot-buch.de/?p=3813#comment-477 Am 18.12.2013 23:48, schrieb Ferdinand Gruber:

> Die Anleitung, nach der ich im Prinzip vorgegangen bin, ist hier zu
> finden und ist wahrscheinlich etwas veraltet:

Postfixbuch, Kapitel 20.2 ab Seite 592.

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>