Postfix+Dovecot -> PW verschlüsselt senden

Hutchef

hat hier 2. Wohnsitz.

Beiträge: 252

Ubuntu: 11.04

Kernel: aus der Paketverwaltung

Architektur: 64-bit

1

Samstag, 20. September 2008, 12:40

Hallo liebe Freunde

Ich benötige einmal mehr etwas Hilfe.
Meinen Mail-Server läuft ohne Probleme. Sowohl interner LAN Versand, als auch nach außen über Yahoo für meinen Webmailer. Das einzige Problem, wo ich nicht so recht dahinter steige, ist das mit TLS und SASL. Da Yahoo den Mail verkehr TLS anbietet (smtp.mail.yahoo.com) und es mit Evolution auch klappt, wollte ich, speziell das Passwort, natürlich auch verschlüsselt senden.
Nun die Frage: Woran sehe ich das? Einen Sniffer auf dem Mail-Server habe ich nicht und ich bin zu blöde, Wireshark auf entfernten Rechnern sniffen zu lassen.

Hier mal der SASL Auszug aus meiner main.cf

Quellcode

#SASL Konfiguration

# Damit wird SASL für den SMTP Daemon aktiviert
smtp_sasl_auth_enable = yes

# Postfix verwendet dovecot SASL zur Authentifizierung (POP vor SMTP!)
smtpd_sasl_type = dovecot

# Dieser Pfad relativ zum $queue_directory gibt den Socket an, bei dem der dovecot SASL Verbindungen akzeptiert
#smtpd_sasl_path = private/auth

# noplaintext weglassen, wenn Passwörter im Klartext übertragen werden müssen
#smtpd_sasl_security_options = noanonymous
#smtp_sasl_security_options = noplaintext noanonymous
smtp_sasl_security_options =

# Hier keine Domain angeben, ansonsten muss der Benutzer beim Login den Domainnamen an den Benutzernamen anhängen
smtpd_sasl_local_domain =

# Diese Zeile dient dazu, um Clients, welche sich nicht an den RFC 2554 halten,
# trotzdem zu authentifizieren (z. B. Outlook Express 4, Exchange 5.0)
broken_sasl_auth_clients = yes

# Logininformation zum Provider
smtp_sasl_password_maps = hash:/etc/postfix/sasl_password

# erweiterte Begruessung
smtp_always_send_ehlo = yes

smtpd_sasl_authenticated_header = yes

Das ist die Konfig, wie sie funktioniert. Wenn ich aber

	Quellcode
1	smtp_sasl_security_options =

ändere, erfolgt im Logfile folgende Aussage:

Quellcode

1
2
3

Sep 20 11:24:37 mail postfix/local[12457]: CF354280FDAF: to=<camaris@mail.hutchef.intern>, orig_to=<webmaster@mail.hutchef.intern>, relay=local, delay=0.24, delays=0.08/0.15/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Sep 20 11:24:38 mail postfix/smtp[12456]: warning: SASL authentication failure: No worthy mechs found
Sep 20 11:24:38 mail postfix/smtp[12456]: CF354280FDAF: to=<hutchef-san@shiru.de>, relay=smtp.mail.yahoo.com[209.191.106.160]:25, delay=1.3, delays=0.08/0.14/1.1/0, dsn=4.7.0, status=deferred (SASL authentication failed; cannot authenticate to server smtp.mail.yahoo.com[209.191.106.160]: no mechanism available)

saslauthd läuft auch und hat folgende Veränderungen erfahren in der /etc/default/saslauthd:

	Quellcode
1 2	START=yes MECHANISMS="shadow"

/etc/postfix/sasl/smtpd.conf

	Quellcode
1 2 3	pwcheck_method: saslauthd mech_list: PLAIN LOGIN saslauthd_path: /var/run/saslauthd/mux

in der master.cf habe ich noch

Quellcode

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#           	(yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp  	inet  n   	-   	n   	-   	-   	smtpd

geändert.

Bei Ausführen von saslfinger -s erscheint glaube ich auch keine Fehlermeldung.

Über einen Tipp freue ich mich sehr

mfg Hutchef

Es ist besser für das, was man ist, gehasst,
als für das, was man nicht ist, geliebt zu werden.

Easyy-S

Boardgrafiker

Beiträge: 2 986

Ubuntu: 12.04

Kernel: generic

Desktop: GNOME Shell

Architektur: 64-bit

Danksagungen: 3 / 1

2

Sonntag, 21. September 2008, 10:49

Nur für mein Verständnis:

Möchtest du die Verbindung zwischen den mailservern oder zwischen dem client und dem mailserver sichern ?
Postfix -> Yahoo
oder
PC -> Postfix

Ich gehe mal davon aus, daß du zweiteres meinst.

Bei deiner Konfiguration ist zu beachten, daß es einmal 'smtp' und einmal 'smtpd' gibt.
'smtpd' ist dafür zuständig, wenn du etwas vom client zum Server einliefern willst.
'smtp' nimmt Verbindung von deinem Server zu anderen Servern auf.

Die entsprechende Konfiguration könnte dann z.B. so aussehen:

Quellcode

#
# ssl/tls
#
# aktiviert STARTTLS wenn postfix server ist
smtpd_use_tls = yes
# loggt (nicht) in den received-zeilen
smtpd_tls_received_header = no
# pfad zum privaten schluessel
smtpd_tls_key_file = /etc/postfix/key.pem
#
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtpd_tls_auth_only = no

Kleiner Tipp am Rande.
Solltest du dich wirklich für Postfix interessieren kann ich dir das Buch 'Das Postfix-Buch' allerwärmstens empfehlen.
Das Buch ist meine Bibel. Wenn ich mal was nachlesen muss, nehme ich dieses immer zu rate.

Easyy-S

Mein pubkey

Dein eigener UbuntuFreunde-Avatar: hier - Dein UbuntuFreunde-Banner: hier

Hutchef

hat hier 2. Wohnsitz.

Beiträge: 252

Ubuntu: 11.04

Kernel: aus der Paketverwaltung

Architektur: 64-bit

3

Sonntag, 21. September 2008, 11:03

Hallo

ich will die Verbindung zwischen Postfix und Yahoo sichern.

Aber derzeit habe ich ein "kleines" anderes Problem. Seit heute kommt beim Aufruf meiner Seite folgende Google-Meldung im FF.

Als attackierend gemeldete Website!
Die Website auf hutchef.mine.nu wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Ich sollte mich erstmal darum kümmern und habe keinen wirklichen Plan. -_-
Die Sicherheitseinstellung raus nehmen ist nicht wirklich die Lösung des Problems.

mfg Hutchef

Es ist besser für das, was man ist, gehasst,
als für das, was man nicht ist, geliebt zu werden.

Easyy-S

Boardgrafiker

Beiträge: 2 986

Ubuntu: 12.04

Kernel: generic

Desktop: GNOME Shell

Architektur: 64-bit

Danksagungen: 3 / 1

4

Sonntag, 21. September 2008, 11:14

Weisst du was ein 'open relay' ist ?
Wenn ja, dann stell das ab.
Wenn nein, dann solltest du dich auf jeden Fall erst einmal mit der ganzen Materie vertraut machen, bevor du einen mailserver online stellst !

Ich gehe jede Wette ein, daß du ein open relay betreibst und deshalb gesperrt wurdest.

Was die Verbindung zwischen Postfix und Yahoo betrifft:
Warum absichern ? Da wird kein Passwort übertragen. Oder reden wir hier vom fetchen von mails ?!

Easyy-S

Mein pubkey

Dein eigener UbuntuFreunde-Avatar: hier - Dein UbuntuFreunde-Banner: hier

Hutchef

hat hier 2. Wohnsitz.

Beiträge: 252

Ubuntu: 11.04

Kernel: aus der Paketverwaltung

Architektur: 64-bit

5

Sonntag, 21. September 2008, 11:32

Hallo

ich weiß was das ist und sollte mit Einträgen in der main.cf verhindert sein.

	Quellcode
1 2	mydestination = mail.$mydomain, localhost.$mydomain, localhost, thor.$mydomain, checker.$mydomain, whismaster.$mydomain relay_domains = $mydestination

mail = Mail-Server und er selber -> localhost
thor = mein Haupt PC der derzeit aus ist
checker = HOST System für VBox und Entwicklungsserver
whismaster = Webserver

/var/log/mail.log zeigt als letztes folgendes

Quellcode

Sep 20 12:52:11 mail postfix/smtpd[13068]: connect from whismaster.hutchef.intern[192.168.150.51]
Sep 20 12:57:38 mail postfix/smtpd[13068]: timeout after CONNECT from whismaster.hutchef.intern[192.168.150.51]
Sep 20 12:57:38 mail postfix/smtpd[13068]: disconnect from whismaster.hutchef.intern[192.168.150.51]
Sep 20 13:01:50 mail postfix/smtpd[13093]: connect from whismaster.hutchef.intern[192.168.150.51]
Sep 20 13:02:44 mail postfix/smtpd[13093]: lost connection after CONNECT from whismaster.hutchef.intern[192.168.150.51]
Sep 20 13:02:44 mail postfix/smtpd[13093]: disconnect from whismaster.hutchef.intern[192.168.150.51]
Sep 21 06:37:40 mail postfix/smtpd[13179]: connect from whismaster.hutchef.intern[192.168.150.51]
Sep 21 06:37:41 mail postfix/smtpd[13179]: 27A21280FDAF: client=whismaster.hutchef.intern[192.168.150.51]
Sep 21 06:37:41 mail postfix/cleanup[13182]: 27A21280FDAF: message-id=<E1KhGhY-0003OV-Gx@whismaster.hutchef.intern>
Sep 21 06:37:41 mail postfix/qmgr[13062]: 27A21280FDAF: from=<hutchef-san@shiru.de>, size=798, nrcpt=1 (queue active)
Sep 21 06:37:41 mail postfix/smtpd[13179]: disconnect from whismaster.hutchef.intern[192.168.150.51]
Sep 21 06:37:44 mail postfix/smtp[13183]: 27A21280FDAF: to=<camaris@locahost>, relay=smtp.mail.yahoo.com[69.147.95.94]:25, delay=3.3, delays=0.09/0.09/2.3/0$
Sep 21 06:37:44 mail postfix/qmgr[13062]: 27A21280FDAF: removed

Ich habe Postfix erstmal gestoppt und auch den Webserver. Ich muss nun erstmal weg. Vielleicht, wenn du Zeit und Laune hast, können wir morgen Abend im Jabber oder ICQ weiter drüber reden.

mfg Hutchef

Es ist besser für das, was man ist, gehasst,
als für das, was man nicht ist, geliebt zu werden.

Easyy-S

Boardgrafiker

Beiträge: 2 986

Ubuntu: 12.04

Kernel: generic

Desktop: GNOME Shell

Architektur: 64-bit

Danksagungen: 3 / 1

6

Sonntag, 21. September 2008, 11:39

Zitat von »Hutchef«

ich weiß was das ist und sollte mit Einträgen in der main.cf verhindert sein.

Hm. Das hier macht mich allerdings ein bischen nachdenklich:

Zitat von »Hutchef«

#smtpd_sasl_security_options = noanonymous

###

Zitat von »Hutchef«

relay=smtp.mail.yahoo.com

Da sehe ich gerade etwas, was ich ausser acht gelassen habe. Meine vorherige Frage, warum du die Verbindung zwischen Postfix und Yahoo sichern willst, ist somit geklärt.
Ich ging davon aus, daß wir von einem 'echten' mailserver reden und nicht von einem heimischen PC's.
Das ändert die Lage etwas. Da es schon eine halbe Ewigkeit her ist, daß ich einen lokalen Mailserver betrieben habe, ist mir die korrekte Konfiguration nicht mehr ganz geläufig.

Easyy-S

Mein pubkey

Dein eigener UbuntuFreunde-Avatar: hier - Dein UbuntuFreunde-Banner: hier

Hutchef

hat hier 2. Wohnsitz.

Beiträge: 252

Ubuntu: 11.04

Kernel: aus der Paketverwaltung

Architektur: 64-bit

7

Sonntag, 21. September 2008, 17:40

Abend

Ich glaube meine Beschreibung war wieder mal etwas ungenau, sorry. Also der Mail-Server soll LAN intern (Logfiles mailen und sowas). Lediglich bei Nutzung des Web Formulars auf meiner Page durch einen Gast, soll eine Mail über Yahoo (wegen TLS) an meine hutchef-Addy gesendet werden. Später noch, wenn ein Gästebucheintrag vorgenommen wurde.

	Quellcode
1	smtpd_sasl_security_options = noanonymous

Da kommt die oben genannte Fehlermeldung.

mfg Hutchef

Es ist besser für das, was man ist, gehasst,
als für das, was man nicht ist, geliebt zu werden.

Easyy-S

Boardgrafiker

Beiträge: 2 986

Ubuntu: 12.04

Kernel: generic

Desktop: GNOME Shell

Architektur: 64-bit

Danksagungen: 3 / 1

8

Montag, 22. September 2008, 07:31

Oben hast du eine Fehlermeldung erhalten, weil du keinen Mechanismus definiert hast. Bei der Konfiguration fehtl das 'noanonymous'.

Easyy-S

Mein pubkey

Dein eigener UbuntuFreunde-Avatar: hier - Dein UbuntuFreunde-Banner: hier

Hutchef

hat hier 2. Wohnsitz.

Beiträge: 252

Ubuntu: 11.04

Kernel: aus der Paketverwaltung

Architektur: 64-bit

9

Dienstag, 23. September 2008, 20:28

Abend

das ist ja eben das putzige. Ich habe nun einige HOW-TO's und Foren durchforstet und alle sagen, das es bei ihnen super nach Anleitung xyz funktioniert hat. Meine Konfig habe ich mehrmals angepasst und getestet.
Ich habe nun

	Quellcode
1	smtp_sasl_security_options = noplaintext noanonymous

gesetzt und einen anderen Provider genommen. Dieser unterstützt zwar kein TLS beim Senden/Empfangen der Mails, aber wenigstens gehen die security_optionen.

Mit smtp.mail.yahoo.com geht es nur, wenn

	Quellcode
1	smtp_sasl_security_options =

ist... und das wird nirgends empfohlen. Die Fehlermeldung ist die aus dem ersten Post mit dem Mechanismus.

mfg Hutchef

Es ist besser für das, was man ist, gehasst,
als für das, was man nicht ist, geliebt zu werden.