Printable View
V tom gentoo som nastavil:
/etc/conf.d/saslauthd:
/etc/sasl2/smtpd.conf:Kód:SASLAUTHD_OPTS="${SASLAUTH_MECH} -a pam"
Ked budes mat TLS, tak nastav v Postfixe, aby sa login nedal robit bez TLS:Kód:pwcheck_method: saslauthd
mech_list: plain login
Kód:smtpd_tls_auth_only = yes
to by me zajimalo, s autorizaci mam problem. SASL2 mam nainstalovane, nastavene, demona spustim, ale nikde nic. Postfix je na to nastaven, TLS umi, ale bez funkcni autorizace si muzu hvizdat kulky. konkretne by mne zajimalo, co vse je potreba pro nastaveni samotneho SASL2, sasldb2 jsem mel. HOWTO na to jsem nasel dost, ale proste ...ps aux ani -d sasl nikde v provozu nenaslo...Citace:
Původně odeslal Marty
btw Marty (Cyrus SASL):
Rainbow: ja myslim ze v logu je, pro koho ten mail je urceny, i kdyz je odmitnut v sender. ale jistotu ted nemam, mam oci tak na spanek, mrknu zitra - potvrzuju, mam to v logu.Kód:pam: this tells SASL to integrate with your system's PAM libraries and to authenticate against the database specified by pam. This can be used with plaintext protocols such as PLAIN and LOGIN, and should allow you to authenticate against other services such as LDAP and RADIUS. On most systems, pam will be configured to authenticate logins against the system passwd file. Unfortunately, the only way I could make pam authentication work was if the /etc/shadow file was mode 644, which is definately not a good idea. This is only useful if you have pam authenticate against something like LDAP. If you want to authenticate local users, you should use pwcheck or shadow.
shadow: this tells SASL to look for the username and password using the system /etc/shadow file. Again, /etc/shadow must be mode 644 in order for this authentication mechanism to work.
sasldb: this tells SASL to use the /var/lib/sasl/sasl.db database to check passwords and secrets. This method must be used to allow DIGEST-MD5 or CRAM-MD5 authentication. Users must be added to this database using the saslpasswd utility. You must add at least one user to the database for it to be properly initialized. This file must also be readable by the postfix user; Mandrakelinux installs the file with 0644 permissions. However, this seems to be ok as regular users cannot read information from the sasldb using the sasldblistusers program.
pwcheck: this is similar to the shadow method except you do not need to give the postfix user read access to the file (a very good idea). This method interfaces with the pwcheck daemon, which runs as root to read the /etc/shadow file instead of permitting postfix to do it. Using pwcheck is very simple, and if you want to authenticate against local users without using sasldb, you should use pwcheck. It uses the /usr/sbin/pwcheck daemon, which runs as root, to check against your /etc/shadow file. This means you don't have to change the permissions of /etc/shadow to something insecure like mode 644. pwcheck is a daemon that must be started as root and immediately launches itself into the background. Since there is no initscript for pwcheck, you can simple add to the end of your /etc/rc.d/rc.local file the following:
Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.
Jezevec: spravne, akorat netusim pod jakym jmenem to asi budu hledat...ja jen do budoucna ;)
Tiez som s tym mal nejake problemy - ze to nic rozumne nevypisalo. Skus spustit "saslauthd -d".Citace:
Původně odeslal Airwolf
Vraj to aj s Outlookom chodi, len nesmie byt nejaky prehistoricky. Plain-text autentifikacia bez TLS je horsia ako ziadna - hlavne ked na tom istom stroji mas ssh pristup, vtedy je to rovno diera ako hrom.Citace:
Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.
Rainbow:
já mám ten správný konf asi /etc/default/saslauthd - řádek:
MECHANISMS="pam shadow sasldb"
... takže podle toho by to mělo být oka, ale nebere to. Nějaké další tipy? :)
Airwolf:
/etc/default/saslauthd
START=yes
máš nastaveno?
:)
heh to START jsem nasel po prohledani initscriptu, uzuz jsem ho tam chtel napsat rucne, kdyz jsem si vzpomel na default :D takze SASL/TLS mi bezi :cool: akorat ted badam nad shadowem. mit tam cyrus, tak uz je to funkcni. ani chmod 644 na /etc/shadow nestaci...takzhe hledam hledam googluju...Citace:
Původně odeslal Marty
No ale nejak moc konstruktivnich rad nepadlo :) Az neco najdes, ozvi se.Citace:
Původně odeslal Airwolf
A predtim jeste zkus chmod 777 /etc/shadow :mweheh:
Tohle neni dobrej napad :D, musel by ti ten postfix bezet jako root.Citace:
Původně odeslal Marty
heh 777 jsem fakt nezkousel :DCitace:
Původně odeslal Marty
no konstruktivni tu byl ;) pwcheck daemon, ale zda funguje i mimo cyrus-sasl jeste nevim.
takze se dostavam k dalsimu problemu...Postfix umi EHLO, ale Thunderbird hlasi ze ne...jestli to blokuje SGS od Nortonu tak si muzu jit polibit zadek...primo ze serveru si telnetem EHLO overit muzu...
edit: tak ESMTP na SGS povolene, ale...Thun hlasi ze v EHLO neni STARTTLS...za*rany SGS
abych upresnil: pokud na Thunu nastavim natvrdo spojeni pomoci TLS, tak oznami viz radek vyse. Pokud nastavim spojeni "Pokud je dostupne TLS", tak vidim v logu, ze TLS bylo aktivovano a SASL autorizace PLAIN (ale nevim zda ok ci false), kazdopadne mail projde. :/ to je bordel...
No dobre, tak z jineho fajlu, ale aby se sprava uctu pro mailserver nemusela delat oddelene. Proste kdo bude mit ucet v systemu, bude mit pristup na SMTP.Citace:
Původně odeslal Jezevec
Resit kopii passwd s pravy pro postfix a ten synchronizovat?
Vsak saslauthd to riesi, nie? Nastav mu len pam, to by mohlo fungovat. Da sa to vyskusat programom testsaslauthd.
Citace:
Původně odeslal Rainbow
No fakt, a funguje to. Tak to mi nejak uniklo. Ten vypis konfigu vyse to resi. Super - jeste rozchodit TLS a budu spokojeno. :) ...pak uz jsou to vsecko jen drobnosti.
k tomu TLS, dela se to takto:
1. pomoci sasldb:
a) potrebujes saslauthd daemon,konfigurace je nasledujici:
/etc/postfix/main.cf
# sasl config
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
musis si vytvorit smtpd.pem, treba takto:
openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650
dale, potrebujes /etc/smtpd.conf:
log_level: 3
pwcheck_method: saslauthd
mech_list: plain login
dale potrebujes /etc/sasldb2 - TO JE TO CO NEMAS FUNKCNI:
je to databaze, co se vytvori takto:
saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel
a pak:
chown postfix /etc/sasldb2
a to je vse, pak to frci, dalsiho uzivatele pridas zse pomoci:
saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel
pokud NECHCES pouzivat /etc/sasldb2, pridas do /etc/postfix/main.cf toto:
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_type = cyrus
no a soubor /etc/postfix/sasl_passwd vypada takto:
domena.cz username:password
domena.cz jinyuser:jineheslo
hesla jsou vzdy hesla z /etc/passwd daneho uzivatele ....
Tot vse, make to OK ... :-)
Uff, to snad nemyslite ani jako vtip .... .-(Citace:
Původně odeslal Airwolf
Odesilani mailu projde i mimo povolene relay ????Citace:
Původně odeslal Airwolf
Protoze jestli to posilas pres povolene relay (local) - tak je uplne jedno, zda mas TLS dobre nebo ne ...
Sakra ZAPOMENTE na chmod /etc/passwd nebo /etc/shadow !!!!
to je sileny ....
Nemusel, on samozrejme Autorizuje lokalni Unixove ucty, i kdyz bezi pod uzivatelem postfix - s TLS autorizaci to vsak primo nesouvisi - viz. vyse.Citace:
Původně odeslal Jezevec
To byl vtip, omlouvam se, ze jsme te tim tak vydesili :)Citace:
Původně odeslal svaca
relay musi byt povolene tak jako tak, jinak by uzivatele (i bez TLS) nemohli odeslat maily z lokalu ven...Citace:
Původně odeslal svaca
ale co, tohle resit nemusime, funguje to, protoze Marty sem hodil popis toho, co mi bezi uz 2 tydny nejmin :cool:
spis jina otazka...zkousel jsem nahradit procmail maildropem. Jde nastavit maildrop, aby se neprepinal do domovskeho adresare uzivatele ? pokud adresar neexistuje, zustane zprava viset, coz v pripade ze ma vice prijemcu, pri opetovnem odeslani zpusobi opetovne odeslani zpravy vsem prijemcum.
Dale, mailovi klienti se hlasi jako "unknown[ipv4/6]". Da se jim priradit nejake jmeno (v klientu, DNS) ? Povolovat nezname klienty...se mi moc nechce :( Zahledl jsem v logu jak nekdo z jine firmy (dle mailu) poslal mail k nam, byl samozrejme jako "unknown" odmitnut, ale IP adresa vubec te firme nepatri, takze zrejme to bylo posilane z nejakeho klienta (buhvi odkud)...IP adresa nema zaznam:
Kód:; <<>> DiG 9.2.4 <<>> 81.30.227.145
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43120
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;81.30.227.145. IN A
;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2006081901 1800 900 604800 86400
;; Query time: 48 msec
;; SERVER: 195.39.44.210#53(195.39.44.210)
;; WHEN: Sun Aug 20 12:49:46 2006
;; MSG SIZE rcvd: 106
A co tě na tom překvapuje? Kdysi v dobách, kdy byl oblíbený program Ænima (by Phobos) existoval návod "Psycho bombing tips", ve kterém bylo jasně napsáno, že pokud chceme někoho bombnout velkým počtem emailů tak, aby nevěděl, z jaké to přišlo IP adresy, stačí zahltit nějaký POP server požadavkem na neexistující adresu a on už se postará o zbytek.Citace:
Původně odeslal Rainbow