migracia qmail->postfix (bolo: qmail a bordel od spammerov)

[Rainbow]

V tom gentoo som nastavil:
/etc/conf.d/saslauthd:

Kód:

SASLAUTHD_OPTS="${SASLAUTH_MECH} -a pam"

/etc/sasl2/smtpd.conf:

Kód:

pwcheck_method: saslauthd
mech_list: plain login

Ked budes mat TLS, tak nastav v Postfixe, aby sa login nedal robit bez TLS:

Kód:

smtpd_tls_auth_only = yes

[Airwolf]

Ja jsem dnes stastne rozjel autorizaci na postfixu 2.1.5-9 pod debianem sarge (kernel 2.4.29-bf2.4 SMP pro uplnost ) s postfix-tls 2.1.5-9 se sasl2 2.1.19-1.5sarge. Sice zatim jen na sasldb2 bez TLS a na plain hesla only, ale taky dobry.

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?

to by me zajimalo, s autorizaci mam problem. SASL2 mam nainstalovane, nastavene, demona spustim, ale nikde nic. Postfix je na to nastaven, TLS umi, ale bez funkcni autorizace si muzu hvizdat kulky. konkretne by mne zajimalo, co vse je potreba pro nastaveni samotneho SASL2, sasldb2 jsem mel. HOWTO na to jsem nasel dost, ale proste ...ps aux ani -d sasl nikde v provozu nenaslo...

btw Marty (Cyrus SASL):

Kód:

pam: this tells SASL to integrate with your system's PAM libraries and to authenticate against the database specified by pam. This can be used with plaintext protocols such as PLAIN and LOGIN, and should allow you to authenticate against other services such as LDAP and RADIUS. On most systems, pam will be configured to authenticate logins against the system passwd file. Unfortunately, the only way I could make pam authentication work was if the /etc/shadow file was mode 644, which is definately not a good idea. This is only useful if you have pam authenticate against something like LDAP. If you want to authenticate local users, you should use pwcheck or shadow.

shadow: this tells SASL to look for the username and password using the system /etc/shadow file. Again, /etc/shadow must be mode 644 in order for this authentication mechanism to work.

sasldb: this tells SASL to use the /var/lib/sasl/sasl.db database to check passwords and secrets. This method must be used to allow DIGEST-MD5 or CRAM-MD5 authentication. Users must be added to this database using the saslpasswd utility. You must add at least one user to the database for it to be properly initialized. This file must also be readable by the postfix user; Mandrakelinux installs the file with 0644 permissions. However, this seems to be ok as regular users cannot read information from the sasldb using the sasldblistusers program.

pwcheck: this is similar to the shadow method except you do not need to give the postfix user read access to the file (a very good idea). This method interfaces with the pwcheck daemon, which runs as root to read the /etc/shadow file instead of permitting postfix to do it. Using pwcheck is very simple, and if you want to authenticate against local users without using sasldb, you should use pwcheck. It uses the /usr/sbin/pwcheck daemon, which runs as root, to check against your /etc/shadow file. This means you don't have to change the permissions of /etc/shadow to something insecure like mode 644. pwcheck is a daemon that must be started as root and immediately launches itself into the background. Since there is no initscript for pwcheck, you can simple add to the end of your /etc/rc.d/rc.local file the following:

Rainbow: ja myslim ze v logu je, pro koho ten mail je urceny, i kdyz je odmitnut v sender. ale jistotu ted nemam, mam oci tak na spanek, mrknu zitra - potvrzuju, mam to v logu.
Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.

Jezevec: spravne, akorat netusim pod jakym jmenem to asi budu hledat...ja jen do budoucna

[Rainbow]

to by me zajimalo, s autorizaci mam problem. SASL2 mam nainstalovane, nastavene, demona spustim, ale nikde nic. Postfix je na to nastaven, TLS umi, ale bez funkcni autorizace si muzu hvizdat kulky. konkretne by mne zajimalo, co vse je potreba pro nastaveni samotneho SASL2, sasldb2 jsem mel. HOWTO na to jsem nasel dost, ale proste ...ps aux ani -d sasl nikde v provozu nenaslo...

Tiez som s tym mal nejake problemy - ze to nic rozumne nevypisalo. Skus spustit "saslauthd -d".

Co se tyce TLS, tam bych s "only" byl opatrny, zatim jsem na dost mistech zahledl upozorneni, ze treba Outlooky na to nejsou vsechny stavene. Ale overit to muzu az budu mit funkcni SASL2.

Vraj to aj s Outlookom chodi, len nesmie byt nejaky prehistoricky. Plain-text autentifikacia bez TLS je horsia ako ziadna - hlavne ked na tom istom stroji mas ssh pristup, vtedy je to rovno diera ako hrom.

[Marty]

Rainbow:
já mám ten správný konf asi /etc/default/saslauthd - řádek:
MECHANISMS="pam shadow sasldb"
... takže podle toho by to mělo být oka, ale nebere to. Nějaké další tipy?


Airwolf:
/etc/default/saslauthd
START=yes
máš nastaveno?

[Airwolf]

Rainbow:
já mám ten správný konf asi /etc/default/saslauthd - řádek:
MECHANISMS="pam shadow sasldb"
... takže podle toho by to mělo být oka, ale nebere to. Nějaké další tipy?


Airwolf:
/etc/default/saslauthd
START=yes
máš nastaveno?

heh to START jsem nasel po prohledani initscriptu, uzuz jsem ho tam chtel napsat rucne, kdyz jsem si vzpomel na default takze SASL/TLS mi bezi akorat ted badam nad shadowem. mit tam cyrus, tak uz je to funkcni. ani chmod 644 na /etc/shadow nestaci...takzhe hledam hledam googluju...

[Marty]

heh to START jsem nasel po prohledani initscriptu, uzuz jsem ho tam chtel napsat rucne, kdyz jsem si vzpomel na default takze SASL/TLS mi bezi akorat ted badam nad shadowem. mit tam cyrus, tak uz je to funkcni. ani chmod 644 na /etc/shadow nestaci...takzhe hledam hledam googluju...

No ale nejak moc konstruktivnich rad nepadlo Az neco najdes, ozvi se.
A predtim jeste zkus chmod 777 /etc/shadow

[Jezevec]

nemate nekdo nejaky pekny howto nebo tipy ke konfiguraci postfixu aby autorizoval rovnou z /etc/passwd ?

Tohle neni dobrej napad , musel by ti ten postfix bezet jako root.

[Airwolf]

No ale nejak moc konstruktivnich rad nepadlo Az neco najdes, ozvi se.
A predtim jeste zkus chmod 777 /etc/shadow

heh 777 jsem fakt nezkousel

no konstruktivni tu byl pwcheck daemon, ale zda funguje i mimo cyrus-sasl jeste nevim.

takze se dostavam k dalsimu problemu...Postfix umi EHLO, ale Thunderbird hlasi ze ne...jestli to blokuje SGS od Nortonu tak si muzu jit polibit zadek...primo ze serveru si telnetem EHLO overit muzu...

edit: tak ESMTP na SGS povolene, ale...Thun hlasi ze v EHLO neni STARTTLS...za*rany SGS
abych upresnil: pokud na Thunu nastavim natvrdo spojeni pomoci TLS, tak oznami viz radek vyse. Pokud nastavim spojeni "Pokud je dostupne TLS", tak vidim v logu, ze TLS bylo aktivovano a SASL autorizace PLAIN (ale nevim zda ok ci false), kazdopadne mail projde. :/ to je bordel...

[Marty]

Tohle neni dobrej napad , musel by ti ten postfix bezet jako root.

No dobre, tak z jineho fajlu, ale aby se sprava uctu pro mailserver nemusela delat oddelene. Proste kdo bude mit ucet v systemu, bude mit pristup na SMTP.
Resit kopii passwd s pravy pro postfix a ten synchronizovat?

[Rainbow]

Vsak saslauthd to riesi, nie? Nastav mu len pam, to by mohlo fungovat. Da sa to vyskusat programom testsaslauthd.

[Marty]

Vsak saslauthd to riesi, nie? Nastav mu len pam, to by mohlo fungovat. Da sa to vyskusat programom testsaslauthd.

No fakt, a funguje to. Tak to mi nejak uniklo. Ten vypis konfigu vyse to resi. Super - jeste rozchodit TLS a budu spokojeno. ...pak uz jsou to vsecko jen drobnosti.

[svaca]

k tomu TLS, dela se to takto:

1. pomoci sasldb:

a) potrebujes saslauthd daemon,konfigurace je nasledujici:
/etc/postfix/main.cf

# sasl config
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

musis si vytvorit smtpd.pem, treba takto:

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

dale, potrebujes /etc/smtpd.conf:

log_level: 3
pwcheck_method: saslauthd
mech_list: plain login


dale potrebujes /etc/sasldb2 - TO JE TO CO NEMAS FUNKCNI:

je to databaze, co se vytvori takto:

saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel

a pak:

chown postfix /etc/sasldb2

a to je vse, pak to frci, dalsiho uzivatele pridas zse pomoci:

saslpasswd2 -c -u tvoje.domena.cz -a smtpauth email-uzivatel

pokud NECHCES pouzivat /etc/sasldb2, pridas do /etc/postfix/main.cf toto:

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_type = cyrus

no a soubor /etc/postfix/sasl_passwd vypada takto:

domena.cz usernameassword
domena.cz jinyuser:jineheslo

hesla jsou vzdy hesla z /etc/passwd daneho uzivatele ....

Tot vse, make to OK ...

[svaca]

heh 777 jsem fakt nezkousel

Uff, to snad nemyslite ani jako vtip .... .-(

no konstruktivni tu byl pwcheck daemon, ale zda funguje i mimo cyrus-sasl jeste nevim.

takze se dostavam k dalsimu problemu...Postfix umi EHLO, ale Thunderbird hlasi ze ne...jestli to blokuje SGS od Nortonu tak si muzu jit polibit zadek...primo ze serveru si telnetem EHLO overit muzu...

edit: tak ESMTP na SGS povolene, ale...Thun hlasi ze v EHLO neni STARTTLS...za*rany SGS
abych upresnil: pokud na Thunu nastavim natvrdo spojeni pomoci TLS, tak oznami viz radek vyse. Pokud nastavim spojeni "Pokud je dostupne TLS", tak vidim v logu, ze TLS bylo aktivovano a SASL autorizace PLAIN (ale nevim zda ok ci false), kazdopadne mail projde. :/ to je bordel...

Odesilani mailu projde i mimo povolene relay ?
Protoze jestli to posilas pres povolene relay (local) - tak je uplne jedno, zda mas TLS dobre nebo ne ...

[svaca]

Sakra ZAPOMENTE na chmod /etc/passwd nebo /etc/shadow !!!!

to je sileny ....

[svaca]

Tohle neni dobrej napad , musel by ti ten postfix bezet jako root.

Nemusel, on samozrejme Autorizuje lokalni Unixove ucty, i kdyz bezi pod uzivatelem postfix - s TLS autorizaci to vsak primo nesouvisi - viz. vyse.

[Marty]

Sakra ZAPOMENTE na chmod /etc/passwd nebo /etc/shadow !!!!

to je sileny ....

To byl vtip, omlouvam se, ze jsme te tim tak vydesili

[Airwolf]

Airwolf: Odesilani mailu projde i mimo povolene relay ?
Protoze jestli to posilas pres povolene relay (local) - tak je uplne jedno, zda mas TLS dobre nebo ne ...

relay musi byt povolene tak jako tak, jinak by uzivatele (i bez TLS) nemohli odeslat maily z lokalu ven...

ale co, tohle resit nemusime, funguje to, protoze Marty sem hodil popis toho, co mi bezi uz 2 tydny nejmin

spis jina otazka...zkousel jsem nahradit procmail maildropem. Jde nastavit maildrop, aby se neprepinal do domovskeho adresare uzivatele ? pokud adresar neexistuje, zustane zprava viset, coz v pripade ze ma vice prijemcu, pri opetovnem odeslani zpusobi opetovne odeslani zpravy vsem prijemcum.

Dale, mailovi klienti se hlasi jako "unknown[ipv4/6]". Da se jim priradit nejake jmeno (v klientu, DNS) ? Povolovat nezname klienty...se mi moc nechce Zahledl jsem v logu jak nekdo z jine firmy (dle mailu) poslal mail k nam, byl samozrejme jako "unknown" odmitnut, ale IP adresa vubec te firme nepatri, takze zrejme to bylo posilane z nejakeho klienta (buhvi odkud)...IP adresa nema zaznam:

Kód:

; <<>> DiG 9.2.4 <<>> 81.30.227.145
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 43120
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;81.30.227.145.                 IN      A

;; AUTHORITY SECTION:
.                       10800   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2006081901 1800 900 604800 86400

;; Query time: 48 msec
;; SERVER: 195.39.44.210#53(195.39.44.210)
;; WHEN: Sun Aug 20 12:49:46 2006
;; MSG SIZE  rcvd: 106

[Eagle]

Podla vsetkeho, co som cital (a vyskusal), qmail pri prijimani mailov nekontroluje, ci taka adresa existuje. Prijme vsetko na nastavene domeny a potom, ked to nevie dorucit, posiela bounce maily ako debil Vraj je to feature

A co tě na tom překvapuje? Kdysi v dobách, kdy byl oblíbený program Ænima (by Phobos) existoval návod "Psycho bombing tips", ve kterém bylo jasně napsáno, že pokud chceme někoho bombnout velkým počtem emailů tak, aby nevěděl, z jaké to přišlo IP adresy, stačí zahltit nějaký POP server požadavkem na neexistující adresu a on už se postará o zbytek.