[Postfixbuch-users] SMTP-auth - Cyrus-SASL Versionen & Konfiguration

Ralf Geschke ralf at kuerbis.org
Mo Jul 8 15:11:21 CEST 2002 

Hallo !

Zwei Fragen zur Konfiguration von Postfix mit SMTP-auth bzw.
Cyrus-SASL. 

1. Folgende Situation: Ein Mailserver, der sich im
Internet befindet, nimmt die Mails fuer meine Domains an.
Dieser Mailserver soll die Mails nun an einen weiteren
Server im heimischen Netzwerk weiterleiten (ist meistens
online, T-DSL-Zugang, dynamische IP). Um zu verhindern, 
dass eine versehentliche Weiterleitung an fremde Server
erfolgt, etwa falls ich nicht online bin und sich hinter
der IP, unter der mein Server vormals erreichbar war, 
wiederum ein Mailserver befindet, der beliebige Mails
annimmt, sollen sich die Mailserver untereinander
authentifizieren, so dass der externe Mailserver 
nur dann weiterleitet, wenn derjenige im Dialup-Netz
auch wirklich der richtige ist. Was haltet Ihr von dem
Verfahren - ist die Idee voellig bloedsinnig oder 
durchaus machbar? 
Fetchmail, also POP/IMAP moechte ich eher nicht einsetzen,
da die Mails "sofort" zugestellt werden sollen, und nicht
erst nach einer per Cronjob einzustellenden Zeitspanne, 
abgesehen davon sollen die Mails auch zusaetzlich auf dem
externen Server gelagert bleiben (ok, dafuer gaebe es 
Loesungen, aber mir liegt insbesondere daran, dass die Mails
sofort zugestellt werden). 

Wenn ich das richtig verstanden habe, muesste sich der
externe Mailserver dann per SMTP-auth beim internen
identifizieren, welcher dann sein ok gibt, so dass 
die Einlieferung beginnen kann. Liege ich halbwegs 
richtig? 
Und: Was wuerde passieren, wenn der interne nicht online
ist, also keine Weiterleitung erfolgt? Bleiben die Mails
in der Queue des externen oder gehen sie an den Absender
zurueck - letzteres ist natuerlich nicht erwuenscht. 
Also wie sage ich dem externen Mailserver, dass er 
so lange warten soll, bis der interne wieder mal online
ist (ein paar Tage sollte als Zeitspanne ausreichen)?

2. Testweise habe ich versucht, Postfix mit den Faehigkeiten
fuer SMTP-Auth auszustatten, also zunaechst zu kompilieren. 
Dabei fiel auf, dass es zwei Versionsstraenge von Cyrus-SASL
gibt, einmal 1.5.xx, zum anderen 2.1.xx. Als RPM ist
Version 1.5.24 installiert. Zwar habe ich die 2.1.5 
kompiliert, anschliessend auch Postfix die entsprechenden
Pfade mit uebergeben (CCARGS="-DUSE_SASL_AUTH -I/opt/pdp/cyrus-sasl/include"
AUXLIBS="-L/opt/pdp/cyrus-sasl/lib -lsasl"), aber ein ldd 
auf das neue smtpd-Binary zeigt, dass die alte libsasl benutzt wird 
(libsasl.so.7 => /usr/lib/libsasl.so.7 (0x50211000) ).
Frage: Ist es ueberhaupt moeglich, Version 2.1.x mit Postfix 
zu verwenden bzw. bringt es etwas? Auf den Cyrus-Seiten
steht geschrieben, dass es sich bei 2.1.5 um die 
aktuelle stabile Version handelt, aber evtl. setzt Postfix
ja noch die 1.5.x voraus? 
Zumindest gibt es kein saslpasswd mehr, sondern dies heisst
nun saslpasswd2, gleiches gilt fuer sasldblistusers(2), und
die Datenbank heisst sasldb2... 

3. Zwar wird im Buch kurz erwaehnt, dass auch PAM (und damit
z.B. LDAP) als Quelle fuer die Passwortdaten verwendet werden
kann, aber leider finden sich keine detaillierteren Hinweise.
Gibt es dazu Howto's, READMEs oder sonstiges? Und anstatt
dem Umweg ueber die Textdatei, die eingelesen wird - kann 
man die Passwortdaten auch direkt aus einer MySQL-Datenbank
auslesen?

Ach ja: Ich bin kein Provider, die ganze Geschichte
ist nur fuer mich allein, und bislang ist auch nichts
von der internen Konfiguration oeffentlich zugaenglich - und
wird es auch nicht, solange es nicht 100%ig funktioniert. :-)

Vielen Dank im Voraus & Beste Gruesse,
   Ralf
-- 
: www  : http://www.bttr.org  :  mail: ralf at bttr.org
: Eine Site rund um MySQL     :  http://www.bttr.org/mysql/
: Privacy now! My Public Key  :  http://www.bttr.org/geschke.asc

Mehr Informationen über die Mailingliste Postfixbuch-users