[Postfixbuch-users] SMTP-Auth einrichten, Benutzer sollen in einer Datei stehen
Patrick Ben Koetter
p at state-of-mind.de
Mo Dez 20 11:01:20 CET 2004
* Thilo Engelbracht <info at engelbracht.de>:
> Hallo!
>
> Als Postfix-Neuling habe ich mal folgende Frage...
>
> Auf einem Server (Debian 3.0) möchte ich gerne einen Mailserver
> (Postfix 2.x) inkl. SMTP-Auth und TLS einrichten.
>
> Die Debian-Pakete stammen von "backports.org".
>
> TLS funktioniert bereits ohne Probleme.
>
> Nun zum Thema SMTP-Auth... In vielen HOWTOs ist die Umsetzung von
> SMTP-Auth meist in Verbindung mit einer Datenbank (z.B. mySQL)
> beschrieben.
>
> Allerdings ist es so, dass "mein" Mailserver nur von wenigen Benutzern
> (weniger als 10 Personen) genutzt wird. Aus diesem Grund möchte ich für
> SMTP-Auth die User und die Passwörter nicht in einer Datenbank, sondern
> in einer normalen Datei speichern.
>
> Frage 1: Ist das sinnvoll?
Die DB Lösungen werden immer dann gewählt, wenn man SHELL-User von
MAIL-Usern getrennt halten möchte, damit ein kompromittiertes DB pass
nicht gleich den Zugriff auf den Rechner ermöglicht.
Die einzige "Datei" Lösung, die SASL kennt, ist passwd/shadow. Wenn Du
die Accounts so anlegst, das nur die SHELL-Zugang erhalten, die ihn auch
wirklich benötigen, dann ist das sinnvoll und vertretbar sicher.
> Frage 2: Kann mir jemand bei der Umsetzung helfen? Was für Parameter
> benötige ich? Bis jetzt habe ich:
>
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain =
> smtp_sasl_auth_enable = no
smtp_sasl_auth_enable brauchst Du nicht extra ausschalten. Es ist per
default aus.
> broken_sasl_auth_clients = yes
>
> smtpd_recipient_restrictions =
> permit_mynetworks,
> permit_sasl_authenticated,
> check_recipient_maps,
> reject_unauth_destination,
> permit_auth_destination
Du benötigst noch eine smtpd.conf, die Debian in
/etc/postfix/sasl/smtpd.conf erwartet. In der mußt Du konfigurieren wie
Postfix und SASL interagieren sollen. Wenn Du passwd/shadow willst, mußt
Du folgende Parameter setzen:
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
Dann mußt Du in /etc/sysconfig/saslauthd (?) "shadow" als mechanism
wählen und Postfix in die Gruppe "sasl" aufnehmen.
Wenn Du dann saslauthd startest, sollte es einen socket erstellen in
einem DIR, das auch in /etc/sysconfig/saslauthd angegeben ist.
In dieses "state dir" muß Postfix kommen können, d.h. Postfix darf nicht
chrooted laufen. Dies stellst Du in /etc/postfix/master.cf ein. Der
erste Eintrag "smtp .... smtpd" muß "n" bei chrooted haben.
Das wäre im Wesentlichen alles. Wenn es dann nicht geht, dann schnapp
dir saslfinger (s.u.) und schicke den Output an die Liste.
p at rick
--
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users