[Postfixbuch-users] Postfix. smtpd-auth mit sasl

Patrick Ben Koetter p at state-of-mind.de
Fr Aug 18 08:56:48 CEST 2006


* Axel Schmidat <axel.schmidat at lsg.nrw.de>:
> hi,
> 
> ich es jetzt fast alles hinbekommen, es fehlte libpam-mysql Paket :-( Nun
> kann ich Authentifizierung unter Verwendung von Benutzernamen und Password
> sowie SSLfür das Versenden von Mails verwenden.  Nur was immer noch nicht
> geht, ist die sichere Authentifizierung beim Anmeldevorgang des Clienten.

Was genau hast Du denn jetzt konfiguriert? Sende bitte nochmal "saslfinger
-s".

Was genau meinst Du denn mit "sichere Authentifizierung beim Anmeldevorgang
des Clienten"? Wie läuft die in Deiner Vorstellung ab?

Ein paar Worte zum gemeinsamen Verständnis:
Es gibt anonyme, plaintext, shared-secret, ticket-basierte und externe
Mechanismen auf die SASL bei der Authentifizierung zurückgreifen kann.

ANONYMOUS, LOGIN und PLAIN sind anonyme bzw. plaintext-Mechanismen und
akkzeptieren jedes Kennwort oder übertragen Benutzername und Kennwort nur
kodier, damit es auf dem Transportweg nicht von 8 nach 7 Bit geschreddert
werden kann. Diese Mechanismen sind unsicher, weil sie keinerlei
kryptographische Methoden anwenden.

NTLM, CRAM-MD5 und DIGEST-MD5 sind shared-secret Mechanismen. Sie übertragen
das Kennwort nicht und gelten als hinreichend sicher. Leider werden sie nicht
von allen Clients unterstützt bzw. ist deren Verwendung nicht dokumentiert
(NTLM).

GSSAPI ist ein ticket-basierter Mechanismus und sehr sicher. Er setzt eine
Kerberos-Infrastruktur voraus und wird nur von wenigen Clients beherrscht.
Wenn diese Clients Cyrus SASL nativ einsetzen, erhöht das die
Wahrscheinlichkeit der Unterstützung dieses Mechanismus erheblich.

Externe Mechanismen sind entweder eine TLS-Verbindung oder ein SWAN-Tunnel.
Hier 'vertraut' Cyrus SASL der bereits erfolgen Authentifizierung von TLS bzw.
SWAN. Diese Mechanismen sind so sicher wie es die externen Methoden selber
sind.

> SSL für sich alleine funzt, Thunderbird meldet, dass man sich nicht
> einloggen kann, da man die sichere Authentifizierung aktiviert hat.

"Einloggen" wie IMAP-Zugriff?

> Der Server unterstützt dies nicht!!??

Du machst mich immer fertig mit Deinen unpräzisen Angaben. Was funktioniert
wann mit was nicht? Ich will mich nicht durch eigene Spekulationen auf ein
falsches Gleis bringen...

> Aber ich denke, ich habe doch gerade dies auf dem Server aktivivert oder
> etwa nicht?

saslfinger -s...

> Welche Variable in postfix ist denn dafür verantwortlich?
> smtpd_sasl_auth_enable=yes ??
> habe ich in conf-Datei drinstehen.

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users