[Postfixbuch-users] Postfix - SASL-SMTP AUTH

Patrick Ben Koetter p at state-of-mind.de
Di Okt 10 13:29:57 CEST 2006 

* Bjoern Rudloff <Bjoern.Rudloff at gmx.de>:
> Hallo,
> 
> ich bin absoluter Einsteiger in POSTFIX und wollte daher mal nach Eurer Meinung fragen.
> 
> Folgendes Szenario:
> 
> Firma mit ca. 40 Mitarbeitern (alle Email)
> teilweise Nutzung von Emails auch von aussen
> Mailserver im Haus (ohne MX-Record)
> Mailserver bei Provider (mit MX-Record) -> scannt die Mails nur und leitet sie dann weiter an Mailserver im Haus)
> 
> Das ganze soll mit mgl. wenig Aufwand zu administrieren sein.
> 
> Ich stehe nun vor der Aufgabe, das hausintern aufzubauen. 
> 
> Meine Fragen betreffen hautpsächlich SASL und SMTP AUTH, die Einstellungen im POstfix sind mir eingermassen klar.
> 
> 1. Brauche ich für den Zugriff auf den Provider nur eine Kennung/Passwort oder was muss ich hier machen?

Das kann dir am besten Dein Provider sagen. Oder hat er schon was gesagt und
Dir ist noch nicht klar, was es zu bedeuten hat?


> 2. Für die interne Authentifizierung wollte ich die passwd nutzen. Ist das ok oder sollte ich hier was ändern?

Das ist im Prinzip okay. Sei Dir bewußt, dass Du damit 40 Systemuser anlegst,
die ggf. 40 potenielle Logins darstellen. Wenn Du das auf keinen Fall willst,
musst Du halt einen SHELL-Zugriff dieser User deaktivieren.

> 3. Wo finde ich eine gute Beschreibung für die Einrichtung?

Mittlerweile hängt es von der Distribution ab, die Du verwenden wirst. Für
lange Zeit war, denke ich, mein Howto (Redhat-orientiert)
<http://postfix.state-of-mind.de/patrick.koetter/smtpauth/> maßgebend. Eine
abstrakte Beschreibung und auch konkrete Anleitung findest Du auch in Ralf's
und meinem Postfix-Buch. Das soll sich lohnen, wenn man mehr machen will und
noch wenig weiß - sagen zumindest die Feedback-Mails, die wir erhalten.

> 4. Ich habe sehr unterschiedliche Clients (outlook, Thunderbird, KMAIL,
> Handys, PDAs). Welche Anmeldemethoden sollte ich unterstützen und wie kann
> ich das einstellen?

Wenn Du die passwd als Quelle zur Authentifizierung benutzt, mußt Du saslauthd
, den Cyrus SASL AUTH-daemon, nutzen, weil nur er auf die passwd zugreifen
kann. saslauthd kann von Haus aus nur LOGIN und PLAIN als AUTH-Methoden.

Jeder, der von Dir genannten Clients, sollte in der Lage sein eine der beiden
Methoden zu nutzen. Allerdings (!) sind diese Methode unsicher, weil sie
Username und Passwort nur kodiert, aber nicht verchlüsselt übertragen.

Die Antwort heißt hier "mit TLS schützen". Deine Clients sollten also TLS
können. Falls das nicht geht und sie aber andere Mechanismen können, solltest
Du die AUTH-Daten vielleicht doch nicht in der passwd ablegen, sondern z.B. in
einer sasldb-Datenbank.

> 5. Als POP3-Server dient DOVECOT. Wo und wie stelle ich hier die Authentifizierung ein?

Du kannst Postfix seit 2.3 mit DOVECOT-SASL-Unterstützung komplilieren. Das
ist im SASL_README ab 2.3 beschrieben. Dann brauchst Du nicht Cyrus SASL
konfigurieren, sondern DOVECOT-SASL. Wie das geht, weiß ich noch nicht.

> Ich hoffe es sind nicht zu viele Frage auf einmal und danke schon mal im
> Voraus für die Antworten.

Gerne.

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users