[Postfixbuch-users] Debian/Etch, Postfix, SASL, TLS: Konfigurationssackgasse

Agon S. Buchholz asb at kefk.net
Di Mai 1 15:27:51 CEST 2007


Uwe Driessen wrote:

> Dann installiere nur Courier-pop3 und lass das Paket Courier-imap
> einfach weg
> Die Einrichtung von Courier ist in den Postfixbüchern ganz gut
> dokumentiert dann kommst du am schnellsten ans Ziel.

Die Hinweise auf Alternativen zu Alternativen helfen mir nicht wirklich
weiter. Ja, es gibt auch andere Distributionen außer Debian, bei denen
manches vielleicht besser gelöst sein mag; und ja, es gibt auch andere
schöne Betriebssyteme mit Mailservern, die nach zehn Minuten
Konfiguration wunderbar funktionieren, und es gibt sogar ein ganz
besonders schönes MS Exchange, mit dem ich all die Postfix-Probleme
nicht hätte. Aber eben viele andere. Irgendwann muß ich daher eine
Entscheidung fällen und dann auch dabei bleiben; Dovecot hält sich für
relativ sicher [1], Postfix.org empfiehlt Dovecot [2], und bei mir ist
es jetzt Dovecot, zumindest bis mir jemand glaubhaft versichert, das
Dovecot unbrauchbar ist.

Dovecot funktioniert sogar ein bisschen; im Gegensatz zu Qpopper kann
ich jetzt immerhin via POP3 an den Server, irgendeine Authentifizierung
findet laut dovecot.log und mail.log statt, und ich kann endlich
fehlerfrei Mails versenden; bei Telnet auf Port 25 kann ich mich mit
"auth plain {password}" auch authentifizieren - ein bisschen SASL
scheint also zu funktionieren. Müll wird auch zuverlässig abgelehnt
("Host or domain name not found. Name service error for
name=osteopath-uk.com type=MX: Host not found, try again").

Interessanter ist allerdings, was nicht funktioniert; aktiviere ich im
Mail-Client "Use secure authentication", sagt mir Seamonkey: "Mail
server does not support secure authetication". Mail an den Server
liefert ein "loops back to myself" (bei Mail an eine
virtual_alias_domain) oder "Relay access denied" ( bei Mail an $mydomain).

Auch faszinierend: dovcot.log liefert mit bei einem POP3-Login von
Seamonkey das verschlüsselte Passwort (also das, was mir "perl
-MMIME::Base64 -e 'print encode_base64("user\0user\0password");'
ausspuckt); gehe ich den Login mit Telnet auf Port 110 durch, wird eben
dieses verschlüsselte Passwort abgelehnt, das unverschlüsselte dagegen
angenommen.

Mittlerweile bin ich mir aber nicht mehr so sicher, was "$mydomain"
eigentlich ist; da hatte ich bisher "myorigin = $mydomain", das jetzige
"myorigin = /etc/mailname" scheint aber besser zu funktionieren;
/etc/mailname ist nun allerdings keiner der Hosts/Domains, für die ich
tatsächlich Mail empfangen möchte, sondern ein Verwaltungsname meines
ISP ("h123456.server***pet***.net"). Die MX-Records zeigen aber auf die
korrekten Domains.

Ebenfalls unklar ist mir, wie ich herausbekomme, wer oder was eigentlich
auf eine Authentifizierungsanfrage antwortet (Cyrus oder Dovecot SASL)
und welches davon wofür benötigt wird. Ich kann jedenfalls saslauthd
anhalten, ohne das sich das beschriebene Verhalten ändert, demnach wird
also wohl Dovecot-SASL genutzt, und ich brauche den ganzen Cyrus-Kram
vielleicht gar nicht; Postfix unterstützt allerdings nur Dovecot-SASL
"server only", die Frage ist dabei, ob ich "SASL authentication in the
Postfix SMTP client" überhaupt benötige. Naja, Horrortrip eben...

MfG -asb


[1] http://www.dovecot.org/security.html
[2] http://www.postfix.org/SASL_README.html






Mehr Informationen über die Mailingliste Postfixbuch-users