[Postfixbuch-users] TLS und SMTP Auth Problem

Andreas Krummrich brutus at iunius.org
Sa Mai 5 15:03:36 CEST 2007


Sandy Drobic schrieb:
> Andreas Krummrich wrote:
>
>   
>> Du hast vollkommen Recht. Ich habe gerade ausgehendes TLS deaktiviert 
>> und noch mal alles analysiert. Dabei fiel mit auf, dass ich eine 
>> smtproute in transport drinnen hatte:
>> *              smtp:rom.iunius.org
>> nach dem ich den Eintrag entfernt hatte, klappte es auch mit der 
>> Authentifizierung.
>>
>> Danach habe ich TLS wieder angemacht und es ging nicht mehr. Folgende 
>> Fehlermeldung bekomme ich:
>>
>> May  4 12:14:24 santa postfix/smtpd[17382]: connect from 
>> barney.springfield.home[10.10.42.18]
>> May  4 12:14:24 santa postfix/smtpd[17382]: setting up TLS connection 
>> from barney.springfield.home[10.10.42.18]
>> May  4 12:14:24 santa postfix/smtpd[17382]: TLS connection established 
>> from barney.springfield.home[10.10.42.18]: TLSv1 with cipher RC4-MD5 
>> (128/128 bits)
>> May  4 12:14:24 santa postfix/smtpd[17382]: 40324CD57D: 
>> client=barney.springfield.home[10.10.42.18], sasl_method=CRAM-MD5, 
>> sasl_username=brutus
>> May  4 12:14:24 santa postfix/cleanup[17384]: 40324CD57D: 
>> message-id=<463B0743.8000204 at iunius.org>
>> May  4 12:14:24 santa postfix/qmgr[17061]: 40324CD57D: 
>> from=<brutus at iunius.org>, size=631, nrcpt=1 (queue active)
>> May  4 12:14:24 santa postfix/smtpd[17382]: disconnect from 
>> barney.springfield.home[10.10.42.18]
>>     
>
> Dein lokaler Postfix nimmt die Mail, die Client barney.springfield.home
> einliefert (mit smtp auth) entgegen. Soweit ist die Welt in Ordnung.
> smtpDauth funktioniert für Mails, die Postfix entgegennimmt.
> smtpd_sasl_auth_enable = yes ... check, funktioniert! (smtpd)
>
> Dann versucht Postfix, die Mail weiterzuschicken an rom.iunius.org. Jetzt
> ist der Client-Teil von Postfix gefragt (smtp)
>
>   
>> May  4 12:14:24 santa postfix/smtp[17385]: TLS connection established to 
>> rom.iunius.org: TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)
>> May  4 12:14:24 santa postfix/smtp[17385]: 40324CD57D: 
>> to=<krummrich at extern.de>, relay=rom.iunius.org[81.169.142.6], delay=0, 
>> status=bounced (host rom.iunius.org[81.169.142.6] said: 553 sorry, that 
>> domain isn't in my list of allowed rcpthosts; no valid cert for 
>> gatewaying (#5.7.1))
>>     
>
> Der Smtp-Client von Postfix authentifiziert NICHT! Da gibt es ein Problem.
>
>
>   
>> May  4 12:14:25 santa postfix/cleanup[17384]: 0385BCD57E: 
>> message-id=<20070504101425.0385BCD57E at santa.springfield.home>
>> May  4 12:14:25 santa postfix/qmgr[17061]: 0385BCD57E: from=<>, 
>> size=2488, nrcpt=1 (queue active)
>>     
>
> QMail auf rom.iunius.org nimmt die Mail nicht an und dein lokaler Postfix
> schickt sie als Bounce zurück zum Absender.
>
>   
>> Die Mail an die externe Domänen geht nicht raus, da der qmail nicht 
>> relayt. Ich bin also bei TLS nicht authentifiziert. Die Bounce Mail an 
>> meinen eigenen Account kommt an, da mein qmail ja für sich selbst 
>> (iunius.org) nicht relayen muss.
>>     
>
> Nein, QMail hat die Mail nie erhalten und nichts damit zu tun.
> rom.iunius.org bietet AUTH an, aber dein Postfix nutzt diese Option nicht
> und wird deshalb rejected.
> TLS hat mit der Authentifikation nichts zu tun. Ähh... hatte ich das nicht
> schon ein oder zwei oder drei mal erwähnt?!?
>   

Ja, das hattest du schon erwähnt und mittlerweile habe ich es glaube 
auch verstanden.
> Zentrales Problem ist, dass dein lokaler Postfix nicht versucht, sich bei
> für smtp, also dem Verschicken von Mails, die Authentifikation zu verwenden.
>
> Meistens ist das Problem, dass der Server nicht übereinstimmend in
> relayhost und smtp_auth Datei angegeben wurde. Überprüfe noch einmal diese
>  Angaben, da steckt der Wurm drin!
>   
Die Angaben habe ich kontrolliert und sie stimmen auch. Auch wenn die 
beiden Sachen nicht miteinander zu tun haben, verstehe ich nicht, warum 
der postfix sich wunderbar beim qmail anmeldet, wenn ich das ausgehende 
TLS deaktiviere. Dann klappt es auch mit dem relaying. Sobald ich das 
TLS anschalte, klappt es nicht mehr. Ich sehe im log, dass er die TLS 
Verbindung zu rom.iunius.org aufbaut, sich aber nicht anmeldet. Auch 
wenn die beiden Sachen augenscheinlich nichts miteinander zu tun haben, 
ist es im Moment leider so.

Warum weiß ich nicht. Auch weiß ich nicht genau, ob es nun am Postfix, 
oder am QMail liegt. SMTP_AUTH ohne  aktiviertes TLS klappt, genau so 
wie TLS und direktes rausschicken per DNS. Nur beides zusammen, über 
meinen qmail Server will irgendwie nicht.

Vielleicht fällt euch ja noch was ein ;-)
>
>   

Gruß,
    Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users