[Postfixbuch-users] dovecot-sasl vs. postfix

Patrick Ben Koetter p at state-of-mind.de
Do Jun 12 23:03:31 CEST 2008


* Stefan Behte <postfixbuch-users at listi.jpberlin.de>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Hallo,
> 
> |
> | Danke für eine Anfrage, die endlich auch gleich mal die Config-Details
> | nennt.
> Man ist ja in gewissem Maße lernfähig ;)
> 
> | Und als Belohnung gibt's dafür auch gleich die Lösung :-)
> |
> | Postfix hat per Default:
> |
> | smtp_sasl_security_options = noplaintext, noanonymous

Das wirkt sich nur auf den smtp-client aus und den kann Dovecot gar nicht
unterstützen. Dovecot bietet SASL nur für den smtpd-Daemon an.

Wenn Du smtpd_sasl_security_options verwendest, kannst Du beinflussen, welche
Mechanismen Postfix anbieten würde, WENN die Postfix Dovecot Implementierung
das berücksichtigen würde. Tut sie aber bis 2.5.1 nicht. Erst in späteren
Releases wird smtpd_sasl_security_options in Zusammenhang mit Dovecot
berücksichtigt.

Falls Du eine ältere Postfix Version einsetzt also auf keine Fall 

auth default {
        mechanisms = plain login anonymous
        }

in dovecot.conf konfigurieren, denn Postfix würde das anbieteten auch wenn Du
smtpd_sasl_security_options = noanonymous gesetzt hast - war ein Fehler, der
still und leise gefixt wurde ...

> |
> | Du hast in Dovecot aber:
> |
> |> auth default {
> |>   mechanisms = plain login
> |
> | Da bleibt als Schnittmenge genau NICHTS mehr übrig.


Im Prinzip richtig, nur ist der default für den SMTP-Server anders:

$ postconf -d smtpd_sasl_security_options
smtpd_sasl_security_options = noanonymous

Also greift das in die Richtung leider nicht.

> | Entweder Postfix darf Plaintext machen oder Dovecot muß auch was
> | anderes als plain und login anbieten.
> 
> Ich habe einfach mal folgendes versucht:
> 
> in postfix:
> smtp_sasl_security_options = noanonymous
> oder
> smtp_sasl_security_options =
> 
> dovecot:
> mechanisms = plain login digest-md5 cram-md5 rpa apop
> 
> Das hilf leider auch garnichts. Entweder ist da noch was anderes faul,
> ich bin grade zu blöd oder sitze heute schon viel zu lange am PC
> (letzeres garantiert...).
> Es ist doch richtig, dass ich den ganzen Cyrus-sasl-Kram dann nicht mehr
> benötige, weil ich für das durch die User zum Server hin benutzte SMTP
> AUTH dovecot-sasl über /var/spool/postfix/private/auth verwende, korrekt?

Wenn die Pfade richtig konfiguriert sind, ja. Was hast Du denn für
smtpd_sasl_path gesetzt? Und was in der dovecot.conf für den client (?) socket
gesetzt?


> | Wenn Du in der Dovecot-Passwortdatei Klartextpasswörter hast (wozu ich
> | dringend rate) dann gibt es hier auch keinen Grund warum hier nicht auch
> | CRAM-Verfahren erlaubt sein sollen.

ACK

Deine Log-Fehlermeldug sieht mir noch schwer nach libsasl error messages, also
Cyrus SASL, aus. Ich rate im Moment, dass Deine Dovecot Auth config noch nicht
sauber ist. 

p at rick



-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users