Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Postfix im chroot mit SASL unter Debian betreiben

Mitglied: xypseudo

xypseudo (Level 1) - Jetzt verbinden

27.01.2006, aktualisiert 13.02.2006, 29394 Aufrufe, 1 Kommentar

Gestestet mit dem Debian/Sarge-Image von Alturo, 1&1 sowie Schlund+Partner.

Als erstes müssen verschiedene Pakete installiert werden:

<font class="code">
apt-get install postfix postfix-tls sasl2-bin libsasl2 libsasl2-modules
</font>

Zur Postfix-Konfiguration.

In der Datei /etc/postfix/main.cf sind folgende Einträge hinzuzufügen/ändern:

<font class="code">
mynetworks=*IP_des_Servers*/32, 127.0.0.1/8

  1. Relay
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
</font>

In der /etc/postfix/master.cf sind folgende Einträge zu machen/ändern:

<font class="code">
smtp inet n - - - - smtpd -o pam
587 inet n - - - - smtpd -o pam
</font>

Diese sind erforderlich, damit Postfix beim versenden von Mails die smtp-Auth mittels pam auf Port 25 UND 587 überprüft.
Um besser debuggen zu können ist auch folgende Option möglich; aber bitte beachten, dass diese einem das mail.log schnell zum platzen bringen kann :o):

<font class="code">
smtp inet n - - - - smtpd -v -o pam
587 inet n - - - - smtpd -v -o pam
</font>

Der Rest des Files hat bei mir folgenden Inhalt:

<font class="code">
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - - 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
  1. -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
  1. Interfaces to non-Postfix software. Be sure to examine the manual
  2. pages of the non-Postfix software to find out what options it wants.
  1. maildrop. See the Postfix MAILDROP_README file for details.
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
</font>

Da Postfix im chroot läuft (unter /var/spool/postfix) muss der saslauthd das auch tun (nicht als chroot laufen, aber in dem Verzeichnis :o)). Dazu modifiziert man dessen init-Script (/etc/init.d/saslauthd) und erweitert dieses um folgenden Eintrag:

<font class="code">
PARAMS="-m /var/spool/postfix/var/run/saslauthd"
</font>

Damit der saslauthd nun auch arbeiten kann, ist es noch erforderlich, das Verzeichnis anzulegen:

<font class="code">
mkdir /var/spool/postfix/var/run/saslauthd
</font>

Damit der saslauthd nun auch startet muss noch in der Datei (ggf. anlegen!) /etc/default/saslauthd folgendes stehen:

<font class="code">
  1. This needs to be uncommented before saslauthd will be run automatically
START=yes

  1. You must specify the authentication mechanisms you wish to use.
  2. This defaults to "pam" for PAM support, but may also include
  3. "shadow" or "sasldb", like this:
  4. MECHANISMS="pam shadow"

MECHANISMS="pam"
</font>

Und man muss ihm noch in der Datei /etc/postfix/sasl/smtpd.conf mitteilen, wie er authentifizieren soll:

<font class="code">
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
</font>

Wenn nun der saslauthd läuft, findet man in dem Verzeichnis auch folgende files vor (nur wenn er an ist ;o)):

<font class="code">
tweety:/var/spool/postfix/var/run# l saslauthd/
insgesamt 64K
drwxr-xr-x 2 root root 53 Jan 23 08:12 ./
drwxr-xr-x 3 root root 22 Jan 23 07:53 ../
srwxrwxrwx 1 root root 0 Jan 23 08:12 mux=
-rw------- 1 root root 0 Jan 23 08:12 mux.accept
-rw------- 1 root root 6 Jan 23 08:12 saslauthd.pid
tweety:/var/spool/postfix/var/run#
</font>

Schaltet man ihn aus, verschwinden die Files auf magische weise *g*.

ABSOLUT EXTREM WICHTIG (hat mich lange auf trab gehalten!!!):
Das Verzeichnis /var/spool/postfix/var/run/saslauthd muss der Gruppe postfix angehören oder 755 haben, da sich postfix sonst nicht über sasl authentifizieren kann.

Nun sollte auch schon alles tun :o)
Falls nicht - Nicht verzeifeln. Als erstes AUFMERKSAM Log-Files lesen. Wenn diese auch mit Verbose-Logging (ist oben erklärt, wie man das anschaltet) keinen Aufschluss geben, Folgendes versuchen:

Bei mir hat sich das debugging folgendermassen bewährt.
Ich habe einen Client konfiguriert, ne mail geschickt, das Passwort aber NICHT! gespeichert. Dann beim Anmelden vom Clienten an den Server (während die Session also offen war) mit "ps fauxw" die pid vom smtp suchen. Sollte in etwa so aussehen:

<font class="code">
root 604 0.0 0.4 3044 1152 ? Ss 01:07 0:00 /usr/lib/postfix/master
postfix 612 0.0 0.4 3080 1212 ? S 01:07 0:00 \_ qmgr -l -t fifo -u -c
postfix 4269 0.0 0.4 3052 1176 ? S 07:21 0:00 \_ pickup -l -t fifo -u -c
postfix 4709 1.5 0.9 5420 2304 ? S 08:44 0:00 \_ smtpd -n smtp -t inet -u -c -o pam
postfix 4710 0.5 0.4 3048 1096 ? S 08:44 0:00 \_ proxymap -t unix -u
</font>

Diese dann mit dem Befehl "strace -p $pid" (die pid von smtpd!) angucken, wenn man das nächste mal ein Passwort eintippt. So habe ich z.B. herausgefunden, dass der Ordner /var/spool/postfix/var/run/saslauthd die falsche Berechtigung hatte...
strace ggf. mit

<font class="code">
apt-get install strace
</font>

installieren ;o)

Anmerkungen: Confixx sollte damit ganz problemlos tun. Die angegebene Modifikation habe ich immer NACH der installation von Confixx(3.irgendwas) durchgeführt. Eine Modifikation der /etc/postfix/main.cf sollte zum verfeinern auf jeden Fall noch nachträglich erfolgen, meine genannten Einträge dienen nur dazu, dass es mit SASL tut. Wenn dann alles tut, muss noch das file
/root/confixx/admin/subs/postfix_install.pl
ausgeführt werden, damit confixx auch mit den neuen änderungen arbeitet.

>Das Startscript /etc/init.d/saslauthd tut nun irgendwie nimmer richtig stoppen. Um den saslauthd zu killen habe ich immer mittels "ps
>fauxw | grep sasl" die pids gesucht und mit einem "kill -9 $pid" von hand gekillt. Das anschliessende starten hingegen tut problemlos.
>Falls noch jemand dazu eine Idee hat -> her damit, dann füge ich das noch hinzu :o)
Das lag an dem Parameter PID in der /etc/init.d/saslauthd, da muss noch der pfad zur PID geändert werden auf das chroot, dann tut es :o)
(also ins chroot, sprich /var/spool/postfix/var/run/saslauthd...)

Ich hoffe, dass das Hoto von nutzen sein wird.
Hat mich fast 3 Wochen meines Lebens gekostet.


gruss, pseudo
Mitglied: xcomse
13.02.2006 um 02:58 Uhr
Das ganze fuer Confixx 3.x in 9 Schritten (Debian 3.1):

1.) apt-get install postfix postfix-tls sasl2-bin libsasl2-modules

2.) postconf -e 'mydestination = $myhostname, localhost.$mydomain, $mydomain'
postconf -e 'smtpd_helo_required = yes'
postconf -e 'smtpd_helo_restrictions = reject_invalid_hostname'
postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination'
postconf -e 'smtpd_sender_restrictions = reject_unknown_address'
postconf -e 'smtpd_sasl_auth_enable = yes'
postconf -e 'smtpd_sasl_security_options = noanonymous'
postconf -e 'smtpd_sasl_local_domain ='
postconf -e 'smtp_sasl_auth_enable = no'
postconf -e 'broken_sasl_auth_clients = yes'

3.) vi /etc/postfix/sasl/smtpd.conf

saslauthd_path: /var/run/saslauthd/mux
pwcheck_method: saslauthd
mech_list: plain login

4.) adduser postfix sasl
5.) mkdir -p /var/spool/postfix/var/run/saslauthd
6.) dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd

7.) vi /etc/default/saslauthd

START=yes
MECHANISMS="shadow"
PARAMS="-m /var/spool/postfix/var/run/saslauthd"
PWDIR="/var/spool/postfix/var/run/saslauthd"
PIDFILE="/var/spool/postfix/var/run/${NAME}/saslauthd.pid"

8.) /etc/init.d/saslauthd start (Gibt einen Hinweis aus)
9.) /etc/init.d/postfix restart
Bitte warten ..
Ähnliche Inhalte
Soziale Netzwerke

Facebook: EuGH - Fanpage-Betreiber sind mitverantwortlich für Datenschutz

Information von keine-ahnungSoziale Netzwerke5 Kommentare

Ein Träumchen Um was geht es: Der Europäische Gerichtshof (EuGH) hat entschieden, das Firmen, die eine Fanpage bei Facebook ...

Linux Netzwerk

Installation eines Logservers mit Loganalyzer als Debian-VM auf Hyper-V

Anleitung von lcer00Linux Netzwerk

Zuerst sei auf den schönen Beitrag von aqui hier im Forum verwiesen, in dem die loganalyzer-installation bereits beschrieben ist: ...

Debian

Debian: Wichtiges Sicherheits-Update schließt 18 Lücken

Information von BassFishFoxDebian

Für Debian liegt seit dem 23. Dezember ein aktuelles Sicherheits-Update vor, das insgesamt 18 Lücken im Kernel 4.9 LTS ...

Debian

Debian Installation: Fehlende Firmware von Installations-Stick hinzufügen

Tipp von MOS6581Debian3 Kommentare

Moin, da ich es gerade gebraucht habe: wollte ein Debian 9 auf einer ausrangierten Securepoint RC100 vom USB-Stick installieren ...

Neue Wissensbeiträge
Suche Projektpartner
Chung cu vincity tay mo dai mo
Anleitung von vincityhn vor 1 StundeSuche Projektpartner1 Kommentar

Xem thêm: <a href=" <img src="

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 19 StundenSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Router & Routing

Endlich: Reines Kabel-TV Modem in D erhältlich !

Information von aqui vor 3 TagenRouter & Routing11 Kommentare

Mit dem Technicolor TC4400-EU Modem sind nun auch Breitband Router ohne integriertes Modem oder Firewalls wie z.B. die pfSense ...

Netzwerkgrundlagen
The Illustrated TLS Connection
Information von Lochkartenstanzer vor 4 TagenNetzwerkgrundlagen1 Kommentar

Moin, Unter findet man eine gelungene Erläuterung von TLS. Fördert sehr das verständnis darüber, was da passiert. lks

Heiß diskutierte Inhalte
Windows Server
AD User wird immer wieder gesperrt
Frage von YellowcakeWindows Server20 Kommentare

Hey ich habe einen User (ein GL User - Natürlich was denn sonst) der immer wieder gesperrt wird. Ich ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Debian
Linux debian 9 Installation
Frage von Green14Debian13 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Switche und Hubs
OpenSource oder Freeware zur Verwaltung von Switchen
gelöst Frage von JonskezSwitche und Hubs12 Kommentare

Hallo, gibt eine kostenlose Verwaltungssoftware für Switche (überwiegend HP/Aruba)? Es sollte möglich sein, aus der Ferne z.B. die Firmware ...