PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix Probleme



Multe
24.11.03, 12:15
Hallo,

ich habe meinen Server umstellen lassen, er hat ein neues OS bekommen.

Leider habe ich damit auch Postfix geerbt, das ich bisher noch nicht so ganz in den Griff bekommen hab.

Leider klappt das alles nicht so einfach wie es immer beschrieben wird.

Und zwar:

Der Server läuft mit mehreren Domains und die diese werden auch in der "virtual" Datei wie im Manual beschrieben sauber beschrieben.

Format:
domain.de egalwashiersteht
info@domain.de localerUser

Die Mails werden auch sauber auf die lokalen Mailboxen verteilt.

Der Server ist vorkonfiguriert mit SMTP_Auth und TLS.
Leider kommt bei meinem Mailclient (Eudora) immer das das SSL-Zertifikat schlecht sei, weil der hostname nicht zur Domain passt.

LOG-Eintrag (/var/log/mail):

Nov 23 14:34:56 p15xxxx postfix/smtpd[7089]: connect from pxxxxx.dip.t-dialin.net[217.230.10.xxx]
Nov 23 14:34:56 p15xxxx postfix/smtpd[7089]: setting up TLS connection from pxxxxx.dip.t-dialin.net[217.230.10.xxx]
Nov 23 14:34:56 p15xxxx postfix/smtpd[7089]: SSL_accept error from
pxxxxx.dip.t-dialin.net[217.230.10.xxx]: 0
Nov 23 14:34:56 p15xxxx postfix/smtpd[7089]: 7089:error:140943E8:SSL
routines:SSL3_READ_BYTES:reason(1000):s3_pkt.c:104 7:SSL alert number 0:
Nov 23 14:34:56 p15xxxx postfix/smtpd[7089]: disconnect from
pxxxx.dip.t-dialin.net[217.230.10.xxx]

Wie habe ich das zu verstehen? Da ich verschiedene Doamins habe und diese auch als MX Eintrag im DNS bei mir laufen habe, müsste ich pro Domain ein eigenes Zertifikat erstellen? Das kanns doch nicht sein?

Schalte ich TLS in der main.cf aus, dann erhalte ich immer :

Nov 23 14:44:21 p15xxxx postfix/smtpd[7265]: connect from pxxxxx.dip.t-dialin.net[217.230.10.xxx]
Nov 23 14:37:50 p15xxxx postfix/smtpd[7138]: warning: pxxxxx.dip.t-dialin.net[217.230.10.xx]:
SASL CRAM-MD5 authentication failed
Nov 23 14:44:21 p15xxxx postfix/smtpd[7265]: A54F02F4048:
client=pxxxxx.dip.t-dialin.net[217.230.10.xxx]
Nov 23 14:44:21 p15xxxx postfix/smtpd[7265]: reject: RCPT from
pxxxxx.dip.t-dialin.net[217.230.10.xx]: 554 <xxx@gmx.net>: Relay access denied;
from=<dxxxxe@MEINEDOMAIN.de> to=<xxxx@gmx.net>
Nov 23 14:44:26 p15xxxx postfix/smtpd[7265]: disconnect from
pxxxx.dip.t-dialin.net[217.230.10.xxx]

Der SASL Fehler tritt auf, wenn ich die STMP Verschlüsselung eingeschaltet habe, schalte ich sie aus, fehlt dieser Eintrag, aber Relaying denied kommt trotzdem.

Hier noch der Auszug der main.cf in Original-Zustand:

#suseconfig:
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains = xxxxxxx.de
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = strict_rfc821_envelopes = no
#smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
#smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,check_ relay_domains

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Damit ist SMTP_Auth und TLS Support an, dies schlägt aber mit den Zertifikaten fehrl?

Was kann und muss ich tun?

Gruß Malte

PS: Google hab ich schon bemüht, auch die SUFU hier, aber leider hab ich nix gefunden was mir weiter helfen könnte. Mir reichen Links, lesen kann ich, ich möchte nur das richtige lesen, damit ich es begreife.
Eventl. hab ich auch die falschen Suchbegriffe gewählt. DANKE.

mars
24.11.03, 12:36
Hallo

Zum Authentifizierungsproblem kann ich dir leider nichts sagen, aber sicher ist es ein SSL-Problem.
Dann aber: Relay access denied. Wo gewaehrst du ueberhaupt jemandem das Recht dazu, mails zu verschicken? Muesste nach relay_domains nicht eine Auflistung der erlaubten domains kommen?

Multe
24.11.03, 13:05
So wie ich das verstanden habe braucht man das hier nicht machen, da hier nur der verschicken darf, der sich vorher per Authentifizierung Zugang verschafft und dann als gültiger User eingeloggt die Mail dann verschickt.

Ach ja ich hab vergessen, das ich schon mal versucht habe das Zertifikat das auf dem Server liegt (als .crt File) in den Mailclient einzubinden, allerdings mit gleichem Resultat wie im ersten Post erwähnt.

Gruß Malte

mars
24.11.03, 16:48
Nun ja, folgendes sehe ich:

> # Leaving the value blank so Postfix refuses to receive any messages.
>
> relay_domains =

Hast du es denn schon mal versucht, wenigstens? (Sorry, will dir nur helfen...)

Multe
25.11.03, 08:24
Moin,

danke es geht.

Ich hatte nur 2 Probleme.

1. Der Mailservername (für den Mail-Client) war nicht gleich dem, der im Zertifikat stand, jetzt gehts.

2. Der Mailclient ist zu blöde die richtige Passwortverschlüsselung zu wählen. Ich kann es ihm nicht vorschreiben, also kommt einfach ein anderer.
Ich habs mit the Bat probiert und auch mit *schauder* Autschlook Express und mit beiden gehts.

Ich kauf mir the Bat, der ist klasse und fertig.

Danke nochmal.

Gruß Malte

PS: in relay_domains dürfen nur die Domains drin stehen, die weitergeleitet werden, nicht die die lokal zugestellt werden sollen. ;) habs getsern auch nachgelsen und mal gefunden *staun*