PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix mit tls / sasl - Relay denied



nmoenks
01.04.08, 16:53
Hello,

Es klappt gerade mal wieder nicht wie es klappen soll. Nachdem ich nun google und foren suche gequält habe, dachte ich mir, das hier vielleicht jemand noch ne idee hat?

Das Setup besteht aus Postfix zum senden mit gesicherter Authentifizierung per tls und sasl und Dovecot zum organisieren der mails.
Emails empfangen und lokal auf dem Server versenden, also von Mailbox zu Mailbox klappt auch prima bloss der Mailversand zu anderen Domains will nicht so recht.

Hier mal die main.cf von postfix :


# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname=mail.mydomain.net
mydomain=mydomain.net
alias_maps=hash:/etc/aliases
alias_database=hash:/etc/aliases
myorigin=/etc/mailname
mydestination=$myhostname, localhost.$mydomain, $mydomain
smtpd_banner=$myhostname ESMTP Mailserver
mailbox_size_limit=20971520
message_size_limit=10240000
smtpd_helo_required=yes
smtpd_helo_restrictions=reject_invalid_hostname
smtpd_recipient_restrictions=permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination

#check_policy_service inet:127.0.0.1:12525 (ist für policy-weightd)

smtpd_sender_restrictions=reject_unknown_address
smtpd_client_restrictions=reject_invalid_hostname
strict_rfc821_envelopes=yes
home_mailbox=mails/

smtpd_tls_cert_file=/etc/postfix/mail.cert
smtpd_tls_key_file=/etc/postfix/mail.key
smtpd_use_tls=yes
smtpd_enforce_tls=no
smtpd_tls_auth_only=yes

smtpd_sasl_auth_enable=yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options=noanonymous
smtpd_sasl_local_domain=
smtpd_sasl_auth_enable=yes
broken_sasl_auth_clients=yes

virtual_alias_domains=extradomain.net
virtual_alias_maps=hash:/etc/postfix/virtual_domains
virtual_mailbox_limit=20971520

inet_interfaces = all
mynetworks = 127.0.0.0/8

#mailbox_size_limit = 0
#recipient_delimiter = +
#relayhost =


die links stimmen alle und die zertifikate liegen auch richtig,

sobald ich versuche etwas zu versenden bekomme ich ein "relay denied" in den log files.

habt ihr eine idee? habe ich noch etwas übersehen? :confused:

michael.sprick
01.04.08, 22:57
hi,

ändere
smtpd_recipient_restrictions=permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination


mal in


smtpd_recipient_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination


Das permit_sasl_authenticated muss auf jeden Fall vor das reject_unknown_recipient_domain, Die Reihenfolge, in der die einzelnen Anweisungen gelistet werden entspricht auch der Reihenfolge, in der sie abgearbeitet werden. Ähnlich wie bei Firewalls...

nmoenks
02.04.08, 12:04
hello,
danke für deine idee aber es hat leider nicht geklappt - ich habe die main.cf nun mal so umgestellt (kommentare hab ich mal rausgemacht damit es kürzer hier im forum wird) :




#myorigin = /etc/mailname
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
#delay_warning_time = 4h
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
myhostname=mail.XXXXXXXX.net
mydomain=XXXXXXX.net
alias_maps=hash:/etc/aliases
alias_database=hash:/etc/aliases
myorigin=/etc/mailname
mydestination=$myhostname, localhost.$mydomain, $mydomain
smtpd_banner=$myhostname ESMTP Mailserver
mailbox_size_limit=20971520
message_size_limit=10240000
smtpd_helo_required=yes
smtpd_helo_restrictions=reject_invalid_hostname
smtpd_recipient_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination
#check_policy_service inet:127.0.0.1:12525 (für policy-weightd)
smtpd_sender_restrictions=reject_unknown_address
smtpd_client_restrictions=reject_invalid_hostname
strict_rfc821_envelopes=yes
home_mailbox=mails/
smtpd_tls_cert_file=/etc/postfix/mail.cert
smtpd_tls_key_file=/etc/postfix/mail.key
smtpd_use_tls=yes
smtpd_enforce_tls=no
smtpd_tls_auth_only=yes
smtpd_sasl_auth_enable=yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options=noanonymous
smtpd_sasl_local_domain=
broken_sasl_auth_clients=yes
virtual_alias_domains=XXXXXXXXX.net
virtual_alias_maps=hash:/etc/postfix/virtual_domains
virtual_mailbox_limit=20971520
#relayhost =
mynetworks = 127.0.0.0/8
#mailbox_size_limit = 0
#recipient_delimiter = +
inet_interfaces = all


Hier noch ein Auszug aus meinem Syslog wenn ich mails schicke lokal und dann an eine öffentliche mail addresse :



Apr 2 09:10:48 mail dovecot: Dovecot v1.0.rc15 starting up
Apr 2 09:10:53 mail dhclient: DHCPREQUEST on eth0 to 87.106.137.250 port 67
Apr 2 09:10:58 mail postfix/master[4243]: daemon started -- version 2.3.8, configuration /etc/postfix
Apr 2 09:11:30 mail dovecot: imap-login: Login: user=<nmoenks>, method=PLAIN, rip=213.221.101.108, lip=87.106.184.210, TLS
Apr 2 09:11:30 mail dovecot: imap-login: Login: user=<nmoenks>, method=PLAIN, rip=213.221.101.108, lip=87.106.184.210, TLS
Apr 2 09:11:50 mail postfix/smtpd[4256]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 09:11:50 mail postfix/smtpd[4256]: connect from unknown[213.221.101.108]
Apr 2 09:11:51 mail postfix/smtpd[4256]: 0EFC1140021D: client=unknown[213.221.101.108]
Apr 2 09:11:51 mail postfix/cleanup[4261]: 0EFC1140021D: message-id=<20080402091151.0EFC1140021D@mail.XXXXXXXXXX.net>
Apr 2 09:11:51 mail postfix/qmgr[4249]: 0EFC1140021D: from=<nmoenks@XXXXXXXXX.net>, size=7494, nrcpt=1 (queue active)
Apr 2 09:11:51 mail postfix/local[4262]: 0EFC1140021D: to=<nmoenks@XXXXXXXXX.net>, relay=local, delay=0.18, delays=0.14/0.01/0/0.03, dsn=2.0.0, status=sent (delivered to maildir)
Apr 2 09:11:51 mail postfix/qmgr[4249]: 0EFC1140021D: removed
Apr 2 09:11:53 mail postfix/smtpd[4256]: disconnect from unknown[213.221.101.108]
Apr 2 09:12:12 mail dovecot: IMAP(nmoenks): Disconnected: Logged out
Apr 2 09:13:08 mail postfix/smtpd[4256]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 09:13:08 mail postfix/smtpd[4256]: connect from unknown[213.221.101.108]
Apr 2 09:13:08 mail postfix/smtpd[4256]: NOQUEUE: reject: RCPT from unknown[213.221.101.108]: 554 5.7.1 <nono@othermailbox.com>: Relay access denied; from=<nmoenks@XXXXXXXX.net> to=<nono@othermailbox.com> proto=ESMTP helo=<munnono>
Apr 2 09:13:11 mail postfix/smtpd[4256]: disconnect from unknown[213.221.101.108]
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max connection rate 1/60s for (smtp:213.221.101.108) at Apr 2 09:11:50
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max connection count 1 for (smtp:213.221.101.108) at Apr 2 09:11:50
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max cache size 1 at Apr 2 09:11:50


TLS scheint ja zu klappen - ich schätze das irgendwas mit SASL nicht klappt aber ich bekomme leider nicht mal ne fehlermeldung zurück :confused:

heatwalker
02.04.08, 13:10
Welche Distribution setzt du ein?

Die sasl authenfizierung muss ganz am Anfang stehen.
Wenn du "permit mynetworks" als erstes angibst, wird alles verworfen
was nicht aus deinem Netzwerk kommt.


mtpd_recipient_restrictions= permit_sasl_authenticated, permit_mynetworks, reject_unknown_recipient_domain, reject_unauth_destination

nmoenks
02.04.08, 14:38
Hi heat,

es läuft auf einer Debian Installation und ist soweit up-to-date,

Ich habe "permit_sasl_authenticated" nun als erstes gesetzt aber es hat leider nichts geändert - es kommt wieder dasselbe im syslog :


Apr 2 12:32:27 mail postfix/master[4545]: reload configuration /etc/postfix
Apr 2 12:32:45 mail postfix/smtpd[4729]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 12:32:45 mail postfix/smtpd[4729]: connect from unknown[213.221.101.108]
Apr 2 12:32:45 mail postfix/smtpd[4729]: 42EE3140021D: client=unknown[213.221.101.108]
Apr 2 12:32:45 mail postfix/smtpd[4729]: 42EE3140021D: reject: RCPT from unknown[213.221.101.108]: 554 5.7.1 <nono@XXXXXXX.com>: Relay access denied; from=<nmoenks@XXXXXXXXX.net> to=<nono@XXXXXXXX.com> proto=ESMTP helo=<munnono>
Apr 2 12:32:45 mail postfix/cleanup[4734]: 42EE3140021D: message-id=<20080402123245.42EE3140021D@mail.XXXXXXXXXXX.net>
Apr 2 12:32:45 mail postfix/qmgr[4728]: 42EE3140021D: from=<nmoenks@XXXXXXX.net>, size=7140, nrcpt=1 (queue active)
Apr 2 12:32:45 mail postfix/local[4735]: 42EE3140021D: to=<nmoenks@XXXXXXXX.net>, relay=local, delay=0.2, delays=0.15/0.01/0/0.04, dsn=2.0.0, status=sent (delivered to maildir)
Apr 2 12:32:45 mail postfix/qmgr[4728]: 42EE3140021D: removed
Apr 2 12:32:47 mail postfix/smtpd[4729]: disconnect from unknown[213.221.101.108]


wo könnte es noch hängen? bin gerade ziemlich ratlos :confused:

heatwalker
02.04.08, 22:08
So sollte es eigentlich funktionieren. :confused:

Stell bitte mal ein komplettes Log ein, in dem das Login auch zu sehen ist.

Mit welchen Mail Client versuchst du zu versenden?

Poste mal die dovecot.

Ach ja, benutze bitte für die Logs die Codetags.

nmoenks
03.04.08, 11:18
ok ich hab den fehler gefunden und zwar lag er nicht an postfix sondern an der dovecot.conf.

der authentifizierungs teil in der dovecot.conf sollte ansich so aussehen :


auth default {

mechanisms = plain

userdb passwd {
}

passdb shadow {
}

user = root

socket listen {
client {
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}

}

nun hatte ich noch die "passdb pam {}" gesetzt zusätzlich zu "passdb shadow {}" - nach einigen weiteren erfolglosen versuchen hatte ich zumindest einige logfile einträge, das etwas mit der "shadow" datei nicht stimmte. Prompt hatte das logfile auch recht, da ich dann nebenbei herausgefunden habe, das ich gar keine "shadow" datei hatte.. flugs habe ich dann statt "passdb shadow {}" einfach "passdb passwd {}" angegeben und siehe da - auf einmal klappte die authetifizierung auch und ich konnte email senden.

Heat - vielen dank für die tipps! Würde wahrscheinlich jetzt noch dransitzen ohne deine Gedanken-anstösse! :)

Falls noch jemand an meiner Dovecot.conf oder main.cf interessiert ist, einfach bescheid sagen!

ach ja - hier noch ein paar links die sehr hilfreich waren für das Setup :

http://holl.co.at/howto-email/
http://www.postfix.org/TLS_README.html
http://www.postfix.org/SASL_README.html
http://www.abuse.net/relay.html

heatwalker
03.04.08, 11:54
Na gerne doch. :)

nmoenks
03.04.08, 15:29
hmm - jetzt sind mir noch ein paar letzte Sachen eingefallen für heute :)

- welche anti-spam lösung würdest du empfehlen? hatte in dem how-to policy-weight drinnen aber soweit auf deren entwicklerseite zu lesen ist, haben die gerade aufgehört mit dem Project

- hat jemand vielleicht spontan ein gutes Webinterface im Sinn?

- mir sitzt noch die Sache mit den Zertifikaten im Hinterkopf, momentan habe ich ja die TLS Zertifikate auf meine haupt domain gesetzt. was ist nun wenn ich virtuelle Domains dabei habe? bekommen die dann immer eine fehler meldung da ja der CNAME den sie abfragen nicht mit login übereinstimmt? oder kann man das umgehen? Zitat aus dem Howto:



"Wichtig ist, dass bei der Frage nach dem Common Name (CN) der vollständige Hostname eingetragen wird (z. B. mail.example.com oder example.com). Denn wenn sich ein Client zum Host example.com verbindet und beim Common Name aber nur example eingegeben wurde, bekommt der Client eine Warnung, dass der Name des Hosts nicht mit dem des Common Name übereinstimmt."


- Momentan existiert ja für jede Mailbox ein lokaler Username / Pw (in ferner Zukunft sollte das ganze dann über eine LDAP Datenbank laufen aber ich fürchte da brauche ich noch etwas :) ) Was wäre der einfachste Weg, diese User davon abzuhalten, sich per SSH an dem Server anzumelden?

also das sind alles gerade noch Ideen - vielleicht hat jemand noch spontan eine Idee dazu?

heatwalker
03.04.08, 15:58
- welche anti-spam lösung würdest du empfehlen? hatte in dem how-to policy-weight drinnen aber soweit auf deren entwicklerseite zu lesen ist, haben die gerade aufgehört mit dem Project
Da gibt es mehrere Ansätze. Such einfach mal durchs Forum. Gab es schon öfter.



- hat jemand vielleicht spontan ein gutes Webinterface im Sinn?

Ein Webinterface wofür?



- mir sitzt noch die Sache mit den Zertifikaten im Hinterkopf, momentan habe ich ja die TLS Zertifikate auf meine haupt domain gesetzt. was ist nun wenn ich virtuelle Domains dabei habe? bekommen die dann immer eine fehler meldung da ja der CNAME den sie abfragen nicht mit login übereinstimmt? oder kann man das umgehen? Zitat aus dem Howto:

Hmmh, wenn du das Zertifikat auf den FQDN des Hostnamen ausgestellt hast und der auch als MX eingetragen ist, sollte es keine Rolle spielen.
Du kannst bei auch bei virtuellen Domains den Hostnamen angeben.
Damit stimmt das Zertifikat ja überein.



- Momentan existiert ja für jede Mailbox ein lokaler Username / Pw (in ferner Zukunft sollte das ganze dann über eine LDAP Datenbank laufen aber ich fürchte da brauche ich noch etwas :) ) Was wäre der einfachste Weg, diese User davon abzuhalten, sich per SSH an dem Server anzumelden?


Da reicht es, wenn du in der passwd das login auf /bin/false setzts.

blub:x:504:506:User for Mail:/home/blub:/bin/false

nmoenks
03.04.08, 16:55
sorry - war wohl etwas unklar,

ein webinterface um auf die mailboxen zuzugreifen und das idealerweise die user ihr passwort ändern könnten.,

im zertifikat ist der FQDN angegeben - muss nochmal probieren wie das mit den anderen mailboxen jetzt aussieht dann.

ist ja schonmal klasse das es soweit läuft :)

danke nochmal :)

michael.sprick
03.04.08, 17:16
Welche Distribution setzt du ein?

Die sasl authenfizierung muss ganz am Anfang stehen.
Wenn du "permit mynetworks" als erstes angibst, wird alles verworfen
was nicht aus deinem Netzwerk kommt.

Ich kann es zwar nicht beschwören, aber meiner Information nach stimmt das so nicht ganz. Es wäre auch unlogisch...

Wenn permit_mynetworks nicht zutrifft, weil die Mail also von einem entfernten Host kommt, dann wird die Mail nicht gleich abgelehnt, sondern die nächste Bedingung wird geprüft, bis entweder ein permit_irgendwas die Zustellung erlaubt oder ein reject_irgendwas die Zustellung unterbindet.

Stünde nun beispielsweise reject_unknown_recipient_domain an erster Stelle, würde der Mailserver niemals Mails nach "draußen" senden. Egal ob sich der absender authentifiziert oder nicht.

Würde aber ein permit_mynetworks an erster Stelle dafür sorgen, dass Mails abgelehnt werden, die nicht nicht aus mynetworks stammen, dann könnte niemand von außerhalb (bspw. web.de) bei Deinem Mailserver eine Mail ablegen.

Insofern muss zwangsläufig auch der nächste Eintrag geprüft werden... wird er auch.

Ob nun also permit_mynetworks oder permit_sasl_authenticated an erster Stelle steht, spielt keine Rolle. Zumindest nicht in diesem Zusammenhang.

Nur so, wie es der Threadersteller ganz zu Anfang hatte, konnte es nicht funktionieren, weil reject_unknown_recipient_domain vor permit_sasl_authenticated stand. Damit fliegt die Mail raus, bevor die nächste Bedingung geprüft wird.

hth

michael.sprick
03.04.08, 17:22
ein webinterface um auf die mailboxen zuzugreifen und das idealerweise die user ihr passwort ändern könnten.,

Da gibt es unterschiedliche... Squirrelmail, zum Beispiel. Auch RoundCube ist ganz nett.
Um das Passwort zu ändern gibt es z.B. für Squirrelmail ein Plugin.

heatwalker
03.04.08, 18:33
@michael.sprick: Der Eintrag "permit_mynetwork" stellt sicher das nur hosts, die dort eingetragen sind, den Mailserver als relay benutzen dürfen.

Das betrifft dann auch Clients welche Mails über den entsprechenden Server versenden wollen.

Bedeutet also, wenn du von einem DSL anschluss aus über "deinen" mailserver mails verschicken willst, würde postfix dieses ablehnen, weil die IP Adresse des Clients nicht in "mynetworks" steht.

Da die erste Regel zugetroffen hat, wird auch keine weitere Regel abgefragt.

Deshalb ist das schon so korrekt wie ich es aufgeführt habe.

michael.sprick
03.04.08, 19:28
Du hast mich falsch verstanden:



Da die erste Regel zugetroffen hat, wird auch keine weitere Regel abgefragt.
Wenn permit_mynetworks als erste Regel zutrifft, wird keine weitere mehr abgefragt - soweit richtig. Aber wenn sie NICHT zutrifft, und darum geht es hier ja, wird auch noch die nächste Regel abgefragt, bis eine eindeutige Aussage getroffen werden kann.

Also zum Beispiel:


reject_non_fqdn_sender:
Absender hat keine vollständige Emailadresse angegeben?
- Ja - dann verweigern und raus! (eindeutige Aussage)
- Nein - dann nächste Regel

reject_non_fqdn_recipient:
Empfänger hat keine vollständige Emailadresse angegeben?
- Ja - dann verweigern und raus! (eindeutige Aussage)
- Nein - dann nächste Regel

permit_mynetworks:
Mail kommt aus mynetworks?
Ja - dann durchlassen und raus! (eindeutige Aussage)
Nein - dann nächste Regel

allow_sasl_authenticated:
Absender über SASL authentifiziert?
Ja - dann durchlassen und raus! (eindeutige Aussage)
Nein - dann nächste Regel

reject_unauth_destination:
Bis hierhin noch nicht autorisiert worden, um an das Ziel zu senden?
- Ja - dann verweigern und raus! (eindeutige Aussage)
- Nein - dann nächste Regel

check_sender_access:
Benutzerdefinierte Regel (zb. aus mysql-DB) verweigert die Zustellung:
Ja - dann verweigern und raus! (eindeutige Aussage)
Nein - dann weiter (zustellung, da letzte Regel)


Insofern ist es in diesem Zusammenhang hier egal, ob permit_mynetworks vor oder hinter allow_sasl_authenticated steht. Da in beiden Fällen zur nächsten Regel gesprungen wird, wenn die Prüfung NICHT positiv ist.

heatwalker
03.04.08, 20:41
Jep, stimmt was du schreibst.

Da hatte ich einen Gedankendreher. :cool:

nmoenks
04.04.08, 12:59
Hello,
ich bin nun über noch ein "problem" gestolpert - vielleicht habt ihr noch ne idee dazu?

emails empfangen / senden klappt nun ja prima, ich habe nun Dovecot die selben Zertifikate wie Postfix verpasst (der einfachheit halber erstmal) und mir ist aufgefallen, das jedesmal wenn ich die mails zb. mit Outlook abrufe, ich am Anfang eine Meldung bekomme :

"The Server you are connected to is using a security certificate that cannot be verified"
"The target principal name is incorrect - Do you want to continue using this server?"

Soweit könnte man das Zertifikat ja nun dauerthaft importieren aber gibt es noch eine andere Möglichkeit diese Meldung abzustellen?

Der CN des Zertifikates stimmt mit dem FQDN überein (wie in dem Howto beschrieben in /etc/hosts) und ist auch in Outlook als SMTP bzw. Pop3 Server angegeben also sollte es hier passen. Soweit ich das verstanden habe, "kennt" mein Rechner es eben noch nicht (deshalb der import). Gäbe es z.b. die möglichkeit sich da ein Zertifikat von VeriSign oder so zu holen und das dann zu benutzen? Würde dieses dann als richtig angesehen werden und kommentarlos akzeptiert werden?

heatwalker
04.04.08, 13:04
Um die Meldung wegzubekommen, musst du das Zertifikat schon importieren.

Eine Verifizierung ist ja schon deswegen nicht möglich, weil du kein öffentliches
Zertifikat erworben hat.

Wenn du die Meldung weg haben willst, ohne irgendetwas zu tun musst
du ein Zertifikat von einer anerkannten Zertifizierungsstelle haben. :D

nmoenks
04.04.08, 13:08
hmm also wäre da dann ein Gang zu VeriSign oder so von nöten? wahrscheinlich auch nicht ganz billig hm? :(

ganz blöde frage - woran erkenne ich denn ein anerkanntes Zertifikat? :confused:

heatwalker
04.04.08, 13:16
hmm also wäre da dann ein Gang zu VeriSign oder so von nöten? wahrscheinlich auch nicht ganz billig hm? :(

kostet zwischen 300 und 700 Euro pro Jahr, je nach Anbieter.



ganz blöde frage - woran erkenne ich denn ein anerkanntes Zertifikat? :confused:

Na, eigentlich daran das dein Browser nicht meckert. (-:

Verisign, Thawte und wie sie alle heissen sind in den Browser direkt hinterlegt und müssen nicht extra akzeptiert werden.

Ich für meinen Teil finde das ganze ziemlich schwachsinnig.
Ein eigenes Zertifikat reicht vollkommen aus.

Wichtig ist doch der verschlüsselte Aufbau. Die 1, 2 Besonderheit kann man(n)
ja noch erklären. Oder?

nmoenks
04.04.08, 13:20
stimme ich dir komplett zu!

die user hier sind es eben gewöhnt von gmail, web.de oder gmx das es ohne "zwischen-klick" oder import von zertifikaten funktioniert..

danke dennoch!

ich bastel mal weiter und melde mich zurück wenn es was neues auf der baustelle gibt :)

nmoenks
14.04.08, 09:10
Soweit läuft es prima - keine Probleme mit dem Setup soweit und auch noch schön fix das ganze.
Hier mal meine nächsten Schritte für alle die es interessiert oder die etwas ähnliches machen :

http://postfix.state-of-mind.de/patrick.koetter/amavisd-new/
http://www.ijs.si/software/amavisd/

Also Spam und Viren Filter mit Amavisd - sollte soweit ich hier auch schon im Forum gelesen habe ganz gut laufen,

Webinterface hatte ich SquirrelMail oder Roundcube im Sinn, wird aber wahrscheinlich hier inhouse selber geschrieben.

Langfristig kommt noch eine Ldap Datenbank hinzu aber dazu dann später,

Für Ideen, Tipps, Links zu Howtos bin ich immer offen :)

nmoenks
06.06.08, 17:33
vielleicht ist das hier auch noch interessant für den ein oder anderen.

Mail Weiterleitung ganz einfach mit einer datei in dem jeweiligen userverzeichnis : /home/user/ hier reicht eine datei aus (.forward) mit der gewünschten ziel addresse.

also einfach einloggen und im home verzeichnis :

# echo 'zieladdresse@xyz.com' > .forward

voila :)

cane
06.06.08, 18:33
Webinterface hatte ich SquirrelMail oder Roundcube im Sinn, wird aber wahrscheinlich hier inhouse selber geschrieben.

Open-Xchange als Webfrontend ist auch ganz nett:
http://www.open-xchange.com/DE/header/produkte/openxchange_express_edition/onlinedemo.html

Es existiert auch eine GPL Version :)

mfg
cane

nmoenks
08.06.08, 21:31
danke für den tip!

ich muss es mir mal in ruhe anguggen :)

gerade bin ich am suchen wegen quota implementierung in das ganze.
der eintrag : "virtual_mailbox_limit" in der main.cf von postfix bringt leider nicht das Ergebnis.

Soweit hab ich jetzt einiges Sachen gefunden :

- systemweite quota für alles user
- userspezifische quota über userdatabase mitgeben (hierbei werden die systemweiten dann überschrieben)

hätte da jemand vielleicht eine beispiel configuration?

schöne EM noch..

nmoenks
19.06.08, 22:04
Hat jemand noch eine Idee für was die "virtual_mailbox_limit" Einstellung in der main.cf gut ist? Begrenzt diese vielleicht die maximal Email Message Grösse?

Freu mich über jede Anregung :)

Roger Wilco
19.06.08, 22:15
http://www.postfix.org/postconf.5.html#virtual_mailbox_limit

nmoenks
27.06.08, 10:23
virtual_mailbox_limit (default: 51200000)

The maximal size in bytes of an individual mailbox or maildir file, or zero (no limit).



danke aber soweit war ich leider schon.
"virtual_mailbox_limit" ist gesetzt aber er geht dennoch fröhlich über das limit ohne einen kommentar zu geben bzw. ohne etwas in der art von "mailbox full - email not delivered" zurück zu senden.

ich suche mal weiter..

Roger Wilco
27.06.08, 13:32
Und du benutzt auch den in Postfix integrierten MDA? Die Einstellung gilt natürlich nur für diesen...

nmoenks
28.06.08, 22:11
hmmm ok, ich dachte das übernimmt Dovecot. Dort habe ich ja die ganzen Mailboxen definiert.

oder meinst du etwas anderes? woran kann ich das erkennen?

ich hatte nun in der dovecot.conf das quota plugin aktiviert und ein global limit der mailboxen (maildir) von 100mb gesetzt aber leider klappt das auch noch nicht :(