Postfix mit tls / sasl - Relay denied

[nmoenks]

Hello,

Es klappt gerade mal wieder nicht wie es klappen soll. Nachdem ich nun google und foren suche gequält habe, dachte ich mir, das hier vielleicht jemand noch ne idee hat?

Das Setup besteht aus Postfix zum senden mit gesicherter Authentifizierung per tls und sasl und Dovecot zum organisieren der mails.
Emails empfangen und lokal auf dem Server versenden, also von Mailbox zu Mailbox klappt auch prima bloss der Mailversand zu anderen Domains will nicht so recht.

Hier mal die main.cf von postfix :

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname=mail.mydomain.net
mydomain=mydomain.net
alias_maps=hash:/etc/aliases
alias_database=hash:/etc/aliases
myorigin=/etc/mailname
mydestination=$myhostname, localhost.$mydomain, $mydomain
smtpd_banner=$myhostname ESMTP Mailserver
mailbox_size_limit=20971520
message_size_limit=10240000
smtpd_helo_required=yes
smtpd_helo_restrictions=reject_invalid_hostname
smtpd_recipient_restrictions=permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination

#check_policy_service inet:127.0.0.1:12525 (ist für policy-weightd)

smtpd_sender_restrictions=reject_unknown_address
smtpd_client_restrictions=reject_invalid_hostname
strict_rfc821_envelopes=yes
home_mailbox=mails/

smtpd_tls_cert_file=/etc/postfix/mail.cert
smtpd_tls_key_file=/etc/postfix/mail.key
smtpd_use_tls=yes
smtpd_enforce_tls=no
smtpd_tls_auth_only=yes

smtpd_sasl_auth_enable=yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options=noanonymous
smtpd_sasl_local_domain=
smtpd_sasl_auth_enable=yes
broken_sasl_auth_clients=yes

virtual_alias_domains=extradomain.net
virtual_alias_maps=hash:/etc/postfix/virtual_domains
virtual_mailbox_limit=20971520

inet_interfaces = all
mynetworks = 127.0.0.0/8

#mailbox_size_limit = 0
#recipient_delimiter = +
#relayhost =

die links stimmen alle und die zertifikate liegen auch richtig,

sobald ich versuche etwas zu versenden bekomme ich ein "relay denied" in den log files.

habt ihr eine idee? habe ich noch etwas übersehen?

[michael.sprick]

hi,

ändere

Code:

smtpd_recipient_restrictions=permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination

mal in

Code:

smtpd_recipient_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain,  reject_unauth_destination

Das permit_sasl_authenticated muss auf jeden Fall vor das reject_unknown_recipient_domain, Die Reihenfolge, in der die einzelnen Anweisungen gelistet werden entspricht auch der Reihenfolge, in der sie abgearbeitet werden. Ähnlich wie bei Firewalls...

[nmoenks]

hello,
danke für deine idee aber es hat leider nicht geklappt - ich habe die main.cf nun mal so umgestellt (kommentare hab ich mal rausgemacht damit es kürzer hier im forum wird) :

#myorigin = /etc/mailname
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
#delay_warning_time = 4h
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
myhostname=mail.XXXXXXXX.net
mydomain=XXXXXXX.net
alias_maps=hash:/etc/aliases
alias_database=hash:/etc/aliases
myorigin=/etc/mailname
mydestination=$myhostname, localhost.$mydomain, $mydomain
smtpd_banner=$myhostname ESMTP Mailserver
mailbox_size_limit=20971520
message_size_limit=10240000
smtpd_helo_required=yes
smtpd_helo_restrictions=reject_invalid_hostname
smtpd_recipient_restrictions=permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination
#check_policy_service inet:127.0.0.1:12525 (für policy-weightd)
smtpd_sender_restrictions=reject_unknown_address
smtpd_client_restrictions=reject_invalid_hostname
strict_rfc821_envelopes=yes
home_mailbox=mails/
smtpd_tls_cert_file=/etc/postfix/mail.cert
smtpd_tls_key_file=/etc/postfix/mail.key
smtpd_use_tls=yes
smtpd_enforce_tls=no
smtpd_tls_auth_only=yes
smtpd_sasl_auth_enable=yes
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_security_options=noanonymous
smtpd_sasl_local_domain=
broken_sasl_auth_clients=yes
virtual_alias_domains=XXXXXXXXX.net
virtual_alias_maps=hash:/etc/postfix/virtual_domains
virtual_mailbox_limit=20971520
#relayhost =
mynetworks = 127.0.0.0/8
#mailbox_size_limit = 0
#recipient_delimiter = +
inet_interfaces = all

Hier noch ein Auszug aus meinem Syslog wenn ich mails schicke lokal und dann an eine öffentliche mail addresse :

Apr 2 09:10:48 mail dovecot: Dovecot v1.0.rc15 starting up
Apr 2 09:10:53 mail dhclient: DHCPREQUEST on eth0 to 87.106.137.250 port 67
Apr 2 09:10:58 mail postfix/master[4243]: daemon started -- version 2.3.8, configuration /etc/postfix
Apr 2 09:11:30 mail dovecot: imap-login: Login: user=<nmoenks>, method=PLAIN, rip=213.221.101.108, lip=87.106.184.210, TLS
Apr 2 09:11:30 mail dovecot: imap-login: Login: user=<nmoenks>, method=PLAIN, rip=213.221.101.108, lip=87.106.184.210, TLS
Apr 2 09:11:50 mail postfix/smtpd[4256]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 09:11:50 mail postfix/smtpd[4256]: connect from unknown[213.221.101.108]
Apr 2 09:11:51 mail postfix/smtpd[4256]: 0EFC1140021D: client=unknown[213.221.101.108]
Apr 2 09:11:51 mail postfix/cleanup[4261]: 0EFC1140021D: message-id=<20080402091151.0EFC1140021D@mail.XXXXXXXXXX.ne t>
Apr 2 09:11:51 mail postfix/qmgr[4249]: 0EFC1140021D: from=<nmoenks@XXXXXXXXX.net>, size=7494, nrcpt=1 (queue active)
Apr 2 09:11:51 mail postfix/local[4262]: 0EFC1140021D: to=<nmoenks@XXXXXXXXX.net>, relay=local, delay=0.18, delays=0.14/0.01/0/0.03, dsn=2.0.0, status=sent (delivered to maildir)
Apr 2 09:11:51 mail postfix/qmgr[4249]: 0EFC1140021D: removed
Apr 2 09:11:53 mail postfix/smtpd[4256]: disconnect from unknown[213.221.101.108]
Apr 2 09:12:12 mail dovecot: IMAP(nmoenks): Disconnected: Logged out
Apr 2 09:13:08 mail postfix/smtpd[4256]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 09:13:08 mail postfix/smtpd[4256]: connect from unknown[213.221.101.108]
Apr 2 09:13:08 mail postfix/smtpd[4256]: NOQUEUE: reject: RCPT from unknown[213.221.101.108]: 554 5.7.1 <nono@othermailbox.com>: Relay access denied; from=<nmoenks@XXXXXXXX.net> to=<nono@othermailbox.com> proto=ESMTP helo=<munnono>
Apr 2 09:13:11 mail postfix/smtpd[4256]: disconnect from unknown[213.221.101.108]
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max connection rate 1/60s for (smtp:213.221.101.108) at Apr 2 09:11:50
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max connection count 1 for (smtp:213.221.101.108) at Apr 2 09:11:50
Apr 2 09:16:31 mail postfix/anvil[4259]: statistics: max cache size 1 at Apr 2 09:11:50

TLS scheint ja zu klappen - ich schätze das irgendwas mit SASL nicht klappt aber ich bekomme leider nicht mal ne fehlermeldung zurück

[heatwalker]

Welche Distribution setzt du ein?

Die sasl authenfizierung muss ganz am Anfang stehen.
Wenn du "permit mynetworks" als erstes angibst, wird alles verworfen
was nicht aus deinem Netzwerk kommt.

Code:

mtpd_recipient_restrictions= permit_sasl_authenticated, permit_mynetworks, reject_unknown_recipient_domain, reject_unauth_destination

[nmoenks]

Hi heat,

es läuft auf einer Debian Installation und ist soweit up-to-date,

Ich habe "permit_sasl_authenticated" nun als erstes gesetzt aber es hat leider nichts geändert - es kommt wieder dasselbe im syslog :

Apr 2 12:32:27 mail postfix/master[4545]: reload configuration /etc/postfix
Apr 2 12:32:45 mail postfix/smtpd[4729]: warning: 213.221.101.108: hostname static-sDSL-cus-101-108.de.clara.net verification failed: Name or service not known
Apr 2 12:32:45 mail postfix/smtpd[4729]: connect from unknown[213.221.101.108]
Apr 2 12:32:45 mail postfix/smtpd[4729]: 42EE3140021D: client=unknown[213.221.101.108]
Apr 2 12:32:45 mail postfix/smtpd[4729]: 42EE3140021D: reject: RCPT from unknown[213.221.101.108]: 554 5.7.1 <nono@XXXXXXX.com>: Relay access denied; from=<nmoenks@XXXXXXXXX.net> to=<nono@XXXXXXXX.com> proto=ESMTP helo=<munnono>
Apr 2 12:32:45 mail postfix/cleanup[4734]: 42EE3140021D: message-id=<20080402123245.42EE3140021D@mail.XXXXXXXXXXX.n et>
Apr 2 12:32:45 mail postfix/qmgr[4728]: 42EE3140021D: from=<nmoenks@XXXXXXX.net>, size=7140, nrcpt=1 (queue active)
Apr 2 12:32:45 mail postfix/local[4735]: 42EE3140021D: to=<nmoenks@XXXXXXXX.net>, relay=local, delay=0.2, delays=0.15/0.01/0/0.04, dsn=2.0.0, status=sent (delivered to maildir)
Apr 2 12:32:45 mail postfix/qmgr[4728]: 42EE3140021D: removed
Apr 2 12:32:47 mail postfix/smtpd[4729]: disconnect from unknown[213.221.101.108]

wo könnte es noch hängen? bin gerade ziemlich ratlos

[heatwalker]

So sollte es eigentlich funktionieren.

Stell bitte mal ein komplettes Log ein, in dem das Login auch zu sehen ist.

Mit welchen Mail Client versuchst du zu versenden?

Poste mal die dovecot.

Ach ja, benutze bitte für die Logs die Codetags.

[nmoenks]

ok ich hab den fehler gefunden und zwar lag er nicht an postfix sondern an der dovecot.conf.

der authentifizierungs teil in der dovecot.conf sollte ansich so aussehen :

Code:

auth default {

  mechanisms = plain

  userdb passwd {
  }

  passdb shadow {
  }

  user = root

  socket listen {
    client {
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
  }

}

nun hatte ich noch die "passdb pam {}" gesetzt zusätzlich zu "passdb shadow {}" - nach einigen weiteren erfolglosen versuchen hatte ich zumindest einige logfile einträge, das etwas mit der "shadow" datei nicht stimmte. Prompt hatte das logfile auch recht, da ich dann nebenbei herausgefunden habe, das ich gar keine "shadow" datei hatte.. flugs habe ich dann statt "passdb shadow {}" einfach "passdb passwd {}" angegeben und siehe da - auf einmal klappte die authetifizierung auch und ich konnte email senden.

Heat - vielen dank für die tipps! Würde wahrscheinlich jetzt noch dransitzen ohne deine Gedanken-anstösse!

Falls noch jemand an meiner Dovecot.conf oder main.cf interessiert ist, einfach bescheid sagen!

ach ja - hier noch ein paar links die sehr hilfreich waren für das Setup :

http://holl.co.at/howto-email/
http://www.postfix.org/TLS_README.html
http://www.postfix.org/SASL_README.html
http://www.abuse.net/relay.html

[heatwalker]

Na gerne doch.

[nmoenks]

hmm - jetzt sind mir noch ein paar letzte Sachen eingefallen für heute

- welche anti-spam lösung würdest du empfehlen? hatte in dem how-to policy-weight drinnen aber soweit auf deren entwicklerseite zu lesen ist, haben die gerade aufgehört mit dem Project

- hat jemand vielleicht spontan ein gutes Webinterface im Sinn?

- mir sitzt noch die Sache mit den Zertifikaten im Hinterkopf, momentan habe ich ja die TLS Zertifikate auf meine haupt domain gesetzt. was ist nun wenn ich virtuelle Domains dabei habe? bekommen die dann immer eine fehler meldung da ja der CNAME den sie abfragen nicht mit login übereinstimmt? oder kann man das umgehen? Zitat aus dem Howto:

Code:

"Wichtig ist, dass bei der Frage nach dem Common Name (CN) der vollständige Hostname eingetragen wird (z. B. mail.example.com oder example.com). Denn wenn sich ein Client zum Host example.com verbindet und beim Common Name aber nur example eingegeben wurde, bekommt der Client eine Warnung, dass der Name des Hosts nicht mit dem des Common Name übereinstimmt."

- Momentan existiert ja für jede Mailbox ein lokaler Username / Pw (in ferner Zukunft sollte das ganze dann über eine LDAP Datenbank laufen aber ich fürchte da brauche ich noch etwas ) Was wäre der einfachste Weg, diese User davon abzuhalten, sich per SSH an dem Server anzumelden?

also das sind alles gerade noch Ideen - vielleicht hat jemand noch spontan eine Idee dazu?

[heatwalker]

- welche anti-spam lösung würdest du empfehlen? hatte in dem how-to policy-weight drinnen aber soweit auf deren entwicklerseite zu lesen ist, haben die gerade aufgehört mit dem Project

Da gibt es mehrere Ansätze. Such einfach mal durchs Forum. Gab es schon öfter.

- hat jemand vielleicht spontan ein gutes Webinterface im Sinn?

Ein Webinterface wofür?

- mir sitzt noch die Sache mit den Zertifikaten im Hinterkopf, momentan habe ich ja die TLS Zertifikate auf meine haupt domain gesetzt. was ist nun wenn ich virtuelle Domains dabei habe? bekommen die dann immer eine fehler meldung da ja der CNAME den sie abfragen nicht mit login übereinstimmt? oder kann man das umgehen? Zitat aus dem Howto:

Hmmh, wenn du das Zertifikat auf den FQDN des Hostnamen ausgestellt hast und der auch als MX eingetragen ist, sollte es keine Rolle spielen.
Du kannst bei auch bei virtuellen Domains den Hostnamen angeben.
Damit stimmt das Zertifikat ja überein.

- Momentan existiert ja für jede Mailbox ein lokaler Username / Pw (in ferner Zukunft sollte das ganze dann über eine LDAP Datenbank laufen aber ich fürchte da brauche ich noch etwas ) Was wäre der einfachste Weg, diese User davon abzuhalten, sich per SSH an dem Server anzumelden?

Da reicht es, wenn du in der passwd das login auf /bin/false setzts.

Code:

blub:x:504:506:User for Mail:/home/blub:/bin/false

[nmoenks]

sorry - war wohl etwas unklar,

ein webinterface um auf die mailboxen zuzugreifen und das idealerweise die user ihr passwort ändern könnten.,

im zertifikat ist der FQDN angegeben - muss nochmal probieren wie das mit den anderen mailboxen jetzt aussieht dann.

ist ja schonmal klasse das es soweit läuft

danke nochmal

[michael.sprick]

Welche Distribution setzt du ein?

Die sasl authenfizierung muss ganz am Anfang stehen.
Wenn du "permit mynetworks" als erstes angibst, wird alles verworfen
was nicht aus deinem Netzwerk kommt.

Ich kann es zwar nicht beschwören, aber meiner Information nach stimmt das so nicht ganz. Es wäre auch unlogisch...

Wenn permit_mynetworks nicht zutrifft, weil die Mail also von einem entfernten Host kommt, dann wird die Mail nicht gleich abgelehnt, sondern die nächste Bedingung wird geprüft, bis entweder ein permit_irgendwas die Zustellung erlaubt oder ein reject_irgendwas die Zustellung unterbindet.

Stünde nun beispielsweise reject_unknown_recipient_domain an erster Stelle, würde der Mailserver niemals Mails nach "draußen" senden. Egal ob sich der absender authentifiziert oder nicht.

Würde aber ein permit_mynetworks an erster Stelle dafür sorgen, dass Mails abgelehnt werden, die nicht nicht aus mynetworks stammen, dann könnte niemand von außerhalb (bspw. web.de) bei Deinem Mailserver eine Mail ablegen.

Insofern muss zwangsläufig auch der nächste Eintrag geprüft werden... wird er auch.

Ob nun also permit_mynetworks oder permit_sasl_authenticated an erster Stelle steht, spielt keine Rolle. Zumindest nicht in diesem Zusammenhang.

Nur so, wie es der Threadersteller ganz zu Anfang hatte, konnte es nicht funktionieren, weil reject_unknown_recipient_domain vor permit_sasl_authenticated stand. Damit fliegt die Mail raus, bevor die nächste Bedingung geprüft wird.

hth

[michael.sprick]

ein webinterface um auf die mailboxen zuzugreifen und das idealerweise die user ihr passwort ändern könnten.,

Da gibt es unterschiedliche... Squirrelmail, zum Beispiel. Auch RoundCube ist ganz nett.
Um das Passwort zu ändern gibt es z.B. für Squirrelmail ein Plugin.

[heatwalker]

@michael.sprick: Der Eintrag "permit_mynetwork" stellt sicher das nur hosts, die dort eingetragen sind, den Mailserver als relay benutzen dürfen.

Das betrifft dann auch Clients welche Mails über den entsprechenden Server versenden wollen.

Bedeutet also, wenn du von einem DSL anschluss aus über "deinen" mailserver mails verschicken willst, würde postfix dieses ablehnen, weil die IP Adresse des Clients nicht in "mynetworks" steht.

Da die erste Regel zugetroffen hat, wird auch keine weitere Regel abgefragt.

Deshalb ist das schon so korrekt wie ich es aufgeführt habe.

[michael.sprick]

Du hast mich falsch verstanden:

Da die erste Regel zugetroffen hat, wird auch keine weitere Regel abgefragt.

Wenn permit_mynetworks als erste Regel zutrifft, wird keine weitere mehr abgefragt - soweit richtig. Aber wenn sie NICHT zutrifft, und darum geht es hier ja, wird auch noch die nächste Regel abgefragt, bis eine eindeutige Aussage getroffen werden kann.

Also zum Beispiel:

Code:

reject_non_fqdn_sender:
Absender hat keine vollständige Emailadresse angegeben?
 - Ja - dann verweigern und raus! (eindeutige Aussage)
 - Nein - dann nächste Regel

reject_non_fqdn_recipient:
Empfänger hat keine vollständige Emailadresse angegeben?
 - Ja - dann verweigern und raus! (eindeutige Aussage)
 - Nein - dann nächste Regel

permit_mynetworks: 
Mail kommt aus mynetworks? 
 Ja - dann durchlassen und raus! (eindeutige Aussage)
 Nein - dann nächste Regel

allow_sasl_authenticated:
Absender über SASL authentifiziert?
 Ja - dann durchlassen und raus! (eindeutige Aussage)
 Nein - dann nächste Regel

reject_unauth_destination:
Bis hierhin noch nicht autorisiert worden, um an das Ziel zu senden?
 - Ja - dann verweigern und raus! (eindeutige Aussage)
 - Nein - dann nächste Regel

check_sender_access:
Benutzerdefinierte Regel (zb. aus mysql-DB) verweigert die Zustellung:
  Ja - dann verweigern und raus! (eindeutige Aussage)
  Nein - dann weiter (zustellung, da letzte Regel)

Insofern ist es in diesem Zusammenhang hier egal, ob permit_mynetworks vor oder hinter allow_sasl_authenticated steht. Da in beiden Fällen zur nächsten Regel gesprungen wird, wenn die Prüfung NICHT positiv ist.