Postfix/Authentifizierug: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „Kategorie:Postfix“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
== SASL-Authentifizierung als Server == | |||
'''Fehlerhafte Anleitung ''' | |||
Diese Anleitung ist fehlerhaft. | |||
Wenn du weißt, wie du sie ausbessern kannst, nimm dir bitte die Zeit und bessere sie aus. | |||
'''Anmerkung''' | |||
In den neuen Versionen von Postfix wurde die Konfiguration grundlegend verändert! | |||
Das sorgt dafür, dass die Vorgehensweise sich auch grundlegend verändert hat! | |||
Um einen SMTP-Dienst auch außerhalb des sicheren LANs anbieten zu können, sollte man eine Authentifizierung durch die Clients einfordern, damit man kein ''offenes Relay'' für Spammer o.ä. anbietet. | |||
Dafür wird das ''Simple Authentication and Security Layer (SASL)''-Framework verwendet, welches z.B. über das Cyrus-Sasl-Projekt realisiert wird. | |||
'''Achtung''' | |||
Bei dieser Installation werden Benutzerpasswörter im Klartext übertragen. Man sollte also zusehen, für die Verbindung [https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/#tls SSL-/TLS-Verschlüsselung] zu verwenden. | |||
Hierfür müssen folgende Pakete installiert werden [https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/#source-1 [1]]: | |||
* '''sasl2-bin''' | |||
* '''libsasl2-2''' | |||
* '''libsasl2-modules''' | |||
Cyrus SASL bietet mehrere Arten, Authentifizierungsdienste bereitzustellen. | |||
* Da man z.B. mit ''auxprop'' nicht gegen die normalen Shadow-Passwörter des Linuxsystems authentifizieren kann, wird hier die Einrichtung mit ''saslauthd'' beschrieben. | |||
* Zunächst muss die Konfigurationsdatei '''/etc/default/saslauthd''' angepasst [https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/#source-3 [3]] und folgendes eingetragen werden: | |||
START=yes | |||
MECHANISMS="shadow" | |||
Dann muss eine neue Datei '''/etc/postfix/sasl/smtpd.conf''' erstellt werden: | |||
pwcheck_method: saslauthd | |||
mech_list: PLAIN LOGIN | |||
saslauthd_path: /var/run/saslauthd/mux | |||
Und die '''/etc/postfix/main.cf''' muss natürlich auch noch angepasst werden: | |||
smtpd_sasl_auth_enable = yes | |||
smtpd_recipient_restrictions = | |||
permit_mynetworks permit_sasl_authenticated reject_unauth_destination | |||
smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_hostname | |||
# Postfix >= 2.3, ab Edgy | |||
smtpd_sasl_path = smtpd | |||
broken_sasl_auth_clients = yes | |||
Die letzte Zeile ist notwendig, weil sonst ein paar ältere Versionen von Microsoft-Software nicht korrekt funktioniert. Sollte es später beim Anmelden Probleme geben, sollte man die Kommentare <tt> # Postfix >= 2.3</tt> entfernen. | |||
=== Gruppenberechtigungen für sasl setzen === | |||
Standardmäßig läuft der sasl Dienst mit eigenen Rechten, auf die postfix keinen Zugriff hat. Daher ist es nötig, den user "postfix" der Gruppe "sasl" hinzuzufügen: | |||
# adduser postfix sasl | |||
=== Sicherheitseinstellungen anpassen === | |||
Jetzt könnte eigentlich alles funktionieren, wenn es nicht noch ein Problem gäbe, nämlich die Sicherheitseinstellungen von Postfix. Postfix sperrt nämlich den '''smtpd''' standardmäßig in eine [https://wiki.ubuntuusers.de/chroot/ chroot]-Umgebung, wo er den Sasl-Socket nicht finden kann. Es gibt mehrere Möglichkeiten, dieses Problem zu umgehen. | |||
==== Methode 1: chroot abschalten ==== | |||
Das geht am einfachsten und ist wahrscheinlich auch am praktischsten, wenn noch andere Dienste (wie z.B. ein IMAP-Server) den '''saslauthd''' nutzen wollen. Dazu muss einfach nur in der Datei '''/etc/postfix/master.cf''' in der ''smtpd''-Zeile ein '''n''' in die ''chroot''-Spalte eingetragen werden: | |||
# service type private unpriv chroot wakeup maxproc command + args | |||
# (yes) (yes) (yes) (never) (100) | |||
# ========================================================================== | |||
smtp inet n - n - - smtpd | |||
smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes | |||
==== Methode 2: Socket in den chroot legen ==== | |||
Da Postfix seinen Prozess nach '''/var/spool/postfix''' ''chrooted'', sucht dieser dann den Saslauthd-Socket in '''/var/spool/postfix/var/run/saslauthd/'''. Man muss also dem saslauthd befehlen, den Socket dort zu eröffnen, indem man in der oben erwähnten Datei /etc/default/saslauthd den Eintrag ändert: | |||
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd" | |||
=== Aktivieren === | |||
Abschließend müssen Saslauthd und Postfix noch neu gestartet werden [https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/#source-2 [2]]: | |||
sudo /etc/init.d/saslauthd restart | |||
sudo /etc/init.d/postfix restart | |||
=== Testen === | |||
Man kann testen, ob alles klappt, indem man mit dem Telnet-Client direkt mit dem Server kommuniziert. Dafür muss man aber erstmal einen String aus den Zugangsdaten zur späteren Verwendung nach [https://de.wikipedia.org/wiki/Base64 base64] konvertieren. Im folgenden Beispiel lautet der Benutzername "test" und das Passwort "testtest" und der String muss genau so (mit doppeltem Namen und \0 als Trennzeichen) eingegeben werden: | |||
$ perl -MMIME::Base64 -e 'print encode_base64("test\0test\0testtest");' | |||
dGVzdAB0ZXN0AHRlc3R0ZXN0 | |||
$ telnet dapper-lamp 25 | |||
Trying 192.168.4.55... | |||
Connected to dapper-lamp.otze. | |||
Escape character is '^]'. | |||
220 dapper-lamp.otze ESMTP Postfix (Ubuntu) | |||
ehlo test | |||
250-dapper-lamp.otze | |||
250-PIPELINING | |||
250-SIZE 10240000 | |||
250-VRFY | |||
250-ETRN | |||
250-STARTTLS | |||
250-AUTH LOGIN PLAIN | |||
250 8BITMIME | |||
auth plain dGVzdAB0ZXN0AHRlc3R0ZXN0 | |||
235 Authentication successful | |||
quit | |||
221 Bye | |||
Connection closed by foreign host. | |||
[[Kategorie:Postfix]] | [[Kategorie:Postfix]] | ||
Version vom 28. Mai 2022, 09:06 Uhr
SASL-Authentifizierung als Server
Fehlerhafte Anleitung Diese Anleitung ist fehlerhaft. Wenn du weißt, wie du sie ausbessern kannst, nimm dir bitte die Zeit und bessere sie aus.
Anmerkung In den neuen Versionen von Postfix wurde die Konfiguration grundlegend verändert! Das sorgt dafür, dass die Vorgehensweise sich auch grundlegend verändert hat!
Um einen SMTP-Dienst auch außerhalb des sicheren LANs anbieten zu können, sollte man eine Authentifizierung durch die Clients einfordern, damit man kein offenes Relay für Spammer o.ä. anbietet. Dafür wird das Simple Authentication and Security Layer (SASL)-Framework verwendet, welches z.B. über das Cyrus-Sasl-Projekt realisiert wird.
Achtung Bei dieser Installation werden Benutzerpasswörter im Klartext übertragen. Man sollte also zusehen, für die Verbindung SSL-/TLS-Verschlüsselung zu verwenden.
Hierfür müssen folgende Pakete installiert werden [1]:
- sasl2-bin
- libsasl2-2
- libsasl2-modules
Cyrus SASL bietet mehrere Arten, Authentifizierungsdienste bereitzustellen.
- Da man z.B. mit auxprop nicht gegen die normalen Shadow-Passwörter des Linuxsystems authentifizieren kann, wird hier die Einrichtung mit saslauthd beschrieben.
- Zunächst muss die Konfigurationsdatei /etc/default/saslauthd angepasst [3] und folgendes eingetragen werden:
START=yes MECHANISMS="shadow"
Dann muss eine neue Datei /etc/postfix/sasl/smtpd.conf erstellt werden:
pwcheck_method: saslauthd mech_list: PLAIN LOGIN saslauthd_path: /var/run/saslauthd/mux
Und die /etc/postfix/main.cf muss natürlich auch noch angepasst werden:
smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_hostname # Postfix >= 2.3, ab Edgy smtpd_sasl_path = smtpd broken_sasl_auth_clients = yes
Die letzte Zeile ist notwendig, weil sonst ein paar ältere Versionen von Microsoft-Software nicht korrekt funktioniert. Sollte es später beim Anmelden Probleme geben, sollte man die Kommentare # Postfix >= 2.3 entfernen.
Gruppenberechtigungen für sasl setzen
Standardmäßig läuft der sasl Dienst mit eigenen Rechten, auf die postfix keinen Zugriff hat. Daher ist es nötig, den user "postfix" der Gruppe "sasl" hinzuzufügen:
# adduser postfix sasl
Sicherheitseinstellungen anpassen
Jetzt könnte eigentlich alles funktionieren, wenn es nicht noch ein Problem gäbe, nämlich die Sicherheitseinstellungen von Postfix. Postfix sperrt nämlich den smtpd standardmäßig in eine chroot-Umgebung, wo er den Sasl-Socket nicht finden kann. Es gibt mehrere Möglichkeiten, dieses Problem zu umgehen.
Methode 1: chroot abschalten
Das geht am einfachsten und ist wahrscheinlich auch am praktischsten, wenn noch andere Dienste (wie z.B. ein IMAP-Server) den saslauthd nutzen wollen. Dazu muss einfach nur in der Datei /etc/postfix/master.cf in der smtpd-Zeile ein n in die chroot-Spalte eingetragen werden:
# service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - n - - smtpd smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
Methode 2: Socket in den chroot legen
Da Postfix seinen Prozess nach /var/spool/postfix chrooted, sucht dieser dann den Saslauthd-Socket in /var/spool/postfix/var/run/saslauthd/. Man muss also dem saslauthd befehlen, den Socket dort zu eröffnen, indem man in der oben erwähnten Datei /etc/default/saslauthd den Eintrag ändert:
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"
Aktivieren
Abschließend müssen Saslauthd und Postfix noch neu gestartet werden [2]:
sudo /etc/init.d/saslauthd restart sudo /etc/init.d/postfix restart
Testen
Man kann testen, ob alles klappt, indem man mit dem Telnet-Client direkt mit dem Server kommuniziert. Dafür muss man aber erstmal einen String aus den Zugangsdaten zur späteren Verwendung nach base64 konvertieren. Im folgenden Beispiel lautet der Benutzername "test" und das Passwort "testtest" und der String muss genau so (mit doppeltem Namen und \0 als Trennzeichen) eingegeben werden:
$ perl -MMIME::Base64 -e 'print encode_base64("test\0test\0testtest");'
dGVzdAB0ZXN0AHRlc3R0ZXN0
$ telnet dapper-lamp 25
Trying 192.168.4.55...
Connected to dapper-lamp.otze.
Escape character is '^]'.
220 dapper-lamp.otze ESMTP Postfix (Ubuntu)
ehlo test
250-dapper-lamp.otze
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250 8BITMIME
auth plain dGVzdAB0ZXN0AHRlc3R0ZXN0
235 Authentication successful
quit
221 Bye
Connection closed by foreign host.