centos:mail_c7:dovecot_2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:mail_c7:dovecot_2 [10.08.2014 12:06. ] djangocentos:mail_c7:dovecot_2 [22.07.2019 14:41. ] (aktuell) django
Zeile 307: Zeile 307:
  
 === automatische Pflege === === automatische Pflege ===
-<WRAP round important>Erreicht nun eine Kontaktanfrage von einem fremden Mailserver, also einem Server, der __**nicht**__ in **$mynetworks** definiert ist, kann man im Logfile des Mailservers sehr schön beobachten, wie Postfix die Adressen überprüft.</WRAP>+<WRAP round important>Erreicht nun eine Kontaktanfrage von einem fremden Mailserver, also einem Server, der **__nicht__** in **$mynetworks** definiert ist, kann man im Logfile des Mailservers sehr schön beobachten, wie Postfix die Adressen überprüft.</WRAP>
    # tail -f /var/log/maillog    # tail -f /var/log/maillog
 <code>... <code>...
Zeile 354: Zeile 354:
 Connected to 10.0.0.70. Connected to 10.0.0.70.
 Escape character is '^]'.</font> Escape character is '^]'.</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;220 imap.nausch.org Dovecot ready.</font>+<font style="color: rgb(66, 66, 66)">220 imap.nausch.org Dovecot ready.</font>
 <font style="color: rgb(0, 0, 255)">LHLO vml000080.dmz.nausch.org</font> <font style="color: rgb(0, 0, 255)">LHLO vml000080.dmz.nausch.org</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;250-imap.nausch.org +<font style="color: rgb(66, 66, 66)">250-imap.nausch.org 
-&nbsp;250-8BITMIME +250-8BITMIME 
-&nbsp;250-ENHANCEDSTATUSCODES +250-ENHANCEDSTATUSCODES 
-&nbsp;250 PIPELINING</font>+250 PIPELINING</font>
 <font style="color: rgb(0, 0, 255)">mail from:&lt;django@nausch.org&gt;</font> <font style="color: rgb(0, 0, 255)">mail from:&lt;django@nausch.org&gt;</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;250 2.1.0 OK</font>+<font style="color: rgb(66, 66, 66)">250 2.1.0 OK</font>
 <font style="color: rgb(0, 0, 255)">rcpt to:&lt;michael@nausch.org&gt;</font> <font style="color: rgb(0, 0, 255)">rcpt to:&lt;michael@nausch.org&gt;</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;250 2.1.0 OK</font>+<font style="color: rgb(66, 66, 66)">250 2.1.0 OK</font>
 <font style="color: rgb(0, 0, 255)">DATA</font> <font style="color: rgb(0, 0, 255)">DATA</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;354 OK</font>+<font style="color: rgb(66, 66, 66)">354 OK</font>
 <font style="color: rgb(0, 0, 255)">From: django@nausch.org <font style="color: rgb(0, 0, 255)">From: django@nausch.org
 To: michael@nausch.org To: michael@nausch.org
Zeile 371: Zeile 371:
 Date: 2014-07-23 23:42 Date: 2014-07-23 23:42
  
- Ahoi, +Ahoi, 
- das ist eine Testmail, eingeliefert via telnet imap-server auf Port 24+das ist eine Testmail, eingeliefert via telnet imap-server auf Port 24
      
 .</font> .</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;250 2.0.0 <michael@nausch.org> UYNyIuTM0FM+YgAAOs1BfA Saved</font>+<font style="color: rgb(66, 66, 66)">250 2.0.0 <michael@nausch.org> UYNyIuTM0FM+YgAAOs1BfA Saved</font>
 <font style="color: rgb(0, 0, 255)">quit</font> <font style="color: rgb(0, 0, 255)">quit</font>
-<font style="color: rgb(66, 66, 66)">&nbsp;221 2.0.0 OK</font>+<font style="color: rgb(66, 66, 66)">221 2.0.0 OK</font>
 <font style="color: rgb(0, 0, 0)">Connection closed by foreign host.</font> <font style="color: rgb(0, 0, 0)">Connection closed by foreign host.</font>
 </pre></html> </pre></html>
Zeile 443: Zeile 443:
 Date: 2014-07-23 23:42 Date: 2014-07-23 23:42
  
- Ahoi, +Ahoi, 
- das ist eine Testmail, eingeliefert via telnet imap-server auf Port 24+das ist eine Testmail, eingeliefert via telnet imap-server auf Port 24
      
  
Zeile 454: Zeile 454:
  
 ===== Dovecot ===== ===== Dovecot =====
-==== Konfiguration von SASL ====+==== Konfiguration ====
 Die Konfiguration auf Seiten des Dovecot-Servers ist denkbar einfach, ist die grundlegende Konfiguration ja schon in der Datei //**/etc/dovecot/conf.d/10-master.conf**// vorbereitet. Die Konfiguration auf Seiten des Dovecot-Servers ist denkbar einfach, ist die grundlegende Konfiguration ja schon in der Datei //**/etc/dovecot/conf.d/10-master.conf**// vorbereitet.
    # vim /etc/dovecot/conf.d/10-master.conf    # vim /etc/dovecot/conf.d/10-master.conf
Zeile 543: Zeile 543:
     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/           0.0.0.0/           tcp dpt:993 ctstate NEW     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/           0.0.0.0/           tcp dpt:993 ctstate NEW
 </code> </code>
-===== Postfix (SASL) ===== +===== Postfix ===== 
-FIXME+Auch der Konfigurationsaufwand auf Seiten von Postfix hält sich in überschaubaren Grenzen. 
 +==== Konfiguration ==== 
 +Zum Aktivieren der SASL-Autentifikation gegen unseren Dovecot-Server tragen wir die folgenden Zeilen in der Postfix-konfigurationsdatei //**/etc/postfix/main.cf**// nach 
 +   # vim /etc/postfix/main.cf 
 +<code bash>... 
 + 
 +# Django : 2012-10-09 
 +# SMTP-Auth (SASL) 
 +# Enable SASL authentication in the Postfix SMTP server. By default, the Postfix SMTP server  
 +# does not use authentication.  
 +smtpd_sasl_auth_enable yes 
 +# The SASL plug-in type that the Postfix SMTP server should use for authentication. The available  
 +# types are and dovecot.  
 +smtpd_sasl_type dovecot 
 +# Implementation-specific information that the Postfix SMTP server passes through to the SASL  
 +# plug-in implementation that is selected with smtpd_sasl_type. Typically this specifies the  
 +# name of a configuration file or rendezvous point.  
 +smtpd_sasl_path inet:10.0.0.70:3659 
 +# Postfix SMTP server SASL security options; as of Postfix 2.3 the list of available features  
 +# depends on the SASL server implementation that is selected with smtpd_sasl_type. The following  
 +# security features are defined for the cyrus server SASL implementation: 
 +# Restrict what authentication mechanisms the Postfix SMTP server will offer to the client.  
 +# The list of available authentication mechanisms is system dependent. Specify zero or more of  
 +# the following: 
 +#               noplaintext 
 +#                               Disallow methods that use plaintext passwords.  
 +#               noactive 
 +#                               Disallow methods subject to active (non-dictionary) attack.  
 +#               nodictionary 
 +#                               Disallow methods subject to passive (dictionary) attack.  
 +#               noanonymous 
 +#                               Disallow methods that allow anonymous authentication.  
 +#               forward_secrecy 
 +#                               Only allow methods that support forward secrecy (Dovecot only).  
 +#               mutual_auth 
 +#                               Only allow methods that provide mutual authentication  
 +#                               (not available with Cyrus SASL version 1).  
 +#  
 +# By default, the Postfix SMTP server accepts plaintext passwords but not anonymous logins. 
 +
 +# Warning: it appears that clients try authentication methods in the order as advertised by the  
 +# server (e.g., PLAIN ANONYMOUS CRAM-MD5) which means that if you disable plaintext passwords,  
 +# clients will log in anonymously, even when they should be able to use CRAM-MD5. So, if you  
 +# disable plaintext logins, disable anonymous logins too. Postfix treats anonymous login as no  
 +# authentication. 
 +smtpd_sasl_security_options noanonymous 
 +# The name of the Postfix SMTP server's local SASL authentication realm. 
 +# By default, the local authentication realm name is the null string.  
 +smtpd_sasl_local_domain $mydomain 
 +#  The SASL authentication security options that the Postfix SMTP server uses for TLS encrypted  
 +# SMTP sessions. 
 +smtpd_sasl_tls_security_options = $smtpd_sasl_security_options 
 +# Enable inter-operability with remote SMTP clients that implement an obsolete version of the  
 +# AUTH command (RFC 4954). Examples of such clients are MicroSoft Outlook Express version 4  
 +# and MicroSoft Exchange version 5.0.  
 +broken_sasl_auth_clients = yes 
 + 
 + 
 +... 
 +</code> 
 + 
 +Ein Restart unseres Postfix-Servers aktiviert unsere Konfigurationsanpassungen. 
 +   # systemctl restart postfix 
 + 
 ===== SASL-Anmeldetest ===== ===== SASL-Anmeldetest =====
- FIXME+Melden wir uns nun via **telnet** auf Port **25** bei unserem Postfix-Server an werden uns nach Eingabe des **EHLO** die Authentifizierungsmöglichkeiten (gegen unseren Dovecot-SASL-Port 3569) angezeigt. 
 + 
 +Bei Test vsind die Eingaben am testenden Client in der Farbe <html><font style="color: rgb(0, 0, 255)"><b>blau</b></font></html> und die Rückmeldungen unseres Dovecot-Servers in der Farbe <html><font style="color: rgb(66, 66, 66)"><b>hellgrau</b></font></html> gekennzeichnet. Die Ausgaben des Befehls **telnet** sind in der Farbe <html><font style="color: rgb(0, 0, 0)"><b>schwarz</b></font></html> eingefärbt. 
 + 
 +Wir bauen also eine Verbindung zu unserem Postfix-Server zum **SMTP** **25** auf und setzen dann den Befehl **EHLO** ab, damit uns der SMTP-server seine Authentifizierungsoptionen anzeigt. 
 + 
 +<html><pre class="code"> 
 +<font style="color: rgb(0, 0, 0)">$ </font><font style="color: rgb(0, 0, 255)">telnet 10.0.0.80 25</font> 
 +<font style="color: rgb(0, 0, 0)">Trying 10.0.0.80... 
 +Connected to 10.0.0.80. 
 +Escape character is '^]'.</font> 
 +<font style="color: rgb(66, 66, 66)">220 mx01.nausch.org ESMTP Postfix</font> 
 +<font style="color: rgb(0, 0, 255)">EHLO test</font> 
 +<font style="color: rgb(66, 66, 66)">250-mx01.nausch.org 
 +250-PIPELINING 
 +250-SIZE 52428800 
 +250-ETRN 
 +250-STARTTLS 
 +250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 
 +250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5 
 +250-ENHANCEDSTATUSCODES 
 +250 8BITMIME</font> 
 +<font style="color: rgb(0, 0, 255)">quit</font> 
 +<font style="color: rgb(66, 66, 66)">221 2.0.0 Bye</font> 
 +<font style="color: rgb(0, 0, 0)">Connection closed by foreign host.</font> 
 +</pre></html> 
 + 
 +Melden wir uns nun über unseren Mailclient an, typischerweise passiert das jeweils vor dem Versand von ausgehenden Nachrichten, sehen wir diese Anmeldungen auch im Maillog unseres Postfix-Servers 
 +   # less /var/log/maillog 
 + 
 +   Aug 10 10:56:29 vml000080 postfix/smtpd[20787]: A46D975: client=vml000020.dmz.nausch.org[10.0.0.20], sasl_method=LOGIN, sasl_username=django@nausch.org 
 + 
 +Auf seiten unseres Dovecot-Servers passiert natürlich wesentlich mehr, da ja dort die Authentifizierungsanfrage des Postfix-Servers angenommen und bearbeitet wird. Im Detail bedeutet dies, dass der Dovecot-Server eine **passdb-Anfrage** gegen unsere MySQL-Datenbank macht und das Ergebnis **OK** an den postfix-Frontend-Server zurückmeldet. 
 +   # less /var/log/maillog 
 + 
 +<code bash>Aug 10 10:56:29 vml000070 dovecot: auth: Debug: auth client connected (pid=0) 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client in: AUTH#0111#011LOGIN#011service=smtp#011nologin#011lip=10.0.0.80#011rip=10.0.0.20#011secured 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client passdb out: CONT#0111#011VXNlcm5hbWU6 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client in: CONT#0111#011bWljaGFlbEBuYXVzY2gub3Jn (previous base64 data may contain sensitive data) 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client passdb out: CONT#0111#011UGFzc3dvcmQ6 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client in: CONT#0111#011RGQ0bWRkMyE= (previous base64 data may contain sensitive data) 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: sql(michael@nausch.org,10.0.0.20): cache expired 
 +Aug 10 10:56:29 vml000070 dovecot: auth-worker(6830): Debug: Loading modules from directory: /usr/lib64/dovecot/auth 
 +Aug 10 10:56:29 vml000070 dovecot: auth-worker(6830): Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_mysql.so 
 +Aug 10 10:56:29 vml000070 dovecot: auth-worker(6830): Debug: Module loaded: /usr/lib64/dovecot/auth/libdriver_sqlite.so 
 +Aug 10 10:56:29 vml000070 dovecot: auth-worker(6830): Debug: sql(michael@nausch.org,10.0.0.20): query: SELECT username AS user, password FROM mailbox WHERE username = 'michael@nausch.org' AND active = '1' 
 +Aug 10 10:56:29 vml000070 dovecot: auth: Debug: client passdb out: OK#0111#011user=michael@nausch.org#011 
 +</code> 
 + 
 + 
  
-   Aug 10 10:56:30 vml000080 postfix/smtpd[20787]: A46D975: client=vml000020.dmz.nausch.org[10.0.0.20], sasl_method=LOGIN, sasl_username=django@nausch.org 
  
  
Zeile 556: Zeile 669:
   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**   * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
  
-~~DISCUSSION~~ 
  
  • centos/mail_c7/dovecot_2.1407672417.txt.gz
  • Zuletzt geändert: 10.08.2014 12:06.
  • von django