Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:postfix3_8 [10.02.2019 07:21. ] – [Testen] django
+++ centos:mail_c7:postfix3_8 [10.02.2019 07:49. ] – [Test der Authentifizierung] django
@@ Zeile 768: / Zeile 768: @@
 ==== Authentifizierungsoptionen ====
+Als erstes testen wir, ob und ggf. welche SASL-Mechanismen unser Postfix SMTP-Server nun anbietet. Dazu geben wir beim nachfolgenden Programmaufruf bewusst erst einmal ein falsches Passwort an, da wir unseren Blick erst einmal auf die angebotenen SASL-Mechanismen werfen wollen.
+   # swaks --to django@nausch.org --from django@mailserver.guru --auth CRAM-MD5 --auth-user django@mailserver.guru \
+           --auth-password youcanfullytrustyourgovernment! --protocol ESMTPS --header-X-Test "test email" --server 10.0.0.80:587
-Als erstes testen wir, ob und ggf. welche SASL-Mechanismen unser Postfix SMTP-Server nun anbietet. Dazu öffnet wir eine SMTP-Sitzung und melden uns beim SMTP-Daemon mit dem "Begrüßungsbefehl" //**EHLO**//. Der Server offeriert uns dann die SASL-Mechanismen, die er dem Client anbietet.
+<code>=== Trying 10.0.0.80:587...
-   # telnet ::1 25
+=== Connected to 10.0.0.80.
-<code>Trying ::1...
+<-  220 mx1.nausch.org ESMTP Postfix
-Connected to ::1.
+ -> EHLO vml000080.dmz.nausch.org
-Escape character is '^]'.
+<-  250-mx1.nausch.org
- mx01.nausch.org ESMTP Postfix
+<-  250-PIPELINING
-EHLO foo
+<-  250-SIZE 52428800
--mx01.nausch.org
+<-  250-ETRN
--PIPELINING
+<-  250-STARTTLS
--SIZE 52428800
+<-  250-ENHANCEDSTATUSCODES
--ETRN
+<-  250-8BITMIME
--STARTTLS
+<-  250-DSN
--AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM
+<-  250 SMTPUTF8
--AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM
+ -> STARTTLS
--ENHANCEDSTATUSCODES
+<-  220 2.0.0 Ready to start TLS
-8BITMIME
+=== TLS started with cipher TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256
-quit
+=== TLS no local certificate set
-2.0.0 Bye
+=== TLS peer DN="/OU=Domain Control Validated/CN=*.nausch.org"
-Connection closed by foreign host.
+ ~> EHLO vml000080.dmz.nausch.org
-</code>
+<~  250-mx1.nausch.org
+<~  250-PIPELINING
+<~  250-SIZE 52428800
+<~  250-ETRN
+<~  250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM
+<~  250-AUTH=PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM
+<~  250-ENHANCEDSTATUSCODES
+<~  250-8BITMIME
+<~  250-DSN
+<~  250 SMTPUTF8
+ ~> AUTH CRAM-MD5
+<~  334 PDI1NTEzNjUyNDE3Njk3MDguMTU0OTc4MzcyN0B2bWwwMDAwNzcuZG16Lm5hdXNjaC5vcmc+
+ ~> ZGphbmdvQG1haWxzZXJ2ZXIuZ3VydSA4NTEzMzE4M2YxZjhiZDRjNzc2N2Q2MGM2ODc4ODhmYw==
+<~* 535 5.7.8 Error: authentication failed: PDI1NTEzNjUyNDE3Njk3MDguMTU0OTc4MzcyN0B2bWwwMDAwNzcuZG16Lm5hdXNjaC5vcmc+. Contact your postmaster/admin for technical assistance. He can achieve our postmaster via email: postmaster@nausch.org or via fax: +49 8121 883179. In any case, please provide the following information in your problem report: This error message, time (Feb 10 08:28:49), client (10.0.0.80) and server (mx1.nausch.org).
+*** No authentication type succeeded
+ ~> QUIT
+<~  221 2.0.0 Bye
+=== Connection closed with remote host.</code>
-An der zweiten Zeile ''250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM'' bei den **ESMTP**-Rückmeldungen beim SMTP-Dialog, nach dem sich der Client mit ''EHLO <hostname>'' gemeldet hat, sehen wir den gesetzten **broken_sasl_auth_clients = yes**. Der Der Wert **yes** beim Konfigurationsparameter **broken_sasl_auth_clients** bewirkt, dass auch Clients wie z.B. MicroSoft Outlook Express Version 4 oder MicroSoft Exchange version 5.0, die die obsoleten Authentifizierungsbefehle (RFC 4954) unterstützen, sich authentifizieren können.
+Natürlich wird der erfolglose Verbindungsaufbau auch entsprechend mit einem **//warning//** im Maillog protokolliert.
+<code>Feb 10 08:28:47 vml000080 postfix/submission/smtpd[27078]: connect from vml000080.dmz.nausch.org[10.0.0.80]
+Feb 10 08:28:47 vml000080 postfix/submission/smtpd[27078]: Anonymous TLS connection established from vml000080.dmz.nausch.org[10.0.0.80]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
+Feb 10 08:28:49 vml000080 postfix/submission/smtpd[27078]: warning: vml000080.dmz.nausch.org[10.0.0.80]: SASL CRAM-MD5 authentication failed: PDI1NTEzNjUyNDE3Njk3MDguMTU0OTc4MzcyN0B2bWwwMDAwNzcuZG16Lm5hdXNjaC5vcmc+
+Feb 10 08:28:49 vml000080 postfix/submission/smtpd[27078]: disconnect from vml000080.dmz.nausch.org[10.0.0.80] ehlo=2 starttls=1 auth=0/1 quit=1 commands=4/5</code>
+Unser Server bietet uns also folgende Authentifizierungs-Mechanismen an:
+  * PLAIN
+  * LOGIN
+  * DIGEST-MD5
+  * CRAM-MD5
+  * NTLM
+An der zweiten Zeile ''250-AUTH=PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM'' bei den **ESMTP**-Rückmeldungen beim SMTP-Dialog, nach dem sich der Client mit ''EHLO <hostname>'' gemeldet hat, sehen wir den gesetzten **broken_sasl_auth_clients = yes**. Der Wert **yes** beim Konfigurationsparameter **broken_sasl_auth_clients** bewirkt, dass auch Clients wie z.B. MicroSoft Outlook Express Version 4 oder MicroSoft Exchange version 5.0, die die obsoleten Authentifizierungsbefehle (RFC 4954) unterstützen, sich authentifizieren können.
 ==== Test der Authentifizierung ====
+<WRAP center round todo 30%>
+FIXME FIXME FIXME
+  * //**... working in progres!**//
+FIXME FIXME FIXME
+</WRAP>
 Zum leichteren Testen der Authentifizierung greifen wir auf das "Schweitzer Taschenmesser für SMTP" kurz **[[http://www.jetmore.org/john/code/swaks/|SWAKS]]** zurück. Vor allem beim Testen der **[[http://de.wikipedia.org/wiki/Challenge-Response-Authentifizierung|Challenge-Response-Authentifizierung]]** unterstützt uns **swaks** ebenso, wie beim Tippen der einzelnen SMTP-Befehle.