Dovecot Sasl | Auth not enabled

classic Classic list List threaded Threaded
17 messages Options
Reply | Threaded
Open this post in threaded view
|

Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler
Hallo.
Ich benutze Dovecot Sasl und bekomme diese Fehlermeldung:

regular_text:  Out: 220 mx18.mxtest.example.de
regular_text:  In:  EHLO 130.180.70.238
regular_text:  Out: 250-mx18.mxtest.example.de
regular_text:  Out: 250-PIPELINING
regular_text:  Out: 250-SIZE 10240000
regular_text:  Out: 250-VRFY
regular_text:  Out: 250-ETRN
regular_text:  Out: 250-STARTTLS
regular_text:  Out: 250-ENHANCEDSTATUSCODES
regular_text:  Out: 250-8BITMIME
regular_text:  Out: 250-DSN
regular_text:  Out: 250 SMTPUTF8
regular_text:  In:  AUTH LOGIN
regular_text:  Out: 503 5.5.1 Error: authentication not enabled
regular_text:
regular_text: Session aborted, reason: lost connection

Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben wie
AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter benutze:

# SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
# zeigt "250-AUTH=..." zusätzlich zu "250-AUTH ..." ohne =, bspw. für
Outlook bis Version 2003:
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = example.de


Wisst Ihr Rat?
Danke,
Steffi
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Markus Schönhaber-2
Stefanie Leisestreichler, 20.2.2019 12:53 +0100:

> Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben wie
> AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter benutze:
>
> # SASL
> smtpd_sasl_type = dovecot
> smtpd_sasl_path = private/auth
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> # zeigt "250-AUTH=..." zusätzlich zu "250-AUTH ..." ohne =, bspw. für
> Outlook bis Version 2003:
> broken_sasl_auth_clients = yes
> smtpd_sasl_local_domain = example.de

Poste mal die Ausgabe von
postconf -n
auf der Postfix-Maschine. Das zeigt die tatsächlich verwendeten und vom
Standard abweichenden Einstellungen.

Evtl. findest Du aber auch schon mit
egrep '(warning|error|fatal|panic):' /Dein/Mail/Logfile
einen Hinweis, was Sache ist.

--
Gruß
  mks

Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler

Am 20.02.19 um 13:09 schrieb Markus Schönhaber:

> Stefanie Leisestreichler, 20.2.2019 12:53 +0100:
>
>> Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben wie
>> AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter benutze:
>>
>> # SASL
>> smtpd_sasl_type = dovecot
>> smtpd_sasl_path = private/auth
>> smtpd_sasl_auth_enable = yes
>> smtpd_sasl_security_options = noanonymous
>> # zeigt "250-AUTH=..." zusätzlich zu "250-AUTH ..." ohne =, bspw. für
>> Outlook bis Version 2003:
>> broken_sasl_auth_clients = yes
>> smtpd_sasl_local_domain = example.de
>
> Poste mal die Ausgabe von
> postconf -n
> auf der Postfix-Maschine. Das zeigt die tatsächlich verwendeten und vom
> Standard abweichenden Einstellungen.
>
> Evtl. findest Du aber auch schon mit
> egrep '(warning|error|fatal|panic):' /Dein/Mail/Logfile
> einen Hinweis, was Sache ist.
>

Gerne.
Anbei die Ausgabe von postconf -n.
Ich hatte smtpd_tls_auth_only = yes schon auf no gesetzt, aber auch dann
wird AUTH nicht angeboten. Das Log enthält zwar einen Error, aber nicht
in Zusammenhang mit AUTH/SASL, sondern weil postmaster noch nicht
korrekt umgeschrieben wird.

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
canonical_classes = envelope_sender
canonical_maps = hash:/etc/postfix/canonical
compatibility_level = 2
delay_warning_time = 1h
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
mydestination = intranet.example.de, pp-mail-2018.intranet.example.de,
localhost, localhost.intranet.example.de
myhostname = mx18.mxtest.example.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.177.0/24
myorigin = /etc/mailname
notify_classes = bounce, 2bounce, delay, protocol, resource, software
parent_domain_matches_subdomains =
debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients
readme_directory = no
recipient_delimiter = +
relayhost =
remote_header_rewrite_domain = domain.invalid
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname
smtpd_client_restrictions = reject_rbl_client ix.dnsbl.manitu.net
smtpd_helo_required = no
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination,
check_policy_service inet:127.0.0.1:60000
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = example.de
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions =
smtpd_tls_auth_only = yes
smtpd_tls_cert_file =
/etc/ssl/certs/mx18.example.de.HE_CombinedCert-20190125.crt
smtpd_tls_key_file = /etc/ssl/private/mx18.example.de.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
strict_rfc821_envelopes = no
virtual_alias_maps = hash:/etc/postfix/virtual_mailboxes_aliases
virtual_gid_maps = static:2222
virtual_mailbox_base = /var/spool/virtual_mailboxes
virtual_mailbox_domains = mxtest.example.de, example.de
virtual_mailbox_maps = hash:/etc/postfix/virtual_mailboxes_recipients
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_uid_maps = static:2222
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Alex JOST
In reply to this post by Stefanie Leisestreichler
Am 20.02.2019 um 12:53 schrieb Stefanie Leisestreichler:

> Hallo.
> Ich benutze Dovecot Sasl und bekomme diese Fehlermeldung:
>
> regular_text:  Out: 220 mx18.mxtest.example.de
> regular_text:  In:  EHLO 130.180.70.238
> regular_text:  Out: 250-mx18.mxtest.example.de
> regular_text:  Out: 250-PIPELINING
> regular_text:  Out: 250-SIZE 10240000
> regular_text:  Out: 250-VRFY
> regular_text:  Out: 250-ETRN
> regular_text:  Out: 250-STARTTLS
> regular_text:  Out: 250-ENHANCEDSTATUSCODES
> regular_text:  Out: 250-8BITMIME
> regular_text:  Out: 250-DSN
> regular_text:  Out: 250 SMTPUTF8
> regular_text:  In:  AUTH LOGIN
> regular_text:  Out: 503 5.5.1 Error: authentication not enabled
> regular_text:
> regular_text: Session aborted, reason: lost connection
>
> Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben wie
> AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter benutze:
>
> # SASL
> smtpd_sasl_type = dovecot
> smtpd_sasl_path = private/auth
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> # zeigt "250-AUTH=..." zusätzlich zu "250-AUTH ..." ohne =, bspw. für
> Outlook bis Version 2003:
> broken_sasl_auth_clients = yes
> smtpd_sasl_local_domain = example.de

Um welchen Port geht es hier?

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Alex JOST
Am 20.02.2019 um 14:27 schrieb Stefanie Leisestreichler:

>
> Am 20.02.19 um 14:08 schrieb Alex JOST:
>> Am 20.02.2019 um 12:53 schrieb Stefanie Leisestreichler:
>>> Hallo.
>>> Ich benutze Dovecot Sasl und bekomme diese Fehlermeldung:
>>>
>>> regular_text:  Out: 220 mx18.mxtest.example.de
>>> regular_text:  In:  EHLO 130.180.70.238
>>> regular_text:  Out: 250-mx18.mxtest.example.de
>>> regular_text:  Out: 250-PIPELINING
>>> regular_text:  Out: 250-SIZE 10240000
>>> regular_text:  Out: 250-VRFY
>>> regular_text:  Out: 250-ETRN
>>> regular_text:  Out: 250-STARTTLS
>>> regular_text:  Out: 250-ENHANCEDSTATUSCODES
>>> regular_text:  Out: 250-8BITMIME
>>> regular_text:  Out: 250-DSN
>>> regular_text:  Out: 250 SMTPUTF8
>>> regular_text:  In:  AUTH LOGIN
>>> regular_text:  Out: 503 5.5.1 Error: authentication not enabled
>>> regular_text:
>>> regular_text: Session aborted, reason: lost connection
>>>
>>> Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben
>>> wie AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter
>>> benutze:
>>>
>>> # SASL
>>> smtpd_sasl_type = dovecot
>>> smtpd_sasl_path = private/auth
>>> smtpd_sasl_auth_enable = yes
>>> smtpd_sasl_security_options = noanonymous
>>> # zeigt "250-AUTH=..." zusätzlich zu "250-AUTH ..." ohne =, bspw. für
>>> Outlook bis Version 2003:
>>> broken_sasl_auth_clients = yes
>>> smtpd_sasl_local_domain = example.de
>>
>> Um welchen Port geht es hier?
>>
>
> Der Telnet war auf Port 25.

OK, ich hatte vermutet es ginge um Port 587. Für Port 587 werden die
Einstellungen von main.cf meistens in der master.cf überschrieben.

Hast Du ein 'postfix reload' ausgeführt, nachdem Du smtpd_tls_auth_only
= no' gesetzt hast?


PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich immer
einen eigenen Port dafür benutzen.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Patrick Ben Koetter-2
In reply to this post by Stefanie Leisestreichler
* Stefanie Leisestreichler <[hidden email]>:

> Hallo.
> Ich benutze Dovecot Sasl und bekomme diese Fehlermeldung:
>
> regular_text:  Out: 220 mx18.mxtest.example.de
> regular_text:  In:  EHLO 130.180.70.238
> regular_text:  Out: 250-mx18.mxtest.example.de
> regular_text:  Out: 250-PIPELINING
> regular_text:  Out: 250-SIZE 10240000
> regular_text:  Out: 250-VRFY
> regular_text:  Out: 250-ETRN
> regular_text:  Out: 250-STARTTLS
> regular_text:  Out: 250-ENHANCEDSTATUSCODES
> regular_text:  Out: 250-8BITMIME
> regular_text:  Out: 250-DSN
> regular_text:  Out: 250 SMTPUTF8
> regular_text:  In:  AUTH LOGIN
> regular_text:  Out: 503 5.5.1 Error: authentication not enabled
> regular_text:
> regular_text: Session aborted, reason: lost connection
>
> Es fehlen bei der Rückmeldung des MX beim Connect jegliche Angaben wie
> AUTH-250 LOGIN, usw., obwohl ich die folgenden Sasl-Parameter benutze:

Kann es sein, dass Du AUTH nur dann gestattest, wenn eine TLS-Session
existiert? Das ist dann der Fall, wenn Du entweder smtpd_tls_auth_only gesetzt
hast oder smtpd_tls_security_level=encrypt forderst.

Sieh Dir mal diese Verbindung zu unserem Mailserver an. *Vor* der
TLS-Session gibt Postfix ein AUTH aus. Erst *nachdem* die TLS-Session
ausgehandelt und die Kommunikation neu gestartet wurde wird ein AUTH in den
ESMTP-Capabilities angeführt:

$ swaks -f [hidden email] -t [hidden email] -s mail.sys4.de -p 587 --quit-after EHLO -tls
=== Trying mail.sys4.de:587...
=== Connected to mail.sys4.de.
<-  220 mail.sys4.de ESMTP Submission
 -> EHLO x1.sys4.de
<-  250-mail.sys4.de
<-  250-PIPELINING
<-  250-SIZE 40960000
<-  250-ETRN
<-  250-STARTTLS
<-  250-ENHANCEDSTATUSCODES
<-  250-8BITMIME
<-  250-DSN
<-  250 SMTPUTF8
 -> STARTTLS
<-  220 2.0.0 Ready to start TLS
=== TLS started with cipher TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256
=== TLS no local certificate set
=== TLS peer DN="/CN=mail.sys4.de"
 ~> EHLO x1.sys4.de
<~  250-mail.sys4.de
<~  250-PIPELINING
<~  250-SIZE 40960000
<~  250-ETRN
<~  250-AUTH PLAIN LOGIN
<~  250-AUTH=PLAIN LOGIN
<~  250-ENHANCEDSTATUSCODES
<~  250-8BITMIME
<~  250-DSN
<~  250 SMTPUTF8
 ~> QUIT
<~  221 2.0.0 Bye
=== Connection closed with remote host.

HTH

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler


Am 20.02.19 um 14:46 schrieb Patrick Ben Koetter:
> Kann es sein, dass Du AUTH nur dann gestattest, wenn eine TLS-Session
> existiert? Das ist dann der Fall, wenn Du entweder smtpd_tls_auth_only gesetzt
> hast oder smtpd_tls_security_level=encrypt forderst.

Das war der entscheidende Hinweis:
smtpd_tls_auth_only war gesetzt. Nach dem Setzen auf "no" kommt 250-AUTH
PLAIN LOGIN und 250-AUTH=PLAIN LOGIN nach der erfolgreich ausgehandelten
TLS-Session.

Ich habe jetzt meine Konfiguration jetzt in diesem Bereich so
abgeändert, dass sie Deiner entspricht:

smtpd_tls_security_level=encrypt
smtpd_tls_auth_only = no

Eine Frage stellt sich mir hierbei:
Das heisst doch implizit, dass niemand dort Mails einkippen kann, der
nicht in der Lage ist eine TLS-Session aufzubauen, oder irre ich mich?

Und:
Wie wirkt sich das bspw. auf Scripts aus, die z.B. per "mail" aus
$mynetworks getriggert werden. Können diese dann überhaupt noch dort
abgeladen werden?

Herzlichen Dank an alle für die nette Hilfe.
Steffi
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler
In reply to this post by Alex JOST


Am 20.02.19 um 14:45 schrieb Alex JOST:
> PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich immer
> einen eigenen Port dafür benutzen.

Das mache ich gerne so, wie Du es vorschlägst. Ich nehme an, Du meinst
ich soll statt dessen Port 587 verwenden, oder?

Gerne würde ich auch verstehen, warum Du das empfiehlst. Würdest Du mir
das ggfs. kurz erläutern oder einen Link zu einer entsprechenden Doku
senden?

Danke,
Steffi
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Patrick Ben Koetter-2
In reply to this post by Stefanie Leisestreichler
* Stefanie Leisestreichler <[hidden email]>:

> Am 20.02.19 um 14:46 schrieb Patrick Ben Koetter:
> > Kann es sein, dass Du AUTH nur dann gestattest, wenn eine TLS-Session
> > existiert? Das ist dann der Fall, wenn Du entweder smtpd_tls_auth_only gesetzt
> > hast oder smtpd_tls_security_level=encrypt forderst.
>
> Das war der entscheidende Hinweis:
> smtpd_tls_auth_only war gesetzt. Nach dem Setzen auf "no" kommt 250-AUTH
> PLAIN LOGIN und 250-AUTH=PLAIN LOGIN nach der erfolgreich ausgehandelten
> TLS-Session.
>
> Ich habe jetzt meine Konfiguration jetzt in diesem Bereich so abgeändert,
> dass sie Deiner entspricht:
>
> smtpd_tls_security_level=encrypt
> smtpd_tls_auth_only = no

Du kannst das "smtpd_tls_auth_only = no" in der config weglassen, denn das
Verhalten ist default.


> Eine Frage stellt sich mir hierbei:
> Das heisst doch implizit, dass niemand dort Mails einkippen kann, der nicht
> in der Lage ist eine TLS-Session aufzubauen, oder irre ich mich?

Wenn Du smtpd_tls_security_level=encrypt setzt, dann erzwingt der Postfix
smtpd Server eine TLS-Session. Ohne TLS wird er nicht mit dem Client sprechen.

Weil die RFCs verbieten auf einem "publicly referenced MTA" (lies: MTA,
welcher laut DNS der MX ist) TLS zu erzwingen, darf man seinen MX deshalb auf
Port 25 nicht mit smtpd_tls_security_level=encrypt betreiben.

Für MUAs (lies: Outlook, Thunderbird etc.) richten Postmaster und -mistresses
deshalb zusätzlich eine smtpd-Instanz auf Port 587 ein. Dort erzwingen wir TLS
und *nur dort* bieten wir auch AUTH an. Und auch *nur dann* wenn eine
TLS-Session etabliert wurde.

Der Grund hierfür ist: Nur die SASL Mechanismen PLAIN und LOGIN gestatten eine
kryptierte Speicherung von Passworten, die es bei Diebstahl schwierig bis
unmöglich machen, sie zu nutzen. Wer PLAIN und LOGIN einsetzt, holt sich damit
aber den Nachteil an Bord, dass diese SASL-Mechanismen als base64 kodierter
Plaintext (lies: ungeschützt) über den Ether gehen.

Um ein Abfangen der Identität (Login, Kennwort) bei der Übertragung zu
verhindern, erzwingen wir deshalb TLS. Dann ist die Strecke zwischen MUA und
MSA – so heißt ein MTA, der Submission auf Port 587 anbietet – verschlüsselt
und PLAIN oder LOGIN können sicher genutzt werden.


> Und:
> Wie wirkt sich das bspw. auf Scripts aus, die z.B. per "mail" aus
> $mynetworks getriggert werden. Können diese dann überhaupt noch dort
> abgeladen werden?

Diese Frage verstehe ich nicht ganz. Meinst Du damit Skripte, die aus
Netzwerksicht aus $mynetworks kommend eine Mail bei Deinem Postfix Server
abgeben wollen? Wenn sie (client) in $mynetworks sind und der Server eine
Regel permit_mynetworks in einer der smtpd_*_restrictions hat, dann sollten
die Skripte an interne Ziele senden und sogar an externe Ziele relayen dürfen.
Eine AUTH ist dafür nicht erforderlich, weil sie durch permit_mynetworks
autorisiert werden.


> Herzlichen Dank an alle für die nette Hilfe.

Gerne.

HTH

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler

Am 20.02.19 um 15:58 schrieb Patrick Ben Koetter:
> Für MUAs (lies: Outlook, Thunderbird etc.) richten Postmaster und -mistresses
> deshalb zusätzlich eine smtpd-Instanz auf Port 587 ein. Dort erzwingen wir TLS
> und*nur dort*  bieten wir auch AUTH an. Und auch*nur dann*  wenn eine
> TLS-Session etabliert wurde.

Ich danke Dir für Deine extrem hilfreichen Antworten.

Deine Hinweise werde ich 1:1 umsetzen:
Port 25 unverschlüsselt, ohne Auth,
Port 587 mit TLS und Auth.

Vielen vielen Dank.
Steffi.
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Alex JOST
In reply to this post by Stefanie Leisestreichler
Am 20.02.2019 um 15:32 schrieb Stefanie Leisestreichler:
>
>
> Am 20.02.19 um 14:45 schrieb Alex JOST:
>> PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich
>> immer einen eigenen Port dafür benutzen.
>
> Das mache ich gerne so, wie Du es vorschlägst. Ich nehme an, Du meinst
> ich soll statt dessen Port 587 verwenden, oder?

Genau. Port 587 ist inzwischen der Standardport für einliefernde MUAs.


> Gerne würde ich auch verstehen, warum Du das empfiehlst. Würdest Du mir
> das ggfs. kurz erläutern oder einen Link zu einer entsprechenden Doku
> senden?

Patrick hat es im Wesentlich gut erklärt, aber das strikte Trennen von
MTAs und MUAs hat nicht nur den Vorteil, dass man beim einen die
Verschlüsselung erzwingen kann, während man beim anderen auch
unverschlüsselte Verbindungen zulässt. Es erlaubt Dir generell
unterschiedliche Konfigurationen für einliefernde Server und Deine
Benutzer zu nutzen.

Die wichtigsten Punkte sind für mich:
* unterschiedlich starke Verschlüsselung
* DNSBLs (z.B. mit Postscreen)
* Ratelimiting


Wichtig ist aber nur das im Vorfeld schon klar zu trennen. Die Benutzer
dazu zu bewegen die Einstellungen nachträglich in allen Geräte zu ändern
kostet sehr viel Mühe und Zeit.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler

Am 20.02.19 um 17:05 schrieb Alex JOST:
> Die wichtigsten Punkte sind für mich:
> * unterschiedlich starke Verschlüsselung
> * DNSBLs (z.B. mit Postscreen)
> * Ratelimiting

Vielen herzlichen Dank, auch für diesen Hinweis.
Auch das werde ich - so wie von Dir vorgeschlagen - 1:1 umsetzen.
Da habe ich noch einiges zu lesen, scheint mir...

Steffi

Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler
In reply to this post by Stefanie Leisestreichler

Am 20.02.19 um 16:54 schrieb Stefanie Leisestreichler:
> Deine Hinweise werde ich 1:1 umsetzen:
> Port 25 unverschlüsselt, ohne Auth,
> Port 587 mit TLS und Auth.

Ich habe es jetzt so konfiguriert und alles läuft, wie von Dir
vorgeschlagen. Dieser implizite Hinweis auf swaks war ebenfalls sehr
hilfreich :-)

Wenn ich die Tipps von Alex noch umgesetzt habe, dann habe ich
hoffentlich einen Server am Start, der sich sehen lassen kann da draussen...

Nochmal danke an alle, Euer Support ist einfach genial! Alleine hätte
ich das nie geschafft.
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Patrick Ben Koetter-2
In reply to this post by Alex JOST
* Alex JOST <[hidden email]>:

> Am 20.02.2019 um 15:32 schrieb Stefanie Leisestreichler:
> >
> >
> > Am 20.02.19 um 14:45 schrieb Alex JOST:
> > > PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich
> > > immer einen eigenen Port dafür benutzen.
> >
> > Das mache ich gerne so, wie Du es vorschlägst. Ich nehme an, Du meinst
> > ich soll statt dessen Port 587 verwenden, oder?
>
> Genau. Port 587 ist inzwischen der Standardport für einliefernde MUAs.
>
>
> > Gerne würde ich auch verstehen, warum Du das empfiehlst. Würdest Du mir
> > das ggfs. kurz erläutern oder einen Link zu einer entsprechenden Doku
> > senden?
>
> Patrick hat es im Wesentlich gut erklärt, aber das strikte Trennen von MTAs
> und MUAs hat nicht nur den Vorteil, dass man beim einen die Verschlüsselung
> erzwingen kann, während man beim anderen auch unverschlüsselte Verbindungen
> zulässt. Es erlaubt Dir generell unterschiedliche Konfigurationen für
> einliefernde Server und Deine Benutzer zu nutzen.
>
> Die wichtigsten Punkte sind für mich:
> * unterschiedlich starke Verschlüsselung
> * DNSBLs (z.B. mit Postscreen)
> * Ratelimiting

Genau. Die Trennung von MUA -587-> MSA und MTA -25-> MTA gestattet
unterschiedliche Policies. Ich setze zusätzlich noch smtpd_delay_reject = no
auf Port 25, weil ich dort nicht auf fehlerhaft implementierte MUAs mehr
Rücksicht nehmen muss.

Auf großen Plattformen mache ich das nicht, solange ich mir das
Ressourcentechnisch erlauben kann. Da lasse ich die Spammer lange in die
Session reinrennen, damit die Tools viel über den Spammer lernen können. Das
hilft bei Auswertungen typische Merkmale von Spammern zu erkennen. Würde ich
sie sofort rejecten wäre der Lerngewinn geringer.

> Wichtig ist aber nur das im Vorfeld schon klar zu trennen. Die Benutzer dazu
> zu bewegen die Einstellungen nachträglich in allen Geräte zu ändern kostet
> sehr viel Mühe und Zeit.

Für die Konfiguration von MUAs empfehle ich https://automx.org. Das macht es
für Endanwender einfach, ihr Mailprogramm zu konfigurieren. Spart Zeit, man
kann "seine" sichere policy einfach durchsetzen und entlastet den Support
erheblich.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler
In reply to this post by Alex JOST
Am 20.02.19 um 17:05 schrieb Alex JOST:
> Die wichtigsten Punkte sind für mich:
> * unterschiedlich starke Verschlüsselung
> * DNSBLs (z.B. mit Postscreen)
> * Ratelimiting

Bezüglich Ratelimiting...
Wäre die folgende Konfiguration ein passabler Ansatz?

#==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
#==========================================================================
slow      unix  -       -       N       -       1       smtp

/etc/postfix/transport
example.org      slow:

slow_destination_recipient_limit = 1
slow_destination_concurrency_limit = 2
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Alex JOST
Am 21.02.2019 um 21:08 schrieb Stefanie Leisestreichler:

> Am 20.02.19 um 17:05 schrieb Alex JOST:
>> Die wichtigsten Punkte sind für mich:
>> * unterschiedlich starke Verschlüsselung
>> * DNSBLs (z.B. mit Postscreen)
>> * Ratelimiting
>
> Bezüglich Ratelimiting...
> Wäre die folgende Konfiguration ein passabler Ansatz?
>
> #==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> #==========================================================================
> slow      unix  -       -       N       -       1       smtp
>
> /etc/postfix/transport
> example.org      slow:
>
> slow_destination_recipient_limit = 1
> slow_destination_concurrency_limit = 2

Damit ändert sich nur die Geschwindigkeit mit der Postfix Nachrichten an
andere Server verschickt. Ich meinte Ratelimiting für eingehende
Nachrichten (z.B. mit rspamd oder postfwd).

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Dovecot Sasl | Auth not enabled

Stefanie Leisestreichler

Am 22.02.19 um 09:50 schrieb Alex JOST:
> Ich meinte Ratelimiting für eingehende Nachrichten (z.B. mit rspamd oder
> postfwd).

Danke für den hilfreichen Hinweis, Alex.
Bei meinen Recherchen hierzu sah ich, dass Du, wie auch Patrick, wohl
den rspamd bevorzugst. Den werde ich mir dann auch einmal genauer ansehen...

LG
Steffi