Postfix 3.1: Dovecot SASL Problem

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Postfix 3.1: Dovecot SASL Problem

Marco Dickert-2
Moin,

ich habe gerade meinen Server auf Debian Stretch geupgraded. Jetzt kann ich
keine E-Mails mehr mit mutt versenden, weil Postfix offenbar etwas gegen die
SASL-Authentifzierungsmethode "DIGEST-MD5" hat (ich nutze Dovecot SASL). Wenn
ich statts DIGEST-MD5 die Methode LOGIN nehme, funktioniert alles wie gewohnt:

> set smtp_authenticators = "login"

Was mich aber dabei wundert: Am Dovecot selbst kann ich mich ganz normal auch
mit der Methode DIGEST-MD5 anmelden. Hat jemand eine Erklärung dafür?

Hier mal noch ein paar relevante Informationen:

--- MAIL.LOG ---
Mar  8 13:49:06 kronos postfix/smtpd[28246]: warning: kronos.misterunknown.de[2a01:4f8:140:9324::2]: SASL DIGEST-MD5 authentication failed: XXXXXXXXXXXX...
--- END MAIL.LOG ---

--- POSTFIX ---
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = no
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
--- END POSTFIX ---

--- DOVECOT ---
auth_mechanisms = plain login DIGEST-MD5 cram-md5
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0660
    user = postfix
  }
}
--- END DOVECOT ---


--
Marco Dickert
[hidden email]
https://misterunknown.de

smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Postfix 3.1: Dovecot SASL Problem

Patrick Ben Koetter-2
* Marco Dickert <[hidden email]>:

> Moin,
>
> ich habe gerade meinen Server auf Debian Stretch geupgraded. Jetzt kann ich
> keine E-Mails mehr mit mutt versenden, weil Postfix offenbar etwas gegen die
> SASL-Authentifzierungsmethode "DIGEST-MD5" hat (ich nutze Dovecot SASL). Wenn
> ich statts DIGEST-MD5 die Methode LOGIN nehme, funktioniert alles wie gewohnt:
>
> > set smtp_authenticators = "login"
>
> Was mich aber dabei wundert: Am Dovecot selbst kann ich mich ganz normal auch
> mit der Methode DIGEST-MD5 anmelden. Hat jemand eine Erklärung dafür?

Bist Du sicher, dass DIGEST-MD5 mit Dovecot klappt? Siehst Du das im Log?

    Sidenote: Ich empfehle Dir, DIGEST-MD5 und CRAM-MD5 nicht zu nutzen, weil
    Du die Passwörter dafür als Plaintext im Backend ablegen musst.

Wenn Du mutt ausschliessen willst, kannst Du mit swaks einen connect samt AUTH
testen.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Postfix 3.1: Dovecot SASL Problem

Marco Dickert-2
Moin,

On 2018-03-08 14:39:09, Patrick Ben Koetter wrote:
> Bist Du sicher, dass DIGEST-MD5 mit Dovecot klappt? Siehst Du das im Log?

hm, wenn du so fragst: Nein, offenbar doch nicht^^ Im Log steht, dass für IMAP
als Methode ebenfalls "LOGIN" genutzt wird. Offenbar hat mutt nur zuerst
versucht DIGEST-MD5 zu nutzen (und das auch entsprechend angezeigt), ist später
aber wieder auf "LOGIN" gegangen. Bei der Postfix-Anmeldung gab es diesen
"Fallback" nicht.

Ich habe jetzt für beide Protokolle "LOGIN" angegeben - und schon funktioniert
es wieder wie gewohnt. Ich hatte mich sowieso gewundert, warum die Anmeldung
seit dem Upgrade auf Stretch so lahm war (teilweise >5s) - jetzt ergibt das
natürlich Sinn; nach der Umstellung gehts wieder schnell.

>     Sidenote: Ich empfehle Dir, DIGEST-MD5 und CRAM-MD5 nicht zu nutzen, weil
>     Du die Passwörter dafür als Plaintext im Backend ablegen musst.

Ich habe mich gerade nochmal genauer in die Auth-Mechanismen eingelesen: Die
MD5-Methoden sind in der Tat bei mir gar nicht möglich, da ich alle Passwörter
als SHA512-CRYPT ablege.

Vielen Dank für die schnelle und hilfreiche Antwort!

Viele Grüße,
--
Marco Dickert
[hidden email]
https://misterunknown.de

smime.p7s (4K) Download Attachment