Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

postfix mag MS-Clients nicht

127 views
Skip to first unread message

Steven Varco

unread,
Aug 6, 2008, 5:46:38 AM8/6/08
to
Hi All

Ein etwas merkwürdiges Problem, an dem ich nun schon sehr lange rum
suche und bis jetzt nicht mal einen Lösungsansatz gefunden habe frage
ich mal hier ob jemand noch etwas weiss, dass man ausprobieren könnte.

Problem ist folgendes:

Wenn ich mails mit Outlook oder Outlook Express versenden will bekomme
ich sowohl im client als auch im server log eine relay denied Meldung;
im Server-Log sieht das dann so aus:

----------------------------------------------------------------------
Aug 6 10:26:29 mailserver postfix/smtpd[7930]: connect from
unknown[xx.x.x.xxx]
Aug 6 10:26:29 mailserver postfix/smtpd[7930]: setting up TLS
connection from unknown[xx.x.x.xxx]
Aug 6 10:26:29 mailserver postfix/smtpd[7930]: TLS connection
established from unknown[xx.x.x.xxx]: TLSv1 with cipher RC4-MD5 (128/128
bits)
Aug 6 10:26:29 mailserver postfix/smtpd[7930]: NOQUEUE: reject: RCPT
from unknown[xx.x.x.xxx]: 554 5.7.1 <sva...@someotherdomain.tld>: Relay
access denied; from=<test....@mydomain.tld>
to=<sva...@someotherdomain.tld> proto=ESMTP helo=<mypc>
Aug 6 10:26:29 mailserver postfix/smtpd[7930]: disconnect from
unknown[xx.x.x.xxx]
----------------------------------------------------------------------

Unnötig zu erwähnen dass SMTP-Auth natürlich aktiviert ist in
Outlook/OE. ;-)

Auch funzt das ganze mit anderen Mailclients einwandfrei, z.B.
thunderbird: Mail senden kein Problem, wie man anhand des logs sieht
(gleicher account und Einstellungen wie oben, aber thunderbird als client):

----------------------------------------------------------------------
Aug 6 10:40:10 mailserver postfix/smtpd[8130]: connect from
unknown[xx.x.x.xx]
Aug 6 10:40:10 mailserver postfix/smtpd[8130]: setting up TLS
connection from unknown[xx.x.x.xx]
Aug 6 10:40:12 mailserver postfix/smtpd[8130]: TLS connection
established from unknown[xx.x.x.xx]: TLSv1 with cipher
DHE-RSA-AES256-SHA (256/256 bits)
Aug 6 10:40:12 mailserver postfix/smtpd[8130]: 5F23F8028:
client=unknown[xx.x.x.xx], sasl_method=PLAIN,
sasl_username=test....@mydomain.tld
Aug 6 10:40:12 mailserver postfix/cleanup[8132]: 5F23F8028:
message-id=<48996366...@mydomain.tld>
Aug 6 10:40:12 mailserver postfix/qmgr[6016]: 5F23F8028:
from=<test....@mydomain.tld>, size=672, nrcpt=1 (queue active)
Aug 6 10:40:12 mailserver postfix/smtpd[8130]: disconnect from
unknown[xx.x.x.xx]
----------------------------------------------------------------------


Das heisst grundsätzlich würde es mit einem vernünftigen client gehen...
Da aber unsere user hauptsächlich nur "das beste" *hüstel* verwenden ist
es auch nötig die MS MUAs zu unterstützen...


Weiss hier jemand rat?

Hier noch meine posconf:

[root@mailserver ~]# uname -a
Linux mailserver.mydomain.tld 2.6.18-53.el5 #1 SMP Mon Nov 12 02:14:55
EST 2007 x86_64 x86_64 x86_64 GNU/Linux

[root@mailserver ~]# postconf -n
alias_maps = mysql:/etc/postfix/mysql-local-aliases.cf
biff = no
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
debug_peer_level = 2
debug_peer_list = xx.xx.xxx.x
default_destination_concurrency_limit = 20
default_privs = vmail
empty_address_recipient = MAILER-DAEMON
home_mailbox = .maildir/
html_directory = /usr/share/doc/postfix-2.3.3/html
inet_interfaces = all
local_destination_concurrency_limit = 2
local_recipient_maps = $alias_maps $virtual_mailbox_maps
$virtual_alias_maps unix:passwd.byname
local_transport = local
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
mydestination = localhost, $myhostname
mydomain = mydomain.tld
myhostname = mailserver.mydomain.tld
mynetworks = <DIVERSE-IP-NETZWERKE>
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
parent_domain_matches_subdomains = virtual_mailbox_domains,smtpd_access_maps
queue_directory = /var/spool/postfix
queue_minfree = 120000000
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
relay_domains = $mynetworks, $mydestination,
/etc/postfix/postfix-relay-domains.list
relocated_maps = mysql:/etc/postfix/mysql-relocated-addresses.cf
sample_directory = /usr/share/doc/postfix-2.3.3/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_tls_note_starttls_offer = yes
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
smtpd_recipient_restrictions = check_recipient_access
hash:/etc/postfix/postfix_protected_destinations,
permit_sasl_authenticated, reject_rbl_client ix.dnsbl.manitu.net,
permit_mynetworks, permit_auth_destination,
reject_unauth_destination
smtpd_restriction_classes = domain_mydomain_only
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_CAfile = /etc/ssl/digicertca.crt
smtpd_tls_cert_file = /etc/ssl/digicert.crt
smtpd_tls_key_file = /etc/ssl/digicert.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
transport_maps = mysql:/etc/postfix/mysql-transport.cf
unknown_local_recipient_reject_code = 550
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-aliases.cf
virtual_gid_maps = static:100
virtual_mailbox_base = /
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-users.cf
virtual_minimum_uid = 1000
virtual_transport = $transport_maps
virtual_uid_maps = static:1001


Wenn ihr noch was braucht, einfach sagen... ;-)

Vielen Dank für eure Hilfe schon mal...

gruss,
Steven

Klaus Zerwes

unread,
Aug 6, 2008, 9:00:20 AM8/6/08
to
Steven Varco wrote:
> Hi All
>
> Ein etwas merkwürdiges Problem, an dem ich nun schon sehr lange rum
> suche und bis jetzt nicht mal einen Lösungsansatz gefunden habe frage
> ich mal hier ob jemand noch etwas weiss, dass man ausprobieren könnte.

Vermutung: selbst erstelltes Zertifikat: stimmt der FQDN des zertifikats
überein?

hast du LOGIN bei SMTP AUTH aktiviert? Outlook will das haben IMHO.

Die Logs sehen so aus als ob auth nicht funktioniert.


Klaus


--
Klaus Zerwes
http://zero-sys.net

Steven Varco

unread,
Aug 6, 2008, 9:42:26 AM8/6/08
to
Ich fass es nicht, hab das Problem doch tatsächlich soeben gelöst! ;-)

Nach etwas recherche fand ich eben heraus, dass postfix die methode
"AUTH LOGIN" nicht zur Verfügung gestellt hatte:

[root@mailserver ~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mailserver.mydomain.com ESMTP Postfix (2.3.3)
ehlo localhost
250-mailserver.mydomain.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

(Statt "250-AUTH PLAIN" hätte "250-AUTH PLAIN LOGIN" stehen müssen)


Dies wurde mir dann auch im debug log (smtpd -v) angezeigt:
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: TLS connection
established from unknown[10.1.0.143]: TLSv1 with cipher RC4-MD5 (128/128
bits)
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: < unknown[10.1.0.143]:
EHLO mchadit06
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-mailserver.mydomain.com
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-PIPELINING
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-SIZE 10240000
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-VRFY
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-ETRN
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-AUTH PLAIN
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: match_list_match:
unknown: no match
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: match_list_match:
10.1.0.143: no match
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-AUTH=PLAIN
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-ENHANCEDSTATUSCODES
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250-8BITMIME
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: > unknown[10.1.0.143]:
250 DSN
Aug 6 14:46:23 mailserver postfix/smtpd[11325]: < unknown[10.1.0.143]:
MAIL FROM: <test....@mydomain.com>


Ok, soweit zum Problem, verwundert hatte mich allerdings, dass hier in
der smtpd.conf der Wert "mech_list: PLAIN LOGIN" stand, der eigentlich
genau dies hätte bewirken müssen... -Doch dann kam mir irgendwann in den
sinn, das ich ja postfix mal konfiguriert hatte, dass dieser sich bei
dovecot authentifiziert. -Und tats$hclich stand in der dovecot conf auch
nur die plain-methode:

auth default {
mechanisms = plain

nach dem ändern in:

auth default {
mechanisms = plain login

und dovecot restart bot dann der mailserver plötzlich auch AUTH LOGIN an:

[root@mailserver ~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mailserver.mydomain.com ESMTP Postfix (2.3.3)
ehlo localhost
250-mailserver.mydomain.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Und - TATA - Outlook kann endlich auch mails senden.

Übrigens der Grund warum dies nur in Outlook und Outlook Express nicht ging:
Andere mailclients können sich über mehrere mechanismen authentifzieren,
Outlook kennt jedoch nur LOGIN und NTLM.

Gruss,
Steven

Juergen P. Meier

unread,
Aug 6, 2008, 11:51:58 PM8/6/08
to
Steven Varco <ng.10.pa...@spamgourmet.com>:

> Und - TATA - Outlook kann endlich auch mails senden.
>
> Übrigens der Grund warum dies nur in Outlook und Outlook Express nicht ging:
> Andere mailclients können sich über mehrere mechanismen authentifzieren,
> Outlook kennt jedoch nur LOGIN und NTLM.

Nicht ganz richtig. Andere Mailclients halten sich an geltende
Standards, nur Outlook Express (Outlook funktoiniert auch ohne diese
vergewaltigung deines MTA) nicht.

Hint: Den Standard findest du u.a. auf
http://www.ietf.org/rfc/rfc4954.txt

Sprich: Fuer jemandem mit einem kaputten stueck Software springst du
durch Reifen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ralf Hildebrandt

unread,
Aug 8, 2008, 9:38:31 AM8/8/08
to
On 2008-08-06, Steven Varco <ng.10.pa...@spamgourmet.com> wrote:

> Wenn ich mails mit Outlook oder Outlook Express versenden will bekomme
> ich sowohl im client als auch im server log eine relay denied Meldung;
> im Server-Log sieht das dann so aus:
>
> ----------------------------------------------------------------------
> Aug 6 10:26:29 mailserver postfix/smtpd[7930]: connect from unknown[xx.x.x.xxx]

debug_peer_list = xx.x.x.xxx

und du weisst mehr

--
Ralf Hildebrandt (i.A. des IT-Zentrums) Ralf.Hil...@charite.de
Charite - Universitätsmedizin Berlin Tel. +49 (0)30-450 570-155
Gemeinsame Einrichtung von FU- und HU-Berlin Fax. +49 (0)30-450 570-962
IT-Zentrum Standort CBF send no mail to snic...@charite.de

Henri Schomäcker

unread,
Aug 20, 2008, 1:43:01 PM8/20/08
to
Hi Steven,

zunächst mal ne wirklich blöde Frage, die sich aber bei uns täglich als gar
nicht so unbegründet herausstellt:
Hast Du auch "Server erwartet Authentifizierung" o.ä. in dem Win Client
angeklickt?

Ansonsten folgendes in die main.cf eintragen:
(Soweit ich weiß, undokumentiert, es ist wichtig, der zweiten Variable
KEINEN Wert zuzuweisen!

8<--------8<--------8<--------8<--------8<--------
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain =
8<--------8<--------8<--------8<--------8<--------

Dann sollte es gehen.

Gruß, Henri

0 new messages