[postfix-users] postfix auf port 465 rejected trotz permit_sasl_authenticated
Moin,
gerade habe ich 3 Stunden mit folgendem Problem verbracht:
ich muss wegen kaputter Software auf der anderen Seite port 465 mit ssl fahren, also wie gewohnt in der master.cf auf einem debian die passenden Zeilen aktiviert:
smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
Das Ergebnis ist aber, dass direkt nach dem Connect per openssl client der Client rejected wird:
554 5.7.1 <91-64-122-25-dynip.superkabel.de[91.64.122.25]>: Client host rejected: Access denied QUIT DONE
Ohne Banner, ohne alles.
Wenn ich nun die Zeile
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
weg lasse funktioniert es wie gewünscht - ich bin trotzdem kein offenes Relay und die Gegenstelle kann nach dem authentifizieren mails versenden:
220 mx01.streibelt.net ESMTP Postfix (Debian/GNU) EHLO mail.example.org 250-mx01.streibelt.net 250-PIPELINING 250-SIZE 20480000 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN
Jetzt frage ich mich, warum diese Restrictions da eingetragen waren (ich hab ja noch die main.cf) und warum das mit der sasl authentication nicht funktioniert hat..
postconf -n meint halt jetzt, passend zu meiner main.cf:
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated
also ohne reject.
Das maillog sagt ausser Access denied leider auch nichts wirklich sinnvolles:
Mar 29 23:52:39 mx01 postfix/smtpd[26799]: NOQUEUE: reject: CONNECT from 91-64-122-25-dynip.superkabel.de[91.64.122.25]: 554 5.7.1 <91-64-122-25-dynip.superkabel.de[91.64.122.25]>: Client host rejected: Access denied; proto=SMTP
Mit verwirrten Grüßen, Florian
Hallo Florian,
Am 30.03.2013 00:21, schrieb Florian Streibelt:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
wie sehen denn deine smtpd_recipient_restrictions aus, bzw. alle anderen? Musst alle zusammen betrachten... postconf -n bringt Klarheit!
Gruß, Tobias
Am Sa, 30.03.13 um 00:29:00 Uhr schrieb Tobias Hachmer lists@kokelnet.de:
Hallo Florian,
Am 30.03.2013 00:21, schrieb Florian Streibelt:
-o smtpd_client_restrictions=permit_sasl_authenticated,rejectwie sehen denn deine smtpd_recipient_restrictions aus, bzw. alle anderen? Musst alle zusammen betrachten... postconf -n bringt Klarheit!
Soweit, dass postfix die auswertet kommt es ja garnicht und der normale smtp tut ja.
Er gibt ja schon vor seinem Banner das Access denied.
Die Frage ist, ob in die options für den smtp auf port 465 noch ein permit reingehört, was dann natürlich auch in meiner main.cf fehlen würde, wenn ich da ein reject an die client restrictions anhängen will.
Grüße, Florian
Am 30.03.2013 00:44, schrieb Florian Streibelt:
Die Frage ist, ob in die options für den smtp auf port 465 noch ein permit reingehört, was dann natürlich auch in meiner main.cf fehlen würde, wenn ich da ein reject an die client restrictions anhängen will.
Am Ende macht postfix immer ein reject rein, auch wenn du es nicht explizit angibst. Wie gesagt, postconf -n machts hier einfacher.
Gruß, Tobias
Am 30.03.2013 00:52, schrieb Tobias Hachmer:
Am Ende macht postfix immer ein reject rein, auch wenn du es nicht explizit angibst.
Sorry, hab Quatsch erzählt. Am Ende macht Postfix natürlich immer ein permit...
Gruß, Tobias
Am Sa, 30.03.13 um 01:00:00 Uhr schrieb Tobias Hachmer lists@kokelnet.de:
Am 30.03.2013 00:52, schrieb Tobias Hachmer:
Am Ende macht postfix immer ein reject rein, auch wenn du es nicht explizit angibst.
Sorry, hab Quatsch erzählt. Am Ende macht Postfix natürlich immer ein permit...
Hab mich schon gewundert ;)
Die Frage bleibt halt, warum das permit da nicht greift - ansonsten ist der postfix genauso wie ein postfix konfiguriert, bei dem es geklappt hat.
Der ist nur wesentlich älter.
(ich hab nen diff über die postconf -n ausgaben gemacht)
/Florian
Am 30.03.2013 01:04, schrieb Florian Streibelt:
(ich hab nen diff über die postconf -n ausgaben gemacht)
Wie soll man dir denn ohne die gesamte Ausgabe von postconf -n helfen? Fühlt sich wie ein Ratespiel an...;-)
Was haste so in check_*_access stehen?
Gruß, Tobias
* Florian Streibelt postfix@f-streibelt.de:
Moin,
gerade habe ich 3 Stunden mit folgendem Problem verbracht:
ich muss wegen kaputter Software auf der anderen Seite port 465 mit ssl fahren, also wie gewohnt in der master.cf auf einem debian die passenden Zeilen aktiviert:
smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
Du hast eine _CLIENT_ restriktion. Sie wird angewendet, BEVOR der client sich authentifizieren konnte. In der main.cf hast Du bestimmt smtpd_delay_reject auf no gestellt, oder? Wenn das der Fall ist, wird der client abgelehnt, BEVOR er sich authentifizieren kann. In dem Fall enweder auf smtpd_recipient_restrictions umstellen ODER smtpd_delay_reject=yes als Option zum smtps Dienst hinzufügen.
In Postfix 2.10 haben wir das geändert. Da wird eine andere master.cf ausgeliefert, die explizit submission restrictions listet.
p@rick
Am Sa, 30.03.13 um 21:24:13 Uhr schrieb Patrick Ben Koetter p@sys4.de:
- Florian Streibelt postfix@f-streibelt.de:
Moin,
gerade habe ich 3 Stunden mit folgendem Problem verbracht:
ich muss wegen kaputter Software auf der anderen Seite port 465 mit ssl fahren, also wie gewohnt in der master.cf auf einem debian die passenden Zeilen aktiviert:
smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING
Du hast eine _CLIENT_ restriktion. Sie wird angewendet, BEVOR der client sich authentifizieren konnte. In der main.cf hast Du bestimmt smtpd_delay_reject auf no gestellt, oder? Wenn das der Fall ist, wird der client abgelehnt, BEVOR er sich authentifizieren kann. In dem Fall enweder auf smtpd_recipient_restrictions umstellen ODER smtpd_delay_reject=yes als Option zum smtps Dienst hinzufügen.
autsch. Ja, danke - exakt das, der postfix hatte (aus irgendwelchen gründen) das delay reject AUS. Mache ich normalerweise immer an.
Gut zu wissen, dass das diesen Nebeneffekt haben kann...
In Postfix 2.10 haben wir das geändert. Da wird eine andere master.cf ausgeliefert, die explizit submission restrictions listet.
okay. ;)
participants (3)
-
Florian Streibelt -
Patrick Ben Koetter -
Tobias Hachmer