ubuntuusers.de

Hallo

ich versuche seit gestern einen Mailserver aufzusetzen und gehe dabei nach dem Serverguide vor (mit ein paar andern Quellen gemischt, weil der Guide nicht soo verständlich ist für mich...) https://help.ubuntu.com/10.04/serverguide/C/postfix.html

Dort habe ich es jedenfalls so verstanden, dass ich mir die ganzen Abschnitte "Installation", "SMTP Authentication", "Configuring SASL" schenken kann, wenn ich "Postfix-Dovecot" nutze, weil da bei der Installation alles automatisch konfiguriert wird.

Das habe ich gemacht:

sudo aptitude install dovecot-postfix
sudo postconf -e 'home_mailbox = Maildir/'
sudo vim /etc/aliases
sudo cat /etc/aliases
root:          usernameX
postmaster:    root
sudo newaliases

Self-Signed Certificate erstellen:

cd ~
touch smtpd.key
chmod 600 smtpd.key
openssl genrsa 1024 > smtpd.key
openssl req -new -key smtpd.key -x509 -days 3650 -out smtpd.crt # has prompts
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650 # has prompts
sudo mv smtpd.key /etc/ssl/private/
sudo mv smtpd.crt /etc/ssl/certs/
sudo mv cakey.pem /etc/ssl/private/
sudo mv cacert.pem /etc/ssl/certs/

Neues Certificate eintragen:

smtpd_tls_cert_file = /etc/ssl/certs/cacert.pem
smtpd_tls_key_file = /etc/ssl/private/smtpd.key

postfix neustarten

sudo /etc/init.d/postfix restart

Firewall

$ sudo ufw allow 25/tcp

Testen

$ telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 remotepen.private ESMTP Postfix (Ubuntu)
ehlo 127.0.0.1
250-remotepen.private
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit

Hier müsste laut Serverguide das auftauchen, was leider nicht vorkommt:

250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

Im Log steht dazu, dass er den smtp.key nicht laden kann:

cat /var/log/mail.warn
[...]
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: cannot get RSA private key from file /etc/ssl/private/smtpd.key: disabling TLS support
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: TLS library problem: 1449:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406:

Hier die postfix Konfiguration:

$ postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = all
mailbox_command = /usr/lib/dovecot/deliver -c /etc/dovecot/conf.d/01-dovecot-postfix.conf -n -m "${EXTENSION}"
mailbox_size_limit = 0
mydestination = xxxx, remotepen.private, localhost.localdomain, localhost.private, localhost
myhostname = remotepen.private
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/dovecot-auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/cacert.pem
smtpd_tls_key_file = /etc/ssl/private/smtpd.key
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

Was mache ich falsch? Hängt es evtl mit dem Besitzer der Keys/certificate zusammen, dass er die nicht laden kann? Wenn ich dem key chown root:dovecot gebe, habe ich weiterhin den gleichen Fehler.

Und was bedeuteten die Adressen

[::ffff:127.0.0.0]/104 [::1]/128

, die standardmäßig in mynetworks eingetragen sind, die ich rausgenommen habe? Das sind doch einfach nur Subnetze, die ich (in meinem Fall) nicht brauche?!

Hallo,

comb schrieb:

Hier müsste laut Serverguide das auftauchen, was leider nicht vorkommt:

250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

zeig mal, welche Mechanismen Dovecot überhaupt zur Verfügung stellt (Ausgabe von dovecot -n).

Im Log steht dazu, dass er den smtp.key nicht laden kann:

cat /var/log/mail.warn
[...]
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: cannot get RSA private key from file /etc/ssl/private/smtpd.key: disabling TLS support
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: TLS library problem: 1449:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406:

In der Angabe für den öffentliche Schlüssel verweist du auf das Zertifikat der CA. Richtig wäre als Pfad wohl /etc/ssl/certs/smtpd.crt.

Gruß

Hi,

xabbuh schrieb:

zeig mal, welche Mechanismen Dovecot überhaupt zur Verfügung stellt (Ausgabe von dovecot -n).

$ sudo dovecot -n
# 1.2.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-21-generic-pae i686 Ubuntu 10.04 LTS
log_timestamp: %Y-%m-%d %H:%M:%S
protocols: imap pop3 imaps pop3s managesieve
ssl_cert_file: /etc/ssl/certs/ssl-mail.pem
ssl_key_file: /etc/ssl/private/ssl-mail.key
ssl_cipher_list: ALL:!LOW:!SSLv2:ALL:!aNULL:!ADH:!eNULL:!EXP:RC4+RSA:+HIGH:+MEDIUM
login_dir: /var/run/dovecot/login
login_executable(default): /usr/lib/dovecot/imap-login
login_executable(imap): /usr/lib/dovecot/imap-login
login_executable(pop3): /usr/lib/dovecot/pop3-login
login_executable(managesieve): /usr/lib/dovecot/managesieve-login
mail_privileged_group: mail
mail_location: maildir:~/Maildir
mbox_write_locks: fcntl dotlock
mail_executable(default): /usr/lib/dovecot/imap
mail_executable(imap): /usr/lib/dovecot/imap
mail_executable(pop3): /usr/lib/dovecot/pop3
mail_executable(managesieve): /usr/lib/dovecot/managesieve
mail_plugin_dir(default): /usr/lib/dovecot/modules/imap
mail_plugin_dir(imap): /usr/lib/dovecot/modules/imap
mail_plugin_dir(pop3): /usr/lib/dovecot/modules/pop3
mail_plugin_dir(managesieve): /usr/lib/dovecot/modules/managesieve
imap_client_workarounds(default): outlook-idle delay-newmail
imap_client_workarounds(imap): outlook-idle delay-newmail
imap_client_workarounds(pop3):
imap_client_workarounds(managesieve):
pop3_client_workarounds(default):
pop3_client_workarounds(imap):
pop3_client_workarounds(pop3): outlook-no-nuls oe-ns-eoh
pop3_client_workarounds(managesieve):
lda:
  postmaster_address: postmaster
  mail_plugins: sieve
  quota_full_tempfail: yes
  deliver_log_format: msgid=%m: %$
  rejection_reason: Your message to <%t> was automatically rejected:%n%r
auth default:
  mechanisms: plain login
  passdb:
    driver: pam
  userdb:
    driver: passwd
  socket:
    type: listen
    client:
      path: /var/spool/postfix/private/dovecot-auth
      mode: 432
      user: postfix
      group: postfix
plugin:
  sieve: ~/.dovecot.sieve
  sieve_dir: ~/sieve

Aufgefallen ist mir darin:

ssl_cert_file: /etc/ssl/certs/ssl-mail.pem
ssl_key_file: /etc/ssl/private/ssl-mail.key

ist das so richtig oder muss ich genau die anpassen?

Mechanismen sind plain und login.

cat /var/log/mail.warn
[...]
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: cannot get RSA private key from file /etc/ssl/private/smtpd.key: disabling TLS support
Aug  3 11:33:58 remotepen postfix/smtpd[1449]: warning: TLS library problem: 1449:error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch:x509_cmp.c:406:

In der Angabe für den öffentliche Schlüssel verweist du auf das Zertifikat der CA. Richtig wäre als Pfad wohl /etc/ssl/certs/smtpd.crt.

Das habe ich noch nicht verstanden. Meinst du, dass ich smtpd_tls_key_file = /etc/ssl/private/smtpd.key falsch setze und es smtpd_tls_key_file = /etc/ssl/certs/smtpd.crt sein sollte? Das führt (nach restart von postfix und dovecot zu

cat /var/log/mail.warn
Aug  3 15:17:07 remotepen postfix/smtpd[3800]: warning: cannot get RSA private key from file /etc/ssl/certs/smtpd.crt: disabling TLS support
Aug  3 15:17:07 remotepen postfix/smtpd[3800]: warning: TLS library problem: 3800:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:650:Expecting: ANY PRIVATE KEY:
Aug  3 15:17:07 remotepen postfix/smtpd[3800]: warning: TLS library problem: 3800:error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib:ssl_rsa.c:669:

Ok, wahrscheinlich meintest du, dass ich smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt setze was für mich auch sinnvoller klingt. Das führt dazu:

$ telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 remotepen.private ESMTP Postfix (Ubuntu)
ehlo 127.0.0.1
250-remotepen.private
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.
$ cat mail.warn
Aug  3 15:24:04 remotepen dovecot: Killed with signal 15 (by pid=3947 uid=0 code=kill)

Sieht besser au, aber im Telnet tauchen die 250-AUTH LOGIN PLAIN und 250-AUTH=LOGIN PLAIN noch nicht auf.

Ok, mal der Reihe nach.

@Xabbuh Dovecot hat rein garnichts mit Postfix zu tun. Hier ist die Ausgaben von postconf -n interessant.

@comb TLS-support hat rein garnichts mit AUTH zu tun. Und wenn STARTTLS in der ausgabe von telnet steht, dann hast du normalerweiße auch TLS-Support im Postfix.

TheDarkRose schrieb:

@Xabbuh Dovecot hat rein garnichts mit Postfix zu tun. Hier ist die Ausgaben von postconf -n interessant.

Doch in diesem Fall schon, da ja Dovecot als SASL-Plugin von Postfix verwendet wird. Dementsprechend kann Postfix auch nur die Mechanismen anbieten, die von Dovecot bereit gestellt werden.

Gruß

Ok, habe mir den Ubuntu Server Guide nicht angeschaut und bin von Postfix Standard CyrusSASL ausgegangen. Aber ohne zu wissen wie die main.cf aussieht kann man auch nicht sagen ob da kein Fehler drinnen liegt.

TheDarkRose schrieb:

Aber ohne zu wissen wie die main.cf aussieht kann man auch nicht sagen ob da kein Fehler drinnen liegt.

Die Ausgabe von postconf -n hat comb am Ende seines ersten Beitrags gepostet. Das sieht für mich allerdings okay aus.

Gruß

-

Ahja, stimmt. heute bin ich wohl wieder besonders blind. Nun gut, ich klinke mich hier wieder aus, mit Dovecot SASL habe ich bis jz nie gearbeitet obwohl ich Dovecot als IMAP benutze 😉

Also ich will IMAP nutzen und das über z.B. Thunderbird verwalten.

SMTP AUTH ist dafür da den Client am Server zu authentifizieren anhand von Benutzername und Passwort. Wie das gemacht wird, hängt davon ab, was der Server anbietet. Z.B. kann das STARTTLS sein.

STARTTLS ist erstmal ein Verfahren um zu entscheiden, ob verschlüsselt kommuniziert wird oder nicht, damit man das nicht auf Port-Ebene entscheiden muss. Da das bei mir aktiv ist, werde ich später mit dem Client SMTP auf Port 25 anfragen. Der Server sagt mir dann, dass ich mich authentifizieren muss (weil SMTP ja wegen Spam nicht ohne gemacht wird.) und sagt mir auch was er anbietet. Darunter sucht sich Thunderbird dann STARTTLS aus und die beiden einigen sich automatisch darauf verschlüsselt zu kommunizieren. Dann wird TLS verwendet um die Authentifizierung verschlüsselt abzuhandeln und alles weitere läuft auch verschlüsselt über TLS ab.

SASL ist einfach der Authentifizierungs Prozess wenn ich es richtig verstanden habe.

Also ist eigentlich von Anfang an alles korrekt konfiguriert gewesen (s. Erstpost) nur die Information dass

250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

vorkommen müssen (beim ehlo localhost) ist Quatsch, weil ich eben über dovecot authentifiziere und da eben STARTTLS angeboten wird.

Habe ich das jetzt richtig verstanden?^^

–-

Was die Zeritifizireung an geht, checke ich grad nicht mehr wo ich nun was machen muss und vorallem warum ...

Kurz über Testing steht dazu im Serverguide

You should now have a working mail server, but there are a few options that you may wish to further customize. For example, the package uses the certificate and key from the ssl-cert package, and in a production environment you should use a certificate and key generated for the host. See the section called “Certificates” for more details.

Once you have a customized certificate and key for the host, change the following options in /etc/postfix/main.cf:

smtpd_tls_cert_file = /etc/ssl/certs/ssl-mail.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-mail.key

Das habe ich so verstanden, dass ich mir ein self-signed certificate erstelle (s. Erstpost) und die daraus resultierenden Dateien in smtpd_tls_cert_file und smtpd_tls_key_file eintrage:

smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt
smtpd_tls_key_file = /etc/ssl/private/smtpd.key

Wobei da im Serverguide smtpd_tls_cert_file = /etc/ssl/certs/xxx.pem steht und ich nicht verstehe, was ich nun wo eintragen muss?!? Was ist eigentlich mit der Option smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem ? Brauch ich die? Wofür?

So. Ich habe das nun gelöst. Das hier ist meine Dokumentation dazu (teilweise englisch weil kopiert) postfix + dovecot über imaps und smtps mit Thunderbird verschlüsselt zu bedienen, mit den genauen Schritten, in dieser Reihenfolge, die ich mache:

Mail Server

Übersicht:

• https://help.ubuntu.com/community/MailServer

• http://wiki.ubuntuusers.de/Postfix

• https://help.ubuntu.com/community/PostfixBasicSetupHowto

• http://de.wikipedia.org/wiki/Mail_Transfer_Agent

Postfix Installation

Mehr Infos falls Bedarf: https://help.ubuntu.com/10.04/serverguide/C/postfix.html

sudo aptitude install postfix

Falls was gefragt wird einfach Enter drücken (werden es gleich konfigurieren)

Reverse DNS Eintrag nicht vergessen!

Im Folgenden benutze ich die Dummy-Zertifikate, die bei der Ubuntu Installation mit angelegt werden (s. http://wiki.ubuntuusers.de/ssl-cert ). Wenn man eigene will, kann man das in dem Certificate Teil des Serverguides nach lesen.

Basic Configuration

sudo dpkg-reconfigure postfix

• General type of mail configuration: Internet Site

• System mail name: deine-domain.de

• Root and postmaster mail recipient: dein_ubuntu_user

• Other destinations for mail: deine-domain.de, localhost.deine-domain.de, localhost

• Force synchronous updates on mail queue?: No

• Local networks: 127.0.0.0/8

• Mailbox size limit (bytes): 0

• Local address extension character: +

• Internet protocols to use: all

Rather than editing the configuration file directly, you can use the postconf command to configure all postfix parameters. The configuration parameters will be stored in /etc/postfix/main.cf file. Later if you wish to re-configure a particular parameter, you can either run the command or change it manually in the file.

sudo postconf -e 'home_mailbox = Maildir/'

SMTP Authentication

sudo postconf -e 'smtpd_sasl_type = dovecot'
sudo postconf -e 'smtpd_sasl_path = private/auth-client'
sudo postconf -e 'smtpd_sasl_local_domain ='
sudo postconf -e 'smtpd_sasl_security_options = noanonymous'
sudo postconf -e 'broken_sasl_auth_clients = yes'
sudo postconf -e 'smtpd_sasl_auth_enable = yes'
sudo postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
sudo postconf -e 'inet_interfaces = all'

Configure Postfix to provide TLS encryption (incoming and outgoing mail)

sudo postconf -e 'smtpd_tls_auth_only = no'
sudo postconf -e 'smtp_use_tls = yes'
sudo postconf -e 'smtpd_use_tls = yes'
sudo postconf -e 'smtp_tls_note_starttls_offer = yes'
sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key'
sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem'
sudo postconf -e 'smtpd_tls_loglevel = 1'
sudo postconf -e 'smtpd_tls_received_header = yes'
sudo postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
sudo postconf -e 'tls_random_source = dev:/dev/urandom'
sudo postconf -e 'myhostname = deine-domain.de'

Nur setzen wenn eigene CA benutzt wurde, um das Certifikat zu generieren (s. Certificate Section des Serverguides, kann bei Dummy-Certificates einfach weggelassen werden):

sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'

Postfix neustarten

sudo /etc/init.d/postfix restart

SASL konfigurieren

sudo aptitude install dovecot-common
→ y
sudo vim /etc/dovecot/dovecot.conf
(protocols noch nicht ändern)

in auth default section uncomment the socket listen option and change the following:

  socket listen {
    #master {
      # Master socket provides access to userdb information. It's typically
      # used to give Dovecot's local delivery agent access to userdb so it
      # can find mailbox locations.
      #path = /var/run/dovecot/auth-master
      #mode = 0600
      # Default user/group is the one who started dovecot-auth (root)
      #user = 
      #group = 
    #}
    client {
      # The client socket is generally safe to export to everyone. Typical use
      # is to export it to your SMTP server so it can do SMTP AUTH lookups
      # using it.
      path = /var/spool/postfix/private/auth-client
      mode = 0660
      user = postfix
      group = postfix
    }
  }

dann

sudo /etc/init.d/dovecot restart

Testen

telnet mail.deine-domain.de 25
ehlo mail.deine-domain.de

→ sollte (jetzt, später nicht mehr) u.a. anzeigen:

250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME

Konfigurieren für dovecot

sudo aptitude install dovecot-postfix

Das zeigt die Abweichung von der Standardkonfiguration:

postfix -n

falls /etc/postfix/main.cf nicht existiert:

sudo dpkg-reconfigure postfix

Optional (ich kann entweder STARTTLS über Port 25 machen oder SSL/TLS über 465. 25 muss aber eh offen bleiben, weil sonst GMX usw nicht an mich schicken können.) Ich habe es mal über smtps (also port 465) zusätzlich enabled:

SMTPS aktivieren

sudo vim /etc/postfix/master.cf

Weiter unten gibt es jetzt die Möglichkeit das SMTPS Protokoll und damit SMTP over SSL auf Port 465 zu aktiveren.

smtp inet n - - - - smtpd
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes

Neustarten

sudo /etc/init.d/postfix restart

Dovecot

Installieren

(müsste schon durch dovecot-postfix installiert sein)

sudo aptitude install dovecot-imapd

Konfiguration

sudo vim /etc/dovecot/dovecot.conf

→ protocols = imaps
→ disable_plaintext_auth = no
→ log_path = /var/log/dovecot.log.err
→ info_log_path = /var/log/dovecot.log.info
→ ssl = required
→ ssl_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
→ ssl_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
→ mail_location = maildir:~/Maildir

Neustarten

sudo /etc/init.d/dovecot restart

Testen

telnet localhost imap2
...
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

Aliases

sudo vim /etc/aliases

root:          dein_ubuntu_user
postmaster:    root

sudo newaliases

Firewall

sudo ufw allow imaps
sudo ufw allow smtp
sudo ufw allow smtps
sudo ufw status
→ 993
→ 25/tcp
→ 465/tcp

Testen über Thunderbird

Sicherheitshalber neu starten:

sudo /etc/init.d/postfix restart
sudo /etc/init.d/dovecot restart

Neues Konto einrichten: dein_ubuntu_user@deine-domain.de mit PW vom Server

• IMAP auf 993 (imap.deine-domain.de) mit SSL/TLS

• SMTPS auf 465 (smtp.deine-domain.de) mit SSL/TLS

Open Releay Tests

Manueller Relaytest per Telnet

telnet mail.meinedomain.de 25
220 cygnus.mail-abuse.org ESMTP Postfix
--> HELO xyz.xx
<-- 250 cygnus.mail-abuse.org
--> MAIL FROM: xx@xyz.xx
<-- 250 Ok
--> RCPT TO:<xx@xyz.xx>(Hier gueltige E-Mailadresse eintragen.)
<-- 554 <xx@xyz.xx>: Relay access denied
--> quit

Automatischer Relaytest per Webbrowser

http://www.abuse.net/relay.html

adress to test: deine-domain.de ENTER

Sonstige Tests

Send a message to a local user and check the maillog to make sure it was delivered correctly. Messages to that user should be stored in: /home/(user)/Maildir/new After you send a mail to yourself the the Maildir folder will be created in your home folder.

$ sudo aptitude install bsd-mailx
$ mail dein_ubuntu_user
Subject: test
test
.
CC:
$ mail
(sollte eine angezeigt werden)

Logs

Postfix:

/var/log/mail.*

Dovecot:

/var/log/dovecot.log.err
/var/log/dovecot.log.info

Mail Filtering (Spam / Virus)

https://help.ubuntu.com/10.04/serverguide/C/mail-filtering.html