Schlagwort-Archive: Cyrus SASL

Simple Authentication and Security Layer (SASL) is a specification that describes how authentication mechanisms can be plugged into an application protocol on the wire.

Postfix E-Mail Weiterleitung zu Gmail

E-Mail mit Postfix (MTA) Weiterleitung über Gmail Relayhost senden

E-Mail mit Postfix Mail Transfer Agent („MTA“) Weiterleitung über ein Google Gmail Relayhost versenden. E-Mails werden dabei über ein Google Mailkonto ausgeliefert, die Clients im lokalen Netzwerk nutzen Postfix als lokalen SMTP-Gateway.

Postfix Weiterleitung zu Gmail. Die vorgehensweise zeigt dieses Tutorial.

In Situationen bei diesen zum Beispiel Mutlifunktionsgeräte, oder Programme diese die Authentifizierung über Mail Submission und STARTTLS (Port 587) nicht unterstützen, können so über den lokalen Postfix Mailserver E-Mails versendet werden, ohne das eine Anmeldung am Mailserver erforderlich wäre.

Postfix und Cyrus SASL Installation

Bei einem RHEL Linux werden hierzu die erforderlichen Pakete als root installiert.

$ yum update && yum install -y postfix mailx cyrus-sasl cyrus-sasl-plain

Auf einem Debian und Ubuntu ist die Paket installation wie folgt.

$ apt update && apt install -y postfix mailutils

Postfix Konfiguration für die E-Mail Weiterleitung Gmail

Die Postfix Konfiguration ist zu editieren mit öffnen der Datei /etc/postfix/main.cf

mynetworks = 127.0.0.0/8 192.168.1.0/24
myhostname = 12.34.56.78.dynamic.yline.res.cust.isp.net
mydestination = $myhostname, localhost.$mydomain, localhost
inet_interfaces = all
inet_protocols = ipv4
relayhost = [smtp.gmail.com]:587
smtp_use_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options =
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt

Bei mynetworks die lokalen Netzwerke eintragen. Als myhostname den im Internet auflösbaren PTR Resource Record, für die Ermittlung des PTR Eintrages, kann der folgende Befehl im Terminal ausgeführt werden, wie in folgendem Beispiel, oder aber hier.

$ curl -s ifconfig.co | xargs host
12.34.56.78.in-addr.arpa domain name pointer 12.34.56.78.dynamic.yline.res.cust.isp.net

Als nächstes wird eine Datei /etc/postfix/sasl_passwd mit folgendem Inhalt erstellt.

[smtp.gmail.com]:587    mein@gmail.com:password

Anstelle von mein@gmail.com das eigene Google Mailkonto einsetzen, bei password das Google Kennwort.

Mit postmap die Datei sasl_passwd als Berkeley DB erstellen.

$ postmap /etc/postfix/sasl_passwd

TIPP postmap nach jeder änderung ausführen.

Nun wird Postfix neu gestartet um die Konfiguration zu aktivieren.

$ systemctl restart postfix

Postfix Konfiguration testen

Die Postfix Konfiguration testen, mit dieser Zeile im Terminal.

$ echo "Hier steht ein Text." | mail -v -s "Test subject" -r mein@gmail.com andere@domain.com

Als mein@gmail.com die gültige Gmail Adresse, und bei andere@domain.com eine gültige Empfänger E-Mail angeben.

Hinweis. Dieses Google-Konto erfordert deaktivierte Einstellungen unter Sicherheit – Bei Google anmelden – geht man zu Sicherheit
Bestätigung in zwei Schritten Aus, und der Zugriff auf das Google-Konto bei Zugriff durch weniger sichere Apps muss An sein.

Postfix protokolliert mit syslog in der Logdatei /var/log/maillog in dieser man sich vergwewissern kann, ob die E-Mail versendet und von smtp.gmail.com angenommen wurde.

$ tail -25 /var/log/maillog
mailq

Mit mailq die Queue auf allfällige abgelehnte Mails überprüfen.

Sind in maillog Fehler bei der authentifizierung zu finden, müssen die Google-Konto Sicherheitseinstellungen überprüft werden.

status=deferred (SASL authentication failed; server smtp.gmail.com[108.177.126.108] said: 534-5.7.9 Application-specific password required. Learn more at?534 5.7.9

TIPP Es kann passieren das nach mehreren Sendeversuche, sich dann abgewiesene (bounced) Mails in der Queue befinden, der Befehl mailq ziegt diese, mit postsuper -d löchst man Mails aus der Queue.

$ postsuper -d ALL

Fazit

Wie die vorgehensweise in diesem Tutorial zeigt, gibt es die Möglichkeit, mit Postfix eine E-Mail Weiterleitung über ein Gmail Relayhost zu versenden. E-Mails werden dabei über ein Google Mailkonto ausgeliefert, die Clients im lokalen Netzwerk nutzen Postfix als lokalen SMTP-Gateway.

Postfix mit SASL-Authentifizierung verwenden

SMTP-Server müssen entscheiden, ob ein SMTP-Client autorisiert ist E-Mails zu versenden, für die der Server selbst zuständig ist.

Simple Authentication and Security Layer (SASL) Integration Postfix


Diese Anleitung beschreibt, wie man ein MTA (Mail Transport Agent) Postfix unter CentOS 7 mit CyrusSASL zur SMTP-Authentifizierung (SMTP-Auth) erweitert. Danach können Clients E-Mails mittels SMTP-Auth versenden. Diese Anleitung ist geprüft unter CentOS Linux release 7.7.1908 (Core), mit Postfix v2.10.1 und Cyrus-SASL 2.1.26. Es wird davon ausgegangen das Postfix bereits konfiguriert ist und TLS (Transport Layer Security) implementiert ist.

Postfix implementiert die SASL Library nicht selbst, sondern verwendet vorhandene Implementierungen als Bausteine. Dies bedeutet, dass einige SASL-bezogene Konfigurationsdateien zu Postfix gehören, während andere Konfigurationsdateien zu der spezifischen SASL-Implementierung gehören, die Postfix verwenden wird.

Cyrus-SASL Installation

Als root die Pakete mit folgendem Command installieren:

yum install cyrus-sasl cyrus-sasl-plain -y

Die einzelnen SASL-Mechanismen werden als RPMs installiert.

Es folgt die Einbindung für Postfix, hierzu die modifikation in der Datei /etc/postfix/master.cf vornehmen:

==========================================================================
 service type  private unpriv  chroot  wakeup  maxproc command + args
 (yes)   (yes)   (yes)   (never) (100)
 ==========================================================================
 smtps     inet  n       -       n       -       -       smtpd
   -o syslog_name=postfix/smtps
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject

Damit Postfix mit SASL funktioniert, darf Postfix nicht im chroot-Verzeichnis laufen, Zeile smtps bei Position 5 (n).

SMTP-Auth für lokale Benutzer konfigurieren, wir editieren die Postfix Datei /etc/postfix/main.cf:

smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_sasl_auth_enable = yes
smtp_sasl_mechanism_filter = !gssapi, !login, static:all
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd 

Die Konfiguration von Cyrus-SASL erfolgt durch zwei Dateien. Die erste Datei /etc/sysconfig/saslauthd kann übernommen werden:

# Directory in which to place saslauthd's listening socket, pid file, and so
# on.  This directory must already exist.
SOCKETDIR=/run/saslauthd

# Mechanism to use when checking passwords.  Run "saslauthd -v" to get a list
# of which mechanism your installation was compiled with the ablity to use.
MECH=pam

# Additional flags to pass to saslauthd on the command line.  See saslauthd(8)
# for the list of accepted flags.
FLAGS=

Die SASL-Mechanismen PLAIN und LOGIN, CRAM-MD5 und DIGEST-MD5 kommen oft zum Einsatz, hierfür ist die Konfigurationsdatei /etc/sasl2/smtpd.conf zuständig, die bereitstellung wurde ebenfalls bei der Installation durchgeführt:

pwcheck_method: saslauthd
mech_list: plain login CRAM-MD5 DIGEST-MD5

Nun Cyrus-SASL Library Daemon starten und den systemd autostart aktivieren, anschliessend Postfix re-starten:

systemctl start saslauthd
systemctl enable saslauthd
systemctl restart postfix 

Der SMTP-Submission Support auf Port 587 ist nun aktiviert, überprüfen lässt sich dies mit folgendem Kommando:

ss -tuln4 | grep 587
tcp    LISTEN     0      100       *:587                  *:*

Zur Authentifizierung am SMTP-Gateway wird nun ein Benutzer erstellt, dieser E-Mails über den MTA versenden soll:

adduser -M -s /sbin/nologin User24
passwd User24

Eine lokale UserID ist für unsere Anforderung hier ausreichend, Cyrus-SASL unterstützt weiter LDAP und SQL, um mit beispielweise Kopano oder einem AD Verzeichnisdienst zu interagieren.

Cyrus-SASL SMTP-Auth Testen

Welche Mechanismen zur Authentifizierung innerhalb von STARTTLS unterstützt werden, kann mit OpenSSL überprüft werden:

openssl s_client -connect mail.relayhost.net:587 -starttls smtp

In der Ausgabe von openssl ein EHLO übergeben:

EHLO Hans
 250-mail.relayhost.net
 250-PIPELINING
 250-SIZE 27262976
 250-ETRN
 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5
 250-ENHANCEDSTATUSCODES
 250-8BITMIME
 250 DSN

Ist OpenSSL nicht vorliegend, kann dazu auch Telnet genutzt werden, es wird zum Gateway mail.relayhost.net über Port 587 eine Verbindnung hergestellt, dazu kann auch PuTTY oder KiTTY verwendet werden.

KiTTY Configuration

Nun möchten wir uns beim Gateway (MTA) Authentifizieren. Der Benutzername und das Passwort muss im base64-codierten Format an das SMTP-Gateway übertragen werden, Hierzu gibt man die folgenden Befehlszeilen ein, um die base64-Codierung für den Benutzername und das Passwort zu erhalten.

echo -en "userxy" | base64
dXNlcnh5
echo -en "password" | base64
cGFzc3dvcmQ=

Die SASL SMTP-Auth Konfiguration und Authentifizierung überprüft man wie folgt mit ausführen der folgenden Zeilen im Terminal, nach Eingabe von AUTH LOGIN der mit Base64 codierte Benutzername und das Passwort einfügen.

AUTH LOGIN
dXNlcnh5
cGFzc3dvcmQ=
$ telnet mail.relayhost.net 25
Trying mail.relayhost.net...
Connected to mail.relayhost.net
Escape character is '^]'.
220 mail.relayhost.net ESMTP MAIL Service ready at  Sat, 12 Mar 2019 09:26:12
EHLO smtp.example.com
250-smtp.example.com Hello
250-AUTH=LOGIN
250-AUTH LOGIN
250-TURN
250-SIZE 2097152
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250 OK
AUTH LOGIN
334 VXClcm5hbWU6
dXNlcnh5
334 UGFzc4dvcmQ8
cGFzc3dvcmQ=
235 2.7.0 Authentication successful

Die Ausgabe SMTP-Auth von Postfix mit Cyrus-SASL.

Die oben kodierten Credentials bei den 334 Prompts einfügen, hier bei Zeile 24 als userxy und bei Zeile 26 unser password.

  Ein 250 STARTTLS in der Ausgabe zeigt die Voraussetzungen, das Klartext-Benutzernamen mit Passwort durch STARTTLS geschützt an das SMTP-Gateway übermittelt werden.

Eine weitere einfache Möglichkeit gibt es mit SMTPConsole ein SMTP-Gateway zu testen.

SMTPConsole