UNIXscout

Postfix mit SASL (3.4)

Zunaechst muessen wir die notwendigen Packets installieren.

$ su
$ setenv PKG_PATH ftp://openbsd.bay13.net/pub/OpenBSD/3.4/packages/i386
$ pkg_add postfix-2.0.13p0-sasl2 

Done. Das wars schon ... die Abhaengigkeit wird automatisch aufgeloest
und deshalb auch noch 'cyrus-sasl-2.1.13' mitinstalliert.

Ausserdem werden gleich noch notwendige Gruppen (/etc/group) und User
(/etc/passwd) angelegt.

In meiner Grundkonfiguration habe ich nur in der /etc/postfix/main.cf
folgendes geaendert:

--- schnipp ---
myhostname = hal.magdeburg.de
mydomain = magdeburg.de
--- schnapp ---

Dann brauchen wir noch eine neue 'aliases':

$ cd /etc
$ cp /etc/mail/aliases /etc
$ vi aliases 
$ /usr/bin/newaliases

Und wir brauchen zwei Eintraege (Aenderungen) in der /etc/rc.conf:

--- schnipp ---
sendmail_flags="-bd -q30m"
syslogd_flags="-a /var/spool/postfix/dev/log"
--- schnapp ---

Durch die erste Aenderung wird es noch notwendig mittels:

$ crontab -e

den 'sendmail clientmqueue runner' in der root-Crontab
auszukommentieren!

Mit einem Script aktiviert man nun Postfix (damit wird die
/etc/mailer.conf umgeschrieben):

$ /usr/local/sbin/postfix-enable

Sooo, vielleicht sollten wir mal rebooten und schauen ob auch alles
ordentlich beim Systemstart aktiviert wird!?

Hinweise: Nach dem Reboot meckerte bei mir Postfix noch rum, dass er
keine aliases.db finden kann (ggf. hier also nochmal(?) newaliases).

Hiernach sollte man schonmal Mails empfangen und versenden koennen -
logischerweise noch ohne SASL-Auth - also ganz normal. ;-)

Wenn das funktioniert, dann koennen wir uns im naechsten Schritt an die
erweiterte SASL Funktionalitaet wagen ... wir editieren nochmal die
/etc/postfix/main.cf und fuegen an das Ende folgende drei Zeilen an:

--- schnipp ---
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, \
                               reject_unauth_destination
broken_sasl_auth_clients = yes
--- schnapp ---

Das SASL muss nun auch noch konfiguriert werden - dh. wir muessen ein
File '/usr/local/lib/sasl2/Sendmail.conf' anlegen und dahinein schreiben
wir:

--- schnipp ---
pwcheck_method: sasldb
mech_list: plain login cram-md5 digest-md5
--- schnapp ---

Damit erlauben wir den 4 haeufigsten AuthMech zu interoperieren (incl.
dem Outlook-Mailclient).

Was jetzt noch fehlt ist ein Username/Passwort-Paar mit dem wir uns auch
'ausweisen' koennen am Server.

Das mitgelieferte Programm 'saslpasswd2 user' erledigt das notwendige
und erzeugt dabei gleich noch ein File mit den Daten in /etc/sasldb2.db
(im Berkley-Datenbankformat).

Da per default Postfix aber chroot() laeuft muessen wir dieses File nach
/var/spool/postfix/etc kopieren und dann noch ein chmod 644 auf das
File.

Einfaches 'Relaying' sollte nun nicht mehr gehen aber das Weiterleiten
bei entsprechender Authentification (Kmail beherrscht alle Mechanismen
zur Authentification und ist damit als $TrailMUA bestens geeignet).

Ich hoffe, ich habe nichts vergessen. Wie immer ... viel Glueck!

--
IS