\<!doctype html public "-//W3C//DTD HTML 3.2 Final//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; Charset=UTF-8">

<meta name="Description" Content="Opis działającego rozwiązania SMTP-AUTH dla Postfiksa (z TLS) w wersji 2 oraz SASL2 opartych na PAM i hasłach systemowych.">
<meta name="Keywords" Content="postfix debian woody unstable smtp esmtp shadow passwords plain login digest md5 package working postfiks pakiet pakiety działający działające smtp-auth auth sasl sasl2 pam shadow tls howto jtz how-to">

<title>micro howto: 'SMTP-AUTH dla Postfiksa 2'</title>
</head>

<body bgcolor=#000000 link=#00a000 vlink=#a00000 leftmargin="0" 
      topmargin="0" marginwidth="0" marginheight="0">
<font color=silver>

<h2>Micro-HowTo 'SMTP-AUTH dla Postfiksa <strong>2</strong>'.</h2>

<p><h3>Wstęp</h3>
SMTP-AUTH dla <strong>Postfiksa 2</strong> oparte na:
<li> <strong>PAM</strong> (i hasłach systemowych (z łatwością jednak adaptowalne do np. LDAP czy MySQL));
<li> <strong>SASL 2</strong>
<li> <strong>Debian 5</strong> (działa także na Debian 6 i Ubuntu natty z nowszym software).

<!-- oryginalnie howto było do Debiana 3 sarge, ale w międzyczasie
migrowałem swoje maszyny na kolejne wersje systemu - obecnie z
powodzeniem używam howto niemal bez zmian na Debianie 5 -->

<p>Wszystko z paczek.<p>

<li><strong>postfix</strong> - A high-performance mail transport agent
<li><strong>postfix-tls</strong> - TLS and SASL support for Postfix
<!-- w Debianie 5 niepotrzebne, w 3 było niezbędne <li><strong>sasl-bin</strong> - Programs for manipulating the SASL users database -->
<li><strong>sasl2-bin</strong> - Programs for manipulating the SASL users database
<!-- w Debianie 5 niepotrzebne, w 3 było niezbędne <li><strong>libsasl-dev</strong> - Development files for authentication abstraction library -->
<!-- w Debianie 5 niepotrzebne, w 3 było CHYBA niezbędne <li><strong>libsasl-digestmd5</strong> - DIGEST-MD5 module for SASL -->
<!-- w Debianie 5 niepotrzebne, w 3 było niezbędne <li><strong>libsasl-modules-plain</strong> - Basic Pluggable Authentication Modules for SASL -->
<li><strong>libsasl2</strong> - Authentication abstraction library
<!-- w Debianie 5 niepotrzebne, w 3 było niezbędne <li><strong>libsasl-gssapi-mit</strong> - Pluggable Authentication Modules for SASL - MIT GSSAPI -->
<li><strong>libsasl2-modules</strong> - Pluggable Authentication Modules for SASL
<p>
(Pliki dostarczane z Cyrus-SASL są w sasl2-bin.)

<p><p><h3>Instalacja</h3>
Instalujesz wymagane pakiety
<pre>
# apt-get install libsasl2-2 libsasl2-modules postfix-tls sasl2-bin
</pre>
<!-- aktualizacja 2009.09.15 libsasl2-2 w Debianie 5 -->
<p>
Uwaga: zgodnie z <a href=http://42.pl/url/cG>http://42.pl/url/cG</a>
<u>nie uda się</u> zrobić CRAM-MD5 z wykorzystaniem PAM/shadow:<p>

,--[ <a href=http://42.pl/url/cH>http://42.pl/url/cH</a> ]--<br>
| CRAM-MD5 relies on having a plain-text password to create the challenge.<br>
| If you use an authentication method where your password is in shadow, or<br>
| crypt-password in MySQL, then it stands to reason that CRAM-MD5 won't work.<br>
`---<p>

Niestety.<p>

<h3>Konfiguracja</h3>
Istotne wpisy w plikach konfiguracyjnych (jeśli masz nieco inne, zmień.
Jeśli Ci czegoś brakuje, dodaj.):<p>

<pre>
<a name=mailname></a><font color=yellow><strong>*** /etc/mailname</strong></font>:
Check if you see your FQDN hostname ( == 'hostname --fqdn')
</pre>

<pre>
<a name=mastercf></a><font color=yellow><strong>*** /etc/postfix/master.cf</strong></font>:
# Kluczowe: smtp nie może<a href=#foot1><sup>[1]</sup></a> być chrootowane (<font color=red>5 kolumna</font>) - inaczej postfix 
# nie będzie mógł czytać <font color=cyan>/var/run/saslauthd/mux</font>
# i zaowocuje to komunikatem: postfix/smtpd[$pid]: warning: SASL authentication failure: 
# cannot connect to saslauthd server: Permission denied
# Do przejrzenia: <a href=http://42.pl/url/cC>http://42.pl/url/cC</a>, <a href=http://42.pl/url/cD>http://42.pl/url/cD</a> i <a href=http://42.pl/url/cE>http://42.pl/url/cE<a>.
smtp      inet   n  -  <font color=red>n</font>  -  -  smtpd -o smtpd_sasl_auth_enable=yes
smtp      unix   -  -  <font color=red>n</font>  -  -  smtp
smtps     inet   n  -  <font color=red>n</font>  -  -  smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
587       inet   n  -  <font color=red>n</font>  -  -  smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
# Zapewne niektóre opcje nie są niezbędne, ale 'If It Works, Don't Fix It!'.
</pre>

<sup>[1]</sup>
<a name=foot1>Dokładniej to <strong>może</strong>, tylko trzeba trochę się
nagimnastykować z dostępem do <font color=cyan>/var/run/saslauthd/mux</font>
właśnie...</a><br>
Dziękuję za wskazówkę, eloy.

<pre>
<font color=yellow><strong>*** /etc/postfix/main.cf</strong></font>:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains
smtp_sasl_auth_enable        = yes
smtpd_sasl_auth_enable       = no
broken_sasl_auth_clients     = yes
smtp_sasl_password_maps      = hash:<font color=cyan>/etc/postfix/null</font>
# /etc/postfix/null to jest hash z /dev/null wykonany za pomocą 'postmap /dev/null; mv /dev/null.db /etc/postfix'
smtpd_use_tls                = yes
smtpd_tls_auth_only          = no
smtpd_tls_key_file           = <font color=cyan>/etc/postfix/ssl/tls.pem</font>
smtpd_tls_cert_file          = <font color=cyan>/etc/postfix/ssl/tls.pem</font>
smtpd_tls_CAfile             = <font color=cyan>/etc/postfix/ssl/tls.pem</font>
# Miałem wcześniej przygotowany certyfikat sygnowany własnym CA (skrypty do
# przygotowania tegoż są w OpenSSL bodajże) - zawsze zresztą TLS możesz wyłączyć 
# (odpowiada za to smtpd_use_tls)
smtpd_tls_loglevel           = 1
# powyższa opcja: jeśli nie wystarcza Ci poziom logowania transakcji TLS - zwiększ tę liczbę
smtpd_tls_received_header    = yes
tls_random_source            = dev:<font color=cyan>/dev/urandom</font>
</pre>

<pre>
<font color=yellow><strong>*** /etc/postfix/sasl/smtpd.conf</strong></font>:
pwcheck_method:  saslauthd
saslauthd_path:  <font color=cyan>/var/run/saslauthd/mux</font>
# Bardzo ważne: postfix musi być w stanie czytać ten plik - u siebie zrobiłem to 
# dodając go do grupy sasl (<font color=cyan>/var/run/saslauthd</font> był własnością root.sasl)
mech_list:       plain login
minimum_layer:   0
auto_transition: no
</pre>

<pre>
<a name=saslauthdcf></a><font color=yellow><strong>*** /etc/default/saslauthd</strong></font>:
START=yes
MECHANISMS="pam"
</pre>

<pre>
<font color=yellow><strong>*** /etc/pam.d/smtp</strong></font>:
auth       required     pam_unix.so nullok try_first_pass
account    required     pam_unix.so
password   required     pam_permit.so
session    required     pam_permit.so
</pre><p>

<h3>Gotowe, teraz test</h3><pre>
<strong>Teraz</strong>:
/etc/init.d/postfix reload
/etc/init.d/saslauthd restart
</pre>
I sprawdzamy:<p>

Najpierw sprawdzę czy SASL jest w stanie korzystając z PAM (taką metodę
autoryzacji zdefiniowaliśmy w <a href=#saslauthdcf>/etc/default/saslauthd</a>) zautoryzować
użytkownika - jeśli tak, da nam to pewność, że SASL jest skonfigurowany
prawidłowo i że potrafi skorzystac ze zdefiniowanej metody autoryzacji 
(tu: PAM) - potem pozostanie jedynie upewnienie się, że postfix potrafi
skontaktować się z SASL (pamiętaj o <a
href=#mastercf>/var/run/saslauthd/mux</a>) no i poinformować, że umie
SMTP AUTH (patrz <a href=#ncsession>niżej</a>).
<br>
Tak wygląda problem z dostępem do <a href=#mastercf>MUX</a> saslauthd:
<pre>
postfix/smtpd[32640]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
postfix/smtpd[32640]: warning: SASL authentication failure: Password verification failed
postfix/smtpd[32640]: warning: hostname.tld[xxx.xxx.xxx.xxx]: SASL PLAIN authentication failed: generic failure
</pre>
-- wyjąłem postfiksa z chroota (patrz początek strony o master.cf) i jest OK

<br><br>
Test autoryzacji SASL:
<br>Mam użytkownika systemowego "abc" o haśle "def".<br>

<pre>
$ testsaslauthd -u abc -p def
0: OK "Success."
</pre>
<br>
Jest dobrze, SASL działa.
<br>
W razie potrzeby przetestowania użytkownika wirtualnego trzymanego np w mysql:
<pre>
$ testsaslauthd  -r domena.pl -s smtp -u uzytkownik -p haselko
0: OK "Success."
</pre>
(-- oczywiście PAM musi umieć podpiąć się do mysql: 'libpam-mysql' na Debianie)<br><br>
Teraz test postfix+SASL:
<br>
Najpierw generuję niezbędny ciąg znaków (\0username\0passwd zakodowane Base64) dla metody AUTH PLAIN:
<pre>
$ perl -MMIME::Base64 -e 'print encode_base64("\0abc\0def");'
YWJjAGFiYwBkZWY=
</pre>
Tu taki hint - jeśli masz użytkowników wirtualnych, np.
username@domena.com, to uważaj na znak '@' w username - perl zamierza go potraktować specjalnie, więc musisz go 'zacytować':
<pre>
$ perl -MMIME::Base64 -e 'print encode_base64("\0uzytkownik\@domena.pl\0Pompony");'
AHV6eXRrb3duaWtAZG9tZW5hLnBsAFBvbXBvbnk=
</pre>

Teraz przeprowadzam normalną sesję ESMTP (potrzebny 'netcat' - jeśli go nie
masz, możesz normalnie się zatelnetować na port 25 i wpisywać te polecenia
po kolei):<br>
<pre><a name=ncsession></a>
# { echo "ehlo test"; echo "AUTH PLAIN YWJjAGFiYwBkZWY="; echo "quit"; } | nc localhost 25
220 host.domain.pl (NO UCE ESMTP) welcomes. We block/report all spam.
250-host.domain.pl
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-<font color=magenta>AUTH LOGIN PLAIN</font>
250-<font color=magenta>AUTH=LOGIN PLAIN</font>
250-XVERP
250 8BITMIME
235 <font color=#00ff70">Authentication successful</font>
221 Bye
</pre>

Konfigurację klientów można znaleźć gdzieś indziej - np. <a href=http://oak.rpg.pl/index.php?body=coijak-smtpauth>tutaj</a>.
Co prawda dotyczy innego serwera, ale powinno się dać ją zastosować ;)

<p>
Powodzenia :) Sam wykorzystuję powyższy przepis w praktyce ;)<p><p>

<h3>Troubleshooting</h3>
Logi, logi i jeszcze raz logi.<p>
<pre>
/var/log/mail.err
/var/log/mail.info
/var/log/daemon.log
/var/log/auth.log
/var/log/messages
</pre><br>

Jeśli będziesz szukał pomocy gdzieś na forach:
<pre>
- przygotuj wersje używanych pakietów (apt-cache policy <i>nazwapakietu</i>)
- przygotuj wszystkie wymienione pliki konfiguracyjne (por. 'postconf -n'), wytnij komentarze
- upewnij się, że NA PEWNO masz poprawną parę username/password (pokaż jak to sprawdzasz)
- przeprowadź testy krok po kroku i dla każdego kroku pokazuj błędy z logów
- jeśli do testów nie używasz netcata, a klienta pocztowego, użyj
  więcej niż jednego - np. mutta, Outlook Expressa, Thunderbirda -
  dokładnie opisz wtedy konfigurację
- napisz na czym polega problem (co nie działa)
- napisz co już zrobiłeś w celu znalezienia przyczyny problemu 
</pre>

<script src="http://www.google-analytics.com/urchin.js" type="text/javascript">
</script>
<script type="text/javascript"> _uacct = "UA-1221897-1"; urchinTracker(); </script>
<!-- Tu kończ stronę -->

<i><font size=-1>
</font></i>

<!-- o jak ja nie cierpię ICIC -->
<a href="http://spam.jogger.pl/2006/05/29/miedzynarodowe-centrum-informacyjno-konsultingowe-icic/"><font color="black" size=1>ICIC</font></a><br>


<hr>
<font color=#777777>Ostatnia modyfikacja: 2012.03.25 14:00
</font></font>
<script type="text/javascript" src="/_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3&ns=1&cb=124344785" async></script></body>
</html>