[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Exim4 & SMTPAUTH
[Thread Prev] | [Thread Next]
- Subject: Re: Exim4 & SMTPAUTH
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Fri, 20 Oct 2006 08:22:37 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Fri, Oct 20, 2006 at 07:30:59AM +0200, Frank wrote: > in /etc/defaults/saslauthd > *************************** > START=yes > #und > MECHANISMS="pam shadow" > *************************** > > in der exim4.conf.template > > *************************** > MAIN_TLS_ENABLE=true > AUTH_SERVER_ALLOW_NOTLS_PASSWORDS=true > AUTH_CLIENT_ALLOW_NOTLS_PASSWORDS=true > tls_on_connect_ports = 465 > *************************** > dies in der MAIN Section einfuegen (bei mir direkt unter confdir) Herzlichen Glueckwunsch, damit pustest Du Systempassworte, die bei geeigneter Konfiguration auch eine Shell bringen, unverschluesselt ueber das Internet. Dass das eine Dumme Idee[tm] ist, weiss man seit ueber zehn Jahren. Siehe http://pkg-exim4.alioth.debian.org/README/README.Debian.html Kapitel 2.3.2. AUTH_CLIENT_ALLOW_NOTLS_PASSWORDS erlaubt exim bei der authentifikation als Client auch unverschluesselte Passworte zu verwenden. Das hat mit dem Betrieb als Server voellig ueberraschend gar nichts zu tun sondern macht Dein System nur noch etwas mehr unsicher, siehe http://pkg-exim4.alioth.debian.org/README/README.Debian.html Kapitel 2.3.1. Ausserdem sollte man Makros nicht direkt in der exim4.conf.template setzen, da gibt es einen Hook (siehe http://pkg-exim4.alioth.debian.org/README/README.Debian.html Kapitel 2.1.3) Obendrein ist das tls_on_connect_ports nicht hinreichend dafuer dass er da auch wirklich lauscht, es braucht auch noch eine Aenderung an der Daemon-Kommandozeile, dokumentiert in http://pkg-exim4.alioth.debian.org/README/README.Debian.html Kapitel 2.2.2. Das ist uebrigens nur > und (am einfachsten nach sasl suchen) > *************************** > # login_saslauthd_server: > # driver = plaintext > # public_name = LOGIN > # server_prompts = "Username:: : Password::" > # # don't send system passwords over unencrypted connections > # server_condition = ${if saslauthd{{$auth1}{$auth2}}{1}{0}} > # server_set_id = $auth1 > # .ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS > # server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}} > # .endif > *************************** > hier die kommentarzeichen entfernen > > bei mir war der Debian-exim Benutzer nicht in der Gruppe sasl was dazu > fuehrte dass es nicht funktioniert Auch das ist dokumentiert in http://pkg-exim4.alioth.debian.org/README/README.Debian.html Kapitel 2.3.2. > Ohne Auth ohne tls --> relay not premitted > mit auth ohne tls --> relay not premitted Das sollte nicht sein, Du hast Auth ohne TLS freigegeben. Das muss gehen. Was sagt der Versuch mit swaks? > ohne auth mit tls --> relay not premitted > und zuguter letzt > gehts mit auth und mit tls *freu* Zusammenfassung: Doku nicht gelesen und maximalen Schaden angerichtet. Gruesse Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 72739835 -- http://mailman.uugrn.org/mailman/listinfo/uugrn