Postfix (als Client) smtp auth gegen Mailcow (SASL)

boospy

Mailcow in der Version 2024-07

Da ich der Zeit Probleme mit unauthentifizierten Zugriffen intern habe, hab ich mir die Möglichkeit angesehen das sich Postfixe von anderen Server bei der Mailcow authentifizieren können. Bei den Client handelt es sich ausschließlich um Ubuntu 22.04 LTS.

Ich habe mich an diese Anleitung gehalten: https://wiki.ubuntuusers.de/Postfix/#Authentifizierung-am-Smarthost

Nur leider versucht mein lokaler Postfix sich nicht mal bei der Mailcow zu authdenifizieren. Ich bin es so oft durch gegangen. Vielleicht findet ihr hier einen Fehler in der Postfixconf von meinem Ubuntu:

BTW: der relayhost steht nicht drinnen, weil der wird intern über DNS übergeben.

# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may

smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
# smtp_tls_security_level=encrypt
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = monitor.osit.cc
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, monitor.osit.cc, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = loopback-only
inet_protocols = all

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/auth_cow
header_size_limit = 4096000
smtp_sasl_security_options = noanonymous
sender_canonical_maps = hash:/etc/postfix/sender_canonical

Vielen Dank
lg
boospy

DocFraggle

Habe ich bei mir auch so konfiguriert:

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth

Das auth File liegt halt woanders. Stimmt die Syntax in Deinem File?

11.22.33.44:587 deine@auth.adresse:PASSWORT

Und hast Du auch posthash drüber laufen lassen?

boospy

Das auth File liegt halt woanders. Stimmt die Syntax in Deinem File?

Ja die ist mit deiner ident.

Und hast Du auch posthash drüber laufen lassen?

Du meinst das oder?
postmap hash:/etc/postfix/sasl/auth_cow

lg
boospy

DocFraggle

Hmm, ich erinnere mich ganz dunkel… probier Mal folgende extra Config für Postfix:

smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous

boospy

DocFraggle

Yes, das war’s damit wird korrekt an der Mailcow angemeldet. Aber das Mail kommt trotzdem nicht an. Gleiche Fehlermeldung wie in meinem anderen Post:

https://community.mailcow.email/d/3940-postfix-versendet-seit-letztem-update-2024-07-keine-mails-mehr-ohne-auth-intern/4

This message does not meet our delivery requirements

Wenn man dem Host dann wieder unter “System -> Konfiguration -> Weiterleitungs-Hosts” einträgt funktioniert es natürlich auch mit Auth.

Was das System aber überhaupt nicht mag ist sowas wie root@monitor.osit.cc als Absender. Das geht auch mit Auth nicht. Glaub das kann man mit Auth/SASL auch nicht verwirklichen. Weil die Adresse müsste es ja auf der Mailcow geben. Und diese kann man nicht anlegen, weil Subdomain.

Was mich beim Log etwas stutzig macht…

Aug 16 22:48:20 monitor.osit.cc postfix/pickup[3437191]: 0BBD382135: uid=0 from=<root>
Aug 16 22:48:20 monitor.osit.cc postfix/cleanup[3437378]: 0BBD382135: message-id=<20240816204820.0BBD382135@monitor.osit.cc>
Aug 16 22:48:20 monitor.osit.cc postfix/qmgr[3437192]: 0BBD382135: from=<smtp@osit.cc>, size=255, nrcpt=1 (queue active)
Aug 16 22:48:25 monitor.osit.cc postfix/smtp[3437380]: 0BBD382135: to=<ml@osit.cc>, relay=cow.osit.cc[172.16.80.53]:25, delay=9.8, delays=4.2/0/5/0.59, dsn=5.7.1, status=bounced (host cow.osit.cc[172.16.80.53] said: 554 5.7.1 This message does not meet our delivery requirements (in reply to end of DATA command))
Aug 16 22:48:25 monitor.osit.cc postfix/cleanup[3437378]: A24EE8213B: message-id=<20240816204825.A24EE8213B@monitor.osit.cc>
Aug 16 22:48:25 monitor.osit.cc postfix/bounce[3437516]: 0BBD382135: sender non-delivery notification: A24EE8213B
Aug 16 22:48:25 monitor.osit.cc postfix/qmgr[3437192]: A24EE8213B: from=<>, size=2254, nrcpt=1 (queue active)
Aug 16 22:48:25 monitor.osit.cc postfix/qmgr[3437192]: 0BBD382135: removed

Diese Zeile:

Aug 16 22:48:25 monitor.osit.cc postfix/qmgr[3437192]: A24EE8213B: from=<>, size=2254, nrcpt=1 (queue active)

Das ist in from nichts vorhanden, zuerst aber schon… könnte das wichtig sein?

DocFraggle

Ich versende von meinem Linux Server Zuhause. Dieser wechselt die IP jeden Tag, daher ist der auch nicht bei den Weiterleitungs-Hosts eingetragen. Ich habe eine Domain example.com und verwende vom Server Zuhause aus z.B die Absender Adresse cmk@example.com ohne Probleme…

boospy

DocFraggle

Ja, irgendwas hats da auf alle Fälle. Das muss werd ich nochmal tiefer rein gehen. Ist sicher zu lösen.

Schönes Wochenende 🙂

DocFraggle

Und Du siehst auch die Anmeldung im Postfix Log der mailcow? Ala

... sasl_method=PLAIN, sasl_username=deine@auth.adresse

Habe gerade mal alle möglichen ausgedachten Absender Emails getestet, auch cmktest@superserver funktioniert problemlos

und ich habe die mailcow beim Postfix als relayhost eingetragen, nur der Vollständigkeit halber

relayhost = [11.22.33.44]:587

boospy

… ich bin da noch am suchen und testen…