[RESOLU][SMTP][TLS] lost connection

jak0lantash · Le 26/02/2008, à 20:15

Bonjour,

Décidément, je vais jamais arrivé à monter ce serveur mail ^^
J'ai besoin d'un petit coup de main svp sur l'authentif SSL de SMTP.
Après avoir bien galérer avec Postfix et Courier. Voilà que je me casse les dents sur l'authentif sécurisée.
Alors, bon, je sais pas trop la différence entre TLS et SSL, mes connaissances dans le domaine sont minimes... Mais faut bien commencer un jour pour apprendre ! ;-)
J'ai suivi le tuto : Installation de Postfix + TLS + SASL + MySQL + Clamav + Spamassassin

Mon problème : J'aimerai utiliser le serveur SMTP à distance (client mail). J'ai donc, ajouter "sasl_authenticated" dans "mynetworks", pour permettre au utilisateur authentifier d'envoyer des mails.
Sans quoi, il se produisait :

root@# telnet smtp.mondomaine.eu smtp
Trying 88.**.**.**...
Connected to smtp.mondomaine.eu.
Escape character is '^]'.
220 smtp.mondomaine.eu ESMTP Postfix (Ubuntu)
EHLO mondomaine.eu
250-smtp.mondomaine.eu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:test@mondomaine.eu
250 2.1.0 Ok
RCPT TO:test@exterieur.fr NOTIFY=success,failure
554 5.7.1 <test@exterieur.fr>: Relay access denied

Feb 26 19:12:20  postfix/smtpd[9766]: NOQUEUE: reject: RCPT from unknown[88.**.**.**]: 554 5.7.1 <test@exterieur.fr>: Relay access denied; from=<test@mondomaine.eu> to=<test@exterieur.fr> proto=ESMTP helo=<mondomaine.eu>

Après avoir ajouté "sasl_authenticated" --> Toujours pareil. Mais là c'est normal, puisqu'en telnet c'est sasl_secure, donc je suis forcement rejeté. J'ai essayé avec "0.0.0.0/0" et ça marche
Par contre, je ne sais pas me connecter en utilisant SSL pour tester...
Tout ce que je sais, c'est que ça passe jamais.

Bon alors, en ce qui concerne ma conf :

root@# postconf -n
append_dot_mydomain = yes
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
disable_vrfy_command = yes
mydestination = localhost, localhost.localdomain
mydomain = mondomaine.eu
myhostname = smtp.mondomaine.eu
mynetworks = 127.0.0.0/8, sasl_authenticated
myorigin = mondomaine.eu
receive_override_options = no_address_mappings
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_restrictions = permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,  permit_sasl_authenticated,  reject_non_fqdn_hostname,  reject_non_fqdn_sender,  reject_non_fqdn_recipient,    reject_unauth_destination,  reject_unauth_pipelining,     reject_invalid_hostname,  reject_rbl_client opm.blitzed.org,  reject_rbl_client list.dsbl.org,  reject_rbl_client bl.spamcop.net,  reject_rbl_client sbl-xbl.spamhaus.org
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks,        reject_unknown_sender_domain,        warn_if_reject reject_unverified_sender
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /home/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 5000
virtual_transport = virtual
virtual_uid_maps = static:5000

root@# cat /etc/pam.d/smtp
auth       required     pam_mysql.so user=postfix passwd=mot_de_passe host=127.0.0.1 db=postfix table=mailbox usercolumn=username passwdcolumn=password crypt=1
account    sufficient   pam_mysql.so user=postfix passwd=mot_de_passe host=127.0.0.1 db=postfix table=mailbox usercolumn=username passwdcolumn=password crypt=1

1root@# cat /etc/postfix/sasl/smtpd.conf
pwcheck_method: saslauthd auxprop
mech_list: login plain
auxprop_plugin: sql
sql_engine: mysql
sql_hostnames: localhost
sql_user: postfix
sql_database: postfix
sql_passwd: mot_de_passe
sql_select: SELECT ...... LIMIT 1;

root# cat /etc/default/saslauthd
START=yes
MECHANISMS="pam"
PARAMS="-r"

Merci d'avance de votre aide.

Dernière modification par jak0lantash (Le 10/07/2008, à 00:29)

toniotonio · Le 26/02/2008, à 20:18

jette un oeil a mon tuto sur le sujet
http://www.starbridge.org/spip/spip.php?article12&artsuite=3#sommaire_1

jak0lantash · Le 26/02/2008, à 20:43

toniotonio a écrit :

jette un oeil a mon tuto sur le sujet
http://www.starbridge.org/spip/spip.php?article12&artsuite=3#sommaire_1

Déjà fait tonio ;-)
Je suis encore entrain de chercher à l'intérieur...
Pour l'instant sans grand succès. Il est trop complet. C'est pas évident de trouver

toniotonio · Le 26/02/2008, à 22:19

suis juste a la lettre la page sur laquelle dirige le lien que j'ai mis

jak0lantash · Le 28/02/2008, à 01:05

J'ai suivi la partie sur SASL

root@# openssl s_client -connect localhost:25 -crlf -starttls smtp
CONNECTED(00000003)
12840:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:567:

tail -f /var/log/syslog
Feb 28 00:19:20  postfix/smtpd[12833]: connect from localhost[127.0.0.1]
Feb 28 00:19:20  postfix/smtpd[12833]: lost connection after UNKNOWN from localhost[127.0.0.1]
Feb 28 00:19:20  postfix/smtpd[12833]: disconnect from localhost[127.0.0.1]

Dernière modification par jak0lantash (Le 28/02/2008, à 01:05)

toniotonio · Le 28/02/2008, à 07:59

fais voir ta conf

jak0lantash · Le 28/02/2008, à 19:04

root@# postconf -n
append_dot_mydomain = yes
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
disable_vrfy_command = yes
mydestination = localhost, localhost.localdomain
mydomain = mondomain.eu
myhostname = smtp.mondomain.eu
mynetworks = 127.0.0.0/8, sasl_authenticated
myorigin = mondomain.eu
receive_override_options = no_address_mappings
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_restrictions = permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,  permit_sasl_authenticated,  reject_non_fqdn_hostname,  reject_non_fqdn_sender,  reject_non_fqdn_recipient,    reject_unauth_destination,  reject_unauth_pipelining,     reject_invalid_hostname,  reject_rbl_client opm.blitzed.org,  reject_rbl_client list.dsbl.org,  reject_rbl_client bl.spamcop.net,  reject_rbl_client sbl-xbl.spamhaus.org
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks,        reject_unknown_sender_domain,        warn_if_reject reject_unverified_sender
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /home/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 5000
virtual_transport = virtual
virtual_uid_maps = static:5000

root@# cat /etc/pam.d/smtp
auth required pam_mysql.so user=postfix passwd=mot_de_passe host=127.0.0.1 db=mabase table=ltq_services_accounts usercolumn=lsa_mail_mailbox passwdcolumn=lsa_password crypt=3 md5=1
account sufficient pam_mysql.so user=postfix passwd=mot_de_passe host=127.0.0.1 db=mabase table=ltq_sercices_accounts usercolumn=lsa_mail_mailbox passwdcolumn=lsa_password crypt=3 md5=1

root@# cat /etc/postfix/sasl/smtpd.conf
pwcheck_method: saslauthd auxprop
mech_list: login plain
auxprop_plugin: sql
sql_engine: mysql
sql_hostnames: localhost
sql_user: postfix
sql_database: mabase
sql_passwd: mot_de_passe
sql_select: SELECT CONCAT('{MD5}',`mabase`.`ltq_services_accounts`.`lsa_password`) AS 'password' FROM `mabase`.`ltq_services_accounts` INNER JOIN `postfix`.`pfx_domains` ON `mabase`.`ltq_services_accounts`.`lsa_mail_domains_id`=`postfix`.`pfx_domains`.`pfd_id` WHERE CONCAT(`mabase`.`ltq_services_accounts`.`lsa_mail_mailbox`,'@',`postfix`.`pfx_domains`.`pfd_domain`)='%u@%r' AND `mabase`.`ltq_services_accounts`.`lsa_mail_activ`='1' LIMIT 1;

root@# cat /etc/default/saslauthd
# This needs to be uncommented before saslauthd will be run automatically
START=yes

# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
#MECHANISMS="pam shadow"

MECHANISMS="pam"
PARAMS="-c -r -m /var/spool/postfix/var/run/saslauthd"

Dernière modification par jak0lantash (Le 28/02/2008, à 19:05)

toniotonio · Le 28/02/2008, à 19:58

tu as toujours tes passwords en md5 hex dans ta base c'est ca ?

si oui essaye d'enlever le md5=1 a la fin des 2 lignes dans le /etc/pam.d/smtp

tu parles d'un test tls, mais il n'est pas actif dans ta conf.

teste ton SASL dans un premier temps sans le tls

verifie que ton demon tourne bien:
ps waux | grep saslauthd

puis fais voir les droits sur le socket:

ls -la /var/spool/postfix/var/run/saslauthd

et poste les logs

jak0lantash · Le 28/02/2008, à 20:16

En ce qui concerne le md5, le problème est pas là pour le moment, parce que la requête SQL n'apparaît même pas dans les logs MySQL.

root@# ps waux | grep saslauthd
root     15831  0.0  0.0   7260  1000 ?        Ss   18:18   0:00 /usr/sbin/saslauthd -c -r -m /var/spool/postfix/var/run/saslauthd -a pam
root     15842  0.0  0.0   7260   536 ?        S    18:18   0:00 /usr/sbin/saslauthd -c -r -m /var/spool/postfix/var/run/saslauthd -a pam
root     15843  0.0  0.0   7260   364 ?        S    18:18   0:00 /usr/sbin/saslauthd -c -r -m /var/spool/postfix/var/run/saslauthd -a pam
root     15844  0.0  0.0   7260   364 ?        S    18:18   0:00 /usr/sbin/saslauthd -c -r -m /var/spool/postfix/var/run/saslauthd -a pam
root     15845  0.0  0.0   7260   364 ?        S    18:18   0:00 /usr/sbin/saslauthd -c -r -m /var/spool/postfix/var/run/saslauthd -a pam

root@# ls -la /var/spool/postfix/var/run/saslauthd
total 940
drwx--x--- 2 root sasl   4096 2008-02-28 18:18 .
drwxr-xr-x 5 root sasl   4096 2008-02-28 00:10 ..
-rw------- 1 root root      0 2008-02-28 18:18 cache.flock
-rw------- 1 root root 945152 2008-02-28 18:18 cache.mmap
srwxrwxrwx 1 root root      0 2008-02-28 18:18 mux
-rw------- 1 root root      0 2008-02-28 18:18 mux.accept
-rw------- 1 root root      6 2008-02-28 18:18 saslauthd.pid

Par contre, SASL/TLS, je vois pas bien la distinction en fait. Pour l'installation du TLS, j'avais bêtement suivi le tuto sur ce site.
Je vais essayer d'adapter avec ton tuto...

jak0lantash · Le 28/02/2008, à 21:22

Ca avance, après que j'ai refait la conf TLS à partir de ton tuto, ya du mieux (par contre, j'ai pas changé le nom des certificats, qui apparaissent toujours en starbridge, je sais pas si c'est grave...)

root@# openssl s_client -connect localhost:25 -crlf -starttls smtp
CONNECTED(00000003)
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
   i:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIC1TCCAj6gAwIBAgIJAKPFtmI9hio3MA0GCSqGSIb3DQEBBQUAMG4xCzAJBgNV
BAYTAkZSMQ8*******
-----END CERTIFICATE-----
subject=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
issuer=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
No client certificate CA names sent
---
SSL handshake has read 1369 bytes and written 350 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 537B4316E0229240F5D4575D1120150B6ADF129C892202C671D29BE8F27E94BA
    Session-ID-ctx:
    Master-Key: F9853B2FA156CE6807DDAE77EF527A704C839DD97EAC9B99830F0B3EAD5607EC532339534FEFED4CFD495CE0DB62E821
    Key-Arg   : None
    Start Time: 1204225780
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
220 smtp.mondomaine.eu ESMTP Postfix (Ubuntu)
ehlo mondomaine.eu
250-smtp.mondomaine.eu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:******@mondomaine.eu
250 2.1.0 Ok
RCPT TO:****@**.fr NOTIFY=success,failure
RENEGOTIATING
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1
DATA
554 5.5.1 Error: no valid recipients

Par contre, là, j'y comprends plus rien du tout maintenant, ça me dépasse totalement ces histoires de certificats.

Je suis entrain de regarder comment m'authentifier...

Dernière modification par jak0lantash (Le 28/02/2008, à 21:23)

jak0lantash · Le 28/02/2008, à 22:10

Bien entendu PAM n'est pas assez configurable. Y a pas moyen de pas passer par ce vieux machin tout pourris ??
Je peux pas configurer la requête exécutée sur le serveur...

Feb 28 21:23:01 postfix/smtpd[17185]: warning: SASL authentication failure: Password verification failed
Feb 28 21:23:01 postfix/smtpd[17185]: warning: localhost[127.0.0.1]: SASL PLAIN authentication failed: authentication failure

toniotonio · Le 28/02/2008, à 23:12

modifie ton /etc/postfix/sasl/smtp.conf comme celui de mon tuto (ne mets rien d'autre dedans)

colle au tuto, n'essaie pas de mixer un peu des 2.

as tu redemarré le demon sasl entre chaque modif ?

laisse tomber le TLS pour l'instant

jak0lantash · Le 28/02/2008, à 23:48

Oue, j'ai bien redémarrer le démon sasl.
Le truc, c'est que la requête éxecutée sur MySQL est

SELECT test FROM ltq_services_accounts WHERE lsa_mail_mailbox = '*******@mondomaine.eu'

Ce qui correspond parfairtement à ce qui est dis dans /etc/pam.d/smtp (idem pour la succession login / use database / query SQL).
Il faudrait que je puisse configurer la requête dont j'ai besoin...

toniotonio · Le 29/02/2008, à 00:00

tu veux la configurer comment ?

jak0lantash · Le 29/02/2008, à 00:15

Ok pour l'authentification de base avec un mot de passe en clair, et une archi BDD adapté en temporaire (mais après ça merde)...

Voilà les modifs :

root@# cat /etc/pam.d/smtp
  auth required pam_mysql.so user=postfix passwd=***** host=127.0.0.1 db=masbase table=ltq_services_accounts usercolumn=test2 passwdcolumn=test crypt=0
  account sufficient pam_mysql.so user=postfix passwd=***** host=127.0.0.1 db=mabase table=ltq_services_accounts usercolumn=test2 passwdcolumn=test crypt=0

root@# cat /etc/postfix/sasl/smtpd.conf
  pwcheck_method: saslauthd
  mech_list: PLAIN LOGIN
  log_level: 5

Résultat :

tail -f /var/log/mysql/mysql.log
  2041 Connect     postfix@localhost on mabase
  2041 Init DB     mabase
  2041 Query       SELECT 0, test FROM ltq_services_accounts WHERE test2 = '*****@mondomaine.eu'
  2041 Quit

tail -f /var/log/mail/mail.log
  Feb 28 23:23:25 postfix/smtpd[19972]: connect from localhost[127.0.0.1]
Feb 28 23:23:25 postfix/smtpd[19972]: setting up TLS connection from localhost[127.0.0.1]
Feb 28 23:23:25 postfix/smtpd[19972]: TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)

openssl s_client -connect localhost:25 -crlf -starttls smtp
CONNECTED(00000003)
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
   i:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
issuer=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
No client certificate CA names sent
---
SSL handshake has read 1369 bytes and written 350 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 5EC19E99E9CD577AE3AE68CDD14A0170CE1AAA8A403040FE18C1CB6A4BBC7808
    Session-ID-ctx:
    Master-Key: 1A192D8FB8E7DE2036C2FB97F72E69F412C5C95746C2F3DA4F316DB4EDA21296ED66AA19079B876BAD48C263D25B90FA
    Key-Arg   : None
    Start Time: 1204237405
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
220 smtp.mondomaine.eu ESMTP Postfix (Ubuntu)
ehlo mondomaine.eu
250-smtp.mondomaine.eu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN AGphazBsYW50YXNoQGxldHJvcXVldC5ldQB0ZW1wbw==
235 2.0.0 Authentication successful
MAIL FROM:*****@mondomaine.eu
250 2.1.0 Ok
RCPT TO:*****@yopmail.com NOTIFY=success,failure
RENEGOTIATING
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1

jak0lantash · Le 29/02/2008, à 00:20

La requête qu'il faudrait que PAM exécute devrait être exactement :

SELECT
  CONCAT('{MD5}',`mabase`.`ltq_services_accounts`.`lsa_password`) AS 'password'
FROM `mabase`.`ltq_services_accounts`
  INNER JOIN `postfix`.`pfx_domains`
    ON `mabase`.`ltq_services_accounts`.`lsa_mail_domains_id`
      =`postfix`.`pfx_domains`.`pfd_id`
WHERE
  CONCAT(`mabase`.`ltq_services_accounts`.`lsa_mail_mailbox`,'@',
    `postfix`.`pfx_domains`.`pfd_domain`)='$username'
  AND `mabase`.`ltq_services_accounts`.`lsa_mail_activ`='1' LIMIT 1;

Dernière modification par jak0lantash (Le 29/02/2008, à 00:21)

jak0lantash · Le 29/02/2008, à 00:28

Par contre, ya un truc que je comprends pas du tout, si c'est bien pam qui gère l'authentif, à quoi ça sert que dans plein de tuto sur le net, ils disent de mettre des trucs du genre :

sql_hostnames: 127.0.0.1
sql_user: root
sql_passwd: pass
sql_database: mail
sql_select: select password from users where email = '%u'

dans
/etc/postfix/sasl/smtpd.conf ???

toniotonio · Le 29/02/2008, à 08:04

les requetes sql dans smtpd.conf sont destinées a un autre mode d'authentification, specifiquement depuis une base sql mais qui ne prend pas en compte les password cryptés. (donc password en clair)

d'ou l'utilisation de pam.

essaye justement un autre mecanisme d'auth:
http://www.starbridge.org/spip/spip.php?article1&artsuite=1#sommaire_1

en gros sasl va utiliser le demon d'auth de courier et donc s'appuyer sur une requete qui fonctionne (celle de l'auth imap)

jak0lantash · Le 29/02/2008, à 19:12

C'est dit, j'ai lu et j'ai rien compris !
(Loin de moi l'idée de vouloir te vexer lol)

http://www.linuxcommand.org/man_pages/saslauthd8.html
Qu'en est-il du MECHANISM rimap ???

Je vais essayé dans cette voie...

Dernière modification par jak0lantash (Le 29/02/2008, à 20:32)

jak0lantash · Le 29/02/2008, à 23:37

Ya du grand mieux !!!
J'arrive bien à me loguer en utilisant rimap. C'est simple et efficace comem solution. Par contre, y me reste un petit problème de certificat. Faudrait que je les effaces un par un, histoire de nettoyer un peu tout ça, et les refaire...

Pour la config de rimap, rien de plus simple :

root@# ls /etc/pam.d/smtp
ls: /etc/pam.d/smtp: No such file or directory

C'est si bon ça !!

root@# cat /etc/default/saslauthd
START=yes
MECHANISMS="rimap"
PARAMS="-c -r -O 127.0.0.1 -m /var/spool/postfix/var/run/saslauthd"

root@# cat /etc/postfix/sasl/smtpd.conf
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
log_level: 5

Ce qui nous donne :

root@# openssl s_client -connect localhost:25 -crlf -starttls smtp
CONNECTED(00000003)
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
   i:/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
Server certificate
-----BEGIN CERTIFICATE-----
MIIC1TCCAj6gAwIBAgIJAKPFtmI9hio3MA0GCSqGSIb3DQEBBQUAMG4xCzAJBgNV
BAYTAkZSMQ8wDQYDVQQIEwZGcmFuY2UxFTATBgNVBAoTDGxldHJvcXVldC5ldTEV
MBMGA1UEAxMMbGV0cm9xdWV0LmV1MSAwHgYJKoZIhvcNAQkBFhFpbmZvQGxldHJv
cXVldC5ldTAeFw0wODAyMjgxOTA2MDFaFw0wOTAyMjcxOTA2MDFaMG4xCzAJBgNV
BAYTAkZSMQ8wDQYDVQQIEwZGcmFuY2UxFTATBgNVBAoTDGxldHJvcXVldC5ldTEV
MBMGA1UEAxMMbGV0cm9xdWV0LmV1MSAwHgYJKoZIhvcNAQkBFhFpbmZvQGxldHJv
cXVldC5ldTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAtzXFtrc8YSH4X9E4
r3EDi//EA7UYXPOe405AaT4RNXC3IE7D2BGEyKe6wl2/+5t8VDnz0uZbcuDrDU+1
u78Fe63pgPdTVzFRfjSADJZ+7CIr0qwEGGlot+OlKbuKtCIgGKYd0dBNOEnlyBpC
90mJ3HK7p7hwEfHqCnqIdNix1TMCAwEAAaN7MHkwCQYDVR0TBAIwADAsBglghkgB
hvhCAQ0EHxYdT3BlblNTTCBHZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYE
FHHYfJF3uuWF87yKEvsHMUqe3PVRMB8GA1UdIwQYMBaAFFbBnk2PLDgkYlGkRRRB
T5nPIB9VMA0GCSqGSIb3DQEBBQUAA4GBAFVAOBWBLTe1Zf4XisPvpLwHzStKZbu9
7O8hwhFnJKsLeYnJ1Wfv+NBrorR1pRBSqnE18AUuO7O5JCxyqrvE5YWmYq929Eqi
KU82AII7syHn0SFc6fPRLmDRlpYFDXZ4pgXtJDOSkjHXAQEaiGXj2Vyrw+LmsSBb
o3LLUhCjWbUI
-----END CERTIFICATE-----
subject=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
issuer=/C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
---
No client certificate CA names sent
---
SSL handshake has read 1369 bytes and written 350 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 1E94737B603E78D5391851D2F251C07090268D809873631C02561AB1D268C909
    Session-ID-ctx:
    Master-Key: 0E919DE68827E09EAD190914A0ECF5B6B2F732AA590E56427DF8598CCE087C2E4A520C2E61D4CB4A72B97CE3A69E8349
    Key-Arg   : None
    Start Time: 1204320999
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
220 smtp.mondomaine.eu ESMTP Postfix (Ubuntu)
ehlo mondomaine.eu
250-smtp.mondomaine.eu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN AGphazBsYW50YXNoQG1vbmRvbWFpbmUuZXUAdGVzdGluZw==
235 2.0.0 Authentication successful
MAIL FROM:jak0lantash@mondomaine.eu
250 2.1.0 Ok
RCPT TO:*********@****.fr NOTIFY=success,failure
RENEGOTIATING
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1
DATA
554 5.5.1 Error: no valid recipients
421 4.4.2 smtp.mondomaine.eu Error: timeout exceeded
read:errno=0

Avec AGphazBsYW50YXNoQG1vbmRvbWFpbmUuZXUAdGVzdGluZw== qui correspond à :

root@# perl -MMIME::Base64 -e 'print encode_base64("\000jak0lantash\@mondomaine.eu\000testing")'
AGphazBsYW50YXNoQG1vbmRvbWFpbmUuZXUAdGVzdGluZw==

root@# tail -f mail.log
Feb 29 22:36:23 ** postfix/smtpd[4700]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 29 22:36:23 ** postfix/smtpd[4700]: connect from localhost[127.0.0.1]
Feb 29 22:36:23 ** postfix/smtpd[4700]: setting up TLS connection from localhost[127.0.0.1]
Feb 29 22:36:23 ** postfix/smtpd[4700]: TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 29 22:36:38 ** postfix/smtpd[4700]: lost connection after AUTH from localhost[127.0.0.1]
Feb 29 22:36:38 ** postfix/smtpd[4700]: disconnect from localhost[127.0.0.1]
Feb 29 22:36:39 ** postfix/smtpd[4700]: connect from localhost[127.0.0.1]
Feb 29 22:36:39 ** postfix/smtpd[4700]: setting up TLS connection from localhost[127.0.0.1]
Feb 29 22:36:39 ** postfix/smtpd[4700]: TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 29 22:36:48 ** imapd: Connection, ip=[::ffff:127.0.0.1]
Feb 29 22:36:48 ** imapd: LOGIN, user=jak0lantash@mondomaine.eu, ip=[::ffff:127.0.0.1], protocol=IMAP
Feb 29 22:36:48 ** imapd: DISCONNECTED, user=jak0lantash@mondomaine.eu, ip=[::ffff:127.0.0.1], headers=0, body=0, rcvd=0, sent=24, time=0
Feb 29 22:47:28 ** postfix/smtpd[4700]: timeout after DATA from localhost[127.0.0.1]
Feb 29 22:47:28 ** postfix/smtpd[4700]: disconnect from localhost[127.0.0.1]

root@# tail -f mysql.log
080229 22:36:48    2054 Connect     postfix@localhost on
                   2054 Init DB     postfix
                   2054 Query       SELECT *****************************
080229 22:38:03    2055 Quit

Dernière modification par jak0lantash (Le 10/07/2008, à 13:50)

jak0lantash · Le 04/03/2008, à 13:18

J'ai refait les certificats comme indiqué ici :
http://www.starbridge.org/spip/spip.php?article12&artsuite=3#sommaire_2
Mais j'ai toujours la même erreur...

toniotonio · Le 04/03/2008, à 14:02

j'ai un peu oublié depuis, c'est quoi ton erreur qui subsiste ?

jak0lantash · Le 04/03/2008, à 14:20

Salut, c'est :

ehlo mondomaine.eu
250-smtp.mondomaine.eu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
AUTH PLAIN AGphazBsYW50YXN********cXVldC5ldQB0ZXN0aW5n
235 2.0.0 Authentication successful
MAIL FROM:jak0lantash@mondomaine.eu
250 2.1.0 Ok
RCPT TO:test@exterieur.fr NOTIFY=success,failure
RENEGOTIATING
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=FR/ST=France/O=mondomaine.eu/CN=mondomaine.eu/emailAddress=info@mondomaine.eu
verify error:num=21:unable to verify the first certificate
verify return:1

toniotonio · Le 05/03/2008, à 00:08

tu peux faire voir les logs de postfix ?

jak0lantash · Le 05/03/2008, à 10:42

sur les mail.log, ya rien :

Mar  5 09:27:22  postfix/smtpd[8307]: connect from localhost[127.0.0.1]
Mar  5 09:27:22  postfix/smtpd[8307]: setting up TLS connection from localhost[127.0.0.1]
Mar  5 09:27:22  postfix/smtpd[8307]: TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Mar  5 09:27:32  imapd: Connection, ip=[::ffff:127.0.0.1]
Mar  5 09:27:32  imapd: LOGIN, user=jak0lantash@mondomaine.eu, ip=[::ffff:127.0.0.1], protocol=IMAP
Mar  5 09:27:32  imapd: DISCONNECTED, user=jak0lantash@mondomaine.eu, ip=[::ffff:127.0.0.1], headers=0, body=0, rcvd=0, sent=24, time=0

Le seul endroit où j'ai trouvé un message bizarre qui s'ajoute au moment de l'erreur, c'est dans mail.warn :

Mar  5 09:41:07  postfix/smtpd[8307]: warning: network_biopair_interop: error writing 53 bytes to the network: Broken pipe

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 26/02/2008, à 20:15

[RESOLU][SMTP][TLS] lost connection

#2 Le 26/02/2008, à 20:18

Re : [RESOLU][SMTP][TLS] lost connection

#3 Le 26/02/2008, à 20:43

Re : [RESOLU][SMTP][TLS] lost connection

#4 Le 26/02/2008, à 22:19

Re : [RESOLU][SMTP][TLS] lost connection

#5 Le 28/02/2008, à 01:05

Re : [RESOLU][SMTP][TLS] lost connection

#6 Le 28/02/2008, à 07:59

Re : [RESOLU][SMTP][TLS] lost connection

#7 Le 28/02/2008, à 19:04

Re : [RESOLU][SMTP][TLS] lost connection

#8 Le 28/02/2008, à 19:58

Re : [RESOLU][SMTP][TLS] lost connection

#9 Le 28/02/2008, à 20:16

Re : [RESOLU][SMTP][TLS] lost connection

#10 Le 28/02/2008, à 21:22

Re : [RESOLU][SMTP][TLS] lost connection

#11 Le 28/02/2008, à 22:10

Re : [RESOLU][SMTP][TLS] lost connection

#12 Le 28/02/2008, à 23:12

Re : [RESOLU][SMTP][TLS] lost connection

#13 Le 28/02/2008, à 23:48

Re : [RESOLU][SMTP][TLS] lost connection

#14 Le 29/02/2008, à 00:00

Re : [RESOLU][SMTP][TLS] lost connection

#15 Le 29/02/2008, à 00:15

Re : [RESOLU][SMTP][TLS] lost connection

#16 Le 29/02/2008, à 00:20

Re : [RESOLU][SMTP][TLS] lost connection

#17 Le 29/02/2008, à 00:28

Re : [RESOLU][SMTP][TLS] lost connection

#18 Le 29/02/2008, à 08:04

Re : [RESOLU][SMTP][TLS] lost connection

#19 Le 29/02/2008, à 19:12

Re : [RESOLU][SMTP][TLS] lost connection

#20 Le 29/02/2008, à 23:37

Re : [RESOLU][SMTP][TLS] lost connection

#21 Le 04/03/2008, à 13:18

Re : [RESOLU][SMTP][TLS] lost connection

#22 Le 04/03/2008, à 14:02

Re : [RESOLU][SMTP][TLS] lost connection

#23 Le 04/03/2008, à 14:20

Re : [RESOLU][SMTP][TLS] lost connection

#24 Le 05/03/2008, à 00:08

Re : [RESOLU][SMTP][TLS] lost connection

#25 Le 05/03/2008, à 10:42

Re : [RESOLU][SMTP][TLS] lost connection

Pied de page des forums