# ISPC 3 postfix, courier und SASL Problem



## BBSDeadEye (15. Apr. 2010)

Hallo zusammen,

gleichmal vorweg > ich habe gesucht aber nicht gefunden. Der Artikel der meinem Problem am naehesten kommt ist folgender: http://www.howtoforge.de/forum/showthread.php?t=2701

fyi: meine.tld existiert wirklich

Zum System: in einer Virtualbox. (Ports passen soweit auch):
Linux web001.meine.tld 2.6.26-2-amd64 #1 SMP Tue Mar 9 22:29:32 UTC 2010 x86_64 GNU/Linux

Und installation nach Debian 5 ISPC3 Perfect Server Setup. (Und auch nicht zum ersten mal)
ISPC Version ist die aktuellste.

master.cf

```
#
smtp      inet  n       -       -       -       -       smtpd
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d vmail ${extension} ${recipient} ${user} ${nexthop} ${sende      r}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}


amavis unix - - - - 2 smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_bind_address=127.0.0.1
```
main.cf

```
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = /usr/share/doc/postfix

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = web001.meine.tld
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = web001.meine.tld localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination
smtpd_tls_security_level = may
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
virtual_create_maildirsize = yes
virtual_maildir_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = maildrop
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
```
saslauthd

```
#
# Should saslauthd run automatically on startup? (default: no)
START=yes

# Description of this saslauthd instance. Recommended.
# (suggestion: SASL Authentication Daemon)
DESC="SASL Authentication Daemon"

# Short name of this saslauthd instance. Strongly recommended.
# (suggestion: saslauthd)
NAME="saslauthd"

MECHANISMS="pam"

# Additional options for this mechanism. (default: none)
# See the saslauthd man page for information about mech-specific options.
MECH_OPTIONS=""

# How many saslauthd processes should we run? (default: 5)
# A value of 0 will fork a new process for each connection.
THREADS=5

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"
```
mail.log, mail.warn, mail.err und mail.info nach loginversuch:

```
web001:~# cat /var/log/mail.*




web001:~#
```
syslog nach loginversuch: leer...

auth.log

```
Apr 15 05:55:01 web001 CRON[3073]: pam_unix(cron:session): session closed for user root
Apr 15 05:56:01 web001 CRON[3109]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 15 05:56:01 web001 CRON[3109]: pam_unix(cron:session): session closed for user root
Apr 15 05:57:01 web001 CRON[3115]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 15 05:57:02 web001 CRON[3115]: pam_unix(cron:session): session closed for user root
Apr 15 05:58:01 web001 CRON[3135]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 15 05:58:01 web001 CRON[3135]: pam_unix(cron:session): session closed for user root
Apr 15 05:59:01 web001 CRON[3144]: pam_unix(cron:session): session opened for user root by (uid=0)
Apr 15 05:59:01 web001 CRON[3144]: pam_unix(cron:session): session closed for user root
```
Kann mir jemand helfen? Ich spiele mich schon einige Tage lang, langsam weis ich nicht mehr weiter....


----------



## Till (15. Apr. 2010)

Wenn nichts im mail log bei einem loginversuch erscheint, dann verbindest Du Dich nicht mit diesem Server oder Postfix wurde garnicht gestartet.

Checke ob postfix läuft mit:

netstat -tap | grep smtp

Und dann nim mal im email programm di IP Adresse des Servers um sicherzustellen dass Du Dich auch mit dem richtigen verbindes. Ich hoffe Du hast Dich auch exakt an das perfect setup bei der Installation gehalten?


----------



## BBSDeadEye (15. Apr. 2010)

Habe mich akribisch genau daran gehalten und es ist eigentlich nicht die erste Installation die ich gemacht habe, jedoch die erste mit Debian 5..
Und so viel ist da eigentlich gar nicht zu konfigurieren... ich werde nochmal checken ob ich vlt einen Schritt uebersehen habe..

web001:~# netstat -tap | grep smtp

```
getnameinfo failed
getnameinfo failed
getnameinfo failed
getnameinfo failed
getnameinfo failed
getnameinfo failed
tcp        0      0 *:smtp                  *:*                     LISTEN      18046/master
web001:~#
```

Ausfuehrung war aber leider extrem langsam... resolv problem?
in resolv.conf sind gueltige Nameserver (und anpingbar)... Ping nach google auch ok...


Interessanter output hier:

0: web001:~# testsaslauthd -u meine@mailaddy.tld -p einPasswort -f 
	
	



```
/var/spool/postfix/var/run/saslauthd/mux
0: NO "authentication failed"
web001:~#
```
Username und PW stimmen aber sicher.


----------



## planet_fox (15. Apr. 2010)

Hier ist was faul meine ich 


```
Apr 15 07:24:55 web001 authdaemond: authmysqllib: connected. Versions: header 50051, client 50051, server 50051
Apr 15 07:24:55 web001 authdaemond: SQL query: SELECT email, password, "", uid, gid, homedir, maildir, quota, "", concat('disableimap=',disableimap,',disablepop3=',disablepop3) FROM mail_user WHERE email = 'vmail'
Apr 15 07:24:55 web001 authdaemond: zero rows returned
Apr 15 07:24:55 web001 authdaemond: authmysql: REJECT - try next module
Apr 15 07:24:55 web001 authdaemond: FAIL, all modules rejected
Apr 15 07:24:55 web001 postfix/pipe[18077]: CBE005E059: to=<test@domains.de>, relay=maildrop, delay=0.17, delays=0.02/0.04/0/0.1, dsn=2.0.0, status=sent (delivered via maildrop service)
Apr 15 07:24:55 web001 postfix/qmgr[18048]: CBE005E059: removed
```


----------



## BBSDeadEye (15. Apr. 2010)

Bei einem SELECT in der DB taucht allerdings meine email adresse, password maildir etc.. auf..


----------



## BBSDeadEye (15. Apr. 2010)

Sieht nach http://howtoforge.com/forums/showthread.php?t=44726&highlight=authdaemond aus.. allerdings hab ich n plaininstall gemacht (allerdings mit nem netinstall... obs daran vlt liegt?)


----------



## BBSDeadEye (15. Apr. 2010)

in syslog:

Apr 15 07:51:09 web001 saslauthd[2543]: pam_unix(imap:auth): check pass; user unknown
Apr 15 07:51:09 web001 saslauthd[2543]: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
Apr 15 07:51:10 web001 saslauthd[2543]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module
Apr 15 07:51:10 web001 saslauthd[2543]: do_auth         : auth failure:  [service=imap] [realm=] [mech=pam] [reason=PAM auth error]


----------



## BBSDeadEye (15. Apr. 2010)

Zitat von BBSDeadEye:


> Sieht nach http://howtoforge.com/forums/showthread.php?t=44726&highlight=authdaemond aus.. allerdings hab ich n plaininstall gemacht (allerdings mit nem netinstall... obs daran vlt liegt?)


User vmail ist aber 5000.. sollte also passen...


----------



## BBSDeadEye (15. Apr. 2010)

Ich weis zwar nicht weswegen roundcube nicht funktioniert, aber squirrelmail geht!

vlt ein NAT Problem beim host? Welche ports brauche ich denn?
Derzeit habe ich eingehend:
apache2, TCP, 80
ftp-control, TCP, UDP 20
ftp-data, TCP, UDP 21
imap, TCP, UDP 143
imap-ssl, TCP, UDP, 993
pop3, TCP, 110
pop3-ssl, TCP, 995

ausgehend ist vorerst alles freigeschalten


----------



## BBSDeadEye (15. Apr. 2010)

Apr 15 10:18:25 web001 spamd[2007]: dns: sendto() failed: Operation not permitted at /usr/share/perl5/Mail/SpamAssassin/DnsResolver.pm line 395.


----------



## BBSDeadEye (15. Apr. 2010)

SMTP und IMAP sind okay wenn anmeldung ueber LOCALHOST ist!

deshalb hier mal meine VBOX routing tabelle:


```
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-control/GuestPort, Value: 21
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-control/HostPort, Value: 21
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-control/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-data/GuestPort, Value: 20
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-data/HostPort, Value: 20
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ftp-data/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/http/GuestPort, Value: 80
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/http/HostPort, Value: 80
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/http/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/https/GuestPort, Value: 443
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/https/HostPort, Value: 443
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/https/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap-ssl/GuestPort, Value: 993
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap-ssl/HostPort, Value: 993
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap-ssl/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap/GuestPort, Value: 143
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap/HostPort, Value: 143
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/imap/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ispconfig/GuestPort, Value: 8080
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ispconfig/HostPort, Value: 8080
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/ispconfig/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql-udp/GuestPort, Value: 3306
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql-udp/HostPort, Value: 3306
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql-udp/Protocol, Value: UDP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql/GuestPort, Value: 3306
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql/HostPort, Value: 3306
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/mysql/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3-ssl/GuestPort, Value: 995
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3-ssl/HostPort, Value: 995
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3-ssl/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3/GuestPort, Value: 110
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3/HostPort, Value: 110
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/pop3/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp-alternative/GuestPort, Value: 587
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp-alternative/HostPort, Value: 587
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp-alternative/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp/GuestPort, Value: 25
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp/HostPort, Value: 25
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtp/Protocol, Value: TCP
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtps/GuestPort, Value: 465
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtps/HostPort, Value: 465
Key: VBoxInternal/Devices/pcnet/0/LUN#0/Config/smtps/Protocol, Value: TCP
```
Firewall von ISPC3:

```
TCP: 20,21,22,25,53,80,110,143,443,465,587,993,995,3306,8080,10000
UDP: 53,3306
```
Wo ist der Fehler?


----------



## BBSDeadEye (15. Apr. 2010)

Weitere beobachtung:

RC Mail: Login moeglich unter: localhost, web001.meine.tld
nicht moeglich unter s2.meine.tld oder meine.tld - wobei alle auf diesen server zeigen!

Thunderbird: gar kein login moeglich  ich denke immer mehr und mehr das die firewall mitschuld drann is, frage is nur wo ich genau den fehler hab... muss ich tatsaechlcih noch udp ports freischalten?? oder hab ich TCP ports uebersehen?


----------



## BBSDeadEye (15. Apr. 2010)

Senden kann ich nach extern, als auch an meine eigenen Adressen (anm: wenn ich an mich selbst sende, wird die Nachricht als *SPAM* gekennzeichnet... :/)

Wenn ich von GMX an mich sende erhalte ich 

```
<office@meine.tld>:
217.172.187.156_does_not_like_recipient./Remote_host_said:_554_5.7.1_<office@meine.tld>:_Relay_access_denied/Giving_up_on_217.172.187.156./
```
Wie gesagt, alles von Debian 5 Netinstall und perfect server setup... vlt ist es ja das diese beiden in kombination das was nicht hinhauen? Wie gesagt ich habs schritt fuer schritt gemacht.

Allerings: ein ewig dauerndes netstat -tap hatte ich bereits direkt nach mysql install wobei ich nicht getestet habe in wie weit das von anfang an so war.


----------



## planet_fox (15. Apr. 2010)

Ich denke es hat mit Firewall und routing zu tun in deinem fall. 

Till und ich erstellen die server systeme nach dem howto und wenn ein howto direkt von Projecktpharm sprich Till oder Falco sind die howtos auch sehr oft getestet worden. bei dir ist das ganze ein special fall da die probleme ja acuh schon beim hostsystem beginnen können.


----------



## BBSDeadEye (15. Apr. 2010)

*Solved / Geloest*

Fehler war tatsaechlich Nat/Routing belastet!

Am Hostsystem lief noch munter postfix und dovecot weiter  folglich wurden die ports nicht weitergeleitet.

danke nochmal fuer die Hilfe, leider hatte ich quasi komplett falsch angesetzt.

MfG Werner


----------



## planet_fox (15. Apr. 2010)

gut, dann hab ich mal frei


----------

