[FUG-BR] Dúvida:_FreeBSD_+_smtp_auth

Quinta Julho 19 12:44:12 BRT 2007

Alex,
 Colocando 'permit_mynetworks' antes de 'permit_sasl_authenticated' e
setando 'mynetwork' corretamente garantirá que sua rede interna envie
e-mails sem a necessidade de autenticação via sasl.

[]'s.

On Thu, 2007-07-19 at 11:31 -0300, Alex wrote:
> Bom dia.
> Tenho dois servidores de e-mail, um operacional e um em "stand by", caso
> haja algum problema com o operacional. Os dois são idênticos nas
> configurações.
> Uso postfix 2.4.0 + courier-imap (via ports) + clamav + spamassassin (via
> ports) + clamav filter no Freebsd 6.2 . Tudo funcionando muito bem.
> Estou instalando agora, o cyrus-sasl2 (via ports) + cyrusaslauthd + tls, no
> sistema não-operacional. Depois de muita luta, consegui fazer funcionar.
> Agora tenho uma dúvida: Gostaria de saber se tem algum jeito de fazer com
> que somente os usuário de fora da minha rede precisem se autenticar por
> sasl.
> Localmente, os usuários utilizam pop3. Para fora, quero prover smtp auth via
> imap-s (que já está funcionando localmente no servidor 2; e tb no servidor
> operacional, porém neste, não envia ainda por falta de smtp auth).
> Então, o que eu quero, é que estes usuários locais, não sofram nenhuma
> alteração nas configurações de seus programas de e-mail e não precisem
> autenticar, porque do jeito que está agora, mesmo localmente, se o usuário
> não estiver cadastrado no sasldb2.db, não consegue enviar nada. É isso que
> quero mudar, localmente; autenticação somente para conexões externas. É
> possível? Se for, como?
> Uma outra coisa, mesmo localmente, via thunderbird, não consegui fazer ele
> enviar nem com ssl (porta 465) e nem via tls, mas está autenticando para
> poder enviar. Tem como melhorar isso também?
> 
> Segue algumas das minhas configurações:
> 
> [root em localhost ~]# ps -ax | grep sasl*
>   618  ??  Is     0:00.00 /usr/local/sbin/saslauthd -a pam
>   619  ??  I      0:00.00 /usr/local/sbin/saslauthd -a pam
>   620  ??  I      0:00.00 /usr/local/sbin/saslauthd -a pam
>   621  ??  I      0:00.00 /usr/local/sbin/saslauthd -a pam
>   622  ??  I      0:00.00 /usr/local/sbin/saslauthd -a pam
> 
> [root em localhost ~]#  vim /usr/local/lib/sasl2/smtpd.conf
> #pwcheck_method: saslauthd
> pwcheck_method: auxprop
> saslauthd_path:/var/run/saslauthd/mux
> log_level: 3
> mech_list: PLAIN LOGIN
> auxprop_plugin: sasldb
> sasldb_path: /usr/local/etc/sasldb2
> 
> Obs: com saslauthd no pwcheck não funcionou com nenhum mecanismo.
> 
> meu main.cf
> 
> #SASL
> 
> broken_sasl_auth_clients = yes
> smtp_sasl_auth_enable = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_path = smtpd
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $myhostname
> #smtpd_sasl_local_domain =
> 
> #Verifica o MAIL TO
> 
> smtpd_sender_restrictions = check_sender_access
> regexp:/etc/postfix/sender_access,
>  permit_sasl_authenticated,
>  reject_non_fqdn_sender,
>  reject_unknown_sender_domain,
>  reject_non_fqdn_recipient,
>  reject_unauth_pipelining,  reject_rbl_client dnsbl.njabl.org, (mais
> rbls...),
>  permit
> 
> # Verifica o RCPT TO
> 
> smtpd_recipient_restrictions = check_recipient_access
> regexp:/etc/postfix/recipient_access
>  permit_mynetworks,
>  permit_sasl_authenticated,
>  reject_non_fqdn_hostname,
>  reject_unauth_pipelining,
>  reject_unauth_destination,
>  reject_rbl_client dnsbl.njabl.org, (mais rbls...), permit
> 
> smtpd_helo_restrictions = permit_sasl_authenticated,
>  reject_invalid_hostname,
>  permit_mynetworks
> 
> smtpd_data_restrictions = permit_sasl_authenticated,
>  reject_unauth_pipelining
> 
> smtpd_etrn_restrictions = permit_sasl_authenticated,  reject
> 
> #TLS
> 
> #Setado para yes, aceitara somente conexoes sob tls
> smtpd_tls_auth_only = no
> #Suportado ainda, mas obsoleto. Para postfix < 2.3
> smtpd_use_tls = yes
> #smtpd_tls_security_level = may
> smtpd_enforce_tls = no
> smtp_use_tls = yes
> smtp_tls_note_starttls_offer = yes
> smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
> smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
> smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
> smtpd_tls_CApath = /etc/postfix/ssl
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> tls_random_source = dev:/dev/urandom
> 
> Obrigado. Qualquer ajuda será muito bem vinda...
> Alex
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> 
> 
> 
> 
> !DSPAM:469f7591357105209328925!
> 

-- 
Joao Victor da Costa.
Depto. de Suporte Unix
http://www.techmaster.com.br http://www.openit.com.br
http://www.myfreebsd.com.br 

Tel.: 2517-6001 e 2517-6002
E-mail: victor em openit.com.br, suporteunix em techmaster.com.br