Exim mit Smarthost und LDAP zur Authentifizierung

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Exim mit Smarthost und LDAP zur Authentifizierung

Beitrag von scientific » 19.04.2018 22:26:42

Hi Leute!

Ich frag mich grad, ob ich das so überhaupt realisieren kann, was ich vorhabe.

Momentan stelle ich grad viele meiner Workflows auf LDAP um. Einer der nächsten Dienste ist mein Mailserver.
Ich habe exim4 in Verwendung. Wie ich für eingehende Emails zum authentifizierten SMTP LDAP verwende, scheint ziemlich klar zu sein.
Jedoch sende ich, je nach verwendetem From über einen anderen Smarthost meine Emails raus. Als Smarthost nehme ich den SMTP-Server von GMX für meine gmx-Adresse, jenen von Google für meine Google-Accounts und für meine eigene Domain kommt der Smarthost meines Email/Webproviders zum Einsatz.

Dort ist auch überall authentifziertes SMTP im Einsatz. Das bedeutet, ich muss Credentials für jeden Account und jede Email-Adresse Exim zur Verfügung stellen, damit Exim sich beim Smarthost anmelden kann, bevor es die Emails abliefert.
Derzeit habe ich diese Credentials als Plaintext-File in der exim-Configuration abgelegt. In Zukunft würde ich diese aber gerne auch über LDAP verwalten.

Mein LDAP-Server erlaubt keine anonymen Binds und liefert selbst nur mit TLS-gesicherter Verbindung aus. Das heißt, ich muss exim beibringen, TLS-gesichert und Authentifiziert in LDAP Username und Passwort für den jeweiligen Email-Account abzuholen... aber openLDAP liefert das Passwortfeld nicht aus... nur als Admin. Und einen Admin-Zugang möchte ich meinem Mailserver nicht anvertrauen..

Geht das überhaupt?

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Exim mit Smarthost und LDAP zur Authentifizierung

Beitrag von bluestar » 19.04.2018 23:01:36

scientific hat geschrieben: ↑ zum Beitrag ↑
19.04.2018 22:26:42
... aber openLDAP liefert das Passwortfeld nicht aus... nur als Admin. Und einen Admin-Zugang möchte ich meinem Mailserver nicht anvertrauen..
Das Passwort-Feld würde ich niemals an Mailserver freigeben, sonst sind ja auch all deine klassischen Ussr-Passwörter auslesbar ;(
scientific hat geschrieben: ↑ zum Beitrag ↑
19.04.2018 22:26:42
Geht das überhaupt?
Ja das geht, am besten du definierst eine eigene Objektklasse zur Speicherung deiner SMTP Credentials und steuerst den Zugriff auf das Attribut smtpPassword (Beispiel) über ACLs im LDAP-Server.

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Exim mit Smarthost und LDAP zur Authentifizierung

Beitrag von scientific » 20.04.2018 23:42:14

An sowas hab ich eh auch schon gedacht.
Einer meiner Beweggründe für die Umstellung auf LDAP ist ja, dass ich endlich eine saubere Passwortverwendung und -trennung zusammenbringe.
So habe ich auf mehreren Geräten nicht nur das gleiche Passwort, sondern mittels LDAP wirklich das selbe. Dann kann ich dieses regelmäßig ändern.
Von Maschienencredentials (als solches sehe ich die Authentifizierungen bei z.B. SMTP) semantisch und logisch getrennte Passwörter sind damit dann auch möglich, weil ich mir dann nicht mehr 100.000 Passwörter merken muss, die ich mir sowieso nicht merken kann. Da kommen dann zufällig generierte hin, weil als Schnittstelle dient dann ja mein Mailserver.

Für die Verwaltung der Mailaccounts benötige ich sowieso eine eigene objectClass, da ich hier spezielle Anforderungen habe. Ein Account hat eine Hauptemail-Adresse, einen Login-namen und ein Passwort. Diese Credentials verwenden dann alle Alias-Adressen. Und es gibt verschiedene User (meist eh nur einer, können aber auch zwei oder drei sein), welche diesen Account als "from:" nutzen dürfen.
Exim4 hab ich das schon vor längerem beigebracht, aber eben die Credentials in einem File am Mailserver abgelegt.

Die ACLs hab ich noch nicht ganz durchschaut... -> Aufgabe.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

Antworten