Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 09.03.2021 00:03:45

Grüße zusammen,

nutzt jemand von euch Postfix & Dovecot mit Rainloop Webmail? Ich habe das Problem, dass ich mich mit dem angelegten Account nicht auf der Useroberfläche anmelden kann. In die Admin-Oberfläche von Rainloop komme ich ohne Probleme rein, die smtp und imap-Verbindungsdaten sind laut Adminoberfläche korrekt.
Hoffe, jemand hat da vielleicht ein paar Tipps/Ideen, wie ich die Weboberfläche zum Laufen kriege :D Emails lassen sich durch die Forensoftware auch noch nicht senden, aber ich denke, dass das irgendwie zusammenhängt.
Installiert wurde der Mailserver nach dieser Anleitung.

Folgende Fehler treten beim Versuch, über Rainloop Webmail zu verbinden auf:

syslog: https://nopaste.debianforum.de/41295
mail.log: https://nopaste.debianforum.de/41296

Log Rainloop Webmail: https://nopaste.debianforum.de/41297

Folgende Probleme zur besseren Übersicht treten auf:

- Intern ist es nicht möglich, Emails über eine Forensoftware zu versenden: Bild
- Extern ist es nicht möglich, auf die Mailoberfläche Rainloop zuzugreifen (Einstellungen über das Admininterface sind korrekt und richtig): Fehlermeldung, s.o. (Authentifizierung misslungen)

Die Configs sehen wie folgt aus
- dovecot.conf: https://nopaste.debianforum.de/41298
- main.cf (Postfix): https://nopaste.debianforum.de/41299

Nun meine abschließende Frage. Ich denke, dass es mit den Einstellungen für

Code: Alles auswählen

smtpd_*_restrictions
zusammenhängt, jedoch bin ich nach stundenlanger Suche echt am Verzweifeln und bitte daher um Hilfe. Ich finde den/die Fehler einfach nicht.
Vielen Dank im Voraus.



Viele Grüße

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von hec_tech » 09.03.2021 09:33:34

Username ist die vollständige Mail Adresse.

Jetzt noch einen Mailserver mit Stretch aufzusetzen würde ich auch bleiben lassen. Buster ist gerade aktuell und Bullseye kommt auch bald.

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 09.03.2021 10:32:30

Username ist die vollständige Mail Adresse.
Das ist klar - macht bei den o.g. Fehlern/Problemen nur leider keinen Unterschied.
Jetzt noch einen Mailserver mit Stretch aufzusetzen würde ich auch bleiben lassen. Buster ist gerade aktuell und Bullseye kommt auch bald.
Das soll mir jetzt sagen, dass ich besser die neuen Softwares nutzen soll? Wenn ja, warum?

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von hec_tech » 09.03.2021 12:00:00

Weil man schlicht und einfach Oldstable nicht für Neuinstallationen verwendet.

EOL von Stretch ist 2020-07-06. Buster bis 2022.

Das geht mir irgendwie ab...

Code: Alles auswählen

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
Ich würde außerdem Postscreen lassen und alles Rspamd machen lassen. Rspamd braucht Spam um zu lernen und besser zu werden.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 09.03.2021 12:10:45

Hi,
zunächst würde ich Dir vorschlagen die konkreten Daten bezüglich Deiner Domain und der IP-Adresse in den pastes zu pseudonymisieren.
knaffi hat geschrieben: ↑ zum Beitrag ↑
09.03.2021 10:32:30
Username ist die vollständige Mail Adresse.
Das ist klar - macht bei den o.g. Fehlern/Problemen nur leider keinen Unterschied.
Das lässt sich aus den Logeinträgen, die Du gepostet hast, nicht ersehen.

Code: Alles auswählen

dovecot: imap-login: Disconnected (auth failed, 1 attempts in 3 secs): user=<administration>
Da sollte wohl

Code: Alles auswählen

<administration@example.tld>
stehen. Im Log von Rainloop lässt sich ebenso nachvollziehen, dass der Kontakt zum IMAP-Server gelingt, aber die Authentifizierung fehlschlägt. Auch hier wird der Domainpart der Adresse nicht mit übergeben.

Code: Alles auswählen

POST[DATA]: {"Email":"administration","Login":"","Password":"PASSWD ERSETZT","Language":"","SignMe":"1","Action":"Login","XToken":""}
Ich gehe mal davon aus, dass Du das Mailsystem mit anderen Mailclients erfolgreich getestet hast?
In diesem Fall ist zu vermuten, dass der Webmailclient nicht vollständig konfiguriert ist, um die vollständige Userkennung (local-part@domain-part) zu übergeben.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 09.03.2021 12:42:56

hec_tech hat geschrieben: ↑ zum Beitrag ↑
09.03.2021 12:00:00
Ich würde außerdem Postscreen lassen und alles Rspamd machen lassen. Rspamd braucht Spam um zu lernen und besser zu werden.
Diesen Vorschlag finde ich sehr seltsam. Zumindest entspricht er nicht meiner Prioritätensetzung. Ich will einen MTA (Postfix) betreiben. Eine Spamerkennungssoftware (rspamd) ist ggf. ein notwendiges Übel, welches ich zusätzlich einbinden muss und kein Selbstzweck.
Wenn ich mit postscreen frühzeitig und sehr leichtgewichtig auf Protokollebene unerwünschte Verbindungen (und das sind sie zu nahezu 100%) ausschließen kann, dann spart das nicht nur viel Strom (CPU-Cycles), sondern ggf. auch viel juristischen Kopfschmerz.

Im Übrigen bin ich mir gar nicht sicher, ob der OP tatsächlich auf stretch unterwegs ist. Ich kann mich irren, aber afair hat die Kompatibilitätswarnung von Postfix erst mit der Version aus buster Einzug gehalten.

Code: Alles auswählen

To disable backwards compatibility use "postconf compatibility_level=2" and "postfix reload"
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von hec_tech » 09.03.2021 14:08:47

Rspamd hat mehr oder weniger Postscreen und andere Sachen integriert und extrem performant.
Außerdem wird Rspamd über Milter eingebunden und somit sehe ich juristisch auch keine Probleme.

Ich rede ja auch nicht alles abzufangen aber man muss schon ein bisschen was durchlassen damit Rspamd gut trainiert ist. Die Typischen Checks im Postfix ja aber Postscreen noch zusätzlich wäre mir nicht untergekommen - Rspamd führt ja die ganzen Checks nochmal aus damit spart man sicher keine CPU Cycles.

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 09.03.2021 14:53:48

Ja, da habe ich etwas schnell aus der Hüfte geschossen. Die Milter-Schnittstelle ist immerhin im Wesentlichen "pre-queue".
Was mich getriggert hat ist die Formulierung mit dem "Lernen".
An der Stelle, wo rspamd die Aufgaben eines policy weight daemon übernimmt, also aufgrund von header checks Punkte für den spam score aufaddiert und ggf. mit greylisting reagiert, wird allerdings nicht im engeren Sinne gelernt. Das passiert eigentlich erst bei den body checks und die sind aufwendig.
Und postscreen ist für solche Sachen wie reverse dns dann eben noch mal das leichtgewichtigere Bolzenschussgerät.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von hec_tech » 09.03.2021 16:00:34

Aber poste mal bitte die master.cf mal schauen was da drinnen steht.

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 10.03.2021 01:03:23

So, erstmal danke für die ganzen Antworten. Stretch wird meines Wissens nach nicht genutzt.

Ich habe erneut die Logs geöffnet und versucht, mich mit administrator@meinedomain.tld einzuloggen. Dabei sind folgende Fehler aufgetreten:

mail.log: https://nopaste.debianforum.de/41300
Rainloop-Log: https://nopaste.debianforum.de/41301

Der Inhalt der master.cf ist wie folgt: https://nopaste.debianforum.de/41302

Alles wurde wie bereits am Anfang erwähnt nach einer Anleitung installiert. Ich bin was Mailserver angeht nicht sooo erfahren, deswegen versuche ich daraus zu lernen und die Probleme dahinter auch zu verstehen :)


Viele Grüße

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 10.03.2021 11:03:12

Moin,

für mich sieht das so aus, als ob der client (rainloop) umkonfiguriert werden muss.

Code: Alles auswählen

[23:52:54.520] POST[DATA]: {"Email":"administration@meinedomain.tld","Login":"","Password":"PASSWORD ERSETZT","Language":"","SignMe":"1","Action":"Login","XToken":""}
[23:52:54.558] IMAP[NOTE]: Start connection to "imap.meinedomain.tld:143"
[23:52:54.644] IMAP[TIME]: 0.085762977600098 (raw connection)
[23:52:54.694] IMAP[DATA]: < * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN] Dovecot ready.\r\n
[23:52:54.695] IMAP[TIME]: 0.13824009895325 (*)
[23:52:54.695] IMAP[DATA]: > TAG1 STARTTLS\r\n
[23:52:54.695] IMAP[DATA]: < TAG1 OK Begin TLS negotiation now.\r\n
[23:52:54.695] IMAP[TIME]: 0.0002288818359375 (TAG1)
[23:52:54.723] IMAP[SECURE]: > TAG2 LOGIN "administration" "*******"\r\n
[23:52:56.276] IMAP[DATA]: < TAG2 NO [AUTHENTICATIONFAILED] Authentication failed.\r\n
Du gibts zwar den vollen Anmeldenamen ein und dieser wird im Feld "Email" aufgenommen, wird aber nicht vollständig in das Feld "Login" übernommen. Anscheinend wird "@domain-part" von der Frontend-Logik automatisch gestripped. Der IMAP-Server wird korrekt gefunden und angesprochen, aber eben der falsche, unvollständige Anmeldename übergeben. Deswegen scheitert die Authentifizierung.
Was genau an den Einstellungen von Rainloop geändert werden muss, kann ich Dir nicht sagen. Kenne den Client nicht.
Noch mal die Frage: Hast Du die Funktion des Mailservers bereits mit einem anderen Client (z.B. Thunderbird) getestet?
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 10.03.2021 12:10:15

Tschuldige, das habe ich übersehen. das funktioniert einwandfrei. Hier das entsprechende mail.log dazu: https://nopaste.debianforum.de/41303

Es scheint tatsächlich an Rainloop zu liegen. Dann wäre jedoch die Frage, warum meine Forumsoftware ebenfalls keine Mails verschicken kann.


Viele Grüße

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 10.03.2021 12:15:36

Habe auch direkt das Senden getestet - Sowohl senden, als auch Empfangen funktioniert extern einwandfrei. Nur intern irgendwie nicht.
EDIT:// Habe es nochmals getestet intern eine Mail zu verschicken, sprich von der Forumsoftware aus, dabei kam folgende Meldung: https://nopaste.debianforum.de/41304

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 10.03.2021 13:59:43

Yo,

dieses ist ein anderes Problem. In Deiner main.cf hast Du folgende Anweisungen:

Code: Alles auswählen

mynetworks = all
inet_interfaces = 127.0.0.1, ::1, YOUR_PUBLIC_IP
Das ist so nicht valide. Der Parameter "inet_interfaces" ist korrekt konfiguriert. Er würde aber auch den Wert "all" vertragen. Für den Parameter "mynetworks" hingegen ist der Wert "all" afaics nicht valide. Hier müssten genau die Werte (die lokalen und öffentlichen IPs) eingetragen werden, die unter "inet_interfaces" zu finden sind inklusive der Ranges. Dann greifen auch die permit_mynetworks Anweisungen in den restrictions.

Code: Alles auswählen

inet_interfaces = 127.0.0.1, ::1, YOUR_PUBLIC_IP # hier könnte auch "all" stehen
mynetworks = 127.0.0.1/8, [::1]/128, YOUR_PUBLIC_IP/32

Code: Alles auswählen

postfix reload
Falls Du die Werte für "inet_interfaces" änderst reicht kein "reload", dann musst Du stoppen und starten.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 10.03.2021 14:12:08

Das ist so nicht valide. Der Parameter "inet_interfaces" ist korrekt konfiguriert. Er würde aber auch den Wert "all" vertragen. Für den Parameter "mynetworks" hingegen ist der Wert "all" afaics nicht valide. Hier müssten genau die Werte (die lokalen und öffentlichen IPs) eingetragen werden, die unter "inet_interfaces" zu finden sind inklusive der Ranges. Dann greifen auch die permit_mynetworks Anweisungen in den restrictions.

Code: Alles auswählen

inet_interfaces = 127.0.0.1, ::1, YOUR_PUBLIC_IP # hier könnte auch "all" stehen
mynetworks = 127.0.0.1/8, [::1]/128, YOUR_PUBLIC_IP/32
Die Public-IP ist die von außen "sichtbare" IP des Servers oder? Oder würde das auch für mich gelten, wenn ich mich per Rainloop einloggen möchte?



EDIT:// Habe deine Konfiguration mal entsprechend eingebaut, nun kommen diese Fehler/Warnings: https://nopaste.debianforum.de/41306

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von novalix » 10.03.2021 16:10:37

Ja sorry,
war ein Fehler in meinem Code-Block (steht aber auch in der Fehlermeldung).
Statt "127.0.0.1/8" muss da "127.0.0.0/8" eingefügt werden.
Und "YOUR_PUBLIC_IP" ist die pseudonymisierte Schreibweise der öffentlichen IP Deines Servers, die ja auch in den Log- und Konfigurations-Pastes von Dir stehen.

In http://www.postfix.org/BASIC_CONFIGURATION_README.html findest Du weitere Beispiele und Erklärungen zu den wichtigsten Konfigurationsoptionen.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

knaffi
Beiträge: 19
Registriert: 08.03.2021 23:44:01

Re: Auth-Probleme mit Postfix&Dovecot in Verbindung mit Rainloop-Webmail u. Forensoftware

Beitrag von knaffi » 10.03.2021 16:59:21

Yes, das war der letzte fehlende Punkt...nun funktioniert alles. Uff, vielen vielen Dank :)

Antworten