Re: smtp auth und sasl2 broken

On Sun, Mar 02, 2003 at 07:35:59PM +0100, Oliver Schneider wrote:
> Hallo,
>
> Also schrieb Bernd Walter am Sun, Mar 02, 2003 at 06:33:10PM +0100:
> > On Sun, Mar 02, 2003 at 06:26:57PM +0100, Oliver Schneider wrote:
> > > Also schrieb Bernd Walter am Sun, Mar 02, 2003 at 05:45:09PM +0100:
> > > > On Sun, Mar 02, 2003 at 05:16:15PM +0100, Oliver Schneider wrote:
> > > Die Authentisierung mit User/Passwort wollte einfach nicht hinhauen.
> > > Ich
> > > habe jetzt die SASL1 Bibliotheken in Benutzung. Mit denen klappte es
> > > auf
> > > Anhieb.
> > Welche Fehlermeldung?
> > Welche Logs?
> > Welche Config?
> > Welche Situation?
>
> Situation:
> Mein Server im Internet, Dial-Up Host zuhause versucht zu relayen. Alle
> haben SSL Zertifikate von der selben CA. SSL ist aber nur ein

Für Cert Überprüfung mußt dem Sendmail auch das CAcert konfigurieren.
Sonst hat er keine Chance zu erkenne, das das Zertifikat OK ist.

> Teilerfolg, reines SMTP Auth mit Passwort soll auch gehen. Es
> funktionierte aber auch kein SSL.
>
> Fehlermeldung / Logs:
> Mar 2 13:06:22 banane sm-mta[10838]: unable to dlopen /usr/local/lib/sasl2/libdigestmd5.so: /usr/local/lib/sasl2/libdigestmd5.so: Undefined symbol "des_cbc_encrypt"
> Mar 2 13:06:34 banane sm-mta[10844]: unknown password verifier
> Mar 2 13:06:34 banane sm-mta[10844]: Password verification failed
> Mar 2 13:06:39 banane sm-mta[10844]: unknown password verifier
> Mar 2 13:06:39 banane sm-mta[10844]: Password verification failed
> Mar 2 13:06:43 banane sm-mta[10844]: unknown password verifier
> Mar 2 13:06:43 banane sm-mta[10844]: Password verification failed
> Mar 2 13:13:46 banane saslpasswd2: error deleting entry from sasldb: DB_NOTFOUND: No matching key/data pair found

Du hast scheinbar den Sendmail falsch compiliert...
cat /etc/make.conf:
[...]
SENDMAIL_CFLAGS=-I/usr/local/include/sasl -DSASL -D_FFR_UNSAFE_SASL -D_FFR_SMTP_SSL
SENDMAIL_LDFLAGS=-L/usr/local/lib
SENDMAIL_LDADD=-lsasl2

Was sagt »ldd /usr/libexec/sendmail/sendmail«?
des_cbc_encrypt sollte normalerweise von libcrypto definiert werden.

> Config:
> recht trivial, zum testen ein Mozilla Mail Client und eben `banane` als
> SMTP Relayserver.
>
> define(`CERT_DIR',`MAIL_SETTINGS_DIR`'certs')dnl
> define(`confCACERT_PATH', `CERT_DIR')dnl

Ein cert dir muß gehashed werden, damit es funktioniert.
Hast du das getan?

> define(`confCACERT', `CERT_DIR/CA-OSN-cert.pem')dnl

Steht da auch wirklich das ca-cert für deine Zertifikate drin?

> define(`confSERVER_CERT', `CERT_DIR/banane.dd.kobo.de-cert.pem')dnl
> define(`confSERVER_KEY', `CERT_DIR/banane.dd.kobo.de-req.pem')dnl

Häh?
*-req-* klingt nicht nach einem key.
Normalerweise nennt man ein solches File *.key.
Und ein cert file *.crt
In ein *.pem File packt man normalerweise sowohl das cert, als auch
den key rein - einfach »cat foo.crt foo.key > foo.pem«

Meckert sendmail beim starten irgendwie?

> define(`confDONT_BLAME_SENDMAIL',`groupreadablesasldbfile')dnl
> define(`confAUTH_OPTIONS', `A')dnl
> define(`confAUTH_MECHANISMS', `LOGIN PLAIN')dnl
> TRUST_AUTH_MECH(`LOGIN PLAIN')dnl

Für SSL mit Windoof solltest du noch folgendes reinpacken:
DAEMON_OPTIONS(`Port=smtp, Name=MTA')
DAEMON_OPTIONS(`Port=smtps, Name=MTA-SMTPS, M=s')

> entsprechende Einträge in der sasldb2 und ein Systemaccount.
>
> > > Die Fehlermeldung klappte weder mit weder gegen die sasldb noch
> > > gegen
> > > die passwd.
> Authorisierung if course :).

Ah.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message