Re: smtp auth und sasl2 broken

On Sun, Mar 02, 2003 at 09:09:56PM +0100, Oliver Schneider wrote:
> Also schrieb Bernd Walter am Sun, Mar 02, 2003 at 08:23:17PM +0100:
> > On Sun, Mar 02, 2003 at 07:35:59PM +0100, Oliver Schneider wrote:
> > > Also schrieb Bernd Walter am Sun, Mar 02, 2003 at 06:33:10PM +0100:
> > > > On Sun, Mar 02, 2003 at 06:26:57PM +0100, Oliver Schneider wrote:
> > > > > Also schrieb Bernd Walter am Sun, Mar 02, 2003 at 05:45:09PM +0100:
> > > > > > On Sun, Mar 02, 2003 at 05:16:15PM +0100, Oliver Schneider wrote:
> > > Situation:
> > > Mein Server im Internet, Dial-Up Host zuhause versucht zu relayen. Alle
> > > haben SSL Zertifikate von der selben CA. SSL ist aber nur ein
> >
> > Für Cert Überprüfung mußt dem Sendmail auch das CAcert konfigurieren.
> > Sonst hat er keine Chance zu erkenne, das das Zertifikat OK ist.
> >
> > Du hast scheinbar den Sendmail falsch compiliert...
> > cat /etc/make.conf:
> > [...]
> > SENDMAIL_CFLAGS=-I/usr/local/include/sasl -DSASL -D_FFR_UNSAFE_SASL -D_FFR_SMTP_SSL
> > SENDMAIL_LDFLAGS=-L/usr/local/lib
> > SENDMAIL_LDADD=-lsasl2
>
> # with SASLv2:
> # SENDMAIL_CFLAGS=-I/usr/local/include -DSASL=2
> # SENDMAIL_LDFLAGS=-L/usr/local/lib
> # SENDMAIL_LDADD=-lsasl2
>
> Das habe ich mal so aus der defaults/make.conf (vorher natürlich den
> cyrus-sasl2 Port installiert)

Oh - wie nett - das gabs es früher nicht.

> > Was sagt »ldd /usr/libexec/sendmail/sendmail«?
> > des_cbc_encrypt sollte normalerweise von libcrypto definiert werden.
>
> Zu spät, hier die Ausgabe einer vergleichbaren Maschine:
> newyork:/etc/mail/certs # ldd /usr/libexec/sendmail/sendmail
> /usr/libexec/sendmail/sendmail:
> libutil.so.3 => /usr/lib/libutil.so.3 (0x280f3000)
> libwrap.so.3 => /usr/lib/libwrap.so.3 (0x280fc000)
> libssl.so.2 => /usr/lib/libssl.so.2 (0x28104000)
> libcrypto.so.2 => /usr/lib/libcrypto.so.2 (0x28131000)
> libsasl2.so.2 => /usr/local/lib/libsasl2.so.2 (0x281e9000)
> libc.so.4 => /usr/lib/libc.so.4 (0x281fb000)

Sieht doch gut aus.
Dann kann ich mir die Fehlermeldung nicht erklären.

> > > define(`CERT_DIR',`MAIL_SETTINGS_DIR`'certs')dnl
> > > define(`confCACERT_PATH', `CERT_DIR')dnl
> > Ein cert dir muß gehashed werden, damit es funktioniert.
> > Hast du das getan?
>
> äh nee
>
> > > define(`confCACERT', `CERT_DIR/CA-OSN-cert.pem')dnl
> > Steht da auch wirklich das ca-cert für deine Zertifikate drin?
>
> ja. Definitiv.

Und was hat jetzt mit den Zertifikaten nicht geklappt?

> > > define(`confSERVER_CERT', `CERT_DIR/banane.dd.kobo.de-cert.pem')dnl
> > > define(`confSERVER_KEY', `CERT_DIR/banane.dd.kobo.de-req.pem')dnl
>
> Ja beim der Anforderung wird der Key erstellt, deswegen req und cert.
> Kann man drüber streiten, ist aber das richtige drin.

OK.

> > Meckert sendmail beim starten irgendwie?
>
> Nein.
> Mar 2 21:01:35 newyork sm-mta[80448]: starting daemon (8.12.6): SMTP+queueing(at)00:30:00
> Mar 2 21:01:35 newyork sm-msp-queue[80451]: starting daemon (8.12.6): queueing(at)00:30:00
>
> > Für SSL mit Windoof solltest du noch folgendes reinpacken:
> > DAEMON_OPTIONS(`Port=smtp, Name=MTA')
> > DAEMON_OPTIONS(`Port=smtps, Name=MTA-SMTPS, M=s')
>
> Wenn der Mozilla Client als "windoof" gilt, wäre das ein Ansatz. Ich
> denke aber eher, das es an Sendmail liegt.

Eigendlich weniger Windoof, als Outlook.
Die Outlook Familie kann kein smtp/starttls, dafür mußt du dem Sendmail
sagen, daß dieser smtps machen soll.
Default macht er das nicht.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message