[postfix-es] SMTP Autenticado

[Gorka]

>>>> El 16 de julio de 2009 17:09, Gorka <gorkapostfix en yahoo.es
>>>> <mailto:gorkapostfix en yahoo.es>> escribió:
>>>>
>>>> Ahora que por fin he conseguido configurar correctamente el TLS
>>>> resulta que el problema es que los usuarios de Outlook 2003 no tienen
>>>> la opción TLS para encriptar la autenticación SMTP. Sólo tienen SSL.
>>>>
>>>> Creo que hay otro método paralelo a TLS que se llama SSL, ¿me
>>>> equivoco?. ¿Cómo puedo cambiar en postfix TLS por SSL?
>>>
>>>
>>> *De:* postfix-es-bounces+gorkapostfix=yahoo.es en lists.wl0.org
>>> [mailto:postfix-es-bounces+gorkapostfix=yahoo.es en lists.wl0.org] *En
>>> nombre de *ESGLinux
>>>
>>> Hola Gorka,
>>>
>>> Yo juraría que debería funcionar con ssl, si te fijas el comando que
>>> usamos para conectar es openssl
>>>
>>> Si no te va, no se decirte más, lo siento,
>>>
>>> un saludo
>>>
>>> ESG
>>
>>Gorka escribió:
>>
>> Pues no va.
>>
>> Si en lugar de smtpd_tls_auth_only=yes pongo smtpd_tls_auth_only=no en
>> los outlook de fuera de mi red puedo poner SSL que no va a funcionar.
>> Si en lugar de SSL pongo Ninguno me funciona perfectamente, … lo que
>> me da a entender que O utlilizo TLS (y no todos los outlook lo
>> permiten) O la autenticación SMTP no se encripta.
>
>
>De: postfix-es-bounces+gorkapostfix=yahoo.es en lists.wl0.org
>[mailto:postfix-es-bounces+gorkapostfix=yahoo.es en lists.wl0.org] En
>nombre de roger pedrol
>
>Hola Gorka,
>
>Estoy con ESG. SSL es el predecesor de TLS. TLS esta basado en el
>estándar SSL 3.0 de Netscape. En teoría, TLS debería poder negociar con
>cada cliente la versión de TLS/SSL que los cliente/servidor dispongan.
>
>Sería interesante que proporcionaras resultado de postconf -n
>
>También podría ayudar saber la versión de postfix que utilizas. 2.2 o
>2.3 o la que sea.
>
>Parece relevante que utilices versiones de MSO 2003 con al menos SP1,
>http://support.microsoft.com/kb/839629
>
>Un ejemplo de log de tu dialogo con Outlook también podría ser de
>utilidad. Puedes incrementar el verbose de TLS mediante:
>
>smtpd_tls_loglevel = 4
>
>4 es el maximo nivel de logging.
>
>Un saludo,
>
>Roger Pedrol
>Neenux Informàtica
>
>

Oído cocina. A ver si descubrimos qué pasa. Vamos allá ...

Postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = hace.calor.es, localhost.calor.es, localhost,
correo.calor.es
myhostname = hace.calor.es
mynetworks = 127.0.0.0/8 10.0.0.0/24
myorigin = /etc/mailname
receive_override_options = no_address_mappings
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_tls_auth_only = no #Si lo pongo a yes sólo funcionan los clientes de
correo que tengan la opción 'TLS'. Si lo pongo a no hay que poner en los
clientes de correo 'Ninguno'. Si en los clientes de correo pongo 'SSL' no
funcionan en ninguno de los dos casos. Ese es exactamente el problema.
smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem
smtpd_tls_key_file = /etc/ssl/private/postfix.pem
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
virtual_alias_maps =
mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-emai
l2email.cf
virtual_gid_maps = static:5000
virtual_mailbox_domains =
mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000

Versión de Postfix y Debian:

Utilicé el tutorial "ISP-style email service using Postfix 2.3 (Debian
Etch)". Tengo Etch y postfix_2.3.8-2+etch1_i386

Versión de MSO:

2003 con SP3 # Donde no tengo la opción TLS, sólo SSL. Son la inmensa
mayoría de los clientes de correo.
2007 con SP2 # En esta versión no tengo ningún problema porque sí que tiene
la opción TLS. Apenas tengo equipos con esta versión. El mío es uno de
ellos, por lo que, para emular al 2003 realizo la prueba de logging marcando
'SSL'.

Prueba de logging:

Tras configurar 'smtpd_tls_loglevel = 4' y 'smtpd_tls_auth_only = no' envío
varios mensajes de prueba desde mi outlook 2007 con 'SSL' marcado.

/var/log/mail.err #Sale siempre vacío, aquí no tira mensajes.

/var/log/mail.log #Me salen aleatoriamente tres tipos de logs, que son los
siguientes:

Jul 17 13:23:23 hace postfix/smtpd[12669]: warning: 10.0.0.100: address not
listed for hostname pc1.calor.es 
Jul 17 13:23:23 hace postfix/smtpd[12669]: connect from unknown[10.0.0.100]
Jul 17 13:23:23 hace postfix/smtpd[12669]: lost connection after UNKNOWN
from unknown[10.0.0.100]
Jul 17 13:23:23 hace postfix/smtpd[12669]: disconnect from
unknown[10.0.0.100]

Jul 17 13:23:33 hace postfix/smtpd[12599]: warning: 10.0.0.100: address not
listed for hostname pc2.calor.es
Jul 17 13:23:33 hace postfix/smtpd[12599]: connect from unknown[10.0.0.100]
Jul 17 13:23:33 hace postfix/smtpd[12599]: lost connection after UNKNOWN
from unknown[10.0.0.100]
Jul 17 13:23:33 hace postfix/smtpd[12599]: disconnect from
unknown[10.0.0.100]

Jul 17 13:44:22 hace postfix/smtpd[12518]: connect from
eq46.calor.es[10.0.0.100]
Jul 17 13:44:22 hace postfix/smtpd[12518]: lost connection after UNKNOWN
from pc3.calor.es[10.0.0.100]
Jul 17 13:44:22 hace postfix/smtpd[12518]: disconnect from
eq46.calor.es[10.0.0.100]

10.0.0.100 es mi IP, pero sólo pc3 es mi máquina. El resto son ordenadores
tontos de la red, no sé por qué salen sus nombres en este log (porque he
comprobado que tienen otras IPs distintas a la mía), pero no creo que esté
relacionado con nuestro problema. 

/var/log/mail.log #Con ' mynetworks =' (para poder probar la autenticación)
el error es similar:

Jul 17 14:09:30 hace postfix/smtpd[13948]: initializing the server-side TLS
engine
Jul 17 14:09:30 hace postfix/tlsmgr[13950]: open smtpd TLS cache
btree:/var/spool/postfix/smtpd_scache
Jul 17 14:09:30 hace postfix/tlsmgr[13950]: tlsmgr_cache_run_event: start
TLS smtpd session cache cleanup
Jul 17 14:09:30 hace postfix/smtpd[13948]: connect from
pc3.calor.es[10.0.0.100]
Jul 17 14:09:30 hace postfix/smtpd[13948]: lost connection after UNKNOWN
from pc3.calor.es[10.0.0.100]
Jul 17 14:09:30 hace postfix/smtpd[13948]: disconnect from
pc3.calor.es[10.0.0.100]

¿Cómo lo veis?