摩托學園討論區

[andrechen]

參考砸破論壇 - Debian上 postfix 使用 sasl 認證功能
http://www.e-zop.com/viewtopic.php?t=647

使用 postfix+sasl 1.5 認證(採用 pwcheck 認證方式)，適用於 debain 3.0 woody stable。

1.安裝 postfix、postfix-tls、sasl-bin、libsasl-modules-plain

2.建立一個目錄 /var/run/pwcheck，否則執行 /usr/sbin/pwcheck daemon 是不會有作用的。

mkdir /var/run/pwcheck

3.執行 /usr/sbin/pwcheck 讓 pwcheck 程式常駐

為了讓 pwcheck 可以一開機就自動執行，在 /etc/rc.boot/ 新增一個檔案，我將檔案名稱設成 pwcheck。

在 /etc/rc.boot/pwcheck 中加入以下內容：

#!/bin/bash
/usr/sbin/pwcheck

最後讓 /usr/sbin/pwcheck 可以執行

chmod 755 /usr/sbin/pwcheck

4.新增 /etc/postfix/sasl/smtpd.conf

加入 pwcheck_method: pwcheck

5.修改 /etc/postfix/main.cf 加入以下字串

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous

6.修改 /etc/postfix/master.cf

找到

# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (50)
# ==========================================================================
smtp inet n - - - - smtpd

修改成

# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (50)
# ==========================================================================
smtp inet n - n - - smtpd

7.重新啟動 postfix

/etc/init.d/postfix restart

[阿信]

感謝分享...

[andrechen]

原本在 /etc/rc.boot/ 加入自己的 script 讓系統開機時可以執行自己想要一開機就執行的程式，這兩天卻發現無法執行，但是另一台 debian 卻沒有這個問題，不知道是為了什麼？

在跟 louie 請教後，louie 提到在將來的版本, 有可能就會將這個功能給取消掉。
而正統的方式是用 update-rc.d，將自己的 script 加入 /etc/rc?.d，如下:

先將自己的 script 做個 symbolic 到 /etc/init.d 中，或是 copy 進去也可，例如我的 pwcheck。

接著進入 /etc/init.d/，執行 update-rc.d -f pwcheck start 99 2 3 5 .

-f 為 force，如果之前檔案已存在，會覆蓋。執行此指令後會在 runlevel 2、3、5 中加入 S99pwcheck 的 script，切記, 最後一個 .(句號)是指令的一部份，不可少，這樣子就 ok 啦。

至於 99 那就是執行這個程式的順序了，譬如說 S10sysklogd 和 S20ssh，在這裡 sysklogd 的順序就比 ssh 還早執行，這樣子 ssh 的所有記錄才會被記錄到 log 中，如果順序不對，就會少掉一段log，以此類推。

[Niise]

我按照本方法在stable上測試..
卻發現..完全沒有作認證會造成openrelay
查一下log發現他居然是找/etc/sasldb......
為什麼不是pwcheck??

請教一下安裝套件時...
postfix、postfix-tls、sasl-bin、libsasl-modules-plain
光是上述仍有不足
至少還要安裝pop service如qpopper

不過目前仍然有問題...
只要我設定了permit_sasl_auth..就無法寄信..
原因是上述提到的他使用sasldb
請問這要如何解決??
很抱歉..log沒有copy
問的很抽象...
我在去測試..把log貼上來

[Cheung]

砸破論壇 隨著同學被徵召去愛國而倒站囉..................

[訪客]

這個問題應該是你安裝的 sasl 版本的問題，我試過 sasl 2.x 在 stable 上似乎都會出現你所說的錯誤訊息。但是在 testing 上以 saslauthd 執行則沒問題。

建議你安裝 sasl 1.5

4.新增 /etc/postfix/sasl/smtpd.conf
加入 pwcheck_method: pwcheck

重新啟動 postfix 後用 ps ax|more 看看 pwcheck 有沒有執行，如果有的話，應該就沒什麼問題了。

另外 pop server 我試過兩個，一般安裝完就可以收信了，大家主要碰到的問題都是在發信，所以我就沒提到了。

[Niise]

感謝回應

我問題已經解決
但是很奇怪的是我並沒有換新的sasl
而訪客兄提到的pwcheck_method:pwcheck
我也早就加入了不過還是謝謝你的提醒
而我的解決方式是將
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
改成
smtpd_recipient_restrictions = permit_mynetworks, reject

結果就解決了...xD
順帶一提，我全部都是安裝stable版本...

[Tetralet]

而我的解決方式是將
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
改成
smtpd_recipient_restrictions = permit_mynetworks, reject

結果就解決了...XD
順帶一提，我全部都是安裝stable版本...

如此修改可能反而會把 SASL 的功能給完全取消掉了。

請您不妨參考：http://home.kimo.com.tw/tetralet/debian/Server-Mail.html，
雖然是很舊的文章，
但是還是請您勉強看看吧！

請注意中間『如何檢測 SASL』那一段，
然後再檢查一下您的 SASL 是否真的有跑起來...

[Niise]

有的..我確認過了sasl的功能有跑出來

另外..我比較好奇的是
stable中的這個問題(sasl2 和sasl1.5)已經存在這麼久了..
為什麼沒有更正??難道是因為只要發布成stable就不再作任何更動??
這樣未免太沒彈性

我應該已經把有出現postfix這個關鍵字的文章全部都看過了..xD
所以一開始我就不打算用saslauthd
只打算使用sasl 1.5加上pwcheck

另外我用過mandrake設定過saslauthd 認證用pam
光是安裝postfix和sasl都是不足的
也需要額外安裝sasl package...才可以使用sasl的功能

這顯示了一個linux上一個蠻嚴重的問題
package本身其實很完整，
但是安裝時使用者不見得完全知道該多裝哪些東西
這是有礙於linux發展的
而且不同distribution的置放位置也不同
如debian的smtpd.conf必須放置在/etc/postfix/sasl
但是mandrake則是放置在/usr/local/lib/sasl
redhat卻放在/usr/lib/sasl
這說實在的其實蠻不應該的

這幾天的感想...就是....debian下一版快出吧....
週期應該在快一點

[kahn]

Tetralet 兄:
http://home.kimo.com.tw/tetralet/debian ... -Mail.html
小弟參考該網站,但似乎找不到 libsasl2-digestmd5-plain libsasl2-modules-plain
小弟的debian 是testing
另外一個問題: 讓 Postfix 和 Cyrus-SASL© 搭配使用這章節跟
讓 Postfix 和 SASL2 搭配使用 是個別獨立的嗎? 兩者有何不同呢?

[Tetralet]

裡面的內容果然是年久失修，太舊了...

Tetralet 兄:
http://home.kimo.com.tw/tetralet/debian ... -Mail.html
小弟參考該網站,但似乎找不到 libsasl2-digestmd5-plain libsasl2-modules-plain
小弟的debian 是testing

請改成：

代碼: 選擇全部

apt-get -t testing install postfix-tls libsasl2-modules sasl2-bin

另外，請將 postfix 加入 sasl 群組，
然後重新啟動 postfix 和 saslauthd，
我試過，應該是可以正常運作的。

另外一個問題: 讓 Postfix 和 Cyrus-SASL© 搭配使用這章節跟
讓 Postfix 和 SASL2 搭配使用 是個別獨立的嗎? 兩者有何不同呢?

一個是 SASL©；另一個是 SASL2 呀！
SASL© 使用的是 pwcheck，似乎是快要被淘汰的技術；適用於 stable，
而 SASL2 使用的是 saslauthd，適用於 testing。

[kahn]

Tetralet 兄:
了解 謝啦!
這幾天測試完再上來報告

[kahn]

1. postfix 加入 sasl 群組,其指令應該是下 addgroup postfix sasl

2. Mozilla Thunderbird 0.5 可以使用ssl 安全連線來完成收信

3. Postfix 和 SASL2 搭配ipopd-ssl 只要開 pops tcp 995 和 smtp tcp 25 ,就可使用.

4. 小弟也成功啦!