wie Zarafa SMTP AUTH Postfix

[mexx81]

Hallo,

ich nutze zarafa und habe beim Versand der Mail via Postfix direkt oder vermittelt über zarafa einen Unterschied gefunden.

Maillog SMTP via Client Postfix direct:

Aug 27 09:50:55 myserver postfix/smtpd[733]: 512CF60A8A: client=unknown[xx.xx.xx.xx], sasl_method=LOGIN, sasl_username=%USERNAME%
Aug 27 09:50:55 myserver postfix/cleanup[762]: 512CF60A8A: hold: header Received: from [192.168.30.23] (unknown [xx.xx.xx.xx])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??(Authenticated sender: %USRNAME%)??by myserver.de  from unknown[xx.xx.xx.xx]; from=<%USERNAME%@myserver.de> to=<xxx@gmail.com> proto=ESMTP helo=<[192.168.30.23]>
Aug 27 09:50:55 myserver postfix/cleanup[762]: 512CF60A8A: message-id=<em9292aadc-c38a-46bc-9b32-a7cada3dd358@nbw7>
Aug 27 09:50:55 myserver postfix/smtpd[733]: disconnect from unknown[xx.xx.xx.xx]

Man erkennt im Log, dass für SMTP ein Login erwartet und gesendet wird. Ist ja auch logisch. Hier das Maillog, wenn ich per Zarafa WebApp oder iPhone sende.

Aug 27 09:55:38 myserver postfix/smtpd[1679]: connect from localhost[127.0.0.1]
Aug 27 09:55:38 myserver postfix/smtpd[1679]: A97AC60A8B: client=localhost[127.0.0.1]
Aug 27 09:55:38 myserver postfix/cleanup[1684]: A97AC60A8B: hold: header Received: from myserver (localhost [127.0.0.1])??by myserver.de (Postfix) with ESMTP id A97AC60A8B??for <xxx@gmail.com>; Thu, 27 Aug 2015 09:55:38 +0200 (CEST) from localhost[127.0.0.1]; from=<%USERNAME%@myserver.de> to=<xxx@gmail.com> proto=ESMTP helo=<myserver>
Aug 27 09:55:38 myserver postfix/cleanup[1684]: A97AC60A8B: message-id=<zarafa.55dec27a.0688.64091045323ba540@myserver>

Wie man sieht, wird dabei kein Auth verlangt oder verwendet. Ich weiß, dass es ein eher komplexes Thema ist. Meine Recherchen waren jedoch bisher sehr lückenhaft.

Wie veranlasse ich, dass Zarafa ein Login verwendet, wenn es Postfix SMTP anspricht? Der Server ist dank fester IP und korrekten ReverseDNS Eingang- und Ausgangsserver.

Danke für eure Tipps.

 

[jahlives]

schau dir an über welche IP Adresse der Zugriff erfolgt: 127.0.0.1 und die ist mit Garantie in mynetworks eingetragen und da in der Konfig permit_mynetworks VOR permit_sasl_authenticated kommt, braucht der localhost keine Auth. Vom localhost eine Auth zu verlangen würde heissen, du traust ihm nicht und wenn du localhost nicht traust dann nimm die Kiste sofort offline

 

[mexx81]

Im Kern besteht meine Aufgabe doch darin, meinen Postfix relayfähig zu machen. Dann Zarafa den Versand der Mails über einen "externen" SMTP Relay laufen zu lassen und die Datei für den Verbund von Absendermail und Postfixuser inkl. Passwort zu erstellen und zu hinterlegen?

Pi mal Daumen korrekt?

 

[jahlives]

Postfix ist immer relayfähig Du willst wohl einen sender dependent Relayhost nutzen. Also gmail Absender auch via Gmail verschicken. Wieso brauchst du dazu einen "externen" SMTP Relay? Das kann dein lokaler Postfix problemlos erledigen

 

[mexx81]

Gmail war nur der Empfänger. Lass Dich davon nicht verwirren. Mein Server ist ein vollwertiger Sender. Zarafa spricht den SMTP aber über localhost an. Localhost benötigt kein Auth. Also passiert auch kein Auth. Ich möchte aber, dass Zarafa ein Postfix Auth macht, wenn Zarafa eine Mail sendet.

Nach meinen Ermessen erreiche ich das, indem ich in der spooler.cfg bei Server_Name statt localhost der SMTP Hostname drin eintrage. Dann würde der Postfix doch Logindaten erwarten?

 

[jahlives]

macht denn Zarafa nicht bereits eine Auth? Falls ja wieso doppelt moppeln?
Du könntest allenfalls in Zarafa als SMTP die LAN-IP angeben, dann sollte eigentlich eine Auth erzwungen werden (natürlich nur solange wie die LAN IP nicht auch in mynetworks drin ist).
Allenfalls könntest du am Postfix via master,cf auch einen neuen SMTP Dienst (auf einem anderen Port) definieren und dort überhaupt kein permit_mynetworks zulassen. Dann musst du Zarafa auch dazu bringen diesen neuen Port anzusprechen. Dann wäre aber wiederum die Frage: wo willst du die Zugangsdaten für Postfix in Zarafa hinterlegen und wie bringst du Zarafa dazu diese zu ermitteln und auch zu verwenden?
Ich verstehe ehrlich gesagt, den Mehrwert deines Vorhabens nicht wirklich. Lass Zarafa doch die Mail ohne Auth an Postfix geben. Solange Zarafa zuvor eine saubere Auth des Users gemacht hat, würde eine erneute Auth am Postfix keine zusätzliche Sicherheit bringen

 

[mexx81]

Der eigentliche Grund ist DKIM. DKIM funktioniert ausgezeichnet, wenn ich SMTP via Client direkt anspreche. Hier ein Headerauszug aus einer Mail von meinen Server zu google, weil google DKIM prüft.


SMTP via eMClient direkt an Postfix

Received: from [xx.xx.xx.xx] (unknown [xx.xx.xx.xx])
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(Authenticated sender: %user%)
	by mydomain.com (Postfix) with ESMTPSA id A41B93BE6C
	for <%testaccount%@gmail.com>; Mon, 24 Aug 2015 10:23:18 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mydomain.com;
	s=mydomain._domainkey.mydomain.com; t=xxxxxxxxx;
	bh=...

Hier im Forum habe ich gelesen, dass DKIM nur funktioniert, wenn SMTP vorher eine Authentifizierung bekommt. Hier der Vergleich des Headers, wenn die Mail vermittelt über Zarafa den Postfix verläßt.

Received: from myserver (localhost [127.0.0.1])
	by mydomain.com (Postfix) with ESMTP id 7259C3BEB7
	for <testaccount@gmail.com>; Mon, 24 Aug 2015 11:03:54 +0200 (CEST)

Kein Login, kein DKIM. Ich habe dafür einen anderen Threat aufgemacht, aber scheinbar niemanden gefunden, der mir meine Frage beantworten kann, ob DKIM über Zarafa tatsächlich nicht funktioniert, weil das Auth beim Postfix fehlt. Also wollte ich ausprobieren, wie sich das ganze verhält, wenn ich ein Auth umsetzte.

 

[jahlives]

nur ein MTA kann dkim anwenden. Zarafa ist afaik kein MTA. Also nein es dürfte nicht gehen dkim in Zarafa umzusetzen. Eine Auth für dkim muss sein. Allerdings darf man dkim auch nicht überbewerten. Es gibt mittlerweile viel Spam, welche korrekte dkim Signaturen haben.
In dem Fall kommst du nicht um die Auth an Postfix herum. Hier würde ich versuchen via master.cf einen zusätzlichen SMTP Port einzurichten, welcher nur Auth aktzeptiert und kein permit_mynetworks hat. Dann musst du gucken ob Zarafa allenfalls bereits von sich aus eine Auth versucht, sonst musst du die auch noch konfigurieren.

 

[mexx81]

Danke für Deine Antwort. Damit kann ich arbeiten. Ungeachtet des Nutzens von DKIM, stellt sich ohnehin die Frage, ob sich der Aufwand lohnt. Zarafa aus Syno scheint ja eher und leider zu sterben ohne Julian. Auch der fehlende Outlook support ist schade. Stellt sich die Frage ob man nicht lieber CalDAV, CardDAV und Postfix getrennt nutzt, um das, was Zarafa bietet teilweise abzulösen.

 

[jahlives]

ich selber habe mir auf einem vServer Zimbra installiert. Kann es nur empfehlen, sehr aktive Community und CalDav und CardDav funzen fast ohne etwas zu machen
Auf einer DS wird es hingegen kaum laufen