Univention Bugzilla – Bug 25337
mail/relayauth funktioniert nicht (weil kein TLS)
Last modified: 2012-03-04 14:34:10 CET
Die Option smtp_use_tls = yes muss in der main.cf gesetzt werden, damit authentifiziertes Relaying funktioniert.
Es sollte besser smtp_tls_security_level gesetzt werden. Dies ist die Nachfolgeoption für smtp_use_tls und deutlich flexibler.
smtp_tls_security_level wurde in das main.cf Template des Postfix aufgenommen und kann über "mail/postfix/ssl/client/level" konfiguriert werden. Standardmäßig wird hier "none" (kein TLS beim SMTP Client) verwendet. Damit authentifiziertes Relaying funktioniert, muss mindestens mail/postfix/ssl/client/level=may gesetzt werden.
Die Variable heißt mail/postfix/tls/client/level
Wird "mail/postfix/tls/client/level=may" gesetzt, kann man Relaying gegen Mailserver durchführen, die eine Authentifizierung nur mit TLS zulassen (fast alle). # ucr set mail/postfix/tls/client/level=may # ucr set mail/relayauth=yes mail/relayhost=10.200.18.33 # echo "10.200.18.33 foomail@example.com:iwillrelay" > /etc/postfix/smtp_auth # postmap /etc/postfix/smtp_auth # postfix reload Feb 21 22:55:25 sysrole postfix/smtpd[16849]: 150A421C1E2: client=localhost[127.0.0.1] Feb 21 22:55:25 sysrole postfix/cleanup[17036]: 150A421C1E2: message-id=<20120221215524.C067521C22F@master.example.com> Feb 21 22:55:25 sysrole postfix/smtpd[16849]: disconnect from localhost[127.0.0.1] Feb 21 22:55:25 sysrole postfix/qmgr[16906]: 150A421C1E2: from=<root@master.example.com>, size=962, nrcpt=1 (queue active) Feb 21 22:55:25 sysrole amavis[7474]: (07474-02) Passed, <root@master.example.com> -> <support@univention.de>, quarantine zkSh2B1MIOVe, Message-ID: <20120221215524.C067521C22F@master.example.com>, Hits: 1.766 Feb 21 22:55:25 sysrole postfix/smtp[17037]: C067521C22F: to=<support@univention.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.34, delays=0.04/0.01/0/0.29, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=07474-02, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 150A421C1E2) Feb 21 22:55:25 sysrole postfix/qmgr[16906]: C067521C22F: removed Feb 21 22:55:25 sysrole postfix/smtp[17040]: 150A421C1E2: to=<support@univention.de>, relay=10.200.18.33[10.200.18.33]:25, delay=0.16, delays=0.02/0.01/0.04/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 1C7FF2C430C) Feb 21 22:55:25 sysrole postfix/qmgr[16906]: 150A421C1E2: removed Changelogeintrag ist vorhanden. Getestet mit univention-mail-postfix 6.0.35-1.182.201202091630
Bitte den Default via "?" auf "may" setzen, so dass Neuinstallationen und Updates die neue Einstellung sofort bekommen und Postfix immer versucht, sofort eine TLS-Verbindung aufzubauen (sofern möglich). Bitte im Changelog kurz darauf hinweisen, wie man das alte Verhalten wieder herstellen kann (Moritz setzt in die Releasenotes einen weiteren Hinweis).
Der Default sollte in univention-mail-postfix (nicht u-m-server!) gesetzt werden, da das alle ausgehenden Verbindungen betrifft und somit auch für den "small-stack" gilt.
univention-mail-postfix.postinst setzt mail/postfix/tls/client/level?may Changelog ergänzt.
Variable wird auf may gesetzt; Changelogeintrag wurde angepasst; getestet mit univention-mail-postfix 6.0.36-1.184.201202281030
UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"