ARCHIV

Autentifikace uživatelů v MTA sendmail

Pokračování sendmail ságy. V dnešním díle se dozvíte jak nastavit sendmail tak aby autentifikoval uživatele.

28.6.2010 10:00 | Radim Kolář | přečteno 3936×

Problémy s O2 poštou

Posílání pošty přes O2 internet providera se neukázalo jako příliš šťastné řešení. Problém nebyl ani s rychlostí posílaných mailů nebo s výpadky služby, ale se spam filtrem. Mail server smtp.iol.cz kontroluje všechny odesílané maily jednak na viry a jednak také na spamy. Spamy neodesílá nebo nevrací je nazpět ale hned je maže. Nedá se tak hned zjistit po odeslání zda váš mail smazal jako podezřelý nebo ne. Problém je, že spamfilter je opravdu hloupý - vyhazuje spoustu věcí které programátor potřebuje jako spam. Maily osahující diffy maže s oblibou a poslání sendmail.cf souboru jako přílohy také neprošlo.

Rozhodl jsem si proto nakonfigurovat na jednom ze serverů sendmail tak aby byl po zadání hesla přístupný i z venčí. Doposud tam dělal jen lokální poštu. Klasickou konfiguraci přístup bez hesla + heslo pro relay jsem nechtěl protože na tom stroji běží hodně domén a chodilo by tam pak moc spamů, což by se pak muselo zbytečně řešit.

Jak na to

V první řadě je potřeba si přeložit sendmail s podporou SASL2 jak bylo popsáno v minulém díle.

Knihovnu sasl2 musíme nakonfigurovat. Nebudeme používat systémovou databázi uživatelů pro autentifikaci abychom si zbytečně nerozvrtávali stávající nastavení serveru, použijeme databázi sasldb. Po několika neúspěšných pokusech jsem zjistil že funkční konfigurace je následující.

V adresáři /usr/local/lib/sasl2, případně /usr/lib/sasl2 podle toho kde se knihovna nachází vytvořte soubor Sendmail.conf s obsahem:

pwcheck_method: auxprop
auxprop_plugin: sasldb

Uživatele v autorizační databázi pro sendmail založíme pomocí saslpasswd2 -c userid Do konfigurace sendmail.mc přidáme seznam autentifikačních metod které budeme podporovat:

define(`confAUTH_MECHANISMS',`DIGEST-MD5 CRAM-MD5')
TRUST_AUTH_MECH(`DIGEST-MD5 CRAM-MD5')

a zakážeme ETRN přidáním velkého E do DAEMON_OPTIONS

DAEMON_OPTIONS(`Name=IPv4, Family=inet, M=E')
DAEMON_OPTIONS(`Name=IPv6, Family=inet6, Modifiers=OE')

Nyní musíme ještě selektivně nastavit vyžadování AUTH, protože kdybychom ji nechali nastavenou všude tak by nechodila lokální pošta. Do souboru access uvedeme:

[127.0.0.1]             RELAY
Srv_Features:127.0.0.1 A
Srv_Features: l

v /etc/mail provedeme klasické make maps install restart a dílo je hotovo. Celé nastavení mi trvalo asi 3 hodiny, zejména než jsem rozchodil sasl2 knihovnu a než jsem narazil na volbu Srv_Features. Musím říci že serverová část sendmail autentifikace byla znatelně lépe zdokumentovaná než klientská, kterou jsem probíral v minulém díle.

Verze pro tisk