Jun 15 17:30:36 box1 postfix\/smtpd[867]: connect from mailclient.example.com[1.3.3.7]
\nJun 15 17:30:36 box1 postfix\/smtpd[867]: setting up TLS connection from mailclient.example.com[1.3.3.7]
\nJun 15 17:30:36 box1 postfix\/smtpd[867]: mailclient.example.com[1.3.3.7]: TLS cipher list \"ALL:+RC4:@STRENGTH\"
\nJun 15 17:30:36 box1 postfix\/smtpd[867]: Anonymous TLS connection established from mailclient.example.com[1.3.3.7]: TLSv1 with cipher AES128-SHA (128\/128 bits)
\nJun 15 17:30:36 box1 postfix\/smtpd[867]: warning: mailclient.example.com[1.3.3.7]: SASL NTLM authentication failed: authentication failure<\/strong>
\nJun 15 17:30:37 box1 postfix\/smtpd[867]: too many errors after AUTH from mailclient.example.com[1.3.3.7]
\nJun 15 17:30:37 box1 postfix\/smtpd[867]: disconnect from mailclient.example.com[1.3.3.7]<\/code><\/p>\nNun ist die Sache aber nicht ganz so einfach, wie man denken k\u00f6nnte, da Outlook im Gegensatz zu Thunderbird und zahlreichen anderen (zusammen mit meinem Server eingesetzten) Mailclients keine direkte Kontrolle \u00fcber die verwendeten Login-Methoden l\u00e4sst. Schauen wir daher einmal, was Outlook der Reihe nach probiert:<\/p>\n
Jun 15 17:34:08 box1 postfix\/smtpd[1189]: connect from mailclient.example.com[1.3.3.7]
\nJun 15 17:34:09 box1 postfix\/smtpd[1189]: setting up TLS connection from mailclient.example.com[1.3.3.7]
\nJun 15 17:34:09 box1 postfix\/smtpd[1189]: mailclient.example.com[1.3.3.7]: TLS cipher list \"ALL:+RC4:@STRENGTH\"
\nJun 15 17:34:09 box1 postfix\/smtpd[1189]: Anonymous TLS connection established from mailclient.example.com[1.3.3.7]: TLSv1 with cipher AES128-SHA (128\/128 bits)
\nJun 15 17:34:09 box1 postfix\/smtpd[1189]: warning: mailclient.example.com[1.3.3.7]: SASL NTLM authentication failed: authentication failure<\/strong>
\nJun 15 17:34:09 box1 postfix\/smtpd[1189]: warning: mailclient.example.com[1.3.3.7]: SASL DIGEST-MD5 authentication failed: authentication failure<\/strong>
\nJun 15 17:34:10 box1 postfix\/smtpd[1189]: 2E302F8372: client=mailclient.example.com[1.3.3.7], sasl_method=LOGIN, sasl_username=unsuspectinguser@mymailserver.net<\/strong>
\nJun 15 17:34:10 box1 postfix\/cleanup[1194]: 2E302F8372: prepend: header Received: from Brainfuck (mailclient.example.com [1.3.3.7])??(using TLSv1 with cipher AES128-SHA (128\/128 bits))??(No client certificate requested)??by box1.sys.ccs-baumann.de (Postfi from mailclient.example.com[1.3.3.7]; from=<unsuspectinguser@mymailserver.net> to=<unsuspectinguser@mymailserver.net> proto=ESMTP helo=<Brainfuck>: X-Warn: Received header with non-FQDN (from) other than localhost: Brainfuck
\nJun 15 17:34:10 box1 postfix\/smtpd[1189]: disconnect from mailclient.example.com[1.3.3.7]
\nJun 15 17:34:10 box1 postfix\/cleanup[1194]: B0C88F8373: prepend: header Received: from Brainfuck (mailclient.example.com [1.3.3.7])??(using TLSv1 with cipher AES128-SHA (128\/128 bits))??(No client certificate requested)??by box1.sys.ccs-baumann.de (Postfi from box1.sys.ccs-baumann.de.local[127.0.0.1]; from=<unsuspectinguser@mymailserver.net> to=<unsuspectinguser@mymailserver.net> proto=ESMTP helo=<localhost>: X-Warn: Received header with non-FQDN (from) other than localhost: Brainfuck
\nJun 15 17:34:10 box1 amavis[31547]: (31547-09) Passed BAD-HEADER, [1.3.3.7] [1.3.3.7] <unsuspectinguser@mymailserver.net> -> <unsuspectinguser@mymailserver.net>, quarantine: w\/badh-woDe-4ipbIKk, mail_id: woDe-4ipbIKk, Hits: -, size: 793, queued_as: B0C88F8373, 205 ms<\/code><\/p>\nWie es scheint, probiert Outlook somit der Reihe nach NTLM, DIGEST-MD5 und LOGIN (Plain).<\/p>\n
Nun sollte man annehmen, dass der Postfix f\u00fcr die zu verwendenden Algorithmen eine Einstellung bietet. Und wenn man rein nach der Dokumentation<\/a> geht, stimmt dies auch. Nur Schade, wenn das nicht funktioniert:<\/p>\nsmtpd_sasl_security_options = noanonymous, noplaintext\r\nsmtpd_sasl_tls_security_options = noanonymous\r\nsmtp_sasl_mechanism_filter = !ntlm, static:all<\/pre>\nAuch die explizite Angabe erlaubter Verfahren funktionierte leider nicht:<\/p>\n
smtpd_sasl_security_options = noanonymous, noplaintext\r\nsmtpd_sasl_tls_security_options = noanonymous\r\nsmtp_sasl_mechanism_filter = plain, login<\/pre>\nAlso doch zur etwas brutaleren Art \u00fcbergehen: Deaktivieren wir die Verfahren auf Ebene von SASL2<\/a> direkt:<\/p>\ncd \/usr\/lib\/sasl2\r\nmkdir disabled\r\nmv *ntlm* disabled\r\nmv *digestmd5* disabled<\/pre>\nKurz noch mal testen lassen und siehe da: Funktioniert. Die Variante mit eigener smtpd.conf wird daher auf sp\u00e4ter warten m\u00fcssen.<\/p>\n
![\"Flattr](\"http:\/\/blog.benny-baumann.de\/wp-content\/plugins\/flattr\/img\/flattr-badge-large.png\"){kind=icon}
<\/a><\/p>","protected":false},"excerpt":{"rendered":"