[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

[Marcus Röckrath]

Hallo Alexander,

Alexander Dahl wrote:

>> Daher ist zwingend MAIL_USER_USE_MAILONLY_PASSWORDS=yes und die
>> Userpasswörter für die lokalen User zu setzen; das kann das normale
>> Userpasswort der Systemanmeldung sein. Für das Fetchmail-Passwort sorgt
>> das mail-Paket (var/spool/exim/fetchmail-identity).
> 
> Wie werden denn bei MAIL_USER_USE_MAILONLY_PASSWORDS=yes diese
> Passwörter gesetzt?  Kann ich die automatisch synchron halten oder muss
> ich das dann manuell machen?

Da die Systempasswörter nicht wirklich im System gespeichert sind, sondern 
nur als Hashwert, können die nicht ausgelesen werden.

Sind Systempasswörter und Mailpasswörter synchron liegen dann sogar die 
Systempasswörter erst lesbar im System vor, was sie im Normalfall nie tun.

> Wenn MAIL_USER_USE_MAILONLY_PASSWORDS=no
> nicht (mehr) funktioniert, kann man es dann nicht auch gleich weglassen?

Es geht doch nur um fetchmail nicht um die weiteren Authentifizierungen 
deiner normalen User an pop/imap/smtp, für die gibt es hier keinerlei neue 
Einschränkung/Änderung.

Wenn MAIL_USER_USE_MAILONLY_PASSWORDS=no hier in deinem Netz bislang 
funktioniert hat, tut es das auch weiterhin.

Jürgen hat in mail.sh einen Kommentar für fetchmail drin:

# CRAM-MD5 cannot be used when you want to compare the password with the
# encrypted copy in /etc/shadow because the client doesn't send the secret
# - it sends an MD5 hash of the challenge string plus the secret.
# It can only be used if the password has been safed as clear text password
# on the server. See MAIL_USER_USE_MAILONLY_PASSWORDS='yes' condition!
# JED / 17.03.2003

Haben deine lokalen eis-Mailserveruser in TB und Co Authentifizierungen für 
imap/pop (Eingangsserver) und smtp (Ausgangsserver) eingetragen und sie 
funktionieren?

Welche Einstellungsoptionen stehen in den Clients?

Login/Plain mit TLS?

Cram-MD5 für den Ausgangsserver vermutlich nicht.

Dieses wird vom Mailpaket nur aktiviert, wenn MAIL_ONLY-Passwörter genutzt 
werden - Jürgen möge mich gerne verbessern, bestätigen oder ergänzen, er 
beschäftigt sich mit dem Mailpaket schon viel länger.

IMHO wird sich an dem neuen Verhalten nichts mehr ändern, weil sich das 
Verhalten von fetchmail im Bereich smtp massiv viel, IMHO wohl zurecht, 
geändert hat.

> Ich bin bis auf weiteres erstmal zurück auf 1.17.0, habe noch nicht
> entschieden, wie ich hier weiter vorgehen möchte.

Momentan kann man so vorgehen, aber es schliesst dich von weiteren Updates 
aus, denn das spült dir dann wieder das neue fetchmail ins System.

Andere Möglichkeit: Das fetchmail-Binary aus dem Paket 1.17.0 vorhalten und 
nach jedem Mail-Paket-Update wieder ins System kopieren. Inwieweit das 
dauerhaft sinnvoll und möglich ist, kann ich nicht sagen.

-- 
Gruß Marcus
[eisfair-Team]