[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

Alexander Dahl lespocky at web.de
Mi Jan 28 08:47:10 CET 2026 

Hallo Marcus,

Marcus Röckrath schrieb Dienstag, 27. Januar 2026, 22:56 (CET):
> Hallo Alexander,
>
> Alexander Dahl wrote:
>
>>>> Wenn MAIL_USER_USE_MAILONLY_PASSWORDS=no
>>>> nicht (mehr) funktioniert, kann man es dann nicht auch gleich weglassen?
>>>
>>> Es geht doch nur um fetchmail nicht um die weiteren Authentifizierungen
>>> deiner normalen User an pop/imap/smtp, für die gibt es hier keinerlei
>>> neue Einschränkung/Änderung.
>> 
>> Das sehe ich anders.  Die Hilfe sagt "Über diesen Parameter wird
>> gesteuert, ob eine separate Kennwortdatei für POP3/IMAP verwendet werden
>> soll."  Dann müsste ich erstmal neue Passwörter für IMAP/POP3 setzen, da
>> sind nämlich aus Sicht des Mail-Pakets bisher gar keine gesetzt.  Und
>> würde ich sie setzen, stehen sie dann plötzlich unverschlüsselt als Wert
>> von MAIL_USER_x_PASS im System.
>
> Es kommt aber hinzu, dass du nicht nur POP/IMAP authentifiziert machst, 
> sondern eben auch über SMTP_AUTH_TYPE=user die Senderichtung 
> authentifizierst. Erst jetzt kommt überhaupt fetchmail ins Spiel.
>
> Die zunächst für POP/IMAP gedachten MAIL_ONLY-Passwörter kommen dann auch 
> für smtp ins Spiel.

Wieso für POP/IMAP gedacht?  Sie sind als MAIL_xyz Passwörter bezeichnet
und gelten somit für den ganzen Mailserver.

> Ist dein Mailserver über smtp von außen erreichbar?

Ja.

> Ist SMTP_AUTH_TYPE=user überhaupt notwendig? Ich habe das hier auf none im 
> lokalen Netz.

Interessante Frage.  Ich hatte es so verstanden, dass smarthost nur mit
auth genutzt werden kann/sollte.  Ich schicke ja Mails raus über den
Server.

>> Technisch gesehen stimmt das auch.  Das bezieht sich aber nur auf die
>> Authentifizierung, nicht auf die Verbindung.  Über eine verschlüsselte
>> Verbindung ist eine plain-Text Auth vertretbar.
>
> Klar, und wenn fetchmail Login/Plain-Auth über TLS kann, könnte man das 
> gegebenenfalls einbauen. Auf die Schnelle finde ich in der Fetchmail-Doku 
> nicht direkt einen Hinweis über TLS bei der lokalen Übermittlung der 
> eingehenden Mail an den lokalen smtp. Für den Abruf vom externen Provider 
> geht ja schon immer TLS.

Aber grundsätzlich kann fetchmail sich am SMTP authentifizieren?  Sonst
würde ja der ganze Aufwand mit den Passwörten keinen Sinn machen.

>> Natürlich.  Ohne Auth geht es auch gar nicht.  Es muss das gleiche
>> Passwort angegeben werden wie beim Einloggen auf der Shell bzw. über
>> SSH.
>
> Für den Kontakt des Client zum Pop/Imap ist natürlich Authentifizierung 
> erforderlich, aber Mails senden geht auch ohne - mache ich hier schon immer 
> so.

Wie sicherst Du das ab gegen nicht berechtigte Nutzer oder Schadsoftware
aka Spamschleudern?  Gar nicht?

>> Es sei denn eines der nächsten Updates fixed das Verhalten?
>
> Auch nach Debug-Output mit dem vorigen fetchmail kann ich nicht genau sagen, 
> was die fetchmail-Macher nun geändert haben, so dass nun mit dem ansonsten 
> unveränderten Mail-Paket zur Ablehnung der Verbindung kommt. Der smtp-Part 
> in fetchmail scheint einem kompletten Rewriting unterzogen worden zu sein.
>
>> Ich vermute die Authentifizierung am SMTP läuft über PAM?
>
> Für dovecot wird eine pam-Konfiguration erstellt. Könnte exim PAM überhaupt? 
> Müsste man mal recherchieren.

Äh, ich mache doch genau das mit Thunderbird und mutt.  Mein normaler
Nutzer kann sich erfolgreich beim SMTP authentifizieren.  fetchmail mit
Einstellung 'server' kann es auch.  Nur fetchmail mit 'user' macht es
nicht.

> Welche Anmeldemethoden am lokalen SMTP bei dir aktiv sind, kannst du in der 
> /var/spool/exim/configure ganz am Ende im Block "Authentifizierung" unter 
> "server side" sehen. Da sind diverse "*_server:" definiert.

Offenbar wird dort zwischen "server side auth" und "client side auth"
unterschieden.  Welchen Modus nutzt fetchmail denn überhaupt?

>> Irgendwo klemmt es hier zwischen SMTP fordert
>> keine Auth an (was auch logisch ist, wenn externe Server hier Mail
>> einliefern sollen) und fetchmail will sich nicht authentifizieren.
>
> Mach mal
>
> telnet localhost 25
> EHLO dein.server.lan

Hab ich mal von einem anderem Host gemacht, Ausgabe ist aber identisch.

> Was bietet dein eis-SMTP mit dem alten mail-Paket an?
>
> AUTH-Zeile(n) dabei? Welche?

    alex at falbala ~ % telnet mail.home.example.com smtp
    Trying 192.168.243.95...
    Connected to mail.home.example.com.
    Escape character is '^]'.
    220 methusalix.internal.home.example.com ESMTP Exim 4.98.2 Wed, 28 Jan 2026 08:14:46 +0100
    EHLO falbala.internal.home.example.com
    250-methusalix.internal.home.example.com Hello falbala.internal.home.example.com [192.168.243.94]
    250-SIZE 89128960
    250-LIMITS MAILMAX=1000 RCPTMAX=100
    250-8BITMIME
    250-PIPELINING
    250-PIPECONNECT
    250-CHUNKING
    250-STARTTLS
    250-PRDR
    250 HELP

>> Da
>> das für den Fall SMTP_AUTH_TYPE='server' aber ja funktioniert (mit
>> SMTP_AUTH_USER und SMTP_AUTH_PASS dann), muss es ja grundsätzlich gehen.
>
> In diesem Fall erlaubt die Authentifizierung eine Passwortübermittlung im 
> Klartext ohne TLS, was es bei "user" nicht tut.
>
> Für mich lautet die Frage: Kann fetchmail eine TLS-Verbindung zum smtp 
> aufbauen und welche Einstellungen in der fetchmail.conf sind dafür nötig.
>
> Für mich sieht es im Mailpaket so aus:
>
> Ich arbeite mich gerade auch erst aus gegebenen Anlass ein wenig in 
> fetchmail ein, habe aber auf diese Frage noch keine konkrete Antwort.

Na mal schauen.

Danke und Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6

Mehr Informationen über die Mailingliste Eisfair