[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

Marcus Röckrath marcus.roeckrath at gmx.de
Mi Jan 28 10:00:32 CET 2026 

Hallo Alexander,

Alexander Dahl wrote:

>>>> Es geht doch nur um fetchmail nicht um die weiteren Authentifizierungen
>>>> deiner normalen User an pop/imap/smtp, für die gibt es hier keinerlei
>>>> neue Einschränkung/Änderung.
>>> 
>>> Das sehe ich anders.  Die Hilfe sagt "Über diesen Parameter wird
>>> gesteuert, ob eine separate Kennwortdatei für POP3/IMAP verwendet werden
>>> soll."
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> Die zunächst für POP/IMAP gedachten MAIL_ONLY-Passwörter kommen dann auch
>> für smtp ins Spiel.

> Wieso für POP/IMAP gedacht?  Sie sind als MAIL_xyz Passwörter bezeichnet
> und gelten somit für den ganzen Mailserver.

Du hast doch selbst den Hinweis auf POP/IMAP für diese Passwörter ins Spiel 
gebracht.

>> Ist dein Mailserver über smtp von außen erreichbar?
> 
> Ja.

Also können externe User deinen smtp-Server von außen kontaktieren, um Mails 
einzuliefern?

Hast du eine eigene Domain, für die dein lokaler smtp der offizielle 
Einlieferungsserver ist?

Oder soll der nur für definierte lokale User auch, z. B. auf Reisen, nutzbar 
sein?

Im letzten Fall wäre Authetifizierung angebracht, ansonsten wäre er ein 
öffentlicher Mailserver, bei dem Authentifizierung kontraproduktiv wäre.

>> Ist SMTP_AUTH_TYPE=user überhaupt notwendig? Ich habe das hier auf none
>> im lokalen Netz.
> 
> Interessante Frage.  Ich hatte es so verstanden, dass smarthost nur mit
> auth genutzt werden kann/sollte.  Ich schicke ja Mails raus über den
> Server.

Da wirft du etwas durcheinander. Was haben die Smarthosts mit einem Connect 
zum smtp auf dem eis zu tun? Nichts.

Die smarthosts dienen dazu, Mails die schon beim lokalen smtp gelandet sind, 
an das richtige Ziel weiterzuleiten. Hierzu dienen dann natürlich die 
Anmeldedaten, die für den jeweiligen externen Provider in der jeweiligen 
smarthost-Definition z. B. für gmx stehen.

> Wie sicherst Du das ab gegen nicht berechtigte Nutzer oder Schadsoftware
> aka Spamschleudern?  Gar nicht?

Mein lokales Netz lässt keinerlei Zugriffe von außen zu. Über die lokal 
zugelassenen Geräte habe ich die alleinige Gewalt. Windows-PCs gibt es 
nicht.

Und wie ich in vorigen Post schrieb, vermute ich, dass der smtp auf 
localhost nicht auf Authentifizierung besteht, würde ein Einbruch in den eis 
immer den Zugriff auf den smtp gewähren. Eine Authetifizierung griffe also 
nur für die anderen Geräte im Netz.

Ich halte eine fetchmail-Authentifizierung auf localhost für unnötig; wenn 
ich Paketmaintainer wäre, würde ich in fetchmail die Authetifizierung 
abschalten, wenn das Ziel der smtp auf der gleichen Maschine wäre, da der 
smtp einen sowieso reinlässt.

>>> Ich vermute die Authentifizierung am SMTP läuft über PAM?

Was eine TLS-Verbindung erfordert, die für fetchmail noch nie konfiguriert 
werden konnte.

>> Für dovecot wird eine pam-Konfiguration erstellt. Könnte exim PAM
>> überhaupt? Müsste man mal recherchieren.
> 
> Äh, ich mache doch genau das mit Thunderbird und mutt.

Ich schrieb später schon noch, dass exim für SMTP_AUTH_TYPE=user mit pam, 
kannst du in /var/spool/exim/configure nachshen, arbeitet, aber das 
erfordert auch eine TLS-Verbindung.

> Mein normaler
> Nutzer kann sich erfolgreich beim SMTP authentifizieren.  fetchmail mit
> Einstellung 'server' kann es auch.  Nur fetchmail mit 'user' macht es
> nicht.

Weil fetchmail keine TLS-Verbindung zum lokalen smtp aufbaut, wird ihm auch 
kein Plain/Login-Auth-Angebot gemacht. AUTH Cram-MD5 geht mit System-
Passwörtern nicht.

>> Mach mal
>>
>> telnet localhost 25
>> EHLO dein.server.lan
> 
> Hab ich mal von einem anderem Host gemacht, Ausgabe ist aber identisch.
> 
>> Was bietet dein eis-SMTP mit dem alten mail-Paket an?
>>
>> AUTH-Zeile(n) dabei? Welche?
> 
>     alex at falbala ~ % telnet mail.home.example.com smtp
>     Trying 192.168.243.95...
>     Connected to mail.home.example.com.
>     Escape character is '^]'.
>     220 methusalix.internal.home.example.com ESMTP Exim 4.98.2 Wed, 28 Jan
>     2026 08:14:46 +0100 EHLO falbala.internal.home.example.com
>     250-methusalix.internal.home.example.com Hello
>     falbala.internal.home.example.com [192.168.243.94] 250-SIZE 89128960
>     250-LIMITS MAILMAX=1000 RCPTMAX=100
>     250-8BITMIME
>     250-PIPELINING
>     250-PIPECONNECT
>     250-CHUNKING
>     250-STARTTLS
>     250-PRDR
>     250 HELP
> 
>>> Da
>>> das für den Fall SMTP_AUTH_TYPE='server' aber ja funktioniert (mit
>>> SMTP_AUTH_USER und SMTP_AUTH_PASS dann), muss es ja grundsätzlich gehen.

Mit SMTP_AUTH_TYPE steht CRAM-MD5 zur Verfügung und kann dann auch angeboten 
werden, gegen System-Passwörter nicht!

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair