[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

Alexander Dahl lespocky at web.de
Mi Jan 28 10:16:09 CET 2026 

Hallo Marcus,

Marcus Röckrath schrieb Mittwoch, 28. Januar 2026, 09:16 (CET):
> Hallo Alexander,
>
> Marcus Röckrath wrote:
>
>>>> Ich vermute die Authentifizierung am SMTP läuft über PAM?
>>> 
>>> Für dovecot wird eine pam-Konfiguration erstellt. Könnte exim PAM
>>> überhaupt? Müsste man mal recherchieren.
>> 
>> Finde im mail-Konfiguration Hinweise auf pam für den login- und plain-
>> server.
>
> Aber dafür müsste fetchmail eine TLS-Verbindung zum lokalen SMTP aufbauen, 
> denn dafür wird der Gegenstelle das Passwort im Klartext übergeben.
>
> Ob man das konfigurieren kann, ist die eine Sache, ob es sinnvoll ist, dass 
> man auf localhost mit TLS-Verbindungen arbeitet, wo dann die an den smtp auf 
> localhost verschlüsselt übermittelte Mail im Anschluss im Klartext vom smtp 
> gespeichert wird, ist die andere Sache.

TLS auf localhost erscheint mir auch nicht sinnvoll.  Da hast Du
natürlich recht.

> Zudem stellt sich die Frage, ob es sinnvoll ist auf localhost eine 
> Authentifizierung zum lokalen smtp zu fordern.

Kann sinnvoll sein gegen lokale Schadsoftware, wenn nicht jedes Programm
einfach so mails abwerfen soll.  Verstehe aber, dass es für localhost
irgendwie unsinnig erscheint.  Der SMTP muss dann halt irgendwie
Verbindungen auf localhost anders behandeln als Verbindungen aus dem
lokalen Netz bzw. aus dem Internet.  Kann er das?

> Wenn der lokale smtp dies wirklich auch auf localhost erzwingen würde, 
> könnten doch beliebige Services oder Tools wie mail, mailx, sendmail, ... 
> keine Mails mehr erzeugen; eine Authentifizierung wird hier doch nie 
> gemacht.

Kommt drauf an?  sendmail ist direkt ein symlink auf exim, da wird
vermutlich dann eh keine Netzwerkverbindung mehr aufgebaut, wenn exim
direkt aufgerufen wird?

Auf meinen anderen Systemen hab ich nullmailer zu dem Zweck, aber der
baut dann natürlich keine Verbindung über localhost auf, sondern über's
Netz und authentifiziert sich mit user/password über eine TLS gesicherte
Verbindung.

Wie mail/mailx da vorgeht, weiß ich nicht.
Würde mich aber interessieren.

> Da es mich weiter umtreibt, warum es mit dem vorigen fetchmail ging, nun 
> aber nicht mehr, bin ich mit den vorstehenden Überlegungen zu einer Lösung 
> gekommen, die mir erstmal schlüssig erscheint.
>
> Der smtp bietet auf localhost, wenn so konfiguriert, AUTH an, erzwingt dies 
> aber nicht auf localhost, sondern nur für externe Verbindungen.
>
> fetchmail 6.4.x hat auch kein AUTH-Angebot bekommen, hat dann die Mail aber 
> einfach ohne beim smtp eingeworfen, auch wenn in fetchmail.conf Anmeldedaten 
> angegeben sind.
>
> Der aktuelle fetchmail reagiert anders: Da in der fetchmail.conf 
> Anmeldedaten stehen, der SMTP aber aud EHLO keine AUTH-Fähigkeit annonciert, 
> bricht fetchmail ab. Die Fehlermeldung sagt ja klar, dass er und nicht der 
> smtp die Verbindung beendet.
>
> Also: Nicht der smtp sagt, "ich lass dich nicht rein", sondern der fetchmail 
> sagt, "ich will nicht rein, weil du mich nicht nach meiner Berechtigung 
> fragst".
>
> Ob diese Überlegung schlüssig ist, könnte ein Test mit dem neuen mail-Paket 
> zeigen, wenn man die esmtp-Anmeldezeile aus der fetchmail.conf entfernt. 
> IMHO müsste fetchmail dann nicht mehr auf AUTH bestehen.
>
> Übrigens dürfte die Option FETCHMAIL_1_SMTPHOST='irgendwo' überhaupt nicht 
> funktiinieren, wenn die entfernte smtp-Gegenstelle (z. B. ein zweiter eis 
> mit mail-Paket) mit smtp-Anmeldung arbeitet, aber die anmeldefreie 
> localhost-Ausnahme nicht greift.

Die Option kannte ich gar nicht.  Steht bei mir aber für alle Postfächer
auf '' aka default und dann nimmt er ja localhost.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6

Mehr Informationen über die Mailingliste Eisfair