[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

Alexander Dahl lespocky at web.de
Mi Jan 28 14:57:22 CET 2026 

Hallo Marcus,

Marcus Röckrath schrieb Mittwoch, 28. Januar 2026, 10:00 (CET):
> Hallo Alexander,
>
> Alexander Dahl wrote:
>
>>>>> Es geht doch nur um fetchmail nicht um die weiteren Authentifizierungen
>>>>> deiner normalen User an pop/imap/smtp, für die gibt es hier keinerlei
>>>>> neue Einschränkung/Änderung.
>>>> 
>>>> Das sehe ich anders.  Die Hilfe sagt "Über diesen Parameter wird
>>>> gesteuert, ob eine separate Kennwortdatei für POP3/IMAP verwendet werden
>>>> soll."
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>> Die zunächst für POP/IMAP gedachten MAIL_ONLY-Passwörter kommen dann auch
>>> für smtp ins Spiel.
>
>> Wieso für POP/IMAP gedacht?  Sie sind als MAIL_xyz Passwörter bezeichnet
>> und gelten somit für den ganzen Mailserver.
>
> Du hast doch selbst den Hinweis auf POP/IMAP für diese Passwörter ins Spiel 
> gebracht.
>
>>> Ist dein Mailserver über smtp von außen erreichbar?
>> 
>> Ja.
>
> Also können externe User deinen smtp-Server von außen kontaktieren, um Mails 
> einzuliefern?

Korrekt.  Bspw. kann der extern stehende vServer so genauso seine system
mails abwerfen wie andere VMs im lokalen Netz das auch tun, mit Auth
natürlich.

> Hast du eine eigene Domain, für die dein lokaler smtp der offizielle 
> Einlieferungsserver ist?

Das hatte zumindest mal so funktioniert, ja.  (Im Moment geht das vmtl.
wegen fehlenden DNS Einträgen nicht.)

> Oder soll der nur für definierte lokale User auch, z. B. auf Reisen, nutzbar 
> sein?
>
> Im letzten Fall wäre Authetifizierung angebracht, ansonsten wäre er ein 
> öffentlicher Mailserver, bei dem Authentifizierung kontraproduktiv wäre.

Hier erfüllt der SMTP schlicht zwei verschiedene Aufgaben.  Er soll
einerseits eingehende Mails an seine eigene Domain annehmen, das geht
prinzipbedingt nur ohne Auth.  Und andererseits sollen Nutzer mit
Postfächern auf der Domain ausgehende Mails rausschicken können, das
aber bitte zwingend mit auth.

Welche der beiden Rollen jetzt fetchmail einnimmt, keine Ahnung, aber
ich würde tippen erstere?

>>> Ist SMTP_AUTH_TYPE=user überhaupt notwendig? Ich habe das hier auf none
>>> im lokalen Netz.
>> 
>> Interessante Frage.  Ich hatte es so verstanden, dass smarthost nur mit
>> auth genutzt werden kann/sollte.  Ich schicke ja Mails raus über den
>> Server.
>
> Da wirft du etwas durcheinander. Was haben die Smarthosts mit einem Connect 
> zum smtp auf dem eis zu tun? Nichts.
>
> Die smarthosts dienen dazu, Mails die schon beim lokalen smtp gelandet sind, 
> an das richtige Ziel weiterzuleiten. Hierzu dienen dann natürlich die 
> Anmeldedaten, die für den jeweiligen externen Provider in der jeweiligen 
> smarthost-Definition z. B. für gmx stehen.

Wirf bitte nicht die Anmeldedaten der externen Provider hier rein, die
haben damit nichts zu tun.  Mir ging es ausschließlich um ausgehende
Mail der Nutzer, die üblicherweise über Smarthosts abgewickelt wird.
Solche ausgehende Mail soll nur mit Auth am lokalen SMTP rausgeschickt
werden dürfen, alles andere wäre eine potentielle Spam-Schleuder.

>> Wie sicherst Du das ab gegen nicht berechtigte Nutzer oder Schadsoftware
>> aka Spamschleudern?  Gar nicht?
>
> Mein lokales Netz lässt keinerlei Zugriffe von außen zu. Über die lokal 
> zugelassenen Geräte habe ich die alleinige Gewalt. Windows-PCs gibt es 
> nicht.
>
> Und wie ich in vorigen Post schrieb, vermute ich, dass der smtp auf 
> localhost nicht auf Authentifizierung besteht, würde ein Einbruch in den eis 
> immer den Zugriff auf den smtp gewähren. Eine Authetifizierung griffe also 
> nur für die anderen Geräte im Netz.
>
> Ich halte eine fetchmail-Authentifizierung auf localhost für unnötig; wenn 
> ich Paketmaintainer wäre, würde ich in fetchmail die Authetifizierung 
> abschalten, wenn das Ziel der smtp auf der gleichen Maschine wäre, da der 
> smtp einen sowieso reinlässt.

Wenn der smtp das erlaubt, dann ja.

>>>> Ich vermute die Authentifizierung am SMTP läuft über PAM?
>
> Was eine TLS-Verbindung erfordert, die für fetchmail noch nie konfiguriert 
> werden konnte.

Nein, nicht erfordert.  Die TLS-Verbindung wird in Kombination mit plain
text auth empfohlen.  Ich kann plain text auth auch ohne TLS machen,
dann gehen halt die Passwörter unverschlüsselt über die TCP-Verbindung.
Eine technische Abhängigkeit gibt es hier aber nicht.

>>> Für dovecot wird eine pam-Konfiguration erstellt. Könnte exim PAM
>>> überhaupt? Müsste man mal recherchieren.
>> 
>> Äh, ich mache doch genau das mit Thunderbird und mutt.
>
> Ich schrieb später schon noch, dass exim für SMTP_AUTH_TYPE=user mit pam, 
> kannst du in /var/spool/exim/configure nachshen, arbeitet, aber das 
> erfordert auch eine TLS-Verbindung.

Das ist ggf. eine Entscheidung des Mail-Pakets, weil es anders nicht
sinnvoll ist.  Keine strikte technische Erfordernis, siehe oben.

Ich sehe gerade, bis auf die Frage welche Rolle fetchmail in Bezug auf
den SMTP einnimmt, haben wir hier keine neuen Erkenntnisse.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6

Mehr Informationen über die Mailingliste Eisfair