Discussion :

[koshie]

Bonjour,

J'essaie de mettre en place un serveur mail avec postfix 2.6.6-2.2 et dovecot 2.0.9 sur CentOS 6.2.

Actuellement j'ai un problème d'identification avec telnet, Thunderbird et Evolution. Aucun de ces MUAs ne peut se connecter au serveur. Thunderbird me demande si le mot de passe ou le nom d'utilisateurs sont correct, tandis qu'Evolution me dit ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
Impossible de d'authentifier sur le serveur IMAP.
 
La commande IMAP  a échoué : 
[PRIVACYREQUIRED] Plaintext authentofication disallowed on non-qsecure (SSL/TLS) connections.

Voici quelques tests effectué avec Telnet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
telnet localhost 143
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN] Dovecot ready.
a login <a href="mailto:test@domain.com">test@domain.com</a> azerty
a OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS] Logged in
b select inbox
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted.
* 0 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1330362023] UIDs valid
* OK [UIDNEXT 1] Predicted next UID
* OK [HIGHESTMODSEQ 1] Highest
b OK [READ-WRITE] Select completed.
c list "" *
* LIST (\HasNoChildren) "." "INBOX"
c OK List completed.[/quote]
 
[quote]telnet domain.com 143
Trying 88.191.142.70...
Connected to domain.com.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot ready.
a login <a href="mailto:test@domain.com">test@domain.com</a> azerty
* BAD [ALERT] Plaintext authentication not allowed without SSL/TLS, but your client did it anyway. If anyone was listening, the password was exposed.
a NO [PRIVACYREQUIRED] Plaintext authentication disallowed on non-secure (SSL/TLS) connections.
b select inbox
b BAD Error in IMAP command received by server.

Connexion à distance :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
telnet domain.com 143
Trying 88.191.142.70...
Connected to domain.com.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS LOGINDISABLED] Dovecot ready.
a login <a href="mailto:test@domain.com">test@domain.com</a> azerty
* BAD [ALERT] Plaintext authentication not allowed without SSL/TLS, but your client did it anyway. If anyone was listening, the password was exposed.
a NO [PRIVACYREQUIRED] Plaintext authentication disallowed on non-secure (SSL/TLS) connections.
b select inbox
b BAD Error in IMAP command received by server.

Quand je me connecte localement j'ai ceci dans mes logs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Feb 27 17:59:37 imap-login: Info: Login: user=<test@domain.com>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=4961, secured

dovecot -n :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# 2.0.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-71.29.1.el6.x86_64 x86_64 CentOS release 6.2 (Final) 
auth_debug = yes
auth_debug_passwords = yes
auth_verbose = yes
debug_log_path = yes
info_log_path = /var/log/dovecot/dovecot-info.log
log_path = /var/log/dovecot/dovecot.log
mail_debug = yes
mail_location = maildir:~/Maildir
passdb {
  args = /etc/dovecot/passwd
  driver = passwd-file
}
protocols = imap
ssl = no
userdb {
  args = uid=vmail gid=vmail home=/var/vmail/%u
  driver = static
}
verbose_ssl = yes

Mon main.cf de postfix :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# Virtual Host
virtual_mailbox_domains = domain.com,otherdomain.com
virtual_mailbox_base = /var/mail/vhosts
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
# mailbox_transport_map =
 
smtpd_sasl_type = dovecot
 
# Can be an absolute path, or relative to $queue_directory
# Debian/Ubuntu users: Postfix is setup by default to run chrooted, so it is best to leave it as-is below
smtpd_sasl_path = private/auth
 
# and the common settings to enable SASL:
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Et le master.cf de postfix :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#submission inet n       -       n       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       n       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yesa login <a href="mailto:test@domain.com">test@domain.com</a>
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       n       -       -       qmqpd
submission inet n - - - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_local_domain=$myhostname
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_login_maps=hash:/etc/postfix/virtual
  -o smtpd_sender_restrictions=reject_sender_login_mismatch
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
	-o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
#maildrop  unix  -       n       n       -       -       pipe
#  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# The Cyrus deliver program has changed incompatibly, multiple times.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/usr/lib/cyrus-imapd/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
#uucp      unix  -       n       n       -       -       pipe
#  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# ====================================================================
#
# Other external delivery methods.
#
#ifmail    unix  -       n       n       -       -       pipe
#  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#
#bsmtp     unix  -       n       n       -       -       pipe
#  flags=Fq. user=bsmtp argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
#
#scalemail-backend unix -       n       n       -       2       pipe
#  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
#  ${nexthop} ${user} ${extension}
#
#mailman   unix  -       n       n       -       -       pipe
#  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
#  ${nexthop} ${user}

Donc je peux me connecter localement avec telnet mais je ne peux pas à distance que ce soit avec telnet, Thunderbird ou Evolution.

Si je comprend bien, dovecot n'autorise la connexion qu'en local car il n'écoute que sur le port 143 local et pas ailleurs.

PS : Je suis la doc qui se trouve ici : http://wiki.dovecot.org/TestInstallation et ici http://wiki2.dovecot.org/HowTo/SimpleVirtualInstall

Cordialement, Koshie.

[Senaku-seishin]

Quand tu es en mot de passe en clair « plain », dovecot interdit toutes connections extérieur sur un canal en clair (donc non TLS).

Solution : Utiliser une authentification en non clair « Non-plaintext », comme DIGEST-MD5; ou utiliser le cannal en TLS (IMAPS)

[koshie]

Bonjour,

EDIT : Je crois que je n'ai pas compris ce que tu me disais, tu parlais (évidemment) du côté serveur et pas client, je me trompe ?

Je te remercie tout d'abord de ta réponse.

Je ne peux malheureusement faire ce que tu me propose car Thunderbird (dont j'ai oublié de préciser la version, 10.0.2) ne me propose (pour les mots de passes) que ce qui suit :

• Autodétection
• Mot de passe normal
• Mot de passe chiffré
• Kerberos / GSSAPI
• NTLM

Quant à Evolution, après avoir vérifié les types pris en charges je n'ai que "Mot de passe" pour IMAP et "CLAIR" et "Connexion" pour SMTP (tout ça en ayant choisit "Sans chiffrement").

J'ai tenté d'envoyé un e-mail à mon compte de test, il m'a été retourné.

Rien dans mes logs.

Koshicalement

[Senaku-seishin]

Dans ton fichier de configuration dovecot, que donne la ligne « mechanisms » ?

Pour changer le mécanisme authentification : http://wiki.dovecot.org/Authentication/Mechanisms

As tu essayais par la connexion TLS (=SSL) ?

[koshie]

Je me suis un peu renseigné et il semblerait que ce soit dans le fichier /etc/dovecot/conf.d/10-auth.conf où je dois modifier la variable auth_mechanisms, actuellement j'ai mis ça :

auth_mechanisms = plain login digest-md5

J'ai essayé plusieurs fois avec Thunderbird et Evolution mais rien ne fonctionne, Evolution me répond ça :

The reported error was "Vous devez travailler en ligne pour terminer cette opération".

Après vérification j'suis bien en mode en ligne.

Seulement Evolution ne me propose pour SMTP que "Mot de passe" et pour IMAP j'ai "CLAIR" et "Connexion".

[koshie]

Après quelques manipulations ça ne fonctionne toujours pas.

Cependant, j'ai compris où j'avais fais, si je ne m'abuse, une erreur. En effet, /etc/dovecot/conf.d/ est rempli de fichier de configuration et je pense que certaines variable dans /etc/dovecot/dovecot.conf étaient en conflit avec celle présente dans le dossier conf.d. Alors j'ai mis tout ce dont j'avais besoin dans /etc/dovecot/dovecot.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
# It's nice to have separate log files for Dovecot. You could do this
# by changing syslog configuration also, but this is easier.
log_path = /var/log/dovecot/dovecot.log
info_log_path = /var/log/dovecot/dovecot-info.log
 
# Disable SSL for now.
ssl = no
disable_plaintext_auth = yes
auth_mechanisms = plain
 
# We're using Maildir format
mail_location = maildir:~/Maildir
 
# Authentication configuration:
auth_verbose = yes
passdb {
  driver = passwd-file
  args = /etc/dovecot/passwd
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/vmail/%u
}
 
# Debug
auth_verbose = yes
auth_debug = yes
auth_debug_passwords=yes
mail_debug=yes
verbose_ssl=yes
debug_log_path = yes

Et j'ai lancé dovecot de cette manière :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

dovecot -c /etc/dovecot/dovecot.conf

Et ça ne fonctionne pas. De plus les logs sont toujours aussi peu bavardes... Quant à dovecot.conf j'ai essayé avec disable_plaintext_auth = yes et disable_plaintext_auth = no. J'ai aussi essayé de mettre digest-md5 dans dovecot.conf mais Evolution dit que ce n'est pas prise en charge...

Avec plain Evolution me dit ceci :

Impossible de s'identifier sur le serveur IMAP. La commande IMAP a échoué : [PRIVACYREQUIRED] Plaintext authentication disallowed on non-secure (SSL/TLS) connection.

Je sature un peu là .