Postfix smtpauth and clients without imap/pop-auth

Lämna ett svar

Clients that does not support SMTP authentication via imap or pop

Full documentation of a postfix setup is also available at Tornevall Networks at https://docs.tornevall.net/x/JQDpAw – for updates, I suggest that you read there first.

This text is written in october 2020 after ripping my hair of my head off for a while. What I did not think of, during the first round of installation, was that there will be non standard clients that won’t do a pop/smtp-auth before entering the SMTP out. For example, Postfix, straight out of the box – where you want to relay from postfix to postfix via an authenticated user. With the solution above, there might happen things that you do not want. The error message below for example, is quite common but very much unanswered in different kinds of forums. Most of the idiots^H^H^H^H^Hposts are relating their problems to dovecot, cyrus and different kind of solutions that in the end seem to be database driven. This is not bad, it’s just a little bit stupid since you suddenly rely your systems on yet another point of failure: The database. And the more crap you implement, the harder it will be to find the failing point.

warning: SASL authentication failure: unable to canonify user and get auxprops

However, the solution may be much simpler than you think in this case. It was first, when I stumbled over theURLs below URLs, I realized that some settings are just misconfigured with the sasl authentication daemon.

As the first step after finding the entire solution, I tried to change the auth mechanism to a shadow based solution as I don’t like extra databases to just make authentication work. This however failed, and since the server itself is in a production state I have to stick with the db solution for a while (because I actually don’t know if this have effect on other working systems currently in operation).

The solution?

Well, since at least one of the sites are mentioning chrooted files, saslauthd won’t read the ”real” /etc/sasldb2, since it’s not really in /etc – the real file resides in /var/spool/postfix/etc, and requires only one thing: That you create it and put it there and making the sasl user the group owner of the file. This is how it should look.

# ls -l /var/spool/postfix/etc/sasldb2
-rw-r----- 1 root sasl 12288 Oct 4 12:00 sasldb2

The only backside of this is that you may have another load of users in another location /etc/passwd, that still won’t be able to authenticate as long as they are not added to sasldb2.

The documented problem URLs

https://serverfault.com/questions/409828/cant-get-sasl-auxprop-sasldb-working-with-postfix-ubuntu-12-04
https://annvix.com/enabling_sasl_in_postfix

Cmore killed the internet

Lämna ett svar

Då var det dags igen. Ännu en aktör som tror att de äger världen.

Uppdatering: 88.80.16.49 kan nu användas som IPv6-filtrerande DNS.

Det finns alltså återigen behov att återupprätta en öppen DNS, som filtrerar bort – denna gången Cmores – DNS-förfrågningar mot IPv6 för att de i vanlig ordning kör över oss vanliga hederliga tittare, som dessutom betalar för tjänsterna. Orsaken är respekt- och ansvarslöst hanterande av rättigheter, regioner, ip-adresser och slutkunders internetuppkopplingar. Detta är ett problem som vi inte hade haft om de analoga sändningarna fått vara kvar, så att man kan använda sin TV utan att behöva oroa sig över vilken region eller vilket land man befinner sig i. Märkligt nog har detta blivit en jätteissue, trots att folk använt satellit i en herrans massa år för att kunna snappa upp sitt eget hemlands sändningar. Över internet däremot, pekar alla dessa aktörer finger åt oss och det kan knappast vara meningen att den här makten hos TV-bolagen ens existerar.

Se längre förklaring nedan

Jag läser ofta forum med människor som använder sig utav tunnel-tjänster för att deras internetoperatörer är oförmögna att leverera IPv6 åt sina slutkunder. I de fall som de ändå lyckas med det, är lösningarna så pass dåligt anpassade eller helt enkelt avstängda vid installation (hej Telia) – att de knappt fungerar. Enligt en rapport från PTS finns det många operatörer som inte ens förstår sig på behoven, så därför rullas inte tjänsten ut till slutkunder. I vissa fall hamnar slutkunder, hos exempelvis Bahnhof med flera, även i komplicerade uppkopplingar/fängelser (CGNAT) som gör att åtkomsten till och från internet snarare begränsas ännu mer. Unga människor som sätter upp spelservrar till varandra sitter plötsligt i ett internetfängelse. Behoven finns alltså, men tekniken anses ”fortfarande vara för begränsad för att implementeras”, trots att vi redan haft ett 20-tal år på oss att fixa det här. För att lösa det här måste man alltså göra det själv och i takt med att ”sakernas internet” introduceras kommer det bli mycket värre.

Här uppstår ett obehagligt moment 22, på grund av streamingtjänsterna, som gör att tunnelanvändare plötsligt inte kan använda sina VANLIGA internettjänster för vad de är tilltänka.

De större aktörerna anser nämligen att ”tunnling och VPN-tjänster är ett sätt att kringgå deras sändningar” – alltså återigen något som aldrig varit problem för de gamla hederliga satelliterna. Det spelar heller ingen roll om du bor i samma land som tunneln är upprättad. Varför? Regioner och rättigheter är viktigare. Finns det en risk att någon utomstående får se ett annat lands sändningar är det katastrof. Money talks och mänskligheten blir plötsligt förslavade under något som borde ha varit tillgängligt för alla.

Vadå kringgå?

Ett exempel på hur det kringgåendet fungerar är om du har för avsikt att från Sverige titta på filmer, som bara finns på Netflix i USA (återigen, hej satellit!). Eller för all del Hulu, som enbart tillhandahålls för boende i USA – och militären. Nu har vi inte för avsikt att kolla på Hulu och jag tror att den delen av mänskligheten är försumbar idag, med tanke på hur många tjänster vi har att välja mellan (dessutom krävs USA-stämplade kreditkort, så här räcker vi inte bara ett finger till kunderna utan två).

Det återstående folket som fortfarande har behovrn, skaffar oftast en VPN-tunnel som finns på samma ställe som streamingtjänsten. Här uppstår därmed återigen problemet – omvänt – om du som seriös kund bor i USA men inte får hjälp av din egen operatör – och istället löser det själv. Då kommer VPN/tunneln inte vara legit nog för operatören och du får inte lov att vara med och leka. Plötsligt finns det bara ett val igen, att stänga av den tjänst som stör ”TV-sändningarna”.

Lösningen för att rädda folk ur det här, är att upprätta domännamnstjänster som explicit exkluderar rättighetsinnehavarnas IPv6-kontroller. Man använder helt enkelt en DNS som ger full åtkomst till internet, inklusive IPv6 – men så fort anrop görs till Netflix, Cmore, Viaplay, så kommer dessa DNS-tjänster vidarebefordra alla förfrågningar till ett filter som plockar bort svaren som ställer det för just VPN och tunneltjänsterna.

Merkuriushusen, Klippan Augusti 2020

Lämna ett svar

Merkuriushusen har inte förändrats jättemycket sedan sist det togs bilder – och samtliga av de tidigare bilderna finns som alltid på den här sidan. Men det börjar bli hög tid för nya vinklar. Här kommer några!

Treklövern: Merkuriushusen

1 svar

Sedan en tid tillbaka har ett byggprojekt pågått i Klippan för att utöka antalet tillgängliga bostäder. 12 augusti närmare bestämt, började man stänga ned den tomt på Allégatan, som skulle bli de så kallade ”Merkuriushusen”. På den här sidan är bilder från utvecklingen uppsamlade. I skrivande stund är urvalet bilder begränsade till de som fotografen för denna sidan har tagit, men vill du ändå vara delaktig i delningen kan du alltid höra av dig!

Staffanstorp (Zombieland Edition)

Lämna ett svar

Staffanstorps kommun. Marknadsföringen. Första intrycket jag fick av den var att det i nästa scen skulle dyka upp aliens, eller ett isolerat samhälle där ett dödligt virus härjar utanför. Med väktare runt stadsgränsen. Ni vet, såna där som har haubitsar för att hålla infekterade borta från de yttre väggarna. Eller kanske rent av nazist-zombies. Det finns ju trots allt en uppsjö med såna filmer också. Men det kom aldrig. Den blev, tvärtom, bara värre och värre. Marknadsföringen var så vit att jag slutligen blev bländad av ljuset. Så jag bestämde mig för att känna lite på den, på egen hand. Men jag hittade inga bra scenövergångar till den perfekta apokalypsen. Så det blev en helt ny filmtrailer istället. En som kändes mer 2019.