SASL EXTERNAL authentication failed: Client didn’t present valid SSL certificate – K9 Postfix

Filed in EmailTags: , ,

Einen Tag hab ich gesucht, dann aber endlich wieder neu herausgefunden was die richtige Einstellung für K9 Mail ist. K9 unterstützt die Anmeldung mit Zertifikaten, die auf Serverseite von Postfix und Dovecot bereitgestellt werden kann.

Für den Abruf per IMAP muss dazu in K9 unter Sicherheit SSL/TLS ausgewählt werden, der Port ist dann 993 (muss natürlich so auch von Dovecot bereitgestellt werden) Dann muss Anmeldung per Client-Zertifikat ausgewählt werden, im Benutzername-Feld der Anmeldename für das Emailkonto und als Client-Zertifikat das bereits installierte Zertifikat ausgewählt werden.

Für den Versand sieht es etwas anders aus, hier wieder SSL/TLS auf Port 465 (so natürlich auch in Postfix einrichten) und Authentifizierung Keine und darunter wieder das Client-Zertifikat auswählen. Natürlich muss hierfür in Postfix, wohl typischerweise in der master.cf smtpd_client_restrictions=permit_tls_clientcerts gesetzt werden.

Besondere Anforderungen stellen anscheinend weder K9 noch Dovecot und Postfix an die Client-Zertifikate, anderslautende Hinweise im Netz beziehen sich wohl auf andere Produkte. Natürlich muss das schon korrekt eingerichtet sein, ein CA-Zertifikat welches auf allen Geräten für alle Programme erreichbar eingerichtet ist, mit diesem signierte Zertifikate für Server und Client, die Serverzertifikate sollten/müssen aber wohl schon den Namen, über den sie aufgerufen werden, im SubjectAltName und CN haben.

SIP-Trunk auf Telekom Company Flex braucht Contact-Header

Filed in Asterisk, Linux, Telefonie

Die Umstellung von Asterisk mit chan_pjsip war aufwendiger, als gedacht. Ankommende Gespräche sind gut im Netz dokumentiert, abgehende eher widersprüchlich. Die Fehlermeldung im Debug-Protokoll ist 403, Asterisk meldet dann ein „Everyone is busy/congested at this time“. Die eine, entscheidende Anpassung war, in der pjsip.conf im Eintrag mit „type=endpoint“ die mit „+49199“ beginnende Anschlussnummer des Trunks hinzuzufügen:

contact_user=+49199296XXXXXXXXXXXX

Dann gehen abgehende Gespräche. Steht so auch in der Telekom-Dokumentation für den SIP-Trunk Telekom-Dokumentation für den SIP-Trunk auf Seite 25, mögen andere auch heulen, dass es in den RFCs anders steht oder dass niemand dies Feld auswerten würde.

Pulseaudio Startprobleme

Filed in Allgemein, Linux, xfce

Nach dem dem Upgrade und Wechsel zu Devuan stellte ich fest, dass auf den Diskless betriebenen Arbeitsplätzen unter XFCE kein Lautstärkeregler mehr in der Leiste war. Ein manueller Start von pavucontrol brachte ein Fenster mit dem Text »Baue Verbindung zu PulseAudio auf. Bitte Warten…«. Erwartungsgemäß hätte ich da lange warten können. Die Suche nach den Ursachen brachte viele wenig hilfreiche Hinweise, die meisten Menschen, die Linux nutzen, halten anscheinend Deinstallieren und Neuinstallieren für eine Lösung.

Relativ zügig stellte ich fest, dass Pulseaudio wohl über »Automatisch gestartete Anwendungen« unter »Einstellungen->Sitzungs und Startverhalten« gestartet wird, aber wo liegen eigenlich die Konfigurationsseiten dafür? Über die Freedesktop-Seite fand ich den Ordner dafür, /etc/xdg/autostart für systemweite Konfiguration, ~/.config/autostart für persönliche, dort wird aber mit /etc/xdg/autostart/pulseaudio.desktop nur vermittels /usr/bin/start-pulseaudio-x11 das Pulseaudio-Modul für die Anbindung an den Session-Manager gestartet.

Mit etwas Mühe brachte dann aber Google doch brauchbares, es stellte sich heraus, dass der Pulseaudio-Daemon automatisch gestartet wird, wenn Audiofunktionen über die libpulse-Bibliotheken angesprochen werden, insofern ist die Beschreibung von Pulseaudio auf Ubuntu Users falsch, es handelt sich nicht um einen Systemd Service. Nebenbei musste ich feststellen, dass Pulseaudio tatsächlich aus der Hand von Lennart Poettering stammt, von dessen Systemd ich so garnichts halte.

Unter Freedesktop fand ich eine Erläuterung, wie Pulseaudio in den Konzepten von Freedesktop eingebettet wird. Dieser Autospawn über die Bibliotheken konnte also unterbunden werden über die Konfigurationsdatei von Pulseaudio vermittels:


autospawn=yes

Wie heute üblich gibt es neben der auf Freedesktop genannten Datei /etc/pulse/client.conf auch noch ein Verzeichnis /etc/pulse/client.conf.d/, und ebendort liegt mit /etc/pulse/client.conf.d/01-enable-autospawn.conf zumindest auf Debian-basierten Systemen eine Datei, die diesen Parameter offensichtlich enthalten sollte. Tatsächlich ist diese Datei aber keine Konfigurationsdatei, sondern ein Link zu /run/pulseaudio-enable-autospawn, aber auf einer Standardinstallation mit eben dem Inhalt »autospawn=yes«.

Es stellte sich also die Frage, wie füllt sich diese volatile Datei? Ein


grep pulseaudio-enable-autospawn /etc

brachte als Ergebnis die Datei /etc/init.d/pulseaudio-enable-autospawn, was so gesehen ja auch ein recht offensichtlicher Ort war. Dieses Init-Skript füllte die Datei in /run,

Am Ende war dann die Lösung, dass auf den Arbeitsplätzen in /etc/rc2.d kein Verweis auf /etc/init.d/pulseaudio-enable-autospawn vorhanden war, da ich dieses Verzeichnis auf den Arbeitsplätzen nicht automatisch verwalten lasse. Hier kam dann noch ein weiteres spannendes Phänomen zum tragen, doch dazu später mehr.

Hafenmeister der Seglerkameradschaft Teufelsbrück (SKT) von 1953 e.V. Hamburg

Filed in Allgemein

Seit einiger Zeit bin ich Hafenmeister der SKT und auch in dieser Funktion erreichbar unter +4915161002082

Thunderbird 78.5 Server nicht gefunden – Die Lösung

Filed in Allgemein

Die Lösung: in Thunderbird->Einstellungen->Konfiguration bearbeiten den Eintrag network.trr.mode auf 5 ändern, dann wird keine DNS-über-HTTPS mehr verwendet.

Nach einem Update, möglicherweise aus der 68-Versionsreihe, auf 78.5 kam die Meldung „Server nicht gefunden“. Netz war da, Namensauflösung ging auch einwandfrei. Auf dem lokalen Server liefen Routing, DNS, Postfix und Dovecot ohne Probleme, wo war das Problem? Aber Google ist dein Freund, eine schnelle Suche brachte folgendes zutage:  Kein E-Mail-Empfang mehr nach Update auf Thunderbird Version 78.4.0 (komplette Versionsreihe 78 ist betroffen)

Das wirkte doch schon, wie eine Spur. Nachdem aber verifiziert war, dass Postfix und Dovecot völlig richtig mit SSL 1.2 konfiguriert waren wurde langsam klar, dass die Fehlermeldung dann ja auch nicht sehr passend gewesen wäre. Aber dann dämmerte es, ich hatte doch vor Jahren mitbekommen, dass das Mozilla-Projekt die DNS-Daten dem US-Geheimdienst zur Verfügung stellen wollte, könnte das auch Thunderbird betreffen? Konkret geht es um DNS-über-HTTPS, theoretisch verschlüsselt es ja DNS-Anfragen, praktisch ist es aber nicht so gut, wenn dies dann alle hardkodiert über einen US-basierten Server bei Cloudflare laufen. Hier eine schöne Beschreibung des Sachverhalts auf Born City: Mozillas Firefox DNS-Sündenfall

Und wirklich, auch Thunderbird hat die Konfigurationsoption network.trr.mode, umgestellt auf 5 werden wieder die vom Netz bereitgestellten DNS-Server befragt und damit sind die lokalen Server, von denen Cloudflare ja nichts wissen kann, wieder erreichbar.

Passwort zurücksetzen beim Lexmark MC2425 adw

Filed in Allgemein

Drucker vom Strom trennen, Taste 2 und Taste 6 gedrückt halten und Stromkabel wieder anschließen (der Drucker hat keinen Ausschalter). Dann startet das Wartungsmenü, dort kann mit einem der Einträge der Drucker auf den Werkszustand zurückgesetzt werden, er fragt, ob er nach dem Neustart direkt in die Ersteinrichtung gehen soll.

Telekom Entertain nach Wechsel auf BNG ohne VLAN 8 über Linux Router mit igmpproxy

Filed in Film, IPTV, Linux, Netzwerk

Nach der Umstellung durch die Telekom fällt neben dem Passwort-freien Zugang über PPPOE auch die Trennung von regulärem Internet über VLAN 7 und Fernsehen über VLAN 8 weg. Das Fernsehsignal kommt weiterhin per Multicast, nun aber über das normale ppp0  Interface. Zu Anfang gab es einige Probleme, diese wurden gelöst durch das zulassen des eigentlich nicht mehr benötigten Ethernet-Interfaces, das nur zum Zugang zum VDSL-Modem dient, meine Konfiguration:

igmpproxy.conf
==============
## Enable Quickleave mode (Sends Leave instantly)
quickleave

## Configuration for ppp0 (Upstream Interface)
phyint ppp0 upstream ratelimit 0 threshold 1
 altnet 87.141.0.0/16

## Configuration for eth0 (Downstream Interface)
phyint eth0 downstream ratelimit 0 threshold 1
 whitelist 239.35.0.0/16
 whitelist 232.0.0.0/8

## Configuration for eth1 (Dummy Interface)
#phyint eth1 disabled <-------- geht nicht!
phyint eth1 downstream ratelimit 0 threshold 1
 whitelist 239.35.0.0/16
 whitelist 232.0.0.0/8

## Configuration for eth2 (Disabled Interface)
#phyint lo disabled

Bis ich diese Änderung gemacht hatte, trafen die UDP-Datenpakete auf Port 10000 in der INPUT-Chain von IPTABLES auf, nicht in der FORWARD-Chain, natürlich gab es dann kein Fernsehen an den Endgeräten und mit VLC am Arbeitsplatz. Ebenfalls fiel auf, dass das ip-Kommando eine nicht stimmige Ausgabe gab:

# ip mroute
(87.141.215.251, 232.0.10.234) Iif: unresolved Oifs: eth0

Nach der Anpassung der igmpproxy.conf kam dann die richtigere Ausgabe:

# ip mroute
(87.141.215.251, 232.0.10.234) Iif: ppp0 Oifs: eth0

In der igmpproxy.conf ist hier jetzt nur der Source-Bereich für die UDP-Pakete mit den Mediendaten von 87.141.0.0/16 eingetragen, dies müsste natürlich bei etwaigen Änderungen der Telekom nachgeführt werden, die Multicast-Zielbereiche ebenfalls.

Eine gute Quelle für die Nutzung per VLC ist http://iptv.blog/artikel/multicastadressliste/, hier stehen auch Informationen über den Multicast-Stream.

fetchmail postfix clamav milter smtp reply code 550 450

Filed in Allgemein, EmailTags: , , ,

Postfix mit Clamav per Milter ist noch besser, als die Debian üblichere Weise mit Amavis. Finde ich. 🙂 Ein Punkt, der dabei aber irritierte war, dass die neben der für eine Domain erfolgende Direktzustellung zu Postfix auch noch einige per Fetchmail erfolgten. Hier sah ich einen Reject per 450 4.7.1, dieser sorgte bei Fetchmail dafür, dass immer wieder versucht wurde, die Virus-tragende Mail abzurufen, da sie nie gelöscht wurde. Nach suchen im Quellcode von clamav war klar, dass da eigentlich ein 550 5.7.1 stehen sollte, per strace konnte die Änderung in Postfix ausgemacht werden. Die richtige Google Suche nach postfix 550 450 brachte die Lösung:

SMTP Errors – 550 vs 450

In der main.cf von Postfix softfail zu:

soft_bounce = no“

abändern. Das hat zwar Auswirkungen, ich hoffe aber keine zu großen. 🙂

Wenn sftp hängt

Filed in Allgemein

Wie hier beschrieben:
http://grokbase.com/t/centos/centos/09cp4pke2q/sftp-stalled-on-large-files

echo 0 > /proc/sys/net/ipv4/tcp_sack

Upgrade zu Debian Jessie – hängt beim Start

Filed in Allgemein

Das Problem verschwand nach einem aptitude/apt-get purge aller entfernter Pakete. Ursache dürften irgendwelche alten DBus relevanten Konfigurationsdateien gewesen sein.

Oenology Post Formats
Click to view/hide
Posts Calendar
Click to view/hide
Oktober 2024
M D M D F S S
« Aug    
 123456
78910111213
14151617181920
21222324252627
28293031  
Archive
Click to view/hide
Letzte Beiträge
Click to view/hide