Postfix + SASL will auf Gedeih und Verderb nicht

[Andreas Gehrke <debian@ndsworld.de>]

Moin Liste,

ich bin gerade dabei einen V-Server mit der Kombi Debian Sarge (inkl. 
Backports) + Postfix + Cyrus + SASL + MySQL + Amavis + Spamassassin + 
ClamAV auszustatten.
Eigentlich läuft alles ganz gut soweit. Kein Wunder, ich habe hier ein 
Etch System, welches früher auch mal ein Sarge war und habe die Konfig 
soweit es geht 1:1 übernommen.
Ich kann eigentlich alles machen. Okay, Amavis hat noch ein wenig ein 
Problem mit ClamAV aber darum konnte ich mich leider bisher nicht 
kümmern (siehe Subject ;) ).

Nun aber das große Problem: Ich bekomme SASL einfach nicht dazu, meine 
smtpd.conf zu lesen (zumindest vermute ich, dass das das Problem ist). 
Wie ich darauf komme?
1. wenn ich einen Login mache und dabei in mysql.log schaue, wird nicht 
auf die DB zugegriffen
2. habe ich in der smtpd.conf
mech_list: PLAIN LOGIN
angegeben, der smtp-Dialog bietet aber immer
250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
an
3. steht in der smtpd.conf (miitlerweile)
log_level: 9
sasl_log_level: 9
aber der Output von SASL ändert sich überhaupt nicht, egal in welches 
Log ich schaue.

Fehlermeldung in der mail.log ist lediglich:
Aug 9 08:40:20 h1321002 postfix/smtpd[1964]: < 
h1321002.stratoserver.net[127.0.0.1]: auth plain 
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Aug 9 08:40:20 h1321002 postfix/smtpd[1964]: xsasl_cyrus_server_first: 
sasl_method plain, init_response Y3lydXMAY3lydXMAc2VjcmV0
Aug 9 08:40:20 h1321002 postfix/smtpd[1964]: xsasl_cyrus_server_first: 
decoded initial response cyrus
Aug 9 08:40:20 h1321002 postfix/smtpd[1964]: warning: SASL 
authentication failure: Password verification failed
Aug 9 08:40:20 h1321002 postfix/smtpd[1964]: warning: 
h1321002.stratoserver.net[127.0.0.1]: SASL plain authentication failed: 
authentication failure

Ich habe natürlich mehrmals alles geprüft und vor allem mit dem System 
verglichen, was dei Mutter der Konfiguration darstellt. Ich will zwar 
nicht ausschliessen, dass ich einfach die ganze Zeit einen Fehler 
überlese (muss wohl so sein, sonst würde es ja gehen) aber ich weiss 
absolut nicht mehr wo er stecken könnte.

Ja, Postfix läuft chrootedt (wie die Mutter auch). Ich habe gestern ich 
glaube so an die 100 Mal alle HowTo´s durchgelesen und bestimmt vier 
Stunden gegoogelt aber alle Problemlösungen, die ich dort gefunden habe, 
helfen bei mir nichts bzw. ist das System schon so konfiguriert wie es 
vorgeschlagen wird.

Cyrus+SASL funzt übrigens einwandfrei.

Die Zugriffsrechte auf die Dateien, die Symlinks und das notwendige 
dkpg-statoverride habe ich natürlich auch schon zig Mal überprüft. Ich 
kann dort keinen Fehler finden.

Hier ein paar Infos:
# testsaslauthd -u meinUser -p meinPasswd -f 
/var/spool/postfix/var/run/saslauthd/mux
0: OK "Success."


Von den Versionen her sieht es wie folgt aus:
sasl2-bin/sarge uptodate 2.1.22.dfsg1-8~bpo.1
postfix/sarge uptodate 2.3.7-3~bpo.1
cyrus-common-2.2/sarge uptodate 2.2.13-8~bpo1 (das ist auch der Einzige 
Versionsunterschied zur Mutter, dort läuft 2.1.18-5.1)


Der Output von saslfinger:
saslfinger - postfix Cyrus sasl configuration Do Aug 9 08:45:26 CEST 2007
version: 1.0.2
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.3.7
System: Debian GNU/Linux 3.1 \n \l

-- smtpd is linked to --
libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7e2c000)

-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/mailserver.cert
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/mailserver.cert
smtpd_tls_key_file = /etc/postfix/mailserver.key
smtpd_use_tls = yes


-- listing of /usr/lib/sasl2 --
insgesamt 700
drwxr-xr-x 2 root root 4096 2007-08-08 15:47 .
drwxr-xr-x 54 root root 16384 2007-08-08 15:41 ..
-rw-r--r-- 1 root root 13492 2006-12-19 14:00 libanonymous.a
-rw-r--r-- 1 root root 851 2006-12-19 14:00 libanonymous.la
-rw-r--r-- 1 root root 13908 2006-12-19 14:00 libanonymous.so
-rw-r--r-- 1 root root 13908 2006-12-19 14:00 libanonymous.so.2
-rw-r--r-- 1 root root 13908 2006-12-19 14:00 libanonymous.so.2.0.22
-rw-r--r-- 1 root root 16298 2006-12-19 14:00 libcrammd5.a
-rw-r--r-- 1 root root 837 2006-12-19 14:00 libcrammd5.la
-rw-r--r-- 1 root root 16264 2006-12-19 14:00 libcrammd5.so
-rw-r--r-- 1 root root 16264 2006-12-19 14:00 libcrammd5.so.2
-rw-r--r-- 1 root root 16264 2006-12-19 14:00 libcrammd5.so.2.0.22
-rw-r--r-- 1 root root 47680 2006-12-19 14:00 libdigestmd5.a
-rw-r--r-- 1 root root 860 2006-12-19 14:00 libdigestmd5.la
-rw-r--r-- 1 root root 44220 2006-12-19 14:00 libdigestmd5.so
-rw-r--r-- 1 root root 44220 2006-12-19 14:00 libdigestmd5.so.2
-rw-r--r-- 1 root root 44220 2006-12-19 14:00 libdigestmd5.so.2.0.22
-rw-r--r-- 1 root root 13726 2006-12-19 14:00 liblogin.a
-rw-r--r-- 1 root root 831 2006-12-19 14:00 liblogin.la
-rw-r--r-- 1 root root 14076 2006-12-19 14:00 liblogin.so
-rw-r--r-- 1 root root 14076 2006-12-19 14:00 liblogin.so.2
-rw-r--r-- 1 root root 14076 2006-12-19 14:00 liblogin.so.2.0.22
-rw-r--r-- 1 root root 31248 2006-12-19 14:00 libntlm.a
-rw-r--r-- 1 root root 825 2006-12-19 14:00 libntlm.la
-rw-r--r-- 1 root root 30740 2006-12-19 14:00 libntlm.so
-rw-r--r-- 1 root root 30740 2006-12-19 14:00 libntlm.so.2
-rw-r--r-- 1 root root 30740 2006-12-19 14:00 libntlm.so.2.0.22
-rw-r--r-- 1 root root 13886 2006-12-19 14:00 libplain.a
-rw-r--r-- 1 root root 831 2006-12-19 14:00 libplain.la
-rw-r--r-- 1 root root 14176 2006-12-19 14:00 libplain.so
-rw-r--r-- 1 root root 14176 2006-12-19 14:00 libplain.so.2
-rw-r--r-- 1 root root 14176 2006-12-19 14:00 libplain.so.2.0.22
-rw-r--r-- 1 root root 21858 2006-12-19 14:00 libsasldb.a
-rw-r--r-- 1 root root 852 2006-12-19 14:00 libsasldb.la
-rw-r--r-- 1 root root 18804 2006-12-19 14:00 libsasldb.so
-rw-r--r-- 1 root root 18804 2006-12-19 14:00 libsasldb.so.2
-rw-r--r-- 1 root root 18804 2006-12-19 14:00 libsasldb.so.2.0.22
-rw-r----- 1 root root 701 2007-08-07 10:39 saslpasswd.conf




-- content of /etc/postfix/sasl/smtpd.conf --
# Global parameters
log_level: 9
sasl_log_level: 9
saslauthd_path: /var/run/saslauthd/mux
pwcheck_method: saslauthd
#pwcheck_method: auxprop
#auxprop_plugin: sql
mech_list: PLAIN LOGIN
sql_engine: mysql
sql_hostnames: localhost
sql_user: --- replaced ---
sql_passwd: --- replaced ---
sql_database: mail
sql_select: select password from accountuser where username='%u'


-- active services in /etc/postfix/master.cf --
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
smtp inet n - - - - smtpd -v
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - - 300 1 qmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
showq unix n - - - - showq
error unix - - - - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail 
($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender 
$recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store 
${nexthop} ${user} ${extension}

cyrus unix - n n - - pipe
flags=R user=cyrus argv=/usr/sbin/cyrdeliver -r ${sender} -m 
${extension} ${user}

lmtp-amavis unix - - n - 2 lmtp
-o lmtp_data_done_timeout=1200
-o disable_dns_lookups=yes



127.0.0.1:10025 inet n - y - - smtpd
-o content_filter=
-o local_reciepent_maps=
-o smtp_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8,85.214.107.161/32



tlsmgr unix - - - 1000? 1 tlsmgr
scache unix - - - - 1 scache
discard unix - - - - - discard

-- mechanisms on localhost --
250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5

-- end of saslfinger output --


Falls ihr noch mehr Infos benötigt bitte einfach fragen. Ich will die 
Mail jetzt nicht noch länger Machen als sie eh schon ist.

Vielen Dank schon jetzt für jeden Tipp!
Ein verzweifelter Andy...