[Frage] Welche(s) SMTP AUTH Verfahren kann die 7490

[micha2011]

Hi @All!

Welche(s) SMTP AUTH Verfahren nutzt die 7490 mit Standard AVM Software ohne Hacks und mit allen Updates für den Push Service? PLAIN und LOGIN sind es nicht, soviel weiß ich schon. Nach der Meldung

250-AUTH PLAIN LOGIN

beendet die Box den Dialog immer. Und das ohne zu sagen, was sie haben will. Grrr.

Bleiben noch CRAM-MD5, SCRAM-SHA-1 oder NTLM. Brauche ich für einen netzinternen SMTP-Server der einzig und allein nur für die FRITZ!Box Push Mails da ist und derzeit nur PLAIN und LOGIN "spricht".
Ich möchte jetzt ungern drei weitere Verfahren implementieren und beim letzten erst feststellen, dass die 2 davor es nicht waren.

Weiß das jemand?
Oder weiß jemand, wo ich das nachgucken/ändern kann? Das wäre nämlich noch besser.

Danke!

 

[PeterPawn]

Also bei mir funktioniert "AUTH PLAIN" problemlos ... wobei es natürlich eine TLS-gesicherte Verbindung sein muß - entweder explizit über TCP/465 oder über STARTTLS-Kommando.

Zu der hier verwendeten FRITZ!OS-Version muß man ja wieder Rätsel lösen wollen, aber seit 06.20 ist eigentlich die als "Unterstützung für STARTTLS" beschriebene Änderung aktiv, daß nur noch über TLS-gesicherte Verbindungen Benutzername und Kennwort im Klartext übertragen werden (und andere Verfahren kennt die Box m.W. gar nicht, auch kein CRAM-MD5 und erst recht kein NTLM), woraus sich implizit der Zwang zumindest zur Unterstützung von STARTTLS ergibt (die Checkbox bei der Absenderkonfiguration schaltet m.W. nur den "starttls"-Wert in der ar7.cfg um).

Das hieße also auch im LAN einen SMTP-Server mit STARTTLS-Unterstützung zu verwenden ... dann sollte auch "AUTH PLAIN" funktionieren.

 

[HabNeFritzbox]

Problem liegt wohl weniger an der FB, eher bei dem Postfix.

Schau mal was dort konfiguriert ist, ggf. sonst:
smtpd_tls_security_level = none
smtp_use_tls = no

oder eben auf mit openssl sich Zertifikat erstellen, und dann in FB auch Haken bei SSL/TLS setzen.

 

[PeterPawn]

@all:
Kann die Box tatsächlich noch ohne TLS-Verschlüsselung E-Mails versenden? Ich kann es nicht ohne entsprechenden Aufwand testen (wer hat schon einen Mail-Server ohne TLS), aber ich würde behaupten, irgendwo gelesen zu haben, daß der Mailversand nur noch mit TLS funktioniert (und zwar aus Sicht der Box und nicht, weil es die Provider inzwischen m.W. alle abgestellt haben) - leider finde ich die Quelle nicht ... daher die Frage, ob das tatsächlich verbürgt ist, daß die Box auch "AUTH PLAIN" macht, wenn da das Mitlesen möglich ist.

Bei mir ergibt folgender Test auch ein Bild, bei dem ich am Versand ohne STARTTLS zweifele:

central:~ # [B]nc -l 25[/B]
[COLOR="#008000"]220 local ESMTP Postfix[/COLOR]
[COLOR="#0000FF"]EHLO fritzbox[/COLOR]
[COLOR="#008000"]250-local
250-PIPELINING
250-SIZE
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN[/COLOR]
[COLOR="#0000FF"]QUIT[/COLOR]
central:~ # [B]nc -l 25[/B]
[COLOR="#008000"]220 local ESMTP Postfix[/COLOR]
[COLOR="#0000FF"]EHLO fritzbox[/COLOR]
[COLOR="#008000"]250-local
250-PIPELINING
250-SIZE
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-STARTTLS
250 DSN[/COLOR]
[COLOR="#0000FF"]STARTTLS[/COLOR]

Das ist das Ergebnis des Verbindungstests in der FRITZ!Box, wobei der verwendete Rechner als SMTP-Server ohne SSL-Unterstützung auf Port 25 im LAN konfiguriert war. Solange die Antwort des SMTP-Servers kein "STARTTLS" als "capability" enthält, lehnt die FRITZ!Box ihrerseits die Test-Verbindung einfach mit "QUIT" ab, ohne überhaupt eine Authentifizierung zu versuchen. Ist dort "STARTTLS" enthalten, geht es zumindest mal bis zum Absetzen dieses Kommandos seitens der Box weiter, jetzt müßte man für einen vollständigen Test natürlich noch prüfen, was nach dem Aufbau der TLS-Verbindung weiterhin geschieht ... aber für mich war/ist das eigentlich das Zeichen, daß die FRITZ!Box eben keine ungesicherte Authentifizierung mehr unterstützt ... mit CRAM-MD5 habe ich auch schon bei früheren Versionen keinen Erfolg gehabt (auch wenn es - den Zeichenketten in /sbin/mailer nach zu urteilen - eigentlich funktionieren müßte, aber das ist bei "digest auth" bei DynDNS auch nicht anders, da ist es auch vorgesehen nach den Zeichenketten und funktioniert trotzdem nicht).

EDIT: Steht zwar bei mir in der Signatur, aber der Ordnung halber die vollständige Information: FRITZ!OS 113.06.51 (mit geringen Modifikationen :mrgreen

 

[micha2011]

Danke euch! werde mal TLS einbauen.

@Peter: wie kommst du an eine so große Versionsnummer von FRITZ!OS?

 

[HabNeFritzbox]

Was verstehst du unter "große Versionsnummer"?

Sehe bei Peter eher normale aktuelle Versionen.

 

[eisbaerin]

Vielleicht meint er ja die "113", weil die FW ja jetzt nur noch FRITZ!OS 06.51 heißt.

 

[PeterPawn]

root@FB7490:~ $ /etc/version -v -vsub -d --project
[COLOR="#FF0000"]113.06.51[/COLOR]

03.02.2016 16:37:31
32358

 

[eisbaerin]

Jaa, ich weiß, daß die vollständig so heißt.
Aber die meisten sehen sie ja nur noch in der GUI und da steht eben nur FRITZ!OS 06.51.

 

[HabNeFritzbox]

micha2011, hast jeweils mit Haken für SSL und ohne probiert?

Nur Port 25 getestet oder auch 587?

Ich habe mit SSL und TLS kein Problem mit internen Mailserver.