SMTP Authentication auf mail2.rz.uni-duesseldorf.de
 
Heinrich-Heine-Universität Düsseldorf Universitätsrechenzentrum
  Achtung! Diese Seite ist nicht mehr aktuell! Insbesondere gibt es - seit der Umstellung der Directory-Server-Software am 25.3.2006 - die Option des CRAM-MD5-Verfahrens nicht mehr. Stattdessen existiert schon länger die Alternative einer SSL-Verbindung zum SMTP-Server mail2.rz.uni-duesseldorf.de (Port 465), bei der das Klartext-Passwort ebenfalls abhörsicher übertragen wird. Die Option zur Speicherung des Passwortes in umkehrbarer Form über die Web-Seite zum Ändern des Passwortes hatte ich in Erwartung der Umstellung auch schon vor längerer Zeit gestrichen.
Aktuell gültige Informationen zum Senden von E-mail über die Server des URZ finden Sie unter http://www.urz.uni-duesseldorf.de/mail/userguide#4.
SMTP Authentication
- zur Zeit nur auf mail2.rz.uni-duesseldorf.de -

Was?
Wofür?
Wie?

SMTP Authentication (SMTP AUTH) gemäß RFC 2554 ist eine Erweiterung des SMTP-Protokolls, die es bei der Einlieferung (Submission) von Mail z.B. von einem PC-Mail-Programm an einen sog. Message Transfer Agent (MTA) erlaubt, die Identität und Berechtigung des Einlieferers zu überprüfen - z.B. anhand eines Benutzernamens und zugehörigen Passwortes. Unser - zweiter - MTA mail2.rz.uni-duesseldorf.de ist so konfiguriert, dass er nach erfolgter Authentisierung eingelieferte Mails generell zustellt, auch wenn die Einlieferung nicht aus unserem eigenen Netz, sondern mit Internet-Zugang über einen anderen Provider vorgenommen wurde. In letzterem Fall würde er sonst nur Mails an Adressen unterhalb von uni-duesseldorf.de akzeptieren. SMTP Authentication ist das bevorzugte Hilfsmittel, Mail generell über einen "Heimat"-Mail-Server zu versenden, auch wenn der Internet-Zugang über einen fremden Provider erfolgt.

SMTP AUTH setzt auf dem Simple Authentication and Security Layer (SASL) nach RFC 2222 auf. Dieses sieht eine erweiterbare Liste von Verfahren, genannt SASL mechanisms zur Authentisierung vor. Bei unserer Server-Software sind folgende Verfahren möglich und zur Zeit auf dem zweiten Mail-Server mail2.rz.uni-duesseldorf.de (noch nicht auf mail.rz.uni-duesseldorf.de selber) konfiguriert:

  • PLAIN (RFC 2595, Kap. 6): Username und Passwort werden lediglich Base64-kodiert übertragen und können im Prinzip mitgehört werden (, solange nur unverschlüsselte Verbindungen zur Verfügung stehen; wir werden zwar demnächst auch verschlüsselte Verbindungen mittels Transport Layer Security (TLS) anbieten, aber der TLS-Einsatz zum Schutz nur des Passwortes hat etwas vom mit-Kanonen-auf-Spatzen-Schießen, denn eine Sicherung der Inhalte auf dem gesamten Transportweg ist durch TLS bei der Einlieferung nicht gegeben).
  • CRAM-MD5 (Challenge-Response Authentication Mechanism nach RFC 2195): Es wird kein Klartext-Name und -Passwort übertragen, sondern eine mit dem Algorithmus Message Digest 5 (MD5) gebildete Prüfsumme von diesen Angaben und einem vom Server gelieferten Challenge-String, welcher bei jeder künftigen Verbindung garantiert anders aussieht. Dieses Verfahren - grundsätzlich gleich gestrickt wie die APOP-Erweiterung des POP3-Protokolls - stellt sicher, dass aus mitgeschnittenen Verbindungsdaten kein Passwort herausgerechnet werden kann, erfordert aber die Kenntnis dieses Passwortes beim Server im Klartext (in diesem Kontext wird statt von einem Passwort auch von einem gemeinsamen Geheimnis (shared secret) gesprochen).

    Daher Achtung: Um die SMTP-AUTH-Funktion mit dem CRAM-MD5-Verfahren nutzen zu können, muss das Benutzer-Mail-Passwort in einer bei uns nicht standardmäßig vorgegebenen Weise vorliegen:

    • Die eigenen APOP-Passwörter auf mail.rz.uni-duesseldorf.de gelten hier nicht.
    • Die SASL-Komponente des SMTP-Servers liest das Benutzer-Passwort stets vom Directory-Server. So wie vorhandene Benutzerdaten Ende Dezember 2000 von uns auf den Directory-Server übernommen und neue seither dort hinzugefügt worden, enthalten diese das Benutzer-Passwort weiterhin mit der unter Unix gebräuchlichen, nicht umkehrbaren crypt-Verschlüsselung. Gleiches gilt für nach einem Login auf mail.rz.uni-duesseldorf.de (über das passwd-Kommando des Betriebsystem) geänderte Passwörter. Mit diesen kann der Server beim CRAM-MD5-Verfahren nun mal nichts anfangen und beantwortet eine entsprechende Anforderung mit
      535 5.7.8 Bad username or password
      Damit die CRAM-MD5-Authentisierung gelingt, muss das Benutzer-Passwort in der umkehrbaren sunds-Verschlüsselung im Directory gespeichert sein.
Passwort ändern für SMTP-AUTH CRAM-MD5
Dies erreichen Sie durch Ändern Ihres Passwortes im User Reception Desk unter

https://mail.rz.uni-duesseldorf.de/user/:

  • auf der Seite Passwort ändern müssen Sie zur Sicherheit Ihr altes Passwort wiederholen, ein neu gewähltes zweimal eintippen und
  • Passwort-Verschlüsselung sunds auswählen und auf den Knopf Änderung durchführen klicken.
Alternativ gibt es auch eine Seite der Delegated Management Console; Zugang unter:

http://mail.rz.uni-duesseldorf.de/sims/en/login.html:

  • Auf der Login-Seite Ihre Benutzerkennung als Login ID, rz.uni-duesseldorf.de als Domain und Ihr aktuelles Passwort eintragen und auf Login klicken;
  • nach erfolgreicher Prüfung finden Sie auf der Folgeseite links unter Personal Preferences als Link Change Password.
Bei der Delegated Management Console fehlt die sichere Verbindung und eine Prüfung des gewählten Passwortes.

Einschränkungen bei dieser Art der internen Passwort-Verschlüsselung im Directory gibt es nicht. Insbesondere sehen alle NIS-basierten Dienste (, die unseren Master-Directory-Server als NIS-Server ansprechen,) das Benutzer-Passwort wieder in der erwarteten crypt-verschlüsselten Form.

SMTP-AUTH-Einstellungen in einigen gängigen Mail-Programmen
Outlook Express (deutsch, Windows)
Netscape Communicator 4.5ff
Eudora 5.x 		Beachten Sie: Die folgenden Einstellungen in dieser oder anderer Weise (bei hier nicht beschriebenen Programmen) sollten Sie nur vornehmen, wenn SMTP Authentication einen Sinn macht, also beim zentralen Mail-Service des URZ nur, wenn Sie den Internet-Zugang anders als über das IP-Netz der Uni haben (und auch nicht über unsere Einwahlzugänge).

Outlook Express (deutsch, Windows)

Unter dem Menüpunkt Extras/Konten/Email und dort der "Karteikarte" Server müssen Sie mail2.rz.uni-duesseldorf.de im Feld Postausgang (SMTP) eintragen (, aber im Feld Posteingang (POP3/IMAP) mail.rz.uni-duesseldorf.de lassen), dann "Server erfordert Authentifizierung" ankreuzen und unter "Einstellungen" Ihren Benutzernamen (Userid.) angeben.

Netscape Communicator 4.5ff

Gehen Sie über den Menüpunkt Bearbeiten/Einstellungen... (englisch: Edit/Preferences...) und wählen Sie unter Mail & Diskussionsforen (Mail & Newsgroups) die Kategorie Mail-Server (Mail Servers). Im Fenster rechts unten in dem Abschnitt Server für ausgehende Mail (Outgoing Mail Server) müssen Sie als Server für ausgehende Mail (SMTP) (Outgoing mail (SMTP) server) mail2.rz.uni-duesseldorf.de eintragen und im Feld Benutzername für Mail-Server (Outgoing mail server user name) Ihre Benutzerkennung (Userid.).

Achtung! Einige Versionen von Netscape wollen SMTP Authentication durchführen, sobald sie vom Server annonciert wird, ohne Sie zu fragen, ob diese überhaupt erforderlich ist. Das CRAM-MD5-Verfahren wird nicht von allen Versionen unterstützt.

Eudora 5.x

Gehen Sie über den Menüpunkt Tools/Options... (oder Special/Settings...) und wählen Sie die "Category" Sending Mailin der Auswahl auf der linken Seite. Tragen Sie im Feld SMTP Server mail2.rz.uni-duesseldorf.de ein und kreuzen Sie Allow authentcation an (in einigen Versionen heißt es (fälschlisch) Allow authorization). Eudora fragt Username und Passwort beim Senden ab und nutzt auch CRAM-MD5.
Bernd Cappel, zuletzt geändert am 31.03.2006, 13:21 Uhr