nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

ich hatte zuvor auch das ci-install skrtip ausgeführt und vor kurzem auf 0.260 aktualisiert.
Gab keinerlei Probleme - an dieser stelle noch einmal einen herzlichen Dank an Herrn Bradler die Updates verlaufen in der Regel ohne große Probleme

Hallo,

könnt ihr mal probieren, ob euer Roundcube nach Extern noch E-Mails verschickt? Ich habe auf unserem Testsystem den Fehler das dies nach dem Update auf die SE 0.260 und pd-admin 4.24 nicht mehr klappt. (Zugegeben war die Testumgebung die letzten 5 Versionen nicht mehr aktiv und hat daher die ein oder andere SE übersprungen...)

Roundcube meint:

[21-Oct-2015 13:56:41 +0200]: <43659793> SMTP Error: Failed to add recipient 
'USER@aol.com'.[B] sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) 
(Code: 553) [/B]in /usr/local/pd-admin2/htdocs/roundcubemail/program/lib/Roundcube/rcube.php 
on line 1708 (POST /roundcubemail/?_task=mail&_unlock=loading1445428985028&_lang=de_DE&_framed=1?_task=mail&_action=send)

Die mail.log zeigt:

Oct 21 13:56:41 SERVER qmail-smtpd: qmail-smtpd/VC started
Oct 21 13:56:41 SERVER qmail-smtpd: domain aol.com not in domains or codomains table
Oct 21 13:58:48 SERVER dovecot: pop3-login: Aborted login (no auth attempts): rip=SERVERIP, lip=SERVERIP

Trage ich in der /usr/local/pd-admin2/htdocs/roundcubemail/config/main.inc.php für den SMTP Zugangsdaten ein, klappt der Versand wieder auf anhieb ohne Probleme. Probleme mit dem Hostname schließe ich aus, die Konfiguration sieht korrekt aus, ferner hat sich nichts geändert.

Ich habe soeben erfolgreich eine TesteMail aus roundcube 1.1 verschickt.
Habe keine Fehler im LogFile...

In meinem Fall habe ich auf dem Server zuvor das ganze schon mit dem ci-install script bearbeitet und auch auf vorher schon auf dovecot umgestellt gehabt...

Hallo zusammen,

kann ich für eine andere Subdomain ebenfalls ein SSL anlegen?

z.B. mail.example.com

ich möchte dann diese Domain als Mailserver nutzen.

Gruß

Micromac

Zitat

Original von Daniel Bradler

Es ist nur für Courier IMAP geeignet. Für Dovecot müssen wir ein Skript nachliefern.

Hallo Herr Bradler,

gibt es diesbezüglich schon etwas?
Seit der neuesten pdadmin version wird ja (bei neuinstallationen) direkt auf dovecot gesetzt.

Das mit dem ci-ssl-install.sh hatte seinerzeit wirklich gut geklappt.

Hi Eisenherz,

wenn Du noch kein SSL aktiviert hast, und das skript in seiner jetzigen form ausführst wird das ganze ntsprechend für "courier" konfiguriert und dieser läuft dann auch wieder.

Da Courier aber zwischenzeitlich von "dovecot" ersetzt wurde, macht es keinen sinn das noch ein weiterer dienst versucht seine arbeit zu verrichten.

Letztlich geht es in meiner nachfrage darum, Systeme bzw. die Maildienste die man z.B. neu installiert hat nachträglich auch via SSL/TLS absichern kann.

Das alte Skript hat dies für courier wunderbar gemach.

Ich habe gerade einen neuen Server aufgesetzt und bin nach der pd-Admin Installation mit Standardumgebung so weiter vorgegangen:

• SSL Zertifikate ($hostname-key, $hostname-cert, $hostname-cacert) in /opt/pdadmin/sslcerts/ angelegt
• /opt/pdadmin/bin/httpd_vhosts.pl gestartet und schon lief die Administration über https
• nun hab ich mir ci-ssl-install.sh angeschaut und darauf aufbauend folgendes Script erstellt und gestartet:

#!/bin/bash
H=`/opt/pdadmin/bin/hostname.pl`


touch /usr/local/pd-admin2/share/imapd.pem
chown qmaild:nofiles /usr/local/pd-admin2/share/imapd.pem
chmod 440 /usr/local/pd-admin2/share/imapd.pem
cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert


grep "^ssl = yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf > /dev/null || {
cat <<__ >> /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf
ssl = yes
ssl_key = </usr/local/pd-admin2/share/imapd.pem
ssl_cert = </usr/local/pd-admin2/share/imapd.pem
ssl_ca = </usr/local/pd-admin2/share/imapd.cacert
__
svc -du /service/dovecot22
}


grep TLSRSACertificateFile /usr/local/pd-admin2/etc/proftpd.conf > /dev/null || {
cat <<__ >> /usr/local/pd-admin2/etc/proftpd.conf
<IfModule mod_tls.c>
TLSEngine                  on
TLSProtocol SSLv3 TLSv1
TLSRSACertificateFile      /opt/pdadmin/sslcerts/$H-cert
TLSRSACertificateKeyFile   /opt/pdadmin/sslcerts/$H-key
TLSCACertificateFile       /opt/pdadmin/sslcerts/$H-cacert
TLSVerifyClient            off
TLSRequired                off
TLSRenegotiate none
</IfModule>
__
killall proftpd
}


cd /usr/src
wget http://download.pd-admin.de/runfiles-ssl.tar.gz
tar xzf runfiles-ssl.tar.gz  --wildcards --no-anchored 'qmail-*'
mv qmail-smtpSd  /service
rm -f runfiles-ssl.tar.gz
svc -u /service/qmail-smtpSd

Danach liefen auch Dovecot, ProFTPD und qmail SMTP mit SSL.

*schmatz*

Richtig gut - habe soeben imap und smtp via starttls und ssl getestet.

imap starttls (143): OK
imap ssl (993): OK
smtp starttls (587): OK
smtp starttls (25): OK

smtp SSL (465): Failed

[root@test ~]# netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      0          15927      714/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      0          15956      714/dovecot
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          19526      1220/sshd
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      0          15911      714/dovecot
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      0          15957      714/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      0          15928      714/dovecot
tcp6       0      0 :::587                  :::*                    LISTEN      0          13237      730/tcpserver
tcp6       0      0 :::80                   :::*                    LISTEN      0          17510      720/httpd
tcp6       0      0 :::21                   :::*                    LISTEN      99         18443      729/proftpd: (accep
tcp6       0      0 :::22                   :::*                    LISTEN      0          19528      1220/sshd
tcp6       0      0 :::25                   :::*                    LISTEN      0          15846      710/tcpserver
tcp6       0      0 :::443                  :::*                    LISTEN      0          17514      720/httpd

Auf meinem bisherigen Server ist der Port 465 aktiv (imo als ich damals das ci-install skript ausgeführt hatte)

tcp        0      0 0.0.0.0:465                 0.0.0.0:*                   LISTEN      0          4652064    27209/tcpserver

Oh, dann fehlt ja noch /service/qmail-smtpSd

#!/bin/bash
cd /usr/src
wget http://download.pd-admin.de/runfiles-ssl.tar.gz
tar xzf runfiles-ssl.tar.gz  --wildcards --no-anchored 'qmail-*'
mv qmail-smtpSd  /service
rm -f runfiles-ssl.tar.gz
svc -u /service/qmail-smtpSd

Dann sollte das klappen, oder?

Das Script im vorherigen Beitrag hab ich noch ergänzt.

Alloah habe eben deinen zweiten schnipsel ausgeführt erhalte aber eine fehlermeldung

[root@test ~]# ./dv-fix.sh
--2016-02-26 11:19:10--  http://download.pd-admin.de/runfiles-ssl.tar.gz
Resolving download.pd-admin.de (download.pd-admin.de)... 130.255.184.84, 2a02:e00:ffff:fff5:225:90ff:fe05:101
Connecting to download.pd-admin.de (download.pd-admin.de)|130.255.184.84|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2755 (2.7K) [application/octet-stream]
Saving to: ‘runfiles-ssl.tar.gz’


100%[==================================================================================================================================================================================================================================================================>] 2,755       --.-K/s   in 0.001s


2016-02-26 11:19:10 (5.23 MB/s) - ‘runfiles-ssl.tar.gz’ saved [2755/2755]


svc: warning: unable to control /service/qmail-smtpSd: supervise not running

Nehme an es liegt an dem von mir verwendeten OS bzw. init.d vs. systemd
Ich habe hier

[root@test ~]# cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
[root@test ~]# uname -a
Linux test.domain.tld 3.10.0-327.10.1.el7.x86_64 #1 SMP Tue Feb 16 17:03:50 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

Der Port taucht jetzt aber zumindest auf

tcp6       0      0 :::465                  :::*                    LISTEN      0          35844      3337/tcpserver

Aber bei meinem
smtp ssl (465) test bekomme ich "connection closed by peer"

[EDIT]
Dann noch kurz auszug aus dem ps aux

root       696  0.0  0.0   4160   352 ?        S    10:29   0:00 readproctitle service errors: ...file or directory tcpserver: end 3397 status 256 tcpserver: status: 0/40 tcpserver: status: 1/40 tcpserver: pid 3398 from 109.44.0.224 tcpserver: ok 3398 taris.securewebs.net:::ffff:213.218.179.241:465 :::ffff:109.44.0.224::35088 couriertls: /usr/local/pd-admin2/share/pop3d.pem: error:02001002:system library:fopen:No such file or directory tcpserver: end 3398 status 256 tcpserver: status: 0/40

Hallo zusammen,

1. Ein Herzlichen Hallöchen an alle, hab mich soeben angemeldet und lese schon einige Zeit eure tollen Beiträge

2. Ich habe das gleiche Problem mit Debian 8 (smtps)

svc: warning: unable to control /service/qmail-smtpSd: supervise not running

Meine Recherche hat ergeben, das wohl irgendwo ein Pfad nicht stimmt - bin jedoch noch nicht dahinter gekommen wo und welcher.. kenne mich mit qmail noch nicht wirklich aus

VG

Das habe ich zuerst auch gedacht und hab anschließend das deamontools packet neu installiert - fehler ist noch immer da.

Die Dienste lassen sich mit "sv" ohne Probleme Steuern

Kann es sein, das durch die Änderung auf Dovecot auch die "Pfade" im Dienst (qmail/qmail-smtpSd) noch angepasst werden müssen?

der SMTP SSL Test zeigt folgenden Fehler:

SMTP Error: 454 TLS missing certificate: error:02001002:system library:fopen:No such file or directory (#4.3.0)

irgendwas hat da nicht geklappt

Ist der Eintrag "CourierTLS" korrekt? (siehe Anhang)