nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

  • Wir haben mit einem Wildcard-Zertifikat *.onit4u.de den Server abgesichert und nehmen dieses Zertifikat auch für SSL-POP3, etc. mit dem Script ci-ssl-install.sh her. Das funktioniert technisch auch ganz gut, aber leider mit einem Zertifikatsfehler, z.B. im Windows Live Mail


    ----
    Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte. Eine Zertifikatkette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter als nicht vertrauenswürdig gilt.
    ----


    Braucht man für E-Mail andere Zertifikate?


    vg
    Manfred

  • Das Problem hat sich geklärt...


    Ursache war das in der /usr/local/pd-admin2/share noch eine alte PEM-Datei für pop3d.pem hinterlegt war und diese nicht mit einem Sym-Link auf /usr/local/pd-admin2/share/imapd.pem verbunden war. Damit wurde für POP3 einfach ein falsches Zertifikat verwendet.


    Lag wohl daran das wir auf dem Server vorher mit stunnel experimentiert hatten, aber jetzt alles auf die ci-ssl-install.sh umgestellt haben.

    • Offizieller Beitrag

    Hallo,


    Code
    > ps aux |grep "readproctitle service errors"
    root      1863  0.0  0.0   3716   356 ?        S    Jun26   5:05 readproctitle service errors: ...pid 26385 from CLIENT_IP?tcpserver: ok 26385 SERVERNAME::ffff:SERVER_IP:995 :::ffff:CLIENT_IP::57648?couriertls: /usr/local/pd-admin2/share/dhparams.pem: error:02001002:system library:fopen:No such file or directory?couriertls: /usr/local/pd-admin2/share/pop3d.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line?tcpserver: end 26385 status 0?tcpserver: status: 0/40?



    Gehe ich richtig der Annahme, dass das Skript einmal ausgeführt werden muss und dann periodisch durch cron?
    Falls ja, warum tut dies dann das Skript ci-ssl-install.sh nicht?


    mfg
    Twilo

  • Zitat

    Original von monderka
    Das Problem hat sich geklärt...


    Ursache war das in der /usr/local/pd-admin2/share noch eine alte PEM-Datei für pop3d.pem hinterlegt war und diese nicht mit einem Sym-Link auf /usr/local/pd-admin2/share/imapd.pem verbunden war. Damit wurde für POP3 einfach ein falsches Zertifikat verwendet.


    Lag wohl daran das wir auf dem Server vorher mit stunnel experimentiert hatten, aber jetzt alles auf die ci-ssl-install.sh umgestellt haben.


    Die Frage ist, was zu tun ist, wenn die Meldungen trotz korrekter Zertifikate immer noch angezeigt werden?


    kann da jemand helfen?

  • wie steht es bei dem ganzen mit FTP?


    irgednein script scheint Zertifikate auch in die proftpd.conf eingetragen zu haben
    aber ssl/tls Verbindung klappt nicht, auch keine Fehlermeldung die auf irgendein Fehler hindeuten könnte


    ftp Programm sagt aber:
    220 pd-admin 2.0 FTP-Server ready
    AUTH TLS
    234 AUTH TLS successful
    Server certificate error: RemoteCertificateNotAvailable, RemoteCertificateChainErrors
    Try disabling Server Certificate Validation
    Certificate Error (The authentication or decryption has failed.)

  • Hallo Zusammen!


    Also ich habe jetzt mein SSL Zertifikat für alle Dienste erneuert - und die Kunden bekamen wieder die Meldung.


    Bei mir handelt es sich um ein WildCard Zertifikat...


    Das sollte ja aber generell trusted sein - gibts dazu ne Info warum das der Fall ist?

  • Hi @ all,


    hatte beim ersten Versuch beim umbennen der 3 generierten Zertifikat-files den $hostname falsch angegeben. (hier muss natürlich der fqdn angegeben werden, was auch dem "pd-admin-Hostname" entspricht.


    bei mir kommt es bei nochmaliger Ausführung des scripts "ci-ssl-install.sh" zu folgenden Fehlermeldungen:


    1)Symbolische Verknüpfung „/usr/local/pd-admin2/share/pop3d.pem“ konnte nicht angelegt werden:
    Die Datei existiert bereits


    2)mv: Verschieben zwischen Geräten fehlgeschlagen: „courier-imap-ssl“ zu „/service/courier-imap-ssl“; kann Ziel nicht entfernen: Ist ein Verzeichnis
    mv: Verschieben zwischen Geräten fehlgeschlagen: „courier-pop3-ssl“ zu „/service/courier-pop3-ssl“; kann Ziel nicht entfernen: Ist ein Verzeichnis
    mv: Verschieben zwischen Geräten fehlgeschlagen: „qmail-smtpSd“ zu „/service/qmail-smtpSd“; kann Ziel nicht entfernen: Ist ein Verzeichnis


    Frage: funktioniert die ganze Sache nun einwandfrei?


    ein nmap <IP des Hosts> zeigt:
    Host is up (0.11s latency).
    Not shown: 986 closed ports
    PORT STATE SERVICE
    21/tcp open ftp
    25/tcp open smtp
    80/tcp open http
    110/tcp open pop3
    143/tcp open imap
    443/tcp open https
    465/tcp open smtps
    587/tcp open submission
    993/tcp open imaps
    995/tcp open pop3s
    1720/tcp filtered H.323/Q.931
    1863/tcp filtered msnp
    5050/tcp filtered mmcc
    5190/tcp filtered aol


    Von daher gehe ich doch aus, dass alles funktioniert?
    Wollte nur nochmal eine Bestätigung einholen.


    Vielen Dank und Liebe Grüße,
    RudiX

  • Hallo Kollegen,


    hat das Script schon jemand unter Debian 6.0.10 mit aktueller Serverumgebung probiert ?


    Bei mir ist es sauber durchgelaufen, alle relevanten Ports waren danach auf und funktionieren.


    Nur smtpSd unter Port 465 scheint nicht zu klappen.


    Beim Versuch zu senden erscheint 4.3.0 Server temporarily rejected message


    Im Log steht der smtp-auth Vorgang ohne Fehler.


    Per openssl s_client -crlf -connect localhost:465 kann ich mich auch mit dem Port verbinden. Er zeigt dann die Zertifikat-Infos und am Ende


    220 server1.XXXXX.com ESMTP


    Irgend jemand einen Hinweis ?


    Der unverschlüsselte Versand über Port25 geht problemlos.



    Gruß


    net-services

  • Habe mal weitergetestet.


    qmail-smtpSd von Hand gestartet und die Ausgabe bei einem Verbindungsversuch geprüft:


    couriertls: /usr/local/pd-admin2/share/dhparams.pem: error:02001002:system library:fopen:No such file or directory
    couriertls: /usr/local/pd-admin2/share/pop3d.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line



    dhparams.pem gibt es nicht in /usr/local/pd-admin2/share



    Wie kann ich die erzeugen ?


    pop3d.pem gibt es und verweist auf imapd.pem.


    Für Hinweise wäre ich dankbar.


    Gruß


    net-services

  • Hi,


    habe mal verglichen, bei mir gibt es auch keine dhparams.pem.
    Aber in /usr/local/pd-admin2/share gibt es ein script "mkdhparams".


    Bei mir kam es ja bei der Ausführung des scripts "ci-ssl-install.sh" zu Fehlermeldungen, vermute mal das da auch noch etwas im Argen liegt.


    Der Port 465 funktioniert trotzdem.


    Liebe Grüße,
    RudiX

  • Zitat

    Original von Daniel Bradler

    Code
    SSLHonorCipherOrder on
    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS


    kann es sein, dass das nicht ausreicht?


    Ein Connect per

    Code
    openssl s_client -ssl3 -connect HOST:443

    funktioniert, warum?


    Revolution

  • Das TLS-Script scheint ja schon in Gebrauch zu sein. Ich hätte da mal eine Frage dazu?


    Könnt Ihr mir sagen wie sich die Mail-SSL-Dienste beim Update der SE bzw. des PD-Admins verhalten? Werden diese automatisch gestoppt und und neu gestartet oder muss man doch noch Hand anlegen und diese manuell restarten?

  • Hallo,


    wie kann ich die Mail-SSL Sache komplett neu einrichten? Alle Dateien die erstellt werden löschen? In der Hoffnung, dass mein Problem dadurch behoben wird...


    Seit dem Update auf SE 250 funktioniert bei mir SMTPS nicht mehr... am Zertifikat hat sich nichts geändert - leider sehe ich auch keine Fehler im Logfile - nur das Outlook meint, dieser Server kann mit der Verschlüsselung nichts anfangen...
    hat das Problem zufällig sonst noch jemand?

  • Ich habe das gleiche Phänomen bei einigen Outlook-Versionen.
    Meine Vermutung war das am MS Patchday irgendwas geupdated wurde was beim Postausgang SSL auf Port 465 verweigert.
    Komischerweise geht aber TLS auf Port 587.


    Ich habe auch noch ein SHA1 Zertifikat, vielleicht liegt es auch daran.


    Definitiv kann das Update auf die SE 250 nicht schuld sein, denn ich habe die Produktivsysteme noch nicht darauf geupdated.


    Auf jeden fall mysteriös. Die ersten Fälle sind bei mir am Freitag 15.5.15 aufgetreten.

  • Zitat

    Original von monderka
    Ich habe das gleiche Phänomen bei einigen Outlook-Versionen.
    Meine Vermutung war das am MS Patchday irgendwas geupdated wurde was beim Postausgang SSL auf Port 465 verweigert.
    Komischerweise geht aber TLS auf Port 587.


    An das habe ich auch schon gedacht - waren ziemlich viele Updates. Mich hat es nur verwundert, dass bei den vielen Kunden mit Outlook auch bei einem Thunderbird Client sowas ähnliches Auftritt.. Vllt. war es nicht ein Outlook sondern wirklich speziell ein MS Update...
    Für Smartphones hab ich leider zu wenig Auswahl...


    Zitat

    Original von monderka
    Komischerweise geht aber TLS auf Port 587.


    Aber wieso?!?! ... Hmmm



    EDIT:
    ich konnte jetzt auf einem Windows 7 mit Outlook 2013 erfolgreich mit jeweils SSL 993, 465 und TLS testen...
    ich hab aber erst vorher alle Windows Updates auf diesem Testsystem nachgezogen...

  • Zitat

    Original von trenc
    Könnt Ihr mir sagen wie sich die Mail-SSL-Dienste beim Update der SE bzw. des PD-Admins verhalten? Werden diese automatisch gestoppt und und neu gestartet oder muss man doch noch Hand anlegen und diese manuell restarten?


    Die werden - wie die anderen Dienste auch - automatisch gestoppt und nach dem Update wieder gestartet.


    Viele Grüße,
    Daniel Bradler

  • Zitat

    Original von Daniel Bradler
    Ich habe die SSLCipherSuite im Ursprungsposting aufgrund des Logjam-Problems angepasst.


    Viele Grüße
    Daniel Bradler


    Vielen Dank!

  • Zitat

    Original von Daniel Bradler
    Ich habe die SSLCipherSuite im Ursprungsposting aufgrund des Logjam-Problems angepasst.


    sie meinen das hier oder?

    Zitat

    Original von Daniel Bradler

    Code
    SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    SSLProtocol All -SSLv2 -SSLv3
    SSLCompression Off
    SSLHonorCipherOrder on


    damit erhalte ich trotzdem folgende Ausgabe beim SSL Server Test

    Zitat

    This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »


    Revolution