- Offizieller Beitrag
Jetzt bin ich ein bisschen verwirrt. Hattest Du nicht gesagt, dass Du Dovecot benutzt? Couriertls deutet dann eher auf Courier als auf Dovecot hin.
nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
-
-
Seit der aktuellen Version von PD-Admin wird auf Dovecot gesetzt (soweit wie ich das richtig verstanden habe)
Somit hat sich wohl auch die Konfiguration bzgl. SSL etwas geändert:
Bash
Alles anzeigen#!/bin/bash H=`/opt/pdadmin/bin/hostname.pl` touch /usr/local/pd-admin2/share/imapd.pem chown qmaild:nofiles /usr/local/pd-admin2/share/imapd.pem chmod 440 /usr/local/pd-admin2/share/imapd.pem cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert grep "^ssl = yes" /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf > /dev/null || { cat <<__ >> /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf ssl = yes ssl_key = </usr/local/pd-admin2/share/imapd.pem ssl_cert = </usr/local/pd-admin2/share/imapd.pem ssl_ca = </usr/local/pd-admin2/share/imapd.cacert __ svc -du /service/dovecot22 } grep TLSRSACertificateFile /usr/local/pd-admin2/etc/proftpd.conf > /dev/null || { cat <<__ >> /usr/local/pd-admin2/etc/proftpd.conf <IfModule mod_tls.c> TLSEngine on TLSProtocol SSLv3 TLSv1 TLSRSACertificateFile /opt/pdadmin/sslcerts/$H-cert TLSRSACertificateKeyFile /opt/pdadmin/sslcerts/$H-key TLSCACertificateFile /opt/pdadmin/sslcerts/$H-cacert TLSVerifyClient off TLSRequired off TLSRenegotiate none </IfModule> __ killall proftpd } cd /usr/src wget http://download.pd-admin.de/runfiles-ssl.tar.gz tar xzf runfiles-ssl.tar.gz --wildcards --no-anchored 'qmail-*' mv qmail-smtpSd /service rm -f runfiles-ssl.tar.gz svc -u /service/qmail-smtpSdNach dem ausführen des Scripts (wie oben beschrieben), erhalte ich den Fehler:
Codesvc: warning: unable to control /service/qmail-smtpSd: supervise not runningDaraufhin habe ich die Daemontools neu installiert was jedoch nicht den Fehler behoben hat und etwas recherchiert, dabei ich auf den Inhalt der "qmail-smtpSd" gestoßen -> welcher noch einen alten Eintrag enthält.
oder befinde ich mich auf dem Holzweg?
-
Wie steht es eigentlich mit einem entsprechenden Skript von seiten bradler&kranz und co aus? :*(
-
muss hierzu vll. ein BUG report erstellt werden?
Betrifft wohl jedes frisch installierte OS mit der aktuellen PD-Admin Version
Habe nun ein System mit CentOS aufgesetzt, dort habe ich die gleichen Probleme und kann kein SMTP mit SSL konfigurieren.
-
auf meinem testsystem mit centos 7.2 habe ich es mithilfe des skripts vom geschätzen eisenherz
zumindest bis auf port 465 (ssl) zum laufen bekommen. Siehe vorherige posts. -
Soweit funktioniert es bei mir auch - bis auf qmail-smtpSd
Wäre toll, wenn sich das jemand mal ansehen könnte
Kann mir evtl. jemand einen Tipp geben?
Ich habe schonmal diesen Link für brauchbar empfunden (LINK)Wo liegen die verwendeten Config files von Dovecot?
Wird für smtp/smtps dovecot überhaupt verwendet?Fragen über fragen, ich hoffe mir kann weiterholfen werden - nur an der Sache hackt es momentan..
#Cheers
Adolar -
Keiner einen Tipp?
Webby, konntest das Problem mit SmtpSd schon lösen? -
Ne habe mir das noch nicht genauer angesehen.
Derzeit ist das nur auf einem testsystem der fall.Insgeheim habe ich die Hoffnung das Herr Bradler das bzw. ein angepasstes skript zur Verfügung stellt.
-
Wir haben hier ein aktualisiertes Skript fuer Dovecot abgelegt:
http://download.pd-admin.de/dc-ssl-install.sh
Es setzt wie das Skript fuer Courier IMAP voraus, dass das Server-Zertifikat unter /opt/pdadmin/sslcerts abgelegt wurde.
-
Super, vielen Dank - Funktioniert!
-
Cool - habe es soeben auf dem testsystem ausgeführt und konnte auch auf port 465 erfoglreich verbinden.
Herzlichsten Dank (!) Herr Bradler - an dieser stelle selbstversändlich auch einen Dank an eisenherz für seine mühe
Das Forum ist echt uniq
-
Jetzt hab ich nur noch das Problem, das qmail "Plain text" Verbindungen akzeptiert.
-
Hallo Herr Bradler,
ZitatOriginal von Daniel Bradler
Wir haben hier ein aktualisiertes Skript fuer Dovecot abgelegt:http://download.pd-admin.de/dc-ssl-install.sh
Es setzt wie das Skript fuer Courier IMAP voraus, dass das Server-Zertifikat unter /opt/pdadmin/sslcerts abgelegt wurde.
Das o.g. Skript lädt für den Service qmail-smtpSd die Datei http://download.pd-admin.de/qmail-smtpSd.tar.gz herunter.
Das run-skript darin verwendet aber nach wie vor Courier:Code/usr/local/pd-admin2/bin/couriertls -server -tcpd \ ...Gibt es davon auch eine Dovecot-Variante?
-
- Offizieller Beitrag
Lese Dir mal den Beitrag hier durch bzw. schaue mal auf Seite 1 in diesem Post, da hat Herr Bradler etwas ergänzt.
-
Soweit ich das sehe, hat er nur ergänzt, dass man für Dovecot genau das Skript nehmen soll, auf das ich mich beziehe und welches ich auch verwendet habe.
Oder bin ich blind?
Ich habe ja schon gleich das dc-Skript verwendet und nicht die ältere Courier-Version.
-
- Offizieller Beitrag
Stimmt in dem Archiv qmail-smtpSd.tar.gz kopiert er die "run" mit Courier.
In dem Script "dc-ssl-install.sh" steht schon "dovecot".
Muss ich mir mal näher anschauen. -
Zur Umsetzung von SMTPS auf Port 465 wird couriertls verwendet. Ich sehe darin kein Problem, und es wird sich von unserer Seite wahrscheinlich auch nicht aendern.
-
Zitat
Original von Daniel Bradler
Zur Umsetzung von SMTPS auf Port 465 wird couriertls verwendet. Ich sehe darin kein Problem, und es wird sich von unserer Seite wahrscheinlich auch nicht aendern.OK, danke für die Info!
Es scheint ja auch problemlos zu laufen. -
- Offizieller Beitrag
Dann brauch ich ja nicht mehr zu schauen :).
-
Ich habe jetzt auch mal alle Server auf SSL umgestellt verwendetes Zertifikat ist von StartSSL als Wildcard Zertifikat für
provider.tld
*.provider.tldWebserver klappt soweit und auch weitere Zertifikate per SNI eingebunden geben mir ein Grade A - RSA 4096 bits (e 65537) / SHA256withRSA
im Interface per SNI eingebunden sind
domain.tld
*.domain.tlddanach erst ci-ssl-install.sh und anschliessend dc-ssl-install.sh ausgeführt (die Schnipsel die man hier im Forum bekommt lassen vermuten das das dc-ssl-install.sh das ci-ssl-install.sh script ablösen ... is aber nicht so - ports waren erst nach ausführung beider scripte offen)
Aktuell sieht das so aus:
Code
Alles anzeigen[19:52][root@qonos:~]# netstat -tulpen Aktive Internetverbindungen (Nur Server) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 0 9722 2984/dovecot tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 0 9750 2984/dovecot tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 5685 1751/rpcbind tcp 0 0 0.0.0.0:57242 0.0.0.0:* LISTEN 102 5704 1783/rpc.statd tcp 0 0 0.0.0.0:4190 0.0.0.0:* LISTEN 0 9706 2984/dovecot tcp 0 0 0.0.0.0:1601 0.0.0.0:* LISTEN 0 4557 2720/sshd tcp6 0 0 :::587 :::* LISTEN 0 3576 2979/tcpserver tcp6 0 0 :::111 :::* LISTEN 0 5692 1751/rpcbind tcp6 0 0 :::80 :::* LISTEN 0 5999 2982/httpd tcp6 0 0 :::465 :::* LISTEN 0 4602 2993/tcpserver tcp6 0 0 :::21 :::* LISTEN 65534 3574 2989/proftpd: (acce tcp6 0 0 :::25 :::* LISTEN 0 9678 3015/tcpserver tcp6 0 0 :::37050 :::* LISTEN 102 5710 1783/rpc.statd tcp6 0 0 :::443 :::* LISTEN 0 6003 2982/httpd tcp6 0 0 :::993 :::* LISTEN 0 10764 2994/tcpserver tcp6 0 0 :::1601 :::* LISTEN 0 4559 2720/sshd tcp6 0 0 :::995 :::* LISTEN 0 10762 2992/tcpserver udp 0 0 0.0.0.0:60171 0.0.0.0:* 102 5701 1783/rpc.statd udp 0 0 0.0.0.0:111 0.0.0.0:* 0 5681 1751/rpcbind udp 0 0 0.0.0.0:654 0.0.0.0:* 0 5684 1751/rpcbind udp 0 0 127.0.0.1:687 0.0.0.0:* 0 5695 1783/rpc.statd udp6 0 0 :::52861 :::* 102 5707 1783/rpc.statd udp6 0 0 :::111 :::* 0 5688 1751/rpcbind udp6 0 0 :::654 :::* 0 5691 1751/rpcbindCode
Alles anzeigen[20:02][root@qonos:~]# nmap localhost Starting Nmap 6.00 ( http://nmap.org ) at 2016-04-30 20:02 CEST Nmap scan report for localhost (127.0.0.1) Host is up (0.0000060s latency). Not shown: 989 closed ports PORT STATE SERVICE 21/tcp open ftp 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 465/tcp open smtps 587/tcp open submission 993/tcp open imaps 995/tcp open pop3sVerbindung klappt mit Thunderbird nur mit pop3s und smtps ... imaps verweigert den Dienst. Etwas unschön auch das ich als Mailserver jetzt nur provider.tld nutzen kann selbst wenn ich im DNS für mail
CodeIN MX 10 provider.tldangebe gibt es eine Warnung wegen Host mismatch. Auch FTP funktioniert nicht mit SSL.
Edit: Das proftpd problem konnte ich schon etwas eingrenzen. Bei SSL Verbindungen scheint er in den passive mode zu gehen. Die Firewall lässt natürlich keine Portrange zu. Der normale Verbindungsaufbau dagegen funktioniert.
Hier Thunderbird mit imaps: