nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

  • du hast das selbe problem wie ich,
    imap ist durch Courier bereitgestellt/verwaltet und nicht durch dovecot


    ich habe einfach die courier-imap-ssl und courier-pop3-ssl aus services rausgelöscht und server gestartet, danach lief dovecot wieder normal
    Mailing funktioniert nicht


    irgendwas machen die beiden scripte falsch oder zu viel wenn man die nach einander ausführt

  • sieht so aus wie bei mir:


    die alten server:



    der grade neu aufgesetzte der keinen Mailserver nutzt:


  • Das proftpd problem konnte ich schon etwas eingrenzen. Bei SSL Verbindungen scheint er in den passive mode zu gehen. Die Firewall lässt natürlich keine Portrange zu. Der normale Verbindungsaufbau dagegen funktioniert.

  • hast dein problem mit anmeldung gelöst?


    mxtools meldet immer noch zu lange zeiten:

    Code
    SMTP Connection Time 	7.985 seconds - Warning on Connection time
    SMTP Transaction Time 	10.610 seconds - Not good! on Transaction Time


    und immer noch ka wie ich es gelöst bekomme


    das ist der aktuell verwendete /service/qmail-smtpd/run

  • Also mxtools sagt bei mir ist alles schick:


    die Verbindungen mit


    pop3
    imap
    smtp
    smtps
    pop3s


    funktionieren nur imaps verweigert die Anmeldung. Softlimit hab ich höher:


    pbl würde ich rausnehmen macht zuviele false positives.


    Mit ftpds komme ich auch nicht weiter. Ein Howto wo man mit iptables das problem mit dem passive mode durch ipcontract umgehen kann hat leider nicht funktioniert.


    /etc/modules

    Code
    ip_conntrack_ftp ports=21,4559


    und iptables:

    Code
    IN_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559" 
    OUT_ALLOWED_TCP="20 21 22 25 53 80 110 143 443 465 993 995 1601 4559" 
    IN_ALLOWED_UDP="53 7878" OUT_ALLOWED_UDP="53" IN_ALLOWED_ICMP=" " 
    OUT_ALLOWED_IMCP=" "


    Mal schauen ob ich den Testserver nochmal neu aufgesetzt bekomme morgen um nochmal nachzuspielen das dc-ssl-install.sh nicht funktioniert.

  • bei proftpd habe ich noch was hinzugefügt damit ssl auch da geht:


    das ist standardmäßig nicht dabei: TLSOptions NoSessionReuseRequired


    was laufen bei dir für dienste? /services

  • Klappt leider nicht:

    Code
    [R] Data Socket Error: Connection timed out [22:23:54] 
    [R] List Error [22:23:54] 
    [R] PASV mode failed, trying PORT mode. [22:23:54] 
    [R] Listening on PORT: 55458, Waiting for connection. [22:23:54] 
    [R] PORT 192,168,78,162,216,162 [22:23:54] 
    [R] 200 PORT command successful [22:23:54] 
    [R] MLSD [22:24:57] [R] 425 Unable to build data connection: Connection timed out [22:24:57] 
    [R] 550 MLSD: Connection timed out [22:24:57] 
    [R] List Error


    tls.log:

    Code
    2016-05-03 22:55:21,102 mod_tls/2.6[15464]: SSL/TLS required but absent for authentication, denying USER comm$
    2016-05-03 22:55:31,340 mod_tls/2.6[15465]: SSL/TLS required but absent for authentication, denying USER comm$
    2016-05-03 22:55:34,254 mod_tls/2.6[15469]: SSL/TLS required but absent for authentication, denying USER comm$
    2016-05-03 22:55:44,485 mod_tls/2.6[15470]: SSL/TLS required but absent for authentication, denying USER comm$
    2016-05-03 22:59:09,243 mod_tls/2.6[15638]: TLS/TLS-C requested, starting TLS handshake
    2016-05-03 22:59:09,383 mod_tls/2.6[15638]: client supports secure renegotiations
    2016-05-03 22:59:09,383 mod_tls/2.6[15638]: TLSv1 connection accepted, using cipher ECDHE-RSA-AES256-SHA (256$
    2016-05-03 20:59:11,504 mod_tls/2.6[15638]: Protection set to Private


    die services sind:

  • bei services, hast du immer noch die beiden courier, lösch die beiden und dann starte neue, imap wird dann laufen


    bei proftpd, wo kommt der erste Ausschnitt her? die logs oder was es ist

  • Abschnitt 1 ist der FTP Client.


    So jetzt hab ich

    Code
    courier-imap-ssl 
    courier-pop3-ssl


    gelöscht und reboot durchgeführt


    nmap sagt wieder das pop3s und imaps nicht verfügbar sind:


    ein update auf die neue SE und erneutes ausführen von dc-ssl-install.sh bringt keine Besserung.


    (Übrigens danke für die Richtigstellung im Eingangsthread Herr Bradler)

  • das ist aber dann interessant
    den das bedeutet das der dovecot doch nicht ganz richtig eingerichtet ist


    das ci script erzeugt ja diese beiden:
    courier-imap-ssl
    courier-pop3-ssl


    und dc script sollte dovecot einrichten, oder umstellung oder was auch immer


    schau mal in die dovecot config, bei mir waren die ssl einträge da auch auskommentiert zwischendurch

  • Deswegen hab ich das dc script ja auch nochmal ausgeführt. Und es funktioniert auf 3 getesteten servern nicht.


    am ende von /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/conf.d/10-ssl.conf

    Code
    ssl = no
  • mach es an


    sind die zertifikate da auch mit dabei?
    bei mir waren die 3 oder 4 zeilen alle auskommentiert, also das ssl = yes und die zertifikate


    so sieht es bei mir am ende jetzt aus:

    Code
    ssl = yes
    ssl_key = </usr/local/pd-admin2/share/imapd.pem
    ssl_cert = </usr/local/pd-admin2/share/imapd.pem
    ssl_ca = </usr/local/pd-admin2/share/imapd.cacert
  • Funktioniert. Danke Herr Bradler und einen schönen Feiertag :]


    Kleiner Hinweis noch: das Script sollte abfragen ob der service /service/dovecot/ oder /service/dovecot22/ ist. Auf den alten Systemen sind bei mir die services dovecot.


    Da das SSL Zertifikat ja unter subdomain.provider.tld läuft meldet Thunderbird auf allen Domains (auch bei ungesicherter Verbindung) einen hostname mismatch. Wenn man als Mailserver subdomain.provider.de eingibt funktioniert es. Ist es möglich das über DNS Einstellungen zu übergehen?


    Aktuell habe ich es versucht mit:


    Und als kleine Verständnissfrage. Ist es richtig das das Passwort noch klartext übergeben wird? Ich hab es jetzt noch nicht in eine VM ge wiresharkt aber wenn ich testweise das Passwort mal falsch eingebe bekomme ich das Passwort Klartext im mail.log angezeigt:


    Code
    May  5 12:09:07 qonos pdadmin[6262]: User ssltest@kundendomain.tld: smtp-auth login failed from 37.xx.xx.xxx (wrong password: ▒xxxxxxxxxxxx00, $1$5xxxxnIF$GxDxxxxxxxxxxxPBxxxxxx)


    Hier noch die hostname mismatch Meldung:

  • Also, nachdem heute unsere fünfjährigen Zertifikate endgültig ausgelaufen sind habe ich es mit dem ci-ssl-install und dc-ssl-install einfach probiert...


    Soweit erstmal problemlos, ABER:
    im /var/qmail/control/servercert.pem werden die Zertifikate nicht richtig getrennt.
    An einer stelle ist das Ende und der Anfang in einer Zeile.


    Das führt dazu das keine smtp-auth über SSL mehr möglich ist.


    Diese Änderung musste ich auf allen Systemen manuell machen und dann den /service/qmail-smtpSd nochmal neu starten.

  • Hallo zusammen,


    ich muss dieses problematische Thema leider noch einmal aufgreifen - sorry!


    Ich habe gestern meinen Server umgezogen (neuer Provider, neue IP, etc.). Dem Server habe ich den gleicher Servernamen verpasst. Somit habe ich alle Zertifikate mitgenommen und an die entsprechenden Stellen gelegt.


    Die Absicherung per SSL / HTTPS hat problemlos geklappt, nur das für's Mailing nicht. Ich habe nach der Installation wie beschrieben das dc-ssl-install.sh heruntergeladen und ausgeführt. Hier ist kein Fehler aufgetaucht...


    Siehe Ausgabe:


    Nach einem Neustart der Dienste, oder auch des kompletten Servers habe ich versucht eine Mailadresse per SSL in Outlook einzufügen. Hier bekomme ich die Fehlermeldung, dass keine gesicherte Verbindung hergestellt werden kann.


    Als Server habe ich s1.itsdo.de eingetragen, wie ich es vorher auf dem alten Server auch gemacht hatte. Ich habe die Einstellungen identisch übernommen. Ich habe lediglich die IP Adresse des Servers im DNS der Domain (Provider) geändert.


    Was mache ich hier falsch? Es kommt einfach keine Verbindung zustande. Wenn ich allerdings mail.itsdo.de als Server eintrage, bekomme ich die Meldung, dass das Zertifikat auf s1.itsdo.de ausgestellt ist und ob ich fortfahren möchte. Das ist doch nicht korrekt oder?


    Ein nmap gibt folgendes zurück:


    Und ein netstat das hier:


    Der Port 465 nur auf tcp6 ist auch merkwürdig, finde ich, oder?
    Vielen Dank im Voraus, für eure Hinweise und Hilfe.