Log-Einträge seit Dovecot 2.3

  • OS: Debian GNU/Linux 11 (bullseye)

    SE: 8 0.448

    pd-admin: v4.121 (64-bit)


    Code
    Aug 21 20:48:42 XXX qmail: 1724266122.330359 delivery 9: success: lda(XXXXXXXX):_Error:_net_connect_unix(/usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/stats-writer)_failed:_Permission_denied/did_0+0+2/
    Code
    > ls -lha /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/stats-writer
    srw-rw---- 1 root dovecot 0 Aug 21 20:48 /usr/local/pd-admin2/dovecot-2.2/var/run/dovecot/stats-writer

    wie müssen die Berechtigungen richtig aussehen?

  • Wir haben ein Skript veroeffentlicht, das dieses und weitere Probleme behebt. Siehe Ankeundigung ueber die Mailingliste.


  • jetzt erhalte ich folgende Meldung in der mail.log

    Code
    Aug 22 07:53:50 XXX dovecot: imap-login: Error: Failed to initialize SSL server context: Can't load DH parameters (ssl_dh setting): error:0A00018A:SSL routines::dh key too small: user=<>, rip=2003:ca:5732:5600:xxx:xxx:xxx:xxx, lip=2a01:4f8:xxx:xxx::1, session=<iPZ0SD8g7p4gAwDuVzJWfO4x+XXXXXXX>
  • You are encouraged to create at least 2048 bit parameters. 4096 is industry recommendation

    Der Inhalt von /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem sieht nach einem 1024 Key aus …


    nachdem ich ein 4096 Key erzeugt habe und das in der Datei 10-ssl.conf bei ssl_dh angegeben habe, kommt der Fehler nicht mehr

    Code
    /usr/local/pd-admin2/bin/openssl dhparam -2 -out /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh_4096.pem 4096

    Das SSL-Zertifikat wird jedoch nicht akzeptiert. Bei https://www.immuniweb.com/ssl/ erscheint folgende Meldung:

    Zitat

    Intermediate certificate is not provided by the server.

  • Der Inhalt von /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem sieht nach einem 1024 Key aus …

    Bei mir auch. Wo kommt dieser Key eigentlich her? Ich war bisher immer der Meinung dass alle relavanten Keys und Certs durch die entsprechenden Cronjobs aus meinen Server Zertifikatsdateien (/opt/pdadmin/sslcerts/hostname-*) generiert werden.

  • Bei mir auch. Wo kommt dieser Key eigentlich her? Ich war bisher immer der Meinung dass alle relavanten Keys und Certs durch die entsprechenden Cronjobs aus meinen Server Zertifikatsdateien (/opt/pdadmin/sslcerts/hostname-*) generiert werden.

    Die Datei /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem wird durch den Hotfix überschrieben; die Originaldatei sieht nach einem 2048 Key aus.

  • Das SSL-Zertifikat wird jedoch nicht akzeptiert. Bei https://www.immuniweb.com/ssl/ erscheint folgende Meldung:

    In der vom Hotfix dovecot-v1.15.sh (Zeile 143) generierten Konfigurationsdatei 10-ssl.conf wird zwar der Parameter ssl_ca gesetzt, nur wird das Zertifikat aufgrund des fehlenden Intermediate Zertifikats trotzdem nicht akzeptiert.


    In der Datei /opt/pdadmin/bin/update_host_certificate.sh wird die Datei imapd.pem wie folgt erzeugt:

    Bash
    touch /usr/local/pd-admin2/share/imapd.pem
    chown qmaild:nofiles /usr/local/pd-admin2/share/imapd.pem
    chmod 440 /usr/local/pd-admin2/share/imapd.pem
    cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
    ln -sf /usr/local/pd-admin2/share/imapd.pem /usr/local/pd-admin2/share/pop3d.pem
    cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert

    Die 4. Zeile ist das Problem. Wenn die Datei wie folgt geändert wird, ist der Fehler weg und die Clients bemängeln das Zertifikat nicht mehr.

    Diff
    --- /opt/pdadmin/bin/update_host_certificate.sh 2024-08-21 12:43:00.000000000 +0200
    +++ /opt/pdadmin/bin/update_host_certificate.sh 2024-08-22 17:58:22.949773590 +0200
    @@ -28,7 +28,7 @@
    touch /usr/local/pd-admin2/share/imapd.pem
    chown qmaild:nofiles /usr/local/pd-admin2/share/imapd.pem
    chmod 440 /usr/local/pd-admin2/share/imapd.pem
    -cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert > /usr/local/pd-admin2/share/imapd.pem
    +cat /opt/pdadmin/sslcerts/$H-key /opt/pdadmin/sslcerts/$H-cert /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.pem
    ln -sf /usr/local/pd-admin2/share/imapd.pem /usr/local/pd-admin2/share/pop3d.pem
    cat /opt/pdadmin/sslcerts/$H-cacert > /usr/local/pd-admin2/share/imapd.cacert
  • Der Inhalt von /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem sieht nach einem 1024 Key aus …

    Sehen ist nicht prüfen ;)

    Bash
    $ openssl dhparam -in /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem -text | head -1
    DH Parameters: (2048 bit)

    Bei mir ergibt das einen 2048bit Key.

    Das SSL-Zertifikat wird jedoch nicht akzeptiert. Bei https://www.immuniweb.com/ssl/ erscheint folgende Meldung:

    Übersehe ich da was? Bei mir wird nur der Webserver und nicht der Mailserver getestet.

    Die 4. Zeile ist das Problem.

    Die Zeile müsste dann doch seit je her ein Problem sein :/

  • Sehen ist nicht prüfen ;)

    Bash
    $ openssl dhparam -in /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem -text | head -1
    DH Parameters: (2048 bit)

    Bei mir ergibt das einen 2048bit Key.

    Code
    root@XXX:~# openssl dhparam -in /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem -text | head -1
    DH Parameters: (1024 bit)

    bei mir 1024


    Übersehe ich da was? Bei mir wird nur der Webserver und nicht der Mailserver getestet.

    Versuche es mal mit HOST:PORT ;)

  • Code
    root@XXX:~# openssl dhparam -in /usr/local/pd-admin2/dovecot-2.2/etc/dovecot/dh.pem -text | head -1
    DH Parameters: (1024 bit)

    bei mir 1024

    Hmm komisch, dass da unterschiedliche Dinge bei heraus kommen. Es wird die openssl Binary aus der SE verwendet? Laut https://doc.dovecot.org/config…on/#ssl-security-settings ist das ein Weg um eine v2.2 Parameter Datei zu konvertieren. Kommt es dann vielleicht durch die ssl-paramter.dat?

    Versuche es mal mit HOST:PORT ;)

    :rolleyes: ach ja... ^^ bei mir ergibt der Test ein A+ und keine Fehler. Einzige was bemängelt wird ist fehlendes OCSP stapling.

  • Habe jetzt mal folgenden Befehl auf mehreren Servern ausgeführt

    Code
    dd if=/usr/local/pd-admin2/dovecot-2.2/var/lib/dovecot/ssl-parameters.dat bs=1 skip=88 status=none |/usr/local/pd-admin2/bin/openssl dhparam -inform der |/usr/local/pd-admin2/bin/openssl dhparam -text |head -1

    Bei 5 von 12 Servern kommt "DH Parameters: (1024 bit)" zurück.


    Und 1024 ist laut Doku zu wenig …


    Der Hotfix sollte prüfen, ob aus der Datei ssl-parameters.dat ein 1024 Bit Key erzeugt wird oder min ein 2048 Bit Key erzeugt werden kann.

  • Das ist sicherlich nicht verkehrt. Dennoch wäre es interessant zu wissen, wieso dies auftritt.

    Was passiert wenn man ssl-parameters.dat austauscht? Also auf einem der Server, wo ein 1024bit Key erzeugt wird, ersetzen, durch eine Datei von einem Server, wo ein 2048bit Key erzeugt wird.

  • Ich bin ausnahmsweise etwas verunsichert was die Vorgehensweise nun angeht.


    Ich habe einen Host, bei dem ich das quasi "unglückliche" SEU Update eingspielt habe. Das Hotfix Script hab ich hier bisher nicht angewendet aufgrund der gemeldeten Fehler und da auf diesem Host ohnehin kein E-Mail verwendet wird. Verstehe ich richtig dass ich hier nun einfach die neue Serverumgebung drüber nageln muss? Oder trotzdem auch das Hotfix Script?


    Bei Servern wo bisher kein dovecot relevantes Update gemacht wurde, genügt ebenfalls die aktuelle Version, ohne Hotfix Script?