Keine TLS Verschlüsselung bei IMAP und POP3

Hallo zusammen,

ich verwende die aktuelle Serverumgebung zusammen mit pdadmin. Ich bekomme jetzt Abuse-Warnungen vom BSI mit dem Hinweis, das der Server keine TLS Verschlüsselung bei IMAP und POP3 verwendet. Kann mir bitte jemand sagen, wo ich das aktiviere in der Konfiguration? Ich dachte das wäre standardmäßig aktiv, bin nicht so bewandert mit dem Mailversand Thema. Wäre schön wenn mir jemand sagen könnte wo man das aktiviert bzw. konfiguriert, danke!

Gruß
Stefan

Ein gültiges Zertifikat von Let's Encrypt ist aktiviert, die eigentliche Webseite ist SSL verschlüsselt, da ist alles OK. Es geht nur um Mail. Die Mail vom BSI enthält folgendes:

> Sehr geehrte Damen und Herren,
>
> IMAP (Internet Message Access Protocol) ist ein Protokoll für den Zugriff
> auf E-Mails auf einem E-Mail-Server. Üblicherweise wird die Verbindung
> zwischen Client und E-Mail-Server dabei mittels TLS verschlüsselt.
> Alternativ kann zunächst eine unverschlüsselte Verbindung aufgebaut und
> anschließend mit der Erweiterung "STARTTLS" in den verschlüsselten Modus
> gewechselt werden.
>
> IMAP kennt verschiedene Mechanismen zur Authentifizierung.
> Bei den Mechanismen "PLAIN" und "LOGIN" werden die Anmeldedaten
> (Benutzername und Passwort) im Klartext (nur Base64-kodiert) übertragen.
>
> Bietet der Server keine TLS-verschlüsselten Verbindungen an und stellt
> lediglich die Authentifizierungsmechanismen "PLAIN" und "LOGIN" zur Verfügung,
> muss der Client die Anmeldedaten im Klartext an den Server senden.
> Dabei besteht die Möglichkeit, dass Angreifende die Anmeldedaten mitschneiden
> und unberechtigten Zugriff auf E-Mail-Konten erlangen können.
>
> CERT-Bund empfiehlt dringend, die Konfiguration des IMAP-Servers so anzupassen,
> dass eine Authentifizierung mittels "PLAIN" oder "LOGIN" nur bei bestehenden
> TLS-Verbindungen möglich ist.
> Wird der IMAP-Server nicht mehr benötigt, sollte er deaktiviert werden.
>
> Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem Netzbereich,
> unter denen zum angegebenen Zeitpunkt (Zeitstempel UTC) IMAP-Server
> identifiziert wurden, die keine verschlüsselte Authentifizierung anbieten.
>
> Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur
> Absicherung der Systeme zu ergreifen bzw. Ihre betroffenen Kunden
> entsprechend zu informieren.
>
> Diese E-Mail ist mittels PGP digital signiert.
> Informationen zu dem verwendeten Schlüssel finden Sie unter:
> <https://reports.cert-bund.de/digitale-signatur>
>
> Bitte beachten Sie:
> Dies ist eine automatisch generierte Nachricht. Antworten an die
> Absenderadresse <reports@reports.cert-bund.de> werden NICHT gelesen
> und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
> unter Beibehaltung der Ticketnummer [CB-Report#...] in der
> Betreffzeile an <certbund@bsi.bund.de>.
>
> Betroffene Systeme in Ihrem Netzbereich:
>
> Format: ASN | IP | Timestamp (UTC) | Port
>  24940 | 1xx.2xx.7x.3x | 2026-01-06 20:25:21 | 143

Die gleiche Mail erhalte ich auch noch für POP3.

Es ist nur die Stand Serverumgebung und pd-admin per default installiert. Wieso ist dann kein TLS aktiviert?

Danke!

Gruß
Stefan

Nein da wird nichts angezeigt.

root@debian ~ # netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      565/dovecot
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1228/sshd: /usr/sbi
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      565/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      565/dovecot
tcp6       0      0 :::443                  :::*                    LISTEN      567/httpd
tcp6       0      0 :::21                   :::*                    LISTEN      572/proftpd: (accep
tcp6       0      0 :::22                   :::*                    LISTEN      1228/sshd: /usr/sbi
tcp6       0      0 :::25                   :::*                    LISTEN      568/tcpserver
tcp6       0      0 :::80                   :::*                    LISTEN      567/httpd
tcp6       0      0 :::587                  :::*                    LISTEN      570/tcpserver
root@debian ~ #

Beim Ausführen erhalte ich dann folgende Ausgabe:

root@Debian-bookworm /opt/pdadmin/bin # ./update_host_certific                                                         ate.sh
+ '[' '' == '' ']'
++ /opt/pdadmin/bin/hostname.pl
+ H=111.222.30.19
+ test -e /opt/pdadmin/etc/mailserver.conf
+ test -e /opt/pdadmin/sslcerts/111.222.30.19-key
+ echo '/opt/pdadmin/sslcerts/111.222.30.19-key not found'
/opt/pdadmin/sslcerts/111.222.30.19-key not found
+ echo 'usage: ./update_host_certificate.sh <hostname>'
usage: ./update_host_certificate.sh <hostname>
+ exit 1

Was soll mir das jetzt sagen? Die IP hab ich abgeändert.

Gruß
Stefan

Mit Hostname ist der lokale hostname des Servers gemeint? Der heisst einfach nur "Debian-bookworm".

Es ist einfach ein Rootserver, den ich über eine fixe IP erreiche. Dort ist die SEU und pdadmin installiert. Im PDadmin ist ein customer angelegt mit einer einzigen Domain. Diese Webseite auf dieser Domain funktioniert auch und ist SSL verschlüsselt mit LetsEncrypt Zertifikat. Aber bei POP3 und IMAP ist kein TLS aktiv. Du meinst ich muss jetzt den Hostnamen des Servers ändern und das Script nochmal laufen lassen?