pdadmin-forum

pdadmin-forum » Information » HowTo's » SSL-Verschlüsselung für Imap, Pop3, smtp » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (3): « vorherige 1 [2] 3 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen SSL-Verschlüsselung für Imap, Pop3, smtp
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
incunabulum
Mitglied


Dabei seit: 01.10.2006
Beiträge: 165

Themenstarter Thema begonnen von incunabulum
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:

OK, wenn du ganz sicher sein willst was da passiert, dann musste da mal ein strace mitlaufen lassen und dir dort die Aufrufkette ansehen. Kann ja durchaus sein, dass das mit deiner Config kein Problem ist.


Mag wirklich so sein... auch mit strace komm ich hier nicht wirklich dahin, dein Problem nachzuvollziehen. Ich werde dem bei Gelegenheit mal weiter nachgehen.


Zitat:

Ich habe die alte Krücke Relaylock wirklich nur bei Port 25 mit drin.
Bei den anderen Ports macht das eigentlich keinen Sinn, weil die User dort ja eh gezwungen werden User/PW zu nutzen.

Relaylock macht an für sich bei SMPTS wirklich keinen Sinn, wo ich ja sowieso schon verschlüsselt und authentifiziert versenden kann. Insofern ist dies bei uns wirklich aus historischen Gründen drin wie auch aus dem Grund, dass SMPTS bei unserem Server - aus welchen Gründen immer - nicht nachgefragt wird. Das mag man aber auch daran festmachen, dass die entsprechende Maschine keine kommerziellen Kunden sieht.

Zitat:

Was mir noch einfällt. Welche Version von stunnel hast du denn überhaupt im Einsatz?
Das Problem tritt nur auf bei Versionen zwischen 4.0 und 4.45.

Wir setzen Debian ein. Insofern ist die Version durchaus betroffen.
Wenn man also noch eine gaaaanz alte 3er Verion hat, dann gibts auch kein Problem.[/quote]
26.11.2011 20:48 incunabulum ist offline E-Mail an incunabulum senden Beiträge von incunabulum suchen Nehme incunabulum in Deine Freundesliste auf
cocoon
Mitglied


images/avatars/avatar-26.gif

Dabei seit: 01.10.2012
Beiträge: 10
Herkunft: Berlin

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Sehr hilfreicher Thread, danke!

__________________
Nur wer im Dunklen schießt, trifft immer ins Schwarze.
24.10.2012 17:44 cocoon ist offline E-Mail an cocoon senden Beiträge von cocoon suchen Nehme cocoon in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 304

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Tag zusammen,

nachdem ich nun (endlich) SSL Verschlüsselung für IMAP, POP & SMTP einführen möchte wollte ich mich erkundigen, ob man diesen Thread mit den aktuellen Versionen der SE und pdAdmin auch noch als Anleitung nehmen kann, oder eher nicht mehr?

Wenn jemand noch Ergänzungen zu diesem How-To hat wäre ich dankbar.

__________________
Beste Grüße,
Patrick

secBIT.at | secure business information technologies
_ Server @ Interxion DC Vienna _
_ Jiffybox CloudServer @ DF.eu _
07.08.2013 12:27 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
incunabulum
Mitglied


Dabei seit: 01.10.2006
Beiträge: 165

Themenstarter Thema begonnen von incunabulum
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Sollte nach wie vor gehen.
07.08.2013 12:37 incunabulum ist offline E-Mail an incunabulum senden Beiträge von incunabulum suchen Nehme incunabulum in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 304

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Danke!
die konfiguration hat geklappt - zumindest sehe ich keine fehler in den Logs... - was ich hatte war:
code:
1:
/etc/stunnel/stunnel.pem: No such file or directory

Was ich aber mit einem eintrag in der "stunnel.conf" auf die mail.pem gesetzt habe...

könnt ihr mir sagen, ob das so in ordnung ist? sind im prinzip die configs...

netstat -tulpe:
code:
1:
2:
3:
4:
5:
tcp6       0      0 [::]:ssmtp              [::]:*                  LISTEN      root       4908        1366/tcpserver  
tcp6       0      0 [::]:ftp                [::]:*                  LISTEN      nobody     5144        1351/proftpd: (acce
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      root       4444        1251/sshd       
tcp6       0      0 [::]:imaps              [::]:*                  LISTEN      root       4983        1343/tcpserver  
tcp6       0      0 [::]:pop3s              [::]:*                  LISTEN      root       4897        1338/tcpserver 

Das Problem ist aber, dass die ports nicht erreichbar sind von extern...!

smtps:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
#!/bin/bash

QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
HOSTNAME=`hostname -f`

if [ "$HOSTNAME" == "" ]; then
    echo "Kein Hostname gesetzt."
    exit 11
fi

exec /usr/local/bin/softlimit -m 30000000 /usr/local/bin/tcpserver -x /etc/tcp.smtp.cdb -h -P -R -u $QMAILDUID -g $NOFILESGID -c 40 -v 0 ssmtp /usr/bin/stunnel -f -f /usr/local/pd-admin2/share/smtp.pem -l /var/qmail/bin/tcp-env relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd $HOSTNAME /bin/checksmtppasswd /bin/true 2>&1 | /var/qmail/bin/splogger smtpd 3


imaps:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
#!/bin/sh

HOSTNAME=`hostname --fqdn`
rm -rf ./env/*;
mkdir -p env
cd env
cat /usr/local/pd-admin2/etc/imapd | ../envconv
cat /usr/local/pd-admin2/etc/imapd-ssl | ../envconv
cd ..
exec 2>&1
exec /usr/local/bin/envdir ./env/ \
        /usr/local/bin/softlimit -m 9000000 \
        /usr/local/bin/tcpserver -v -R -H -l $HOSTNAME 0 993 \
        /usr/local/pd-admin2/bin/couriertls -server -tcpd \
        /usr/local/pd-admin2/sbin/imaplogin \
        /usr/local/pd-admin2/bin/imapd Maildir


Änderungen in imapd-ssl: Anpassung Pfad der PEM-Datei - müsste doch reichen, oder?

Problem mit SSL: im daemon.log steht: Enter pem passphrase ... ist das normal? grundsätzlich sollte da keine abgefragt werden...!

Zur Sicherheitsfrage:
jetzt aber eine Frage - Debian sagt mir, dass 4.29 von STUNNEL installiert ist..
Wenn der Fehler bis 4.45 existierte - wäre es da nich Sinnvoll manuell ein Update von stunnel einzuspielen? ODer gibt es hoffnung, dass debian das Paket aufnimmt?

Ich hätte mal die aktuellste Version kompiliert - würde es reichen die "alte" stunnel mit der neu kompilierten stunnel zu ersetzen?
Wie könnte man sich sonst helfen, damit man kein "ssmtp relay" ist?

Ich tu mir mit diesen run-scripten ein bisschen schwer - und hoffe mal wieder auf Hilfe..! Danke!

__________________
Beste Grüße,
Patrick

secBIT.at | secure business information technologies
_ Server @ Interxion DC Vienna _
_ Jiffybox CloudServer @ DF.eu _

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von riedlit: 31.10.2013 09:23.

30.10.2013 23:53 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
kai
Mitglied


Dabei seit: 20.05.2006
Beiträge: 52

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

In Debian lenny und squeeze in /usr/bin/stunnel folgendes fixen:

Das hier auskommentieren
code:
1:
#print("exec = $opt_l\n") if defined $opt_l;#print("execargs = " . join(' ', @ARGV) . "\n") if @ARGV;


Und stattdessen das hier rein
code:
1:
print("exec = $opt_l\nexecargs = " . join(' ', $opt_l, @ARGV) . "\n") if defined $opt_l;


Dann frisst der Wrapper nicht das zweite Argument hinter -l
31.05.2014 00:17 kai ist offline E-Mail an kai senden Beiträge von kai suchen Nehme kai in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 223

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

wo setzt man eigentlich protocol version bei mails fest?
aktuell sollte ja SSLv3 nicht verwendet werden, nur wo werde ich es los?
19.10.2014 23:15 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 223

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

weiß keiner wo die configs alle liegen?
um protokol version für ssl einzustellen?
http://www.heise.de/security/meldung/SSL...en-2429414.html
24.10.2014 22:12 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 223

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

sagt keiner was dazu?
nicht so wichtig oder hat keiner eine Lösung?
29.10.2014 01:36 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.235

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Wenn Sie die von uns empfohlene Variante nutzen (also nicht die hier beschriebene mit stunnel) koennen Sie die Einstellung in /usr/local/pd-admin2/etc/imapd-ssl vornehmen:

##NAME: TLS_PROTOCOL:0
#
# TLS_PROTOCOL sets the protocol version. The possible versions are:
#
# OpenSSL:
#
# SSL3 - SSLv3
# SSL23 - all protocols (including TLS 1.x protocols)
# TLS1 - TLS1
# TLSv1.1 - TLS1.1
# TLSv1.2 - TLS1.2
#
# Leave it unset to use any protocol except SSL 2.

Die Dienste muessen anschliessend neu gestartet werden.
29.10.2014 09:53 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
Seiten (3): « vorherige 1 [2] 3 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » Information » HowTo's » SSL-Verschlüsselung für Imap, Pop3, smtp

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de