nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

  • Ich begrüße die Entwicklung der letzten Tage bezüglich der Einschränkung des Mailversandes und hoffe auf eine baldige Implementierung der selben Funktion in php - sendmail.


    Ich wünsche mir jetzt nur noch eine einfache Möglichkeit (HowTo oderWiki) wie man zB Forward Secrecy implementiert sowie SSL für Mails.


    Es gibt einige HowTos hier, die aber alle relativ alt sind und teilweise auch unvollständig, bzw. man weis nicht bei welcher Version das so sicher funktioniert.

  • Mit den aktuellen Versionen von pd-admin (4.21+) und der Serverumgebung (0.236+):


    Um pd-admin mit HTTPS zu schuetzen, speichern Sie Ihr SSL-Zertifikat unter /opt/pdadmin/sslcerts/$hostname-{key,cert,cacert}
    $hostname ist dabei der pd-admin-Hostname, also die Ausgabe von /opt/pdadmin/bin/hostname.pl. Das Zertifikat muss natürlich auch auf diesen Hostnamen ausgestellt sein.


    Danach fuehren Sie das Skript /opt/pdadmin/bin/httpd_vhosts.pl aus.


    Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).
    EDIT 02.03.2016: Courier IMAP wurde inzwischen durch Dovecot ersetzt. Ein aktuelles Skript gibt es hier: http://download.pd-admin.de/dc-ssl-install.sh
    EDIT 02.05.2016: ci-ssl-install.sh darf auf einer aktuellen Installation mit Dovecot nicht ausgefuehrt werden.


    Was die FS angeht, empfehlen wir die folgende Konfiguration (einzutragen in /usr/local/pd-admin2/conf/httpd.conf-template):


    Code
    1. SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    2. SSLProtocol All -SSLv2 -SSLv3
    3. SSLCompression Off
    4. SSLHonorCipherOrder on

    Viele Grüße
    Daniel Bradler


    Edit 03.12.2014: SSLv3 wegen Sicherheitsproblemen entfernt
    Edit 21.05.2015: SSLCipherSuite aufgrund von Logjam angepasst

  • TOLLE FRAGE!
    und TOLLE Antwort!


    vielen Dank!


    dass es mittlerweile ein Script für Mail-SSL gibt wusste ich nicht - spielte mich bis jetzt noch immer mit der einrichtung auf einer Testumgebung!


    Besten Dank! :) :]

  • Hallo,


    Zitat

    Original von Daniel Bradler
    Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).


    ich habe das probiert, jedoch funktioniert das nicht mit Thunderbird und KMail. Beide sind der Meinung, das bei IMAP nur der Port 143 funktioniert. Wenn ich per Hand SSL mit den Port 993 angebe, erscheint die Meldung, dass die Verbindung zum IMAP-Server nicht hergestellt werden konnte.


    Bei nmap IP erscheint folgendes


    woran kann das liegen?


    In der mail.log erscheint kein Eintrag!?


    mfg
    Twilo


    EDIT:
    Hat sich erledigt, ich hatte ausversehen den encrypted Key nach /opt/pdadmin/sslcerts kopiert.
    Mit ist das nur aufgefallen, da in der syslog ständig folgende Zeilen auftauchten:

    Code
    1. Apr 27 06:23:58 XX smtpd: 1398572638.993056 Enter PEM pass phrase:
    2. Apr 27 06:23:59 XX smtpd: 1398572639.945105 Enter PEM pass phrase:tcpserver: status: 26/40
    3. Apr 27 06:24:42 XX smtpd: 1398572682.697516 Enter PEM pass phrase:Enter PEM pass phrase:tcpserver: status: 28/40


    Könnte das Installationsscript nicht überprüfen, ob ausversehen der encrypted Key nach /opt/pdadmin/sslcerts kopiert wurde?

  • also ich habe mit der ci-ssl-install keine probleme bekommen, alles ohne probleme funktioniert...


    hast du den auch die server adresse als serveradress bei Thunderbird usw genommen? also die adresse die auch ssl zertifikat hat?

  • Zitat

    Original von Shackattack
    ... und wie siehts mit dovecot aus?


    Oder soll uns diese Ausage einfach nur sagen: Dumm gelaufen


    Im wesentlichen habe ich die Frage von kai beantwortet, dem anscheinend nicht klar war, dass das Skript nicht verwendet werden kann, wenn Dovecot benutzt wird. Ich hatte das bislang leider nicht erwaehnt.


    Falls Sie eine Konfigurationsanleitung fuer Dovecot suchen (Ihre Frage ist leider alles andere als praezise), liefert Google bei der Suche nach "Dovecot SSL" als zweiten Treffer die folgende Anleiitung:


    http://wiki2.dovecot.org/SSL/DovecotConfiguration

  • Kann es sein das ich mit dem ci-ssl-install Script ein open relay erzeuge?
    Mir kommt es so vor als ob jemand unerlaubt Mails einliefert.


    Return-Path: <stefan.herold@domain1.de>
    X-PDA-ORIGIN: vserver0601.onit4u.de
    Received: (qmail 20765 invoked from network); 4 Jun 2014 05:35:28 -0000
    Received: by simscan 1.4.0 ppid: 20733, pid: 20755, t: 3.3719s
    scanners: clamav: 0.98.3/m:55/d:19057
    Received: from unknown (HELO ???????-??) (stefan.herold@81.195.115.115)
    by 0 with ESMTPS (AES128-SHA encrypted); 4 Jun 2014 05:35:25 -0000
    From: "Online Mahnung" <stefan.herold@domain1.de>
    To: "Karsten.P" <Karsten.P@domain-extern.de>
    Subject: =?utf-8?q?Lastschrift konnte nicht durchgef=C3=BChrt werden 04.06.2014 Konto?=
    Date: Wed, 4 Jun 2014 05:32:45 GMT
    Message-ID: <00128fe0.1a4e946579aeec49@ÌÓËÜÌÀÍ-ÏÊ>
    Mime-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_00B0_7247614B.18EE0D94"


    ------=_NextPart_000_00B0_7247614B.18EE0D94
    Content-Type: text/html

  • Zitat

    Um pd-admin mit HTTPS zu schuetzen, speichern Sie Ihr SSL-Zertifikat unter /opt/pdadmin/sslcerts/$hostname-{key,cert,cacert} ($hostname ist dabei der pd-admin-Hostname). Danach fuehren Sie das Skript /opt/pdadmin/bin/httpd_vhosts.pl aus.


    Das habe ich getan und mir damit (logischerweise) das bereits auf der Haupt-IP konfigurierte SSL-Zertifikat für einen Domain _deaktiviert_.


    Das dort so abgelegt Zertifikat taucht ja auch nicht in der Admin-Oberfläche auf, so dass man aufpassen muss, dass man kan Zertifikat auf die Haupt-IP konfiguriert. richtig(?)

  • Zitat

    Original von monderka
    Kann es sein das ich mit dem ci-ssl-install Script ein open relay erzeuge?


    via

    Code
    1. openssl s_client -crlf -connect localhost:465

    getestet.

    Code
    1. 550 sorry, SMTP-AUTH is required to use the MSA port (#5.7.0 - chkauth)
    2. 535 authorization failed (#5.7.0)


    Auf vserver0601.onit4u.de sieht es auch so aus.
    Evtl. Passwortklau?

  • Zitat

    Original von kai
    Das habe ich getan und mir damit (logischerweise) das bereits auf der Haupt-IP konfigurierte SSL-Zertifikat für einen Domain _deaktiviert_.


    Das dort so abgelegt Zertifikat taucht ja auch nicht in der Admin-Oberfläche auf, so dass man aufpassen muss, dass man kan Zertifikat auf die Haupt-IP konfiguriert. richtig(?)


    Ja, danke für den Hinweis. Es darf kein anderes Zertifikat auf der Haupt-IP-Adresse aktiv sein.


    Viele Grüße
    Daniel Bradler