Hallo,
ich habe ein bisschen das problem mit dem SSL bei Dovecot und kann mit Thunderbird auch nicht connecten.
wie erstelle ich am besten ein SSL Certificate for Postfix/Dovecot ? und gibt es auch eine kostenlose Lösung?
Ich möchte die Email ja nur für mich nutzen.
SSL für Dovecot
Re: SSL für Dovecot
Hi.
Du kannst ein Self-Signed Cert erstellen und auch auf deinem Rechner installieren, falls das nötig ist:
http://wiki.dovecot.org/SSL/CertificateCreation
Du kannst ein Self-Signed Cert erstellen und auch auf deinem Rechner installieren, falls das nötig ist:
http://wiki.dovecot.org/SSL/CertificateCreation
Georg
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft
RTFM, LMGTFY, Orakel... Ach... Warum muss man suchen...
Schrödingers Backup --- "Der Zustand eines Backups ist unbekannt, solange man es nicht wiederherstellt" --- Quelle: Nixcraft
Re: SSL für Dovecot
habe es auf einem vServer, verstehe nicht ganz was da steht (Mein englisch ist nicht das beste).
Ich finde die dort angegeben dateien auch nicht, habe beide auch mal hochgeladen und die dovecot-openssl.cnf angepasst, die mkcert.sh fand das nicht gut ^^
Ich finde die dort angegeben dateien auch nicht, habe beide auch mal hochgeladen und die dovecot-openssl.cnf angepasst, die mkcert.sh fand das nicht gut ^^
Re: SSL für Dovecot
Zuewrstmal brauchst du ein Zertifikat.
Die sabere Variante: (Nur gegoogelt und überflogen.) Erlabt es dir die CA an einem sicheren Ort aufzubewahren und das Zertifikat bei bedarf auszutuaschen.
http://www.heimpold.de/mhei/mini-howto- ... ellung.htm
Die einfache Variante wenn du das ding eh nur für wenige Maschinen verwendest, wo du kompromitierte Zertifikate bei bedarf von Hand löschen kannst:
Den eigentlcihen Schlüssel erzeugen. server.key sollte dabei geheim bleiben, und nur deinem Server bekannt sein:
Request. Da kannst du angeben was du willst. Wichtig ist nur, dass deine Domain (also die vom Mailserver. Z.B. imap.mydomain.tdl unter Common Name (e.g. server FQDN or YOUR name)) eingetragen wird.
Das eigentliche Zertifikat erzeugen. Gültigkeit 10 Jahre. (3650 Tage) (Kannst du angeben, wie es dir passt.)
server.pem ist nun das Zertifikat. Das musst du in jeden E-Mail client (Thunderbird) importieren. Der Server braucht es ebenfalls. Wenn du auf nummer sicher gehen willst, kannst du in Thunderbird auch alle anderen Zertifikate deaktivieren. (Du willst ja nur von dir holen und nicht von Türktrust oder so.)
Danach die konfiguration von dovecot anpassen:
bettercrypto.org empfiehlt statt der letzten Zeile:
Die Pfade (/etc/dovecot/server.pem und /etc/dovecot/private/server.key) musst du natürlich auf die anpassen, wo du deine Zertifikate liegen hast. Wichtig ist, dass server.key nur von dovecot lesbar ist.
Im allgemeinen eine ganz gute Quelle wenn man ganz paranoid ist:
https://bettercrypto.org/static/applied ... dening.pdf
Die sabere Variante: (Nur gegoogelt und überflogen.) Erlabt es dir die CA an einem sicheren Ort aufzubewahren und das Zertifikat bei bedarf auszutuaschen.
http://www.heimpold.de/mhei/mini-howto- ... ellung.htm
Die einfache Variante wenn du das ding eh nur für wenige Maschinen verwendest, wo du kompromitierte Zertifikate bei bedarf von Hand löschen kannst:
Den eigentlcihen Schlüssel erzeugen. server.key sollte dabei geheim bleiben, und nur deinem Server bekannt sein:
Code: Alles auswählen
openssl genrsa -out server.key 4000Code: Alles auswählen
openssl req -new -key server.key -out server.csrCode: Alles auswählen
openssl x509 -req -days 3650 -in server.csr -signkey server.key -outform pem -sha256 -out server.pem Danach die konfiguration von dovecot anpassen:
Code: Alles auswählen
ssl = yes
ssl_cert = </etc/dovecot/server.pem
ssl_key = </etc/dovecot/private/server.key
ssl_protocols = !SSLv2 !SSLv3
ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL:!MD5:!DSS:!RC4Code: Alles auswählen
# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH\
\+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!\
\eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-\
\SHA:CAMELLIA128-SHA:AES128-SHA
# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes
Im allgemeinen eine ganz gute Quelle wenn man ganz paranoid ist:
https://bettercrypto.org/static/applied ... dening.pdf
rot: Moderator wanne spricht, default: User wanne spricht.
Re: SSL für Dovecot
Noch ein ergänzender Hinweis zu wannes Anleitung:
Diese Anweisung funktioniert erst ab Dovecot 2.2.6 (Debian Wheezy kommt beispielsweise noch mit einer älteren Version)wanne hat geschrieben:Code: Alles auswählen
# Prefer the server's order of ciphers over client's. ssl_prefer_server_ciphers = yes
Re: SSL für Dovecot
Vielen Dank, hat mir sehr geholfen !!!
Ich kann die Emails jetzt abrufen aber keine versenden.
Habe das Problem gelöst !!!!
Ich kann die Emails jetzt abrufen aber keine versenden.
Code: Alles auswählen
Senden der Nachricht fehlgeschlagen.
Fehler beim senden der Nachricht: Eine sichere Verbindung mit dem SMTP-Server *********.de
kann nicht mit STARTTLS aufgebaut werden, da der Server diese Funktion nicht angibt. Schalten Sie
STARTTLS für diesen Server ab oder kontaktieren Sie Ihren Anbieter des Email-Diensts.
Re: SSL für Dovecot
Fürs Versenden ist Dovecot nicht (bzw. nur für die Authentifizierung) zuständig. Da musst du deinem MTA (postfix? Exim?) auch ssl beibringen.Ezycod hat geschrieben:Ich kann die Emails jetzt abrufen aber keine versenden.
rot: Moderator wanne spricht, default: User wanne spricht.