lokaler IMAP server (working) mit ssl (not working)

[michaa7]

Ich nutze fetchmail-exim4-dovecot-imap als *lokale* mail. Das funktioniert seit Jahren!!! Ich kann per IMAP von jedem beliebigen E-mail client darauf zugreifen (TB, calws-mail, sylpheed-mail).

Ich möchte jedoch gerne mit dem mailclient von Vivaldi darauf zugreifen. Dieser erlaubt das aber nur per ssl! Dafür muß dovecot ein certificate bereitstellen.

Ich habe vor langer zeit schon mal danach gefragt, dies dann aber versanden lassen weil ich nur noch sauer war über diesen unverständlichen Config Dschungel ( dass das Wiki hier zumindest für SID fehlerhaft ist (Pfad) wäre ein Geschichte für sich).

Ich habe nun folgendes gemacht:
In /etc/dovecot/conf.d/10-ssl.conf aktiviert:

Code: Alles auswählen

ssl = yes
ssl_cert = </etc/ssl/certs/dovecot.pem
ssl_key = </etc/ssl/private/dovecot.pem

und *zusätzlich* in /etc/dovecot/dovecot.conf

Code: Alles auswählen

ssl = yes
#ssl_cert = </etc/ssl/certs/dovecot.pem
#ssl_key = </etc/ssl/private/dovecot.pem

ob das das hier entkommentiert werden muß und dann doppelt konfiguriert ist weiß ich nicht.
Ist aber *zunächst* egal weil es die beiden files gar nicht gibt (geschweige die notwendigen Rechte besitzen')!

Code: Alles auswählen

# ls -la /etc/ssl/certs/dovecot.pem
ls: Zugriff auf '/etc/ssl/certs/dovecot.pem' nicht möglich: Datei oder Verzeichnis nicht gefunden

# ls -la /etc/ssl/private/dovecot.pem
ls: Zugriff auf '/etc/ssl/private/dovecot.pem' nicht möglich: Datei oder Verzeichnis nicht gefunden

Dass so meine Konfigurationsversuche fehlschlagen müssen ist ja klar.

Wie komme ich zu diesen files/certificaten)? Ein dovecot-reconfigure oder ein "apt install --reinstall dovecot-core" hilft jedenfalls nicht. "dpkg -L dovecot-core" zeigt auch keine entsprechende files.

[debilian]

das hier schon gelesen: https://wiki.debianforum.de/SSL-Zertifikate ?

[michaa7]

Ja.

Ich benötige keine man pages, sondern jemanden der das erfolgreich erledigt hat.

Man pages taugen nichts wenn die einen sagen dovecot erzeugt dies bei der Installation, dann lese ich von irgendwelchem mkcert.sh, dann davon vorher dovecot-openssl.cnf zu konfigurieren (was wie?). Das führt alles vom Hölzchen zum Stöckchen. Verdamte Hacke, das ist mein Rechner und mein lokaler Server und nicht Fort Knox.

Für alle Fälle falls das zu Certifikat Erstellung notwendig wäre, nein, ich habe keine FQDN, ich arbeite in meinem LAN mit ner Arbeitsgruppe oder wie auch immer das linuxisch genannt wird.

[shoening]

Hi,

ich habe auch dovecot im Einsatz - früher so ähnlich wie der TE, verzichte allerdings inzwischen auf fetchmail und nehme Dovecot nur noch als meinen Mail-Archiv-Server.

In meiner /etc/dovecot/dovecot.conf habe ich nichts zu SSL stehen. Da wird aber auch über

Code: Alles auswählen

!include conf.d/*.conf

dafür gesorgt, dass alle Config-Dateien aus /etc/dovecot/conf.d/ mit eingebunden werden.

Da ich da immer mit selbstsignierten Zertifikaten gearbeitet habe, muss ich die regelmäßig mittels

Code: Alles auswählen

dpkg-reconfigure dovecot-core

neu erzeugen. Vielleicht hilft das bei Dir auch, um die Zertifikate erstmalig zu erstellen.

Gruß
Stefan

[debilian]

Ich benötige keine man pages, sondern jemanden der das erfolgreich erledigt hat.

dann ist ja alles gut und vielleicht kommt ja noch jemand, der dir das einrichtet.
Habe das seit Jahrzehnten laufen, mit eigenen Certs, mit letsencrypt, früher mit gekauften.

aber eine Anleitung schreibe ich dir nicht, da es die schon tausendfach im Netz gibt.

[cosinus]

Selbsterstelle Zertifikate sind doch eh sinnlos. Dann kann man gleich snakeoils nehmen.
Für LE braucht man eine Domain, die man selbst kontrolliert.

[michaa7]

Ich benötige keine man pages, sondern jemanden der das erfolgreich erledigt hat.

dann ist ja alles gut und vielleicht kommt ja noch jemand, der dir das einrichtet.
Habe das seit Jahrzehnten laufen, mit eigenen Certs, mit letsencrypt, früher mit gekauften.

aber eine Anleitung schreibe ich dir nicht, da es die schon tausendfach im Netz gibt.

Was soll diese Eingeschnapptheit?

Ich habe mich durch dovecot wikis gelesen und vor allem durch die Behauptung, dass dovecot dies bei der Installation selbst erledigen würde, was es mindestens bei Debian nicht tut. Und dein Hinweis läßt sich unter Misachtung deiner Mupfigkeit wenigstens so lesen dass das so bei dir auch nicht ging und daher und so weiter und so fort. Danke für diese Sachinformation.

[shoening]

Selbsterstelle Zertifikate sind doch eh sinnlos. Dann kann man gleich snakeoils nehmen.
Für LE braucht man eine Domain, die man selbst kontrolliert.

In dem Fall, den der TE beschreibt, nämlich das er seine emails mittels Fetchmail abholt und im Heimnetz per IMAP zur Verfügung hat, sind selbsterstellte Zertifikate überhaupt nicht sinnlos.

Ich persönlich vertraue mir selbst eigentlich mehr als irgendwelchen zwielichtigen Regierungen, die irgendwelche profitorientierte (und möglicherweise korrupte) Unternehmen als CA deklarieren, die dann in allen Browsern und sonstigen SSL-Clients dieser Welt als „vertrauenswürdig“ hinterlegt sind.

Hast Du Dir von den 130 Zertifikate unter /usr/share/ca-certificates/mozilla schon jedes einzelne angesehen, ob Du dem auch vertraust?

[cosinus]

sind selbsterstellte Zertifikate überhaupt nicht sinnlos.

Sinnlos im Sinne von, dass die auch nicht automatisch akzeptiert werden von Browsern oder Mailclients. Und deswegen kann man auch genausogut das snakeoil nehmen.

Ich persönlich vertraue mir selbst eigentlich mehr

Das interessiert aber die Browser und Mailclients nicht. Eigene Zertifikate muss man dann immer selbst abnicken.

[michaa7]

Selbsterstelle Zertifikate sind doch eh sinnlos. Dann kann man gleich snakeoils nehmen.
Für LE braucht man eine Domain, die man selbst kontrolliert.

In dem Fall, den der TE beschreibt, nämlich das er seine emails mittels Fetchmail abholt und im Heimnetz per IMAP zur Verfügung hat, sind selbsterstellte Zertifikate überhaupt nicht sinnlos.

Ich persönlich vertraue mir selbst eigentlich mehr als irgendwelchen zwielichtigen Regierungen,...

[cosinus]

Zwielichtige Regierungen? Let's Encrypt wird nicht von einer staatlichen Stelle betrieben.

Let’s Encrypt ist ein von der gemeinnützigen Internet Security Research Group (ISRG) angebotener Dienst. Hauptsponsoren sind unter anderem die Electronic Frontier Foundation (EFF), die Mozilla Foundation, Akamai, Google Chrome und Cisco Systems. Weitere Beteiligte sind die Zertifizierungsstelle IdenTrust, die University of Michigan (U-M), die Stanford Law School, die Linux Foundation[13] sowie Stephen Kent von Raytheon/BBN Technologies und Alex Polvi von CoreOS.