SSL für POP3 und SMTP aktivieren

H

h00ch

Registered User
Hi!

Ich möchte gerne meine Email Verbindungen verschlüsseln, damit nit jedes Kiddie mit Ethereal meine Zugangsdaten sniffen kann.
Ich habe einen Strato Root mit Suse 9 und Confixx 3.
Ich habe schon eine Email an den Strato Support geschrieben und folgenden Hinweis erhalten:

Code: 
Natürlich haben Sie die Möglichkeit, SSL für SMTP und POP3 zu aktivieren. Leider können wir hierfür keinen Support leisten, geben Ihnen aber gerne einige Hinweise.

Auf einem Confixx-System können Sie ein TLS-Zertifikat in die Konfiguration von Postfix einbinden. Hierrüber erfolgt dann die gesicherte Verbindung zum Mailserver.

Ich hoffe Ihnen hiermit geholfen zu haben. Für weitere Fragen stehen wir Ihnen natürlich gerne zur Verfügung.


Vielleicht kann mir jemand die Schritte, die ich machen muss zeigen.

MfG & Thx, h00ch :)
 
Also ich habe mich mal selber drangemacht.
Folgendes habe ich durchgeführt:

Code: 
openssl req -new -x509 -nodes -out servername.pem -keyout servername.pem -days 3650

Edit /etc/postfix/main.cf:
Code: 
smtpd_tls_cert_file = servername.pem 
smtpd_tls_key_file = $stpd_tls_cert_file 
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_session_cache_timeout = 3600s

Code: 
/etc/init.d/postfix restart

Aber es kommt immer noch folgender Error wenn ich SSL aktiviere im Mail Clienten (ohne SSL gehts):

Code: 
Bei der Verbindung zum Server ist ein Fehler aufgetreten. Konto: 'mail.servername.de', Server: 'mail.servername.de', Protokoll: POP3, Port: 995, Secure (SSL): Ja, Socketfehler: 10061, Fehlernummer: 0x800CCC0E

Bitte um Antworten, h00ch:)
 
Hallo!
Startet Postfix sauber? Was sagt das mailllog beim Versuch über SSL zu verbinden?

mfG
Thorsten
 
postfix startet sauber, aber der Port 995 ist gar nicht auf.
Wenn ich auf Port 110 mit SSL connecte gibt es natürlich einen " -ERR POP EOF or I/O Error" in der /var/log/mail.
Es liegt auf keinen Fall an der Firewall.
 
Hallo!
Läuft saslauthd? Ansonsten, was passiert bei telnet localhost 25/ehlo? Kommt da ein 250-STARTLS?

mfG
Thorsten
 
Code: 
servername:~ # ps wax | grep saslauthd
  509 ?        S      0:00 /usr/sbin/saslauthd -a pam
  545 ?        S      0:00 /usr/sbin/saslauthd -a pam
  546 ?        S      0:00 /usr/sbin/saslauthd -a pam
  547 ?        S      0:00 /usr/sbin/saslauthd -a pam
  548 ?        S      0:00 /usr/sbin/saslauthd -a pam
31726 pts/2    R      0:00 grep saslauthd

Code: 
servername:~ # telnet localhost 25
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 servername.serverkompetenz.net ESMTP Postfix
quit
221 Bye
Connection closed by foreign host.
 
h00ch said:
aber der Port 995 ist gar nicht auf.
Click to expand...
Dann fehlt der entsprechende Eintrag in der inetd.conf:
Code: 
pop3s   stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/in.qpopper -f /etc/qpopper-tls.conf

Für xinetd muß es entsprechend umformuliert werden.

Beachte: für POP3 (also Mails abholen) ist nicht Postfix zuständig.
Allerdings für den Mailversand. Hierzu scheinen Deine Änderungen an Postfix aber ok zu sein.

huschi.
 
Ich komme damit nicht klar. Ich nutze xinetd.

Ich habe nun stunnel installiert.
Dann
Code: 
cp servername.pem /etc/stunnel/stunnel.pem
Sowie die stunnel.conf
Code: 
# [pop3s]
 accept  = 995
 connect = 110
Dann die Datei pop3s in /etc/xinetd.d angelegt:
Code: 
service pop3s
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/stunnel
server_args = pop3s -l /usr/sbin/popper -- -R -s -t /var/log/pop3s
log_on_success += USERID
log_on_failure += USERID
nice = 10
Dann
Code: 
/etc/init.d/xinetd restart

Wenn ich aber mit einem Port Scanner 995 teste kommt:
Code: 
2005.08.15 19:33:08 LOG3[25600:16384]: pop3s: No such file or directory (2)

                                                                            Synt
ax:
   stunnel [filename] | -help | -version | -sockets
                                                       filename    - use specifi
ed config file instead of /etc/stunnel/stunnel.conf
                                                       -help       - get config
file help
             -version    - display version and defaults
                                                           -sockets    - display
 default socket options


Verbindung zu Host verloren.

Bitte um weitere Hilfe.

MfG und Thx, h00ch:)
 
Mmmh, warum denn so kompliziert?
Wenn Du einfach qpopper nutzen würdest, wäre es kein Problem, da er SSL von Hause aus kann.

Ansonsten würde ich sage, daß die Parameter von 'server_args' nicht stimmen.
Schau nochmal in der Install-Doku nach, die Du dazu genommen hast.

huschi.
 
Ok. Es funzt! Vielen Dank für eure Hilfe.
Meine Änderungen waren:

1. Anlegen der /etc/qpopper-tls.conf:
Code: 
set tls-support = alternate-port
set tls-version = default
set tls-server-cert-file = /etc/postfix/ssl/servername.pem

2. Ändern der /etc/xinetd.d/pop3s:
Code: 
service pop3s
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/popper
server_args = -f /etc/qpopper-tls.conf
}

3. Restart xinetd

MfG & Thx h00ch:rolleyes:
 
Eine Frage hab ich nun noch:

Ich benutze Outlook Express. Jedoch wird mir jedesmal beim Abrufen der Emails die Frage gestellt ob ich das selbsterstelle Servercertifikat annehmen möchte.
Ich habe leider nur eine *.pem Datei auf dem Server und keine *.crt.
Nun weiss ich nicht wie ich sie importieren kann, damit ich nicht mehr gefragt werde.

MfG h00ch
 
h00ch said:
Ich benutze Outlook Express.
Click to expand...
Das ist Dein Problem... ;)
Moderne Mail-Clients fragen bei den Certs, ob sie diese nur einmal, nur für diese Session oder dauerhaft akzeptieren sollen.

huschi.
 
You must log in or register to reply here.
Back
Top