ispCP - Board - Support
[SSL] Web ja, Mail nein ... - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Archiv (/forum-54.html)
+---- Thread: [SSL] Web ja, Mail nein ... (/thread-4757.html)

[SSL] Web ja, Mail nein ... - Kaimane - 10-22-2008 07:14 PM

Hallo!

Mittlerweile ist SSL auf meinem Server nach diesen HowTo eingerichtet.
Jedoch habe ich die Vermutung, dass SSL noch nicht 100%ig funktioniert; zumindest nicht im Bereich MTA.

Die Installation von SSL im Apache hat einwandfrei funktioniert.
Nachdem ich das RootCA.crt Zertifikat sowohl im Internet Explorer als auch im FF installiert habe, konnte ich ohne weitere (Fehler-)Meldung ISPCP über die Verschlüsselte SSL-Verbindung aufrufen (IE und FF).

IMAP via Outlook 2007 funktioniert hingegen nicht. Obwohl das Stammzertifikat in Windows und scheinbar an der richtigen Stelle installiert wurde (siehe einwandfreie Benutzung durch IE) gibt mit Outlook beim Start folgende Fehlermeldung aus:
Code:
Vom dem Server, mit dem Sie verbunden sind, wird ein Sicherheitszertifikat verwendet, das nicht überprüft werden kann.
Der Zielprinzipalname ist falsch.
Möchten Sie diesen Server weiterhin verwenden? [Ja / Nein]
Klicke ich [Ja] kann ich IMAP ohne Probleme nutzen. Nein blockiert die Verbindung zum Server.

Auf der Seite des Servers passiert beim Login am MTA via Outlook folgendes (mail.log):
Code:
Oct 22 10:45:29 ks123456 dovecot: auth-worker(default): mysql: Connected to localhost (ispcp)
Oct 22 10:45:29 ks123456 last message repeated 2 times
Oct 22 10:45:29 ks123456 dovecot: imap-login: Login: user=<email@email.de>, method=PLAIN, rip=meineIP, lip=serverIP, TLS
Oct 22 10:45:33 ks123456 dovecot: imap-login: Login: user=<email@email.de>, method=PLAIN, rip=meineIP, lip=serverIP, TLS

Für den Postausgangsserver habe ich in Outlook 'TLS' als Verbindungstyp angegeben (Verbindungstyp auf 'SSL' gibt eine Fehlermeldung zurück und das Senden wird abgebrochen). Beim senden wird folgendes geloggt (mail.log):
Code:
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: setting up TLS connection from meineIP
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:before/accept initialization
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv2/v3 read client hello A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv3 read client hello B
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv3 read client hello B
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 read client hello B
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 write server hello A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 write certificate A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 write server done A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 flush data
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv3 read client certificate A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv3 read client certificate A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 read client key exchange A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:error in SSLv3 read certificate verify A
Oct 22 10:57:05 ks123456 last message repeated 3 times
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 read finished A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 write change cipher spec A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 write finished A
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: SSL_accept:SSLv3 flush data
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: TLS connection established from meineIP: TLSv1 with cipher AES128-SHA (128/128 bits)
Oct 22 10:57:05 ks123456 postfix/smtpd[9188]: warning: meineIP: SASL DIGEST-MD5 authentication failed: cmVhbG09IiIsbm9uY2U9InllTlpoRjFrbW42MUcrRmx0QlVuMmc9PSIscW9wPSJhdXRoIixjaGFyc2V0​PSJ1dGYtOCIsYWxnb3JpdGhtPSJtZDUtc2VzcyI=
Oct 22 10:57:08 ks123456 postfix/smtpd[9188]: 8279EC64057: client=meineIP, sasl_method=LOGIN, sasl_username=email@email.de
Oct 22 10:57:08 ks123456 postfix/cleanup[9197]: 8279EC64057: message-id=<000001c93424$0d757bc0$28607340$@de>
Oct 22 10:57:08 ks123456 postfix/qmgr[24151]: 8279EC64057: from=<email@email.de>, size=2867, nrcpt=1 (queue active)
Oct 22 10:57:09 ks123456 postfix/smtp[9198]: 8279EC64057: to=<email@email.com>, relay=mx0.email.com[zielIP]:25, delay=0.87, delays=0.22/0.01/0.13/0.52, dsn=2.6.0, status=sent (250 2.6.0 Message accepted {mx045})
Oct 22 10:57:09 ks123456 postfix/qmgr[24151]: 8279EC64057: removed
Oct 22 10:57:11 ks123456 postfix/smtpd[9188]: disconnect from meineIP

Ein paar Fragen die sich mir Stellen:
1. Wie bekomme ich die o. g. Outlook-Meldung weg? Zertifikat ist doch installiert ... Sad
2. "method=PLAIN": Muss das so sein? (mail.log beim Login)
3. Ist die Angabe "TLS" ein Hinweis darauf, dass die Verbindung (trotz der Outlook-Meldung) verschlüsselt ist? (mail.log beim Login)
4. Das das versenden nicht das flüssig läuft und leider mit vielen Fehlern behaftet ist, sieht wohl jeder. Kann denn jemand von euch daraus erkennen, worauf die Fehlermeldungen zurück zu führen sind?
[/list]

Ich danke euch im Voraus für die Hilfe und die Zeit!

RE: [SSL] Web ja, Mail nein ... - BeNe - 10-22-2008 07:37 PM

Versuch es mal bitte mit Thunderbird !?
Ich hab es einmal mit OT versucht und es dann auch aufgegeben.

Greez BeNe

RE: [SSL] Web ja, Mail nein ... - Gos77 - 10-22-2008 08:17 PM

Welchen Hostnamen hast Du im Zertifikat angegeben?

Ich vermute, dass es dort unterschiede zwischen Web-Hostname und Mail-Hostname bei Dir gibt. Möglicherweise musst Du noch ein ServerCA für Deinen IMAP-Dienst erstellen, der dann für imaps.domain.tld (oder wie immer Dein aufgerufener Mail-Hostname ist) konfiguriert ist.

RE: [SSL] Web ja, Mail nein ... - Kaimane - 10-22-2008 08:40 PM

(10-22-2008 08:17 PM)Gos77 Wrote:  Welchen Hostnamen hast Du im Zertifikat angegeben?

Ich vermute, dass es dort unterschiede zwischen Web-Hostname und Mail-Hostname bei Dir gibt. Möglicherweise musst Du noch ein ServerCA für Deinen IMAP-Dienst erstellen, der dann für imaps.domain.tld (oder wie immer Dein aufgerufener Mail-Hostname ist) konfiguriert ist.
Genau wie du sagtest, Gos77.
Habe in Outlook die IP des Servers angegeben und im Zertifikat ist der FQDN angegeben.
Nach der Änderung IP zu FQDN im eMail-Client funktionierte die Verbindung ohne jegliche Meldungen; weder im Client noch serverseitig (Outlook sowie Thunderbird).
Zudem funktioniert TLS als auch SSL.

Klasse, vielen Dank für die hilfreiche Info!