Cyrus IMAPS und verschiedene MUAs
Hallo LeserIn, ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist. Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert. Jetrzt geht es mir um die Einrichtung von IMAPS, die nötigen Zertifikate (wie erstellen, wohin und wie am Server und auf den Clients installieren, was muss man dabei beachten, ...) und den Zugriff für unterschiedliche MUAs (KMail und MS Outlook) einrichten. Gibt es dazu gute Literatur (Bücher, online, ..)? Da der Server nur temporär zum Testen am I-Net angeschlossen ist und noch kein Drucker installiert ist, ist das Lesen von /usr/share/doc/packages/ und man pages zu mühsam. Vielen Dank im voraus und liebe Grüße aus Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
Hallo LeserIn,
ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist.
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert.
Keine Ahnung, was Yast da macht, aber vielleicht postest du mal folgende Daeien/Ausgaben: Postfix: postconf -n master.cf egrep (warning|fatal|error|panic) /var/log/mail Amavis (wenn installiert): egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf Cyrus: /etc/cyrus.conf /etc/imapd.conf Anonymisiere die persönlichen Daten, wenn nötig, aber mache es konsistent.
Jetrzt geht es mir um die Einrichtung von IMAPS, die nötigen Zertifikate (wie erstellen, wohin und wie am Server und auf den Clients installieren, was muss man dabei beachten, ...) und den Zugriff für unterschiedliche MUAs (KMail und MS Outlook) einrichten.
Vielleicht sagst du auch etwas darüber, welche Dienste genau du auf dem Server einrichten willst? Ob noch weitere (unabhängige) Domains hinzukommen sollen etc...
Gibt es dazu gute Literatur (Bücher, online, ..)? Da der Server nur temporär zum Testen am I-Net angeschlossen ist und noch kein Drucker installiert ist, ist das Lesen von /usr/share/doc/packages/ und man pages zu mühsam.
Für Postfix gibt es ein paar gute Bücher, aber bei Cyrus sieht es übel aus. Peer Heinlein ist seit einiger Zeit dabei, mit einem Coauthor ein Buch über dieses Thema zu schreiben, aber bisher ist es noch nicht herausgekommen. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Heinz Mezera wrote:
Hallo LeserIn,
ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist.
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert.
Keine Ahnung, was Yast da macht, aber vielleicht postest du mal folgende Daeien/Ausgaben:
Postfix: postconf -n master.cf egrep (warning|fatal|error|panic) /var/log/mail
Upsa, so ist's richtig: egrep '(warning|fatal|error|panic)' /var/log/mail -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, danke für deine Antwort. Antworten siehe unten. Am Dienstag, 17. April 2007 11:03 schrieb Sandy Drobic:
Heinz Mezera wrote:
Hallo LeserIn,
ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist.
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert.
Keine Ahnung, was Yast da macht, aber vielleicht postest du mal
Da geht es um die Auswahl und Installation benötigter Pakete und deren Konfiguration. Ich wollte einen "Start" ohne Basisprobleme.
folgende Daeien/Ausgaben:
Postfix: postconf -n master.cf egrep (warning|fatal|error|panic) /var/log/mail
Amavis (wenn installiert): egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf
Cyrus: /etc/cyrus.conf /etc/imapd.conf
Anonymisiere die persönlichen Daten, wenn nötig, aber mache es konsistent.
Ich möchte <noch nicht> in die Details, sondern erst lernen und verstehen, was im Zusammenhang mit self-signed CA und certificates im Zusammenhang mit Cyrus-IMAP erforderlich ist. Postfix läuft soweit ich sehen kann gut, es gibt aus den bisherigen Tests auch keine unerklärlichen Fehler(meldungen). Bei einem Test mit MS Outlook (ja, sowas habe ich noch, Linux client ist keiner für den Test entbehrlich) funktioniert der Zugriff über Port 993 auch, es kommt natürlich die Fehlermeldung bei Outlook über fehlende Zertifizierung.
Jetrzt geht es mir um die Einrichtung von IMAPS, die nötigen Zertifikate (wie erstellen, wohin und wie am Server und auf den Clients installieren, was muss man dabei beachten, ...) und den Zugriff für unterschiedliche MUAs (KMail und MS Outlook) einrichten.
Vielleicht sagst du auch etwas darüber, welche Dienste genau du auf dem Server einrichten willst? Ob noch weitere (unabhängige) Domains
http(s), ftp, smtp, imaps. Andere sind noch nicht geplant und die Aufgabe muss für mich beherrschbar bleiben.
hinzukommen sollen etc...
Vorläufig (sicher) nur meine (Haupt)Domain
Gibt es dazu gute Literatur (Bücher, online, ..)? Da der Server nur temporär zum Testen am I-Net angeschlossen ist und noch kein Drucker installiert ist, ist das Lesen von /usr/share/doc/packages/ und man pages zu mühsam.
Für Postfix gibt es ein paar gute Bücher, aber bei Cyrus sieht es
Ich habe mir zu Postfix das Buch von Ralf Hildebrandt und Patrick Ben Koetter gekauft, da es IIRC von dir in der Vergangenheit empfohlen wurde. Zu IMAP habe ich noch keines, überlege aber "Managing IMAP" von Dianna und Kevin Mullet aus dem O'Reilly Verlag zu kaufen.
übel aus. Peer Heinlein ist seit einiger Zeit dabei, mit einem Coauthor ein Buch über dieses Thema zu schreiben, aber bisher ist es noch nicht herausgekommen.
-- Sandy
Liebe Grüße aus Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
Hallo Sandy,
danke für deine Antwort. Antworten siehe unten.
Am Dienstag, 17. April 2007 11:03 schrieb Sandy Drobic:
Heinz Mezera wrote:
Hallo LeserIn,
ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist.
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert. Keine Ahnung, was Yast da macht, aber vielleicht postest du mal
Da geht es um die Auswahl und Installation benötigter Pakete und deren Konfiguration. Ich wollte einen "Start" ohne Basisprobleme.
Ich nehme die Konfiguration immer manuell vor, deshalb kann ich das aus eigener Erfahrung nichts zu sagen.
Anonymisiere die persönlichen Daten, wenn nötig, aber mache es konsistent.
Ich möchte <noch nicht> in die Details, sondern erst lernen und verstehen, was im Zusammenhang mit self-signed CA und certificates im Zusammenhang mit Cyrus-IMAP erforderlich ist. Postfix läuft soweit ich sehen kann gut, es gibt aus den bisherigen Tests auch keine unerklärlichen Fehler(meldungen). Bei einem Test mit MS Outlook (ja, sowas habe ich noch, Linux client ist keiner für den Test entbehrlich) funktioniert der Zugriff über Port 993 auch, es kommt natürlich die Fehlermeldung bei Outlook über fehlende Zertifizierung.
Okay, habe aber bitte Verständnis dafür, dass ich keinen Lehrgang hier in der Liste schreiben möchte "Wie richte ich einen kompletten Postfix/Amavis/Cyrus-Mailserver ein". In der c't gab es jedoch einen Artikel, der dies genau beschrieb anhand eines Suse-Systems. Suche doch mal danach und bestelle dir den Artikel.
Vielleicht sagst du auch etwas darüber, welche Dienste genau du auf dem Server einrichten willst? Ob noch weitere (unabhängige) Domains
http(s), ftp, smtp, imaps. Andere sind noch nicht geplant und die Aufgabe muss für mich beherrschbar bleiben.
FTP ist völlig unabhängig, bei HTTP(s) solltest du darauf achten, dass das gleiche Zertifikat verwendet wird für HTTPS und IMAPS/POP3S. Squirrelmail für Webmail ist nicht schwierig einzurichten.
Für Postfix gibt es ein paar gute Bücher, aber bei Cyrus sieht es
Ich habe mir zu Postfix das Buch von Ralf Hildebrandt und Patrick Ben Koetter gekauft, da es IIRC von dir in der Vergangenheit empfohlen
Ja, das Buch ist wirklich nicht schlecht. Wenn du dich am Buch orientieren willst, dann würde ich dir raten, statt Cyrus Courier als Imapserver zu verwenden. Alle Beispiele und Konfigurationen sind AFAIK mit Courier gezeigt. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, Am Dienstag, 17. April 2007 12:43 schrieb Sandy Drobic:
Heinz Mezera wrote:
Hallo Sandy,
danke für deine Antwort. Antworten siehe unten.
Am Dienstag, 17. April 2007 11:03 schrieb Sandy Drobic:
Heinz Mezera wrote:
Hallo LeserIn,
<...>
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert.
Keine Ahnung, was Yast da macht, aber vielleicht postest du mal
Da geht es um die Auswahl und Installation benötigter Pakete und deren Konfiguration. Ich wollte einen "Start" ohne Basisprobleme.
Ich nehme die Konfiguration immer manuell vor, deshalb kann ich das aus eigener Erfahrung nichts zu sagen.
Anonymisiere die persönlichen Daten, wenn nötig, aber mache es konsistent.
Ich möchte <noch nicht> in die Details, sondern erst lernen und verstehen, was im Zusammenhang mit self-signed CA und certificates im Zusammenhang mit Cyrus-IMAP erforderlich ist. Postfix läuft soweit ich sehen kann gut, es gibt aus den bisherigen Tests auch keine unerklärlichen Fehler(meldungen). Bei einem Test mit MS Outlook (ja, sowas habe ich noch, Linux client ist keiner für den Test entbehrlich) funktioniert der Zugriff über Port 993 auch, es kommt natürlich die Fehlermeldung bei Outlook über fehlende Zertifizierung.
Okay, habe aber bitte Verständnis dafür, dass ich keinen Lehrgang hier in der Liste schreiben möchte "Wie richte ich einen kompletten Postfix/Amavis/Cyrus-Mailserver ein".
Das habe ich auch nicht erwartet und würde mein Verständnis auch nicht (wirklich) verbessern.
In der c't gab es jedoch einen Artikel, der dies genau beschrieb anhand eines Suse-Systems. Suche doch mal danach und bestelle dir den Artikel.
Kenne ich, habe ich. Ist ein c't spezial mit beigelegter 10.1 DVD. Leider gibt es absolut nichts zum Thema imaps in dem Artikel!
Vielleicht sagst du auch etwas darüber, welche Dienste genau du auf dem Server einrichten willst? Ob noch weitere (unabhängige) Domains
http(s), ftp, smtp, imaps. Andere sind noch nicht geplant und die Aufgabe muss für mich beherrschbar bleiben.
FTP ist völlig unabhängig, bei HTTP(s) solltest du darauf achten, dass das gleiche Zertifikat verwendet wird für HTTPS und IMAPS/POP3S.
Squirrelmail für Webmail ist nicht schwierig einzurichten.
Für Postfix gibt es ein paar gute Bücher, aber bei Cyrus sieht es
Ich habe mir zu Postfix das Buch von Ralf Hildebrandt und Patrick Ben Koetter gekauft, da es IIRC von dir in der Vergangenheit empfohlen
Ja, das Buch ist wirklich nicht schlecht. Wenn du dich am Buch orientieren willst, dann würde ich dir raten, statt Cyrus Courier als Imapserver zu verwenden. Alle Beispiele und Konfigurationen sind AFAIK mit Courier gezeigt.
Ich will noch nicht aufgeben, sondern den begonnen Weg möglichst zu Ende gehen. Wie du vielleicht herauslesen kannst, schaffe ich mir zuerst Literatur an und versuche den Inhalt zu verstehen bzw. in einer Testumgebung zu probieren. Erst wenn ich selbst überzeugt bin, dass ich keine zu große "Gefahr" für andere Systeme im Netrz bin, dann erst gehe ich "in Produktion".
-- Sandy
Liebe Grüße, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
In der c't gab es jedoch einen Artikel, der dies genau beschrieb anhand eines Suse-Systems. Suche doch mal danach und bestelle dir den Artikel.
Kenne ich, habe ich. Ist ein c't spezial mit beigelegter 10.1 DVD. Leider gibt es absolut nichts zum Thema imaps in dem Artikel!
In dem Falle reicht es vermutlich, wenn du für Postfix ein Zertifikat erzeugst und genau das gleiche Zertifikat für Cyrus verwendest. Für Postfix sind dies folgende Einstellungen: smtpd_tls_CApath = /etc/postfix/certs # smtpd_tls_auth_only = yes (nur nach Test, dass es ohne TLS klappt) smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key Eine Anleitung, wie ein Zertifikat für Postfix erstellt wird, gibt es hier auf der Postfix-Seite: http://www.postfix.org/TLS_README.html#server_tls Der größte Teil des Artikel ist die Konfiguration von Postfix, aber weit unten ist der Teil "Getting started, quick and dirty", wo die Schritte zur Erzeugung des Zertifikates gezeigt werden. Für Cyrus musst du folgende Werte setzen: /etc/imapd.conf: tls_cert_file: /var/lib/imap/ssl/smtpd.cert tls_key_file: /var/lib/imap/ssl/smtpd.key Dafür kannst du einfach die Dateien von Postfix kopieren. Da es sich hier um ein selbstsigniertes Zertifikat handelst, bekommst du im Browser/Mailclient eine Warnung, dass das Zertifikat nicht überprüft werden kann. Deshalb musst du das Zertifikat einmal dauerhaft akzeptieren.
Ja, das Buch ist wirklich nicht schlecht. Wenn du dich am Buch orientieren willst, dann würde ich dir raten, statt Cyrus Courier als Imapserver zu verwenden. Alle Beispiele und Konfigurationen sind AFAIK mit Courier gezeigt.
Ich will noch nicht aufgeben, sondern den begonnen Weg möglichst zu Ende gehen.
Kein Problem, da du aber wenig spezifisches geschrieben hast, kann ich auch wenig weiterhelfen.
Wie du vielleicht herauslesen kannst, schaffe ich mir zuerst Literatur an und versuche den Inhalt zu verstehen bzw. in einer Testumgebung zu probieren. Erst wenn ich selbst überzeugt bin, dass ich keine zu große "Gefahr" für andere Systeme im Netrz bin, dann erst gehe ich "in Produktion".
Das ist schon mal kein schlechtes Motto. (^-^) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, Am Dienstag, 17. April 2007 13:36 schrieb Sandy Drobic:
Heinz Mezera wrote: <...>
In dem Falle reicht es vermutlich, wenn du für Postfix ein Zertifikat erzeugst und genau das gleiche Zertifikat für Cyrus verwendest.
Für Postfix sind dies folgende Einstellungen: smtpd_tls_CApath = /etc/postfix/certs # smtpd_tls_auth_only = yes (nur nach Test, dass es ohne TLS klappt) smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key
Eine Anleitung, wie ein Zertifikat für Postfix erstellt wird, gibt es hier auf der Postfix-Seite: http://www.postfix.org/TLS_README.html#server_tls
Der größte Teil des Artikel ist die Konfiguration von Postfix, aber weit unten ist der Teil "Getting started, quick and dirty", wo die Schritte zur Erzeugung des Zertifikates gezeigt werden.
Für Cyrus musst du folgende Werte setzen: /etc/imapd.conf: tls_cert_file: /var/lib/imap/ssl/smtpd.cert tls_key_file: /var/lib/imap/ssl/smtpd.key
Dafür kannst du einfach die Dateien von Postfix kopieren. Da es sich hier um ein selbstsigniertes Zertifikat handelst, bekommst du im Browser/Mailclient eine Warnung, dass das Zertifikat nicht überprüft werden kann. Deshalb musst du das Zertifikat einmal dauerhaft akzeptieren.
danke für den konkreten Hinweis. Werde die Hinweise studieren und, falls ich sie verstehe probieren, andernfalls komme ich mit konkreten Fragen wieder. Bei openssl Zertifikaten kann man (=ich) schon einiges flasch machen. Ich habe mir deshalb gestern das openSSL Buch vom O'Reilly Verlag in der Buchhandlung angesehen, war aber nicht begeistert/überzeugt und habe es deshalb nicht gekauft.
Ja, das Buch ist wirklich nicht schlecht. Wenn du dich am Buch orientieren willst, dann würde ich dir raten, statt Cyrus Courier als Imapserver zu verwenden. Alle Beispiele und Konfigurationen sind AFAIK mit Courier gezeigt.
Ich will noch nicht aufgeben, sondern den begonnen Weg möglichst zu Ende gehen.
Kein Problem, da du aber wenig spezifisches geschrieben hast, kann ich auch wenig weiterhelfen.
Wie du vielleicht herauslesen kannst, schaffe ich mir zuerst Literatur an und versuche den Inhalt zu verstehen bzw. in einer Testumgebung zu probieren. Erst wenn ich selbst überzeugt bin, dass ich keine zu große "Gefahr" für andere Systeme im Netrz bin, dann erst gehe ich "in Produktion".
Das ist schon mal kein schlechtes Motto. (^-^)
-- Sandy
Nochmals schöne Grüße aus dem sonnigen Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, Am Dienstag, 17. April 2007 13:36 schrieb Sandy Drobic:
Heinz Mezera wrote:
In der c't gab es jedoch einen Artikel, der dies genau beschrieb anhand eines Suse-Systems. Suche doch mal danach und bestelle dir den Artikel.
Kenne ich, habe ich. Ist ein c't spezial mit beigelegter 10.1 DVD. Leider gibt es absolut nichts zum Thema imaps in dem Artikel!
In dem Falle reicht es vermutlich, wenn du für Postfix ein Zertifikat erzeugst und genau das gleiche Zertifikat für Cyrus verwendest.
Für Postfix sind dies folgende Einstellungen: smtpd_tls_CApath = /etc/postfix/certs # smtpd_tls_auth_only = yes (nur nach Test, dass es ohne TLS klappt) smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key
Eine Anleitung, wie ein Zertifikat für Postfix erstellt wird, gibt es hier auf der Postfix-Seite: http://www.postfix.org/TLS_README.html#server_tls
Der größte Teil des Artikel ist die Konfiguration von Postfix, aber weit unten ist der Teil "Getting started, quick and dirty", wo die Schritte zur Erzeugung des Zertifikates gezeigt werden.
habe mir alles ausgedruckt (nicht nur quick & dirty) und gestern als Abendlektüre vorgenommen. Zu "Versuchen" bin ich leider noch nicht gekommen, da ein "M$-Patient" meine volle Aufmerksamkeit benötigte (ist scheint's unheilbar krank und muß neu installiert werden). In meinem "Hinterkopf" geistert ein Hinweis, bei dem du mir möglicherweise helfen kannst: FQDN des Servers und ein Zertifikatseintrag (welcher?) müssen übereinstimmen/identisch sein. Da war doch was und was ist das? Wie macht man das bei einem Server, der im DNS auch mehrere CNames hat (sprich mail.mydomain.tld, www.mydomain.tld, ftp.mydomain.tld, ... verweisen alle auf die gleiche IP)?
Für Cyrus musst du folgende Werte setzen: /etc/imapd.conf: tls_cert_file: /var/lib/imap/ssl/smtpd.cert tls_key_file: /var/lib/imap/ssl/smtpd.key
Dafür kannst du einfach die Dateien von Postfix kopieren. Da es sich hier um ein selbstsigniertes Zertifikat handelst, bekommst du im Browser/Mailclient eine Warnung, dass das Zertifikat nicht überprüft werden kann. Deshalb musst du das Zertifikat einmal dauerhaft akzeptieren.
Ja, das Buch ist wirklich nicht schlecht. Wenn du dich am Buch orientieren willst, dann würde ich dir raten, statt Cyrus Courier als Imapserver zu verwenden. Alle Beispiele und Konfigurationen sind AFAIK mit Courier gezeigt.
Ich will noch nicht aufgeben, sondern den begonnen Weg möglichst zu Ende gehen.
Kein Problem, da du aber wenig spezifisches geschrieben hast, kann ich auch wenig weiterhelfen.
Wie du vielleicht herauslesen kannst, schaffe ich mir zuerst Literatur an und versuche den Inhalt zu verstehen bzw. in einer Testumgebung zu probieren. Erst wenn ich selbst überzeugt bin, dass ich keine zu große "Gefahr" für andere Systeme im Netrz bin, dann erst gehe ich "in Produktion".
Das ist schon mal kein schlechtes Motto. (^-^)
-- Sandy
Heute Grüße aus dem trüb, regnerischen Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
Der größte Teil des Artikel ist die Konfiguration von Postfix, aber weit unten ist der Teil "Getting started, quick and dirty", wo die Schritte zur Erzeugung des Zertifikates gezeigt werden.
habe mir alles ausgedruckt (nicht nur quick & dirty) und gestern als Abendlektüre vorgenommen. Zu "Versuchen" bin ich leider noch nicht gekommen, da ein "M$-Patient" meine volle Aufmerksamkeit benötigte (ist scheint's unheilbar krank und muß neu installiert werden).
Ja, MS ist häufiger mal krank. Selbst in unserem Netzwerk mit Firewall, Virenscannern auf Workstations und anderen Scannern auf Servern etc. kommen, zwar selten, mal Viren/Trojaner durch (Infektionen meist über Webrecherchen). Inzwischen fackel ich da nicht mehr lange. Es hat sich herausgestellt, das Reparaturversuche zu unsicher und aufwendig sind. Jeder Virenfund, egal welcher Art, bedeutet, dass die Kiste vom Netz genommen wird, mit einer Boot-CD (Knoppix oder Windows PBuilder) hochgefahren wird, die Daten runterkopiert werden und dann neu installiert wird. Das ist ein beherrschbarer und kalkulierbarer Aufwand.
In meinem "Hinterkopf" geistert ein Hinweis, bei dem du mir möglicherweise helfen kannst: FQDN des Servers und ein Zertifikatseintrag (welcher?) müssen übereinstimmen/identisch sein. Da war doch was und was ist das? Wie macht man das bei einem Server, der im DNS auch mehrere CNames hat (sprich mail.mydomain.tld, www.mydomain.tld, ftp.mydomain.tld, ... verweisen alle auf die gleiche IP)?
Was geprüft wird bei einer Verbindung ist der "Common Name" (cn=...) Dieser muss übereinstimmen mit dem Namen, über den der Server erreicht wird. Wenn im DNS also der Mailserver als mail.example.com eingetragen ist und über diesen Namen auch angesprochen wird, dann muss auch im Zertifikat eingetragen sein cn=mail.example.com. Das ist der absolut wichtigste Punkt bei der Erstellung des Zertificats. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, Am Mittwoch, 18. April 2007 21:12 schrieb Sandy Drobic:
Heinz Mezera wrote: <...> Ja, MS ist häufiger mal krank. Selbst in unserem Netzwerk mit Firewall, Virenscannern auf Workstations und anderen Scannern auf Servern etc. kommen, zwar selten, mal Viren/Trojaner durch (Infektionen meist über Webrecherchen). Inzwischen fackel ich da nicht mehr lange. Es hat sich herausgestellt, das Reparaturversuche zu unsicher und aufwendig sind.
du hast leider recht mit der Anfälligkeit für Krankheiten aller Art. Bei Freundschaftsdiensten versuche ich manchmal ohne Neuinstallation auszukommen. Im konkreten Fall wird das nicht gehen, es hat sich bereits eine Horde von "Bösen" etabliert. Leider hat mein Freund nur eine Modemanbindung und da hört sich der Installationsspaß auf. Der Zusatzaufwand ist für mich, die Kiste auf meine heimische "Krankenstation" zu transportieren und dort alles von Grund auf neu zu machen.
Jeder Virenfund, egal welcher Art, bedeutet, dass die Kiste vom Netz genommen wird, mit einer Boot-CD (Knoppix oder Windows PBuilder) hochgefahren wird, die Daten runterkopiert werden und dann neu installiert wird. Das ist ein beherrschbarer und kalkulierbarer Aufwand.
In meinem "Hinterkopf" geistert ein Hinweis, bei dem du mir möglicherweise helfen kannst: FQDN des Servers und ein Zertifikatseintrag (welcher?) müssen übereinstimmen/identisch sein. Da war doch was und was ist das? Wie macht man das bei einem Server, der im DNS auch mehrere CNames hat (sprich mail.mydomain.tld, www.mydomain.tld, ftp.mydomain.tld, ... verweisen alle auf die gleiche IP)?
Was geprüft wird bei einer Verbindung ist der "Common Name" (cn=...) Dieser muss übereinstimmen mit dem Namen, über den der Server erreicht wird. Wenn im DNS also der Mailserver als mail.example.com eingetragen ist und über diesen Namen auch angesprochen wird, dann muss auch im Zertifikat eingetragen sein cn=mail.example.com.
Das ist der absolut wichtigste Punkt bei der Erstellung des Zertificats.
Ich hatte ja eine Ahnung, aber keine konkreten Details. Trotzdem muss ich hier nochmals nachhaken. Bedeutet das, dass ich je Dienst (Webserver, Mailserver, ...), die ja teilweise "nur" cnam Einträge im DNS sind, ein separates Zertifikat benötige?
-- Sandy
Liebe Grüße aus dem wieder sonnigen Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
In meinem "Hinterkopf" geistert ein Hinweis, bei dem du mir möglicherweise helfen kannst: FQDN des Servers und ein Zertifikatseintrag (welcher?) müssen übereinstimmen/identisch sein. Da war doch was und was ist das? Wie macht man das bei einem Server, der im DNS auch mehrere CNames hat (sprich mail.mydomain.tld, www.mydomain.tld, ftp.mydomain.tld, ... verweisen alle auf die gleiche IP)? Was geprüft wird bei einer Verbindung ist der "Common Name" (cn=...) Dieser muss übereinstimmen mit dem Namen, über den der Server erreicht wird. Wenn im DNS also der Mailserver als mail.example.com eingetragen ist und über diesen Namen auch angesprochen wird, dann muss auch im Zertifikat eingetragen sein cn=mail.example.com.
Das ist der absolut wichtigste Punkt bei der Erstellung des Zertificats.
Ich hatte ja eine Ahnung, aber keine konkreten Details. Trotzdem muss ich hier nochmals nachhaken. Bedeutet das, dass ich je Dienst (Webserver, Mailserver, ...), die ja teilweise "nur" cnam Einträge im DNS sind, ein separates Zertifikat benötige?
Wenn dies über verschiedene Hostnamen läuft, dann ja. Du hast drei Möglichkeiten, dies zu realisieren: - Wildcard-Zertifikat mit *.example.com, wobei nur eine Ebene vor der Domain unterstützt wird. mail.example.com funktioniert, aber nicht mail2.sub.example.com Bei einem kommerziellen Zertifikat lassen sich die Leute ein Wildcard- Zertifikat teuer bezahlen, lohnt sich also nur bei größeren Installationen - Zusätzliche Namen ins Zertifikat nehmen. Wie es genau geht, habe ich gerade nicht mehr im Kopf. Diese Möglichkeit ist relativ neu und wird von den kommerziellen Zertifikatsdiensten wie Thawte oder Verisign nicht angeboten. Funktioniert also nur bei einer internen Struktur. - Für jeden einzelnen Hostnamen ein entsprechendes Zertifikat erstellen bzw. kaufen. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, dein Quälgeist aus Wien ist schon wieder hier ;-) Am Donnerstag, 19. April 2007 16:37 schrieb Sandy Drobic:
Heinz Mezera wrote: <...>
Was geprüft wird bei einer Verbindung ist der "Common Name" (cn=...) Dieser muss übereinstimmen mit dem Namen, über den der Server erreicht wird. Wenn im DNS also der Mailserver als mail.example.com eingetragen ist und über diesen Namen auch angesprochen wird, dann muss auch im Zertifikat eingetragen sein cn=mail.example.com.
Das ist der absolut wichtigste Punkt bei der Erstellung des Zertificats.
Ich hatte ja eine Ahnung, aber keine konkreten Details. Trotzdem muss ich hier nochmals nachhaken. Bedeutet das, dass ich je Dienst (Webserver, Mailserver, ...), die ja teilweise "nur" cnam Einträge im DNS sind, ein separates Zertifikat benötige?
Wenn dies über verschiedene Hostnamen läuft, dann ja. Du hast drei Möglichkeiten, dies zu realisieren:
- Wildcard-Zertifikat mit *.example.com, wobei nur eine Ebene vor der Domain unterstützt wird. mail.example.com funktioniert, aber nicht mail2.sub.example.com Bei einem kommerziellen Zertifikat lassen sich die Leute ein Wildcard- Zertifikat teuer bezahlen, lohnt sich also nur bei größeren Installationen
- Zusätzliche Namen ins Zertifikat nehmen. Wie es genau geht, habe ich gerade nicht mehr im Kopf. Diese Möglichkeit ist relativ neu und wird von den kommerziellen Zertifikatsdiensten wie Thawte oder Verisign nicht angeboten. Funktioniert also nur bei einer internen Struktur.
Das ist in Ordnung, da es sich <nur> um self-signed certificates handeln wird. Die Dienste dienen nur mir, meinen ehemaligen SchulkollegeInnen und Freunden. Da muss ich noch graben, um zu sehen wie man mehrere Namen in ein Zertifikat "packt" oder mehrere erstellen (was wahrscheinlich leichter ist; mich interessiert aber die Technik).
- Für jeden einzelnen Hostnamen ein entsprechendes Zertifikat erstellen bzw. kaufen.
-- Sandy
Liebe Grüße und ein schönes Wochenende aus Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera wrote:
- Zusätzliche Namen ins Zertifikat nehmen. Wie es genau geht, habe ich gerade nicht mehr im Kopf. Diese Möglichkeit ist relativ neu und wird von den kommerziellen Zertifikatsdiensten wie Thawte oder Verisign nicht angeboten. Funktioniert also nur bei einer internen Struktur.
Das ist in Ordnung, da es sich <nur> um self-signed certificates handeln wird. Die Dienste dienen nur mir, meinen ehemaligen SchulkollegeInnen und Freunden. Da muss ich noch graben, um zu sehen wie man mehrere Namen in ein Zertifikat "packt" oder mehrere erstellen (was wahrscheinlich leichter ist; mich interessiert aber die Technik).
Du musst die openssl.cnf entsprechend ergänzen: Hier mal, was Victor Duchovny (der für den TLS Code bei Postfix verantwortlich ist) auf postfix-users gepostet hat: openssl.cnf: [ req ] default_bits = 1024 default_md = sha1 default_keyfile = key.pem distinguished_name = req_distinguished_name prompt = no string_mask = nombstr req_extensions = v3_req [ req_distinguished_name ] countryName = US stateOrProvinceName = Alaska localityName = Nome organizationName = Example Corp. organizationalUnitName = Widget Engineering commonName = smtp.example.com emailAddress = postmaster@example.com [ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment # Verisign does not yet support subjectAltName in CSRs. #subjectAltName = @alt_names [ alt_names ] DNS.1 = smtp.example.com DNS.2 = mx1.example.com DNS.3 = mx2.example.com -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Danke Sandy, da habe ich mir schon eine Menge Sucharbeit erspart. Sorry wegen TOFU, bin schon wieder im Zeitnotstand. Am Freitag, 20. April 2007 11:46 schrieb Sandy Drobic:
Heinz Mezera wrote:
- Zusätzliche Namen ins Zertifikat nehmen. Wie es genau geht, habe ich gerade nicht mehr im Kopf. Diese Möglichkeit ist relativ neu und wird von den kommerziellen Zertifikatsdiensten wie Thawte oder Verisign nicht angeboten. Funktioniert also nur bei einer internen Struktur.
Das ist in Ordnung, da es sich <nur> um self-signed certificates handeln wird. Die Dienste dienen nur mir, meinen ehemaligen SchulkollegeInnen und Freunden. Da muss ich noch graben, um zu sehen wie man mehrere Namen in ein Zertifikat "packt" oder mehrere erstellen (was wahrscheinlich leichter ist; mich interessiert aber die Technik).
Du musst die openssl.cnf entsprechend ergänzen: Hier mal, was Victor Duchovny (der für den TLS Code bei Postfix verantwortlich ist) auf postfix-users gepostet hat:
openssl.cnf:
[ req ] default_bits = 1024 default_md = sha1 default_keyfile = key.pem distinguished_name = req_distinguished_name prompt = no string_mask = nombstr req_extensions = v3_req
[ req_distinguished_name ] countryName = US stateOrProvinceName = Alaska localityName = Nome organizationName = Example Corp. organizationalUnitName = Widget Engineering commonName = smtp.example.com emailAddress = postmaster@example.com
[ v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# Verisign does not yet support subjectAltName in CSRs. #subjectAltName = @alt_names
[ alt_names ] DNS.1 = smtp.example.com DNS.2 = mx1.example.com DNS.3 = mx2.example.com
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Mezera schrieb:
Hallo LeserIn,
ich versuche eien openSUSE 10.2 Server zu installieren, der verschiedene Dienste anbietet. Ein Teil davon ist Mail. Ich bin permanent an das I-Net angebunden und habe eine fixe IP, sowie eine eigene Domain , die noch nicht auf meine IP verweist.
Als Mailserver habe ich das "Schemaangebot" von YaST verwendet und postfix mit cyrus (nebst amavis etc.) installiert.
Jetrzt geht es mir um die Einrichtung von IMAPS, die nötigen Zertifikate (wie erstellen, wohin und wie am Server und auf den Clients installieren, was muss man dabei beachten, ...) und den Zugriff für unterschiedliche MUAs (KMail und MS Outlook) einrichten.
Gibt es dazu gute Literatur (Bücher, online, ..)? Da der Server nur temporär zum Testen am I-Net angeschlossen ist und noch kein Drucker installiert ist, ist das Lesen von /usr/share/doc/packages/ und man pages zu mühsam.
genau da gibt es auch eine README .. lesen .. tun, was drin steht .. geht erst mal! Schritte sind drin (Erklärungen dazu keine) ...kein Drucker ?? na ja .. wenn Postfix geht (eine Bedingung) kannst du ja per CLI dir die README woandershin schicken... sendmail nutzen , sendmail --help sagt eigentlich alles ...
Vielen Dank im voraus und liebe Grüße aus Wien, Heinz
Grüsse Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Fred Ockert
-
Heinz Mezera
-
Sandy Drobic