Artur Cichosz wrote:
Man kann die Benutzerverwaltung auch vom System abkoppeln und über eine SASL-Datenbank laufen lassen. Das ist ohne große Probleme möglich.
Das denke ich mir auch deswegen habe ich auch nach tips zu bestehenden How-To's gefragt, die Cyrus mit SASL und lokalen benutzern behandeln. Also frage ich noch mal - kennt jemand oder hat jemand welche?
Direkt kenne ich keinen Link, aber ich denke, dass postfix.org einen haben wird. Ah, hier ist er schon: http://www.postfix.org/SASL_README.html Der Abschnitt " To authenticate against Cyrus SASL's own password database:"
Wenn sich jemand bereit erklärt mir bei dem SSL/TLS - Problem zu helfen
so schiebe ich gerne noch zusätzliche infos wie z.b. die main.cf nach.
Brauchst du noch ein Web-Interface? Jedenfalls solltest du ein Zertifikat für alle Dienste verwenden, die auf dem Server laufen. Bei Apache oder Openssl gibt es Scripte, die ein solches Zertifikat erstellen.
Brauche nicht unbedingt ein Web-Interface. Aber ich schliesse das für die Zukunft nicht aus. Erstmal gibt es nur IMAP und POP und ich hätte wohl gerne TLS dabei aber irgendwie hackt's bei mir irgendwo.
Zu TLS:
1) Die Postfix TLS-Konfiguration habe ich ausprobiert und natürlich eigene Zertifikate mit openssl nach dem http://www.postfix-howto.de/ erstellt.
2) Dann Postfix entsprechend konfiguriert in /etc/postfix/main.cf
smtp_tls_note_starttls_offer = yes smtp_use_tls = yes smtpd_use_tls = yes smtpd_tls_auth_only = no smtpd_tls_key_file = /etc/certs/key.pem smtpd_tls_cert_file = /etc/certs/cert.pem smtpd_tls_CAfile = /etc/certs/cert.pem smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
smtp_use_tls = yes smtp_tls_key_file = /etc/certs/key.pem smtp_tls_cert_file = /etc/certs/cert.pem smtp_tls_CAfile = /etc/certs/cert.pem
3) und auch Cyrus entsprechend nach dem gleichen how-to mit dem gleichen Zertifikat (Kopie) wie für postfix
# mkdir /var/imap # cp /etc/certs/key.pem /var/imap/server.pem # cat /etc/certs/cert.pem >> /var/imap/server.pem # chown cyrus:mail /var/imap/server.pem # chmod 600 /var/imap/server.pem # Schützt den Key
# echo tls_ca_file: /var/imap/server.pem >> /etc/imapd.conf # echo tls_cert_file: /var/imap/server.pem >> /etc/imapd.conf # echo tls_key_file: /var/imap/server.pem >> /etc/imapd.conf
4) SuSEFirewall2 - Ports geöfnet, zur Sicherheit sowohl über den Namen als auch numerisch. Lokale Client-Firewall ist aus
FW_SERVICES_EXT_TCP="http https pop3 pop3s imap imaps smtp ssh sieve 143 25 110 993 995 2000"
Muss ich irgendeinen dieser Ports auch unter FW_SERVICES_EXT_UDP setzen?
5) Den E-Mail Server lokal getestet nach einem anderen How-To
domino:~ # telnet localhost 25
Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 host ESMTP Postfix
ehlo localhost
250-host 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH LOGIN PLAIN 250-AUTH=LOGIN PLAIN 250 8BITMIME
Das sieht ja schon gut aus. Was passiert denn, wenn du folgenden Befehl eingibst: openssl s_client -starttls smtp -connect localhost:25 Dann sollte eigentlich das normale Mailbanner angezeigt werden nach dem Kladderadatsch vom TLS-Handshake: SSL handshake has read 1947 bytes and written 350 bytes --- New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 2048 bit SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: F2ED0FB07021C997A25C91029BD5A6483E95E1C227D8DECF1AEC43F8465A62B6 Session-ID-ctx: Master-Key: BEDABCE4EC9980817C576EB8DD53D08068D35EA3EA960FED63E2231EDC9C177C8AF515C30408792216DDBC5E9203A613 Key-Arg : None Start Time: 1136404708 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- 220 japantest.homelinux.com ESMTP Postfix quit 221 2.0.0 Bye Wenn das kommt, funktioniert jedenfalls Postfix schon einmal mit TLS.
quit
Nach dem How-To ist alles in Ordnung wenn 250-STARTTLS und 250-AUTH erscheinen - so ist es bei mir
Aber dann macht mich folgendes stutzig. Wenn ich die aktiven Ports überprüfe mit "netstat -an|grep LISTEN" bekomme ich folgendes zu sehen:
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:2000 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN tcp 0 0 :::110 :::* LISTEN tcp 0 0 :::143 :::* LISTEN tcp 0 0 :::2000 :::* LISTEN tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::22 :::* LISTEN tcp 0 0 :::25 :::* LISTEN
Laut howto und auch irgendwie logisch müssen dort auch die ports 993 und 995 für pops und imaps erscheinen, tun sie aber nicht.
Das hat mit Postfix nichts mehr zu tun, das ist die Konfiguration von Cyrus, die diese Ports benutzen soll. Das wird in /etc/imapd.conf festgelegt: /etc/imapd.conf: ... allowanonymouslogin: no tls_cert_file: /etc/certs/server.pem tls_key_file: /etc/certs/key.pem ... /etc/cyrus.conf: ... SERVICES { ... imaps cmd="imapd -s" listen="imaps" prefork=0 pop3s cmd="pop3d -s" listen="pop3s" prefork=0 ... } Dies sind nur die wesentlichen Einstellungen für TLS, nicht etwa alle notwendigen! Füge diese Einstellungen mal an den richtigen Stellen dazu und schaue danach, ob Port 993 vorhanden ist. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com