Hallo Ingo, Ingo Freund schrieb:
On 02.01.2008 12:26, Martin Burnicki wrote (please find the answer below the original text):
Hallo,
Ortwin Ebhardt schrieb:
Ingo Freund schrieb:
Martin Burnicki schrieb:
ich habe hier einen cyus imapd, der aus dem (kleinen) internen Netz direkt über imap-Protokoll mit einfachem Text-Passwort erreichbar ist.
Zusätzlich sollte der Server jetzt auch von extern erreichbar sein, jedoch ausschließlich über imaps-Protokoll / Port 993.
Ich weiß, dass imaps nur den Datenverkehr verschlüsselt. [...]
Absolut sicher? Woher kommt dieses Wissen?
Ich denke, hier liegt ein Mißverständnis vor; bei imaps wird für die verbindung mit dem imap-Server in SSL-Tunnel aufgebaut, alle Daten, die dadurch gehen (egal ob nun nochmals extra verschlüsselt oder nicht) sind somit mittels SSL geschützt. (SSL oder TSL, bin zu faul, immer beides zu schreiben.) Auch die Anmeldedaten werden über diesen Tunnel übertragen, entsprechend sind sie auch verschlüsselt. Genau. Aber meines Wissens verhindert die Verschlüsselung durch den Tunnel lediglich, dass durch Abhorchen des Datenverkehrs das Passwort herausgefunden werden kann.
Ja genau, deshalb ja auch meine Frage woher das Wissen über die "Nur- Datenverschlüsselung" kommt. Das klang so, als wenn die Anmeldedaten (User/Passwort) nicht verschlüsselt würden, was natürlich nicht der Fall ist.
Mit "Datenverschlüsselung" meinte ich jeglichen Datenaustausch zwischen dem Client und dem Server durch den Tunnel. Dazu gehört natürlich sowohl die Anmeldung als auch die Übertragung abgeholter Header und Nachrichten über das IMAP-Protokoll.
Zudem stellt sich die Frage, was denn nun eigentlich gewünscht ist, schließlich sind bei imaps _alle_ Daten encrypted und damit praktisch nicht abhörbar geschützt.
Wie ich schon schrieb, der Tunnel verhindert nur das Ausspionieren des Passworts durch Mithorchen an der Leitung. [...]
Ein Text-Login würde dadurch nicht wesentlich erschwert.
Wenn damit gemeint ist, dass trotz SSL-Forderung auf dem Port 993 eine unverschlüsselte Anmeldung möglich sein sollte, dann ist diese Annahme falsch.
Nein, im Gegensatz zu Port 143 auf dem gleichen Server sollte eben über Port 993 gerade keine Anmeldung mit Passwort möglich sein. Stattdessen sollte über Port 993 ausschließlich ein user-spezifisches Zertifikat verwendet werden dürfen, wie es auch beim passwort-losen Login über ssh verwendet wird (Stichwort ~/.ssh/id_rsa.pub, ~/.ssh/authorized_keys).
imaps-Funktion: Ein SSL-Zertifikat muß vorliegen und der Client möglichst das Root-CA kennen (ggf. improtieren), sonst meckert er über ein angeblich "Ungültiges Zertifikat". Client und Server einigen sich nach dem Austausch der Zertifikatsdaten und der gegenseitigen Anerkennung im Handshake über die Verschlüsselung. Ab dann ist die Verbindung encrypted.
Genau. Dann steht der Tunnel. Um den Tunnel aufzubauen, muß ein Bösewicht ;-) nur seinen Email-Client für IMAPS konfigurieren und ggf. das Zertifikat des Servers zu akzeptieren.
Nun gibt es die Authentifizierung mit den Anmeldedaten und den Datenaustausch.
Und wenn das Passwort leicht zu erraten ist, ist der Bösewicht dann drin und hat Zugriff auf die Emails. Da der bewußte Mailserver bisher nur innerhalb eines vertrauenswürdigen Intranets per IMAP (ohne TLS/SSL) erreichbar war, sind sicherlich einige Passwörter nicht allzu sicher. Daher die Idee, den Zugang von außen nur über ein user-spezifisches Zertifikat zu erlauben und das Text-Loginzu verhindern. Die zur Authorisierung der Benutzer verwendeten Zertifikate müssen und sollten nichts mit dem Zertifikat zu tun haben, welches die SSL-/TLS-Schicht zum Aufbau des Tunnels verwendet.
Das ganze ist natürlich in den bekannten Konfigurationsdateien einzustellen!
Und hier kommen wir zum Kern: Mit welchem Parameter erreiche ich das gewünschte Verhalten? Die von Ortwin erwähnte Konfigurations-Option tls_require_cert: 1 hört sich vielversprechend an, also werde ich in diese Richtung weitersuchen. Viele Grüße, Martin -- Martin Burnicki Meinberg Funkuhren Bad Pyrmont Germany -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org