Martin Burnicki wrote:
Hallo Steffen,
Steffen Moser schrieb:
Martin Burnicki schrieb: Mit "Datenverschlüsselung" meinte ich jeglichen Datenaustausch zwischen dem Client und dem Server durch den Tunnel. Dazu gehört natürlich sowohl die Anmeldung als auch die Übertragung abgeholter Header und Nachrichten über das IMAP-Protokoll.
Zudem stellt sich die Frage, was denn nun eigentlich gewünscht ist, schließlich sind bei imaps _alle_ Daten encrypted und damit praktisch nicht abhörbar geschützt. Wie ich schon schrieb, der Tunnel verhindert nur das Ausspionieren des Passworts durch Mithorchen an der Leitung. Nein. Wenn Du IMAP über TLS/SSL machst, gehen sowohl Logindaten (also Benutzername und Passwort) als auch die Nutzdaten (eMail-Header, eMail- Bodys, Steuerinformationen) durch den Tunnel. Sie sind dann allesamt nicht mehr im Klartext auf der Leitung und damit nur dann von einem Dritten abhörbar, wenn er den SSH-Tunnel geknackt hätte.
Es wird also "alles" verschlüsselt, nicht nur das Login. Auch das Mit- lesen der Nachrichten selbst wird so praktisch unmöglich gemacht.
Du kannst es ja leicht überprüfen, indem Du z.B. mit "wireshark" mal die Pakete abfängst, die auf dem betreffenden Interface hereinkommen.
Hm, (fast) keiner versteht mich ;-(
Das ist doch genau, was ich ganz oben schrieb. _Alles_, was durch den Tunnel geht, wird verschlüsselt.
Aber was hindert einen Angreifer daran, selbst einen Tunnel aufzubauen? Er braucht dazu nur das Zertifikat des Servers zu akzeptieren (wie bei https).
Clientzertifikate: Der Server akzeptiert nur die Zertifikate, die von der CA kommen, die beim Server als vertrauenswürdig eingetragen sind. Das ist der Unterschied, wenn der Server explizit nach einem Clientzertifikat fragt im Gegensatz zu einem verschlüsselten Tunnel. Der eingetragene Name (common name) im Zertifikat dient dann zur Authentifikation des Clients. Verschlüsselter Tunnel: Der Server einigt sich mit dem Client auf ein gemeinsames Verfahren zur Verschlüsselung, der common name des Client dient nicht nur Authentifikation, der Client bekommt eine Warnung, wenn die CA des Server-Zertifikats nicht in seiner Liste der vertrauenswürdigen Zertifikate besteht, kann dieses aber trotzdem akzeptieren. Cyrus spezifisch: Wie üblich ist die Dokumentation für Cyrus besch... eiden, höflich ausgedrückt. Aber hier ein Ausschnitt aus einer Releasenote: Update of /afs/andrew/system/cvs/src/cyrus/man In directory unix3.andrew.cmu.edu:/usr/tmp/cvs-serv1931/man Modified Files: imapd.conf.5 Log Message: added tls*_require_cert option Index: src/cyrus/man/imapd.conf.5 diff -u src/cyrus/man/imapd.conf.5:1.59 src/cyrus/man/imapd.conf.5:1.60 --- src/cyrus/man/imapd.conf.5:1.59 Sat May 25 15:57:48 2002 +++ src/cyrus/man/imapd.conf.5 Sun Jun 2 11:25:43 2002 @@ -39,7 +39,7 @@ .\" AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING .\" OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE. .\" -.\" $Id: imapd.conf.5,v 1.59 2002/05/25 19:57:48 leg Exp $ +.\" $Id: imapd.conf.5,v 1.60 2002/06/02 15:25:43 ken3 Exp $ .SH NAME imapd.conf \- IMAP configuration file .SH DESCRIPTION @@ -258,10 +258,12 @@ file overrides the SASL configuration file. .IP "\fBtls_cert_file:\fR <none>" 5 File containing the global certificate used for ALL services (imap, -pop3, lmtp). +pop3, lmtp, sieve). .IP "\fBtls_key_file:\fR <none>" 5 File containing the private key belonging to the global server certificate. +.IP "\fBtls_require_cert:\fR 0" 5 +Require a client certificate for ALL services (imap, pop3, lmtp, sieve). .IP "\fBtls_imap_cert_file:\fR <none>" 5 File containing the certificate used for imap ONLY. If not specified, the global certificate is used. A value of "disabled" will disable @@ -270,6 +272,8 @@ File containing the private key belonging to the imap-specific server certificate. If not specified, the global private key is used. A value of "disabled" will disable SSL/TLS for imap. +.IP "\fBtls_imap_require_cert:\fR 0" 5 +Require a client certificate for imap ONLY. .IP "\fBtls_pop3_cert_file:\fR <none>" 5 File containing the certificate used for pop3 ONLY. If not specified, the global certificate is used. A value of "disabled" will disable @@ -278,6 +282,8 @@ File containing the private key belonging to the pop3-specific server certificate. If not specified, the global private key is used. A value of "disabled" will disable SSL/TLS for pop3. +.IP "\fBtls_pop3_require_cert:\fR 0" 5 +Require a client certificate for pop3 ONLY. .IP "\fBtls_lmtp_cert_file:\fR <none>" 5 File containing the certificate used for lmtp ONLY. If not specified, the global certificate is used. A value of "disabled" will disable @@ -286,6 +292,8 @@ File containing the private key belonging to the lmtp-specific server certificate. If not specified, the global private key is used. A value of "disabled" will disable TLS for lmtp. +.IP "\fBtls_lmtp_require_cert:\fR 0" 5 +Require a client certificate for lmtp ONLY. .IP "\fBtls_sieve_cert_file:\fR <none>" 5 File containing the certificate used for sieve ONLY. If not specified, the global certificate is used. A value of "disabled" will disable @@ -294,6 +302,8 @@ File containing the private key belonging to the sieve-specific server certificate. If not specified, the global private key is used. A value of "disabled" will disable TLS for sieve. +.IP "\fBtls_sieve_require_cert:\fR 0" 5 +Require a client certificate for sieve ONLY. .IP "\fBtls_ca_file:\fR <none>" 5 File containing one or more Certificate Authority (CA) certificates. .IP "\fBtls_ca_path:\fR <none>" 5 Die Man-Page kennt nur auf tls_require_cert. :-(( Um für externe und interne Clients unterschiedliche Bedingungen zu präsentieren, musst du die Serverkonfig auf diesen Ports abändern. Auf den ersten Blick habe ich aber nicht feststellen können, ob sich der Konfigpfad für eine zweite Instanz ändern lässt (per -use-config-file oder ähnliches für eine zweite Instanz). Die einzige Option in der man page war ein tcp wrapper, der auf IP-Basis entscheidet, ob der Zugriff auf einen service in /etc/cyrus.conf erlaubt ist oder nicht. Für eine Unterscheidung internes Netz / Internet sollte es reichen. Ohne Sourcecode-Analyse und Änderung wirst du wohl nicht ans Ziel kommen. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org