PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : cyrus21 tls und co



Zalon
21.05.05, 16:08
Hallo Board,

nachdem mich Cyrus so langsam zum Verzweifeln bringt, hoffe ich auf eure Hilfe.

Nachdem der Mailserver über Inet von außen erreichbar sein soll, möchte ich ungern plaintext-passwörter versenden, also für cyrus21 gerne Verschlüsselung aktivieren. Leider konnte ich bisher kein wirklich gutes Howto dafür entdecken (bin ich blind?), habe aber jetzt mit openssl Zertifikate erstellen können und eingebunden. Die scheint der Server auch zu schlucken, aber der Zugriff klappt einfach nicht.

Mittels Thunderbird ist es mir nicht möglich, auf meine eMails zuzugreifen, dieser spuckt nur: "Deaktivieren Sie sichere Authentifizierung um auf den Server zuzugreifen" aus.
Falls ich das mache, kann ich zugreifen. Aber eben nur mit "plaintext + TLS".

Einzige Zeile im syslog, die ich für wichtig erachte, ist diese hier:
SSLv3 with cipher AES256-SHA (256/256 bits reused) no authentication

Was jetzt tun?

Könnt ihr mir weiterhelfen, wo muss ich nachsehen, bzw. wo finde ich ein gutes Howto?

Vielen, vielen Dank

[WCM]Manx
21.05.05, 17:35
Hi!

Was passt Dir an TLS nicht?
"sichere Authentifizierung verwenden" bedeutet IMHO "APOP"
Deshalb solltest Du nach einem Cyrus APOP Howto Ausschau halten.

Grüße

Manx

Zalon
21.05.05, 17:50
Danke für die schnelle Antwort.

Was mich stört, dass ist das da offenbar immer noch in plaintext übertragen wird. Genau das möchte ich aber vermeiden. Oder irre ich mich und der verschlüsselt brav?

Meiner Meinung nach sollte das doch am Ende SSL + TLS heissen, oder? Genau das möchte ich auch hinkriegen...


Danke

[WCM]Manx
21.05.05, 18:11
Hi!

Mein Ansicht der Dinge!

Bei POP3 wird das Passwort im Plaintext and den Server übergeben.
POP3 läuft über Port 110. Du kannst das Plain-Passwort nun durch SSL/TLS schützen.
Bei POP3 am besten über POP3s, sprich Port 995.
Es könnte möglicherweise auch eine Option auf STARTTLS über Port 110 geben, was aber Blödsinn wäre.
Exkurs: Bei SMTP Authentifizierung und TLS geht's nur über Port 25 und einer Option STARTTLS, die aber verpflichtend sein sollte!

APOP ist eine ganz andere Geschichte!

IMHO reicht für ein sehr sicheres Mailsystem:

nur POP3s (Port 995) bzw. IMAPs (Port 993) anbieten
SMTP Authentifizierung verwenden, und da meist die gleichen Passwörter verwendet werden, dies ebenfalls über SSL/TLS absichern.
Im Fall von SMTP läuft das normlerweise über Port 25, weshalb sichergestellt werden muss, dass im Falle einer SMTP-Authentifizierung TLS verpflichtend ist (sprich TLS required)

Grüße

Manx

Zalon
21.05.05, 18:30
Ok, muss gestehen, dass ich da jetzt nicht alles verstanden habe.

Der Cyrus-Server ist -habe ich vergessen zu erwähnen- übrigens via imap zu erreichen, eben über Port 993.

Du sagst nun, eine Verschlüsselung der Kennwörter sei am Besten über SSL zu erreichen. Das ist dann auch das, was ich vorhatte, aber leider nicht hinkriege. (Es scheint jedenfalls so).
Denn bisher bekomme ich immer noch dieses Plaintext + TLS, aber eben keinerlei SSL im Log zu sehen, auch wenns über Port 993 läuft.

Ich kann mich irren, denn da bin ich mir wirklich nicht sicher, aber ich dachte die "sichere Verbindung" bei Thunderbird erreicht genau das SSL?

Also, was kann/muss ich jetzt machen, um eben die Passwörter nur mehr verschlüsselt zu übertragen? Da muss ich doch irgendwas im imapd oder cyrus drehen, oder?

Danke

[WCM]Manx
21.05.05, 18:49
Hi!

Das Passwort wird ja auch Plaintext übertragen, aber eben in einer mittels SSL verschlüsselten Session.

http://wp.netscape.com/eng/ssl3/draft302.txt

The SSL Record Protocol is used for encapsulation of various higher level protocols. One such encapsulated protocol, the SSL Handshake Protocol, allows the server and client to authenticate each other and to negotiate an encryption algorithm and cryptographic keys before the application protocol transmits or receives its first byte of data.

Du kannst ja mit tcpdump/ethereal mitsniffern.

Grüße

Manx

Zalon
21.05.05, 19:00
Hallo,

ich bin mir jetzt nicht so sicher, ob das wirklich geschieht. Denn ich habe mich mit einem zweiten Rechner auf den Imap verbunden, da wird nicht nach irgendwelchen Zertifikaten gefragt und auch keine auf der Clientseite installiert.
Das müsste aber -wenn ich mich nicht komplett irre- geschehen.

Und müsste ich nicht in den Logs sehen, ob das Passwort gekapselt (über SSL) übertragen wird?

Mit den genannten Progs zum mitsniffen kenne ich mich nicht aus, werde aber mal sehen, ob ich da was rauskriege.

Gruß,

Zalon

Edit:

Kommando zurück, das Zertifikat wird doch abgefragt. Stellt sich nur die Frage, ob der das nicht loggen sollte, bzw. ob ich das mit den genannten Progs nochmal verifizieren kann.

[WCM]Manx
21.05.05, 21:49
Hi!

Ethereal ist nicht kompliziert.
Hab's bei mir unter WinXP laufen, einfach erst "WinPcap_3_0.exe" installieren, dann die "ethereal-setup-0.10.11.exe". Ethereal (http://netmirror.org/mirror/ftp.ethereal.com/win32/)
Edit => Preferences => Capure => Interface festlegen "Apply"
Capture => Start
Mailprogramm starten und Mails abrufen!

Ohne SSL/TLS Verschlüsselung schaut's ca. so aus.
Du siehst in der Protocol Spalte u.a das IMAP Protokoll.
Nimm ein IMAP-Paket => Rechtsklick => Follow TCP Stream


* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. See COPYING for distribution information.
1 capability
* CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS
1 OK CAPABILITY completed
2 login "username" "password"
2 OK LOGIN Ok.
3 namespace
* NAMESPACE (("INBOX." ".")) NIL (("#shared." ".")("shared." "."))
3 OK NAMESPACE completed.
4 lsub "" "INBOX.*"
...
8 select "INBOX"

Läuft alles verschlüsselt siehst Du in der Protocol Spalte u.a (bei mir z.B) SSLv2 (Info: Client Hello) und TLS.

Grüße

Manx

Zalon
21.05.05, 22:56
Danke für die tolle Hilfe!!

Zwar konnte ich keinen so schönen lesbaren Text finden (über das Fenster mit Follow TCP-Stream?), aber in der Zeile mit Protocol sind haufenweise TLS. Den Handshake habe ich als "Encypted Handshake Message" in der Info-Spalte gefunden.

Damit sollte ja eigentlich sichergestellt sein, dass das Ding genau das macht was es soll.

Sagte ich schon vielen Dank?

Danke-Danke-Danke ;)

[WCM]Manx
21.05.05, 23:37
Danke für die tolle Hilfe!!

Zwar konnte ich keinen so schönen lesbaren Text finden (über das Fenster mit Follow TCP-Stream?)

... das solltest Du auch nicht, dieser lesbare Text ist IMAP und den sieht man inklusive dem Plaintext Passwort nur ohne Verschlüsselung (IMAP über Standard Port 143) :D.

Grüße

Manx

PS: Bitte gerne ;)