Archiv verlassen und diese Seite im Standarddesign anzeigen : cyrus21 tls und co
Hallo Board,
nachdem mich Cyrus so langsam zum Verzweifeln bringt, hoffe ich auf eure Hilfe.
Nachdem der Mailserver über Inet von außen erreichbar sein soll, möchte ich ungern plaintext-passwörter versenden, also für cyrus21 gerne Verschlüsselung aktivieren. Leider konnte ich bisher kein wirklich gutes Howto dafür entdecken (bin ich blind?), habe aber jetzt mit openssl Zertifikate erstellen können und eingebunden. Die scheint der Server auch zu schlucken, aber der Zugriff klappt einfach nicht.
Mittels Thunderbird ist es mir nicht möglich, auf meine eMails zuzugreifen, dieser spuckt nur: "Deaktivieren Sie sichere Authentifizierung um auf den Server zuzugreifen" aus.
Falls ich das mache, kann ich zugreifen. Aber eben nur mit "plaintext + TLS".
Einzige Zeile im syslog, die ich für wichtig erachte, ist diese hier:
SSLv3 with cipher AES256-SHA (256/256 bits reused) no authentication
Was jetzt tun?
Könnt ihr mir weiterhelfen, wo muss ich nachsehen, bzw. wo finde ich ein gutes Howto?
Vielen, vielen Dank
Hi!
Was passt Dir an TLS nicht?
"sichere Authentifizierung verwenden" bedeutet IMHO "APOP"
Deshalb solltest Du nach einem Cyrus APOP Howto Ausschau halten.
Grüße
Manx
Danke für die schnelle Antwort.
Was mich stört, dass ist das da offenbar immer noch in plaintext übertragen wird. Genau das möchte ich aber vermeiden. Oder irre ich mich und der verschlüsselt brav?
Meiner Meinung nach sollte das doch am Ende SSL + TLS heissen, oder? Genau das möchte ich auch hinkriegen...
Danke
Hi!
Mein Ansicht der Dinge!
Bei POP3 wird das Passwort im Plaintext and den Server übergeben.
POP3 läuft über Port 110. Du kannst das Plain-Passwort nun durch SSL/TLS schützen.
Bei POP3 am besten über POP3s, sprich Port 995.
Es könnte möglicherweise auch eine Option auf STARTTLS über Port 110 geben, was aber Blödsinn wäre.
Exkurs: Bei SMTP Authentifizierung und TLS geht's nur über Port 25 und einer Option STARTTLS, die aber verpflichtend sein sollte!
APOP ist eine ganz andere Geschichte!
IMHO reicht für ein sehr sicheres Mailsystem:
nur POP3s (Port 995) bzw. IMAPs (Port 993) anbieten
SMTP Authentifizierung verwenden, und da meist die gleichen Passwörter verwendet werden, dies ebenfalls über SSL/TLS absichern.
Im Fall von SMTP läuft das normlerweise über Port 25, weshalb sichergestellt werden muss, dass im Falle einer SMTP-Authentifizierung TLS verpflichtend ist (sprich TLS required)
Grüße
Manx
Ok, muss gestehen, dass ich da jetzt nicht alles verstanden habe.
Der Cyrus-Server ist -habe ich vergessen zu erwähnen- übrigens via imap zu erreichen, eben über Port 993.
Du sagst nun, eine Verschlüsselung der Kennwörter sei am Besten über SSL zu erreichen. Das ist dann auch das, was ich vorhatte, aber leider nicht hinkriege. (Es scheint jedenfalls so).
Denn bisher bekomme ich immer noch dieses Plaintext + TLS, aber eben keinerlei SSL im Log zu sehen, auch wenns über Port 993 läuft.
Ich kann mich irren, denn da bin ich mir wirklich nicht sicher, aber ich dachte die "sichere Verbindung" bei Thunderbird erreicht genau das SSL?
Also, was kann/muss ich jetzt machen, um eben die Passwörter nur mehr verschlüsselt zu übertragen? Da muss ich doch irgendwas im imapd oder cyrus drehen, oder?
Danke
Hi!
Das Passwort wird ja auch Plaintext übertragen, aber eben in einer mittels SSL verschlüsselten Session.
http://wp.netscape.com/eng/ssl3/draft302.txt
The SSL Record Protocol is used for encapsulation of various higher level protocols. One such encapsulated protocol, the SSL Handshake Protocol, allows the server and client to authenticate each other and to negotiate an encryption algorithm and cryptographic keys before the application protocol transmits or receives its first byte of data.
Du kannst ja mit tcpdump/ethereal mitsniffern.
Grüße
Manx
Hallo,
ich bin mir jetzt nicht so sicher, ob das wirklich geschieht. Denn ich habe mich mit einem zweiten Rechner auf den Imap verbunden, da wird nicht nach irgendwelchen Zertifikaten gefragt und auch keine auf der Clientseite installiert.
Das müsste aber -wenn ich mich nicht komplett irre- geschehen.
Und müsste ich nicht in den Logs sehen, ob das Passwort gekapselt (über SSL) übertragen wird?
Mit den genannten Progs zum mitsniffen kenne ich mich nicht aus, werde aber mal sehen, ob ich da was rauskriege.
Gruß,
Zalon
Edit:
Kommando zurück, das Zertifikat wird doch abgefragt. Stellt sich nur die Frage, ob der das nicht loggen sollte, bzw. ob ich das mit den genannten Progs nochmal verifizieren kann.
Hi!
Ethereal ist nicht kompliziert.
Hab's bei mir unter WinXP laufen, einfach erst "WinPcap_3_0.exe" installieren, dann die "ethereal-setup-0.10.11.exe". Ethereal (http://netmirror.org/mirror/ftp.ethereal.com/win32/)
Edit => Preferences => Capure => Interface festlegen "Apply"
Capture => Start
Mailprogramm starten und Mails abrufen!
Ohne SSL/TLS Verschlüsselung schaut's ca. so aus.
Du siehst in der Protocol Spalte u.a das IMAP Protokoll.
Nimm ein IMAP-Paket => Rechtsklick => Follow TCP Stream
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2005 Double Precision, Inc. See COPYING for distribution information.
1 capability
* CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS
1 OK CAPABILITY completed
2 login "username" "password"
2 OK LOGIN Ok.
3 namespace
* NAMESPACE (("INBOX." ".")) NIL (("#shared." ".")("shared." "."))
3 OK NAMESPACE completed.
4 lsub "" "INBOX.*"
...
8 select "INBOX"
Läuft alles verschlüsselt siehst Du in der Protocol Spalte u.a (bei mir z.B) SSLv2 (Info: Client Hello) und TLS.
Grüße
Manx
Danke für die tolle Hilfe!!
Zwar konnte ich keinen so schönen lesbaren Text finden (über das Fenster mit Follow TCP-Stream?), aber in der Zeile mit Protocol sind haufenweise TLS. Den Handshake habe ich als "Encypted Handshake Message" in der Info-Spalte gefunden.
Damit sollte ja eigentlich sichergestellt sein, dass das Ding genau das macht was es soll.
Sagte ich schon vielen Dank?
Danke-Danke-Danke ;)
Danke für die tolle Hilfe!!
Zwar konnte ich keinen so schönen lesbaren Text finden (über das Fenster mit Follow TCP-Stream?)
... das solltest Du auch nicht, dieser lesbare Text ist IMAP und den sieht man inklusive dem Plaintext Passwort nur ohne Verschlüsselung (IMAP über Standard Port 143) :D.
Grüße
Manx
PS: Bitte gerne ;)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.