PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : qmail und pop3 bzw. smtp über ssl



derRichard
30.08.02, 00:16
hallo!

ich hab bei mir qmail mit qinstall1.1 installiert und es geht auch super.
aber wie kann ich einstellen ,dass die pop3-anmeldungen über ssl gehen?

mfg
richard

$simon[0]
30.08.02, 21:49
Hi,
etwas mehr Informationen wären Nützlich.
- Welchen pop3 Server nutzt du?
- Nutzt du die daemontools von djb?
- usw.

Aber hier mein run script:

#!/bin/sh
MAXPOP3SD=`head -1 /var/qmail/control/concurrencypop3s`
if [ -z $MAXPOP3SD]; then
echo MAXPOP3SD is unset in
echo $0
exit 1
fi

exec /usr/local/bin/softlimit -m 2500000 \
/usr/local/bin/envdir /etc/relay-ctrl /usr/local/bin/relay-ctrl-chdir \
/usr/local/bin/tcpserver -v -R -H -l 0 -x \
/etc/tcprules/tcp.pop3s.cdb -c "$MAXPOP3SD" 0 995 \
/usr/sbin/stunnel -f -p /etc/certs/qmail-servercert.pem -A \
/etc/certs/CA_certs.pem \
-N pop3s -l /var/qmail/bin/qmail-popup -- \
/var/qmail/bin/qmail-popup blackbird.offlineprovider.de \
/bin/checkpassword /usr/local/bin/relay-ctrl-allow \
/var/qmail/bin/qmail-pop3d Maildir 2>&1


Der blaue Teil ermöglicht die SSL Verbindung, die Zertifikate (qmail-servercert.pem) musst du selbst erstellen.

Gruß,
Simon

derRichard
30.08.02, 22:17
hallo!

bei qinstall1.1 is dabei:

qmail-1.03
vpopmail-5.2
daemontools-0.70
ezmlm-0.53
ezmlm-idx-0.40
autorespond-2.0.2
ucspi-tcp-0.88
qmailadmin-1.0.2
sqwebmail-3.3.1

@simon
also läuft bei die pop3 über einen ssl-tunnel oder?

mfg
richard

$simon[0]
30.08.02, 22:39
Nein,
stunnel bietet die Möglichkeit Programme die auf den inetd (oder tcpserver, xinetd, ö.a.) zu starten und so die Verbindung über SSL zu ermöglichen.

Ich hätte aber auch, wie unten, einen SSL-Tunnel erstellen können. :-)

Das Kommando:
stunnel -d MeineIP:995 -p /etc/selfsigned_cert.pem -r AndereIP:110
würde einen Tunnel erstellen.

Weiteres Beispiel, dein POP3 Server lauscht auf 127.0.0.1 (und nur da! ;), der Server beherscht aber selbst kein SSL. POP3s läuft auf TCP-Port 995.

stunnel -d 10.0.0.10:995 -p /etc/selfsigned_cert.pem -r 127.0.0.1:110

Schau einfach mal in die Manpage von stunnel.

Gruß,
Simon

derRichard
30.08.02, 23:24
hallo!

jetzt scheitert es an den ssl-zerts...
für stunnel beötige ich doch ein root-ca oder?
ich hab mal so eins angelegt:
root@server2 root # openssl req -new -x509 -keyout /etc/pop3.pem -out /etc/pop3.pem -days 3650

und dann hab ich

stunnel -d 192.168.0.5:995 -p /etc/pop3.pem -r 127.0.0.1:110
gemacht.
dann hat stunnel ein das passwort für das root-ca verlangt und ich habs eingetippt.
dann war es "fertig".
aber wenn ich #netstat -ln mache dann is da aber nix mit port 995 da.

irgendwas mach ich das ganz höllisch falsch, nur was?

mfg
richard

$simon[0]
30.08.02, 23:45
Hi, Fehler sehe ich da keine.

versuche mal:
stunnel -d 192.168.0.5:995 -p /etc/pop3.pem -r 127.0.0.1:110 -f
So solltest du einige Informationen erhalten. (Kannst du z.B. hier posten)

Simon

derRichard
30.08.02, 23:55
also lagsam werd ich alt....

ich habs jetzt nochmal gemacht, passwort eingetippt...und jetzt geht es!
jetzt hab ich nur eine frage:
muss ich das passwort bei jedem start des pop3-servers eingeben?
oder kann der sich das merken?

mfg
richard

p.s: hast du kein icq? sonst wird das ein endlos-thread....

$simon[0]
31.08.02, 00:07
Die Infos findest du auch so im Web,
google hilft dabei.

Aber hier auch die Lösung:

openssl genrsa -out key.pem 1024
openssl req -new -key key.pem -x509 -out selfsigend.pem


ICQ habe ich nicht, will ich auch nicht!

IRCnet
irc.freenet.de:6667
#linux
nick: simon simon_ simon- simon--
Welcher grad frei ist ;-)

Simon

derRichard
31.08.02, 00:58
hallo!

so geht es leider nicht :-(
siehe:
root@server2 etc # stunnel -d 192.168.0.5:995 -p /etc/selfsigend.pem -r 127.0.0.1:110 -f
2002.08.31 00:54:06 LOG5[8151:1024]: Using '127.0.0.1.110' as tcpwrapper service name
2002.08.31 00:54:06 LOG4[8151:1024]: Wrong permissions on /etc/selfsigend.pem
2002.08.31 00:54:06 LOG3[8151:1024]: SSL_CTX_use_RSAPrivateKey_file: error:0906D06C:PEM routines:PEM_read_bio:no start line

mfg
richard

$simon[0]
31.08.02, 01:04
cat key.pem > ssc.pem
cat selfsigned.pem >> ssc.pem

dann ssc.pem nutzen...

oder:
openssl req -nodes -new -x509 -keyout /etc/pop3.pem -out /etc/pop3.pem -days 3650

Simon

derRichard
31.08.02, 01:59
hallo!

jetzt geht es :) :) :)
aber ich hab gleich die nächste frage(n):

wie kann ich das machen das man sich auch bei smtp mit username und passwd anmelden muss?

mein meilserver is hinter einem router, welche ports muss ich ja zum mailserver prerouten?

mfg
richard

$simon[0]
31.08.02, 02:25
Zum PREROUTING:

INET=ppp0
MAILSERVER=192.168.0.1
# smtp
iptables -A PREROUTING -t nat -i $INET -p tcp --dport 25 -j DNAT --to-destination $MAILSERVER:25
iptables -A PREROUTING -t nat -i $INET -p tcp --dport 110 -j DNAT --to-destination $MAILSERVER:110
iptables -A PREROUTING -t nat -i $INET -p tcp --dport 995 -j DNAT --to-destination $MAILSERVER:995

Zum SMTP AUTH:
PLAIN: http://www.nimh.org/dl/qmail-smtpd.c
CRAM MD5 & PLAIN: http://members.elysium.pl/brush/qmail-smtpd-auth/

Auf http://www.qmail.org solltest du auch weiteres dazu finden.

Du solltest dir aber mal angewöhnen das ganze erstmal eigenständig zu versuchen und erst bei Problemen hier zu Fragen, sonst lernst du nichts dabei.

Gruß,
Simon