PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Qpopper + sendmail mit ssl und authentication?? Aber wie?



netlinker
20.10.02, 14:13
Hallo,

bis jetzt habe ich qpopper als POP3 Server verwendet, nun möchte ich Ihn als POP3S Server verwenden. Dank der Anleitung
aus dem Forum "FAQ Tips > Hier Suchen und Finden, Links, Tutorials > Dummy-Anleitung qpopper mit ssl" klappts auch schon.

Ich verwende OutlookExpress, bei erstensenden bekomme ich immer eine InfoFenster (Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werdenkonte....)
Kann ich dies irgendwie beheben??

Dann hätte ich noch die Frage, ob ich sendmail auch mit ssl sichern kann und auch noch eine Authentifizierung für sendmail einschalten kann?

Das mit SSL wäre schon wichtig, da ich von der Arbeit auf meine Mails zugreifen will und unser Internetzugang über ein Testlabor geht, in dem häufig gesniffert wird und ich möchte ja nicht, das jeder meine Mails lesen kann, genausowenig möchte ich, das irgendjemand meine SMTP-Server mißbraucht.

Wäre super wenn Ihr mir helfen könntet und mir auch erklären könntet, was die ganzen openssl-Befehle machen.
Leider habe ich keine Ahnung von SSL

Schon mal danke,
Björn



Habe openssl (openssl-0.9.6a) und qppoer (qpopper4.0.4 mit --with-ssl) installiert (ohne Fehler)

/etc/inetd.conf
spop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper -s -f /etc/pop/qpopper.config

Hier die /etc/pop/qpopper.config:
set tls-support = alternate-port
set tls-server-cert-file = /etc/pop/certs/cert.pem
set tls-private-key-file = /etc/pop/certs/privatekey.pem


Nun kommen die ganzen openssl Befehle? Da hab ich wirklich Null Ahnung:

so stand es in der Anleitung
------ Schnipp Anleitung Anfang

Zertifikate anlegen ( in /etc/pop)

CA Schlüssel einrichten:
openssl genrsa -des3 -out ca.key 1024


CA Zertifikat einrichten:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt


Testzertifikat einrichten:

openssl req -new -nodes -key ca.key -out req.pem -keyout cert.pem

Zertifikat bestätigen:

openssl x509 -req -CA ca.crt -CAkey ca.key -days 3650 -in req.pem -out cert.pem -CAcreateserial


zu Testzwecken: Zertifikat anschauen

openssl x509 -noout -text -in cert.pem


zu Testzwecken: Zertifikat in DER-Format umwandeln

openssl x509 -in cert.pem -out cert.der -outform DER


Aus den verschlüsselten privaten Schlüssel einen unverschlüsselten machen:

openssl rsa -in ca.key -out privatekey.pem


zu Testzwecken: Zertifikat mit privaten Schlüssel vergleichen (Zahlenkombination muss gleich sein, ansonsten gehören sie nicht zusammen)

openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in ca.key | openssl md5
openssl rsa -noout -modulus -in privatekey.pem | openssl md5

privtekey.pem und cert.pem nach /etc/pop/certs kopieren und absichern:

cp privatekey.pem ./certs/
cp cert.pem ./certs/
cd ./certs
chmod 600 *
ls -l

ined neustarten

rcinedt restart

zu Testzwecken: Test, ob Verbindung hergestellt werden kann
( von /etc/pop)

openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3

Antwort sieht so aus:

root@linux01:/etc/mail/pop > openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3
Enter PEM pass phrase:
CONNECTED(00000003)
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerGXXX
verify error:num=21:unable to verify the first certificate
verify return:1
---
Server certificate
-----BEGIN CERTIFICATE-----
XXXX
-----END CERTIFICATE-----
subject=/C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXXX.de/Email=HolgerXXXX
issuer=/C=DE/ST=Deutschland/L=Oldenburg (Oldbg.)/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
---
No client certificate CA names sent
---
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5
EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
RC4-64-MD5
---
SSL handshake has read 882 bytes and written 239 bytes
---
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
SSL-Session:
Protocol : SSLv2
Cipher : DES-CBC3-MD5
Session-ID: 97C4BF3C1ED7A739480B00768B03056F
Session-ID-ctx:
Master-Key: D87E4A95BA88C906192E8C1F7246294FE9BEECF074CE55CB
Key-Arg : 35A5C8129B4F45C2
Start Time: 1029933562
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
+OK Qpopper (version 4.0.4) at linux01.XXXX.de starting.

Wer will, kann noch n bisschen auf den popper rumkaspern:

user NAME
pass PASSWORT
list
quit


ggf. noch auf Clientrechnern die host-Einträge auf linux01.XXXX.de und die services auf überprüfen:

pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL
pop3s 995/udp spop3 # pop3 protocol over TLS/SSL

Dann OE einrichten

------ Schnipp Anleitung Ende