netlinker
20.10.02, 13:13
Hallo,
bis jetzt habe ich qpopper als POP3 Server verwendet, nun möchte ich Ihn als POP3S Server verwenden. Dank der Anleitung
aus dem Forum "FAQ Tips > Hier Suchen und Finden, Links, Tutorials > Dummy-Anleitung qpopper mit ssl" klappts auch schon.
Ich verwende OutlookExpress, bei erstensenden bekomme ich immer eine InfoFenster (Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werdenkonte....)
Kann ich dies irgendwie beheben??
Dann hätte ich noch die Frage, ob ich sendmail auch mit ssl sichern kann und auch noch eine Authentifizierung für sendmail einschalten kann?
Das mit SSL wäre schon wichtig, da ich von der Arbeit auf meine Mails zugreifen will und unser Internetzugang über ein Testlabor geht, in dem häufig gesniffert wird und ich möchte ja nicht, das jeder meine Mails lesen kann, genausowenig möchte ich, das irgendjemand meine SMTP-Server mißbraucht.
Wäre super wenn Ihr mir helfen könntet und mir auch erklären könntet, was die ganzen openssl-Befehle machen.
Leider habe ich keine Ahnung von SSL
Schon mal danke,
Björn
Habe openssl (openssl-0.9.6a) und qppoer (qpopper4.0.4 mit --with-ssl) installiert (ohne Fehler)
/etc/inetd.conf
spop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper -s -f /etc/pop/qpopper.config
Hier die /etc/pop/qpopper.config:
set tls-support = alternate-port
set tls-server-cert-file = /etc/pop/certs/cert.pem
set tls-private-key-file = /etc/pop/certs/privatekey.pem
Nun kommen die ganzen openssl Befehle? Da hab ich wirklich Null Ahnung:
so stand es in der Anleitung
------ Schnipp Anleitung Anfang
Zertifikate anlegen ( in /etc/pop)
CA Schlüssel einrichten:
openssl genrsa -des3 -out ca.key 1024
CA Zertifikat einrichten:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Testzertifikat einrichten:
openssl req -new -nodes -key ca.key -out req.pem -keyout cert.pem
Zertifikat bestätigen:
openssl x509 -req -CA ca.crt -CAkey ca.key -days 3650 -in req.pem -out cert.pem -CAcreateserial
zu Testzwecken: Zertifikat anschauen
openssl x509 -noout -text -in cert.pem
zu Testzwecken: Zertifikat in DER-Format umwandeln
openssl x509 -in cert.pem -out cert.der -outform DER
Aus den verschlüsselten privaten Schlüssel einen unverschlüsselten machen:
openssl rsa -in ca.key -out privatekey.pem
zu Testzwecken: Zertifikat mit privaten Schlüssel vergleichen (Zahlenkombination muss gleich sein, ansonsten gehören sie nicht zusammen)
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in ca.key | openssl md5
openssl rsa -noout -modulus -in privatekey.pem | openssl md5
privtekey.pem und cert.pem nach /etc/pop/certs kopieren und absichern:
cp privatekey.pem ./certs/
cp cert.pem ./certs/
cd ./certs
chmod 600 *
ls -l
ined neustarten
rcinedt restart
zu Testzwecken: Test, ob Verbindung hergestellt werden kann
( von /etc/pop)
openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3
Antwort sieht so aus:
root@linux01:/etc/mail/pop > openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3
Enter PEM pass phrase:
CONNECTED(00000003)
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerGXXX
verify error:num=21:unable to verify the first certificate
verify return:1
---
Server certificate
-----BEGIN CERTIFICATE-----
XXXX
-----END CERTIFICATE-----
subject=/C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXXX.de/Email=HolgerXXXX
issuer=/C=DE/ST=Deutschland/L=Oldenburg (Oldbg.)/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
---
No client certificate CA names sent
---
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5
EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
RC4-64-MD5
---
SSL handshake has read 882 bytes and written 239 bytes
---
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
SSL-Session:
Protocol : SSLv2
Cipher : DES-CBC3-MD5
Session-ID: 97C4BF3C1ED7A739480B00768B03056F
Session-ID-ctx:
Master-Key: D87E4A95BA88C906192E8C1F7246294FE9BEECF074CE55CB
Key-Arg : 35A5C8129B4F45C2
Start Time: 1029933562
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
+OK Qpopper (version 4.0.4) at linux01.XXXX.de starting.
Wer will, kann noch n bisschen auf den popper rumkaspern:
user NAME
pass PASSWORT
list
quit
ggf. noch auf Clientrechnern die host-Einträge auf linux01.XXXX.de und die services auf überprüfen:
pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL
pop3s 995/udp spop3 # pop3 protocol over TLS/SSL
Dann OE einrichten
------ Schnipp Anleitung Ende
bis jetzt habe ich qpopper als POP3 Server verwendet, nun möchte ich Ihn als POP3S Server verwenden. Dank der Anleitung
aus dem Forum "FAQ Tips > Hier Suchen und Finden, Links, Tutorials > Dummy-Anleitung qpopper mit ssl" klappts auch schon.
Ich verwende OutlookExpress, bei erstensenden bekomme ich immer eine InfoFenster (Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werdenkonte....)
Kann ich dies irgendwie beheben??
Dann hätte ich noch die Frage, ob ich sendmail auch mit ssl sichern kann und auch noch eine Authentifizierung für sendmail einschalten kann?
Das mit SSL wäre schon wichtig, da ich von der Arbeit auf meine Mails zugreifen will und unser Internetzugang über ein Testlabor geht, in dem häufig gesniffert wird und ich möchte ja nicht, das jeder meine Mails lesen kann, genausowenig möchte ich, das irgendjemand meine SMTP-Server mißbraucht.
Wäre super wenn Ihr mir helfen könntet und mir auch erklären könntet, was die ganzen openssl-Befehle machen.
Leider habe ich keine Ahnung von SSL
Schon mal danke,
Björn
Habe openssl (openssl-0.9.6a) und qppoer (qpopper4.0.4 mit --with-ssl) installiert (ohne Fehler)
/etc/inetd.conf
spop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popper -s -f /etc/pop/qpopper.config
Hier die /etc/pop/qpopper.config:
set tls-support = alternate-port
set tls-server-cert-file = /etc/pop/certs/cert.pem
set tls-private-key-file = /etc/pop/certs/privatekey.pem
Nun kommen die ganzen openssl Befehle? Da hab ich wirklich Null Ahnung:
so stand es in der Anleitung
------ Schnipp Anleitung Anfang
Zertifikate anlegen ( in /etc/pop)
CA Schlüssel einrichten:
openssl genrsa -des3 -out ca.key 1024
CA Zertifikat einrichten:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Testzertifikat einrichten:
openssl req -new -nodes -key ca.key -out req.pem -keyout cert.pem
Zertifikat bestätigen:
openssl x509 -req -CA ca.crt -CAkey ca.key -days 3650 -in req.pem -out cert.pem -CAcreateserial
zu Testzwecken: Zertifikat anschauen
openssl x509 -noout -text -in cert.pem
zu Testzwecken: Zertifikat in DER-Format umwandeln
openssl x509 -in cert.pem -out cert.der -outform DER
Aus den verschlüsselten privaten Schlüssel einen unverschlüsselten machen:
openssl rsa -in ca.key -out privatekey.pem
zu Testzwecken: Zertifikat mit privaten Schlüssel vergleichen (Zahlenkombination muss gleich sein, ansonsten gehören sie nicht zusammen)
openssl x509 -noout -modulus -in cert.pem | openssl md5
openssl rsa -noout -modulus -in ca.key | openssl md5
openssl rsa -noout -modulus -in privatekey.pem | openssl md5
privtekey.pem und cert.pem nach /etc/pop/certs kopieren und absichern:
cp privatekey.pem ./certs/
cp cert.pem ./certs/
cd ./certs
chmod 600 *
ls -l
ined neustarten
rcinedt restart
zu Testzwecken: Test, ob Verbindung hergestellt werden kann
( von /etc/pop)
openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3
Antwort sieht so aus:
root@linux01:/etc/mail/pop > openssl s_client -key ca.key -cert cert.pem -ssl2 -connect linux01:spop3
Enter PEM pass phrase:
CONNECTED(00000003)
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerGXXX
verify error:num=21:unable to verify the first certificate
verify return:1
---
Server certificate
-----BEGIN CERTIFICATE-----
XXXX
-----END CERTIFICATE-----
subject=/C=DE/ST=Deutschland/L=Oldenburg/O=XXXX
XXXX/CN=linux01.XXXXX.de/Email=HolgerXXXX
issuer=/C=DE/ST=Deutschland/L=Oldenburg (Oldbg.)/O=XXXX
XXXX/CN=linux01.XXXX.de/Email=HolgerXXXX
---
No client certificate CA names sent
---
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5
EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
RC4-64-MD5
---
SSL handshake has read 882 bytes and written 239 bytes
---
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
SSL-Session:
Protocol : SSLv2
Cipher : DES-CBC3-MD5
Session-ID: 97C4BF3C1ED7A739480B00768B03056F
Session-ID-ctx:
Master-Key: D87E4A95BA88C906192E8C1F7246294FE9BEECF074CE55CB
Key-Arg : 35A5C8129B4F45C2
Start Time: 1029933562
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
+OK Qpopper (version 4.0.4) at linux01.XXXX.de starting.
Wer will, kann noch n bisschen auf den popper rumkaspern:
user NAME
pass PASSWORT
list
quit
ggf. noch auf Clientrechnern die host-Einträge auf linux01.XXXX.de und die services auf überprüfen:
pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL
pop3s 995/udp spop3 # pop3 protocol over TLS/SSL
Dann OE einrichten
------ Schnipp Anleitung Ende