ich habe auf meinem Server einen Postfix mit MySQL backend und courier am laufen. Dies funktioniert einwandfrei. Nun bin ich dabei den IMAP Server auf STARTTLS einzurichten. Leider bekomme ich einen Error und es findet kein Log statt wodurch ich weitere Informationen erlangen könnte.
Die Authentifizierung erfolgt mittles SASL-Auth ebenfalls mit MySQL backend. Die Authentifizierung und das abrufen über den IMAP Server ohne STARTTLS/SSL funktioniert einwandfrei. Auch IMAP-IDLE funktioniert tadellos. Nun sollte noch STARTTLS/SSL hinzu kommen.
courier-imap-ssl installiert und das Zertifikat konfiguert, hier die config
https://nopaste.linux-dev.org/?1162392
Ein Test ob die SSL verbindung auch funktioniert,
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:993 -ssl3
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1507797525
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
root@ns3067246:~#
Code: Alles auswählen
root@ns3067246:~# openssl s_client -connect localhost:143 -starttls imap
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify return:1
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, CN = *.dmant.ovh
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/CN=*.dmant.ovh
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
.........
subject=/OU=Domain Control Validated/CN=*.dmant.ovh
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
---
SSL handshake has read 6114 bytes and written 633 bytes
---
.......
TLS session ticket:
.......
Start Time: 1507797654
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
. OK CAPABILITY completed
140012305852048:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:348:
Beim connect auf dem imap wird allerdings nur ein connect und disconnect geloggt. kein error, kein warning, nichts. Weder in der mail.log noch mail.warn noch mail.err noch mail.info noch auth.log
Weiss jemand rat? Die Verbindung mittels SSL/TLS funktioniert im Client ohne Probleme und das Zertifikat wird als gültig anerkannt. Nur STARTTLS will nicht.
So wie ich das sehe und verstehe nimmt der IMAP für STARTTLS und SSL/TLS das selbe Zertifikat. Daher verstehe ich nicht warum der das nicht akzeptiert.
Ich habe dann mal zum Test den imap-ssl gestoppt und nur dem imap laufen gelassen. Eine Verbindung auf Port 993 ist also nicht mehr möglich. Obwohl ich den imap-ssl gestoppt habe habt der imap auf Port 443 über STARTTLS ein ungültiges Zertifikat. Es scheint als ob sich der imap Server noch irgendwo ein Zertifikat her holt.
Bei der SSL/TLS verbindung erhalte ich jedoch, obwohl alles ohne Probleme funktioniert, also Clientmässig, einen Fehler
Code: Alles auswählen
Oct 12 10:52:47 ns3067246 imapd-ssl: couriertls: /etc/ssl-certs/dmant/imapd.pem: error:0906D06C:PEM routines:PEM_read_bio:no start line
Oct 12 10:52:47 ns3067246 imapd-ssl: couriertls: connect: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
Ich hoffe mir kann jemand weiter helfen.