ssl/tsl für lokalen Mailserver

[michaa7]

Ich hole meine Mails mit fetchmail auf meinen *lokalen* exim4 Mailserver, der diese Mails dann via dovecot-imap lokal zur Verfügung stellt. Als Klient nutze ich claws/sylpheed/TB zu meiner stetigen UNzufriedenheit. Zum Versenden nutze ich direkt den Mail-Ausgangserver meines E-Mailproviders.

Früher mit Operas M2 funktionierte dies zu meiner Zufriedenheit. Operas Nachfolger Vivaldi erlaubt (bislang) jedoch nur ssl/tls Mailkonten, etwas anderes lässt sich gar nicht einrichten. Nachdem ich bislang vergeblich gehofft hatte dass Vivaldi da etwas flexibler würde überlege ich nun meinen exim4 server doch ssl/tls fähig zu machen (auch wenn sich das für mich so anfühlt als zwänge mich jemand zum Besuch meines Badezimmers ein Visum zu beantragen ... ).

Wenn ich das alles richtig verstehe läuft das darauf hinaus meinen Mailserver mit einem Zertifikat auszustatten, richtig? Ich hatte mich damit schonmal beschäftig, bin aber davor zurückgeschreckt, hauptsächlich weil ich das nicht richtig durchblicke und ich mehr befürchte mit eigenen Fehlern und mangelndem Durchblick mehr Scheinsicherheit zu erzeugen als Nutzen.

Sei's drum ... wie mache ich meinen *lokalen* Mailserver am simpelsten ssl/tls fähig? Bin für jeden Workaround oder Fake zu haben ...

[shoening]

Hallo,

ich kann Deinen Ausführungen nicht so ganz folgen, da ich Vivaldi nicht kenne.
Ich vermute, dass Du damit die Webmail Lösung meinst, die unter https://vivaldi.com/ beschrieben ist.

Da Du auch schreibst, dass Du mit dovecot-imap arbeitest, würde ich annehmen, dass die in Vivaldi eingerichteten Mailkonten per IMAP angebunden sind - und dass da jetzt imaps notwendig ist. Daher müsstest Du Dich eher darum kümmern, bei Dovecot ein Zertifikat einzurichten.

Das geschieht allerdings bei Dovecot automatisch. Ich nutze auch Dovecot (und als Mailclient mutt). Wenn das von Dovecot erzeugte - selbst signierte - Zertifikat abgelaufen ist, lasse ich einmal

Code: Alles auswählen

dpkg-reconfigure dovecot

laufen. Das erzeugt dann ein neues selbst signiertes Zertifikat. (Das muss ich anschließend noch in mutt als gültig bestätigen.)

Wahrscheinlich unterstützt Deine dovecot installation also bereits imaps und Du müsstest in Vivaldi nur die URLs von imap auf imaps ändern.

Wenn Du richtige Zertifikate einsetzen willst, dann sie Dir mal den SSL-Zertifikate Artikel im Wiki an. Der beschreibt auch die dovecot Konfiguration für SSL/TLS.

Viele Grüße
Stefan

[michaa7]

Hallo,

ich kann Deinen Ausführungen nicht so ganz folgen, da ich Vivaldi nicht kenne.
Ich vermute, dass Du damit die Webmail Lösung meinst, die unter https://vivaldi.com/ beschrieben ist.

Nein. Es geht um den Mailklienten innerhalb Vivaldi, nicht um Vivaldi Webmail.

In soweit gehen deine weiteren Ausführungen an der Frage vorbei.

Danke für den Versuch.

[shoening]

Hallo,

Du hattest aber auch geschrieben, dass Du zum Versenden den Mail-Ausgangsserver Deines Providers benutzt.
(Was Du dabei mit „Ausgangsserver“ meinst, ist mir ebenfalls nicht klar, wenn Du die Mails aus dem Mailclient direkt an den Provider schickst, dass ist das beim Provider dessen „Eingangsserver“.)

Daher sprichst Du meiner Ansicht nach Deinen lokalen Exim Dienst gar nicht an.

Es wäre daher sicherlich hilfreich, wenn Du einmal die Konfigurationsparameter angibst - z.B. in Form von Screenshots.

Viele Grüße
Stefan

[michaa7]

Hallo,

Du hattest aber auch geschrieben, dass Du zum Versenden den Mail-Ausgangsserver Deines Providers benutzt.
(Was Du dabei mit „Ausgangsserver“ meinst, ist mir ebenfalls nicht klar, wenn Du die Mails aus dem Mailclient direkt an den Provider schickst, dass ist das beim Provider dessen „Eingangsserver“.)

Du irrst. Du verwechselt "Mail an den Provider " mit "Mail über den Postausgangsserver des Providers". Richtig ist wie ich es beschrieben habe. Zum Versenden (SMTP) nutzt man einen Postausgangsserver
Serverdaten meines Mailproviders

Daher sprichst Du meiner Ansicht nach Deinen lokalen Exim Dienst gar nicht an.

Nur ist deine Ansicht falsch.

Es wäre daher sicherlich hilfreich, wenn Du einmal die Konfigurationsparameter angibst - z.B. in Form von Screenshots.

Mit oder ohne Passwörter?

[shoening]

Hi,

Du schickst also aus Deinem Mailprogramm direkt emails an den SMTP Server bei web.de. (Sorry für die Verwirrung mit Posteingang und Postausgang.)

Demnach kommuniziert Dein Mailclient also nicht mit deinem lokalen Exim-Server (das ist nämlich auch ein SMTP Server) sondern mit deinem lokalen dovecot-imap.

Dazu müsstest Du einfach die URL in Deinem Mailclient von imap in imaps ändern können.

Viele Grüße
Stefan

PS: Und wenn Du Konfigurationen schickst dann natürlich mit Passworten, Religionszugehörigkeit, Sexueller Gesinnung, Krankenakte, Geburtsdatum, Steuerbescheide der letzten 10 Jahre und alles was Du sonst noch als schützenswerte Daten ansehen könntest

[michaa7]

Du schickst also aus Deinem Mailprogramm direkt emails an den SMTP Server bei web.de.

You've got it!

Demnach kommuniziert Dein Mailclient also nicht mit deinem lokalen Exim-Server (das ist nämlich auch ein SMTP Server) sondern mit deinem lokalen dovecot-imap.

Das mag so sein, ich versteh das zusammenspiel nicht wirklich. Da aber meine gesendeten mails im richtigen Ordner landen werden sie wohl letztlich im von exim4 verwalteten postfach gelandet sein. Richtig?
Und natürlich geht es nicht nur um senden...

Dazu müsstest Du einfach die URL in Deinem Mailclient von imap in imaps ändern können.

Es besteht überhaupt kein Problem in meiner lokalen imap Kommunikation. Was nicht geht ist das einrichten von vivaldi als mailklient weil ich diesen nutzen will, nicht TB, nicht claws, nicht was-weiß-ich. Nur im unterschied zu letzteren erlaubt vivaldi nur kommunikation per ssl/tls. Und das bietet die Gegenstelle, sei es nun exim4 oder dovecot-imapd so wie sie konfiguriert ist nicht an.

Nach meinem Verständnis wäre dazu ein (mindestens selbstsigniertes) Zertifikat notwendig. Womit wir bei meiner Ausgangsfrage angekommen wären. Es geht nicht um die Klienten, sondern um den server.

PS: Und wenn Du Konfigurationen schickst dann natürlich mit Passworten, Religionszugehörigkeit, Sexueller Gesinnung, Krankenakte, Geburtsdatum, Steuerbescheide der letzten 10 Jahre und alles was Du sonst noch als schützenswerte Daten ansehen könntest

Ja, das dachte ich mir. Ich such das gelegentlich mal zusammen. Soweit es aber das Passwort betrifft ist das bei mir geheim.

[shoening]

Hi,

Nach meinem Verständnis wäre dazu ein (mindestens selbstsigniertes) Zertifikat notwendig. Womit wir bei meiner Ausgangsfrage angekommen wären. Es geht nicht um die Klienten, sondern um den server.

Genau das ist bei dovecot-imap vorhanden. Beim dpkg-reconfigure dovecote-imapd wird ein neues Zertifkat erstellt.

Die Kommunikation mit dem smtp-server bei web.de sollte ja auch über SSL laufen.

Vielleicht zeigst Du ja doch mal die Konfiguration - zumindest die die Server-URLs für SMTP und IMAP (deinen lokalen Servernamen kannst Du ja unkenntlich machen.)

Viele Grüße
Stefan

[michaa7]

Hi,

Nach meinem Verständnis wäre dazu ein (mindestens selbstsigniertes) Zertifikat notwendig. Womit wir bei meiner Ausgangsfrage angekommen wären. Es geht nicht um die Klienten, sondern um den server.

Genau das ist bei dovecot-imap vorhanden. Beim dpkg-reconfigure dovecote-imapd wird ein neues Zertifkat erstellt.

Ok. Das hört sich hilfreich an. Werde ich übers WE anschauen. Leider steht darüber nichts in "man dovecot/dovecot-imapd

...
Vielleicht zeigst Du ja doch mal die Konfiguration - zumindest die die Server-URLs für SMTP und IMAP (deinen lokalen Servernamen kannst Du ja unkenntlich machen.)

Gibst zu, du willst nur meine Steuererklärung ...

[eggy]

Leider steht darüber nichts in "man dovecot/dovecot-imapd

Die Manpage betrifft das Programm an sich, und gilt so praktisch "global" (auch bei Selbstkompiliertem und auf anderen Distries). Es ist extrem selten, dass Du nen Debian spezifischen Hinweis in ner Manpage von nem Allerweltsprogramm findest, sodas steht dann eher in /usr/share/doc/paketname/README.Debian (oder so ähnlich).
dpkg-reconfigure hingegen ist Teil des Paketmanagement und arbeitet bei Aufruf die "Grundeinstellung" des Pakets nochmal ab, so als ob Du das entsprechende Pakete nochmal neu installierst. dpkg-reconfigure hat, weil es nen eigenständiges Programm ist, auch ne eigene manpage. Da wirst Du allerdings nichts zu den jeweiligen Abläufen der einzelnen Pakete finden. Falls Du Genaueres wissen willst, musst Du wohl mal die pre/post{inst,rm}-Scripte aus den .debs durchschauen ("cd /tmp/ && apt-get source paketname", liegt dann in paket-xyz/debian/post )

@shoenig: sicher, dass es dpkg-reconfigure dovecote-imapd ist? Ich frag nur aus Neugier, nach nem oberflächlichem Blick auf die Scripte in sid hätte ich dovecot-core vermutet.
dovecot-core.README.Debian aus sid sagt

TLS is enabled by default on new installations. Dovecot will use the
self-signed certificate provided by ssl-cert-snakeoil by default. The
certificate and key are accessed via symbolic links in /etc/dovecot/private.

If you wish to use your own certificates, feel free to replace the symbolic
links in /etc/dovecot/private with the actual certificate/key of your
preference, or place the certificate and key at the location of your preference
and update /etc/dovecot/conf.d/10-ssl.conf accordingly.

glaub in der in Stable stand das gleiche. Ka, seit wann das so ist.

[Christoph Franzen]

Leider steht darüber nichts in "man dovecot/dovecot-imapd

Die Manpage betrifft das Programm an sich, […] dpkg-reconfigure hingegen ist Teil des Paketmanagement und arbeitet bei Aufruf die "Grundeinstellung" des Pakets nochmal ab, so als ob Du das entsprechende Pakete nochmal neu installierst. dpkg-reconfigure […] eigene manpage. Da wirst Du allerdings nichts zu den jeweiligen Abläufen der einzelnen Pakete finden. Falls Du Genaueres wissen willst, musst Du wohl mal die pre/post{inst,rm}-Scripte aus den .debs durchschauen ("cd /tmp/ && apt-get source paketname", liegt dann in paket-xyz/debian/post )

Wenn – wie hier – das Paket schon installiert ist, braucht man dazu weder die Quellen, noch das Paket erneut herunterzuladen, die Sachen bleiben alle erhalten und sind in „/var/lib/dpkg/info/<PAKETNAME>.*“ zu finden.

[shoening]

@eggy: mit dem dpkg-reconfigure bin ich mir nicht sicher, welches ich da "reconfiguren" muss - kann auch dovecot-core sein.

[michaa7]

Ich habe dpkg-reconfigure sowohl für dovecot-core als auch dovecot-imapd durchgeführt. Was das bewirkt hat weiß ich nicht, ausser dem promt gab es keine Rückmeldung geschweige den irgend eine Abfrage.

Was muß ich den machen um z.B thunderbird auf ssl/tls umzustellen. imaps gibt es nicht. Es gibt nur eine Einstellung für die aktivierung von ssl/tls. Aber ich habe keine Ahnung was ich da eingeben muss. "man dovecot-was-weiß-ich" ist auch nicht erhellend. passwort, certifikat, AuthO quarck, das ist alles hingesch******** zeug wo kein normalsterblicher einen schimmer hat woher die infos kommen sollen.

man ...