Beiträge von Michael Vaas

Noch mal Hallo an Alle. Jetzt habe ich eine Lösung!

Die Zertifikate,die ich bisher selbstsigniert erstellt hatte, auf Basis so einer "SchnellschussLösung" haten wohl für Dovecot 2.3 zu wenig Aussgaekraft oder erfüllten nicht mehr alle Kriterien (beim Dovecot 2.2 gings aber noch).

Ich fand nun eine recht detailiert Anleitung:

Dovecot, SSL/TLS - Dovecotverbindungen verschlüsselte Kommunikation [Linux - Wissensdatenbank]

Damit konnte ich zumindest schon mal präziser alles eintragen und die Zertifikate samt rootCA erstellen. Dieses rootCa (das in der Anleitung als cacert.pem benannt wurde) habe ich dann noch im Thunderbird in der Zertifikatsverwaltung als Zertifikatsstelle (Authority) eingetragen und für die Identifikation von Mail-Benutzern freigegeben.

Und nun tut alles freu

Schade hat nichts gebracht,

Ich habe gemäß des Links die Mindestversion für die tls-Security runtergesetzt, aber keine Änderung im Dovecot-Log. Da aber im Dovecot-Log sslv3 genannt wird, kann es da sein, das schon beim Erstellen des Zertifikates eine zu geringe SSL/TLS-Version gegriffen hat und dadurch das Problem entsteht?

Kann man da bei openssl eine Art höheres Level erzwingen? Vielleicht ist die Frage ja Blöd, aber ich kenn mich leider mit openssl nicht gut aus.

Den Tipp mit dem Root-CA, das man in Thunderbirtd importiern könnte, möchte ich auch gerne verfolgen. Welche Datei von den dreien, die ich erzeugt habe, ist denn das Root -Ca? Ist es die .csr -Datei? An Welcher Stelle müsste ich das importieren?

Vielleicht weiss ja einer noch weiter....? Schon mal Danke!

Ergänzung:

OSPC habe ich ausgeschaltet.

Bei der Zertifikatserstellung bin ich eher Laie.

Ich habe früher mal ein "Rezept" gefunden, dass ich bisher immer erfolgreich genutzt habe:

cd /etc/ssl/dovecot/ /

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out server.key

chmod 400 server.key

openssl req -new -key server.key -out server.csr

openssl x509 -req -days 10500 -in server.csr -signkey server.key -out server.crt

Die .key und .crt-Dateien habe ich dann im Dovecot entsprechend referenziert.

Bei meinem alten Linux-Mailserver mit Dovecot 2.2 war das erfolgreich, jetzt mit dem neuen unter 2.3 nicht mehr

ich habe dieses Problem gerade als eigene Frage veröffentlicht, damit sich kein Administrator über falsche Themenzuordnung beschwert

Thema

Thunderbird akzeptiert SSL/TLS nicht von Dovecot mit selbstsigniertem zertifikat

Hallo an Alle, die diese Frage gefunden haben!

Ich habe Schwierigkeiten, mit Thunderbitrd eine Imap-Verbindung mit StartTLS oder SSL/TLS zu meinem Linux-Mailserver mit Dovecot/Postfix aufzubauen.

ich erhalte im Dovecot-Log folgende Meldungen:

Jan 16 22:01:43 vodin dovecot: imap-login: Debug: SSL error: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42

Jan 16 22:01:43 vodin dovecot: imap-login: Disconnected (no auth attempts in 0 secs):…

Michael Vaas

17. Januar 2022 um 12:32

OSPC habe ich ausgeschaltet.

Bei der Zertifikatserstellung bin ich eher Laie.

Ich habe früher mal ein "Rezept" gefunden, dass ich bisher immer erfolgreich genutzt habe:

cd /etc/ssl/dovecot/ /

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out server.key

chmod 400 server.key

openssl req -new -key server.key -out server.csr

openssl x509 -req -days 10500 -in server.csr -signkey server.key -out server.crt

Die .key und .crt-Dateien habe ich dann im Dovecot entsprechend referenziert.

Bei meinem alten Linux-Mailserver mit Dovecot 2.2 war das erfolgreich, jetzt mit dem neuen unter 2.3 nicht mehr

Bei den Verbindungen zu dem alten Dovecot 2.2 musste ich im Thunderbird nie selbst etwas importieren. Es kam dazu die Abfrage von Tunderbird, ob dem selbstsignierten Zertifikat vertraut werden soll, die ich immer bestätigt habe. Danch fand ich einen Zertifikatseintrag in der Thunderbird-Zertifikatsverwaltung, die dadurch wohl automatisch erstellt worden ist.

Edit: Zu dem in diesem Beitrag angesprochenen Thema bitte nur hier Thunderbird akzeptiert SSL/TLS nicht von Dovecot mit selbstsigniertem zertifikat antworten. graba, Gl.-Mod.

Hallo an Alle, die diese Frage gefunden haben!

Ich habe Schwierigkeiten, mit Thunderbitrd eine Imap-Verbindung mit StartTLS oder SSL/TLS zu meinem Linux-Mailserver mit Dovecot/Postfix aufzubauen.

ich erhalte im Dovecot-Log folgende Meldungen:

Jan 16 22:01:43 vodin dovecot: imap-login: Debug: SSL error: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42

Jan 16 22:01:43 vodin dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=192.168.178.13, lip=192.168.178.13, TLS handshaking: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42, session=<E8rkV7nVjrvAqLIN>

Jetzt mag der ein oder andere sagen, das gehört nicht zu Thunderbird sondern ist ein Dovecot- oder openssl-Problem, aber ich habe andere Mail-Clients von gleichen Rechner probiert (z.b. WebCLient RoundCube), bei denen die Verbindung per TLS klappt. Anscheinend ist Thunderbird irgendwie anspruchsvoller, was das selbstsignierte Zertifikat angeht.

Ich habe die gleiche Konstellation bereits vor ca 3 Jahren auf einem anderen Linux-Rechner aufgebaut, da funktionierte es Problemlos. Nur das es früher dovecot 2.2 gewesen war und nun dovecot 2.3.

Der Server steht bei mir im lokalen Netz, so dass Zertifizierungen nicht zwingend nötig sind, ich möchte das Problem aber dennoch verstehen und lösen.

Ich erhoffe mir hier Anhaltspunkte, wie ich die Ansprüche von Thunderbird mildern kann (es gibt ja soviele Parameter im config-Bereich) oder Tipps zur Erstellung des selfSigned Zertifikates, so dass Thunderbird zufrieden ist.

Bin für jeden Tipp dankbar,

Viele Grüße,

Michael

Suzi to visit

Danke für die Klasse Antwort. der Tipp mit dem Parameter login_trusted_networks im dovevcot.conf war genau das, was mir gefehlt hat.

Nun kann ich innerhalb meines Netzwerkes wie gewollt mailen.

Du hattest geschrieben , die andere Möglichkeit wäre "Zertifikate installieren und auf TLS umstellen."

Das hatte ich auch schon versucht und mit den typischen Vorschlägen gemäß Google-Suche ein selbstsigniertes Zertifikat mit openssl erstellt.

Leider bekam ich dabei immer vom Dovecot ein "sslv3 alert bad certificate: SSL alert number 42" zurück

Allerdings nur, wenn ich mit Thunderbird darauf zugriff. Ein Zugriff von z.B. RoundCube von meinem Windowsrechner hatte geklappt und sogar vom Android-Handy aus mit Hilfe von DynDns auf meinen lokalen Server hat es geklappt. Nur eben mit Thunderbird nicht.

Das gehört nicht hierher zu meiner ersten Anfrage, weiss ich und ich werde dazu eien eigene Frage hier im Forum stellen, aber vielleicht kennst du das Problem oder Foren, wo man nach der Lösung suchen kann?

Viele Grüße Michael

Hallo an alle!

Ich habe ein IMAP-Problem. Es sieht für mich so aus, als ob es nicht möglich ist, ein Konto einzurichten, dass bewusst OHNE Verbindungssicherheit und OHNE verschlüsseltes Passwort auskommt, denn es handelt sich um eine Installation in meinem privaten Netzwerk.

Im Detail: Ich habe 2 Rechner

1. Linux-Server. Dort ist ein Dovecot/Postfix-Server eingerichtet. Die Mail-Server sind so aufgebaut, dass sie Kontenzugriff ohne Verbindungssicherhheit zulassen, also keine Zertifikate nutzen.

Auf dem gleichen Rechner ist (zur Kontrolle der Mailkonten) auch ein Thunderbird 91.5 voranden. Dort kann ich problemlos ohne Verschlüsselung und Verbindungssicherheit das lokale Mailkonto abfragen. Alles Gut.

Der Rechner hat in meinem lokalen Netzwerk die IP 192.168.1.13 und hat den Namen ODIN

2. EIn Windows 10 Rechner mit einem Thunderbird 91.5. Der Rechner hat die IP 192.168..1.4 und den Namen THOR

Hier versuche ich genau das gleiche mit exakt den gleichen EInstellungen unter Thunderbird. Ich bekomme beim Versuich, über IMAP auf das Konto zuzugreifen die Meldung

"Der IMAP-Server ODIN unterstützt die gewählte Authentifizierungsmethode nicht. Bitte ändern Sie die 'Authentifizierungsmethode' unter 'Konten-Einstellungen Server-Einstellungen'

Wenn ich bei den Konteneinstellungen "STARTTLS oder SSL/TLS" wähle bekomme ich die Meldung nicht mehr. Aber es kommt auch kein Kontakt zustande, da der IMAP-Ser ja nicht für TLS oder SSL konfiguriert ist.

Ich verstehe nicht, warum hier der Connect ohne Verbindungssicherheit nicht funktioneirt. Der einzige Unterschied in den Thunderbirds ist, dass der funktionierende Aufruf lokal auf dem gleichen Rechner wie der Mailserver läuft und bei dem nichtfunktionierenden Connect ein Remote-Rechner ist. Der Remote Rechner ist aber auch einwandfrei erreichbar. Ich sehe die Connect-Versuche im Protokoll des MailServers.

Gibt es möglicherweise eine EInstellung im Thunderbird, die verhindert, dass man auf einen anderen Rechner ohne Verbindungssichereit zugreift, es aber bei einem lokalen Konto zuläßt?

Bin für jeden Tipp dankbar.

Gruß, Michael