Re: Courier pop3-ssl
On Wed, 30 Aug 2006 14:20:20 +0200 Andreas Hergesell
<news@zeus-computer.de> wrote:
> Am Mittwoch, 30. August 2006 13:34 schrieb Evgeni Golov:
> > On Wed, 30 Aug 2006 12:25:59 +0200 Andreas Hergesell
> >
> > <news@zeus-computer.de> wrote:
> > > > Aber mal eine Grundsätzliche Frage: wozu erzwingst du TLS,
> > > > wenn die Verbindung doch eh schon per SSL verschlüsselt ist.
> > > > IMHO entweder TLS oder SSL - beides ist doppelt gemoppelt.
> > >
> > > Das ist ja, soweit ich das verstanden habe, genau das Problem.
> > > Obwohl die Verbindung von Anfang an TLS-verschlüsselt ist,
> > > erwartet courier ein erneutes Start-tls.
> > > Nicht nur sinnfrei, sondern auch tötlich, denn Mozilla sendet
> > > dies (natürlich) nicht und bricht dann ab.
> >
> > Dann mach doch das POP3_TLS_REQUIRED aus ;-)
>
> Naja, ich würde aber eben gerne meine User zwingen über SSL zu
> poppen.
[ ] du hast das Manual gelesen ;-)
Wenn du deine User zum ssl-poppen (perverse Sache das) zwingen willst,
starte courier-pop3 nicht, sondern nur courier-pop3-ssl. Dann können
die nicht mehr auf Port 110 verbinden, sondern nur auf 995, und da ist
SSL Pflicht - mit TLS hat das an der Stelle nichts zu tun.
> > Also in der conf mein ich jetzt - oder hilft das nicht? Hab den
> > Bugreports nicht ganz gelesen.
>
> Klar, ohne Verschlüsselung gehts, also über Port 110 und Passwort in
> Klartext übers Netz.
> Aber auch ohne POP3_TLS_REQUIRED ist eine Verbindung zu Port 995
> nicht möglich.
Hast du denn deinen Client auch drauf angewiesen, explizit SSL zu
nutzen? Den meisten muss man das unter androhung der Deinstallation
erklären, weil die das sonst ned raffen ;-)
Probier mal bitte folgendes:
# openssl s_client -host dein.mail.de -port 995
Kommt da als letzte Zeile "+OK Hello there." ?
Hier tut das nämlich und ich kann mich per SSL einloggen.
> Meine Konfiguration sieht so aus:
>
> [14:14]server:/etc/courier# grep -v "#" pop3d
>
> PIDFILE=/var/run/courier/pop3d.pid
> MAXDAEMONS=40
> MAXPERIP=10
> AUTHMODULES="authdaemon"
> AUTHMODULES_ORIG="authdaemon"
> DEBUG_LOGIN=0
> POP3AUTH="LOGIN PLAIN CRAM-MD5 CRAM-SHA1"
> POP3AUTH_ORIG="LOGIN PLAIN CRAM-MD5 CRAM-SHA1"
> POP3AUTH_TLS="LOGIN PLAIN CRAM-MD5 CRAM-SHA1"
> POP3AUTH_TLS_ORIG="LOGIN PLAIN CRAM-MD5 CRAM-SHA1"
> PORT=110
> ADDRESS=0
> TCPDOPTS="-nodnslookup -noidentlookup"
> POP3DSTART=YES
^^^ NO # du willst ja SSL-only
> MAILDIRPATH=Maildir
>
> [14:14]server:/etc/courier# grep -v "#" pop3d-ssl
>
> SSLPORT=995
> SSLADDRESS=0
> SSLPIDFILE=/var/run/courier/pop3d-ssl.pid
> POP3DSSLSTART=YES
> POP3_STARTTLS=YES
> POP3_TLS_REQUIRED=0
> COURIERTLS=/usr/bin/couriertls
> TLS_PROTOCOL=SSL3
> TLS_STARTTLS_PROTOCOL=TLS1
> TLS_CERTFILE=/etc/courier/pop3d.pem
> TLS_VERIFYPEER=NONE
> TLS_CACHEFILE=/var/lib/courier/couriersslcache
> TLS_CACHESIZE=524288
> MAILDIRPATH=Maildir
Sieht bei mir so aus:
prefix=/usr
exec_prefix=/usr
SSLPORT=995
SSLADDRESS=meine.ip
SSLPIDFILE=/var/run/courier/pop3d-ssl.pid
POP3DSSLSTART=YES
POP3_TLS_REQUIRED=0
COURIERTLS=/usr/bin/couriertls
TLS_PROTOCOL=SSL3
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CERTFILE=/etc/courier/pop3d.pem
TLS_VERIFYPEER=NONE
> Irgendwie klappts nicht :-(
Hier schon ;-)
Gruß
Reply to: