Re: stunnel konfigurieren

To: debian-user-german@lists.debian.org
Subject: Re: stunnel konfigurieren
From: Mathias Bauer <mbauer@gmx.org>
Date: Mon, 18 Nov 2013 14:43:31 +0100
Message-id: <[🔎] 20131118134331.GA23094@gmx.org>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] Chd3t3eAjyB@didi.segbert>
References: <[🔎] Chd3t3eAjyB@didi.segbert>

Hallo!

* Dietmar Segbert schrieb am 11.11.2013 um 18:03 (+0100):

> [openxp]

Zu openxp kann ich nichts sagen.

> Ich möchte nun stunnel nutzen, um zunächst von gmx Mails per
> ssl abzuholen bzw. zu versenden. Bei der Installation von
> stunnel unter Debian wheezy 64Bit, kamen einige
> Fehlermeldungen, Verzeichnis nicht vorhanden .... Ich habe die
> stunnel.conf-example nach /etc/stunnel.conf kopiert und
> angepasst. Doch ich habe weder ein stunnel.pem gefunden noch
> ein mail.pem.

Hier liegt ein Missverständnis vor: stunnel stellt "universelle
SSL-Tunnel für Netzwerk-Daemons" bereit und holt keine Mails ab.
Dazu gibt es getmail oder fetchmail, die beide IMAPS und POP3S
beherrschen.  Die Verifizierung der SSL-Zertifikate ist bei
fetchmail bereits eingebaut, bei getmail aktuell (v4.32.0) noch
nicht.

Ich empfehle, getmail zu verwenden und die Verifizierung und
andere für SSL relevante Dinge über stunnel zu erledigen.  Das
heißt, stunnel baut einen SSl-verschlüsselten Tunnel von GMX zu
localhost auf und getmail `spricht' unter Verwendung der
GMX-Anmeldedaten mit localhost statt mit GMX.  Möglicherweise
kann openxp so konfiguriert werden, dass Mails von localhost
bezogen werden.

> Hat jemand von Euch vielleicht eine funktionierende stunel.conf
> bzw.  einige Tips, wie ich stunnel so konfiguriere, dass er von
> gmx die Mails per ssl abholt?

Ein erstes Gerüst für /etc/stunnel/gmx.conf könnte so aussehen
(ungetestet):

---------- snip ----------
chroot = /var/lib/stunnel4
;debug = 7
pid = /stunnel4-gmx.pid
socket = a:SO_BINDTODEVICE=lo

[gmx]
accept = localhost:143
CAfile = /etc/ssl/certs/ca-certificates.crt
ciphers = HIGH:!DES:!MD5:!RC4:!aNULL:!eNULL:!LOW:!MEDIUM:@STRENGTH
client = yes
connect = imap.gmx.net:993
options = NO_SSLv2
options = NO_SSLv3
sslVersion = TLSv1
verify = 2
---------- snap ----------

Die Einstellungen von `ciphers' und `options' können nach
persönlichen Vorstellungen angepasst werden.  Details unter

  $ man ciphers

bzw.  https://www.openssl.org/docs/ssl/SSL_CTX_set_options.html

> Gibt es vielleicht die Möglichkeit von mehreren Mailservern
> mittels stunnel Mails per ssl abzuholen/zu versenden?

Ja, mit mehreren stunnel-Konfigurationen, die in verschiedenen
.conf-Dateien in /etc/stunnel abgelegt werden.  Siehe auch
/etc/default/stunnel4 und die Variable FILES.

Grüße
Mathias

Reply to:

Follow-Ups:
- Re: stunnel konfigurieren
  - From: "Rolf Muth" <rolf.muth@ruhr-uni-bochum.de>
- Re: stunnel konfigurieren
  - From: Jens Schüßler <jgs@trash.net>
- Re: stunnel konfigurieren
  - From: didi.segbert@arcor.de (Dietmar Segbert)

References:
- stunnel konfigurieren
  - From: didi.segbert@arcor.de (Dietmar Segbert)

Prev by Date: Re: OT: Re: Notification de nouveau périphérique
Next by Date: Re: stunnel konfigurieren
Previous by thread: stunnel konfigurieren
Next by thread: Re: stunnel konfigurieren
Index(es):
- Date
- Thread