Thunderbird (IMAPS) Zugriff auf OX

pixel · February 26, 2023, 11:12am

Hallo zusammen,

ich versuche gerade mit Thunderbird (102.7) auf den auf dem UCS (5.0.3) installierten OX (7.10.6-ucs3) per IMAPS zuzugreifen. Laut UCR ist IMAPS aktiv und es wird auch auf dem Port gelauscht:

root@gw02:~# netstat -tulpen|grep dovecot
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      0          23986      637/dovecot         
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      0          24035      637/dovecot         
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      0          24002      637/dovecot         
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      0          24000      637/dovecot         
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      0          24033      637/dovecot         
tcp        0      0 127.0.0.1:12340         0.0.0.0:*               LISTEN      0          24078      637/dovecot         
tcp6       0      0 :::993                  :::*                    LISTEN      0          24036      637/dovecot         
tcp6       0      0 :::995                  :::*                    LISTEN      0          24003      637/dovecot         
tcp6       0      0 :::110                  :::*                    LISTEN      0          24001      637/dovecot         
tcp6       0      0 :::143                  :::*                    LISTEN      0          24034      637/dovecot

In TB habe ich den IMAP-Server wie folgt konfiguriert:

grafik

TB behauptet in der Fußzeile auch ich wäre online, es wird auch kein Fehler ausgegeben aber auch keine Mails bzw. die Standardordner werden auch nicht angezeigt:

grafik

Als Benutzername habe ich den Benutzername aus UCS genommen. Ich habe es jedoch auch schon mit der primären Mailadresse versucht was zum gleichen Ergebnis führt. Mails versenden dagegen funktioniert ohne Probleme.

Muss ich für den IMAP-Zugriff noch etwas anpassen?

Beste Grüße
Sven

O_Bertgen · February 28, 2023, 9:27am

Hallo Pixel,

hast Du schonmal anstelle der “SSL/TLS”-Sicherheit, “STARTTLS” mit Port 143 genommen ?

Gruß,
Oliver

pixel · February 28, 2023, 9:55am

Ja, ich denke ich habe so gut wie alle Kombinationen durch probiert. Auf dem entsprechenden UCS der aktuell lediglich zum Testen von OX dient ist das Standard-SSL-Zertifikat (also selbst signiert) installiert. Für den Testbetrieb soll dass auch so bleichen. Beim Start von Thunderbird erhalte ich im Log:

Feb 28 10:36:24 gw02 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=10.0.8.X, lip=192.168.83.XX, TLS handshaking: SSL_accept() failed: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca: SSL alert number 48, session=<Xr5DVL/1hrQKAAgC>

Die unterschiedlichen IP-Bereiche (10.0.8.X & 192.168.83.XX) resultieren daraus dass ich per VPN auf das Netzwerk (192.168.83.XX) zugreife. Die 10.0.8.X ist also der VPN-Tunnel.

Damit hatte ich aber nie Probleme und wie erwähnt ist der Versand per SMTP kein Problem und dieser nutzt ja das gleiche Zertifikat. In der /etc/postfix/main.cf:


#TLS settings
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_starttls_timeout = 300s
smtpd_timeout = 300s
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols =
smtpd_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_cert_file = /etc/univention/ssl/gw02.lan.intern.club/cert.pem
smtpd_tls_key_file = /etc/univention/ssl/gw02.lan.intern.club/private.key

/etc/dovecot/conf.d/10-ssl.conf:

ssl = yes
ssl_cert = < /etc/univention/ssl/gw02.lan.intern.club/cert.pem
ssl_key = < /etc/univention/ssl/gw02.lan.intern.club/private.key
ssl_ca =
ssl_client_ca_dir = /etc/ssl/certs
ssl_verify_client_cert = no
ssl_dh = </var/lib/dovecot/dh.pem
ssl_protocols = !SSLv2 !SSLv3

ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

ssl_prefer_server_ciphers = yes

Hier ist mir jedoch aufgefallen das in der Dovecot-Konfiguration der Parameter ssl_ca existiert, jedoch ohne Wert.

Ich habe das System mit den Vorgaben installiert und hier nichts verändert.

Mit den besten Grüße
sven

pixel · February 28, 2023, 10:27am

Evtl. hilft der Eintrag im Log weiter der darauf hinweist dass das minimal SSL-Protokoll nicht spezifiziert ist.

==> dovecot.info <==
Feb 28 11:25:51 gw02 dovecot: master: Dovecot v2.3.4.1 (f79e8e7e4) starting up for imap, lmtp, sieve, pop3 (core dumps disabled)
Feb 28 11:25:51 gw02 dovecot: doveconf: Warning: NOTE: You can get a new clean config file with: doveconf -Pn > dovecot-new.conf
Feb 28 11:25:51 gw02 dovecot: doveconf: Warning: Obsolete setting in /etc/dovecot/conf.d/10-ssl.conf:61: ssl_protocols has been replaced by ssl_min_protocol
Feb 28 11:25:51 gw02 dovecot: doveconf: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3: Unrecognized protocol 'SSLv2'

ahrnke · February 28, 2023, 10:54am

Da steht was von “unknown ca” ( im log Feb 28 10:36:24) .
Ich glaube, mit der self-signed UCS-CA hat man ohne die CA jedem Client als vertrauenswürdig zu deklarieren bei solchen Sachen generell wenig Spaß.
Wenn die LetsEncrypt-Integration aus dem App Center verwendet wird gibts die passenden Haken für Dovecot und Postfix in den App-Einstellungen (oder den UCR-Variablen).

pixel · February 28, 2023, 11:20am

Ja, daran lag es. in der Dovecot-Konfiguration muss die Zeile:
ssl_protocols = !SSLv2 !SSLv3
durch:
ssl_min_protocol = TLSv1.2
ersetzt werden. Das hat noch nichts mit den selbst-signierten Zertifikaten zu tun sondern war laut Handbuch eine Änderung bei Dovecot. Das sollte wohl eher ein Bug beim UCS-Paket sein. Hat jedoch keine Auswirkung auf Thunderbird. Die Fehlermeldung beim Start von Dovecot ist danach weg.

Zum testen habe ich die CA vom Host in Thunderbird importiert und danach klappt der Zugriff. Dies ist jedoch nur für die Testumgebung praktikabel.

Ich habe bissher LE-Zertifikate lediglich für den HTTPS-Zugriff benötigt und diese der Einfachheit halber auf der pfSense / HA-Proxy konfiguriert. Das funktioniert natürlich für das IMAP-Protokoll nicht.

Ich sollte mir also mal die LE-Einrichtung direkt auf dem UCS anschauen. Hierzu werde ich bei Gelegenheit ggf. einen neuen Beitrag eröffnen.