SSL/TLS Postfix/Dovecot

    Hallo Zuammen,


    ich bin gerade dabei, Postfix und Dovecot mit einem SSL-Zertifikat zu versorgen und benötige etwas Hilfe.


    In den jeweiligen Konfigurationen wird immer auf die Zertifikatsdatei im imscp-Verzeichnis verwiesen. Sehe ich es richtig, das diese Datei auf für die SSL-Absicherung des Backends genutzt wird?


    Bei mir ist es so, das mein Backend über login. aufgerufen wird und der Hostname des Servers srv01. lautet.
    Somit kann schon kein gemeinsames Zertifikat genommen werden, da dieses auf dem Namen ausgestellt ist.


    Jetzt habe ich 2 Zertifikate und die Dovecot.conf und main.cf auf die Datei mit dem entsprechenden Zertifikat umgebogen.
    Was passiert jetzt aber, wenn ich i-mscp aktualisiere? Werden diese Änderungen dann wieder mit dem Standard überschrieben?


    Dann würde ich postfix gerne noch beibringen, per TLS mit anderen Servern zu kommunizieren, sprich die ausgehenden Mails sollen, wenn die Gegenstelle es zulässt, per TLS versendet werden.
    Welche Anpassung ist dafür in der master.cf notwendig?


    Gruß aus dem hohen Norden
    Sven

    Hallo...
    Ja das wird der Fall sein.
    Es gibt aber 2 Möglichkeiten das zu umgehen.. Zumindest sind 2 Möglichkeiten die mir jetzt einfallen.
    Einmal, eine nicht gerade günstige Lösung, könntest Du ein Wildcard Cert einsetzen.
    Die zweite Möglichkeit ist günstiger, wäre aber Programmieraufwand... Du nutzt einen Hook. Der würde beim Update ausgeführt und biegt Dir Deine Configs wieder so wie Du sie brauchst...

    Danke für deine Antwort!


    Dies habe ich mir schon gedacht .. und mit dem Programmieren habe ich mich noch nicht auseinander gesetzt. Gibt es dafür eine Anleitung? Dann würde ich mir das mal ansehen und mich daran versuchen.


    Im übrigen habe ich das System jetzt soweit fertig eingerichtet und auch Mails an google und an die Telekom (t-home, etc) werden jetzt per TLS übertragen.


    Das Ganze ist aber schon aufwendig, so nach und nach die root CA´s zu besorgen .. habt ihr hier evtl. noch eine optimierte Lösung für mich?


    Gruß
    Sven

    Such mal im Forum nach Hooks. Da wirst Du fündig. Du brauchst nur den richtigen Trigger um die Sachen während des Updates neu einzustellen.
    Die Enigine Triggers habe ich jetzt nicht im Kopf. Den richtigen Trigger müsste ich auch erst raussuchen.
    Die Geschichte mit den Root CA's habe ich noch nie gemacht. Und bis jetzt bist Du glaub ich auch der Erste der sich diese Mühe macht.
    Warum auch immer... :)
    Von daher kenne ich keine offizielle Anleitung die Dir das vereinfacht.

    Quote from Jadawin


    Was versuchst du genau? Server -> Server Verschlüsselung ist bereits aktiv, sofern du SSL für imscp allgemein aktiviert hast.


    Da hst du recht, aber wenn man in den Logs schaut, dann ist die ausgehende TLS-Verbindung untrusted und wird, wenn ich das richtig sehe, nicht per TLS verschlüsselt. Dafür muss ich dann halt die root-ca der Gegenstelle meinem System bekannt machen. Dann hat man eine vertraute TLS-Verbindung.


    Gerne lasse ich mich aber einer besseren belehren, falls ich hier etwas falsch verstehe ;-)


    Gruß
    Sven

    Quote from SventeHof


    Da hst du recht, aber wenn man in den Logs schaut, dann ist die ausgehende TLS-Verbindung untrusted und wird, wenn ich das richtig sehe, nicht per TLS verschlüsselt. Dafür muss ich dann halt die root-ca der Gegenstelle meinem System bekannt machen. Dann hat man eine vertraute TLS-Verbindung.


    Gerne lasse ich mich aber einer besseren belehren, falls ich hier etwas falsch verstehe ;-)


    Nö du hast (leider) recht :-/ Eingehende werden verschlüsselt, aber andersrum gehts nicht von selbst :(
    Hast du nichts im Netz gefunden, das die CAs automatisch pflegt? Meines Wissens müsste es das irgendwo im System schon geben, andere Programme haben ja auch Verschlüsselung...

    In der main.cf folgenden Eintrag machen:


    Code
    1. smtp_tls_security_level = may


    Achtung: Der Eintrag geht nach einem imscp-setup bzw. imscp-autoinstall verloren und sollte von daher via Hook Datei gesetzt werden.


    Hier die Erläuterung zum Postfix Parameter: http://www.postfix.org/postcon…l#smtp_tls_security_level


    Edit:
    Hook Datei wieder entfernet, da es jetzt dank Jadawin im git-master enthalten ist: https://github.com/i-MSCP/imsc…2dba07005835745a39c749440

    Edited once, last by mrpink ().

    Quote from Jadawin


    Hab ich bereits gemacht, frisst postfix aber nicht :(


    Was frisst Postfix bei dir nicht und welche imscp Version hast du im Einsatz?


    Bei mir funktionierts. Testmail von meinem Server zu einem gmail Konto. Hier die Header Informationen der Mail wie sie bei gmail angekommen ist:


    Code
    1. Received: from xxxxx.xxxxxxxx.net (xxxxx.xxxxxxxx.net. [xx.xx.xx.xxx])
    2. by mx.google.com with ESMTPS id i1si14029868eev.47.2013.12.10.04.14.22
    3. for <xxxxxxx@gmail.com>
    4. (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);