Dovecot SSL Problem

    Hallo Forum!


    Nach etlichen Stunden Fehlersuche und Googelei habe ich mich mal hier registriert, um persönlich nach Hilfe zu fragen.


    Ausgangssituation: Ich nutze einen vServer von Netcup und Zertifikate von StartSSL.


    Habe gestern also fröhlich Zertifikate ausstellen lassen und damit die ein oder andere Website, sowie mein Plesk-Panel gesichert. Wenn ich schon dabei bin, dacht ich mir, sicherste eben E-Mail-Verkehr auch noch mit Zertifikaten. Das Ganze hat für die Websites und Postfix wunderbar geklappt, nur macht leider mein Dovecot (wohl besser gesagt Outlook) ein wenig Zicken mit SSL, obwohl ich davon ausgegangen bin, alles nach Lehrbuch gemacht zu haben, sprich:


    Zertifikats-Datei sieht so aus:




    Unter /etc/dovecot/conf.d/5-ssl.conf steht Folgendes:


    Code
    ssl = yes
ssl_cert = </etc/dovecot/private/ssl-cert-and-key.pem
ssl_key = </etc/dovecot/private/ssl-cert-and-key.pem



    Tjoa und dann fehlt angeblich nur noch ein Neustart von Dovecot. Aber Fehlanzeige, Outlook spuckt folgenden Fehler nach dem Aktivieren von SSL für POP3:


    Quote

    "Fehler (0x800CCC1A) beim Ausführen der Aufgabe "admin@domain.de - Nachrichten werden empfangen": "Ihr Server unterstützt nicht den angegebenen Verbindungsverschlüsselungstyp. Versuchen Sie, die Verschlüsselungsmethode zu ändern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter für weitere Unterstützung.""

    Interessant ist aber, dass es über openssl s_client -starttls pop3 -crlf -connect mail.domain.de:110 wunderbar funktioniert. Da kann ich mich anmelden und feuchtfröhlich Mails abrufen, bis ich keine Lust mehr hab.


    mail.err spricht:

    Code
    May 15 01:04:24 web1 dovecot: pop3-login: Fatal: Couldn't parse private ssl_key: error:0906D06C:PEM routines:PEM_read_bio:no start line: Expecting: ANY PRIVATE KEY
    • Official Post

    Ich würde empfehlen die Konfiguration wie folgt vor zu nehmen:


    Code
    ssl_key = </etc/ssl-certs/domain.de.key
ssl_cert = </etc/ssl-certs/domain.de.crt
ssl_ca = </etc/ssl-certs/domain.de.ca


    In jeder Datei darf dann natürlich nur das drin stehen was angegeben ist.

    Wie im Startpost:

    Quote from Naduweisstschon

    Interessant ist aber, dass es über openssl s_client -starttls pop3 -crlf -connect mail.domain.de:110 wunderbar funktioniert. Da kann ich mich anmelden und feuchtfröhlich Mails abrufen, bis ich keine Lust mehr hab.


    Den einzigen Fehler, den openssl schmeißt ist "Verify return code: 19 (self signed certificate in certificate chain)", was aber normal ist, da jedes CA Root Cert selbst-signiert ist.

    Puh.


    1. Hab in keiner Config ein !SSL3 oder ähnliches entdeckt, da ist nichts eingestellt.


    2. openssl s_client -starttls pop3 -ssl3 -connect mail.domain.de:110 lässt mich problemlos verbinden, damit ist SSL3 wohl aktiviert, richtig?

    Das hatte ich noch gar nicht ausprobiert. In Thunderbird funktioniert es sowohl mit STARTTLS sowie mit SSL/TLS. Mysteriös.


    Ciphers habe ich noch gar keine deaktiviert. :\

    Ich bin ein riesiges Arschloch. Mit Port 995 statt 110 klappt es natürlich. Erklärt zwar nicht, warum's per openssl und Thunderbird über 110 klappt, aber gut. Das nehme ich dann wohl mal so hin. :/


    Vielen Dank für eure Hilfe! hätte ich auch gleich mal drauf achten können... :S