pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL) » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (19): [1] 2 3 nächste » ... letzte » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
neodg
Mitglied


Dabei seit: 10.11.2008
Beiträge: 188
Herkunft: Wald4tel/Österreich

Daumen hoch! nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL) Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich begrüße die Entwicklung der letzten Tage bezüglich der Einschränkung des Mailversandes und hoffe auf eine baldige Implementierung der selben Funktion in php - sendmail.

Ich wünsche mir jetzt nur noch eine einfache Möglichkeit (HowTo oderWiki) wie man zB Forward Secrecy implementiert sowie SSL für Mails.

Es gibt einige HowTos hier, die aber alle relativ alt sind und teilweise auch unvollständig, bzw. man weis nicht bei welcher Version das so sicher funktioniert.
08.04.2014 14:24 neodg ist offline E-Mail an neodg senden Homepage von neodg Beiträge von neodg suchen Nehme neodg in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.368

RE: nächster Schritt Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Mit den aktuellen Versionen von pd-admin (4.21+) und der Serverumgebung (0.236+):

Um pd-admin mit HTTPS zu schuetzen, speichern Sie Ihr SSL-Zertifikat unter /opt/pdadmin/sslcerts/$hostname-{key,cert,cacert}
$hostname ist dabei der pd-admin-Hostname, also die Ausgabe von /opt/pdadmin/bin/hostname.pl. Das Zertifikat muss natürlich auch auf diesen Hostnamen ausgestellt sein.

Danach fuehren Sie das Skript /opt/pdadmin/bin/httpd_vhosts.pl aus.

Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).
EDIT 02.03.2016: Courier IMAP wurde inzwischen durch Dovecot ersetzt. Ein aktuelles Skript gibt es hier: http://download.pd-admin.de/dc-ssl-install.sh
EDIT 02.05.2016: ci-ssl-install.sh darf auf einer aktuellen Installation mit Dovecot nicht ausgefuehrt werden.

Was die FS angeht, empfehlen wir die folgende Konfiguration (einzutragen in /usr/local/pd-admin2/conf/httpd.conf-template):

code:
1:
2:
3:
4:
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:ECDH+AES128:ECDH+3DES:RSA+AES:RSA+3DES:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!ADH:!AECDH:!MD5:!DSS:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
SSLProtocol All -SSLv2 -SSLv3
SSLCompression Off
SSLHonorCipherOrder on
Viele Grüße
Daniel Bradler

Edit 03.12.2014: SSLv3 wegen Sicherheitsproblemen entfernt
Edit 21.05.2015: SSLCipherSuite aufgrund von Logjam angepasst
09.04.2014 08:13 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
riedlit
Mitglied


images/avatars/avatar-31.jpg

Dabei seit: 13.09.2011
Beiträge: 370

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

TOLLE FRAGE!
und TOLLE Antwort!

vielen Dank!

dass es mittlerweile ein Script für Mail-SSL gibt wusste ich nicht - spielte mich bis jetzt noch immer mit der einrichtung auf einer Testumgebung!

Besten Dank! smile Freude

__________________
Beste Grüße,
Patrick
09.04.2014 10:32 riedlit ist offline E-Mail an riedlit senden Homepage von riedlit Beiträge von riedlit suchen Nehme riedlit in Deine Freundesliste auf
Revolution
Mitglied


Dabei seit: 06.06.2005
Beiträge: 170

RE: nächster Schritt Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi

Zitat:
Original von Daniel Bradler
Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).

hat das ein Vorteil gegenüber die Verwendung von stunnel?

Grüße
Revolution
12.04.2014 19:40 Revolution ist offline E-Mail an Revolution senden Beiträge von Revolution suchen Nehme Revolution in Deine Freundesliste auf
Revolution
Mitglied


Dabei seit: 06.06.2005
Beiträge: 170

RE: nächster Schritt Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von Revolution
Hi

Zitat:
Original von Daniel Bradler
Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).

hat das ein Vorteil gegenüber die Verwendung von stunnel?

Grüße
Revolution

kann hierzu jemand etwas sagen?

Herr Bradler?
23.04.2014 19:35 Revolution ist offline E-Mail an Revolution senden Beiträge von Revolution suchen Nehme Revolution in Deine Freundesliste auf
somnium
Mitglied


Dabei seit: 15.06.2006
Beiträge: 227
Herkunft: Wickede

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Als Vorteil fällt mir spontan nur ein, dass in den Logs nicht localhost sondern die Client-IPs stehen

__________________
-----------------------------

Marc Risse IT-Services
http://www.risse-it.services

-----------------------------
23.04.2014 23:43 somnium ist offline E-Mail an somnium senden Homepage von somnium Beiträge von somnium suchen Nehme somnium in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.790
Herkunft: Berlin

RE: nächster Schritt Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

Zitat:
Original von Daniel Bradler
Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).

ich habe das probiert, jedoch funktioniert das nicht mit Thunderbird und KMail. Beide sind der Meinung, das bei IMAP nur der Port 143 funktioniert. Wenn ich per Hand SSL mit den Port 993 angebe, erscheint die Meldung, dass die Verbindung zum IMAP-Server nicht hergestellt werden konnte.

Bei nmap IP erscheint folgendes
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
PORT    STATE SERVICE
25/tcp  open     smtp
80/tcp  open     http
110/tcp open     pop3
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
143/tcp open     imap
443/tcp open     https
445/tcp filtered microsoft-ds
465/tcp open     smtps
587/tcp open     submission
993/tcp open     imaps
995/tcp open     pop3s

woran kann das liegen?

In der mail.log erscheint kein Eintrag!?

mfg
Twilo

EDIT:
Hat sich erledigt, ich hatte ausversehen den encrypted Key nach /opt/pdadmin/sslcerts kopiert.
Mit ist das nur aufgefallen, da in der syslog ständig folgende Zeilen auftauchten:
code:
1:
2:
3:
Apr 27 06:23:58 XX smtpd: 1398572638.993056 Enter PEM pass phrase:
Apr 27 06:23:59 XX smtpd: 1398572639.945105 Enter PEM pass phrase:tcpserver: status: 26/40
Apr 27 06:24:42 XX smtpd: 1398572682.697516 Enter PEM pass phrase:Enter PEM pass phrase:tcpserver: status: 28/40

Könnte das Installationsscript nicht überprüfen, ob ausversehen der encrypted Key nach /opt/pdadmin/sslcerts kopiert wurde?

Dateianhang:
png no_ssl.png (71,30 KB, 649 mal heruntergeladen)


__________________
Wunschzettel smile
Farbtabelle
27.04.2014 13:03 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
WebTeufel
Mitglied


Dabei seit: 19.01.2012
Beiträge: 423

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

also ich habe mit der ci-ssl-install keine probleme bekommen, alles ohne probleme funktioniert...

hast du den auch die server adresse als serveradress bei Thunderbird usw genommen? also die adresse die auch ssl zertifikat hat?
27.04.2014 20:30 WebTeufel ist offline E-Mail an WebTeufel senden Homepage von WebTeufel Beiträge von WebTeufel suchen Nehme WebTeufel in Deine Freundesliste auf Füge WebTeufel in Deine Kontaktliste ein
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.790
Herkunft: Berlin

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

Zitat:
Original von WebTeufel
also ich habe mit der ci-ssl-install keine probleme bekommen, alles ohne probleme funktioniert...

hast du den auch die server adresse als serveradress bei Thunderbird usw genommen? also die adresse die auch ssl zertifikat hat?

funktioniert jetzt alles, siehe EDIT ;-)

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
27.04.2014 20:59 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
kai
Mitglied


Dabei seit: 20.05.2006
Beiträge: 55

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Den Mailserver koennen Sie anschliessend mit dem Skript http://download.pd-admin.de/ci-ssl-install.sh konfigurieren (einfach runterladen und ausfuehren).


Sehe ich das richtig, dass das Script ist nicht für dovecot geeignet ist?
Nach der Ausführung hatte ich plötzlich wieder /service/courier-* Einträge.
01.06.2014 12:38 kai ist offline E-Mail an kai senden Beiträge von kai suchen Nehme kai in Deine Freundesliste auf
Seiten (19): [1] 2 3 nächste » ... letzte » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » nächster Schritt (pd-admin ueber HTTPS, Forward Secrecy und Mail ueber SSL)

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de