Versions Compared

Version Old Version 13 New Version Current
Changes made by

Stefan Puschek

Marcus Röckrath

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Auch dieses Howto ist nicht allein auf meinem Mist gewachsen – ohne tatkräftige Hilfe von Marcus Roeckrath Röckrath und Holger Bruenjes in der Newsgroup spline.eisfair auf news.spline.de wäre ich ziemlich aufgeschmissen gewesen. Ich habe hier nun meine Erfahrungen und Probleme und die Lösungsansätze einfliessen lassen.

Damit ich mir viel Tipparbeit und natürlich Tippfehler erspare, arbeite ich nicht direkt auf der Konsole des Servers, sondern benutze den Midnight-commander Commander <MC> in einem ssh-client – da kann ich copy & paste verwenden. Ausserdem kann ich zwei Verbindungen, also Fenster, gleichzeitig benutzen.

...

http://www.patshaping.de/hilfen_ta/pop3_smtp.htm

Für den verschlüsselten Mailversand sind die folgenden Schritte nicht erforderlich, wenn der smtp-Server des Providers von sich aus eine Verschlüsselung anbietet. Dann wird beim Versand automatisch auch die Verschlüsselung mit der Gegenstelle vereinbart. Dieses reicht aber nicht, um Man-in-the-Middle-Attacken vorzubeugen.

Damit wir sicher sein können, dass wir unsere Mails auch dem richtigen Postausgangsserver übergeben (alles andere wäre fatal), besorgen wir uns die einzelnen Zertifikate der Zertifikatskette von ihm. Diese kommen alle – sofern sie noch nicht vorhanden sind - nach

...

Nun muss unser Mailserver auch Listen von gesperrten und oder widerrufenen Zertifikaten haben. Ohne diese bricht er den Versand ab, da er so nicht feststellen kann, ob alle Zertifikate in der Kette noch gültig sind.

Gegenüber dem im folgenden beschriebenen Vorgehen, gilt bei Verwendung von certs >= 1.2.8: Aktivierung von atd in der Base-Konfiguration und Aufruf von "Update revocation list(s) im certs-Menü. Dieser Punkt ist auch aufzurufen, wenn sich im Exim-Log (/var/spool/exim/log/mainlog) folgende Fehlermeldung beim Mailversand findet:

Code Block
languagebash
SSL verify error: depth=0 error=CRL has expired cert=/C=DE/O=... 

Die Widerrufslisten (CRL) besorgt er sich durch

...

Zum Schluss will unser Mailserver unbedingt eine eigene exim.pem-Datei haben – ohne diese klappte der SSL-verschlüsselte Versand bei mir nicht. Mir erschliesst sich der Sinn der Datei / des Zertifikats zwar nicht, aber ohne gings partout nicht. Entweder hat man Glück und findet unter /usr/local/ssl/certs/ bereits eine apache.pem oder eine pureftpd.pem oder man erstellt sich mit dem certs-Paket selbst eine exim.pem. Da ich hieran gescheitert bin, habe Die Vorgehensweise habe ich in ein eigenes Howto ausgelagert unter

https://ssl.nettworks.org/wiki/display/e/Erstellung+eines+lokalen+Zertifikates+exim.pem

Aus Faulheit hatte ich kurzerhand meine pureftpd.pem nach exim.pem kopiert und dann sicherheitshalber rehasht. Eigenartigerweise Anfangs hat sich mein Server nicht über das eigentlich abgelaufene Gültigkeitsdatum in meiner exim.pem beschwert – aber wenigstens läuft er damit.wenn man das Mailpaket richtig konfiguriert, wird auf abgelaufene / ablaufende Zertifikate geprüft. Daher habe ich die Prüfung momentan zu Testzwecken 'etwas' öfter eingeplant - nicht nur alle zwei Wochen mitten in der Nacht.

Code Block
languagebash
MAIL_CERTS_WARNING = yes
MAIL_CERTS_WARNING_SUBJECT = TLS certificates warning
MAIL_CERTS_WARNING_CRON_SCHEDULE = 30 * * * *

Mit dieser Einstellung wird jetzt stündlich um 30 Minuten nach der vollen Stunde geprüft. Jetzt müssen wir noch in der Konfiguration des Mailpaketes die Postausgangsserver für verschlüsselten Versand eintragen (sind meist andere als ohne SSL) und dann SSL aktivieren.

...

Dies wiederholen wir für alle Mailkonten, die wir auf Versand mit SSL umstellen wollen. Wir speichern die Konfiguration mit F2, verlassen den Konfigurationseditor mit F10 und aktivieren die neue Konfiguration.

Da die Provider auf unserer Seite vom Mailversende-Programm nur gültige Widerufszertifikate akzeptiert werden, jedoch manche Provider (z. B. web.de und gmx - möglicherweise auch andere - ) nur Widerufszertifikate bereitstellen, die nur eine kurze Gültigkeit (ca. einen Tag) haben, ist die regelmässige Aktualisierung der Widerrufslisten benötigen, Pflicht. Daher korrigieren oder legen wir uns im certs-Paket noch einen cron-Job dafür an.

...

Dezember 2013

Stefan Puschek

 

...

Verwandte Artikel

Filter by label (Content by label)
showLabelsfalse
max5
spacese
sortmodifiedshowSpacefalse
reversetrue
typepage
labelseisfair mail ssl