RootForum Community

Wollte mit roundcube mails versenden dabei merkte ich dass ich mich nicht einloggen kann.
Fehler:
IMAP connect: NOT OK(Could not connect to ssl:mail.example.org:993: Can't assign requested address) auch nicht wenn ich example.org auf meine Domain in der config ändere.
log Kann mir bitte jemand sagen wie ich die verschiedenen config - Dateien anpassen soll.
$rcmail_config['default_host'] = 'ssl://mail.example.org';
muss ich mail.example.org mit meiner domain ersetzen?

<VirtualHost 10.0.2.15:80> meine IP?
ServerName example.org meine Domain?
Redirect 301 / http://www.example.org/ meine Domain?
</VirtualHost>

irgend wo stimmt es da nicht manchmal hab ich in der Adr. Zeile http://www.example.org

Gruß
Ron

RDNS sollte für alle IP-Adressen vernünftig gesetzt sein, möglichst so: Das Prinzip sollte damit klar sein. Wichtig ist nur, dass der RDNS mit dem Hostnamen identisch ist.

Die TTL darf übrigens nicht niedriger sein, als von dem jeweiligen NIC (zum Beispiel DENIC für .de) zugelassen.

Desweiteren scheint Dein Kunde nach wie vor eine fehlerhafte Konfiguration in seinem Mailclient zu haben. Sollte er einen lokalen Mailserver betreiben und Deinen Mailserver als Relay verwenden, muss sich auch sein Mailserver wie ein Mailclient an Deinem Mailserver mit Username und Passwort anmelden. Zudem muss sein Mailserver per DynDNS einen FQDN bekommen, damit der HELO RFC-Konform wird und Deine mx_access wegen der privaten IP-Adresse nicht zuschlägt. Andernfalls gibt es ein "Access denied".


Ja, Du musst *.example.org und 10.0.2.* durchgehend durch die entsprechenden FQDN und IPs ersetzen. Steht aber auch zu Beginn des HowTo bereits ausreichend deutlich vermerkt.

danke,

Tut mir leid Ihr habt recht. Nach Rücksprache mit meinen Provider musste ich feststellen, dass meine RDNS doch falsch sind. Mein Fehler war, ich habe mein Provider vertraut.
Wenn es erledigt ist werde ich meine Probleme noch einmal untersuchen. (RoundCub geht nicht – kann mich nicht mit SSL anmelden.) vielleicht haben einige Dinge mit der Einstellung des DNS zu tun.
Das wichtigste ist, dass die Kunden hinaus mailen können.
Danke
Gruß
Ron

Hallo,

am 2010-09-29 16:35 hab ich geschrieben: nachdem die RDNS richtig gestellt sind kann ich mit technik@fr...at an Hotmail mailen.
Im DNS habe ich den MX auf mein System zeigen lassen
@fr...at -> mail.meinmailserver.at
bin gespannt ob der Kunde morgen wegmailen kann.
RoundCube funktioniert jetzt auch lag an der Einstellung (wo sonst :-D )
SSl einloggen geht auch lag an den Befehlen.
Zum Spaß hab ich Squirrelmail auch installiert und es funktioniert.
Was mich am meisten begeistert, ich bekomme fast keine Spams mehr.
Bin froh den Rat von joe User gefolgt zu sein und Postfix anstatt weiterhin qmail zu installieren.
Wie gut bin ich mit dieser Installation gegen Relaying geschützt?


vielen Dank
Ron

ron9999 wrote:Wie gut bin ich mit dieser Installation gegen Relaying geschützt?

Wenn Du Dich an meine Config hältst, dann ist Relaying nur über kaputte WebApps und gekaperte Client-Rechner möglich.

danke,
bin dabei die FW einzustellen - was ist der Unterschied zwischen STARTTLS und Über direkte SSL ?

ron9999 wrote:was ist der Unterschied zwischen STARTTLS und Über direkte SSL ?

Bei STARTTLS wird eine bestehende TCP-Verbindung auf dem Standard-Port (25 oder 587) zu einer SSLv3 oder TLSv1-verschlüsselten Verbindung upgegradet, ohne dass dazu eine neue Verbindung über einen anderen Port eröffnet wird. Der SSL-Handshake erfolgt eben einfach später, und auch erst, wenn der Client dies mit dem Befehl STARTTLS signalisiert. "Normale" SSL-Verbindung (auf Port 465) führt immer nach dem TCP-Handshake einen SSL-Handshake durch, so dass die Verbindung ebenfalls mit SSLv3 oder TLSv1 (je nach Vermögen des Clients) geschützt ist.

@matzewe01,
ich habe den Mailserver mit einem ipfilter abgesichert und dachte ich müsste die Ports anpassen.

danke @daemotron,
daher bleiben die Ports beim POP3 auf 110 und beim SMTP Port 25 und Sicherheitseinstellung muss auf STARTTLS stehen. Bei SSL/TLS auf 995 od. 465.

ipfilter sollte nur gegen Angriffe auf den PC schützen.

kann mir bitte jemand sagen wo ich mich bezüglich SSL-Zertifikat schlau machen kann? od. wo ich eines für https://mein.tld/postfixadmin und für einen Shop finden kann. (bin komplett Zertifikat unwissend)
hab gerade diese Seite gefunden http://www.1a-ssl.at (ist es erlaubt die URL hier so zu posten?)
hab noch eins hier im Forum gefunden "psw.net" ist noch günstiger.
Warum gibt es so viele verschiedene?
Gruß
Ron

Laufen postfixadmin und der Shop auf der gleichen Domain ? Falls nicht und du der einzigste bist der auf postfixadmin zugreift reicht auch ein Zertifikat was du selbst signierst - damit sagst du im Grunde nur du vertraust dir selbst.

Für den Shop wäre dass vielleicht keine gute Idee - glaube bei instanstssl gab oder gibt es Zertifikate kostenlos - mal nachschauen ob dass noch der Fall ist.
Da generierst du bei dir auf der Maschine ein Zertifikat und einen privaten Schlüssel, dann signiert Instantssl oder der jeweilige Anbieter das Zertifikat (meist für 1 Jahr) und wenn ein Client darauf zugreift wird das Zertifikat was du sendest als vertrauenswürdig eingestuft - wenn der Client die jeweilige CA kennt.

Mal die Suchmaschine der Wahl fragen, da wird bestimmt geholfen :)

Und warum es so viele Anbieter gibt - Reseller usw. usw.

Danke rudelgurke, habe mir die Seite von instanstssl angesehen und wollte einmal ein freies Cert für roundcube und postfixadmin zertifizieren.
Ich sollte erstens:
1. Copy and paste your CSR into this box:
welche muss ich da aus den Verz. /etc/ssl nehmen?
webserver_cert.pem webserver_key.pem webserver_keyrsa.pem webserver_req.pem
oder müssen die Zertifikate neu generiert werden?

2. Select the server software used to generate the CSR:
da habe ich die Auswahl Apache-SSL (Ben-SSL (not stronghold)
od. Apache-ModSSL
ich nehme Apache-SSL richtig?
Gruß
Ron

mailserver_req.pem und Apache-ModSSL

danke, werde mich jetzt etwas mit SSL auseinandersetzen
Gruß
Ron

Hallo,
ich habe jetzt mailserver_req.pem mit Apache-ModSSL registrieren lassen.
Bekommen habe ich ein Zip-File mit 2 Files: ns2_weronet_com.crt und ns2_weronet_com.ca-bundle.
Dann habe ich den Inhalt von ns2_*.cert in mailserver_req.pem kopiert (was mache ich mit *.ca-bundle?) in der Beschreibung ist nur die Rede von Webserver.

mailserver_req.pem ist ja nur im dovecot.conf vorhanden brauche ich dazu ein anderes Zertifikat?

wenn ich auf die Seite gehe und auf das Schlosssymbol klicke erhalte ich

Die Identität dieser Website wurde nicht bestätigt.
Die Verbindung zu mail.weronet.com …..

(mail host sollte eigentlich ns2 sein)
jetzt versuche ich erstmal den Host mail auf ns2 zu ändern.

Im /etc/ssl habe ich mailserver_req.peim und ein webserver_req.pem brauche ich jetzt 2 Zertifikate oder kann ich eines für beides nützen?
Danke
Ron

Welche Beschreibung ?

Wie wurden die Zertifikate erstellt ? Erst eine lokale CA angelegt, dann die Zertifikate ?
Falls ja, die Zertifikate noch von der erstellten CA signieren lassen und die CA dann in die Clients importieren.
Oder aber, gerade wenn externe User darauf zugreifen wollen, die Zertifikate von einer externen CA signieren lassen - Thawte, Verisign, ... usw.

http://www.symantec.com/connect/article ... tep-part-2

Beschreibt dass ganz gut - etwas älter und beim Import von Symantec gab es wohl ein Problem mit den Zeilenumbrüchen der openssl.cnf.
Ist im Grunde das Erstellen der CA, dann der Zertifikate, die Signierung der Zertifikate durch die CA und das Ganze kann dann in die jeweiligen Daemons eingebunden werden - Apache, Dovecot usw.

Wie schon gesagt, greifen externe User darauf zu ist denen nicht zuzumuten eine neue CA zu importieren, hier dann von einer externen CA signieren lassen.