welcher Imap ist sicher?

[tsaenger]

Hallo,

ich wollte meinen Mailserver nun mit nem IMAP-Deamon erweitern. Dieser sollte auch mit den Nutzerdaten von Confixx zusammenspielen.
Nachdem ich mich nun einige Tage in Foren durchgelesen habe woollte ich mal eure Meinung zu dem Thema hören.

Ich habe 3 IMAP-Dienste gefunden.

courier
cyrus
UW-IMAP

Zu UW-Imap habe ich gelsen, dass er angeblich sehr oft sicherheitsprobleme haben sollte stimmt das?


Welchen Dienst würdet ihr mir empfehlen?

Gruß

Tobias

[Joe User]

Zu UW-Imap habe ich gelsen, dass er angeblich sehr oft sicherheitsprobleme haben sollte stimmt das?

Ja, er ist quasi das phpNuke unter den IMAPd.

Welchen Dienst würdet ihr mir empfehlen?

Courier-IMAP.

[tsaenger]

Hallo,

Danke für die schnelle Antwort.

Nun würde ich noch gerne wissen, wo der unterschied zw. cyrus und courier liegt? Warum lieber courier als cyrus?

Gruß

Tobias

[Joe User]

Courier-IMAP nutzt das Maildir-Format, welches von Postfix/Exim/QMüll direkt unterstützt wird, während Cyrus-IMAP ein eigenes MBOX-Format nutzt. Der Vorteil von Maildir ist, dass jede Mail in einer eigenen Datei gespeichert wird, während beim MBOX alle Mails in einer gemeinsamen Datei gespeichert werden. Wird nun das MBOX beschädigt, sind unter Umständen alle Mails weg, während beim Maildir nur die betroffene Mail futsch wäre. Zudem ist Courier-IMAP etwas einfacher zu administrieren, während Cyrus-IMAP besser skalieren soll. Letztendlich ist es aber eine Geschacksfrage...

[tsaenger]

Hi,

vielen vielen Dank.

Ich werde dann nun mal versuchen den courier zum laufen zu bringen.

Gruß

Tobias

[captaincrunch]

während beim MBOX alle Mails in einer gemeinsamen Datei gespeichert werden.

Kleine Korrektur (nachdem ich mich in letzter Zeit wieder häufiger mit dem Cyrus rumschlagen durfte): auch Cyrus hustet die Mails als einzelne Files auf die Platte, baut aber kleine interne "Datenbanken" auf. Selbst wenn diese beschädigt werden sollten, lassen sie sich aber anhand der Mails reorganisieren.

Mein Fazit daher: für "große" Installationen Cyrus, für den "Hausgebrauch" Courier. Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.

[nyxus]

Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.

Auch schon für IMAP? Da gab es doch in der Vergangenheit etliche Probleme.

[tsaenger]

Hallo,

wenn ein telnet Server 143 mir folgendes ausspuckt:

Code: Select all

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THRE
AD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyr
ight 1998-2005 Double Precision, Inc.  See COPYING for distribution information.

Hießt das dann das der imap dienst funktioniert? Ich kann nämlich nicht moit outlook express darauf zugreifen.

Gruß

Tobias

[Joe User]

MTA/MDA umkonfiguriert? Testmail geschickt?

[tsaenger]

also so weit ich es verstanden habe, habe ich postfix umgestellt.
hatte da ne anleitung aus dem debianforum.

Gruß

Tobias

P.S: Die Logfile Mail sagt folgendes:
Apr 9 22:20:58 a15194708 pop3d: [Hint: perhaps authdaemond is not running?]
Apr 9 22:20:58 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.28.151]
Apr 9 22:20:58 a15194708 pop3d: authentication error: Connection refused

Apr 9 22:13:39 a15194708 imapd: [Hint: perhaps authdaemond is not running?]
Apr 9 22:13:39 a15194708 imapd: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.28.151]
Apr 9 22:13:39 a15194708 imapd: authentication error: Connection refused

Wie starte ich denn authdaemond?

a15194708:/usr/local/libexec/courier-authlib # ./authdaemond start
Error: authdaemond no longer handles its own daemonizing.
Use new startup script.

[Joe User]

Courier-Authlib und Cyrus-SASL installiert und konfiguriert?

http://www.rootforum.org/wiki/howto/gen ... cyrus_sasl

[tsaenger]

Hallo,

ich authentifiziere im Übrigen nicht gegen eine mysql-datenbank sondern mit smtp-auth nach folgender Anleitung:
http://www.debianforum.de/forum/viewtop ... 28&start=0

Gruß

Tobias

[flo]

... mit smtp-auth ...

ah ha ... smtp auth per imap über pam?

Starte den authdaemon und gut ist es ...

flo.

[tsaenger]

Hallo,

Das verstehe ich jetzt nicht ganz. Was muss ich denn alles installiert haben, das ich pop und imap auch mittels ssl nutzen kann.
Hast du icq oder ne andere möglichkeit wie wir auf schnellem wege kommunizieren können? Würde dann das Ergebins für andere auch mit ins Forum übernehmen.

Gruß

Tobias

[tsaenger]

Hallo Flo,

Ja das möchte ich ja gerne aber wie?

Gruß

Tobias

[captaincrunch]

Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.

Auch schon für IMAP? Da gab es doch in der Vergangenheit etliche Probleme.

Gab es? Bei mir nicht, sorry. ;)

[flo]

ja das möchte ich ja gerne aber wie?

Ich habe im /etc/init.d folgende Dateien:

Code: Select all

[root@castor][07:48:35][0.00 0.00][tmp:noexec](~) # ls -lisa /etc/init.d/cou*
36899 1 -rwxr-xr-x 1 root root  822 2005-10-12 05:21 /etc/init.d/courier-authdaemon
36910 2 -rwxr-xr-x 1 root root 1900 2005-10-12 05:21 /etc/init.d/courier-imap
36912 3 -rwxr-xr-x 1 root root 2149 2005-10-12 05:21 /etc/init.d/courier-imap-ssl
36902 2 -rwxr-xr-x 1 root root 1796 2005-10-12 05:21 /etc/init.d/courier-pop
36904 3 -rwxr-xr-x 1 root root 2192 2005-10-12 05:21 /etc/init.d/courier-pop-ssl

Nachdem der Courier-authdaemon schon gut meckert, daß er übers Startscript gestartet werden möchte, sollte das nach der Installation doch vorhanden sein - bei Debian ist das Dependency, soweit ich weiß.

SMTP-AUTH hat IMHO nichts mit imap zu tun, Sonderkonfigurationen ausgenommen, deswegen stutze ich da etwas.

flo.

[tsaenger]

Hallo,
ich habe mal auf meinem server nach auth* gesucht und folgendes gefunden:

• /usr/local/sbin/authdaemond
  /usr/local/etc/authlib/authdaemonrc.dist
  /usr/local/etc/authlib/authdaemonrc
  /usr/local/libexec/courier-authlib/authdaemond
  /usr/local/var/spool/authdaemon

wenn ich nun aber mit ./authdeaemond im sbin das script mit "start" starte, dann erscheint es auch im ps-aux als gestartet.

Im Log steht beim verbindungsversuch folgendes:

Code: Select all

Apr 10 08:44:20 a15194708 authdaemond: Connection to server 'pgsql.example.com' userid 'admin' database 'template1' failed.
Apr 10 08:44:20 a15194708 authdaemond: unknown host name: pgsql.example.com.
Apr 10 08:44:20 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 08:44:20 a15194708 pop3d: authentication error: Input/output error

Sieht meines erachtens aus, als wolle er sich mit einer DB authentifizieren. Das möchte ich aber nicht. Er soll bitte die passwd nutzen da dort alle user mit pwd drin stehen. Da ich confixx für meine User verwende weiß ich nicht, ob ich die auth mit ner DB realisieren kann.

Gruß

Tobias

[heffer]

Wie möchtest du dich denn authentifizieren?
Wenn du möchtest, dass er die Benutzerdaten gegen die Systembenutzer abprüft musst du die authdaemonrc dementsprechend ändern.

Da gibt es eine Variable namens authmodulelist. Da musst du alle Module außer dem, welches du benutzen möchtest entfernen.
Für die Systembenutzer Sache steht dann da authmodulelist="authshadow"

[tsaenger]

Hallo,
Also das habe ich nun umgestellt.

Nun bekomme ich folgende Meldung im log:

Code: Select all

Apr 10 09:31:12 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 09:31:12 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 09:31:12 a15194708 authdaemond: FAIL, all modules rejected
Apr 10 09:31:12 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 09:31:17 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]

mein shdow sieht so aus:

Code: Select all

...
web1:$1$jp0xxxxxxxxxxxxxxxxxByqWSXl0:13247:0:99999::::
web1p1:$1$s5m5xxxxxxxxxxxxxxxhn9/tyGQOY/:13247:0:99999::::
web1p10:$1$CDmg9xxxxxxxxxxxxxxOBfXArAtcyK.:13247:0:99999::::
...

(Passwort habe ich unkenntlich gemacht)

Warum aber bekomme ich keinen Zugriff? muss ich da noch was mit dem Loginverfahren einstellen? (Die Übergabeart des Passworts definieren)

Gruß

Tobias

[EDIT]
Muss ich dafür eigentlich sasl installiert haben?
[/EDIT]

[heffer]

Scheint als würde es das Shadow Modul bei dir nich geben. Schau doch mal in den lib Ordner vom Authdaemon. Bei mir unter Gentoo sieht das so aus:

Code: Select all

pandora ~ # ls /usr/lib/courier-authlib/lib
libauthcustom.a                    libauthmysql.so                    libauthpgsql.so.0.0.0              libauthuserdb.la                   libcourierauthsaslclient.a
libauthcustom.la                   libauthmysql.so.0                  libauthpipe.a                      libauthuserdb.so                   libcourierauthsaslclient.la
libauthcustom.so                   libauthmysql.so.0.0.0              libauthpipe.la                     libauthuserdb.so.0                 libcourierauthsaslclient.so
libauthcustom.so.0                 libauthpam.a                       libauthpipe.so                     libauthuserdb.so.0.0.0             libcourierauthsaslclient.so.0
libauthcustom.so.0.0.0             libauthpam.la                      libauthpipe.so.0                   libcourierauth.a                   libcourierauthsaslclient.so.0.0.0
libauthldap.a                      libauthpam.so                      libauthpipe.so.0.0.0               libcourierauthcommon.a             libcourierauthsasl.la
libauthldap.la                     libauthpam.so.0                    libauthshadow.a                    libcourierauthcommon.la            libcourierauthsasl.so
libauthldap.so                     libauthpam.so.0.0.0                libauthshadow.la                   libcourierauthcommon.so            libcourierauthsasl.so.0
libauthldap.so.0                   libauthpgsql.a                     libauthshadow.so                   libcourierauthcommon.so.0          libcourierauthsasl.so.0.0.0
libauthldap.so.0.0.0               libauthpgsql.la                    libauthshadow.so.0                 libcourierauthcommon.so.0.0.0      libcourierauth.so
libauthmysql.a                     libauthpgsql.so                    libauthshadow.so.0.0.0             libcourierauth.la                  libcourierauth.so.0
libauthmysql.la                    libauthpgsql.so.0                  libauthuserdb.a                    libcourierauthsasl.a               libcourierauth.so.0.0.0

[tsaenger]

bei mir sieht es so aus:

Code: Select all

a15194708:/usr/local/lib/courier-authlib # ls
.                       libauthpipe.so.0.0.0
..                      libauthuserdb.a
libauthcustom.a         libauthuserdb.la
libauthcustom.la        libauthuserdb.so
libauthcustom.so        libauthuserdb.so.0
libauthcustom.so.0      libauthuserdb.so.0.0.0
libauthcustom.so.0.0.0  libcourierauth.a
libauthldap.a           libcourierauth.la
libauthldap.la          libcourierauth.so
libauthldap.so          libcourierauth.so.0
libauthldap.so.0        libcourierauth.so.0.0.0
libauthldap.so.0.0.0    libcourierauthcommon.a
libauthpam.a            libcourierauthcommon.la
libauthpam.la           libcourierauthcommon.so
libauthpam.so           libcourierauthcommon.so.0
libauthpam.so.0         libcourierauthcommon.so.0.0.0
libauthpam.so.0.0.0     libcourierauthsasl.a
libauthpgsql.a          libcourierauthsasl.la
libauthpgsql.la         libcourierauthsasl.so
libauthpgsql.so         libcourierauthsasl.so.0
libauthpgsql.so.0       libcourierauthsasl.so.0.0.0
libauthpgsql.so.0.0.0   libcourierauthsaslclient.a
libauthpipe.a           libcourierauthsaslclient.la
libauthpipe.la          libcourierauthsaslclient.so
libauthpipe.so          libcourierauthsaslclient.so.0
libauthpipe.so.0        libcourierauthsaslclient.so.0.0.0

[heffer]

Kompilier die Courier-Authlib nochmal mit --with-authshadow.

[tsaenger]

Hallo
Habe nun mit

Code: Select all

./configure --prefix=/usr/local/courier-imap --disable-root-check --without-authpam --without-authldap --with-authpwd --without-authmysql --without-authpgsql --with-authshadow --without-authuserdb --without-authcustom --without-authcram --without-authdaemon --without-authvchkpw --with-ssl

neu compiliert und folgende libs gefunden:

• . libauthshadow.la libcourierauthcommon.so.0.0.0
  .. libauthshadow.so libcourierauthsasl.a
  libauthpipe.a libauthshadow.so.0 libcourierauthsasl.la
  libauthpipe.la libauthshadow.so.0.0.0 libcourierauthsasl.so
  libauthpipe.so libcourierauth.a libcourierauthsasl.so.0
  libauthpipe.so.0 libcourierauth.la libcourierauthsasl.so.0.0.0
  libauthpipe.so.0.0.0 libcourierauth.so libcourierauthsaslclient.a
  libauthpwd.a libcourierauth.so.0 libcourierauthsaslclient.la
  libauthpwd.la libcourierauth.so.0.0.0 libcourierauthsaslclient.so
  libauthpwd.so libcourierauthcommon.a libcourierauthsaslclient.so.0
  libauthpwd.so.0 libcourierauthcommon.la libcourierauthsaslclient.so.0.0.0
  libauthpwd.so.0.0.0 libcourierauthcommon.so
  libauthshadow.a libcourierauthcommon.so.0

Aber beim login bekomme ich immernoch folgende meldung:

Code: Select all

Apr 10 10:06:02 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]
Apr 10 10:06:07 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 10:06:07 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 10:06:07 a15194708 authdaemond: FAIL, all modules rejected
Apr 10 10:06:07 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 10:06:12 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]

Gruß

Tobias

[tsaenger]

Hallo,
nachdem ich alle Dienste nun neu gestartet habe bekomme ich beim login folgende meldung im logfile:

Code: Select all

Apr 10 10:22:43 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 10:22:43 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 10:22:43 a15194708 authdaemond: authshadow: trying this module
Apr 10 10:22:43 a15194708 authdaemond: authshadow: sysusername=web1p1, sysuserid=<null>, sysgroupid=102, homedir=/var/mail/web1p1, address=web1p1, fullname=, maildir=<null>, quota=<null>, options=<null>
Apr 10 10:22:43 a15194708 authdaemond: authshadow: clearpasswd=<null>, passwd=x
Apr 10 10:22:43 a15194708 authdaemond: password matches successfully
Apr 10 10:22:43 a15194708 authdaemond: Authenticated: sysusername=web1p1, sysuserid=<null>, sysgroupid=102, homedir=/var/mail/web1p1, address=web1p1, fullname=, maildir=<null>, quota=<null>, options=<null>
Apr 10 10:22:43 a15194708 authdaemond: Authenticated: clearpasswd=xxxxxx, passwd=$1$sxxxxxxxxxxx8rihn9/tyGQOY/
Apr 10 10:22:43 a15194708 pop3d: web1p1: chdir(/var/mail/web1p1) failed!!
Apr 10 10:22:43 a15194708 pop3d: error: Not a directory
Apr 10 10:22:43 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 10:22:43 a15194708 pop3d: authentication error: Not a directory

Warum wird denn hier in das Verz. /var/mail/web1p1 gewechselt?
Es soll doch in /home/mail/web1p1 gehen.

Gruß

Tobias