welcher Imap ist sicher?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
tsaenger
Posts: 413
Joined: 2003-08-13 01:14

welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 13:09

Hallo,

ich wollte meinen Mailserver nun mit nem IMAP-Deamon erweitern. Dieser sollte auch mit den Nutzerdaten von Confixx zusammenspielen.
Nachdem ich mich nun einige Tage in Foren durchgelesen habe woollte ich mal eure Meinung zu dem Thema hören.

Ich habe 3 IMAP-Dienste gefunden.

courier
cyrus
UW-IMAP

Zu UW-Imap habe ich gelsen, dass er angeblich sehr oft sicherheitsprobleme haben sollte stimmt das?


Welchen Dienst würdet ihr mir empfehlen?

Gruß

Tobias

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: welcher Imap ist sicher?

Post by Joe User » 2006-04-09 13:20

tsaenger wrote:Zu UW-Imap habe ich gelsen, dass er angeblich sehr oft sicherheitsprobleme haben sollte stimmt das?
Ja, er ist quasi das phpNuke unter den IMAPd.
tsaenger wrote:Welchen Dienst würdet ihr mir empfehlen?
Courier-IMAP.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 13:23

Hallo,

Danke für die schnelle Antwort.

Nun würde ich noch gerne wissen, wo der unterschied zw. cyrus und courier liegt? Warum lieber courier als cyrus?

Gruß

Tobias

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: welcher Imap ist sicher?

Post by Joe User » 2006-04-09 13:47

Courier-IMAP nutzt das Maildir-Format, welches von Postfix/Exim/QMüll direkt unterstützt wird, während Cyrus-IMAP ein eigenes MBOX-Format nutzt. Der Vorteil von Maildir ist, dass jede Mail in einer eigenen Datei gespeichert wird, während beim MBOX alle Mails in einer gemeinsamen Datei gespeichert werden. Wird nun das MBOX beschädigt, sind unter Umständen alle Mails weg, während beim Maildir nur die betroffene Mail futsch wäre. Zudem ist Courier-IMAP etwas einfacher zu administrieren, während Cyrus-IMAP besser skalieren soll. Letztendlich ist es aber eine Geschacksfrage...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 13:49

Hi,

vielen vielen Dank.

Ich werde dann nun mal versuchen den courier zum laufen zu bringen.

Gruß

Tobias

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: welcher Imap ist sicher?

Post by captaincrunch » 2006-04-09 14:53

während beim MBOX alle Mails in einer gemeinsamen Datei gespeichert werden.
Kleine Korrektur (nachdem ich mich in letzter Zeit wieder häufiger mit dem Cyrus rumschlagen durfte): auch Cyrus hustet die Mails als einzelne Files auf die Platte, baut aber kleine interne "Datenbanken" auf. Selbst wenn diese beschädigt werden sollten, lassen sie sich aber anhand der Mails reorganisieren.

Mein Fazit daher: für "große" Installationen Cyrus, für den "Hausgebrauch" Courier. Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: welcher Imap ist sicher?

Post by nyxus » 2006-04-09 22:00

CaptainCrunch wrote:Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.
Auch schon für IMAP? Da gab es doch in der Vergangenheit etliche Probleme.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 22:10

Hallo,

wenn ein telnet Server 143 mir folgendes ausspuckt:

Code: Select all

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THRE
AD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyr
ight 1998-2005 Double Precision, Inc.  See COPYING for distribution information.
Hießt das dann das der imap dienst funktioniert? Ich kann nämlich nicht moit outlook express darauf zugreifen.

Gruß

Tobias

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: welcher Imap ist sicher?

Post by Joe User » 2006-04-09 22:21

MTA/MDA umkonfiguriert? Testmail geschickt?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 22:24

also so weit ich es verstanden habe, habe ich postfix umgestellt.
hatte da ne anleitung aus dem debianforum.

Gruß

Tobias

P.S: Die Logfile Mail sagt folgendes:
Apr 9 22:20:58 a15194708 pop3d: [Hint: perhaps authdaemond is not running?]
Apr 9 22:20:58 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.28.151]
Apr 9 22:20:58 a15194708 pop3d: authentication error: Connection refused

Apr 9 22:13:39 a15194708 imapd: [Hint: perhaps authdaemond is not running?]
Apr 9 22:13:39 a15194708 imapd: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.28.151]
Apr 9 22:13:39 a15194708 imapd: authentication error: Connection refused

Wie starte ich denn authdaemond?

a15194708:/usr/local/libexec/courier-authlib # ./authdaemond start
Error: authdaemond no longer handles its own daemonizing.
Use new startup script.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: welcher Imap ist sicher?

Post by Joe User » 2006-04-09 22:34

Courier-Authlib und Cyrus-SASL installiert und konfiguriert?

http://www.rootforum.org/wiki/howto/ge ... cyrus_sasl
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 22:34

Hallo,

ich authentifiziere im Übrigen nicht gegen eine mysql-datenbank sondern mit smtp-auth nach folgender Anleitung:
http://www.debianforum.de/forum/viewtop ... 28&start=0

Gruß

Tobias

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: welcher Imap ist sicher?

Post by flo » 2006-04-09 22:38

tsaenger wrote:... mit smtp-auth ...
ah ha ... smtp auth per imap über pam?

Starte den authdaemon und gut ist es ...

flo.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 22:38

Hallo,

Das verstehe ich jetzt nicht ganz. Was muss ich denn alles installiert haben, das ich pop und imap auch mittels ssl nutzen kann.
Hast du icq oder ne andere möglichkeit wie wir auf schnellem wege kommunizieren können? Würde dann das Ergebins für andere auch mit ins Forum übernehmen.

Gruß

Tobias

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-09 22:39

Hallo Flo,

Ja das möchte ich ja gerne aber wie?

Gruß

Tobias

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: welcher Imap ist sicher?

Post by captaincrunch » 2006-04-10 07:03

Nyxus wrote:
CaptainCrunch wrote:Wenn's klein, schnell und sicher sein soll, wäre Dovecot IMHO aber mehr als nur einen kleinen Blick wert.
Auch schon für IMAP? Da gab es doch in der Vergangenheit etliche Probleme.
Gab es? Bei mir nicht, sorry. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: welcher Imap ist sicher?

Post by flo » 2006-04-10 07:52

tsaenger wrote:ja das möchte ich ja gerne aber wie?
Ich habe im /etc/init.d folgende Dateien:

Code: Select all

[root@castor][07:48:35][0.00 0.00][tmp:noexec](~) # ls -lisa /etc/init.d/cou*
36899 1 -rwxr-xr-x 1 root root  822 2005-10-12 05:21 /etc/init.d/courier-authdaemon
36910 2 -rwxr-xr-x 1 root root 1900 2005-10-12 05:21 /etc/init.d/courier-imap
36912 3 -rwxr-xr-x 1 root root 2149 2005-10-12 05:21 /etc/init.d/courier-imap-ssl
36902 2 -rwxr-xr-x 1 root root 1796 2005-10-12 05:21 /etc/init.d/courier-pop
36904 3 -rwxr-xr-x 1 root root 2192 2005-10-12 05:21 /etc/init.d/courier-pop-ssl
Nachdem der Courier-authdaemon schon gut meckert, daß er übers Startscript gestartet werden möchte, sollte das nach der Installation doch vorhanden sein - bei Debian ist das Dependency, soweit ich weiß.

SMTP-AUTH hat IMHO nichts mit imap zu tun, Sonderkonfigurationen ausgenommen, deswegen stutze ich da etwas.

flo.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-10 08:48

Hallo,
ich habe mal auf meinem server nach auth* gesucht und folgendes gefunden:
    /usr/local/sbin/authdaemond /usr/local/etc/authlib/authdaemonrc.dist /usr/local/etc/authlib/authdaemonrc /usr/local/libexec/courier-authlib/authdaemond /usr/local/var/spool/authdaemon
wenn ich nun aber mit ./authdeaemond im sbin das script mit "start" starte, dann erscheint es auch im ps-aux als gestartet.

Im Log steht beim verbindungsversuch folgendes:

Code: Select all

Apr 10 08:44:20 a15194708 authdaemond: Connection to server 'pgsql.example.com' userid 'admin' database 'template1' failed.
Apr 10 08:44:20 a15194708 authdaemond: unknown host name: pgsql.example.com.
Apr 10 08:44:20 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 08:44:20 a15194708 pop3d: authentication error: Input/output error
Sieht meines erachtens aus, als wolle er sich mit einer DB authentifizieren. Das möchte ich aber nicht. Er soll bitte die passwd nutzen da dort alle user mit pwd drin stehen. Da ich confixx für meine User verwende weiß ich nicht, ob ich die auth mit ner DB realisieren kann.

Gruß

Tobias

heffer
Posts: 4
Joined: 2006-04-10 08:43

Re: welcher Imap ist sicher?

Post by heffer » 2006-04-10 08:55

Wie möchtest du dich denn authentifizieren?
Wenn du möchtest, dass er die Benutzerdaten gegen die Systembenutzer abprüft musst du die authdaemonrc dementsprechend ändern.

Da gibt es eine Variable namens authmodulelist. Da musst du alle Module außer dem, welches du benutzen möchtest entfernen.
Für die Systembenutzer Sache steht dann da authmodulelist="authshadow"

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-10 09:05

Hallo,
Also das habe ich nun umgestellt.

Nun bekomme ich folgende Meldung im log:

Code: Select all

Apr 10 09:31:12 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 09:31:12 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 09:31:12 a15194708 authdaemond: FAIL, all modules rejected
Apr 10 09:31:12 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 09:31:17 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]
mein shdow sieht so aus:

Code: Select all

...
web1:$1$jp0xxxxxxxxxxxxxxxxxByqWSXl0:13247:0:99999::::
web1p1:$1$s5m5xxxxxxxxxxxxxxxhn9/tyGQOY/:13247:0:99999::::
web1p10:$1$CDmg9xxxxxxxxxxxxxxOBfXArAtcyK.:13247:0:99999::::
...
(Passwort habe ich unkenntlich gemacht)

Warum aber bekomme ich keinen Zugriff? muss ich da noch was mit dem Loginverfahren einstellen? (Die Übergabeart des Passworts definieren)

Gruß

Tobias

[EDIT]
Muss ich dafür eigentlich sasl installiert haben?
[/EDIT]

heffer
Posts: 4
Joined: 2006-04-10 08:43

Re: welcher Imap ist sicher?

Post by heffer » 2006-04-10 09:41

Scheint als würde es das Shadow Modul bei dir nich geben. Schau doch mal in den lib Ordner vom Authdaemon. Bei mir unter Gentoo sieht das so aus:

Code: Select all

pandora ~ # ls /usr/lib/courier-authlib/lib
libauthcustom.a                    libauthmysql.so                    libauthpgsql.so.0.0.0              libauthuserdb.la                   libcourierauthsaslclient.a
libauthcustom.la                   libauthmysql.so.0                  libauthpipe.a                      libauthuserdb.so                   libcourierauthsaslclient.la
libauthcustom.so                   libauthmysql.so.0.0.0              libauthpipe.la                     libauthuserdb.so.0                 libcourierauthsaslclient.so
libauthcustom.so.0                 libauthpam.a                       libauthpipe.so                     libauthuserdb.so.0.0.0             libcourierauthsaslclient.so.0
libauthcustom.so.0.0.0             libauthpam.la                      libauthpipe.so.0                   libcourierauth.a                   libcourierauthsaslclient.so.0.0.0
libauthldap.a                      libauthpam.so                      libauthpipe.so.0.0.0               libcourierauthcommon.a             libcourierauthsasl.la
libauthldap.la                     libauthpam.so.0                    libauthshadow.a                    libcourierauthcommon.la            libcourierauthsasl.so
libauthldap.so                     libauthpam.so.0.0.0                libauthshadow.la                   libcourierauthcommon.so            libcourierauthsasl.so.0
libauthldap.so.0                   libauthpgsql.a                     libauthshadow.so                   libcourierauthcommon.so.0          libcourierauthsasl.so.0.0.0
libauthldap.so.0.0.0               libauthpgsql.la                    libauthshadow.so.0                 libcourierauthcommon.so.0.0.0      libcourierauth.so
libauthmysql.a                     libauthpgsql.so                    libauthshadow.so.0.0.0             libcourierauth.la                  libcourierauth.so.0
libauthmysql.la                    libauthpgsql.so.0                  libauthuserdb.a                    libcourierauthsasl.a               libcourierauth.so.0.0.0

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-10 09:44

bei mir sieht es so aus:

Code: Select all

a15194708:/usr/local/lib/courier-authlib # ls
.                       libauthpipe.so.0.0.0
..                      libauthuserdb.a
libauthcustom.a         libauthuserdb.la
libauthcustom.la        libauthuserdb.so
libauthcustom.so        libauthuserdb.so.0
libauthcustom.so.0      libauthuserdb.so.0.0.0
libauthcustom.so.0.0.0  libcourierauth.a
libauthldap.a           libcourierauth.la
libauthldap.la          libcourierauth.so
libauthldap.so          libcourierauth.so.0
libauthldap.so.0        libcourierauth.so.0.0.0
libauthldap.so.0.0.0    libcourierauthcommon.a
libauthpam.a            libcourierauthcommon.la
libauthpam.la           libcourierauthcommon.so
libauthpam.so           libcourierauthcommon.so.0
libauthpam.so.0         libcourierauthcommon.so.0.0.0
libauthpam.so.0.0.0     libcourierauthsasl.a
libauthpgsql.a          libcourierauthsasl.la
libauthpgsql.la         libcourierauthsasl.so
libauthpgsql.so         libcourierauthsasl.so.0
libauthpgsql.so.0       libcourierauthsasl.so.0.0.0
libauthpgsql.so.0.0.0   libcourierauthsaslclient.a
libauthpipe.a           libcourierauthsaslclient.la
libauthpipe.la          libcourierauthsaslclient.so
libauthpipe.so          libcourierauthsaslclient.so.0
libauthpipe.so.0        libcourierauthsaslclient.so.0.0.0

heffer
Posts: 4
Joined: 2006-04-10 08:43

Re: welcher Imap ist sicher?

Post by heffer » 2006-04-10 09:52

Kompilier die Courier-Authlib nochmal mit --with-authshadow.

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-10 10:10

Hallo
Habe nun mit

Code: Select all

./configure --prefix=/usr/local/courier-imap --disable-root-check --without-authpam --without-authldap --with-authpwd --without-authmysql --without-authpgsql --with-authshadow --without-authuserdb --without-authcustom --without-authcram --without-authdaemon --without-authvchkpw --with-ssl
neu compiliert und folgende libs gefunden:
    . libauthshadow.la libcourierauthcommon.so.0.0.0 .. libauthshadow.so libcourierauthsasl.a libauthpipe.a libauthshadow.so.0 libcourierauthsasl.la libauthpipe.la libauthshadow.so.0.0.0 libcourierauthsasl.so libauthpipe.so libcourierauth.a libcourierauthsasl.so.0 libauthpipe.so.0 libcourierauth.la libcourierauthsasl.so.0.0.0 libauthpipe.so.0.0.0 libcourierauth.so libcourierauthsaslclient.a libauthpwd.a libcourierauth.so.0 libcourierauthsaslclient.la libauthpwd.la libcourierauth.so.0.0.0 libcourierauthsaslclient.so libauthpwd.so libcourierauthcommon.a libcourierauthsaslclient.so.0 libauthpwd.so.0 libcourierauthcommon.la libcourierauthsaslclient.so.0.0.0 libauthpwd.so.0.0.0 libcourierauthcommon.so libauthshadow.a libcourierauthcommon.so.0
Aber beim login bekomme ich immernoch folgende meldung:

Code: Select all

Apr 10 10:06:02 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]
Apr 10 10:06:07 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 10:06:07 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 10:06:07 a15194708 authdaemond: FAIL, all modules rejected
Apr 10 10:06:07 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 10:06:12 a15194708 pop3d: Disconnected, ip=[::ffff:84.168.0.162]
Gruß

Tobias

tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Re: welcher Imap ist sicher?

Post by tsaenger » 2006-04-10 10:26

Hallo,
nachdem ich alle Dienste nun neu gestartet habe bekomme ich beim login folgende meldung im logfile:

Code: Select all

Apr 10 10:22:43 a15194708 pop3d: Connection, ip=[::ffff:84.168.0.162]
Apr 10 10:22:43 a15194708 authdaemond: received auth request, service=pop3, authtype=login
Apr 10 10:22:43 a15194708 authdaemond: authshadow: trying this module
Apr 10 10:22:43 a15194708 authdaemond: authshadow: sysusername=web1p1, sysuserid=<null>, sysgroupid=102, homedir=/var/mail/web1p1, address=web1p1, fullname=, maildir=<null>, quota=<null>, options=<null>
Apr 10 10:22:43 a15194708 authdaemond: authshadow: clearpasswd=<null>, passwd=x
Apr 10 10:22:43 a15194708 authdaemond: password matches successfully
Apr 10 10:22:43 a15194708 authdaemond: Authenticated: sysusername=web1p1, sysuserid=<null>, sysgroupid=102, homedir=/var/mail/web1p1, address=web1p1, fullname=, maildir=<null>, quota=<null>, options=<null>
Apr 10 10:22:43 a15194708 authdaemond: Authenticated: clearpasswd=xxxxxx, passwd=$1$sxxxxxxxxxxx8rihn9/tyGQOY/
Apr 10 10:22:43 a15194708 pop3d: web1p1: chdir(/var/mail/web1p1) failed!!
Apr 10 10:22:43 a15194708 pop3d: error: Not a directory
Apr 10 10:22:43 a15194708 pop3d: LOGIN FAILED, user=web1p1, ip=[::ffff:84.168.0.162]
Apr 10 10:22:43 a15194708 pop3d: authentication error: Not a directory
Warum wird denn hier in das Verz. /var/mail/web1p1 gewechselt?
Es soll doch in /home/mail/web1p1 gehen.

Gruß

Tobias