Courier und Horde geht nicht

[umbroboy]

Hallo,

ich hab nen courier laufen auf nen debian sarge system.

Habe jetzt horde installiert und die test.php aufgerufen um die imap verbindung zu testen.

Hier kommt allerdings folgendes heraus:

Code: Select all

    * Trying protocol imap, Port 143:

          ERROR - The server returned the following error message:

          Certificate failure for 89.149.194.125: self signed certificate:
          /C=US/ST=NY/L=New York/O=Courier Mail Server/OU=Automatically-generated
          IMAP SSL key/CN=localhost/emailAddress=postmaster@example.com

    * Trying protocol imap/notls, Port 143:

          ERROR - The server returned the following error message:

          [CLOSED] IMAP connection broken (server response)

    * Trying protocol imap/ssl, Port 993:

          ERROR - The server returned the following error message:

          Certificate failure for 89.149.194.125: self signed certificate:
          /C=US/ST=NY/L=New York/O=Courier Mail Server/OU=Automatically-generated
          IMAP SSL key/CN=localhost/emailAddress=postmaster@example.com

    * Trying protocol imap/ssl/novalidate-cert, Port 993:

          ERROR - The server returned the following error message:

          [CLOSED] IMAP connection broken (server response)

    * Trying protocol imap/tls/novalidate-cert, Port 143:

          ERROR - The server returned the following error message:

          [CLOSED] IMAP connection broken (server response)

Was hat jetzt das zu bedeuten?
Wer hat ne idee?

Hatte dies erst frisch installiert.

Vielen Dank
umbroboy

[zg0re]

Um self-signed Zertifikate zu benutzen, musst du folgendes in der Config des Servers haben:

'protocol' => 'imap/ssl/novalidate-cert'

[Roger Wilco]

Geht dein IMAP-Server ansonsten, wenn du mit einem anderen Client darauf zugreifst? Was steht in deinen Logs?

Um self-signed Zertifikate zu benutzen, musst du folgendes in der Config des Servers haben:

'protocol' => 'imap/ssl/novalidate-cert'

Code: Select all

    * Trying protocol imap/ssl/novalidate-cert, Port 993:

          ERROR - The server returned the following error message:

          [CLOSED] IMAP connection broken (server response)

[zg0re]

EDIT: Ok, übersehen ;)

[umbroboy]

Mir geht es in erster linie gar nicht um die zertifikate.

Ich habe auch keine eingerichtet.

Ich habe diese ganz normal mit apt-get install

zwar die SSL Pakete mit aber die brauche ich erstmal nicht.

Und sind doch normal bei imap (143) nicht erforderlich?

Ein telnet auf 143 ergibt das:

Code: Select all

* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyright 1998-2004 Double Precision, Inc.  See COPYING for distribution information.

und ein:

netstat -anp --ip
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 2949/mysqld
tcp 0 0 127.0.0.1:783 0.0.0.0:* LISTEN 1287/spamd.pid
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 8280/perl
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 4826/exim4
udp 0 0 0.0.0.0:10000 0.0.0.0:* 8280/perl

Ergibt das.

Der Maillog Warn sagt wfolgendes:

Code: Select all

Jul 17 21:33:45 XXX-149-194-XXX imaplogin: DISCONNECTED, ip=[::ffff:XXX.149.194.XXX], time=60

das Mailog.info gibt das aus:

Code: Select all

Jul 17 22:00:33 XXX-149-194-XXX imaplogin: Connection, ip=[::ffff:127.0.0.1]
Jul 17 22:00:33 XXX-149-194-XXX imaplogin: Connection, ip=[::ffff:127.0.0.1]

[duergner]

Wenn in den Logfilesnix drinnen steht gibt das gleiche wie immer ... Loglevel hochschrauben.

[umbroboy]

Sag mir doch noch wo ich das loglevel bei courier hochsetze?

[duergner]

Du kannst DEBUG_LOGIN in der /etc/courier/imapd mal auf 1 setzen. Dann sollten die entsprechenden Meldungen fuer den Login-Prozess mitgeloggt werden.

Der Login mittels eines normalen Email Clients funktioniert?

[umbroboy]

Hallo,

habe ich jetzt nicht versucht, weil.


kein port 143 aktiv?

[Roger Wilco]

Wie wäre es, wenn du den Courier IMAP mal startest? Er sollte dann zumindest an Port 143 gebunden sein.

[umbroboy]

Hey,

das hab ich ja schon gemacht.

Wie folgt:

Code: Select all

for i in /etc/init.d/courier*; do $i restart; done

und die Ausgabe ist dann diese:

Stopping Courier authdaemon: done.
Starting Courier authdaemon: done.
Stopping Courier IMAP server: imapd.
Starting Courier IMAP server: imapd.
Restarting Courier IMAP-SSL server: done.
Stopping Courier POP3 server: pop3d.
Starting Courier POP3 server: pop3d.
Restarting Courier POP3-SSL server: done.

Nur ich seh es einfach nicht. Auch den daemon unter top nicht.

:(

[rootsvr]

netstat -paunt sollte dir irgendwie was auf 143 geben, ansonsten solltest Du ja beim telnet auf 143 keine Antwort bekommen können (zwei posts drüber)

Was genau willst Du jetzt eigentlich?
Die Ausgabe von Horde läßt erahnen das die Certifikate schuld sind (wenn man mal den IMAPS Port ausläßt). Den Fix willst Du nicht einspielen weil es keinen Port 143 gibt, aber die Ausgabe eines Telnet auf 143 kannst Du liefern? wtf?

[umbroboy]

Hallo,

hatte nochmal ein

Code: Select all

dpkg-reconfigure php4-imap 

gemacht den apachen neugestartet.

und hatte diesen befehl.

Code: Select all

netstat -anp --ip

da kommt natürlich nur dann ein port 143 vor, wenn er verbunden ist mit einer ip.

Das Protokoll:

* Trying protocol imap/notls, Port 143:

SUCCESS - INBOX has 1 messages (1 new 1 recent)


* Trying protocol imap/ssl/novalidate-cert, Port 993:

SUCCESS - INBOX has 1 messages (1 new 0 recent)

* Trying protocol imap/tls/novalidate-cert, Port 143:

SUCCESS - INBOX has 1 messages (1 new 0 recent)

Allerdings leider nicht:


* Trying protocol imap, Port 143:

ERROR - The server returned the following error message:

Certificate failure for localhost: self signed certificate:
/C=US/ST=NY/L=New York/O=Courier Mail Server/OU=Automatically-generated
IMAP SSL key/CN=localhost/emailAddress=postmaster@example.com

oder:

* Trying protocol imap/ssl, Port 993:

ERROR - The server returned the following error message:

Certificate failure for localhost: self signed certificate:
/C=US/ST=NY/L=New York/O=Courier Mail Server/OU=Automatically-generated
IMAP SSL key/CN=localhost/emailAddress=postmaster@example.com



Woran kann das mit dem SSL oder dem normalen imap liegen?

Viele Grüße

umbrobyo

[duergner]

Daran dass es ein automatisch erstelltes, selbst signiertes Zertifikat ist. Die Fehlermeldung ist doch sehr eindeutig, oder?

[umbroboy]

Ne ehrlich gesagt versteh ich das nicht.

Und mein Outlook daheim meckert auch immer rum mit ner doofen fehlermeldung. Aber nur wenn es um abonierte unterordner geht.

Was muss ich tun?

Die Meldung von Outlook heisst:

Warnhinweis von IMAP Server: STATUS failed.

In den Logs von courier und exim4 konnt ich nichts finden.

DEn Ordner logs zeigt er auch unter horde bzw Outlook an aber er lädt die emails nicht rein.

Nur ich habe geschaut und es existieren welche unter:

.log/Maildir/new

[thorsten]

Du solltest /usr/lib/courier/mkimapdcert aufrufen und zu deinem Server passende Angaben machen. Wenns meckert, lösch die Datei /etc/courier/imapd.pem

siehe http://www.courier-mta.org/?mkimapdcert.html

[umbroboy]

@Thorsten

Hängt das auch mit dem Problem zusammen, dass ich die Emails im Unterordner nicht sehe?

das ist dann wohl eher ein anderes problem?

[rootsvr]

Hast Du die Ordner in Outlook o.ä. aboniert und synchronisiert?
Wie genau connectest Du Dich zu deinem Server (IMAP 143, IMAPS auf 993?) Tut sich was wenn Du mittels POP3/POP3s Mails abrufst?
Was steht dann in relevanten Logfiles (mail.log, syslog, messages?)

Man muß Dir schon lassen: Du hast immer 1000 Probleme, schreibst nie was Du genau gemacht hast oder ob Du gegebene Tips befolgt hast, fängst nicht an erstmal einen Fehler zu lösen, sondern kommst zwischendurch mit irgendwas neuem.
Du gibt keinerlei vernünftige Logfiles, Du installierst erstmal was (SSL Pakete) was Du garnicht brauchst und und und.. das ist sooo schwer deinem wirren Zeugs zu folgen.

Generell seltsam: warum bekommt er auf Port 143 übewrhaupt was von einem Zertifikat, wo doch IMAP eigentlich unverschlüsselt ist.

Warum bringst Du nicht erstmal den Mailserver zum laufen und dann Horde?

[umbroboy]

Hast Du die Ordner in Outlook o.ä. aboniert und synchronisiert?

Ja ich habe die Outlook ordner aboniert und synchronisiert.

Wie genau connectest Du Dich zu deinem Server (IMAP 143, IMAPS auf 993?) Tut sich was wenn Du mittels POP3/POP3s Mails abrufst?

Ich connecte per IMAP 143, das ist in Outlook standard so drin.
und die Emails werden auch abgerufen und kommen in den posteingangsordner.[/quote]

Was steht dann in relevanten Logfiles (mail.log, syslog, messages?)

In den logs passt soweit alles z.b:

Jul 20 23:15:01 XXX-149-194-XXX imaplogin: LOGIN, user=oliver@example.org, ip=[::ffff:82.135.15.103], protocol=IMAP
Jul 20 23:15:01 XXX-149-194-XXX imaplogin: LOGIN, user=oliver@example.org, ip=[::ffff:82.135.15.103], protocol=IMAP

Die einzige Meldung die vielleicht stört ist diese:

/etc/courier/shared/index: No such file or directory

Aber die hatte ich früher auch schon und ging problemlos.

Sonst passt wirklich alles, auch der exim beschwert sich nicht. Er kopiert ja sogar die Email und das unterverzeichnis.

Man muß Dir schon lassen: Du hast immer 1000 Probleme, schreibst nie was Du genau gemacht hast oder ob Du gegebene Tips befolgt hast, fängst nicht an erstmal einen Fehler zu lösen, sondern kommst zwischendurch mit irgendwas neuem.
Du gibt keinerlei vernünftige Logfiles, Du installierst erstmal was (SSL Pakete) was Du garnicht brauchst und und und.. das ist sooo schwer deinem wirren Zeugs zu folgen.

Generell seltsam: warum bekommt er auf Port 143 übewrhaupt was von einem Zertifikat, wo doch IMAP eigentlich unverschlüsselt ist.

Deshalb musst du nicht gleich so reagieren. Ich hab das nicht zum ersten mal gemacht und es hat immer wunderbar geklappt. und ich gebe auch gern mehr infos. Weiss überhaupt nicht was dein problem ist!

Ich habe die paktete ganz normal über apt-get installiert.
Ich mache da keine zusatz dinger.

ist doch okay, das horde die meldung bringt. und der eine abruf funktioniert ja schonmal.

[umbroboy]

Du solltest /usr/lib/courier/mkimapdcert aufrufen und zu deinem Server passende Angaben machen. Wenns meckert, lösch die Datei /etc/courier/imapd.pem

siehe http://www.courier-mta.org/?mkimapdcert.html

Das hab ich jetzt mal gemacht.

Bringt trotzdem nichts mit dem zertifikat.

Ich denke ich löse erstmal das problöem mit der inbox.

:(

[daemotron]

Bringt trotzdem nichts mit dem zertifikat.

Unwahrscheinlich, dass es etwas gebracht hätte - hast Du denn vorher eine gültige CA erzeugt? Wenn da noch die Dummy-CA von OpenSSL verwendet wurde, ist das signieren ziemlich sinnlos. Mal abgesehen davon, dass ein selbstsigniertes Zertifikat selten überprüft werden kann, weil die entsprechende Infrastruktur fehlt...

Mein Vorschlag: OpenSSL richtig konfigurieren, einen CSR mit dem richtigen CN erstellen (unter dem Du den Server ansprichst und der in Courier auch so konfiguriert ist) und den bei CACert o. ä. signieren lassen => das Cert zusammen mit dem nicht verschlüsselten Private Key in eine Datei kopieren und die dann als imapd.pem abspeichern.

[thorsten]

mkimapcert erstellt dir eine gültige pem Datei - natürlich ohne das Zert. offz. signieren zu lassen.
Wenn der cn nicht mit dem Servernamen übereinstimmt, weigert sich Thunderbird mit dem Courier zusammenzuarbeiten. Ich hoffe Outlook verhält sich da ähnlich.
Also ist in das Erstellen der pem-Datei fundamental wichtig, wenn man die Kommunikation verschlüsseln möchte.

Wenn die CA nicht vertrauensvoll ist (und das ist eine selbst erstellte nicht), dann muß man sie einmal aktzeptieren/importieren und gut ist. Dafür brauche ICH für MICH kein von CA-CERT bestätigtes Zertifikat.

=> Beim Webserver sehe ich das aber anders, da macht CA-CERT Sinn.

[daemotron]

FULLY ACK. Meine Vermutung war nur, dass evtl. mit seiner OpenSSL-Konfiguration was nicht stimmt - und dann funktioniert mkimapcert auch nicht richtig... ist AFAIK nur ein Wrapper für OpenSSL, oder täusche ich mich da?

"weigern" ist vielleicht nicht der richtige Ausdruck - beide Mail-Clients fragen penetrant nach, wobei Outlook ab V. 2007 nicht mal mehr Wildcard-Zertifikate akzeptiert :?

[thorsten]

FULLY ACK. Meine Vermutung war nur, dass evtl. mit seiner OpenSSL-Konfiguration was nicht stimmt - und dann funktioniert mkimapcert auch nicht richtig... ist AFAIK nur ein Wrapper für OpenSSL, oder täusche ich mich da?

mkimapcert legt durch die Abfrage diverser Daten eine eigene imapd.cnf an., du mußt also openssl nicht vorher konfigurieren - ich habs jedenfalls nicht gemacht :lol:

"weigern" ist vielleicht nicht der richtige Ausdruck - beide Mail-Clients fragen penetrant nach, wobei Outlook ab V. 2007 nicht mal mehr Wildcard-Zertifikate akzeptiert :?

Danke für die Info, dann habe ich das als weigern verstanden.
Nachdem ich die Meldung bekam und durchgelesen habe, fand ich sie sinnvoll und angebracht. Daraufhin habe ich mir das Zert. erstellt und seitdem ist alles gut. (Mit ethereal überprüft! ;))

[daemotron]

mkimapcert legt durch die Abfrage diverser Daten eine eigene imapd.cnf an

Man lernt nie aus... :oops: Hab bisher meine CSRs immer direkt mit openssl gebastelt.

Danke für die Info, dann habe ich das als weigern verstanden.

Schön wär's, wenn die sich mal richtig weigern würden, ne SSL oder TLS-Verbindung ohne prüfbares Zertifikat aufzubauen - auf alle Fälle ne Erziehungsmaßnahme 8) :lol: