Mail Server HOWTO E-MAILS EINSAMMELN Mailstation/Mailserver - Thunderbird

[xabano]

Wessen man sich aber jetzt bewußt sein muss ist, dass man ja jetzt jederzeit auch vom Internet aus über http://IP.der.NAS/mail auf Roundcube und damit auf alle Mails zugreifen kann. Ist ja schön, aber ist das Ding auch sicher? Läuft ja erstmal über http, also völlig ungesichert. Hier würde ja auch niemand empfehlen, den DSM über Port 80 zu öffnen. Wie sieht das denn mit Roundcube aus? Ich halte meine Mails schon für ziemlich sensible Daten, die ich sicher nicht in fremden Händen wissen will...
Wer jetzt sagt, man kann ja Port 80 schließen, den möchte ich fragen, wie ich das mit einer aktiven PhotoStation vereinbare!?

Ich habe das mit getmail gemäss Anleitung im Wiki eingerichtet. Roundcube ist nicht aktiviert und Zugriff auf die Mails ist nur über Port 993 möglich (mit Mailclient / Smartphone). Funktioniert einwandfrei.

 

[Puppetmaster]

Was hindert dich daran den https Dienst zu aktivieren?

Bislang erstmal meine Unwissenheit. Ich habe die Option in Roundcube noch nicht gefunden. Ebenso ist es mir noch nicht gelungen, Mails aus RC heraus zu versenden (habe dazu den SMTP meines Mailproviders eingegeben), bekomme da immer SMTP-Fehler (-1) Verbindung fehlgeschlagen.
Da muss ich mich wohl noch ein bißchen einarbeiten...

 

[jahlives]

@Puppetmaster
Das ist keine Option im RC, sondern im DSM. Einfach den https aktivieren und dann man probieren mittels https auf das Webmail zuzugreifen

 

[Puppetmaster]

Das ist keine Option im RC, sondern im DSM. Einfach den https aktivieren und dann man probieren mittels https auf das Webmail zuzugreifen

Ich finde keine Möglichkeit, das im DSM einzustellen.
Eingerichtet ist der Zugang zum DSM über https. Per http komme ich da nicht drauf. Einzig die PhotoStationi ist aktiv und auf Port 80 erreichbar, und das soll auch so bleiben. Aber Roundcube möchte ich da nicht sehen.
Ich sehe da keine Option, an der ich da drehen könnte...

 

[jahlives]

Versteh ich jetzt nicht. Wenn du den https für die Webstation aktivierst, dann müsstest du doch mittels https auch zugreifen können, oder? Kann dir doch egal sein wenn das Webmail auch via Port 80 erreichbar ist, solange du nicht via Port 80 darauf zugreifst, sondern immer https verwendest

 

[Puppetmaster]

Versteh ich jetzt nicht. Wenn du den https für die Webstation aktivierst, dann müsstest du doch mittels https auch zugreifen können, oder?

Ok, die Webstation hatte ich bis jetzt ja gar nicht aktiviert. Wenn ich das jetzt mache, und dort die Option "https Verbindung aktivieren" anwähle, ändert sich aber auch nichts. Ich bekommt die Meldung der DiskStation, dass die gesuchte Seite nicht gefunden werden konnte. Irgendwie stelle ich mich gerade etwas dämlich an, aber ich sehe echt nicht den Fehler!
Die WebStation brauche ich ja auch anscheinend auch gar nicht im DSM aktivieren, denn ich komme ja auch so über http auf Roundcube...
Ich verstehe es nicht.

Kann dir doch egal sein wenn das Webmail auch via Port 80 erreichbar ist, solange du nicht via Port 80 darauf zugreifst, sondern immer https verwendest

Und wenn es Lücken in der Website gibt, die man knacken kann? Ist doch auch nicht sicherer als den DSM auf Port 5000 freizugeben...
Aber ich vermute, Roundcube läuft nicht als root-Prozess?

 

[jahlives]

Die anwendung ist nicht sicherer nur weil du via https zugreifst. https schützt dich nur vor dem Abfangen den Logindaten. Wenn du aber nur via https reingehst und ned via http, dann kann dir das eigentlich egal sein. Und wie du richtig vemutest, läuft RC ned unter root, sondern als User nobody

 

[Puppetmaster]

Die anwendung ist nicht sicherer nur weil du via https zugreifst. https schützt dich nur vor dem Abfangen den Logindaten.

Ok, soweit klar.

Und wie du richtig vemutest, läuft RC ned unter root, sondern als User nobody

Das ist entscheidend, dann kann ja ohnehin nicht so viel passieren. Wäre das - ähnlich wie der DSM - ein root-Prozess, dann wäre das Projekt so jetzt auch gestorben.

Trotzdem bleibt die Frage, wie ich RC per https erreiche... Ich schnall' es einfach nicht.

 

[jahlives]

Was passiert denn wenn du RC mittels https aufrufst? Fehlermeldung oder einfach Timeout oder was?

 

[Puppetmaster]

Was passiert denn wenn du RC mittels https aufrufst? Fehlermeldung oder einfach Timeout oder was?

Wie gesagt, es kommt die Mitteilung der DS(!): "Es tut uns Leid, die gesuchte Seite konnte nicht gefunden werden"
[h=1][/h]

 

[jahlives]

Haste Firefox? Dann mal LiveHeaders installieren und gucken ob du beim Aufruf von https RC irgendeine "komische" Weiterleitung bekommst. Wenn du die Webstation aktiviert hast, hast du denn auch eine index.html in /volume1/web abgelegt? Die kann auch leer sein, sollte aber vorhanden sein

 

[Puppetmaster]

@jahlives:
Was soll ich sagen, außer AUTSCH!!!
Hatte vor kurzem eine Portweiterleitung von 443 auf 5001 gemacht. Das kann ja nicht gehen, wenn die Anfrage an den DSM gestellt wird und nicht an Roundcube!!
*shame*

Also bis dahin mal Vielen Dank!!

Aber ich komme wieder, denn das Thema Mail Station ist jetzt wieder nur ein Stückchen weiter, aber noch lange nicht zu ende!

 

[Puppetmaster]

Und schon wieder da. ^^
Es drängt sich natürlich noch die Frage auf, ob ich den Port 443 für Roundcube/Webstation irgendwo auf einen anderen Port ändern kann im DSM/Konsole?

 

[jahlives]

dann leite doch Port XYZ am Router auf Port 443 der DS weiter. Dann musst du halt beim https Zugriff auf RC immer den Port XYZ angeben. Allerdings würde ich eher XYZ auf den 5001 weiterleiten und den 443 auf den 443 der DS

 

[Puppetmaster]

...oh mensch...heute stehe ich aber auf dem ganz langen Schlauch...!!

Danke!!

 

[Puppetmaster]

Das Mailstation-Login läuft übrigens nicht in die automatische Blockierung!
Das ist entweder ein Bug, oder eine Sicherheitslücke die Synology noch schließen sollte!

 

[jahlives]

das lässt sich sich so einfach fixen Denn der Login wird vom Dovecot Server geprüft, für Dovecot ist jedoch der Client immer 127.0.0.1 wenn du via Webmail zugreifst. Würde also die IP gesperrt, die zugreifen will, dann würde das komplette Webmail gesperrt

 

[Puppetmaster]

das lässt sich sich so einfach fixen...

Meinetwegen muß das auch nicht einfach sein! Externe IP sollte ja irgendwie durchgenudelt werden können bzw ist die ja irgendwo schon vorhanden.
Bei der PhotoStation geht's ja auch.
Die Notwendigkeit eines Blocks sehe ich aber schon, sogar weitaus mehr als bei einer der PhotoStation.
Werde mal ein Ticket aufmachen und bei Synology nachhorchen.

 

[jahlives]

Du verstehst das nicht ganz Bei der Photostation ist es kein Problem weil die Photostation die Verifizierung der Logindaten selber macht. Beim Webmail hingegen werden diese Daten an den Mailserver geschickt und das Webmail reagiert dann je nach Antwort mit Access Denied oder granted.
Die Auth am Mailserver geht via normales IMAP/POP3 und dabei ist kein Platz im Protokoll um eine allfällige IP durchzunudeln. Wenn der Mailserver einen fehlerhaften Login erkennt, dann immer von der IP welche die Verbindung an den Mailserver aufgebaut hat und das ist beim Webmail nicht der Client sondern das Webmail. Wenn du dich direkt an den Mailserver verbindest, dann sollte auch der Autoblock greifen
Es ginge einzig und allein wenn RC die fehlerhaften Logins selber auswertet, direkt auf dem Mailserver geht es sehr sicher ned

 

[Puppetmaster]

Nein, ehrlich gesagt verstehe ich das nicht ganz. Zumindest sehe ich das Problem nicht so.
Ich rede auch gar nicht vom Mailserver. Wieso kann die MailStation (webmail) die Auth nicht selbst prüfen? Vielleicht kann sie es jetzt nicht, aber warum sollte man das nicht implementieren können?!
Vielleicht muß man das Ding ein bißchen aufbohren, aber möglich sollte das schon sein.
Man könnte ja auch eine einfache Webseite davorschalten, die die Benutzerauth bereits dort abfängt, diese könnte ja - wie die PhotoStation - in den DSM integriert sein.
Ich sagte ja: einfach muß das nicht sein. Aber unmöglich ist es sicher auch nicht. Mir persönlich wäre das auch einen gewissen Aufwand wert.