Sicherer E-Mail Transport SSL, TLS...

[Frank70]

Hallo,

ich wollte gerade ein E-Mail-Konto bei Thunderbird (TB) einrichten und bin hierbüber gestolpert:

Der Versand geschieht per SMTP über Port 25 und ist per STARTTLS verschlüsselt. Ich würde aber gerne bei IMAP SSL nutzen, also IMAPS über Port 993. Was ist da zu tun?
Über google bin ich mal hierauf gestoßen, aber ich werde da nicht recht schlau daraus, da es sich dort um Ubuntu und nicht um die Diskstation + Zafira handelt

Gruß
Frank

 

[jahlives]

Versand geht immer via SMTP und nicht via IMAP. IMAP kannst du nur bei Eingang wählen. Stell dort SSL auf SSL/TLS und der Port sollte automatisch auf 993 wechseln

 

[Frank70]

Mir gehts ja auch nur um den Empfang, Versand übr SMTP ist soweit klar. Wenn ich manuell SSL/TLS auswähle stellt TB den Port automatisch auf 993 um. Soweit gut. Aber ich kann das Konto nicht anlegen da Thunderbird meint keine Einstellungen für das E-Mail Konto zu finden:



Also muss ich doch bei Zarafa bzgl. IMAPS üder 993 noch was einstellen?!

 

[jahlives]

nach der Änderung "Erneut testen" gemacht?

 

[Frank70]

ja klar, danach kam ja diese Meldung

 

[jahlives]

hast du denn die Mailstation auf deiner DS aktiviert und hast du auch ganz sicher SSL/TLS für Mail aktiviert?

 

[Frank70]

Nein, das MailStation-Paket habe ich gar nicht installiert. Stattdessen soll ja Zarafa mit Postfix+Fetchmail gerhalten. Oder fallst Du die "Einstellungen für E-Mail-Empfang" unter Mail-Server in der Systemsteuerung meinst bzgl. POP3+IMAP: Ob ich da bei IMAP SSL/TLS ein Häkchen setze oder nicht bringt keine Änderung. Generell habe ich dort gar nix angehakt, lediglich unter "Einstellungen für Mail-Server" habe ich ein Häkchen bei "SMTP aktivieren" und bei "SMTP-Authorisation erforderlich" gesetzt.

 

[Jdo2002]

um IMAPS mit Zarafa zu nutzen musst du es passend konfigurieren. Welche Parameter das sind findest du hier in der offiziellen Doku

Im groben sollten das diese hier sein:

ssl_private_key_file
The file that contains the private key used for encrypting the ssl connections. The absolute path to the file should be used. Default value: /etc/zarafa/privkey.pem
ssl_certificate_file
imaps_enable
Enable secure IMAP service with value yes. Default value: no
imaps_port
The secure IMAP service will listen on this port for incoming connections. Default value: 993

Wichtig ist das du ein Zertifikat hast was Zarafa benutzen kann. Es ist vieleicht auch möglich die Zertifikate von der DS zu nutzen, ich weiß aber nicht wo die "rumliegen".

Gruß Julian

 

[Weaslasf]

weiß zwar nicht ob ich euch damit jetzt helfe, aber die selbsterstellten zertifikate der DS liegen unter /usr/syno/etc/ssl. sind aber .crt, .csr, .key files.

http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

poste bitte auch die mögliche lösung, sobald du eine hast, da mich das problem wohl selbst bald betreffen wird

 

[Axel-Berlin]

Hallo,

ich bin wie folgt vorgegangen.

Ein Verzeichnis gateway anlegen

mkdir /etc/zarafa/gateway/


ggf. wenn nicht vorhanden die Datei openssl.cnf unter vi /usr/syno/ssl/ erstellen

vi /usr/syno/ssl/openssl.cnf

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Zertifikat erstellen

openssl genrsa -out /etc/zarafa/gateway/privkey.pem 2048
openssl req -new -x509 -key /etc/zarafa/gateway/privkey.pem -out /etc/zarafa/gateway/cert.pem -days 3650


in der Datei /etc/zarafa/gateway.cfg

vi /etc/zarafa/gateway.cfg

imaps_enable = yes

# File with RSA key for SSL
ssl_private_key_file = /etc/zarafa/gateway/privkey.pem

#File with certificate for SSL
ssl_certificate_file = /etc/zarafa/gateway/cert.pem

# Verify client certificate
ssl_verify_client = no

# Client verify file and/or path
ssl_verify_file =
ssl_verify_path =

Zafara neu starten

dann im Emailprogramm auf SSL umstellen und das Zertifikat akzeptieren.

 

[Frank70]

Hallo,

ich bin wie folgt vorgegangen.

Ein Verzeichnis gateway anlegen

mkdir /etc/zarafa/gateway/


ggf. wenn nicht vorhanden die Datei openssl.cnf unter vi /usr/syno/ssl/ erstellen

vi /usr/syno/ssl/openssl.cnf

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Zertifikat erstellen

openssl genrsa -out /etc/zarafa/gateway/privkey.pem 2048
openssl req -new -x509 -key /etc/zarafa/gateway/privkey.pem -out /etc/zarafa/gateway/cert.pem -days 3650


in der Datei /etc/zarafa/gateway.cfg

vi /etc/zarafa/gateway.cfg

imaps_enable = yes

# File with RSA key for SSL
ssl_private_key_file = /etc/zarafa/gateway/privkey.pem

#File with certificate for SSL
ssl_certificate_file = /etc/zarafa/gateway/cert.pem

# Verify client certificate
ssl_verify_client = no

# Client verify file and/or path
ssl_verify_file =
ssl_verify_path =

Zafara neu starten

dann im Emailprogramm auf SSL umstellen und das Zertifikat akzeptieren.

Ich habe das nun genau so gemacht. Aber trotzdem bekomme ich von TB die Meldung

 

[InTheCloud]

weiß zwar nicht ob ich euch damit jetzt helfe, aber die selbsterstellten zertifikate der DS liegen unter /usr/syno/etc/ssl. sind aber .crt, .csr, .key files.

http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

poste bitte auch die mögliche lösung, sobald du eine hast, da mich das problem wohl selbst bald betreffen wird

Wenn man bereits ein Zertifikat für die DS einsetzt (entweder selbstgeneriert oder von einem Anbieter erstellt), dann kann man dieses wie folgt für den IMAP SSL Zugriff in Zarafa verwenden:
1. Aus dem vorhandenen privaten Schlüssel (.key) und Zertifikat (.crt) eine kombinierte Datei erstellen.
(siehe auch Kapitel 4.6.1 hier http://doc.zarafa.com/6.40/Administrator_Manual/en-US/html/_configure_zarafa_caldav.html#_SecureCaldav)

cd /usr/syno/etc/ssl
cat ssl.key > my_server_combined.pem
cat ssl.crt >> my_server_combined.pem

2. Die Datei "gateway.cfg" von Zarafa anpassen:

cd /etc/zarafa
vi gateway.cfg

Dann IMAP SSL aktivieren

# enable/disable Secure IMAP, and Secure IMAP listen port
imaps_enable    =       yes                              
imaps_port      =       993

und die neu erstellte kombinierte Schlüssel/Zertifikat-Datei angeben.

# File with RSA key for SSL                                                                       
ssl_private_key_file    =       /usr/syno/etc/ssl/my_server_combined.pem
                                                                                                                    
#File with certificate for SSL                                                                                      
ssl_certificate_file    =       /usr/syno/etc/ssl/my_server_combined.pem

Dann die Datei abspeichern und schliessen und das Zarafa Paket neu starten.
Für den Zugriff ausserhalb des eigenen Netzwerks ist noch der Port 993 in der Firewall über port forwarding einzurichten.