Zugriff auf Zarafa via Port 993

[TomD]

Hi Forum, ich muss mich doch noch mit einer weiteren Frage an euch wenden:
Ich greife via Port 144 auf die ddns-Adresse mit Thunderbird und Outlook problemlos zu. Nun würde ich gern eigentlich die Verbindung auf Port 993 wechseln, halte das für etwas sicherer.
Allerdings erhalte ich dabei permanent Loginfehler bzw. timeouts, jemand eine Idee was ich falsch mache? Sobald ich auf eine verschlüsselte Übertragung verzichte läuft wieder alles. Irgendwo hakt wohl SSL *hmpft*
- der Port 993 wird vom Firewall weitergeleitet
- im Mailserver ist imap ssl/TLS aktiviert
- in der gateway.cfg ist 993 auf enable
Bin etwas ratlos ...
Tom

 

[MasterSam]

Welche Version nutzt du? Mit der Stable funktioniert verschlüsseltes IMAP bei mir problemlos.

vg, Johannes

 

[TomD]

Moin, ich habe
SPK Version 0.3.3
Zarafa Version 7.1.2
Fetchmail Version 6.3.21
auf einer DS412+ mit DSM 4.3 - 3810 U4 am laufen ...
Tom grüßt

 

[MasterSam]

Was steht denn in der /var/log/zarafa/gateway.log? Ist ein Verbindungsaufbau zu erkennen?
Kommt bei telnet deinediskstation 993 eine Verbindung zustande?

vg, Johannes

 

[TomD]

Moin!
Das ist es ja, nichts: weder eine Fehlermeldung beim telnet, einfach nur ein leeres Fenster ohne login noch ein diesbezüglicher Eintrag in der gateway.log (ausser den erfolgreichen Verbinungen imap auf Port 144) ... *grübel*
In der webman-Ansicht erhalte ich unter letzte Protokolle Meldungen a la:
User[ ] from [me.ne.ip.adr] failed to log in via [Mail Server] due to authorization failure.
Tom grüßt

 

[fbartels]

Das klingt doch sehr stark danach, als wenn die 993 gar nicht bei Zarafa raus kommt.

 

[TomD]

hmmm. Ist auf der Syno aber im Mailserver als IMAP SSL/TSL und in der gateway.cfg mit 993 enable eingetragen. Hab ich irgendwo noch eine Eintragung übersehen?

 

[fbartels]

Ich kenne das Zarafa Paket auf der Synology nicht, weil ich Zarafa auf einem separaten System betreibe, abr wenn du schreibst du hättest im Synology Mailserver SSL aktiviert, dann klingt das nicht so, als ob du für Zarafa SSL aktiviert hast.

Was sagt denn ein "netstat -tulpen" auf dem System?

 

[TomD]

viel aber nichts mit IP-Adr:993 zu finden.

Wenn ich direkt auf der kiste einen telnet servername 993 mache bekomme ich einen login, für rrot klappt es auch, aber nicht für den angelegten Testuser, gibt immer wieder ein "login incorrect" ...

 

[fbartels]

dann erweitere ich meine Informationssuche um ein "| grep :993" ;-)

Also "netstat -tulpen | grep :993". Weil irgendwas muss ja lauschen wenn du dich verbinden kannst (und macht es dann vermutlich auf 0.0.0.0).

 

[TomD]

jau:
tcp 0 0.0.0.0:* LISTEN prozid/dovecot

was mich übrigens total irritiert: bei der Einrichtung der Zarafauser habe ich nicht die Oberfläche wie im http://www.zarafa.com/wiki/index.php/Zarafa_Installation_Instructions_for_Synology_NAS angezeigt, sondern nur User, full name, email und passwd ... nix von wegen Server, Protokoll, Port und SSL ...?

 

[fbartels]

Siehst du. Zarafa kann nicht antworten, da die Mailstation an 993 lauscht.

Und bezüglich "nur User, full name, email und passwd": Ein Bild sagt mehr als 1000 Worte, oder anders gesagt ich habe keine Ahnung wovon du sprichst ;-)

 

[TomD]

sorry, meine Dusseligkeit: der Screen bezog sich wohl auf die fetchmailkonfiguration über das Interface.

Ich habe imap / SSL im Mailserver deaktiviert ... nun ergibt ein ... grep :993 eine leere Anzeige *hmpft* Ich habe in der gateway.cfg nochmals geprüft, 993 ist aktiviert, Zarafa gestoppt und gestartet, ohne Erfolg.

Ich habe mal in der /etc/zarafa/gateway/ nachgesehen. Dort liegt wie in der cfg eingetragen das privkey.pem aber kein cert.pem ...?

 

[fbartels]

Schon mal versucht die Zertifikate händisch nachzutragen. Wie gesagt ich nutze Zarafa nicht auf Synology, kann daher nicht sagen wir dort die Standardzertifikate heißen.

 

[TomD]

Moin! Ja, ich habe nach der Anleitung hier http://doc.zarafa.com/7.1/Administrator_Manual/en-US/html-single/#_ssl_connections_and_certificates und hier http://forum.synology.com/enu/viewtopic.php?f=192&t=64515 händisch gemacht.
Was mich irritiert ist, dass in der Server.cfg vom Port 237 die Rede ist, nicht vom 993 ...

Ein netstat -tulpen | grep :993 ergibt übrigens nur eine leere Rückmeldung. Nachdem ich dem E-Mail-Server der Syno imap/ssl weggenommen habe lauscht nichts mehr auf dem Port

 

[MasterSam]

993 ist verschlüsseltes IMAP, das wird nur in der gateway.cfg konfiguriert - in der server.cfg kann SSL deaktiviert bleiben, falls die IMAPs reicht. Normalerweise kommen Einträge in der gateway.log, falls es Probleme mit den Zertifikaten gibt. Ich vermute fast, dass es nicht richtig aktiviert ist, wenn im Log gar nichts zu dem Thema steht.

 

[491810]

Wenn Du IMAP SSL mit dem Zarafa betreiben willst musst Du dies 1.) im gateway.cfg (/etc/zarafa/gateway.cfg) aktivieren:

In der server.cfg (/etc/zarafa/server.cfg) folgendes ändern.

# Disable features for users. Default all features are disabled. This
# list is space separated. Currently valid values: imap
disabled_features = imap pop3

in

disabled_features = pop3

abändern. Dann in der gateway.cfg (/etc/zarafa/gateway.cfg) die folgenden Einträge

# enable/disable Secure IMAP, and Secure IMAP listen port
imaps_enable = no
imaps_port = 993

abändern in

imaps_enable = yes
imaps_port = 993

und an folgender Stelle auf den Ordner "/usr/syno/etc/ssl" verweisen indem Du

# File with RSA key for SSL
ssl_private_key_file = /etc/zarafa/gateway/privkey.pem
Code: Alles auswählen
ssl_private_key_file = /usr/syno/etc/ssl/ssl.key/server.key

abänderst in

#File with certificate for SSL
ssl_certificate_file = /etc/zarafa/gateway/cert.pem
Code: Alles auswählen
ssl_certificate_file = /etc/zarafa/gateway/ssl.crt/server.crt

2.) musst Du darüber hinaus dem user auch die Rechte geben, dass er IMAP nutzen darf (ist standargemäß leider deaktiviert):

export LC_ALL=C
zarafa-admin -u *DeinUserName* --enable-feature imap

und 3.) den Haken im Synology Mail Server bei "IMAP SSL" deaktiveren. Sonst blockiert nämlich der Mai Server den 993er Port.

 

[491810]

Das wäre dann aber die "Idealvorstellung". Ich muss aber dazu sagen, dass meine DS713+ sich zickig anstellt.
Ich bekomme z.B. trotzt aller vorschriftsmäßígen Einstellugnen mein IMAP SSL leider nicht ans Rennen. *grmbl*
Keine Ahnung warum. Zertifikat wird richtig angezeigt auf iPhone, Outlook & Co, was ich dann ja auch bestätige.
Nur geht es dann bei mir leider nicht weiter. Anscheindend reagiert der Zarafa dann nicht auf die Anfrage mehr.
Obgleich die Logs vom Zarafa was anderes sagen. In der gateway.log wird dann folgender Fehler angezeigt:

Mon Mar 10 13:49:20 2014: [15939] Client xxx.xxx.xxx.xxx thread exiting
Mon Mar 10 13:50:10 2014: [27897] Starting worker process for IMAPs request
Mon Mar 10 13:50:11 2014: [19369] Failed to login from xxx.xxx.xxx.xxx with invalid username "info" or wrong password. Error: 0x80040115
Mon Mar 10 13:50:11 2014: [19369] Connection error.

Hat IRGENDWER eine Idee, wieso ich diese Fehlermeldungen bekomme? MAPI32 geht übrigens. Nur IMAP zickt rum.
Liegt auch nicht "nur" am IMAP SSL. Bekomme ebenfalls auch keine Verbindung mit IMAP, POP3 oder POP3 SSL !!!