Dovecot 2 ohne SSL Problem

Synonym

Vielleicht hat ja einer von euch einen Tipp, ich drehe am Rad und finde keine Lösung.

Was ich möchte ist Dovecot OHNE SSL. Also SSL steht in der Config auch entsprechend auf "no".

Gehe ich nun aber her und versuche mich mit dem Server zu verbinden, dann bekomme ich immer wieder:

"dovecot: imap-login: Fatal: Couldn't parse private ssl_key: error:0906D06C:PEM routines:PEM_read_bio:no start line: Expecting: ANY PRIVATE KEY"

Egal ob per POP3 oder IMAP.

Also dann mal anders herum versucht so, wie ich es nicht will, mit SSL. Also per "yes" aktiviert und cert sowie key hinterlegt. Doch was soll ich sagen? Es kommt genau die gleiche Fehlermeldung!

Hat einer eine Idee?

Danke und Gruß,
Ingo

gunnar

Hi,
hab gerade mal unseren Server Guru gefragt, der sagt in den neuen Versionen soll man das so machen zum SSL abschalten:

Code

service imap-login {
                    inet_listener imaps
                    {
                    port = 0
                    }
                   }

Wenn das nicht passt, schreib bitte welche Version Du benutzt.

Synonym

Hi Gunnar,

leider nein. Per Port = schaltet man ja nur imaps an sich ab, aber das nutze ich ja ohnehin nicht. Versuche je explizit per Port 143 zu verbinden. Wobei es eben auch mit dem Versuch mit SSL nicht geht und der gleiche Fehler kommt. Jetzt habe ich scherzhalber mal das Zertifikat gelöscht und SSL dennoch aktiviert. Gleicher Fehler.

Code

service imap-login {
  chroot = login
  client_limit = 0
  drop_priv_before_exec = no
  executable = imap-login
  extra_groups =
  group =
  idle_kill = 0
  inet_listener imap {
    address =
    port = 143
    reuse_port = no
    ssl = no
  }
  inet_listener imaps {
    address =
    port = 993
    reuse_port = no
    ssl = yes
  }
  privileged_group =
  process_limit = 0
  process_min_avail = 0
  protocol = imap
  service_count = 1
  type = login
  user = $default_login_user
  vsz_limit = 18446744073709551615 B
}

Alles anzeigen

Version 2.2.13 auf Debian 8.5

Synonym

So, eben noch mal versucht und Port auf 0 gestellt.

Loginversuch per telnet 127.0.0.1 143

Ergebnis:

Aug 4 15:59:28 shila dovecot: imap-login: Fatal: Couldn't parse private ssl_key: error:0906D06C:PEM routines:PEM_read_bio:no start line: Expecting: ANY PRIVATE KEY
Aug 4 15:59:28 shila dovecot: master: Error: service(imap-login): command startup failed, throttling for 2 secs

Alex07

Debian
Hast du kein selbst signiertes? Würde ich wenigstens empfehlen!

Alex07

Code

smtpd_tls_auth_only=yes

Alex07

musste aber in postfix rein... main.cf

Synonym

Alex, ich habe hier alles, unsignierte, selbst signierte und signierte (und das vom anderen Server, das mit dem alten Dovecot fehlerfrei läuft, obwohl auch dort nicht benutzt / aktiviert). Ist aber schnuppe, denn ich will OHNE. Aber eben auch mit kommt der gleiche Fehler.

Und das mit Postfix. So weit bin ich noch gar nicht. Hänge seit 10 Stunden an Dovecot. Verstehe echt nicht, warum immer alles so kompliziert gemacht werden muss und vor allen für jeden Mist eine eigene Config erstellt wird. Dovecot 1.2 war da um Längen einfacher zu konfigurieren und solche Probleme hatte ich da nie! Probleme hatte ich immer nur mit Postfix, aber da bin ich noch gar nicht.

Mein Problem ist also primär, dass der irgendwas an den Zertifikaten meckert, egal ob die eigentlich da sind oder nicht, selbst wenn ich SSL Deaktiviert habe

gunnar

Kanns Du mal in die /etc/dovecot/conf.d/10-ssl.conf schauen ob da SSL auf no steht?

Synonym

Aber [USER="89"]gunnar[/USER] Du hast mich auf einen richtigen Weg gebracht, nachdem ich nach "service imap-login" erst mal google musste, in welcher conf das denn zu finden ist. Ich hatte die alte Config anhand des aktuellen Converters von v1.2 übernommen. Das funktionierte auch. Allerdings werden dabei dann die ganzen oder ein Teil der Configs aus conf.d gar nicht mehr eingelesen. Bei Dovecot 1.2 war ssl per Default aus, bei 2.2 ist es per Default an. Daher hat der das auch immer aktiviert, konnte in die Config schreiben was ich wollte.

Synonym

Ja, stand es, aber siehe mein Post oben drüber

Code

##
## SSL settings
##


# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
ssl = no


# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
#ssl_cert = </etc/dovecot/dovecot.pem
#ssl_key = </etc/dovecot/private/dovecot.pem


# If key file is password protected, give the password here. Alternatively
# give it when starting dovecot with -p parameter. Since this file is often
# world-readable, you may want to place this setting instead to a different
# root owned 0600 file by using ssl_key_password = <path.
#ssl_key_password =


# PEM encoded trusted certificate authority. Set this only if you intend to use
# ssl_verify_client_cert=yes. The file should contain the CA certificate(s)
# followed by the matching CRL(s). (e.g. ssl_ca = </etc/ssl/certs/ca.pem)
#ssl_ca =


# Require that CRL check succeeds for client certificates.
#ssl_require_crl = yes


# Directory and/or file for trusted SSL CA certificates. These are used only
# when Dovecot needs to act as an SSL client (e.g. imapc backend). The
# directory is usually /etc/ssl/certs in Debian-based systems and the file is
# /etc/pki/tls/cert.pem in RedHat-based systems.
#ssl_client_ca_dir =
#ssl_client_ca_file =


# Request client to send a certificate. If you also want to require it, set
# auth_ssl_require_client_cert=yes in auth section.
#ssl_verify_client_cert = no


# Which field from certificate to use for username. commonName and
# x500UniqueIdentifier are the usual choices. You'll also need to set
# auth_ssl_username_from_cert=yes.
#ssl_cert_username_field = commonName


# DH parameters length to use.
#ssl_dh_parameters_length = 1024


# SSL protocols to use
#ssl_protocols = !SSLv2

Alles anzeigen

Synonym

Jep, war echt der richtige Weg. Imap antwortet

root@shila:/etc/dovecot# telnet 127.0.0.1 143
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE] Dovecot ready.

Danke !!!

gunnar

Prima das es geklappt hat.:smile:

Synonym

Ja, danke nochmal.

Das Problem war ja eigentlich sehr simpel, wenn man es denn weiß oder der richtige Zaunpfahl kommt^^. Der Converter konvertiert die alte conf und passt sie an 2.2 an. Er lässt aber den include der conf.d weg und genau das war das Problem, denn ohne conf.d geht dovecot auf Defaultwerte, die eben unter anderem ssl=on sind. Einige wurden durch meine eigene alte conf überschrieben / übernommen, aber genau dieses ssl=no eben nicht. Und die Pfade zum Cert und Key änderten sich auch, daher immer die Fehlermeldung, auch wenn ein Cert vorhanden war. War halt im falschen Verzeichnis

Lösung auch ganz einfach, entgegen der Doku. Den Export vom Converter einfach als local.conf speichern und nicht als dovecot.conf

[USER="172"]Alex[/USER]. Dein smtpd_tls_auth_only=yes habe ich ohnehin. SMTP geht per STARTTLS und SASL. Nur POP und IMAP soll OHNE Verschlüsselung laufen. Eben wegen dem Virenscanner.

Benutzer online in diesem Thema