Keine IMAP-Verbindung ohne Verbindungssicherheit möglich

    Hallo an alle!

    Ich habe ein IMAP-Problem. Es sieht für mich so aus, als ob es nicht möglich ist, ein Konto einzurichten, dass bewusst OHNE Verbindungssicherheit und OHNE verschlüsseltes Passwort auskommt, denn es handelt sich um eine Installation in meinem privaten Netzwerk.

    Im Detail: Ich habe 2 Rechner

    1. Linux-Server. Dort ist ein Dovecot/Postfix-Server eingerichtet. Die Mail-Server sind so aufgebaut, dass sie Kontenzugriff ohne Verbindungssicherhheit zulassen, also keine Zertifikate nutzen.

    Auf dem gleichen Rechner ist (zur Kontrolle der Mailkonten) auch ein Thunderbird 91.5 voranden. Dort kann ich problemlos ohne Verschlüsselung und Verbindungssicherheit das lokale Mailkonto abfragen. Alles Gut.

    Der Rechner hat in meinem lokalen Netzwerk die IP 192.168.1.13 und hat den Namen ODIN

    2. EIn Windows 10 Rechner mit einem Thunderbird 91.5. Der Rechner hat die IP 192.168..1.4 und den Namen THOR

    Hier versuche ich genau das gleiche mit exakt den gleichen EInstellungen unter Thunderbird. Ich bekomme beim Versuich, über IMAP auf das Konto zuzugreifen die Meldung

    "Der IMAP-Server ODIN unterstützt die gewählte Authentifizierungsmethode nicht. Bitte ändern Sie die 'Authentifizierungsmethode' unter 'Konten-Einstellungen Server-Einstellungen'

    Wenn ich bei den Konteneinstellungen "STARTTLS oder SSL/TLS" wähle bekomme ich die Meldung nicht mehr. Aber es kommt auch kein Kontakt zustande, da der IMAP-Ser ja nicht für TLS oder SSL konfiguriert ist.

    Ich verstehe nicht, warum hier der Connect ohne Verbindungssicherheit nicht funktioneirt. Der einzige Unterschied in den Thunderbirds ist, dass der funktionierende Aufruf lokal auf dem gleichen Rechner wie der Mailserver läuft und bei dem nichtfunktionierenden Connect ein Remote-Rechner ist. Der Remote Rechner ist aber auch einwandfrei erreichbar. Ich sehe die Connect-Versuche im Protokoll des MailServers.

    Gibt es möglicherweise eine EInstellung im Thunderbird, die verhindert, dass man auf einen anderen Rechner ohne Verbindungssichereit zugreift, es aber bei einem lokalen Konto zuläßt?

    Bin für jeden Tipp dankbar.

    Gruß, Michael

  • graba 15. Januar 2022 um 19:32

    Hat das Thema freigeschaltet.

    Ich wollte dir eigentlich gestern noch antworten, war dann zu sehr in Eile, um es vorab noch zu verifizieren. Außerdem dachte ich, bei schon fast 50 Zugriffen könnte auch einer derjenigen mal antworten, die hier so gern erwähnen, wie viele VMs und Betriebssysteme sie so auf ihrem Rechner haben. :mrgreen: Dort gibt es nämlich das gleiche Thema.

    TL;DR: Das ist kein Problem des Thunderbirds. Hier geht es um die Konfiguration des Dovecot. Dazu fragst du besser mal bei den Experten in einem Dovecot-Forum nach.

    Ähnlich wie die gängigen VMs unterscheidet der Dovecot zwischen Verbindungen von extern und solchen vom Localhost. Eine Verbindung vom selben Rechner aus wird als sicher angesehen, weshalb für den Localhost eine Plain-Text Anmeldung erlaubt ist.

    Siehe: https://doc.dovecot.org/configuration_…_configuration/

    Zitat

    Note

    The plaintext authentication is always allowed (and SSL not required) for connections from localhost, as they’re assumed to be secure anyway. This applies to all connections where the local and the remote IP addresses are equal. Also IP ranges specified by login_trusted_networks setting are assumed to be secure.

    Du hast nun zwei Möglichkeiten:

    1. Den Dovecot so einstellen, dass er auch Verbindungen von anderen Rechnern per Plain Text erlaubt.
    2. Zertifikate installieren und auf TLS umstellen.

    Beachte: Falls du für den Dovecot auch ein Webinterface benutzt, so hat der dazu verwendete Webserver vermutlich sein eigenes Interface mit eigenen Einstellungen und Zertifikaten.

    Ich würde dir raten, auf TLS zu stellen, auch wenn die Rechner nur in deinem Heimnetz erreichbar sind. Wir betreiben eine NextCloud, die ebenfalls nur im Heimnetz bzw. gelegentlich über VPN erreichbar ist. Daher hatten wir aus Bequemlichkeit natürlich zunächst auch diese Überlegung. Man könnte es sich in diesem Fall leicht machen und auf die Transportverschlüsselung verzichten. Aber, nach der Devise "gleich richtig ist wichtig" haben wir dann doch Zertifikate installiert. Der zusätzliche Aufwand hält sich in Grenzen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Suzi to visit

    Danke für die Klasse Antwort. der Tipp mit dem Parameter login_trusted_networks im dovevcot.conf war genau das, was mir gefehlt hat.

    Nun kann ich innerhalb meines Netzwerkes wie gewollt mailen.

    Du hattest geschrieben , die andere Möglichkeit wäre "Zertifikate installieren und auf TLS umstellen."

    Das hatte ich auch schon versucht und mit den typischen Vorschlägen gemäß Google-Suche ein selbstsigniertes Zertifikat mit openssl erstellt.

    Leider bekam ich dabei immer vom Dovecot ein "sslv3 alert bad certificate: SSL alert number 42" zurück :-(

    Allerdings nur, wenn ich mit Thunderbird darauf zugriff. Ein Zugriff von z.B. RoundCube von meinem Windowsrechner hatte geklappt und sogar vom Android-Handy aus mit Hilfe von DynDns auf meinen lokalen Server hat es geklappt. Nur eben mit Thunderbird nicht.

    Das gehört nicht hierher zu meiner ersten Anfrage, weiss ich und ich werde dazu eien eigene Frage hier im Forum stellen, aber vielleicht kennst du das Problem oder Foren, wo man nach der Lösung suchen kann?

    Viele Grüße Michael

    Zitat von Michael Vaas

    Nun kann ich innerhalb meines Netzwerkes wie gewollt mailen.

    Das ist ja schonmal die halbe Miete. Schau'n wir mal, ob die andere Hälfte auch gelingt.

    Zitat von Michael Vaas

    Das hatte ich auch schon versucht und mit den typischen Vorschlägen gemäß Google-Suche ein selbstsigniertes Zertifikat mit openssl erstellt.

    Leider bekam ich dabei immer vom Dovecot ein "sslv3 alert bad certificate: SSL alert number 42" zurück

    Zwei mögliche Fehlerquellen fallen mir adhoc dazu ein:

    1. Du hast die Root-CA für das selbsterstellte Zertifikat nicht importiert, ihr nicht ausreichend vertraut oder es stimmt etwas anderes nicht mit der CA bzw. deren Zertifikat.
    2. Du hast im Thunderbird die Überprüfung der Zertifikate per OSCP aktiv.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    ich habe dieses Problem gerade als eigene Frage veröffentlicht, damit sich kein Administrator über falsche Themenzuordnung beschwert :-)

    Thema

    Thunderbird akzeptiert SSL/TLS nicht von Dovecot mit selbstsigniertem zertifikat

    Hallo an Alle, die diese Frage gefunden haben!

    Ich habe Schwierigkeiten, mit Thunderbitrd eine Imap-Verbindung mit StartTLS oder SSL/TLS zu meinem Linux-Mailserver mit Dovecot/Postfix aufzubauen.

    ich erhalte im Dovecot-Log folgende Meldungen:

    Jan 16 22:01:43 vodin dovecot: imap-login: Debug: SSL error: SSL_accept() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate: SSL alert number 42

    Jan 16 22:01:43 vodin dovecot: imap-login: Disconnected (no auth attempts in 0 secs):…
    Michael Vaas
    17. Januar 2022 um 12:32


    OSPC habe ich ausgeschaltet.

    Bei der Zertifikatserstellung bin ich eher Laie.

    Ich habe früher mal ein "Rezept" gefunden, dass ich bisher immer erfolgreich genutzt habe:

    cd /etc/ssl/dovecot/ /

    openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out server.key

    chmod 400 server.key

    openssl req -new -key server.key -out server.csr

    openssl x509 -req -days 10500 -in server.csr -signkey server.key -out server.crt

    Die .key und .crt-Dateien habe ich dann im Dovecot entsprechend referenziert.

    Bei meinem alten Linux-Mailserver mit Dovecot 2.2 war das erfolgreich, jetzt mit dem neuen unter 2.3 nicht mehr :-(

    Bei den Verbindungen zu dem alten Dovecot 2.2 musste ich im Thunderbird nie selbst etwas importieren. Es kam dazu die Abfrage von Tunderbird, ob dem selbstsignierten Zertifikat vertraut werden soll, die ich immer bestätigt habe. Danch fand ich einen Zertifikatseintrag in der Thunderbird-Zertifikatsverwaltung, die dadurch wohl automatisch erstellt worden ist.

    Edit: Zu dem in diesem Beitrag angesprochenen Thema bitte nur hier Thunderbird akzeptiert SSL/TLS nicht von Dovecot mit selbstsigniertem zertifikat antworten. graba, Gl.-Mod.

    Einmal editiert, zuletzt von graba (17. Januar 2022 um 13:09)

  • Community-Bot 3. September 2024 um 20:50

    Hat das Thema geschlossen.