[Frage] Anleitung zum Erstellen von SSL Zertifikaten für XMail unter Freetz

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

klaus dieter

Neuer User
Mitglied seit
9 Apr 2013
Beiträge
80
Punkte für Reaktionen
0
Punkte
6
Hallo liebe Gemeinde,

ich verzweifle gerade und benötige bitte mal Eure Hilfe.

GMX verlangt in Kürze SSL Zertifikate für den Abruf von EMails. Ich habe das bisher immer ohne geregelt, hat auch wunderbar reibungslos funktioniert, nur leider - jetzt wo ich es brauche - finde ich im Forum und im Netz nur recht spärliche Angaben dazu. Gestern Abend ist mir nach diversen Fehlversuchen meine Fritzbox abgestürzt und war erst wieder nach erneutem Flashen meiner letzten Freetz Version zu gebrauchen.
Könntet Ihr Sachkundigen mir bitte sagen,

1. gibt es irgendwo eine brauchbare Anleitung zur Herstellung und Implementierung von SSL Zertifikaten unter XMail ?

2. wie erstelle ich ein brauchbares Zertifikat für meine Zwecke und "wo" lege ich es ab ?

3. benötigt jedes EMail-Konto ein eigenes Zertifikat und wie trenne ich diese voneinander, sodass GMX und XMail wissen, mit welchem Zertifikat sie für welches
Konto arbeiten sollen ? - bisher lasse ich -6- EMail-Konten unter XMail/Freetz abrufen

4. wo ist der beste "Ablageort" für das Zertifkat ? bisher bin ich dem Speicherort von XMail im Pfad gefolgt und habe es dort Ordner abgelegt

5. muss die FB / Freetz mit den Zertifikaten neu gebootet werden, damit die Zertifikate laufen ?

6. braucht XMail zwingend den pop3s port für ssl ?


Mein System : FB 7390 mit OS 06.03 und Freetz-Devel, XMail mit SSL Unterstützung und PHPXMail Webfrontend

Bisher war ich eigentlich ganz zufrieden mit mir, ohne Vorkenntnisse und Rückfragen Freetz auf meiner Box ordentlich zum Laufen gebracht zu haben, nur dieses Thema bringt mich echt an meine Grenzen. Ich bin froh und dankbar für jede Hilfe und Anregung !
 
Willst Du Emails nur mit SSL abrufen, oder willst Du selbst einen Mailserver mit SSL einrichten?
Um von GMX Emails über SSL abzurufen, brauchst Du kein eigenes Zertifikat, nur GMX, und die haben es wohl schon.
Auch sonst verwendet man für einen Email Server nur ein Zertifikat und nicht für jeden Benutzer ein eigenes. (Es gibt Client-Zertifikate, die werden aber selten genutzt.)

Was Du brauchst, ist das Zertifikat der Zertifizierungsstelle, die GMX verwendet. Derzeit ist dies Deutsche Telekom Root CA 2:
Code: 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Wenn Du dem XMail klar machst, dieses Root Zertifikat zu akzeptieren, sollte der Rest weiter laufen wie bisher. Wenn Du XMail so konfigurieren kannst, dass es das Zertifikat nicht prüft, geht es auch ohne, es ist aber nicht empfehlenswert.
 
Hallo RalfFriedl,
danke für deine schnelle Antwort.

mir geht es eigentlich nur um den Abruf der EMails, so wie bisher auch, nur das GMX ein Zertifikat will.
Wenn ich es richtig verstanden habe, agiert XMail allerdings wie ein EMail-Server.

Wie lese ich dein Zertifikat denn bei XMail ein, so dass es akzeptiert wird ?
 
Was zwischen XMail als Server und dessen Clients passiert, interessiert GMX nicht. Es kann aber sein, dass Du auch dort gern verschlüsselte Verbindungen hättest.

Ich kenne XMail nicht, also weiß ich auch nicht, wo er gern das Zertifikat hätte. Hast Du schon mal versucht, ohne Zertifikat die Emails über SSL abzurufen? Es wäre auch nicht weniger sicher als unverschlüsselt.
 
Ahh - schon mal mit dem ersten Irrglauben aufgeräumt (Server <> Clients).

Du hattest mir ein Zertifikat mitgeschickt - wo "findet" man soetwas ? Wenn ich bei gmx.net auf dem Schloss nach Zertifizierungsstelle suche, nennt er mir Thawte SSL CA und nicht Deutsche Telekom. Und wie komme ich an den "privaten Schlüssel" ?
Versuche gerade erneut ohne Zertifikat die EMails über SSL abzurufen - das war gestern Abend mein Untergang. Wenn ich mich erst später zurückmeldet, muss ich wieder neu flashen.
 
Wenn ich https://www.gmx.net aufrufe, erscheint GeoTrust Global CA, bei https://gmx.net dagegen kommt Connection refused.

Auf einem Linux System, wo die Zertifikate unter /etc/ssl/certs stehen, bekommst Du mit diesem Aufruf die Zertifikatskette angezeigt.
Code: 
openssl s_client -connect imap.gmx.net:993 -CApath /etc/ssl/certs
...
Certificate chain
 0 s:/C=DE/O=1&1 Mail & Media GmbH/ST=Rhineland-Palatinate/L=Montabaur/[email protected]/CN=imap.gmx.net
   i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
 1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=NRW/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-1
   i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
 2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
   i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
...

An den "privaten Schlüssel" von GMX kommst Du gar nicht, sonst wäre er ja nicht sonderlich privat. Einen privaten Schlüssel brauchst Du nur, wenn Dein Server verschlüsselte Verbindungen unterstützen soll.

Zur Konfiguration:
Laut http://www.xmailserver.org/Readme.html#pop3links_tab muss man POP3S statt CLR angeben, wenn man über pop3s Emails abrufen will.
 
Sorry für die verspätete Antwort. Nach Umstellung auf pop3s und "Übernahme" hat Freetz mehrfach versucht neu zu starten und schlussendlich - wie auch zuletzt - die Fritzbox ihren Dienst verweigert. Ein Zugriff auf die Weboberfläche war nicht mehr möglich, sodass ich nur noch neu mit OS 6.03 und anschließend mit Freetz flashen konnte.
Seltsamerweise komme ich bei funktionierendem Betrieb allerdings auch nicht über Putty auf die Box.

Ich steige jetzt mal bei deinem letzten Link ein und werde Schritt für Schritt versuchen, dem Aufbau zu folgen.
 
Meinst Du mit OS 6.03 ein Recovery?
Der Zugriff über telnet oder SSH (falls auf der Box vorhanden) sollte immer möglich sein.
Wenn das Problem die SSL Verbindung ist, kannst Du versuchen, ob die Box lange genug läuft, wenn sie nicht mit dem Internet verbunden ist. Außerdem solltest Du bei solchen Problem XMail nicht automatisch starten lassen, sondern nur von Hand.
 
Richtig, ein Recovery. Ich hab mich an die letzte funktionierende Version gehalten.
Das Problem beim Zugriff über Telnet ist, dass er "Login incorrect" meldet. Die Telnet Verbindung habe ich verschiedentlich über Telefontastatur selbst oder die FreetzOberfläche gestartet - die Rückmeldung war stets auch positiv.
Die Verbindung scheint also einwandfrei zu stehen. Ich hab auf der FB extra noch ein weiteres Benutzerkonto angelegt, damit ich mit LoginNAME und Passwort korrekte Angaben machen kann, aber läßt weder dieses, noch alle möglichen Kombinationen aus Freetz, Root und Admin zu. Wenn ich richtig informiert bin, sollte es sich ja eigentlich um LN "root" und PW "freetz" handeln.
Eine Google Suche hat mir allerdings auch gezeigt, dass ich mit diesem Problem nicht der Einzige bin.
 
Wenn die Meldung "Login incorrect" kommt, dann läuft telnet auch. Hast Du mal ein anderes Passwort vergeben?
Kannst Du in Rudi-Shell Dateien anzeigen/ändern? Wenn ja, was steht in /etc/shadow, und ändere mal die Zeile mit root auf "root::" usw, also hiter root alles weg zwischen dem ersten und dem zweiten Doppelpunkt.
 
Jetzt geht gar nichts mehr. In der Hoffnung, mit einem neuen Image alles besser aufsetzten zu können, lassen sich weder Telnet noch SSH via Dropbear starten.
Zwischenfrage : mit dem flashen eines neuen Images oder auch dem Aufspielen des Original AVM OS werden alle zwischenzeitlichen Änderungen auf der Fritzbox zurückgesetzt ? - oder sollte ich die Fritzbox vor dem Flashen möglicherweise noch anders bereinigen ? Und wie verhält sich das mit dem USB Stick - den muss ich vermutlich gesondert behandeln, bzw auch völlig neu aufsetzten, oder ? Mittlerweile habe ich den Eindruck, dass den sonst so gut funktionierenden Betrieb irgendwelche Altlasten stören.
Telnet mit Putty bietet mir den Anmeldeschirm, sobald ich !nachweislich! das richtige Login und Passwort eintippe, beendet sich selbstständig die Verbindung, bei anderen Passwörtern kommt 3 x das Spiel mit "Login incorrect". In der /etc/shadow ist "root::" gesetzt und so auch noch vorhanden.
Oder war mein neues Image einfach zu groß ? Die Box hat es zwar akzeptiert, aber mit der Summe von Programmen kommen auch die benannten Fehler.
 
Generell werden durch eine neue Firmware keine Einstellungen verändert, weder die von AVM noch die von Freetz. Du könntest ein Recover der Box machen, dann sind sicher alle Einstellungen weg. Es gibt aber auch irgendwo ein Pseudoimage, das die Freetz Konfiguration löscht. Wenn Rudi Shell funktioniert, kann man es auch damit tun.

Wenn telnet anders reagiert auf das Passwort, dann ist es offensichtlich das richtige Passwort. Es bedeutet, dass etwas anderes nicht stimmt, was nachher kommt.
Wenn in der shadow Datei "root::" steht, ist das Passwort leer. Wenn ein Passwort gesetzt ist, muss zwischen den Doppelpunkten einiges stehen.
 
Wenn telnet anders reagiert auf das Passwort, dann ist es offensichtlich das richtige Passwort. Es bedeutet, dass etwas anderes nicht stimmt, was nachher kommt.
Wenn in der shadow Datei "root::" steht, ist das Passwort leer. Wenn ein Passwort gesetzt ist, muss zwischen den Doppelpunkten einiges stehen.[/QUOTE]

>> so etwas hatte ich auch schon im Sinn, nervt nur, dass ich nicht dahinter komme. Ein neues PW will er aber auch nicht, obwohl ja "root::" in /etc/shadow steht
 
Steht vielleicht das Passwort in /etc/passwd?
Bei einem neuen Freetz sollten in passwd und shadow folgende Zeilen stehen:
Code: 
passwd:
root:x:0:0:root:/mod/root:/bin/sh
shadow:
root:$1$$zO6d3zi9DefdWLMB.OHaO.:12332:0:99999:7:::
 
/etc/passwd sieht bei mir so aus :

root:x:0:0:root:/mod/root:/bin/sh
ftpuser:any:1000:0:ftp user:/var/media/ftp:/bin/sh
ftp:x:1:1:FTP account:/home/ftp:/bin/sh
User1:x:1001:1001:Linux User,,,:/var/media/ftp/KINGSTON/User1:/bin/sh
User2:x:1002:1002:Linux User,,,:/var/media/ftp/KINGSTON/User2:/bin/sh
User3:x:1003:1003:Linux User,,,:/var/media/ftp/KINGSTON/User3:/bin/sh
Rudi EOF
chmod 644 /var/tmp/passwd
openvpn:x:100:1002:eek:penvpn:/home/openvpn:/bin/false
wwwrun:x:101:1004:wwwrun:/home/wwwrun:/bin/false
xmail:x:102:1005:xmail:/home/xmail:/bin/false
git:x:103:1003:git:/home/git:/bin/false
 
wie bekomme ich denn bitte diese dusseligen Smiley weg ?
 
Eine Möglichkeit:
[NOPARSE]Du fügst vorne
Code: 
 und hinten
ein[/NOPARSE]. Das hat auch den Vorteil, dass eine Schrift mit fester Breite verwendet wird. Im erweiterten Editor geht das mit dem Symbol '#'.
Die andere Möglichkeit ist, im erweiterten Editor die Option "Grafische Smileys deaktivieren" zu setzen.
 
auf ein Neues .... :

/etc/passwd

root:x:0:0:root:/mod/root:/bin/sh
ftpuser:any:1000:0:ftp user:/var/media/ftp:/bin/sh
ftp:x:1:1:FTP account:/home/ftp:/bin/sh
User1:x:1001:1001:Linux User,,,:/var/media/ftp/KINGSTON/User1:/bin/sh
User2:x:1002:1002:Linux User,,,:/var/media/ftp/KINGSTON/User2:/bin/sh
User3:x:1003:1003:Linux User,,,:/var/media/ftp/KINGSTON/User3:/bin/sh
Rudi EOF
chmod 644 /var/tmp/passwd
openvpn:x:100:1002:eek:penvpn:/home/openvpn:/bin/false
wwwrun:x:101:1004:wwwrun:/home/wwwrun:/bin/false
xmail:x:102:1005:xmail:/home/xmail:/bin/false
git:x:103:1003:git:/home/git:/bin/false
 
Sind die zwei Zeilen
Code: 
Rudi EOF
chmod 644 /var/tmp/passwd
denn Teil von /etc/passwd? In Anbetracht der Zeilen davon und dahinter sieht es fast so aus.
 
Ist mir in dieser Form zum dauerhaften Speichern des USB Gerätenamens so offeriert worden, damit der USB Stick nicht bei jedem Booten einen neuen Namen bekommt.
Wie muss es denn richtig lauten ?
>>
Rudi EOF
chmod 644 /etc/passwd ?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 464 (Mitglieder: 2, Gäste: 462)

Neueste Beiträge

Statistik des Forums

Themen
244,832
Beiträge
2,219,107
Mitglieder
371,534
Neuestes Mitglied
vignajeanniegolabek
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück