[Frage] Anleitung zum Erstellen von SSL Zertifikaten für XMail unter Freetz

[RalfFriedl]

Die zwei Zeilen haben in der /etc/passwd nichts verloren. Die Zeile mit chmod setzt als Befehl die Zugriffsrechte, dies sollte aber der Default sein. Die Zeile mit EOF sollte End of File, als Ende der Datei bedeuten, das heißt aber nicht, dass sie als Inhalt in die Datei gehört.
Und was das mit den Namen von USB Geräten zu tun haben soll, ist mir nicht klar.

 

[klaus dieter]

Hat ein paar Tage gedauert, gestern Abend habe ich Freetz komplett neu aufsetzt (die make clean Befehle wollten irgendwie nicht so wie ich wollte ) und dann ein neues Image gebaut, anschließend erfolgreich geflasht. Zugang über Putty + Telnet läuft stabil genauso wie das neue Image.

Die Zeilen mit Rudi EOF und chmod sind aus der passwd und shadow entfernt und jetzt läuft Putty über das letzte gesetzte Passwort.
Einen privaten Key habe ich erstellt und wie von xmail gewünscht unter Server.key lesbar für Gruppe, Eigentümer und XMail abgelegt. Das CA Zertifikat der Deutschen Telekom, dass du mir geschickt hast, ist unter Server.cert ebenfalls mit allen Rechten abgelegt.
Der Port zum Abruf ist auf 10995 SSL gesetzt (995 alleine nimmt xmail gar nicht)

Nur GMX meldet munter weiter, dass ich EMails ohne SSL Verschlüsselung abrufe - zum Haare raufen !

 

[RalfFriedl]

Der private Key mit zugehörigem Zertifikat ist eine gute Sache, wenn Du willst, dass die Clients zum XMail Server eine verschlüsselte Verbindung aufbauen. Es hat aber nichts damit zu tun, dass XMail als Client zum Server GMX eine verschlüsselte Verbindung aufbaut.
Was hast Du denn getan, damit das passiert, bzw. wie sieht Deine Konfiguration zum Abruf der Emails von GMX aus?

 

[klaus dieter]

Bekomme ich einen Anhang (Screenshots) in einen PN ?

besser gefragt : w i e Bekomme ich einen Anhang (Screenshots) in einen PN ?

 

[RalfFriedl]

Vermutlich nicht. Es gibt auch keine Grund dazu, die Konfigurationsdatei sollte reiner Text sein.
Ersetze darin die Email Adresse durch [email protected] und das Passwort durch 12345.

 

[klaus dieter]

Sorry, aber damit komme ich nicht weiter. XMail hat als Webfrontend PHPXMail zur Einstellung und Konfiguration. In den entsprechenden Dateien Server.php, Server.tab, phpxmail.ini konnte ich eine solche Einstellung nicht vornehmen, weil entsprechende Felder nicht vorhanden.
Wie sollte eine solche Datei denn heißen ?

 

[RalfFriedl]

Ich kenne XMail und PHPXMail nicht, aber der erste Treffer zu "phpxmail ssl configuration" bringt unter anderem folgendes:
http://forum.qnap.com/viewtopic.php?p=235439

Now you will have to get the Root certificate from your Email provider. E.g. for GMX you can find them here: https://www.thawte.com/roots/.

Also you will have to edit some configuration entries in your server.tab (MailRoot Directory).
"SSLWantVerify" "1"
#"SSLWantCert" "0"
"SSLAllowSelfSigned" "0"
"SSLUseCertsFile" "1"
"SSLUseCertsDir" "1"

Finally you will have to edit your pop3links.tab in order to enable SSL protection for the ext pop3 polls. Therefore every line has to follow this pattern. (<tab> is tabulator)
"domainname"<tab>"mailbox"<tab>"ExternalPOP3Server:995"<tab>"Your_external_Username"<tab>"Your_external_password_in_md5"<tab>"FAPOP,POP3S"
Example: Your XMail runs on your NAS with the IP: "MyNASisAwesome" and your XMailaccount is "TheGuy". Your external account username at the german GMX server is: TheGuy1990 with password "Wetter1".
"MyNASisAwesome" "TheGuy" "mail.gmx.de:995" "[email protected]" "440017657bd8abc39ae0c332120d3367" "FAPOP,POP3S"

Es sollte also dort, wo die Datei server.tab steht, auch eine Datei pop3links.tab geben. Allerdings bezweifle ich, dass für Passwort Your_external_password_in_md5 hin gehört. LAsse daher das Passwort wie es ist und passe nur die Optionen hinten an.

 

[klaus dieter]

du meinst, pro account "FAPOP,POP3S" einfügen in pop3links.tab ?

 

[RalfFriedl]

Ich meine insbesondere, dass Du mal die Dokumentation lesen solltest, die ich schon in #6 angegeben hatte. Dort steht, was die Einträge bedeuten. Was davon für Dich passt, musst Du selbst entscheiden.

 

[klaus dieter]

Einstellungen habe ich in der Pop3links.tab angeglichen, jetzt ruft er gar keine Mails mehr ab.
In der Server.tab sind die SSL Wahlfelder gar nicht vorhanden

 

[klaus dieter]

Danke für deine Hilfe. Das Problem ist, dass sich die meisten Dokumentationen auf XMail für den Qnap Server beziehen. Wenn ich es richtig verstanden habe, ist XMail für Freetz aber nur eine angepasste Version und viele der Qnap Doku Hinweise treffen hier einfach nicht zu, wie z.B. der letzte Hinweise auf die SSL Einstellungen in der Server.tab.
Ich hatte gehofft, das System verstehen zu können, damit ich XMail auf meinem Freetz hätte anpassen können.
So ist es aber immer try-and-error und GMX sendet alle zwei Tage einen entsprechenden Hinweis zu SSL.

Echt schade, da ich mit XMail und Freetz bisher sehr zufrieden war.

 

[RalfFriedl]

Einstellungen habe ich in der Pop3links.tab angeglichen, jetzt ruft er gar keine Mails mehr ab.
In der Server.tab sind die SSL Wahlfelder gar nicht vorhanden

Und wie hast Du die Einstellungen angeglichen? Wie waren sie vorher, wie sind sie nachher?
Ich habe jetzt nicht nachgeschaut, was die Einträge in Server.tab bewirken sollen, aber vermutlich ist es in der Dokumentation auch beschrieben. Wenn es Dir nicht wichtig genug ist, dort nachzulesen, warum soll ich das dann für Dich tun?
Wenn die Einträge wichtig sein sollten, kann man sie sicher auch anlegen, wenn sie noch nicht vorhanden sind.

 

[klaus dieter]

Du meinst editieren mit der Rudi Shell und dann hochladen ? Soweit hatte ich noch gar nicht gedacht.
Nachlesen, bzw arbeiten sollst du für mich gar nicht - so war das nicht gemeint.

 

[klaus dieter]

Hallo, da bin ich wieder. Ich hab absichtlich abgewartet, da ich immer wieder Aufforderungen von GMX erhalten habe, auf SSL umzustellen. Zum Schluss war ich mir nicht mehr sicher, ob die Aufforderungen pauschal kamen oder tatsächlich eine Fehlermeldung im Sinne von "ssl noch nicht richtig eingerichtet" waren.
Seit dem 03.04.2014 ist jetzt aber sicher, dass meine Versuche SSL einzurichten bisher fehlgeschlagen sind.

Da Freetz und meine Fritzbox leider auch nicht immer so stabil reagieren, wie ich es mir gewünscht habe (u.a. war mein USB Stick an der Fritzbox nur noch im Status "nicht erstellt" und wollte sich nicht mehr initialisieren lassen), habe ich nochmals ein neues Image aufgesetzt, die Fritzbox auf Werkseinstellungen zurückgesetzt und mittels Update sowohl das aktuelle OS 6.03 als später auch das neuste Freetz Image geflasht. Nunmehr möchte ich mit der Problematik SSL nochmal frisch und neu von vorne anfangen.

Eine Frage vorweg : wie bekomme ich in der RudiShell einen "tab" (Tabulator) als Abstandshalter zwischen den Werten hin ? Ein normales Tab springt immer aus dem editierbaren Bereich heraus, verändert aber nix im schreibbaren Bereich.

Die vorgeschlagenen Änderungen habe ich in XMail bereits mit eingebaut, der Erfolg hat sich leider aber noch nicht eingestellt.

 

[RalfFriedl]

Das Rudi von RudiShell steht für Rudimentär, und auch die Möglichkeit, Dateien zu bearbeiten ist nicht als Ersatz für einen echten Editor gedacht. Ich würde mal versuchen, in einem anderen Programm, zum Beispiel Notepad, ein Tab einzufügen und dieses dann per Kopieren/Einfügen in den Browser zu übertragen. Ansonsten kannst Du den vi auf der Box verwenden oder die Datei über einen USB Stick transferieren und auf einem anderen System bearbeiten. Dann allerdings nicht mit Notepad wegen der Zeilenenden, sondern zum Beispiel mit Notepad++.

Welche Änderungen hast Du in XMail eingebaut, insbesondere wie sieht die POP3 Datei aus? Ersetze wie schon in #25 geschrieben die Adresse und das Passwort.
Zur Kontrolle, ob SSL verwendet wird, kannst Du tcpdump verwenden.

 

[klaus dieter]

in XMail, bzw. die "Server.tab" habe ich vor allem

"SSLWantVerify" "1"
"SSLWantCert" "0"
"SSLAllowSelfSigned" "0"
"SSLUseCertsFile" "1"
"SSLUseCertsDir" "1"
"ssl_cert_file_=" "/var/media/ftp/KINGSTON/XMail/server.cert"
"ssl_key_file_=" "/var/media/ftp/KINGSTON/XMail/server.key"

mit dem richtigen Tab-Abstand zw den Werten eingebaut. Ganz schöner Akt gewesen, dabei war die Lösung doch so nah : einfach in Word kopiert, Tabs korrekt gesetzt und zurückkopiert. Das Leben kann so einfach sein
Meine pop3 Datei war auch schon vorher dem Muster aus # 25 angeglichen. Obwohl meine GMX Postfächer mit Mails volllaufen, holt XMail allerdings immer noch keine Mails ab.
Ich habe für mich festgestellt, dass die im Programm XMail ( Freetz ) vorhandenen Hinweise zum Ausfüllen der entsprechenden Felder sich teilweise auf SSL Kommunikation mit einem externen POP3 Postfach und teilweise auf eine internen Abruf wie z.B. mit Outlook beziehen.
Ebenso weichen alle Dokumentationen voneinander ab. So konnte ich nur durch längere Suche "xmail.cfg" finden, deren Inhalt ich allerdings nirgends dokumentiert finde.
Die im #6 benannte Dokumentation ist sehr umfassend, hat bei mir aber aufgrund der bisherigen Fehler bei XMail viele Fragezeichen hervorgerufen.
Aber ich möchte nicht aufgeben - es gibt immer einen Weg !

 

[klaus dieter]

eine kleine Zusammenfassung :
da leider die notwendigen Dokumentationen für XMail 1.27 auf Freetz mit PHPWebfrontend fehlen, habe ich mir Folgendes mit Hilfe im Forum und per find -iname zusammen gesucht

-xmail.cfg

export SHLVL='1'
export XMAIL_CTRL='yes'
export XMAIL_CTRLS='no'
export XMAIL_ENABLED='yes'
export XMAIL_MAILLOCATION='/var/media/ftp/KINGSTON/XMail'
export XMAIL_POP3='yes'
export XMAIL_POP3LOG='yes'
export XMAIL_POP3PORT='10995'
export XMAIL_POP3S='no'
export XMAIL_POP3SPORT='10995'
export XMAIL_SMTP='no'
export XMAIL_SMTPLOG='yes'
export XMAIL_SMTPPORT='10025'
export XMAIL_SPECIAL='-Qn 1 -PX 1 -SX 1 -Ln 1 -Yt 1 -CX 1 -Yi 600'
export XMAIL_SSMTP='no'
export XMAIL_SSMTPPORT='10465'
export XMAIL_SYSTEMLOG='yes'
export XMAIL_UNPRIV='yes'

>> ändern von pop3s auf "yes" hat nix gebracht


-pop3links.tab

paul postmaster pop.gmx.net:995 [email protected] e0017080c100004 CLR

>> egal ob hier CLR, POP3S, APOP oder FAPOP, POP3S steht, es werden einfach keine Mails von GMX abgerufen

>> der Klartext anstatt des Md5 Hashes löscht den Domain-Account

>> die hier "per Hand" über RudiShell eingetragenen Werte für FAPOP, POP3S erscheinen im Webfrontend nicht, da dort nur CLR / APOP auswählbar sind, stattdessen bleiben CLR/APOP im Webfrontend leer

-server.tab


RootDomain /var/media/ftp/KINGSTON/XMail
SmtpServerDomain /var/media/ftp/KINGSTON/XMail
POP3Domain /var/media/ftp/KINGSTON/XMail
HeloDomain /var/media/ftp/KINGSTON/XMail
PostMaster /var/media/ftp/KINGSTON/XMail
ErrorsAdmin /var/media/ftp/KINGSTON/XMail
#TempErrorsAdmin [email protected]
DefaultSMTPGateways /var/media/ftp/KINGSTON/XMail
RemoveSpoolErrors 0
Pop3LogPasswd 0
#NoSenderBounce 1
#DisableEmitAuthUser 1
#NotifyMsgLinesExtra 8
#NotifySendLogToSender 0
#NotifyTryPattern 1
MaxMTAOps 16
ReceivedHdrType 0
FetchHdrTags +X-Deliver-To,+Received,To,Cc
#SmtpGwConfig NeedTLS=1,OutBind=192.168.1.1
#EnableCTRL-TLS 1
#EnableSMTP-TLS 1
EnablePOP3-TLS 1
#SmtpMsgIPBanSpammers 550 Denied due inclusion of your IP in our spam lists
#SmtpMsgIPBanSpamAddress 550 Denied due inclusion of your email address in our spam lists
#SmtpMsgIPBanMaps 550 Denied due inclusion of your IP in the following map
#CustomSMTPMessage Please open http://www.xmailserver.test/smtp_errors.html to get more information about this error
#MaxMessageSize 20000
#EnableAuthSMTP-POP3 0
#Pop3SyncErrorAccount [email protected]
#AllowNullSender 1
#AllowSmtpVRFY 1
#AllowSmtpETRN 1
#SMTP-MaxErrors 4
#SmtpMinDiskSpace 100000
#SmtpMinVirtMemSpace 64000
#Pop3MinVirtMemSpace 64000
#CustMapsList list.dsbl.org.:1,blackholes.mail-abuse.org.:1,dialups.mail-abuse.org.:0
#SMTP-RDNSCheck 1
#CheckMailerDomain 1
#SmartDNSHost dns.home.bogus.net:tcp,192.168.1.1:udp
#SmtpConfig mail-auth
#SmtpConfig-192_168_0_1 mail-auth
DefaultSmtpPerms MRVZ
SSLWantVerify 1
SSLWantCert 0
SSLAllowSelfSigned 0
SSLUseCertsFile 1
SSLUseCertsDir 1
ssl_cert_file /var/media/ftp/KINGSTON/XMail/certs/CERTS.pem
ssl_key_file /var/media/ftp/KINGSTON/XMail/certs/CERTS.pem


>> die beiden letzten Einträge : hier habe ich CERTS.pem, server.cert und server.key im Pfad angegeben, natürlich entsprechend im Pfad hinterlegt - klappt auch nicht

 

[klaus dieter]

Wenn ich XMail entsprechend der o.g. Änderungen einstelle und dann über PhpXMail den pop3sync starte, verschwinden für einen kurzen Augenblick alle Domains und die Servereinstellungen, vermutlich weil das System sich updated ?

Ich hab den Eindruck, vielleicht beim Zertifikat einen Fehler gemacht zu haben.
Für eine SSL Kommunikation zwischen GMX und XMail auf meiner Fritzbox brauche nur das in #2 genannte Zertifikat ?
In welcher Form muss ich das Zertifikat wo ablegen ? (sprich :copy & paste, Dokument in richtigem Format speichern und entsprechend ablegen würde reichen ?)

>> nochmals V I E L E N D A N K für die Geduld & Hilfe ! <<

 

[klaus dieter]

Das Problem ist gelöst !
Der entscheidene Unterschied lag anscheinend bei

SSLWantVerify 1
SSLWantCert 0
SSLAllowSelfSigned 0
SSLUseCertsFile 1
SSLUseCertsDir 0 <<<<<< ( und nicht "1", wie ich zuletzt angegeben hatte; gefunden in einem anderen Forum )
ssl_cert_file /var/media/ftp/KINGSTON/XMail/certs/CERTS.pem
ssl_key_file /var/media/ftp/KINGSTON/XMail/certs/CERTS.pem

Seit dem läuft es super mit dem SSL EMail Abruf auf allen Konten.
>> ! Vielen Dank für die Anregungen und Hilfe ! <<