Sicherer E-Mail Transport SSL, TLS...

Status
Für weitere Antworten geschlossen.

Frank70

Benutzer
Mitglied seit
17. Feb 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich wollte gerade ein E-Mail-Konto bei Thunderbird (TB) einrichten und bin hierbüber gestolpert:
pic4.png
Der Versand geschieht per SMTP über Port 25 und ist per STARTTLS verschlüsselt. Ich würde aber gerne bei IMAP SSL nutzen, also IMAPS über Port 993. Was ist da zu tun?
Über google bin ich mal hierauf gestoßen, aber ich werde da nicht recht schlau daraus, da es sich dort um Ubuntu und nicht um die Diskstation + Zafira handelt :confused:

Gruß
Frank
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Versand geht immer via SMTP und nicht via IMAP. IMAP kannst du nur bei Eingang wählen. Stell dort SSL auf SSL/TLS und der Port sollte automatisch auf 993 wechseln
 

Frank70

Benutzer
Mitglied seit
17. Feb 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Mir gehts ja auch nur um den Empfang, Versand übr SMTP ist soweit klar. Wenn ich manuell SSL/TLS auswähle stellt TB den Port automatisch auf 993 um. Soweit gut. Aber ich kann das Konto nicht anlegen da Thunderbird meint keine Einstellungen für das E-Mail Konto zu finden:

pic5.jpg

Also muss ich doch bei Zarafa bzgl. IMAPS üder 993 noch was einstellen?!
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
nach der Änderung "Erneut testen" gemacht?
 

Frank70

Benutzer
Mitglied seit
17. Feb 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
ja klar, danach kam ja diese Meldung :(
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
hast du denn die Mailstation auf deiner DS aktiviert und hast du auch ganz sicher SSL/TLS für Mail aktiviert?
 

Frank70

Benutzer
Mitglied seit
17. Feb 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Nein, das MailStation-Paket habe ich gar nicht installiert. Stattdessen soll ja Zarafa mit Postfix+Fetchmail gerhalten. Oder fallst Du die "Einstellungen für E-Mail-Empfang" unter Mail-Server in der Systemsteuerung meinst bzgl. POP3+IMAP: Ob ich da bei IMAP SSL/TLS ein Häkchen setze oder nicht bringt keine Änderung. Generell habe ich dort gar nix angehakt, lediglich unter "Einstellungen für Mail-Server" habe ich ein Häkchen bei "SMTP aktivieren" und bei "SMTP-Authorisation erforderlich" gesetzt.
 

Jdo2002

Benutzer
Mitglied seit
24. Dez 2011
Beiträge
692
Punkte für Reaktionen
1
Punkte
38
um IMAPS mit Zarafa zu nutzen musst du es passend konfigurieren. Welche Parameter das sind findest du hier in der offiziellen Doku

Im groben sollten das diese hier sein:
Rich (BBCode):
ssl_private_key_file
The file that contains the private key used for encrypting the ssl connections. The absolute path to the file should be used. Default value: /etc/zarafa/privkey.pem
ssl_certificate_file
imaps_enable
Enable secure IMAP service with value yes. Default value: no
imaps_port
The secure IMAP service will listen on this port for incoming connections. Default value: 993

Wichtig ist das du ein Zertifikat hast was Zarafa benutzen kann. Es ist vieleicht auch möglich die Zertifikate von der DS zu nutzen, ich weiß aber nicht wo die "rumliegen".

Gruß Julian
 

Axel-Berlin

Benutzer
Mitglied seit
24. Feb 2012
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich bin wie folgt vorgegangen.

Ein Verzeichnis gateway anlegen

mkdir /etc/zarafa/gateway/


ggf. wenn nicht vorhanden die Datei openssl.cnf unter vi /usr/syno/ssl/ erstellen

vi /usr/syno/ssl/openssl.cnf

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Zertifikat erstellen

openssl genrsa -out /etc/zarafa/gateway/privkey.pem 2048
openssl req -new -x509 -key /etc/zarafa/gateway/privkey.pem -out /etc/zarafa/gateway/cert.pem -days 3650


in der Datei /etc/zarafa/gateway.cfg

vi /etc/zarafa/gateway.cfg

imaps_enable = yes

# File with RSA key for SSL
ssl_private_key_file = /etc/zarafa/gateway/privkey.pem

#File with certificate for SSL
ssl_certificate_file = /etc/zarafa/gateway/cert.pem

# Verify client certificate
ssl_verify_client = no

# Client verify file and/or path
ssl_verify_file =
ssl_verify_path =

Zafara neu starten

dann im Emailprogramm auf SSL umstellen und das Zertifikat akzeptieren.
 

Frank70

Benutzer
Mitglied seit
17. Feb 2012
Beiträge
61
Punkte für Reaktionen
0
Punkte
6
Hallo,

ich bin wie folgt vorgegangen.

Ein Verzeichnis gateway anlegen

mkdir /etc/zarafa/gateway/


ggf. wenn nicht vorhanden die Datei openssl.cnf unter vi /usr/syno/ssl/ erstellen

vi /usr/syno/ssl/openssl.cnf

[ req ]
default_bits = 1024
distinguished_name = req_DN
string_mask = nombstr

[ req_DN ]
countryName = "1. Staat (2 Buchstaben)"
countryName_default = DE
countryName_min = 2
countryName_max = 2
stateOrProvinceName = "2. Bundesland "
localityName = "3. Ort "
0.organizationName = "4. Name der Organisation "
organizationalUnitName = "5. Name der Organisationseinheit "
commonName = "6. Common Name (Synology Station) "
commonName_max = 64
commonName_default = Synology Station
emailAddress = "7. Email Adresse "
emailAddress_max = 40

Zertifikat erstellen

openssl genrsa -out /etc/zarafa/gateway/privkey.pem 2048
openssl req -new -x509 -key /etc/zarafa/gateway/privkey.pem -out /etc/zarafa/gateway/cert.pem -days 3650


in der Datei /etc/zarafa/gateway.cfg

vi /etc/zarafa/gateway.cfg

imaps_enable = yes

# File with RSA key for SSL
ssl_private_key_file = /etc/zarafa/gateway/privkey.pem

#File with certificate for SSL
ssl_certificate_file = /etc/zarafa/gateway/cert.pem

# Verify client certificate
ssl_verify_client = no

# Client verify file and/or path
ssl_verify_file =
ssl_verify_path =

Zafara neu starten

dann im Emailprogramm auf SSL umstellen und das Zertifikat akzeptieren.

Ich habe das nun genau so gemacht. Aber trotzdem bekomme ich von TB die Meldung
pic5.png
 

InTheCloud

Benutzer
Mitglied seit
05. Jan 2012
Beiträge
64
Punkte für Reaktionen
0
Punkte
6
weiß zwar nicht ob ich euch damit jetzt helfe, aber die selbsterstellten zertifikate der DS liegen unter /usr/syno/etc/ssl. sind aber .crt, .csr, .key files.

http://www.synology-wiki.de/index.php/Generierung_eines_eigenen_SSL-Zertifikats

poste bitte auch die mögliche lösung, sobald du eine hast, da mich das problem wohl selbst bald betreffen wird ;)

Wenn man bereits ein Zertifikat für die DS einsetzt (entweder selbstgeneriert oder von einem Anbieter erstellt), dann kann man dieses wie folgt für den IMAP SSL Zugriff in Zarafa verwenden:
1. Aus dem vorhandenen privaten Schlüssel (.key) und Zertifikat (.crt) eine kombinierte Datei erstellen.
(siehe auch Kapitel 4.6.1 hier http://doc.zarafa.com/6.40/Administrator_Manual/en-US/html/_configure_zarafa_caldav.html#_SecureCaldav)

Rich (BBCode):
cd /usr/syno/etc/ssl
cat ssl.key > my_server_combined.pem
cat ssl.crt >> my_server_combined.pem

2. Die Datei "gateway.cfg" von Zarafa anpassen:
Rich (BBCode):
cd /etc/zarafa
vi gateway.cfg

Dann IMAP SSL aktivieren

Rich (BBCode):
# enable/disable Secure IMAP, and Secure IMAP listen port
imaps_enable    =       yes                              
imaps_port      =       993

und die neu erstellte kombinierte Schlüssel/Zertifikat-Datei angeben.

Rich (BBCode):
# File with RSA key for SSL                                                                       
ssl_private_key_file    =       /usr/syno/etc/ssl/my_server_combined.pem
                                                                                                                    
#File with certificate for SSL                                                                                      
ssl_certificate_file    =       /usr/syno/etc/ssl/my_server_combined.pem

Dann die Datei abspeichern und schliessen und das Zarafa Paket neu starten.
Für den Zugriff ausserhalb des eigenen Netzwerks ist noch der Port 993 in der Firewall über port forwarding einzurichten.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat