Wenn ich es richtig verstehe, erfolgt der Zugriff auf die Webseite von Roundcube nur unverschlüsselt. Stellt man der Adresse https:// voran, gibt es eine Fehlermeldung (Seite nicht gefunden). Gibt es eine Möglichkeit wie bei den Webseiten ein Umleitung auf https zu erzwingen und was muss man dafür einstellen?
Verschlüsselung der Webseite von Roundcube erzwingen
- Ersteller berlindocs
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
Hallo berlindocs,
Bücher und Hardware zum Thema gibt es bei Amazon: Verschlüsselung der Webseite von Roundcube erzwingen
Bücher und Hardware zum Thema gibt es bei Amazon: Verschlüsselung der Webseite von Roundcube erzwingen
Verschlüsselung für Roundcube
Einen Teil meiner Frage konnte ich mir inzwischen schon selber beantworten. Für eine Verschlüsselung von Roundcube muss man eine Portfreigabe für Port 443 machen. Bleibt aber die Frage nach der automatischen Umleitung immer noch offen. Erschwerend kommt hier noch hinzu, dass die Fritz!Box die Weiterleitung dieses Ports auf die Synology nicht gestattet, da sie diesen für die verschlüsselte Fernwartung benutzt. Eine automatische Umleitung müsste daher auf einen anderen wählbaren Port erfolgen, der noch nicht genutzt wird z.B. Port 1000.
Einen Teil meiner Frage konnte ich mir inzwischen schon selber beantworten. Für eine Verschlüsselung von Roundcube muss man eine Portfreigabe für Port 443 machen. Bleibt aber die Frage nach der automatischen Umleitung immer noch offen. Erschwerend kommt hier noch hinzu, dass die Fritz!Box die Weiterleitung dieses Ports auf die Synology nicht gestattet, da sie diesen für die verschlüsselte Fernwartung benutzt. Eine automatische Umleitung müsste daher auf einen anderen wählbaren Port erfolgen, der noch nicht genutzt wird z.B. Port 1000.
Solche "Umleitungen" müsste man bereits im DNS über CNAMEs machen.
Was spricht aber dagegen einfach z.B. Port 50443 auf Port 443 der DS weiterzuleiten und den Zugriff von aussen über https://dyndnsname:50443 zu machen?
Gruß Benares
Was spricht aber dagegen einfach z.B. Port 50443 auf Port 443 der DS weiterzuleiten und den Zugriff von aussen über https://dyndnsname:50443 zu machen?
Gruß Benares
Es spricht natürlich gar nichts dagegen es so zu machen. Ich möchte aber die ganze Sache narrensicher machen und verhindern, dass ein unbedarfter Anwender eine unverschlüsselte Verbindung aufbauen kann. Ich habe eine domain bei Selfhost. Wie kann man diese CNAMEs einrichten oder wo kann ich das nachlesen?
- Registriert
- 03. Feb. 2012
- Beiträge
- 18.991
- Reaktionspunkte
- 630
- Punkte
- 484
Du könntest auch die Fernwartung der Fritzbox abschalten. Das ist je eh nicht so das Gelbe vom Ei - sicherheitstechnisch.
jahlives
Benutzer
- Registriert
- 19. Aug. 2008
- Beiträge
- 18.275
- Reaktionspunkte
- 4
- Punkte
- 0
keine DNS Record der Welt kann https erzwingen. Das kann nur der Server selber
Und das geht eben nur, indem du nur Port 443 (oder eben einen Ersatzport) auf Port 443 der DS weiterleitest. Das mit dem CNAME ist reiner Komfort damit man den Port nicht Tippen muss, aber wozu gibt es Bookmarks.
Unter Systemsteuerung/HTTP Dienst auf DSM4.2 gibt es die bei mir aktivierte Funktion "HTTPS-Verbindungen für Webdienste" aktivieren. Dieses scheint sich aber nicht auf den Mailserver zu erstrecken. Das ist genau das Problem. Wie jahlives sagt, kann man diese Funktion nur über den Server selbst bewerkstelligen. Aber wie?
Zur Verdeutlichung ich möchte erreichen, dass man zwingend und immer wenn man in den Browser eingibt http://www.meinedomain.de/mail auf https://www.meinedomain.de/mail umgeleitet wird. Genauso wie das für den Zugriff auf die Weboberfläche der Synology mit oben erwähnter Funktion auch möglich ist.
Zur Verdeutlichung ich möchte erreichen, dass man zwingend und immer wenn man in den Browser eingibt http://www.meinedomain.de/mail auf https://www.meinedomain.de/mail umgeleitet wird. Genauso wie das für den Zugriff auf die Weboberfläche der Synology mit oben erwähnter Funktion auch möglich ist.
Ach so meinst du das. Dann müsstest du aber Port 80 und 443 auf die DS freischalten.
Ich hab die Mailstation momentan nicht aktiviert. Hast du mal geschaut, was das "Applikationsportal" im DSM bei aktivierter Mailstation anbietet?
Ich hab die Mailstation momentan nicht aktiviert. Hast du mal geschaut, was das "Applikationsportal" im DSM bei aktivierter Mailstation anbietet?
Im Moment leite ich den Port 1000 via Router auf den Port 443 der Synology um. Port 80 wird ebenfalls auf Port 80 der Synology weitergeleitet. Im Applikationsportal gibt es Einträge für Audio Station, Video Station und File Station. Wenn man aber das Fenster Regeln für Port öffnet gibt es in den genannten Fällen keine Einträge.
Im Applikationsportal lassen sich keine neuen Einträge anlegen (es gibt keinen Button dafür), sondern offenbar nur die Eigenschaften der bestehenden (oben genannten) speichern.
In der Hilfe der DSM heisst es dazu:
Hinweis: Mit dem Applikationsportal können Sie die Verbindungseinstellungen folgender Applikationen ändern: Audio Station, Download Station, Surveillance Station, Video Station und File Station.
Hinweis: Mit dem Applikationsportal können Sie die Verbindungseinstellungen folgender Applikationen ändern: Audio Station, Download Station, Surveillance Station, Video Station und File Station.
Schade.
Was hast du unter Systemsteuerung, DSM-Einstellungen, HTTP-Dienst eingestellt?
Schon mal mit aktivierter https-Umleitung probiert?
Was hast du unter Systemsteuerung, DSM-Einstellungen, HTTP-Dienst eingestellt?
Schon mal mit aktivierter https-Umleitung probiert?
Diese Funktion ist natürlich aktiviert. Aber sie scheint auf den Mailserver keine Auswirkung zu haben. Kann man noch an anderer Stelle etwas einstellen oder ist es ein Bug?
Hallo,
in /volume2/@appstore/MailStation/roundcubemail/config/main.inc.php
kann man force https auf true setzen.
$rcmail_config['force_https'] = true;
mfg
downunder07
in /volume2/@appstore/MailStation/roundcubemail/config/main.inc.php
kann man force https auf true setzen.
$rcmail_config['force_https'] = true;
mfg
downunder07
Danke für den wertvollen Hinweis. Aus der Antwort entnehme ich, dass es keinen einfachen "Schalter" auf der DSM gibt?
- Registriert
- 03. Feb. 2012
- Beiträge
- 18.991
- Reaktionspunkte
- 630
- Punkte
- 484
Den gibt es definitiv nicht. Der Hinweis wäre dann wohl auch schon früher gekommen.
sorry vergessen..
Wie puppetmaster schon sagte einen "einfachen Weg gibt es nicht.
Systemsteuerung -> Terminal ssh aktivieren
putty downloaden (http://www.putty.org/)
öffnen und hostnamen eintragen
user: root
pwd: admin password dsm
vi /volume2/@appstore/MailStation/roundcubemail/config/main.inc.php (kann auch volume1 sein)
shift + 7 für suchen oder mit strg + d für blättern
mit i wird der kann man das editieren aktivieren...
$rcmail_config['force_https'] = true;
von false auf true setzen
anschließend Esc drücken und :wq (für write and quite eingeben)
sollte dir ein fehler passieren kannst du vi mit Esc und :q! verlassen ohne speichern
mfg
Wie puppetmaster schon sagte einen "einfachen Weg gibt es nicht.
Systemsteuerung -> Terminal ssh aktivieren
putty downloaden (http://www.putty.org/)
öffnen und hostnamen eintragen
user: root
pwd: admin password dsm
vi /volume2/@appstore/MailStation/roundcubemail/config/main.inc.php (kann auch volume1 sein)
shift + 7 für suchen oder mit strg + d für blättern
mit i wird der kann man das editieren aktivieren...
$rcmail_config['force_https'] = true;
von false auf true setzen
anschließend Esc drücken und :wq (für write and quite eingeben)
sollte dir ein fehler passieren kannst du vi mit Esc und :q! verlassen ohne speichern
mfg
Hier http://www.waxer.nl/index.php/2011/04/roundcube-running-https/ schon jemand eine gute Anleitung zu dieser Frage geschrieben.
Ich bin leider kein Linux Kenner, daher vielleicht blöde Frage. Ich habe mich per Telnet verbunden, gelange aber via CD nur bis in das Verzeichnis @appstore. Der Zugriff auf /Mailstation wird mit der Fehlermeldung can't cd to /Mailstation unterbunden. Muss man die Mailstation im Paketzentrum erst anhalten.
Ich bin leider kein Linux Kenner, daher vielleicht blöde Frage. Ich habe mich per Telnet verbunden, gelange aber via CD nur bis in das Verzeichnis @appstore. Der Zugriff auf /Mailstation wird mit der Fehlermeldung can't cd to /Mailstation unterbunden. Muss man die Mailstation im Paketzentrum erst anhalten.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
