Autoconfig Verschlüsselte Authentifizierung

  • Hallo zusammen,


    nach meiner Testmigration meines Confixx Systems auf Liveconfig, wollte ich testweise auch gleich mal Autoconfig testen. Also alles eingerichtet und auch mal einen kleinen DNS Server, mit dem was so benötigt wird, aufgesetzt und siehe da mein Thunderbird bekommt eine Konfiguration.
    Aber dann geht es nicht weiter, weil aus meiner die Autoconfig nun durch "<authentication>password-encrypted</authentication>" beim Client die Authentifizierung auf "Verschlüsseltes Passwort" setzt. Wenn ich dann auf "Erneut testen" in Thunderbird klicke, stellt Thunderbird die Authentifizierung auf "Passwort, normal" und es geht weiter.


    Ich habe meine Confixx Passwörter übernommen und deshalb "dovecot.DISABLE_CRAM=true" in meiner custom.lua gesetzt.


    Testweise habe ich nun auch schonmal mein Passwort neu gesetzt und die Zeile "dovecot.DISABLE_CRAM=true" in meiner custom.lua auskommentiert, aber trotzdem komme ich an der Stelle nicht auf anhieb weiter.


    Was muss ich machen, damit es auf anhieb funktioniert?


    Besten dank schonmal für alle die was Produktives dazu beitragen können.

  • OK einen kleinen Schritt weiter bin ich jetzt.
    Also das auskommentieren reicht anscheinend nicht, denke aber das ist dann ein BUG von Liveconfig oder? Ich hatte die Zeile "-- dovecot.DISABLE_CRAM=true" so in meiner custom.lua und trotzdem wurde in die dovecot.conf die "cram-md5" option nicht angefügt.


    Also wenn es jetzt so klappt habe ich nur noch das Problem, dass ich alle Passwörter ändern muss oder? Und hier komme ich wieder zu meinen letzten Thema - eMail Massenänderung. Gibt es irgendwie die Möglichkeit, dass ich alle Passwörter neu setzte ohne jedes einzeln über Liveconfig setzen zu müssen? Reicht es eine Schleife zu bauen und das Passwort im richtigen Format in der Datenbank und in der /etc/dovecot/passwd zu setzten? Hätte jemand ein Beispiel wie ich es umsetzen könnte?

  • Es reicht nicht, einfach nur "dovecot.DISABLE_CRAM=true" zu setzen (oder auszukommentieren): Sie müssen anschließend durch LiveConfig die Dovecot-Konfiguration aktualisieren lassen (z.B. indem Sie unter "Serververwaltung -> Mail -> Dovecot -> bearbeiten..." noch mal auf den "speichern"-Button klicken).


    Eine Massenänderung der Passwörter ist etwas komplizierter: LiveConfig speichert die verschlüsselt - eine "saubere" Aktualisierung wäre nur via SOAP-API möglich.

  • Aber dann geht es nicht weiter, weil aus meiner die Autoconfig nun durch "<authentication>password-encrypted</authentication>" beim Client die Authentifizierung auf "Verschlüsseltes Passwort" setzt.


    Ich habe das eben mal geprüft: diese Anweisung steht direkt (hardcodiert) so im zuständigen Code in LiveConfig. Wir könnten das aber kurzfristig so einrichten, dass Sie diese Einstellung bearbeiten können (bei LOGIN/PLAIN-Anmeldung wäre hier "password-cleartext" richtig).

  • Danke für die Antwort Herr Keppler. Ich habe natürlich immer die Config neu erzeugen lassen und auch den Timestamp der Datei kontrolliert.
    Zum Thema mit der SOAP-API steht in der Beschreibung zur "HostingMailboxEdit", dass das Passwort optional als "gesalzener MD5-Passwort-Hash" übergeben werden kann. Nun stellt sich mir die Frage, ist es nur so möglich oder ist es auch möglich das Passwort im klartext zu übergeben und somit korrekt in die Datenbank und in die passwd zu schreiben?

  • Ich habe das eben mal geprüft: diese Anweisung steht direkt (hardcodiert) so im zuständigen Code in LiveConfig. Wir könnten das aber kurzfristig so einrichten, dass Sie diese Einstellung bearbeiten können (bei LOGIN/PLAIN-Anmeldung wäre hier "password-cleartext" richtig).


    Ich denke das wäre nicht nur für mich, sondern auch für andere Confixx Migraten sinnvoll.

  • Danke für die Antwort Herr Keppler. Ich habe natürlich immer die Config neu erzeugen lassen und auch den Timestamp der Datei kontrolliert.


    Äh... vergessen... LiveConfig müssen Sie nach Änderungen in der custom.lua auch neu starten (die Lua-Scripte werden nur beim Start von LiveConfig eingelesen).


    Zitat

    Zum Thema mit der SOAP-API steht in der Beschreibung zur "HostingMailboxEdit", dass das Passwort optional als "gesalzener MD5-Passwort-Hash" übergeben werden kann. Nun stellt sich mir die Frage, ist es nur so möglich oder ist es auch möglich das Passwort im klartext zu übergeben und somit korrekt in die Datenbank und in die passwd zu schreiben?


    Natürlich können Sie das auch im Klartext an die HostingMailboxEdit übergeben (so könnte das später auch für CRAM-MD5 verwendet werden :))

  • Achso ja Liveconfig habe ich auch mehrfach neu gestartet, aber ich werde es nochmal testen.


    Nochwas zum Thema Autoconfig. Mir ist aufgefallen, dass es zuerst einen Abschnitt für imap (143) und pop3 (110) im XML File gibt und Thunderbird und wahrscheinlich auch andere Software dann immer erst diese Ports versucht. Kann man das ggf. schon irgendwo abschalten?
    Ich habe testweise mal den Zugriff auf Port 143 und 110 gesperrt, aber trotzdem versucht Thunderbird erstmal diese Konfiguration und kommt auch nich weiter. Wär also ganz gut, wenn man die XML ausgabe irgendwie beeinflussen könnte.

  • Mir ist aufgefallen, dass es zuerst einen Abschnitt für imap (143) und pop3 (110) im XML File gibt und Thunderbird und wahrscheinlich auch andere Software dann immer erst diese Ports versucht. Kann man das ggf. schon irgendwo abschalten?


    Warum wollen Sie diese Ports "abschalten"? Bzw. welche Ports wollen Sie denn sonst verwenden? STARTTLS arbeitet durchaus auf Port 110/143.

  • Weil man ggf. nur über Port 993 IMAPS und 995 POP3S macht?
    Macht die Konfiguration aus der XML sonst Sinn? Es würde ja jeder Client zuerst die IMAP mit STARTTLS auf Port 143 nutzen oder?


    Welche ist denn die "allgemein" bevorzugte Variante des verschlüsselten zugriffs?
    Ich sehe bei den hiesigen Mail Hostern meist nur noch die varianten über IMAPS/POP3S und sehe dies auch als richtig an, warum erst eine unsichere Sitzung erzeugen und dann durch STARTTLS in eine sichere Sitzung ändern, wenn heute doch fast jeder Client die direkte SSL/TLS Verbindung unterstützt.

  • Ich sehe bei den hiesigen Mail Hostern meist nur noch die varianten über IMAPS/POP3S und sehe dies auch als richtig an, warum erst eine unsichere Sitzung erzeugen und dann durch STARTTLS in eine sichere Sitzung ändern, wenn heute doch fast jeder Client die direkte SSL/TLS Verbindung unterstützt.


    Weil viele Umgebungen entweder nur SSL erlauben (und Plaintext/STARTTLS sperren) oder es andersrum der Fall ist (Plaintext wird erlaubt - damit auch STARTTLS, SSL hingegen ist gesperrt). Manche Uni macht das beispielsweise so.

  • Grade in dem Beispiel welches von Ihnen kommt wäre es ja auch so, dass ein Benutzer ggf. eine Autoconfig für "normales" IMAP / POP3 bekommt dies aber garnicht funktioniert weil er nur an Port 993/995 kommt.


    Es ist aber auch so, dass wenn einer IMAPS/POP3S könnte er via Autoconfig nur die Einstellung für "normales" IMAP/POP3 bekommen würde, weil dies zuerst im XML File steht oder mache ich da einen Denkfehler?

  • So ich hab jetzt mal im Mozilla Wiki nachgelesen. Bei der Autoconfig wird immer der erste Eintrag von "incomingServer" und "outgoingServer" gewählt. So richtig steht da auch nicht, dass eine alternative selbststädig vom Client gewählt wird falls die erste Wahl nicht funktioniert.


    Also ich fänd es ganz gut, wenn man die Reihenfolge der "incomingServer" beeinflussen könnte.

  • Evtl. kann Herr Keppler ja nochmal mal was zu der Reihenfolge der incomingServer aus der Autoconfig sagen, aus meiner Sicht ist diese so wie Sie "statisch" vorgegeben ist unnütz. Dann könnte man auch nur den ersten incomingServer definieren, weil ja nur der First Match von den Mail Programmen genutzt wird.

  • Hallo Herr Keppler,


    können Sie das mal als FeatureRequest berücksichtigen?
    Die beworbene Option

    Zitat

    E-Mail-Programme automatisch einrichten
    LiveConfig unterstützt Auto-Discovery bzw. Autoconfig, so dass ich viele E-Mail-Programme wie Microsoft Outlook und Mozilla Thunderbird automatisch konfigurieren können.

    ist ja sonst nur sehr eingeschränkt nutzbar.

  • Hallo Herr Keppler,
    besteht nun die Möglichkeit es so anzupassen, dass wenn in der Serververwaltung -> E-Mail -> Dovecot
    die Option "SSL/TLS: nur SSL-Verbindungen erlauben" aktiviert ist, auch nur diese Ports in der xml Ausgabe (incomingServer) ausgegeben werden?


    Damit wäre sichergestellt, dass die E-Mail Clients sich auch sofort richtig konfigurieren, sofern diese Option aktiviert ist.


    Das kann doch für Sie nur eine kleine Anpassung sein.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!