# Mail Server [SSL/TLS] mit LiveConfig [Debian]



## VMWare-Kev (6. Juli 2016)

Hallo Community,

Evt könnt ihr mir weiterhelfen ich habe auf meinem Deian Server LiveConfig laufen für Emails nutz ich Postfix / Dovecot dazu als Web-Postfach : Roundcube alles klappt perfekt nur wenn ich jetzt  über Outlook Emails abrufen will kommt immer die Meldung : 







Wenn ich auf [Ja] drücke erhalte ich zwar die Emails aber ich will diese Meldung nicht immer wieder bestätigen müssen. Will auch keine Outlook Einstellungen vornehmen das muss ja irgendwas mit dem SSL-Zertifikat zu tun haben oder ?

Will halt das die Mails nur noch "Verschlüsselt" genutzt werden können.

Mit Freundlichen Grüßen
Kev


----------



## VMWare-Kev (6. Juli 2016)

Ok, habe den ich nenn es mal "kleinen" fehler selbst gefunden

Unter Email-Einstellungen: Postausgangsserver
• Gleich Einstellungen wie für Postausgangsserver verwernden

Und unter Erweitert:

Posteingangsserver(POP3): 995
• [Server erfordert eine verschlüsselte Verbindung (SSL)

Postaugsgangsserver (SMTP): 465 ( hatte den Port davor auf 25 )
Verwenden Sie den folgenden verschlüsselten Verbindungstyp: SSL ( hatte es davor auf Automatisch (TLS )


----------



## VMWare-Kev (6. Juli 2016)

Ok es kommt trotzdem noch ...... jemand evt ein vorschlag ?


----------



## sheel (6. Juli 2016)

Hi

a) "Zertifikat anzeigen" liefert welche Infos?

b) Zum Vergleich dazu, das HTTPS-Zertifikat bei Roundcube schaut wie aus?
(Falls nicht sicher wie man es anschaut: Welcher Browser?)

c) ...und noch das Zertifikat der öffentlichen Webseite (falls es eine gibt?)


----------



## VMWare-Kev (6. Juli 2016)

Da steht nicht viel das was ich halt über LiveConfig erstellt habe.

Aber ich glaub ich hab es jetzt .... man muss das Zertifikat als "vertrauenswürdig" 1x installieren ins Stammdatenverzeichniss


----------



## sheel (6. Juli 2016)

Das erste Bild passt aber überhaupt nicht zum zweiten.

"Theoretisch" würde es reichen, bei "Serververwaltung" links im Menü das Zertififikat auch für die zwei Mailserver einzustellen, nicht nur für Apache. Praktisch müsste das alle paar Monate neu gemacht werden, wegen der kurzen LE-Laufzeit, usw.usw.....

... oder umgekehrt, du bist an dem Punkt, an dem Programme wie Liveconfig, Plesk usw. dir nicht mehr helfen, sondern dich behindern.

Leider kenn ich Liveconfig nicht gut genug, um dir die direkten Pfade etc. sagen zu können, also:

Fragen:
Bist du bereit, einige Stunden (oder mit Pech sogar einen ganzen Tag) Vollzeit mit dem Problem zu verbringen?
Verwendest du den offiziellen LetsEncrypt-Client, oder ACMETiny, oder...?
Gibt es nur die eine Domain, die man auf den Bildern sieht, mit einer Website dahinter (keine Subdomains außer eventuell www)?
Etwas Erfahrung mit Bash vorhanden?
Rootserver mit Debian oder...?

Anmerkungen an mich selber: | Orte (Apache, pop, imap, smtp, panel), openssl und sektionen | acmetiny erstsetup (ordner, keys, crs, erstes zert holen usw.) | erstrollout, test | cron + erneuerung + rollout + bak | ufw fail2ban apachevhosthttp->https uswusw.


----------



## VMWare-Kev (6. Juli 2016)

Danke für die Schnelle Antwort,

Hatte das Zertifikat jetzt nochmals neu erstellt etc .. auf mail.domain.com das klappt nun irgendwie ohne das ich es jedesmal bestätigen muss da ich es jetzt auch "Installiert" habe (Stamm****) 
befürchte aber das es so zwar "verschlüsselt" ist aber nicht 100% richtig. 

Kla bin ich bereit sogar Tage für das Problem zu investieren. 
Ich verwende die Funtkion von LiveConfig ACME ( Automatic Certificate Management Environment ) 





Auf der Domain läuft gerade nix bis auf ein paar Weiterleitungen als sub.domain + ein ts3.webinterface
kommen soll aber noch einiges. 

Und ja kla Erfahrung mit Bash vorhanden und yep Debian Root.


----------



## sheel (6. Juli 2016)

*Teil 1/5*
(Die anderen Teile werden später geschrieben)

Leider der Teil, bei dem ich am wenigsten helfen kann (weil ich nirgends eine Liveconfig-Installation hab)

Es geht darum, die Zertifikatsdateien für die verschiedenen Dienste im Dateisystem zu finden (leider wegen Liveconfig nicht so sicher, wo sie sind) und zu untersuchen (auch der Inhalt könnte deswegen anders strukturiert sein)

1a: Finden SMTP bzw. Postfix
Eine gute Chance hat man mit dem Pfad /etc/postfix/postfix_default.pem
Falls es die Datei gibt und sie innen ein "-----BEGIN CERTIFICATE-----" hat, passts.
Sonst nach anderen PEM-Dateien im Ordner suchen, oder evt. heißt der Ordner auch leicht anders...

Für später bitte folgendes notieren: Den Pfad, dass es von Postfix ist, den Dateibesitzer und Gruppe (zB. root:root, sichtbar zB. mit Befehl "ls -al" im Ordner), die Zugriffssrechtemaske (vermutlich -rw-------)

1b: Finden POP3 und IMAP
Mit etwas Glück unter /usr/share/pop3d.pem für POP3, und eine ähnliche Datei für IMAP.
Wieder das "BEGIN CERTIFICATE" prüfen und die selben Sachen wie oben für diese Dateien aufschreiben

1c: Finden Apache
Etwas umständlicher. Zuerst braucht man die VHost-Einstellungsdateien: Bei einer puren Apache-Installation unter /etc/apache2/sites-available/, eine Datei pro Domain, Dateiname=Domainname. Mit Zeug wie Liveconfig etc., die die Dateien generieren, ist da aber vermutlich nichts. Sollte "irgendwo" in /etc/apache2 sein... suchen nötig.
(zB. bei Plesk 12.5 wäre es /etc/apache2/plesk.conf.d/vhosts/, aber sonst weiß ich ohne suchen auch nichts).

Wenn man die richtige Datei gefunden hat: drin sollten irgendwo Angaben zu SSLCertificateFile und SSLCACertificateFile sein, beide Dateien auch wie bei 1a/1b prüfen und aufschreiben

1d: Finden Panel+Rest
Die Apache-Zerts sind im Idealfall in einem Ordner, wo auch noch andere Zerts sind, die alle auch in die Notizen aufnehmen (Gruppe Allgemein oder so). Wenn nicht ... irgendwo müsste es noch (beliebig viele) Dateien für Liveconfig geben (inkl. Einstellungsseite auf Port 8443 usw.)

1e: "Gleichheitsgruppen"
Ein paar der gefundenen Dateien haben den selben Textinhalt (wenn "diff datei1 datei2" keine Ausgabe hat...), für das auch eine (zweite) gruppierte Liste machen. Also welche Dateipfade innen gleich sind.

1f: Sektionen
Die Zertifikate haben innen im Idealfall alle eine BEGIN-CERTIFICATE-Sektion ("-----BEGIN CERTIFICATE-----", dann unlesbares (geheimes) Zeug, und dann "-----END CERTIFICATE-----"). Einige werden aber auch weitere Sektionen haben, zB. PRIVATE KEY, oder noch andere.
Pro Gleichheitsgruppe von 1e bitte aufschreiben, welche Sektionen in welcher Reihenfolge drin vorkommen

1g: Typ
Pro Gleichheitsgruppe von 1e eine der Dateien hernehmen und folgendes ausführen:

```
openssl x509 -in /der/pfad/dateiname.pem -noout -text
```
In der Ausgabe, eher weiter oben, sollte erkennbar sein, ob es von a) LetsEncrypt, b) ESET (in deinem Fall), c) etwas Anderes (Was?) kommt. (Das auch noch dazunotieren.)

...
PS
Es wäre sehr nett, wenn die gewonnenen Erkenntnisse hier reingestellt werden. So lernen wir auch noch was neues für den Fall Liveconfig, und es hilft auch bei den weiteren Erklärungen. Nochmal als Erinnerung: Der unlesbare innere Teil der Zertifikats-Sektionen ist geheim (speziell der PrivateKey), das natürlich nicht posten.


----------

