Ich verwende email nur ueber imaps bzw. smtps. Das bietet eine verschluesselte Kommunikation und in meiner 1und1 Hardwarefirewall sind alle anderen email ports (25,110,143) gesperrt. Das haelt das log sauber, da keine Moeglichkeit besteht ueber die anderen Email Ports ueberhaupt eine Kommunikation zu initialisieren. Allerdings ist das von Plesk bei der Installation erzeugt Zertifikat mit “localhost” als Servername angelegt worden. Das fuehrt zu nervigen Fehlermeldungen, da Mailservername und Zertifikatshost nicht uebereinstimmen.
Deshalb habe ich das Zertifikat mit dem richtigen Mailservernamen neu angelegt. Die Vorgehensweise will ich kurz beschreiben.
Zuerst werden die unter /etc/courier-imap zu findendenKonfigurationsdateien imapd.cnf und pop3d.cnf mit
cp /etc/courier-imap/imapd.cnf /etc/courier-imap/imapd.cnf.old
bzw.
cp /etc/courier-imap/pop3d.cnf /etc/courier-imap/pop3d.cnf.old
gesichert.
Danach sichern wir die “alten” Zertifikate mit
mv /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.old
bzw.
mv /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.old
Die Dateien /etc/courier-imap/imapd.cnf bzw. /etc/courier-imap/pop3d.cnf werden dann mit dem Lieblingseditor auf die richtigen Werte gebracht. Als paranoider Admin vewrende ich uebrigens einen 4096 bit langen Schluessel ;-).
Sind die Dateien angepasst bzw. sicher weggelegt, erzeugen wir neue Zertifikate mit:
mkimapdcert bzw. mkpop3dcert
Jetzt noch ein Neustart des courier-imapd mit: /etc/init.d/courier-imap stop und /etc/init.d/courier-imap start und nach der einmaligen Annahme des selbst signierten Zertifikats kommt keine Fehlermeldung mehr.
Die Anleitung funktioniert auf jedem Server, der die Kombination qmail und courier imapd bietet.
[Update]
Ich habe in der Anleitung den Schluessel fuer den smtps Dienst vergessen. Dank an meinen Anwalt, der mich darauf aufmerksam gemacht hat.
Mit cd /var/spool/qmail/control wechseln wir in das Verzeichnis in dem der Schluessel liegt. Mit mv ./servercert.pem ./servercert.pem.old legt man eine Sicherungskopie des alten Schluessels an. Dann wird mit openssl req -newkey rsa:4096 -x509 -nodes -days 3650 -out servercert.pem -keyout servercert.pem der neue Schluessel angelegt. Wichtig ist dabei das bei der Frage nach dem Common Name (eg, YOUR name) []: Der Fully Qualified Domain Name (FQDN) angegeben wird, denn danach wird der Server identifiziert.
Ein /etc/init.d/qmail stop/start startet den qmail Dienst neu und auch beim smtps Dienst gibt es keine Zertifikats Fehler mehr.
Leave a Reply