Re: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients
Werner Flamme
w.flamme at web.de
Mo Jan 25 13:53:07 CET 2016
Andreas Günther schrieb am 25.01.2016 um 09:31:
> Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme:
>> Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers
>> vorgeschrieben werden?
>>
>> Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und
>> es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE
>> kann. Clients, die ECDHE können, werden auch so bedient, andere Clients
>> nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des
>> Beitrags...
>
> Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht immer
> auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein K at Mail Pro
> unter Android 4.3 mit dem Mail-Server zu verbinden.
K at Mail Pro kenne ich nicht, ich benutze K-9 Mail. Damit funktioniert es
mit den von Dir angegebenen Einstellungen (wobei es hier "Passwort,
normal" statt PLAIN oder LOGIN heißt).
> Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort
> mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname und
> Passwort mit meinem Mailclient Kmail funktionieren.
>
> Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen auf
> Android 4.3.
> Hier stelle ich ein
> Sicherheitstyp: STARTTLS(immer)
> Authentifizierungsmethode: PLAIN
> Port: 587
> bzw. Empfang
> Sicherheitstyp: SSL/TLS(immer)
> Authentifizierungsmethode: PLAIN
Gibst Du hier auch Port 993 an? Aber eine Verbindung zum Server scheint
ja zu Stande zu kommen, der Fehlermeldung nach zu urteilen...
> Meldung von K at Mail Pro:
> "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error
> authentication failed: UGFzc3dvcmQ6)"
>
> /var/log/mail.log
> Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]
> Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection established
> from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2 with cipher DHE-
> RSA-AES256-SHA (256/256 bits)
Da hier eine DHE-Cipher benutzt wird, kann es daran ja nicht liegen.
> Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed:
> Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
>
> Wobei sich
> echo "UGFzc3dvcmQ6" | base64 -d
> zu 'Password:' decodiert.
>
> Und analog beim Empfang die Logfiles:
>
> /var/log/dovecot/dovecot-debug.log
> 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation
> finished successfully [92.131.132.114]
> 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL
> negotiation finished successfully [92.131.132.114]
Also hat die SSL-verschlüsselte Kontaktaufnahme schon mal geklappt.
> 2016-01-25 09:04:01 auth-worker(10762): Debug:
> sql(andreas at example.com,92.131.132.114): query: SELECT password FROM mailbox
> WHERE username = 'andreas at example.com'
> 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL 1
> user=andreas at example.com
Tja, hier scheint ein Problem zu sein...
> /var/log/dovecot/dovecot-info.log
> 2016-01-25 09:04:01 auth-worker(10762): Info:
> sql(andreas at example.com,92.131.132.114): unknown user
...der User wird nicht in der Datenbank gefunden.
> 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1 attempts in
> 2 secs): user=<andreas at example.com>, method=PLAIN, rip=92.131.132.114,
> lip=192.168.1.2, TLS, TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Hohe Verschlüsselung mit ECDHE
> Meldung von K at Mail Pro:
> "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response: #1[NO,
> [AUTHENTICATIONFAILED], Authentication failed:])"
Passt genau zu den Logauszügen.
> Wie gesagt, vielleicht mache auch ich etwas falsch. Jedenfalls bin ich davon
> ausgegangen, dass Android 4.3 das Verfahren noch nicht beherrscht.
Irnkwie wird Dein User nicht im Datenbestand gefunden. Immerhin erhältst
Du die Info, dass die Verschlüsselung mit "TLSv1.2 with cipher
ECDHE-RSA-AES256-SHA" stattfindet, das ist doch ganz gut :)
Ich würde mir die Datei /etc/dovecot/dovecot-mysql.conf mal ansehen, da
scheint ein Problem zu sein. Ggf. bindet die ja noch mehr ein.
Gruß
Werner
Mehr Informationen über die Mailingliste Postfixbuch-users