Re: Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients

Werner Flamme w.flamme at web.de
Mo Jan 25 13:53:07 CET 2016 

Andreas Günther schrieb am 25.01.2016 um 09:31:
> Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme:
>> Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers
>> vorgeschrieben werden?
>>
>> Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und
>> es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE
>> kann. Clients, die ECDHE können, werden auch so bedient, andere Clients
>> nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des
>> Beitrags...
> 
> Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht immer 
> auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein K at Mail Pro 
> unter Android 4.3 mit dem Mail-Server zu verbinden.

K at Mail Pro kenne ich nicht, ich benutze K-9 Mail. Damit funktioniert es
mit den von Dir angegebenen Einstellungen (wobei es hier "Passwort,
normal" statt PLAIN oder LOGIN heißt).

> Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort 
> mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname und 
> Passwort mit meinem Mailclient Kmail funktionieren.
> 
> Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen auf 
> Android 4.3.
> Hier stelle ich ein
> Sicherheitstyp: STARTTLS(immer) 
> Authentifizierungsmethode: PLAIN
> Port: 587
> bzw. Empfang
> Sicherheitstyp: SSL/TLS(immer)
> Authentifizierungsmethode: PLAIN

Gibst Du hier auch Port 993 an? Aber eine Verbindung zum Server scheint
ja zu Stande zu kommen, der Fehlermeldung  nach zu urteilen...


> Meldung von K at Mail Pro:
> "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error 
> authentication failed: UGFzc3dvcmQ6)"
> 
> /var/log/mail.log
> Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]
> Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection established 
> from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2 with cipher DHE-
> RSA-AES256-SHA (256/256 bits)

Da hier eine DHE-Cipher benutzt wird, kann es daran ja nicht liegen.

> Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed:
> Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
> 
> Wobei sich 
> echo "UGFzc3dvcmQ6" | base64 -d
> zu 'Password:' decodiert.
> 
> Und analog beim Empfang die Logfiles:
> 
> /var/log/dovecot/dovecot-debug.log
> 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL negotiation 
> finished successfully [92.131.132.114]
> 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL
> negotiation finished successfully [92.131.132.114]

Also hat die SSL-verschlüsselte Kontaktaufnahme schon mal geklappt.

> 2016-01-25 09:04:01 auth-worker(10762): Debug: 
> sql(andreas at example.com,92.131.132.114): query: SELECT password FROM mailbox 
> WHERE username = 'andreas at example.com'
> 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL        1       
> user=andreas at example.com

Tja, hier scheint ein Problem zu sein...

>  /var/log/dovecot/dovecot-info.log
> 2016-01-25 09:04:01 auth-worker(10762): Info: 
> sql(andreas at example.com,92.131.132.114): unknown user

...der User wird nicht in der Datenbank gefunden.

> 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1 attempts in 
> 2 secs): user=<andreas at example.com>, method=PLAIN, rip=92.131.132.114, 
> lip=192.168.1.2, TLS, TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)

Hohe Verschlüsselung mit ECDHE

> Meldung von K at Mail Pro:
> "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response: #1[NO, 
> [AUTHENTICATIONFAILED], Authentication failed:])"

Passt genau zu den Logauszügen.

> Wie gesagt, vielleicht mache auch ich etwas falsch. Jedenfalls bin ich davon 
> ausgegangen, dass Android 4.3 das Verfahren noch nicht beherrscht.

Irnkwie wird Dein User nicht im Datenbestand gefunden. Immerhin erhältst
Du die Info, dass die Verschlüsselung mit "TLSv1.2 with cipher
ECDHE-RSA-AES256-SHA" stattfindet, das ist doch ganz gut :)

Ich würde mir die Datei /etc/dovecot/dovecot-mysql.conf mal ansehen, da
scheint ein Problem zu sein. Ggf. bindet die ja noch mehr ein.

Gruß
Werner

Mehr Informationen über die Mailingliste Postfixbuch-users