Perfect Forward Secrecy (PFS) für die Mehrzahl der Clients

Andreas Günther postfix at linuxmaker.com
Mo Jan 25 14:27:58 CET 2016 

Am Montag, 25. Januar 2016, 13:53:07 schrieb Werner Flamme:
> Andreas Günther schrieb am 25.01.2016 um 09:31:
> > Am Sonntag, 24. Januar 2016, 20:01:12 schrieb Werner Flamme:
> >> Warum? Übersehe ich in dem Beitrag die Stelle, wo die ECDHE-Ciphers
> >> vorgeschrieben werden?
> >> 
> >> Ich setze viele SLES 11 ein, genau nach dem beschriebenen Verfahren, und
> >> es klappt bei denen mit DHE, weil deren altes openssl noch kein ECDHE
> >> kann. Clients, die ECDHE können, werden auch so bedient, andere Clients
> >> nehmen eben schwächere Verschlüsselung. Siehe auch den Schlussabsatz des
> >> Beitrags...
> > 
> > Mich hat einmal das hier "und alte Softwareversionen greifen dabei nicht
> > immer auf DHE-VErfahren zurück" stutzig gemacht und die Unfähigkeit mein
> > K at Mail Pro unter Android 4.3 mit dem Mail-Server zu verbinden.
> 
> K at Mail Pro kenne ich nicht, ich benutze K-9 Mail. Damit funktioniert es
> mit den von Dir angegebenen Einstellungen (wobei es hier "Passwort,
> normal" statt PLAIN oder LOGIN heißt).
> 
> > Ich habe das bis jetzt mehrmals ausprobiert und bei dem Namen und Passwort
> > mache ich sicherlich nicht mehrmals die gleichen Fehler, zumal Loginname
> > und Passwort mit meinem Mailclient Kmail funktionieren.
> > 
> > Vielleicht klärt sich das auf und ich mache etwas falsch beim Einstellen
> > auf Android 4.3.
> > Hier stelle ich ein
> > Sicherheitstyp: STARTTLS(immer)
> > Authentifizierungsmethode: PLAIN
> > Port: 587
> > bzw. Empfang
> > Sicherheitstyp: SSL/TLS(immer)
> > Authentifizierungsmethode: PLAIN
> 
> Gibst Du hier auch Port 993 an? Aber eine Verbindung zum Server scheint
> ja zu Stande zu kommen, der Fehlermeldung  nach zu urteilen...
> 
> > Meldung von K at Mail Pro:
> > "Verbindung zumServer nicht möglich. (Negative SMTP reply: 535 5.7.8 Error
> > authentication failed: UGFzc3dvcmQ6)"
> > 
> > /var/log/mail.log
> > Jan 25 08:56:29 mail postfix/smtpd[10707]: connect from p5DE789E0.dip0.t-
> > ipconnect.de[92.131.132.114]
> > Jan 25 08:56:30 mail postfix/smtpd[10707]: Anonymous TLS connection
> > established from p5de789e0.dip0.t-ipconnect.de[92.131.132.114]: TLSv1.2
> > with cipher DHE- RSA-AES256-SHA (256/256 bits)
> 
> Da hier eine DHE-Cipher benutzt wird, kann es daran ja nicht liegen.
> 
> > Jan 25 08:56:32 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> > ipconnect.de[92.131.132.114]: SASL PLAIN authentication failed:
> > Jan 25 08:56:38 mail postfix/smtpd[10707]: warning: p5DE789E0.dip0.t-
> > ipconnect.de[92.131.132.114]: SASL LOGIN authentication failed:
> > UGFzc3dvcmQ6
> > 
> > Wobei sich
> > echo "UGFzc3dvcmQ6" | base64 -d
> > zu 'Password:' decodiert.
> > 
> > Und analog beim Empfang die Logfiles:
> > 
> > /var/log/dovecot/dovecot-debug.log
> > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x20, ret=1: SSL
> > negotiation finished successfully [92.131.132.114]
> > 2016-01-25 09:04:01 imap-login: Debug: SSL: where=0x2002, ret=1: SSL
> > negotiation finished successfully [92.131.132.114]
> 
> Also hat die SSL-verschlüsselte Kontaktaufnahme schon mal geklappt.
> 
> > 2016-01-25 09:04:01 auth-worker(10762): Debug:
> > sql(andreas at example.com,92.131.132.114): query: SELECT password FROM
> > mailbox WHERE username = 'andreas at example.com'
> > 2016-01-25 09:04:03 auth: Debug: client passdb out: FAIL        1
> > user=andreas at example.com
> 
> Tja, hier scheint ein Problem zu sein...
> 
> >  /var/log/dovecot/dovecot-info.log
> > 
> > 2016-01-25 09:04:01 auth-worker(10762): Info:
> > sql(andreas at example.com,92.131.132.114): unknown user
> 
> ...der User wird nicht in der Datenbank gefunden.
> 
> > 2016-01-25 09:04:03 imap-login: Info: Disconnected (auth failed, 1
> > attempts in 2 secs): user=<andreas at example.com>, method=PLAIN,
> > rip=92.131.132.114, lip=192.168.1.2, TLS, TLSv1.2 with cipher
> > ECDHE-RSA-AES256-SHA (256/256 bits)
> Hohe Verschlüsselung mit ECDHE
> 
> > Meldung von K at Mail Pro:
> > "Benutzername oder Kennwort fehlerhaft. (Command: *sensitive*;response:
> > #1[NO, [AUTHENTICATIONFAILED], Authentication failed:])"
> 
> Passt genau zu den Logauszügen.
> 
> > Wie gesagt, vielleicht mache auch ich etwas falsch. Jedenfalls bin ich
> > davon ausgegangen, dass Android 4.3 das Verfahren noch nicht beherrscht.
> Irnkwie wird Dein User nicht im Datenbestand gefunden. Immerhin erhältst
> Du die Info, dass die Verschlüsselung mit "TLSv1.2 with cipher
> ECDHE-RSA-AES256-SHA" stattfindet, das ist doch ganz gut :)
> 
> Ich würde mir die Datei /etc/dovecot/dovecot-mysql.conf mal ansehen, da
> scheint ein Problem zu sein. Ggf. bindet die ja noch mehr ein.
> 
> Gruß
> Werner

Hallo Werner,

das was Du mir kommentierst, ist mir durchaus plausibel. Deswegen verstehe ich 
das ganze Procedere nicht.
Und glaube mir, ich wirklich intelligent genug, nur die Anmeldedaten zu 
verwenden, die ich auch selber in meiner Datenbank eingepflegt habe.

Ich habe allerdings die Radikallösung gewählt und auf  K at Mail den Account 
komplett rausgeschmissen. Mit dem Resultat, dass es jetzt mit exakt denselben 
Daten mit der Anmeldung klappt.

Jedenfalls besten Dank für die Unterstützung,

Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160125/8a70f075/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users