Dovecot и imap starttls

[MorFF]

Не работает starttls через 143 порт, причем ssl через 993 работает. pop работает как через tls так и через ssl. Может кто подскажет вот конфиг:

Код: [Выделить]

# 2.1.7: /etc/dovecot/dovecot.conf
# OS: Linux 3.2.0-4-amd64 x86_64 Debian 7.2 ext4
auth_debug = yes
auth_debug_passwords = yes
auth_mechanisms = plain login
auth_verbose = yes
disable_plaintext_auth = no
info_log_path = /var/log/dovecot
lda_mailbox_autocreate = yes
lda_mailbox_autosubscribe = yes
listen = *
login_greeting = Hello there.
mail_debug = yes
mail_gid = 1000
mail_location = maildir:/home/vmail/%n
mail_uid = 1000
namespace inbox {
  inbox = yes
  location =
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
  prefix =
}
passdb {
  args = /etc/dovecot/ldap/dovecot-ldap.conf.ext
  driver = ldap
}
protocols = " imap pop3"
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = vmail
    mode = 0666
    user = vmail
  }
  unix_listener auth-userdb {
    group = vmail
    mode = 0600
    user = vmail
  }
}
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 110
  }
  inet_listener pop3s {
    port = 995
    ssl = yes
  }
}
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem
ssl_require_crl = no
userdb {
  args = /etc/dovecot/ldap/dovecot-ldap.conf.ext
  driver = ldap
}
verbose_ssl = yes
protocol imap {
  mail_plugins = " autocreate"
}
вот лог:

Код: [Выделить]

Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: unknown state [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read client hello A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server hello A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write certificate A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write key exchange A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server done A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 flush data [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.132.110]
Nov 28 16:18:11 mail dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.132.110]
Nov 28 16:19:51 mail dovecot: imap-login: Warning: SSL failed: where=0x2002: SSLv3 read client certificate A [192.168.132.110]


[Karl500]

ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem

А что это за символы "<" ?

[ArcFi]

MorFF,

Код: [Выделить]

sudo ss -lnpt | grep -E ':143|:993'
sudo iptables-save?

***
Karl500, у меня в дефолтном конфиге аналогичный синтаксис:

Код: [Выделить]

# grep -E '^ssl_(cert|key)' /etc/dovecot/conf.d/10-ssl.conf.bak
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem

# rpm -q dovecot
dovecot-2.2.7-2.fc19.x86_64

[Karl500]

ArcFi,
Гхм... У меня - нет:

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root.
#ssl_cert_file = /etc/ssl/certs/dovecot.pem
#ssl_key_file = /etc/ssl/private/dovecot.pem

# dovecot --version
1.2.9

Судя по dovecot.org, в версии 1.x и 2.x эти строки различаются. Очень странно.

http://wiki2.dovecot.org/SSL/DovecotConfiguration и http://wiki1.dovecot.org/SSL/DovecotConfiguration

[MorFF]

Код: [Выделить]

root@mail:~# ss -lnpt | grep -E ':143|:993'
LISTEN     0      100                       *:143                      *:*      users:(("dovecot",14141,31))
LISTEN     0      100                       *:993                      *:*      users:(("dovecot",14141,32))

sudo iptables-save - пусто

[ArcFi]

MorFF, OK, поехали дальше.
Надо смотреть скрин с настройками клиента.

[MorFF]

Если выберу защита соединения - нет или ssl/tls (993) то все работает

Код: [Выделить]

dovecot --version
2.1.7

ArcFi, а у Вас Starttls работает?

[ArcFi]

MorFF,

Код: [Выделить]

nc localhost 143?

а у Вас Starttls работает?

Честно говоря, не проверял, у меня всё через SSL работает.

[MorFF]

Код: [Выделить]

root@mail:~# nc localhost 143
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN] Hello there.
^C
Я клиенты разные пробовал нигде не работает. Попробуйте startssl такое ощущение что это косяк dovecot. Завтра попробую версию поновей может прокатит.

[Karl500]

А попробуйте вот так:

openssl s_client -starttls imap -crlf -connect 1.2.3.4:143

[MorFF]

Код: [Выделить]

root@mail:~# openssl s_client -starttls imap -crlf -connect localhost:143
CONNECTED(00000003)
depth=0 O = Dovecot mail server, OU = mail.test.ru, CN = mail.test.ru, emailAddress = root@test.ru
verify error:num=18:self signed certificate
verify return:1
depth=0 O = Dovecot mail server, OU = mail.test.ru, CN = mail.test.ru, emailAddress = root@test.ru
verify return:1
---
Certificate chain
 0 s:/O=Dovecot mail server/OU=mail.test.ru/CN=mail.test.ru/emailAddress=root@test.ru
   i:/O=Dovecot mail server/OU=mail.test.ru/CN=mail.test.ru/emailAddress=root@test.ru
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/O=Dovecot mail server/OU=mail.test.ru/CN=mail.test.ru/emailAddress=root@test.ru
issuer=/O=Dovecot mail server/OU=mail.test.ru/CN=mail.test.ru/emailAddress=root@test.ru
---
No client certificate CA names sent
---
SSL handshake has read 2120 bytes and written 544 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : DHE-RSA-AES256-GCM-SHA384
    Session-ID: B94C8BDA5CEE1A065BC32503B2F77836A491EDC58FB46E3DF41797C7C9436FFE
    Session-ID-ctx:
    Master-Key: 0184797562F411A737FE2F07E9B7EC4B2921C1EF71807E4867EDA23985BD493CFC5FDF0B926136675D86A263CD1811A6
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 56 3c 42 94 58 07 d3 0a-96 8d 3e 6a a9 ab 72 1c   V<B.X.....>j..r.
    0010 - 8e b3 c4 9f 24 85 ba c2-7b d4 6a 73 bc bb 0b fd   ....$...{.js....
    0020 - 87 71 4f 7c da a5 44 9b-d1 1f 35 87 1c a3 04 bd   .qO|..D...5.....
    0030 - b9 8c 17 ca 7a fc 4d cd-89 47 33 a6 a6 3c e1 a1   ....z.M..G3..<..
    0040 - 31 8f ff 42 5b a9 81 8b-78 6e 69 4d c4 c2 83 5d   1..B[...xniM...]
    0050 - 07 01 07 f7 0b 44 54 2a-ad bf 17 5a b6 d3 d5 b8   .....DT*...Z....
    0060 - 03 14 6b ce 4d 91 22 9b-f2 6b 95 6f 5d 00 09 c2   ..k.M."..k.o]...
    0070 - 56 11 e6 8d 08 1c c8 46-5c 79 e8 86 9a 6c d7 62   V......F\y...l.b
    0080 - db 6f d6 54 48 5d 7f 9b-e5 97 da 69 81 d6 e4 20   .o.TH].....i...
    0090 - 81 d9 f2 80 b6 39 e7 34-58 96 45 e3 69 29 6d 4e   .....9.4X.E.i)mN

    Compression: 1 (zlib compression)
    Start Time: 1385716720
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
. OK Pre-login capabilities listed, post-login capabilities have more.
^C
root@mail:~#


[Karl500]

Замечательно. Осталось попробовать после этой команды дать следующие (только не нужно постить сюда свой пароль!):

01 login ИМЯ ПАРОЛЬ
02 list "" "*"
03 logout

Если увидите список папок - значит, imap через starttls работает, причем работает правильно, и все вопросы - к Вашему клиенту.

Возможно, что проблема в том, что Вы используете zlib компрессию. Попробуйте отключить - может быть, Ваш клиент этого не понимает?

UPD: В интернете нашел вот что:

And finally, if your IMAP client is able to read compressed mails,
change your protocol imap configuration to something like:

protocol imap {
  mail_plugins = zlib imap_zlib
}

Можно попробовать включить этот плагин (судя по приведенному выше Вашему конфигу, он у Вас не включен).

[MorFF]

Код: [Выделить]

    Verify return code: 18 (self signed certificate)
---
. OK Pre-login capabilities listed, post-login capabilities have more.
1 login ### ####
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS SPECIAL-USE
1 OK Logged in
2 list "" "*"
* LIST (\HasNoChildren \Trash) "." "Trash"
* LIST (\HasNoChildren \Sent) "." "Sent"
* LIST (\HasNoChildren) "." "INBOX"
2 OK List completed.
3 logout
* BYE Logging out
3 OK Logout completed.
closed
Короче говоря dovecot работает правильно, но с thunderbird не работает.
Проблема в том, что необходимо сделать так чтобы пользователь мог настроить свой клиент (thunderbird) в автоматическом режиме, а в автоматическом режиме thunderbird ставит imap starttls по 143 порту.
Подключение плагинов не помогло

[Karl500]

Гхм. У меня тоже thunderbird, и никаких проблем с dovecot (правда, версии 1.x) ни по SSL, ни по STARTTLS. Единственная видимая разница со стороны сервера - у меня нет сжатия zlib.

У Вас максимальное число кешируемых соединений какое в настройках thunderbird? Попробуйте снизить до 1.

UPD: Создал новую учетку, чтобы конфигурация thunderbird "подхватывалась" автоматом. Сработало. Параметры в thunderbird такие же, как у Вас.

Честно говоря, идей нет...

[ArcFi]

MorFF, если что, Thunderbird можно целиком настроить через скрипт. =]