Kein Login mit Roundcubemail an Dovecot unter Debian/Buster

Markus Winkler ml at irmawi.de
Do Jan 23 21:10:47 CET 2020


Hallo Andreas,

On 23.01.20 19:18, Andreas Günther wrote:
> Ich glaube, das Problem liegt bei
> 
> ssl_dh = </etc/dovecot/dh.pem
> 
> denn
> 
> openssl rsa -noout -text -in dh.pem
> unable to load Private Key
> 140276678587520:error:0909006C:PEM routines:get_name:no start 
> line:../crypto/pem/pem_lib.c:745:Expecting: ANY PRIVATE KEY

nein, liegt es nicht. Denn mit dem o. g. openssl-Befehl kannst Du Dir die 
Eigenschaften eines Private Keys anzeigen lassen. Das File 
/etc/dovecot/dh.pem ist aber kein solcher, sondern beinhaltet 
Diffie-Hellman-Parameter. Darum ist es völlig korrekt, dass diese 
Fehlermeldung ausgegeben wird.

> ssl_key = </etc/ssl/mail/mail.key
> ist ein Link auf den LetsEncrypt-Key.

Dann

a) zeige doch mal bitte ein ls -l auf das originale Let's Encrypt Keyfile

und

b) versuche auch mal

    statt:
    ssl_key = </etc/ssl/mail/mail.key

    den Pfad zum originalen LE-File direkt anzugeben:
    ssl_key = </etc/letsencrypt/live/mx1.example.com/privkey.pem

    einfach, um alle nur denkbaren Ursachen auszuschließen



> Ist jetzt dh.pem komplett unabhängig von dem 
> LetsEncrypt-Schlüssel/Zertifikat, welches für den Mailserver insgesamt gilt?

Ja, ist es. Du _musst_ ja diese Möglichkeit der spezifischen Parameter 
nicht verwenden, sondern _kannst_ Dich mit deren Verwendung insbesondere 
besser gegen Angriffe wie diese schützen:

https://weakdh.org/

Zum Testen kannst Du 'ssl_dh = </etc/dovecot/dh.pem' auch erst mal 
deaktivieren.

Viele Grüße
Markus


Mehr Informationen über die Mailingliste Dovecot