AUTH-Probleme, SSL/TLS

toml toml at thlu.de
Mo Jun 27 15:49:46 CEST 2022 

Hallo @ all

Einerseits angeregt durch den Thread vom 20.6. (Mailabruf mit 
STARTTLS...) und weiterhin durch den bei mir folgenden unregelmäßig 
auftretenden Fehler-Popup-Dialog im Thunderbird (das passiert bei allen 
Ordnern):

Thunderbird
     Der aktuelle Vorgang in "Papierkorb"
     ist fehlgeschlagen. Der Server des
     Kontos "thomas"
     antwortet: error (POP error (b'-ERR
     [AUTH] Username and password not
     accepted."))

habe ich mir mal meine Dovecot-Server-Logs angesehen. Auf echte 
protokollierte Server-Fehler (-p err) achte ich schon, aber wenn da nix 
ist, betrachte ich das eigentlich auch als erledigt. Und genau deswegen 
ist mir vermutlich seit dem Wechsel auf Debian 11 vor einigen Monaten 
der folgende laufende Hinweis entgangen:

Jun 24 20:20:43 server dovecot[53525]: imap-login: Disconnected (no auth 
attempts in 0 secs): user=<>, rip=*.*.*.*, lip=*.*.*.*, TLS handshaking: 
SSL_accept() failed: error:14094418:SSL routines:ssl3_read_bytes:tlsv1 
alert unknown ca: SSL alert number 48, session=<STLdoDXiyqMKCgEU>

Mein erster Gedanke war, die Certs sind noch von Jessie und somit alle 
uralt, ich mach die mal neu und stell dann auch mit einer eigenen CA von 
STARTTLS auf SSL/TLS um.

Jetzt habe ich neuerdings folgende Situation: Die Dovecot-Fehlermeldung 
im Journal ist behoben, Cert und Key scheint also ok zu sein, ich kann 
auf Port 993 via SSL/TLS vom Client (Debian und Android) zum 
Server-Dovecot (Debian Bullseye) ohne Fehler verbinden.

Aber der Popup-Dialog kommt immer noch unregelmäßig. Zum gleichen 
Zeitpunkt wird auf dem Server nichts geloggt. Hat jemand eine Idee, an 
welcher Stelle ich da noch mal suchen müsste.


Und das zweite Problem ist, ich kann anscheinend nicht via SSL/TLS mit 
Postfix via Dovecot->Auth verbinden, obwohl Postfix ohne Fehler 
gestartet wird und anscheinend auch auf 465 lauscht.

ss -tulpn
Netid State  Recv-Q Send-Q Local Address:Port  Peer Address:PortProcess
tcp   LISTEN 0      100          0.0.0.0:25         0.0.0.0:* 
users:(("master",pid=,fd=13)) ino: sk:2 cgroup:...postfix at -.service
tcp   LISTEN 0      100          0.0.0.0:993        0.0.0.0:* 
users:(("dovecot",pid=,fd=37)) ino: sk:3 cgroup:...dovecot.service
tcp   LISTEN 0      100          0.0.0.0:143        0.0.0.0:* 
users:(("dovecot",pid=,fd=35)) ino: sk:4 cgroup:...dovecot.service
tcp   LISTEN 0      100          0.0.0.0:465        0.0.0.0:* 
users:(("master",pid=,fd=17)) ino: sk:5 cgroup:postfix at -.service
(END)

openssl s_client -showcerts -connect 10.10.1.2:143 -starttls imap       
= Antwort OK!
openssl s_client -showcerts -connect 10.10.1.2:993 -tls1_3              
= Antwort OK!

openssl s_client -showcerts -connect 10.10.1.2:25 -starttls smtp        
= Antwort OK!
openssl s_client -showcerts -connect 10.10.1.2:465 -tls1_3              
= Fehler!
openssl s_client -showcerts -connect 10.10.1.2:465 -starttls smtp       
= Antwort OK!

Sowohl die Versuche mit Thunderbird als auch mit k9mail auf einem 
Android scheitern bei SSL/TLS für Postfix/Port 465, wobei hingegen 
Dovecot/Port993  fehlerfrei funktioniert. Mit der Websuche komme ich 
seit Tagen nicht so recht weiter und wäre deshalb wirklich für Tipps 
dankbar, an denen ich noch "vielleicht lockere Schrauben" finden könnte.

mfg Tom

Mehr Informationen über die Mailingliste Dovecot