Normalerweise verwendet der Courier-Server für seine SSL-verschlüsselten Verbindungen (pop3-ssl und imap-ssl) selbstsignierte Zertifikate. Will man eigene offizielle Zertifikate verwenden, so müssen das Zertifikat und der private Schlüssel in einer Datei vorliegen.
Privater Schlüssel: /etc/ssl/example.com.key
Zertifikat: /etc/ssl/example.com.crt

cat /etc/ssl/example.com.key /etc/ssl/example.com.crt >> /etc/courier/imapd.pem

Ein zweiter Schritt ist ein starker DH-Schlüssel. Ich habe einen mit 4096 bits erstellt:

openssl dhparam -out /etc/courier/dhparams.pem 4096

Hintergrund für den starken Schlüssel: defaultmäßig wird ein DH-Schlüssel mit 768 bit ausgestellt. Dieser wird für z.B. von Thunderbird als (zu Recht) zu schwach empfunden und die Verbindung zum Courier-Server nicht aufgebaut.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Installation des Courier-Servers unter Debian

apt-get install courier-imap-ssl courier-pop-ssl
Dies installiert alle Courier-Mail-Server, also auch die Versionen ohne SSL und damit TLS.
Danach sollte noch die Maildir-Verzeichnisse für die Benutzer erzeugt werden (Quelle: Ubuntu Wiki). Als User im eigenen Homeverzeichnis folgende Kommandos eingeben:
maildirmake Maildir
maildirmake Maildir/.Drafts
maildirmake Maildir/.Sent
maildirmake Maildir/.Trash
maildirmake Maildir/.Templates
chmod -R 700 Maildir/

Für zukünftige Benutzer kann man gleich vorsorgen:
sudo maildirmake /etc/skel/Maildir
sudo maildirmake /etc/skel/Maildir/.Drafts
sudo maildirmake /etc/skel/Maildir/.Sent
sudo maildirmake /etc/skel/Maildir/.Trash
sudo maildirmake /etc/skel/Maildir/.Templates

Es werden auch gleich die Zertifikate erzeugt, allerdings mit den vorkonfigurierten Einstellungen, was nicht so gut ist. Man sollte daher die Konfigurationsdateien /etc/courier/imapd.cnf und /etc/courier/pop3d.cnf daher entsprechend anpassen und die Zertifikate neu erzeugen.

Zertifikate für den Courier-Server

Quelle: Courier IMAP / POP3 Zertifikat erstellen

IMAP

rm /usr/lib/courier/imapd.pem
mkimapdcert
mv /etc/courier/imapd.pem /etc/courier/imapd.pem.alt
mv /usr/lib/courier/imapd.pem /etc/courier/imapd.pem
ln -s /etc/courier/imapd.pem /usr/lib/courier/imapd.pem
/etc/init.d/courier-imap-ssl restart

POP3

rm /usr/lib/courier/pop3d.pem
mkpop3dcert
mv /etc/courier/pop3d.pem /etc/courier/pop3d.pem.alt
mv /usr/lib/courier/pop3d.pem /etc/courier/pop3d.pem
ln -s /etc/courier/pop3d.pem /usr/lib/courier/pop3d.pem
/etc/init.d/courier-pop-ssl restart

Mögliche Zusatzinstallation für den Courier-Server

Verbindet man sich jetzt mit dem IMAP-Server, dann kommt möglicherweise noch folgende Fehlermeldung:
>08.03.2014, 17:34:01: IMAP - Filesystem notification initialization error -- contact your mail administrator (check for configuration errors with the FAM/Gamin library)
Mittels
apt-get install fam
wird fam installiert, danach die Courier-Server neu starten:
invoke-rc.d courier-imaprestart
invoke-rc.d courier-imap-ssl restart
invoke-rc.d courier-pop-ssl restart
invoke-rc.d courier-pop restart

TheBat! und Courier-Zertifikate

TheBat! ist ein E-Mail Programm unter Microsoft Windows.
Folgende Fehlermeldung erhält man im TheBat! wegen der Zertifikate:
!08.03.2014, 17:23:34: IMAP - TLS-Handshakefehler. Ungültiges Server-Zertifikat. Das Zertifikat oder die Zertifikatskette stammt aus einer nicht vertrauenswürdigen Quelle.
Um dies zu beheben, muss man das erzeugte Zertifikat als vertrauenswürdiges Root-Zertifikat importieren. Aus der Datei vim /etc/courier/imapd.pem den Teil
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

kopieren und in eine Textdatei einfügen. Textdatei abspeichern. Das Zertifikat aus dieser Datei dann als vertrauenswürdiges Rootzertifikat in den Windows Zertifikatsspeicher importieren.

Facebooktwittergoogle_plusredditpinterestlinkedinmail