sslug-teknik team mailing list archive

Thread
Date
Re.: Re: Re.: Re: courier-imap-ssl - falsk x509 certifikat giver klage framail-klienter.. :-(

To: sslug-teknik@xxxxxxxx
From: "Klavs Klavsen" <ktk@xxxxxxxxxxx>
Date: Thu, 10 May 2001 08:49:13 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Hej Mogens (og alle andre på Sslug-teknik),

Som du vistnok har fundet ud af Off-list, så har jeg besluttet mig for at
droppe Outlook..
- ikke fordi jeg ikke kan få det til at virke (for man kan hvad man vil)
men fordi Outlokk alligevel er et stort sikkerhedshul..
  og det ville ikke være så fedt hvis den sikkerhedsansvarlige fik bragt en
virus eller værre ind i firmaet vha. sin Outlook (Outlook er nemlig forbudt
her :-)
Derfor bruger Jeg Netscape som første gang jeg tilgik min kære
courier-imap-ssl (som iøvrigt er installeret vha. .rpm genereret fra tar.tz
filen), spurgte
om jeg ville godkende certifikatet og hvorlænge det skulle gælde. dejligt
og nemt.. noget kan Netscape Messenger da finde ud af..

Jeg står nu kun tilbage med et problem/irritation..

Netscape mail åbner flere samtidige forbindelser til min imap-ssl server..
og hvis jeg ikke tillader det, så siger den at serveren ikke svarer..
istedet for at bruge den eksisterende forbindelse.. øv..

Det kører ok, med 2 forbindelser åbne.. (dvs. nogen gange gør den det
alligevel og så skal jeg vente lidt) men det er sku irreterende at jeg ikke
kan nøjes med en..
især da jeg skal spare ram, da jeg også kører 2x apache (ssl + php), mysql
og postfix på 64mb ram på en bærbar :-)

-------------| This mail has been sent to you by: |------------
Klavs Klavsen, IT-coordinator and Systems Administrator at
Metropol Online - http://www.metropol.dk
Tlf. 33752700, Fax 33752720, Email ktk@xxxxxxxxxxx

Private-  Email klavs@xxxxxxxxxxx - http://www.vsen.dk

--------------------[ I believe that... ]-----------------------
It is a myth that people resist change. People resist what other
people make them do, not what they themselves choose to do...
That's why companies that innovate successfully year after year
seek their peopl's ideas, let them initiate new projects and
encourage more experiments.            -- Rosabeth Moss Kanter


Klavs Klavsen wrote:
> Hvordan får jeg f.ex. en outlook til at importere min servers certifikat,
> så den ikke klager mere - jeg har ikke kunne finde noget..? lige nu
> klager den hver gang jeg tilgår min courier-imap server :-(

Lyder underligt. Nu husker jeg ikke om du har beskrevet hvordan du har
sat courier-imap op mht. om det er fra rmp eller en tarball, og i givet
fald hvad du har gjort med configure.
Jeg gjorde _ikke_ som anbefalet i INSTALL. Jeg chown'ede det hele til
root.root, bortset fra filen 'sysconftool', som oprindelig var bin.bin .
Hmm, du bruger vist option --enable-workarounds-for-imap-client-bugs,
som jeg ikke har fundet det nødvendigt at bruge; er måske nødvendig til
ældre NS'er og måske andre non-rfc-compliant MUA'er, hvad ved jeg :o:

Ellers forstår jeg ikke umiddelbart hvorfor du har problemer.
Lige nu har jeg for sjov skyld OE5 åbent på W98 og W2K, samt NS4.77 på
samme to OS'er og NS4.77 på Linux, alle på samme mailbox, no problemaz.

Mine OE5 settings:
Tools->Accounts->Mail->Properties->General:
  [V] Include this account when receiving mail or syncronizing
Tools->Accounts->Mail->Properties->:
  [ ] Log on using Secure Password Authentication
Tools->Accounts->Mail->Properties->Advanced:
  Incoming mail (IMAP): 993
  [V] This server requires a secure connection (SSL)
Tools->Accounts->Mail->Properties->IMAP:
  Root folder path: INBOX.    Bemærk '.' efter INBOX, det er vigtigt.

Lad være med at prøve Secure Password Authentication (SPA); det er SVJV
kun til noget M$-specifikt MSN auth. Som læst på en mailliste:
> It's the source of much wailing and gnashing of teeth amongst MSN
> members...;-)

Mht certifikater under OE 'glemte' jeg at dokumentere undervejs, her er
dog et par Ting&Sager:
Tools->Options->Security->Digital IDs..->Advanced:
  [V] Server Authentication
Her er det faktisk kun Client og Mail der ikke er hakket af.
Ved ikke om Mail bør være hakket af her; prøvede lige, no change,
AFAICS.

Kan ikke huske om jeg importerede noget certifikat ved opsætningen af
OE, mener jeg gjorde noget, men her bliver det jo lidt pinligt 8-(, især
fordi jeg _har_ sat OE5 op på begge testmaskiner.
Hvis du selv finder ud af det, så gi' mig lige et hint, ikk'?
Ellers har min kæreste sin bærbare med hjem; måske kan jeg få lov der...


Selve certifikatet genererede jeg med det til courier-imap medfølgende
mkimapdcert script (skulle måske have være advokat med det sprog :o:).
Har du sat /etc/imapd.cnf korrekt op?
Hvad med perms til selve certifikatet (.pem)? Skal være 600.

Geez, der er meget at checke for courier-imap...
--
Regards,
          Mr Dev - Mogens Valentin
 http://www.danbbs.dk/~monz - monz@xxxxxxxxx
OpenSource Networking - Security - Programming
       Coming up soon: www.mrdev.com