Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: dovecot_sicherheit
tachtler:dovecot_sicherheit

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Dovecot Sicherheit

Diese Dokumentation ist nach dem Kurs: Dovecot bei www.heinlein-support.de - Peer Heinlein entstanden. Hier noch einmal meinen Dank für die Informationen und das ☛ Buch: Dovecot

:!: HINWEIS - Die Nachfolgende Konfiguration von Dovecot setzt eine lauffähige Installation von Dovecot voraus, wie unter nachfolgendem internen Link beschrieben !!!

Dovecot ist ein Open-Source-IMAP-und POP3-E-Mail-Server für Linux bzw. UNIX-ähnlichen Systeme, entwickelt mit dem Hauptaugenmerk auf Sicherheit. Dovecot ist eine ausgezeichnete Wahl für kleine und große Installationen. Dovecot ist schnell und einfach zu installieren, erfordert keine besonderen Voraussetzungen und ist Ressourcenschonend.

Dovecot wird von Timo Sirainen entwickelt.

Beschreibung Externer Link
Homepage http://dovecot.org
Dokumentation http://dovecot.org/documentation.html
Wiki Dovecot2 http://wiki2.dovecot.org/

Ab hier werden root-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um root zu werden geben Sie bitte folgenden Befehl ein: 

$ su -
Password:

Flooding

/etc/dovecot/conf.d/20-imap.conf

Um eine gewisse Absicherung gegen Benutzer (Clients) zu erreichen, welche über eine IP-Adresse versuchen den Dovecot-Server mit zu vielen Anfragen zu überfluten, kann in der Konfigurationsdatei

  • /etc/dovecot/conf.d/20-imap.conf

nachfolgender Wert

  • mail_max_userip_connections

verändert werden. (Nur relevanter Ausschnitt) 

...
protocol imap {
  # Space separated list of plugins to load (default is global mail_plugins).
  # Tachtler
  # default: #mail_plugins = $mail_plugins
  mail_plugins = $mail_plugins imap_quota imap_acl imap_zlib
 
  # Maximum number of IMAP connections allowed for a user from each IP address.
  # NOTE: The username is compared case-sensitively.
  #mail_max_userip_connections = 10
}
...

:!: HINWEIS - Probleme können hier entstehen, wenn viel Benutzer über eine NAT-IP-Adresse surfen, oder ein Webmailer von vielen Benutzern gleichzeitig genutzt wird!

/etc/dovecot/conf.d/20-managesieve.conf

Gleiches gilt auch für die Konfigurationsdatei

  • /etc/dovecot/conf.d/20-managesieve.conf

wie nachfolgende Darstellung zeigt. (Nur relevanter Ausschnitt) 

...
protocol sieve {
  # Maximum ManageSieve command line length in bytes. ManageSieve usually does
  # not involve overly long command lines, so this setting will not normally
  # need adjustment
  #managesieve_max_line_length = 65536
 
  # Maximum number of ManageSieve connections allowed for a user from each IP
  # address.
  # NOTE: The username is compared case-sensitively.
  #mail_max_userip_connections = 10
 
  # Space separated list of plugins to load (none known to be useful so far).
  # Do NOT try to load IMAP plugins here.
  #mail_plugins =
 
  # MANAGESIEVE logout format string:
  #  %i - total number of bytes read from client
  #  %o - total number of bytes sent to client
  #managesieve_logout_format = bytes=%i/%o
 
  # To fool ManageSieve clients that are focused on CMU's timesieved you can
  # specify the IMPLEMENTATION capability that Dovecot reports to clients.
  # For example: 'Cyrus timsieved v2.2.13'
  #managesieve_implementation_string = Dovecot Pigeonhole
 
  # Explicitly specify the SIEVE and NOTIFY capability reported by the server
  # before login. If left unassigned these will be reported dynamically
  # according to what the Sieve interpreter supports by default (after login
  # this may differ depending on the user).
  #managesieve_sieve_capability =
  #managesieve_notify_capability =
 
  # The maximum number of compile errors that are returned to the client upon
  # script upload or script verification.
  #managesieve_max_compile_errors = 5
 
  # Refer to 90-sieve.conf for script quota configuration and configuration of
  # Sieve execution limits.
}
...

SSL-Sicherheit

Dovecot stellt das normale DHE-Verfahren bereits ab Version 2.1.x und das wesentlich bessere und performantere ECDHE-Verfahren ab 2.2.x zur Verfügung um Diffie-Hellman-Schlüssel zu erzeugen.

Die Diffie-Hellman-Parameter werden beim ersten Start des Dovecot-Daemon erzeugt und in der Datei

  • /var/lib/dovecot/ssl-parameters.dat

abgelegt.

:!: HINWEIS - Ab Dovecot-Version 2.2.7 wir der Schlüssel NICHT mehr einmal in der Woche neu erzeugt!

Um trotzdem eine Neuerzeugung im laufenden Betrieb durchführen zu können, gibt es unter nachfolgendem externen Link Hintergründe und die Lösung zu diesem Problem, basieren auf den Hinweisen von Andreas Schulze, der hier ausdrücklicher erwähnt werden soll und dem dafür die Anerkennung und der Dank gebührt!

Dazu sind nachfolgende Schritte erforderlich:

  1. Die Erzeugung einer Konfigurationsdatei für die DH-Parameter-Datei
  2. Die Erzeugung der DH-Parameter-Datei mit Hilfe des Programms /usr/libexec/dovecot/ssl-params
    1. unter der Angabe, welche Parameter-Länge ssl_dh_parameters_length verwendet werden soll und
    2. in welchem Verzeichnis die Parameter-Datei state_dir temporär gespeichert werden soll
  3. Anschließend wir die so erzeugte Parameter-Datei gegen die standardmäßige Konfigurationsdatei von Dovecot - /var/lib/dovecot/ssl-parameters.dat ersetzt
  4. Abschließend muss dann noch das erneute einlesen der neuen Konfigurationsdatei/var/lib/dovecot/ssl-parameters.dat durch Dovecot erfolgen
Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information
tachtler/dovecot_sicherheit.1436595377.txt.gz · Zuletzt geändert: 2015/07/11 08:16 von klaus