Roundcube и TLS

0

1

Есть во внутренней сети postfix+dovecot с самописным сертификатом.
При попытке прикрутить к нему роундъкьюб, крайний ругается
Казалось бы, всё разжевано, но:

$config['imap_server'] = 'tls://mail.example.com';
$config['imap_port'] = 993;
$config['smtp_server'] = 'tls://mail.example.com';
$config['smtp_port'] = 465;

$config['imap_conn_options'] = array(
  'ssl'         => array(
	 'verify_peer'  => false,
	 'verfify_peer_name' => false,
   ),
);
$config['smtp_conn_options'] = array(
  'ssl'         => array(
	 'verify_peer'  => false,
	 'verfify_peer_name' => false,
   ),
);

ожидаемого результата не приносит, логин валится с таймаутом, без логов, в http502.
Второй вариант с

$config['imap_conn_options'] = array(
  'ssl'         => array(
	 'verify_peer'  => true,
         'verify_depth' => 3,
         'cafile'       => '/etc/ssl/private/server.crt',
   ),
);

тоже не взлетел.
Реквестирую советы, как скормить ему этот самый сертификат.

Ссылка

←	Что можно сказать о провайдере?

Скорость скачивания пакетов Arch.

→

'allow_self_signed' => true

к тем двум первым.

pztrn ★★★★
(01.09.15 19:03:41 MSK)

Ответ на: комментарий от pztrn 01.09.15 19:03:41 MSK

Пробовал, результат тот же.
Практически всё параметры, что даны по линку, я перепробывал вначале в разумных, а потом в почти-случайных комбинациях.

Yustas ★★★★
(01.09.15 19:24:59 MSK) автор топика
Последнее исправление: Yustas 01.09.15 19:25:54 MSK (всего исправлений: 1)

Ссылка

Пехапе случаем не 5.6? Если да, то прошу читать http://stackoverflow.com/questions/26827192/phpmailer-ssl3-get-server-certifi... и http://www.roundcubeforum.net/index.php?topic=22035.0

blind_oracle ★★★★★
(01.09.15 22:33:48 MSK)

Ответ на: комментарий от blind_oracle 01.09.15 22:33:48 MSK

Пересмотрел и перепробывал до того как кастовать ЛОР.
Мож это можно как-то в самом PHP отключить?

Yustas ★★★★
(02.09.15 11:02:29 MSK) автор топика
Последнее исправление: Yustas 02.09.15 11:02:43 MSK (всего исправлений: 1)

Ответ на: комментарий от Yustas 02.09.15 11:02:29 MSK

От эт не знаю, у меня кубик и довкот вместе живут, я без ссл обхожусь :) все советы там перепробовал? Сертификат свой самописный кубику скармливал? Ну или сделай свой ЦС, выпусти сертификат и добавь серт ЦС в доверенные. Дело 3 команд.

blind_oracle ★★★★★
(02.09.15 20:08:17 MSK)

А у тебя точно TLS а не legacy SSL на этих портах? STARTTLS можно и на 143/25 использовать(я так и делаю, небезопасная авторизация(не по TLS) вырублена, порты 993/465 закрыты).

Pinkbyte ★★★★★
(02.09.15 20:15:29 MSK)

Ответ на: комментарий от Pinkbyte 02.09.15 20:15:29 MSK

В конфигах dovecot'a и postfix'a отключен SSLv2 и SSLv3, 143/25 - STARTTLS, 993/465 - TLS

Yustas ★★★★
(03.09.15 08:54:59 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 02.09.15 20:08:17 MSK

у меня кубик и довкот вместе живут

Дык postfix без SSL не даёт авторизацию

все советы там перепробовал?

Вроде, да

Ну или сделай свой ЦС, выпусти сертификат и добавь серт ЦС в доверенные.

Во, попробую, спасибо.

Yustas ★★★★
(03.09.15 08:56:34 MSK) автор топика

Ответ на: комментарий от Yustas 03.09.15 08:56:34 MSK

1. Постфикс можно настроить иначе, у меня пускает ок.

2. Чтобы не оголять жопу в инет можно в мастер.цф сделать прослушку на локалхосте какого-нить порта 2025, где разрешена авторизация без ссл и подключать кубик к нему.

blind_oracle ★★★★★
(03.09.15 09:14:04 MSK)
Последнее исправление: blind_oracle 03.09.15 09:14:24 MSK (всего исправлений: 1)

Ответ на: комментарий от blind_oracle 03.09.15 09:14:04 MSK

1. Постфикс можно настроить иначе, у меня пускает ок.

Тут в соседнем треде выяснили что «современные MTA» не отдают AUTH LOGIN/PLAIN без крипты.

2. Чтобы не оголять жопу в инет

В принципе, это сервантик для внутренней сети, обслуживает только .local домены, пересылка на остальне режется, доступа извне нет даже на кубик
Просто при настройке без TLS мозилла выдала такое страшное предепреждение, что я решил прикрутить сертификат :)
Мне в приницпе интересно, почему оно не взлетело у меня, мож сертификат неправильный или что т.к. с подписанным заработало сразу.

Yustas ★★★★
(03.09.15 09:26:53 MSK) автор топика
Последнее исправление: Yustas 03.09.15 09:28:06 MSK (всего исправлений: 2)

Ответ на: комментарий от Yustas 03.09.15 09:26:53 MSK

Тут в соседнем треде выяснили что «современные MTA» не отдают AUTH LOGIN/PLAIN без крипты.

Нуу:

smtpd_tls_auth_only (default: no)

When TLS encryption is optional in the Postfix SMTP server, do not announce or accept SASL authentication over unencrypted connections.

This feature is available in Postfix 2.2 and later.

Так что, я так понимаю, по дефолту оно как раз разрешено.

blind_oracle ★★★★★
(03.09.15 10:01:10 MSK)

Ответ на: комментарий от blind_oracle 03.09.15 10:01:10 MSK

я так понимаю, по дефолту оно как раз разрешено.

Да, именно так

Pinkbyte ★★★★★
(03.09.15 10:29:16 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 03.09.15 10:01:10 MSK

Да, так и есть, у меня в main.cf было врублено.
Заодно конфиг подчистил xD

Yustas ★★★★
(03.09.15 14:11:15 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Что можно сказать о провайдере?

Admin

Скорость скачивания пакетов Arch.

→

Похожие темы