Dovecot - das kann doch unmöglich so einfach sein?
Vom ersten Versuch bis zum funktionierenden IMAP-Server mit lokalen Gemeinheiten habe ich eben dank dovecot eine halbe Stunde gebraucht. Faszinierend.
Seit 2001 setze ich als IMAP- und POP-Server nun schon courier ein, und es gibt kaum eine Software, mit der mich so eine Hassliebe verbindet wie mit courier. Nun ist mit Dovecot ein Server angetreten, der courier ablösen kann und mindestens auf einem System auch bald ablösen wird.
Zuerst fühlt man sich von der über 600 Zeilen langen Configdatei erschlagen, und dann freut man sich darüber, wie ausführlich sie kommentiert ist. Mein Wunsch ist es, den Zusammenhang zwischen Usernamen, Passwort, Systemuser und Maildir-Location weitgehend frei wählen zu können, um auch wildere Setups abbilden zu können. Das geht mit Dovecot ganz einfach, da es direkt gegen eine passwd-like Userdatenbank authentifizieren kann, deren Lage frei konfigurierbar ist. Dabei kann man die Lage des Maildirs entweder als Maske (z.B. %h/.mail für das genannte Directory im Homeverzeichnis des Benutzers) aber auch für jeden Account einzeln vorgeben; die Zuordnung zu dem UNIX-Account, mit dessen Rechten auf das Maildir zugegegriffen werden soll, erfolgt über die numerische UID. Einzige Falle: userdb und passdb müssen beide gesetzt werden, können aber auf dasselbe File verweisen.
Danach tat es auf Anhieb. Die Debian-Package ist gleich so konfiguriert, dass sie Plaintext-Authentifikation nur von localhost zulässt; es wird ein Dummy-Zertifikat mitgeliefert, so dass gleich und automatisch SSL funktioniert. mutt verwendet automatisch SSL, kmail und Thunderbird brauchen Extrakonfiguration.
Ich bin begeistert. Der Backport für sarge ging auch flott von der Hand, so dass q.bofh.de innerhalb der nächsten zehn bis vierzehn Tage einen dovecot bekommt. Dann kann der qpopper hoffentlich endlich abreisen.
In diesem Blogartikel werde ich weiter berichten, was ich in der Doku gefunden habe.
Comments
Display comments as Linear | Threaded
Axel Eble on :
Danke für den Hinweis, da werde ich mich neulich auch mal drangemacht haben wollen. Oder so. Jedenfalls war mir courier immer noch lieber als cyrus, der schon ein eigenes Mailformat mitbringt. Courier setzt wenigstens auf "Standards" wie Maildir. Dummerweise bringt courier auch jede Menge unnützes Zeug mit, das man nicht braucht/will/...
Naja, mal schauen wann ich dovecot mal ausprobiere.
Axel Eble on :
Hmja, ging dann doch schneller als erwartet... Dabei gleich noch dir_index auf das ext3 gepappt und /home auf ein lvm-Volume. Erstaunlich, wie performant sich meine Kiste plötzlich verhält - mal abwarten, ob sich das ändert, wenn sie wieder einige Tage gelaufen ist. Alles in allem scheint dovecot tatsächlich putzig zu sein.
Kev on :
Also du hast das Problem von SSL mit Thunderbird bzw. KMail schon angesprochen, in KMail kann ich auch einfach auswählen, dass er das dummy-Zertifikat akzeptieren soll. Dies geht in Thunderbird nicht so einfach, zumindest finde ich die Option nicht. Stattdessen bringt er eine Fehlermeldung, dass keine verschlüsselte Verbindung aufgebaut werden könne, weil der Server eine ungültige Signatur hätte. Wie bringe ich jetzt Thunderbird am einfachsten das Zertifikat trotzdem zu akzeptieren?
Plavix on :
Hallo Kev,
da gibt es ein Add-On für Thunderbird, kann man installieren und dann ist ruhe - das Din heisst "Remember Mismatches Domains" in der Version 1.4.3 läuft bei mir mit dem neuesten Tunder wunderbar!
Kev on :
Hi Plavix,
vielen Dank für den Tip, sieht praktisch aus. Nur habe ich das Problem, dass nicht angezeigt wird, ob es abgelaufen ist oder sonst, es erscheint nur die Meldung: "Warnung: Es konnte keine verschlüsselte Verbindung aufgebaut werden, weil das von SERVER_IP vorgelegte Zertifikat eine ungültige Signatur hat" Das kann man nur mit OK schließen und sonst passiert nichts - auch nicht mit der Erweiterung.
Mordor on :
Moin, ich habe das gleiche Problem. Habt ihr mittlerweile eine lösung gefunden. Danke
Tino Naphtali on :
Hallo,
auch ich hatte dieses Problem und konnte es einfach lösen, indem ich ein neues Zertifikat erzeugt habe. Dazu einfach:
openssl req -new -x509 -keyout server.key -out server.pem -days 365 -nodes
aufrufen und die dadurch erzeugten Dateien ins Verzeichnis /etc/ssl/dovecot/ kopieren (unter Gentoo Linux) bzw. an entsprechende Stelle (z.B. Debian sollte es /etc/ssl/private (der key) und /etc/ssl/certs (das Zertifikat) sein, wobei dann die Dateien jeweils in dovecot.pem imbenannt werden müssten)
Viele Grüße, Tino
Mathias on :
Oder gleich:
openssl req -new -x509 -keyout /etc/ssl/private/dovecot.pem -out /etc/ssl/certs/dovecot.pem -days 365 -nodes && /etc/init.d/dovecot force-reload
(unter Debian)
Thomas Hühn on :
Ich habe allerdings leider massive Probleme mit SSL.
SOlange man selbstsignierte Zertifikate nimmt, ist alles gut. Solange man "von den Großen" die Zertifikate nimmt, ist alles gut.
Aber eine eigene CA dazwischen hängen, das funktioniert nicht.
Nach ewigem Mailinglistengewühl (OpenSSL-ML vor allem), ist mir noch immer nicht ganz klar, was da passiert, außer daß dovecot bestimmte Zertifikatsvarianten, die OpenSSL aber nunmal generiert, gar nicht mag.