Plesk Mailserver MailEnable Standard: IMAPS mit dem Open Source Tool STunnel

Bei der Verwendung von IMAPS werden Mails über eine mit SSL gesicherte Verbindung übertragen. Diese Verschlüsselungsform wird normalerweise nicht von der kostenlosen MailEnable Standrad Version unterstützt, lässt sich aber leicht nachrüsten.

Die Verbindung kann aber dennoch verschlüsselt erfolgen. Ein unter der GPL Lizenz laufendes Projekt namens Stunnel hilft einen verschlüsselten Tunnel zum Server aufzubauen und dadurch eine Verbindung mit dem MailEnable herzustellen.

Nach dem Aufbau der Verbindung wird transparent das IMAP Version 4 Protokoll verwendet.

Heruntergeladen werden kann die Software von der Projekthomepage https://www.stunnel.org. Das Installationsprogramm führt durch eine einfache Grundeinrichtung, die aber nachträglich über die Konfigurationsdatei geändert werden kann.

stunnel

Server Konfiguration

In der Standradkonfiguration kann STunnel bereits direkt nach der Installation genutzt werden. Das Setup legt auch die entsprechenden Firewallregeln an. Diese sollten aber deaktiviert und durch restriktivere Regeln ersetzt werden.

Die STunnel Installation wird über die Datei stunnel.conf gesteuert. Damit die Verbindung zum E-Mailclient reibungslos funktioniert, sollte noch das Mailserver Zertifikat auf den Server kopiert werden. Im einfachsten Fall stellt der Provider eine .pem Datei zur Verfügung, diese beinhaltet den Schlüssel und das Zertifikat. In der stunnel.conf Datei muss noch der Name der Zertifikatsdatei eingetragen werden.

E-Mailclient Konfiguration

Im E-Mailclient muss dann für den Posteingangsserver SSL/ TLS Port 993 und Verschlüsseltes Passwort senden aktiviert werden und für den Postausgangsserver SMTP Server SSMTP Port 465 SSL/TLS keine Authentifizierung konfiguriert werden.

Sobald alle E-Mailclients umgestellt wurde, kann der Port für die unverschlüsselte IMAP Kommunikation in der Firewall wieder blockiert werden.

2 Gedanken zu „Plesk Mailserver MailEnable Standard: IMAPS mit dem Open Source Tool STunnel

  1. Sven

    Hallo Tobias,

    der Artikel war sehr hilfreich auch wenn man in der aktuellen stunnel Version (5.0.1) noch einige Einstellungen in der conf auskommentieren muss, wenn man es „out-of-the-box“ auf einem Host Europe Root Server nutzen will.

    Ich habe mit die RFC zu SSMTP quergelesen und verstehe dennoch nicht, wieso man die Authentifizierung gegenüber SMTP deaktivieren kann nach der Installation von stunnel. Liegt es daran, dass nur Clients akzeptiert werden, die mit E-Mail Adressen senden, deren das SSL Zeritfikat entspricht?

    Dann habe ich noch ein Problem, dass ich nur SSL in Outlook 2010 auswählen kann, nicht jedoch TLS. Muss dieses „neue“ Protokoll in stunnel erst noch aktiviert werden?

    Danke für die Antworten im Voraus!
    Beste Grüße
    Svenson

    1. tschneider Beitragsautor

      Hallo Svenson,
      schön dass dir der Artikel geholfen hat. Die neuste Version konnte ich bisher aus Zeitgründen noch nicht testen.
      Generell wird der Mailserver nichts von der Verschlüsselung mitbekommen, da die Authentifizierung nur für den Tunnel erfolgt und für den Mailserver komplett transparent durchgeführt wird.
      Demzufolge müsste die Authentifizierung hier auch durch den STunnel erfolgen. Eine tiefere Konfiguration sollte mit den Parametern protocolPassword = PASSWORD und protocolUsername = USERNAME möglich sein. Allerdings kann ich das aktuell nicht testen.

      Warum über Outlook nur SSL und nicht TLS ausgewählt werden kann, hab ich noch nicht raus bekommen, obwohl über das Debuglog folgendes ersichtlich ist „accepted: new session negotiated
      Negotiated TLSv1/SSLv3 ciphersuite: AES128-SHA (128-bit encryption)“.

Kommentare sind geschlossen.