Hallo roka,
wenn es nur um Schritt 2 geht (Abholen externer Mails per SSL), muss man von xenos Anleitung, Schritt 1, nur die Punkte 1 bis 3 durchführen. Danach kommt Schritt 2, Punkt 1. Ich habe Key und Zertifikat dorthin verschoben:
mv private.key /opt/share/openssl/private/server.keymv server.pem /opt/share/openssl/certs/server.cert
Dann habe ich zwei symbolische Links namens server.key und server.cert im Mailroot angelegt, die auf diese beiden Dateien zeigen (man kann die Dateien natürlich auch direkt ins Mailroot verschieben.)
=> Sind bei mir direkt im MailRoot-Verzeichnis
Danach die certs.pem wie unter Schritt 2, Punkt 2 und 3 beschrieben erzeugen und z.B. unter /opt/share/openssl/certs/ca-bundle.crt ablegen. Symbolischen Link namens certs.pem im Mailroot angelegt, der darauf zeigt (alternativ kann man die Datei auch direkt im Mailroot ablegen, sie MUSS dann aber certs.pem heißen). Das Mailroot/certs Verzeichnis bleibt leer!
=> die Datei CERTS.pem liegt direkt im MailRoot-Verzeichnis
CERTS.pem habe ich erstellt, indem ich für "openssl s_client -connect pop.gmx.net:995 -showcerts" für gmx und entsprechenden Befehl für web.de eingegeben habe und die erscheinenden Zertifikate zwischen -----BEGIN CERTIFICATE----- und
-----END CERTIFICATE----- so wie oben beschrieben zusammenkopiert habe.
Nun server.tab anpassen:
"EnablePOP3-TLS" "1""SSLWantVerify" "1""SSLWantCert" "0""SSLAllowSelfSigned" "0""SSLUseCertsFile" "1""SSLUseCertsDir" "0"
=> Habe ich eingestellt.
Zum Schluss noch pop3links.tab anpassen, z.B. für web.de so:
"mydomain.de" "myname" "pop3.web.de:995" "myname@web.de" "MD5passwort" "FAPOP,POP3S"
Wichtig sind der Port 995 und das POP3S am Ende. Nun den XMail Server neu starten. Der Dovecot Server ist bei der externen Synchronisation NICHT involviert und muss deshalb nicht angepasst werden (außer man möchte auch dort SSL verwenden).
=> pop3links.tab ist angepasst, allerdings mit "APOP,POP3S" am Ende.
=> Hat leider nicht geklappt. Vermutlich doch die Zertifikate. Bin langsam echt am Verzweifeln.
Wenn es dann immer noch nicht geht, enthält die certs.pem wahrscheinlich nicht die richtigen Zertifikate.
Da ist es am besten, man lädt sich von Mozilla einen kompletten aktuellen Satz.
roka, berichte doch mal, ob es geklappt hat.
=> Was muss ich hier tun?
Viele Grüße
phys1