[CentOS-es] Off Topic: Problemas con Autenticacion

David González Romero dgrvedado en gmail.com
Mie Mayo 27 13:11:02 UTC 2015 

En ese link que me mandas hay una incosistencia de configuración

Estoy usando CentOS 6.x y dovecot.x86_64 1:2.0.9-8.el6_6.4

Si bien hay varios archivos de configuración, yo uní todo en uno solo.

Al intentar poner y reiniciar el dovecot

protocols = imap pop3 imaps pop3s

Sale:
[root en mail ~]# /etc/init.d/dovecot restart
Stopping Dovecot Imap:                                     [  OK  ]
Starting Dovecot Imap: doveconf: Warning: NOTE: You can get a new clean
config file with: doveconf -n > dovecot-new.conf
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:5:
protocols=imaps is no longer necessary, remove it
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:5:
protocols=pop3s is no longer necessary, remove it
doveconf: Warning: NOTE: You can get a new clean config file with: doveconf
-n > dovecot-new.conf
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:5:
protocols=imaps is no longer necessary, remove it
doveconf: Warning: Obsolete setting in /etc/dovecot/dovecot.conf:5:
protocols=pop3s is no longer necessary, remove it
                                                           [  OK  ]

De hecho sin poner esa linea y con un nmap
[root en mail ~]# nmap -sS 192.168.30.50

Starting Nmap 5.51 ( http://nmap.org ) at 2015-05-27 08:52 PYT
Nmap scan report for www.timbo.com.py (192.168.30.50)
Host is up (0.00017s latency).
Not shown: 988 closed ports
PORT      STATE SERVICE
22/tcp    open  ssh
80/tcp    open  http
110/tcp   open  pop3
139/tcp   open  netbios-ssn
143/tcp   open  imap
443/tcp   open  https
445/tcp   open  microsoft-ds
873/tcp   open  rsync
993/tcp   open  imaps
995/tcp   open  pop3s
3306/tcp  open  mysql
10000/tcp open  snet-sensor-mgmt

Después revise las configuración:
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}

service pop3-login {
  inet_listener pop3 {
    port = 110
  }
  inet_listener pop3s {
    port = 995
    ssl = yes
  }
}

Para esos protocolos uso SSL. Sin embargo en el
auth_mechanisms = plain login

No tengo habilitado muchos tipos. El asunto es que mis usuarios son de una
BD, postadmin uso. Y la verdad no estoy muy seguro del tipo de cifrado que
usan en esa herramienta. Aunque intenté leer sobre eso. Sin embargo mi duda
entra en que porque con un Windows 7 o inferior, Android, Linux y Mac si
funciona la conexión cifrada y con Winrus 8 y superiores no. Entonces creo
que es problema de Windows 8, amén que antes tenía un CentOS 5 y
dovecot.i386 1.0.7-9.el5_11.4. Y si funcionaba bien sea cual fuere el
cliente y el sistema operativo del mismo. Intenté replicar las
configuraciones de dovecot para ver si había algo diferente, y ya todo lo
que era posible estar igual lo está.

Lo único que es diferente es el certificado que en CentOS 5 cree con

openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \
    -out certs/dominio.tld.crt -keyout private/dominio.tld.key

Y en CentOS 6.x cree con:
genkey --days 3650 mail.example.com

Claro que cambiando con mis datos de dominio.

No creo que haya diferencia entre las herramientas pues al final creo que
usan el openssl.


Lo que he podido ver en los log es que con Windows 8 y superior ahora NO
PUEDO ni tan siquiera acceder por esos puertos. O sea si hago un telnet
desde Windows 8 al puerto 465 de mi server nunca hay respuesta. Si la hay
con 587 y el 25, pero con el 587 me dice que no reconoce el tipo de
cifrado. Entonces quizá tenga que ver con lo que mencionas.

Por demás sigo investigando esto que me planteaste del dovecot.

Saludos,
David

2015-05-26 23:55 GMT-04:00 Roger Pena Escobio <orkcu en yahoo.com>:

> No tienes qur ir lejos :
>
> http://wiki.dovecot.org/SSL/DovecotConfiguration
>
> Cu
> Roger
>
> Sent from Yahoo! Mail on Android
>
>  ------------------------------
> * From: * David González Romero <dgrvedado en gmail.com>;
> * To: * Roger Pena-Escobio <orkcu en yahoo.com>;
> * Cc: * centos-es en centos.org <centos-es en centos.org>;
> * Subject: * Re: [CentOS-es] Off Topic: Problemas con Autenticacion
> * Sent: * Tue, May 26, 2015 10:37:08 PM
>
>   Es Certificado es autofirmado y trate de que todo fuera exacto tal cual
> el servidor. Sin embargo creo que volveré a crear el certificado.
>
> Lo de dovecot tengo que ver como hago para que ofrescan cipher... tendré
> que leer de ese tema. Estudio individual.
>
> Voy a habilitar el debug y dejo esto para un segundo correo que será ON
> topic.
>
> Saludos,
> David
>
> El 26 de mayo de 2015, 18:13, Roger Pena Escobio <orkcu en yahoo.com>
> escribió:
>
>> Una prueba simple.
>> Configura dovecot and postfix para que ofescan un solo cipher AES256-SHA2
>>
>> Ese cipher es bueno y suficientemente simple como para que no tengas
>> problemas
>>
>> Pudiera ser el certificado tambien. Es firmado por verisign u otro
>> reconocida compañia ?
>> Es selfsigned ? Tienes un certificado intermedio ?
>> el cn del certificado coincide con el nombre del servidor ?
>>
>> Hay tantas posibled razones que sin estudiar los logs quizas va ser muy
>> dificil
>>
>> Cu
>> roget
>>
>> Sent from Yahoo! Mail on Android
>>
>>  ------------------------------
>> * From: * David González Romero <dgrvedado en gmail.com>;
>> * To: * <centos-es en centos.org>; Roger Pena-Escobio <orkcu en yahoo.com>;
>> * Subject: * Re: [CentOS-es] Off Topic: Problemas con Autenticacion
>> * Sent: * Tue, May 26, 2015 9:52:42 PM
>>
>> > Bueno, definitivamente windows 8 no le gusta algo en el protocolo TLS o
>> en los ciphers que estas ofreciendo
>> >
>> Si evidentemente es eso...
>>
>> > Sujerencia, pon a dovecot en modo debug para el ssl, quizas veas que
>> ciphers esos clientes estan tratando de usar y quitalo de la lista que
>> dovecot ofrece.
>> > Usualmente dovecot va ofrecer la mayor cantisdad de ciphers que openssl
>> libs provee, pero considerando como el mundo esta, yo dejaria solo TLSv1.2
>> y los eliptic ciphers, pero los clientes de correo viejos podrian dejar de
>> funcionar :)
>> >
>> Haré esto pero lo más jodido es que también pasa con SMTP, o sea no
>> autentica en modo SSL. Y probe con Thunderbird y da el mismo problema,
>> o sea es Winrus 8 y peor aún en una PC que probe que tenía 8.1 si
>> funciona el POP3, pero NUNCA funcionó el SMTP ni por el 25.
>>
>>
>> Saludos,
>> David
>>
>
>

Más información sobre la lista de distribución CentOS-es