Dovecot-Authentifizierung mit SSL

Diese kurze Anleitung beschreibt, wie man einen Dovecot IMAP-/POP3-Server so einrichtet, dass eine Anmeldung mit Klartext-Passwort nur noch über eine verschlüsselte SSL-Verbindung funktioniert. Ausprobiert habe ich das ganze zuhause auf meinem Server, der unter Ubuntu 8.0.4.1 x86 läuft und auf dem Dovecot bereits seit einigen Tagen problemlos funktioniert (Update: Bei einer Neu-Installation von Ubuntu 9.10 hat es auch geklappt). Die meisten Infos zu dieser Anleitung stammen aus dem Ubuntu-Wiki und dem Dovecot-Wiki.

1. Das Passwort verschlüsselt ablegen
Für die Anmeldung am Mailserver will ich nicht das Systempasswort des Users (aus /etc/shadow) verwenden, sondern ein eigenes. Das soll aber nicht im Klartext irgendwo rumliegen, sondern nur als SHA-Hash. Dabei hilft das Programm dovecotpw, dem als Parameter das gewünschte Hash-Verfahren übergeben wird. Hier ein Beispiel, wie es mit Salted SHA aussieht, man könnte aber genauso gut salted MD5 oder etwas anderes verwenden.

dovecotpw -s ssha -u <username>

Das Ergebnis verwendet man, um einen Eintrag in der Datei /etc/passwd.dovecot zu erzeugen. Jede Zeile der Datei beginnt mit dem Benutzernamen, gefolgt von einem Doppelpunkt. Danach kommt die Ausgabe von dovecotpw, also das Passwort Schema und der Hashwert des Passworts. Ein Beispiel:
username:{SSHA}bhLzZ105Lh+hShJ8UK3jD+nQekwD0okG

Man muss Dovecot noch mitteilen, wo die Passwort-Datei abgelegt ist, da diese nicht /etc/passwd.dovecot sein muss, sondern auch anderswo liegen kann. Dazu folgenden Eintrag in /etc/dovecot/dovecot.conf machen:
passdb passwd-file {
args = /etc/passwd.dovecot
}

2. Unverschlüsselte Plaintext-Authentifizierung abschalten
Wenn bisher die Anmeldung mit Plaintext-Passwörtern über unverschlüsselte Verbindungen zulässig war, dann sollte man dies jetzt in der Datei /etc/dovecot/dovecot.conf abschalten.
disable_plaintext_auth = yes

3. SSL einrichten
Nach dieser Beschreibung im Dovecot-Wiki kann man sehr schnell die Verwendung einer SSL-Verbindung einrichten. In Ubuntu 8.0.4.1. funktioniert das ohne irgendeine Änderung bereits nach der Installation. Bei mir trat nur das Problem auf, dass das verwendete Snakeoil-Zertifikat bereits abgelaufen war. Mit folgendem Befehl kann man sich sehr einfach ein neues Zertifikat selbst erstellen:
sudo make-ssl-cert generate-default-snakeoil --force-overwrite
Leider lässt sich dabei keine Gültigkeit einstellen und das erzeugte Zertifikat müsste bereits nach einem Monat erneuert werden. (Update zu Ubuntu 9.10: Mittlerweile wurde die Default-Gültigkeit auf 10 Jahre geändert, man kann also direkt bei 4. weitermachen.) Ändern kann man das ganze, indem man make-ssl-cert anpasst. Dabei handelt es sich um ein einfaches Skript, das unter /usr/sbin liegt. Mit einem beliebigen Editor öffnen (z.B.sudo vim /usr/sbin/make-ssl-cert und nach openssl suchen. In die folgende Zeile (bei mir Zeile 124) fügt man den Parameter -days ein, der die Gültigkeitsdauer angibt:
openssl req -config $TMPFILE -new -x509 -nodes \
Nach der Änderung:
openssl req -config $TMPFILE -new -days 365 -x509 -nodes \

Für die „Nicht-Snakeoil-Variante“ findet man den zu änderenden Openssl-Aufruf einige Zeilen darüber.

4. Dovecot neu starten und testen
Zum Schluss muss man nur noch den Server neu starten (sudo /etc/init.d/dovecot restart) und die Einstellungen des Mail-Clients anpassen. Im Thunderbird wäre das bei den Konto-Einstellungen zu finden:
-> Server-Einstellungen -> Sicherheit & Authentifizierung -> Verschlüsselte Verbindung verwenden -> SSL
Das sollte es dann gewesen sein.

Die Villa in der Toskana

Nach einem ersten Stau zwischen Bozen und Trento und mehreren weiteren Staus bis Bologna sind wir dann doch irgendwann bei unserer Villa nahe Arezzo angekommen. Erwartet hatten wir ein Haus in ruhiger Lage, mit schönen Zimmern und einem großen Pool: Unsere Erwartungen wurden übertroffen! Eine wunderbare Villa zwischen Olivenbäumen mit einer traumhaften Aussicht auf das Val di Chiana und die auf dem Nachbarhügel gelegene Ortschaft Civitella. Dieses Haus (gebucht über sonnigetoskana.de) können wir auf jeden Fall weiterempfehlen!

Bei Temperaturen über 30°C haben wir nicht gerade viele Ausflüge unternommen. Die meiste Zeit waren wir am, im oder in der Nähe des Pools. Die Nicht-im-Wasser-Zeit am Nachmittag hab ich damit verbracht, die Bibel nach Biff zu lesen (auf Empfehlung von Mr.R. aus M.), ein ziemlich lustiges Buch.

Zweimal konnten wir uns dann doch von unserem Casa trennen: Ein Nachmittag am Lago Trasimeno mit einer Schifffahrt zur Isola Maggiore und anschließend ein Abend in Perugia. Außerdem ein kurzer Ausflug nach Arezzo. Und wir haben bewiesen, dass drei Männer in weniger als 105 Minuten nach Arezzo fahren und einkaufen können, ohne etwas zu vergessen.

Am letzten Abend in unserer Villa hat uns auch hier ein Gewitter erwischt, fast so wie in Briol. Diesmal gab’s auch Hagel und einen kurzen, aber heftigen Sturm: Unser Pavillon am Pool hat’s leider nicht überlebt.

Von Briol in die Toskana

Gleich nach dem Frühstück sind wir am Samstag in Richtung Barbian gewandert, um von dort in die Toskana weiterzufahren. Diesmal gings nicht über den Wasserfall, sondern über Bad Dreikirchen und einen Trimm-Dich-Pfad auf kürzestem Weg zum schiefen Kirchturm von Barbian. Nicht nur Pisa hat ein in Schräglage geratens Bauwerk, auch Barbian verfügt über eine solche baumeisterliche Glanzleistung.

Zu unserem Zimmer in Briol wurde bisher ja noch gar nichts erwähnt. Das will ich jetzt nachholen: Untergebracht waren wir nicht im Haupthaus, sondern in der etwa 10 Minuten talabwärts liegenden „Dependance“. Die Zimmer sind schlicht, aber sehr schön eingerichtet. Ich denke das entspricht genau dem Stil der Zimmern im Haupthaus. Kanne und Blechschlüssel ersetzen das Waschbecken im Zimmer, fließend Wasser (inkl. einer sauberen Dusche) gibt’s nur am Gang. Wir hatten einen Balkon nach Osten und konnten übers Eisacktal hinweg die gegenüberliegenden Berge sehn (jedenfalls das, was nicht vom Bäumen verdeckt wurde). Zwei Nachteile hat das Nebenhaus: Um zum Frühstück zu gelangen, muss man erstmal 10 Minuten recht steil den Berg hinauf. Und wenn es abends um etwa zehn vor sieben zu regnen beginnt, muss man trotzdem raus: Denn das Essen wird pünktlich um sieben serviert. Wir hatten Glück: Das Gewitter hat am Freitag abend erst richtig begonnen, als wir schon wieder zuhause waren. Begleitet wurden wir beim Abstieg nach dem Essen von einer recht anschmiegsamen Katze, die wohl schon vorher wusste, dass wir sie mit Schinken füttern, wenn Sie bis zur Depandance neben uns her läuft.

Von Briol zum Rittner Horn

An unserem ersten kompletten Tag sind wir von Briol aus zum Rittner Horn gewandert. Auch hier war der Weg einwandfrei beschrieben. Wir hatten zwar eine Wanderkarte (Tabacco Nr. 40, Sarntaler Alpen), aber die ausgedruckten Karten von suedtirol.info (sehr nützlicher Tourenplaner) hätten auch gereicht. Die Tour war wesentlich weniger anstrengend als der Tag zuvor, was zum einem an der geringeren Steigung, hauptsächlich aber am deutlich leichteren Gepäck lag. Nach genau 3 Stunden und 950 Höhenmetern haben wir den Gipfel erreicht, von dem aus man eine beeindruckende, weite Aussicht hat.

Oben am Gipfel haben wir dann zum ersten Mal an diesem Tag andere Wanderer getroffen. Die meisten hatten offensichtlich den einfachen Weg genommen und waren mit der Seilbahn von Pemmern aus bis 200 Höhenmeter unterhalb des Gipfels gefahren.

Auf den Bänken vor dem Rittner-Horn-Haus, kann man dann die Aussicht genießen und – ganz wichtig – Brotzeit machen. Die Marillenknödel können wir auf jeden Fall empfehlen, auch wenn ich nicht sicher bin, ob es die täglich gibt (standen nicht auf der Karte, sondern nur angeschrieben auf einer Tafel).

Während wir auf unsere Marillenknödel gewartet haben, hat es leicht zu regnen begonnen, so dass wir uns nach dem Essen recht zügig wieder auf den Weg nach unten gemacht haben. Wegen der etwas unsicheren Wettersituation sind wir den gleichen Weg wieder ins Tal gegangen, da es dort immer mal wieder Almhütten gab, bei denen wir uns hätten unterstellen können. Das Wetter hat aber gehalten, so dass wir nach unter 2 Stunden wieder in Briol waren.

Abends gab es wieder ein sehr leckeres Menü: Zur Vorspeise ein griechischer Salat, danach eine Kartoffel-Sellerie-Suppe. Als Hauptspeise gab es Tagliatelle mit Lachs und Rucola und als Nachspeise Eis. Nachts gab es dann das heftigste Gewitter, dass ich bisher erlebt habe: Nur ein paar Sekunden zwischen den Blitzen, die das Zimmer taghell erleuchteten und Donner, von denen die Türen und Fenster im ganzen Haus gewackelt haben.

Südtirol und Toskana – Barbian und Briol

Zwei Wochen Urlaub haben wir dazu genutzt, nach Südtirol und in die Toskana zu fahren. Einige Fotos und andere Infos folgen in den nächsten Tagen.

Das erste Ziel unserer Reise war die Pension Briol, die etwas oberhalb der Ortschaft Barbian liegt. Statt der kurzen Route über Dreikirchen sind wir über die Barbianer Wasserfälle aufgestiegen. Das Auto haben wir am südlichen Ende von Barbian direkt an der Hauptstraße geparkt. Von da aus ging es auf gut ausgeschildertem Weg Richtung „Unterer Wasserfall“. Dort beginnt dann der schwierige Teil des Aufstiegs, für den man auf jeden Fall gescheites Schuhwerk braucht. Hier macht es sich dann auch bezahlt, wenn man sparsam gepackt hat und jetzt nur wenig Gepäck hochschleppen muss. Wir hatten nicht ganz so sparsam gepackt…

Die Wasserfälle sind den weiteren Weg und den anstrengenderen Aufstieg auf jeden Fall wert. Verteilt über acht Felsstufen stürzt das Wasser 200 Meter nach unten, allein beim Unteren Wasserfall sind es 85 Meter. Ob das auf den Informationstafeln angepriesene Heilklima tatsächlich eine heilende Wirkung hat, konnten wir mangels Krankheit nicht feststellen. Aber angenehm kühl war es in der Nähe des Wasserfalls, was bei etwa 28 Grad sehr willkommen ist.

Hat man auch den oberen Wasserfall hinter sich gelassen, ist es nur noch ein kurzer Spaziergang von etwa 20 Minuten bis Briol. Insgesamt haben wir für den Weg knapp unter 3 Stunden gebraucht. Mit weniger Gepäck und etwas Übung sollte das aber in der halben Zeit zu schaffen sein.