Announcement

Collapse
No announcement yet.

Probleme mit Sieve und TLS - cyrus

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Probleme mit Sieve und TLS - cyrus

    Hallo,

    ich habe gestern von 6.12 auf 6.14. upgedatet. Seit diesem Update bekomme ich folgende Fehlermeldung:
    01.12.2009 15:05-->Fehlermeldung: Error in low level connection to sieve server (MAIL_FILTER-0014, -1376350939-335)
    Laut Changelog sollte Bug 14655 gefixt sein.
    Ein Telnet auf den sieve Server funktioniert.
    Ich verwende cyrus-imapd-2.3.7-2.el5_3.2 mit ssl. Somit wird beim sieve Aufbau auch gleich TLS gestartet. Ein Test ohne ssl verlief erfolgreich.
    Ich kann leider nicht auf den Bug14655 zugreifen um einen Hinweis zu erhalten. Liegt es am eigenen root Zertifikat. Das sieve Verzeichnis auf dem Mailserver ist leer.
    Welche Infos brauch ihr noch?
    Danke für die Hilfe.

    Christian

  • #2
    Hallo,

    in dem Bug ging es darum, dass sich die Server unter TLS unterschiedlich verhalten (bei Cyrus ändert sich das Verhalten sogar über die Versionsnummern).

    Der kritische Punkt ist, ob nach dem STARTTLS Kommando und dem Handshake noch einmal die Capabilities ausgegeben werden oder nicht. Nach unseren letzten Erkenntnissen hat sich das zu Version 2.3 hin geändert, daher war der Fix bei der Überprüfung des Sieve Server nicht nur auf die Art des Server zu schauen (Cyrus, Dovecot etc.), sondern bei Cyrus auch auf die Version. Möglicherweise verhält sich 2.3.7 wie eine 2.2.x Version, dann müssten wir dies noch mal anpassen.

    Um das Verhalten zu analysieren müsste folgendes gemacht werden:

    http://wiki.dovecot.org/ManageSieve/Troubleshooting (Abschnitt Manual TLS Login)

    Dort ist beschrieben, wie man an der Kommandozeile über TLS mit dem Sieve Server spricht, wichtig ist doch noch das man

    Code:
    gnutls-cli --crlf --starttls -p <port> <host>
    also mit --crlf

    Nach dem Drücken von STRG-D kommt dann der spannende Teil und da müsste ich wissen was er rausschreibt.
    Gruß,

    Dennis

    Comment


    • #3
      Hallo Dennis,

      danke für die rasche Antwort. Folgende Ausgabe:
      - Simple Client Mode:

      "IMPLEMENTATION" "Cyrus timsieved v2.3.7-Invoca-RPM-2.3.7-2.el5_3.2"
      "SASL" "PLAIN DIGEST-MD5 CRAM-MD5 LOGIN"
      "SIEVE" "comparator-i;ascii-numeric fileinto reject vacation imapflags notify envelope relational regex subaddress copy"
      "STARTTLS"
      OK
      *** Starting TLS handshake

      Somit keine capabilities mehr.

      Christian

      Comment


      • #4
        Ich hatte es befürchtet, dann verhält er sich wie ein 2.2.x. Ich werde den Bug dann mal wieder öffnen.

        Comment


        • #5
          Ok. Gibts einen workaround ohne TLS zu deaktivieren?

          Comment


          • #6
            Ich weiß nicht, ob es auf RHEL auch eine neuere Cyrus Version gibt. 2.3.11 funktioniert getestetermaßen, oder downgrade auf eine Cyrus Version 2.2.x wenn es die gibt. Letztlich könnte man noch das alte Mailfilter Paket nehmen (aber nur dieses eine Paket) müsste man dann wohl mit --force ins System quetschen, und sollte dann (ungetestet) funktionieren. Weitere Workarounds würden mir nicht einfallen, dann bliebe wirklich nur TLS abschalten.

            Für zukünftige Versionen steht allerdings auf der Agenda, dass die RegEx in der Konfigurationsdatei einstellbar ist. Aber dazu kann ich nichts genaues sagen.

            Gruß,

            Dennis

            Comment


            • #7
              Hi Dennis,

              altes Paket installiert. Jetzt klappt wieder alles. Danke für die Hilfe!
              Schönen Abend noch.
              Christian

              Comment


              • #8
                Hi,

                wir haben das selbe Problem.
                Nach Update auf 6.14 funktionieren die Mailfilter nicht mehr (gottseidank nur auf dem Testsystem - auf dem Produktivsystem mit 6.12 alles OK)


                Fehlermeldung:

                Code:
                SEVERE: MAIL_FILTER-0014 Category=8 Message=Error in low level connection to sieve server exceptionID=1824431455-7
                IMAP ist ein selbstkompilierter cyrus 2.3.9

                Ausgabe von gnutls:

                Code:
                - Simple Client Mode:
                
                "IMPLEMENTATION" "Cyrus timsieved v2.3.9"
                "SASL" "PLAIN LOGIN"
                "SIEVE" "comparator-i;ascii-numeric fileinto reject vacation imapflags notify envelope relational regex subaddress copy"
                "STARTTLS"
                OK
                STARTTLS
                OK "Begin TLS negotiation now"
                *** Starting TLS handshake
                - Certificate type: X.509
                 - Got a certificate list of 4 certificates.
                [Zertifikats-Daten]
                Sonst kommt nix mehr (ich denke mal ich sollte das "STARTTLS" als erstes eingeben, dann CTRL+D).

                Da wir OXAE im Einsatz haben, würd ich da ungern mit den installierten Paketen rumpfuschen.

                Mir würde als Workaround das deaktivieren von TLS reichen - wenn mir jemand verrät wie

                Gruss
                Oliver
                Last edited by otw; 12-01-2009, 10:37 PM.

                Comment


                • #9
                  OXAE will be tested before the 6.14 update will be released for OXAE.

                  Comment


                  • #10
                    Also das Update war im OXAE gestern schon verfügbar!

                    Sonst hätte ich es ja nicht einspielen können.
                    Und besagtes Problem tritt eben auf...

                    Comment


                    • #11
                      The problem does no occur here on my OXAE system with 6.14 without a self compiled cyrus. Note that we do not support self compiled software.

                      The release of 6.14 for OXAE was a mistake, sorry for the inconvenience. We reverted it. Now the OXAE repos again point to the 6.12 version of Open-Xchange.

                      Comment


                      • #12
                        Yes, I'm pretty sure it still works with the bundled cyrus-imap.

                        But it worked in our setup with every version up until 6.12

                        Whatever, I will wait for the official update release, and we'll see then.

                        Comment


                        • #13
                          However, this finding might help us in detecting the cyrus version where the old tls handling has changed.

                          Comment

                          Working...
                          X