Verschlüsselte Verbindung zu cyrus imap

Hallo

Seit kurzem habe ich einen Imap unter Cyrus laufen und alles läuft soweit prima doch ist da noch eine Sache die mir nicht ganz klar ist....

Wie kann ich es erreichen eine verschlüsselte Verbindung zum Imap aufzubauen?

für den Login verwende ich folgende Optionen in der /etc/imapd.conf

sasl_pwcheck_method: saslauthd
sasl_mech_list: PLAIN

ist das nun schon verschlüsselt? wenn ich mit kmail die Möglichkeiten des Servers checken lassen bekomme ich nur die Möglichkeit einer unverschlüsselten Verbindung....

Hier nochmal meine ganze imapd.conf:

configdirectory: /var/lib/imap
partition-default: /var/spool/imap
sievedir: /var/lib/sieve
admins: cyrus
allowanonymouslogin: no
autocreatequota: 10000
reject8bit: no
quotawarn: 90
timeout: 30
poptimeout: 10
dracinterval: 0
drachost: localhost
sasl_pwcheck_method: saslauthd
sasl_mech_list: PLAIN
lmtp_overquota_perm_failure: no
lmtp_downcase_rcpt: yes

kann jemand helfen?

grüße HG

Die Verschlüsselung geht über TLS

und was ist mit ssl? ist das, dass gleiche wie TLS? (die meisten mailclients unterstützen ssl diesen modus).....wie realisiere ich TLS/SSL?

grüße HG.

PS: in meiner imapd.conf habe ich noch folgende Einträge (keine Ahnung was die bewirken solle)

tls_cert_file: /usr/ssl/certs/cert.pem
tls_key_file: /usr/ssl/certs/skey.pem
tls_ca_file: /usr/ssl/CA/CAcert.pem
tls_ca_path: /usr/ssl/CA

TLS ist eine Erweiterung von SSL. Du musst dir dazu Zertifikate erstellen und einbinden.
Du solltest dir die folgenden Threads durchlesen und dich auch sonst erst mit der erstellung von Zertifikaten beschäftigen.

http://www.linux-club.de/viewtopic.php?t=28221&highlight=zertifikate
http://www.linux-club.de/viewtopic.php?t=29978&highlight=tls+postfix
http://www.linux-club.de/viewtopic.php?t=44728&highlight=tls+postfix

HILFE!!!!!

Das is doch alles, auf Deutsch gesagt, Müll Ich blick das einfach nicht....alles was ich will ist eine verschlüsselte Verbindung zu dem Cyrus Imap......mit der auch Thunderbird und Konsorten was anfangen können. So wie ich das sehe gibt es zwei Paar Schuhe....zum einen eine sichere Authetifizierung und eine Sichere Verbindung.....wie bekomme ich nun alles unter einen Hut? Ich bin total verwirrt und diese PKI Geschichte mit der CA macht mich ganz kirre....

Fangen wir erst einmal bei der Authentifizierung an......was für Möglichkeiten habe ich da? was ich gefunden habe ist LOGIN,PLAIN,GRAM-MD5,DIGEST-MD5,NTLM,GSSAPI
Was ich mit Sicherheit weis ist, das GRAM-MD5 und DIGEST-MD5 verschlüsselt sind (oder??) (ich habe die Packete cyrus-sasl-grammd5 und cyrus-sasl-digestd5 installiert) Also würde ich hier am besten ansetzen....um mich erst einmal so anzumelden das die LoginDaten verschlüsselt übertragen werden.

Das Zweite ist dann die Verschlüsselte Verbindung auf der die Emails übertragen werden. Hier gibt es SSL oder TLS....aber das ist wiederum ne andere Baustelle......und hier kommen doch auch erst Zertifikate zum Einsatz (oder??)

Also alles eins nach dem anderen.....erstens "wie Verschlüsselter Login?" dann "wie Verschlüsselte Verbindung?"....

Kann jemand meine Verwirrung entwirren?

Grüße HG.

Na wenn du meinst, dass das alles Müll ist. Das Denke und lesen kann die hier keiner abnehmen.

Ähemm....also ich habe mich schon mit der Materie auseinadergesetzt, wie man ja am obigen Posting sehen kann, doch verwirren mich die ganzen Infos mehr als das sie mir weiterhelfen das ist in etwa so als wenn man zuviele Howtos zu einem Thema liest und jede erzählt dir wie man es anders machen kann......ohne dich wirklich weiterzubringen........das dann alles als "Müll" zu bezeichnen mußt du mir verzeihen.......das war einfach eine Reaktion auf meinen Frust zu der Thematik....nen ganzen Tag rumzubasteln und trotzdem keinen Zentimeter weiterzukommmen

Grüße HG.

Na gut dann bin ich mal nicht so;-) aber demnächst erst denken dann schreiben, denn alle die hier helfen machen das freiwillig.
Du wirst nicht um Zertifikat herumkommen, da du für TLS zwingend Zertifikate benötigst.
Wenn du TLS einsetzt, werden alle Daten die gesendet werde verschlüsselt.
In dem ersten der Links steht wie du ein Zertifikat erstellen kannst. Mache das ganze für deinen Server du musst nur statt ldap cyrus einsetzten, achte darauf, das der common-name des Serverzertifikats der FQDN deines Servers ist. Dann kannst du in der imapd.conf die Zertifikate eintragen. Wenn du dann z.B mit kmail auf den Server zugreifst.
Im dritten Link kannst du sehen wie das ganze dann in der imapd.conf aussieht.
Der zweite Link zeigt die wie du Postfix über TLS absichern kannst. Dann werden auc deine ausgehenden Mails verschlüsselt übertragen. Du kannst dazu die selben Zertifikate nehmen, wenn dein smtp Server den selben Name wie dein imap-Server hat.

Vielen Dank für die Antwort und sorry nochmal für meinen "Ausbruch" weiter oben.....werde mir heut die ganze Sache nochmal zu Gemüte führen. Eine Frage vorweg. Muß ich nicht in den MailClient irgendein Certifikat importieren um eine verschlüsselte Verbindung aufzubauen (das signierte Cerifikat welches ich durch die CA signiert habe?)?

Grüße HG

Das Zertifikat liegt auf dem Server und wird vom Client überprüft und angezeigt. Da du das Zertifikat mit der eigen CA signiert hast, wird der Client zwar maulen aber du kennt ja dein Zertifikat ;-)
Auf dem Client brauchst du kein Zertifikat. Bei kmail kannst du beim Einrichten des IMAP-Servers "Fähigkeiten des Servers teste" unter Sicherheit anwählen. Dann wird kmail sofort auf tls wechseln. Das Login ist aber weiterhin PLAIN, das macht aber nichts, da die Verbindung verschlüsselt ist. Wenn du auch noch verschlüsselte Passwörter verwenden willst musst du dich mit sasl und der sasldb2 rumschlagen. Du hast dann eine zweite Benutzerverwaltung bei der auch noch alles Passwörter auf dem Server unverschlüsselt gelagert werden müssen. Also lass das ers einmal bleiben. Zwei Baustellen auf einmal kann ich dir nicht empfehlen.