[Debian/Dovecot] Dovecot IMAP werkt niet, POP3 wel - Linux en overige clients

zaterdag 8 september 2012 15:51

Acties:

Topicstarter

Het probleem is het volgende:
Als iemand IMAP probeert in te stellen om met de server te verbinden, is het niet mogelijk om een verbinding
te maken en geeft de client gewoon een time-out.
Als met dezelfde gegevens geprobeerd word om via POP3 te verbinden werkt alles in eens wel.

Gebruikte software:
Debian 6.0.5, Dovecot, MariaDB als MySQL backend, Postfix en roundcube.

E-mail verwerking, werkt verder goed. Mail komt gewoon netjes via postfix binnen.
Word op de juiste locatie gezet, etc. Dat gedeelte werkt goed.

POP3 mail ophalen werkt gewoon.

IMAP mail ophalen werkt niet.
Wat tevens vreemd is: Roundcube werkt wel gewoon.

Copy van mail.log met de error welke elke keer verschijnd: (ip's zijn vervangen gezien dit niet echt nodig is)

code:

Sep  8 15:36:49 aragon dovecot: imap-login: Aborted login (no auth attempts): rip=123.123.123.123, lip=321.321.321.321
Sep  8 15:36:49 aragon dovecot: imap-login: Aborted login (no auth attempts): rip=123.123.123.123, lip=321.321.321.321
Sep  8 15:36:50 aragon dovecot: auth(default): new auth connection: pid=2246
Sep  8 15:36:50 aragon dovecot: auth(default): new auth connection: pid=2245
Sep  8 15:38:06 aragon dovecot: imap-login: Aborted login (no auth attempts): rip=123.123.123.123, lip=321.321.321.321
Sep  8 15:38:06 aragon dovecot: imap-login: Aborted login (no auth attempts): rip=123.123.123.123, lip=321.321.321.321
Sep  8 15:38:07 aragon dovecot: auth(default): new auth connection: pid=2268
Sep  8 15:38:07 aragon dovecot: auth(default): new auth connection: pid=2267

Dovecot settings:

code:

# 1.2.15: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-5-686 i686 Debian 6.0.5 ext3
log_timestamp: %Y-%m-%d %H:%M:%S
protocols: imap imaps pop3 pop3s
disable_plaintext_auth: no
verbose_ssl: yes
login_dir: /var/run/dovecot/login
login_executable(default): /usr/lib/dovecot/imap-login
login_executable(imap): /usr/lib/dovecot/imap-login
login_executable(pop3): /usr/lib/dovecot/pop3-login
mail_location: maildir:/home/vmail/%d/%n/Maildir
mail_debug: yes
mbox_write_locks: fcntl dotlock
mail_executable(default): /usr/lib/dovecot/imap
mail_executable(imap): /usr/lib/dovecot/imap
mail_executable(pop3): /usr/lib/dovecot/pop3
mail_plugin_dir(default): /usr/lib/dovecot/modules/imap
mail_plugin_dir(imap): /usr/lib/dovecot/modules/imap
mail_plugin_dir(pop3): /usr/lib/dovecot/modules/pop3
namespace:
  type: private
  separator: .
  prefix: INBOX.
  inbox: yes
  list: yes
  subscriptions: yes
lda:
  log_path: /home/vmail/dovecot-deliver.log
  auth_socket_path: /var/run/dovecot/auth-master
  postmaster_address: postmaster@example.com
  mail_plugins: sieve
  global_script_path: /home/vmail/globalsieverc
auth default:
  verbose: yes
  debug: yes
  debug_passwords: yes
  passdb:
    driver: sql
    args: /etc/dovecot/dovecot-sql.conf
  userdb:
    driver: static
    args: uid=5000 gid=5000 home=/home/vmail/%d/%n allow_all_users=yes
  socket:
    type: listen
    client:
      path: /var/spool/postfix/private/auth
      mode: 432
      user: postfix
      group: postfix
    master:
      path: /var/run/dovecot/auth-master
      mode: 384
      user: vmail

Uiteraard al diverse dingen op google opgezocht, voornamelijk op de foutmelding:
dovecot: imap-login: Aborted login (no auth attempts)
Gezocht, dit gaf helaas geen oplossing.
Tevens gezien roundcube + POP3 wel werken, betwijfel ik of het wel in dovecot moet zitten.

Richard

zaterdag 8 september 2012 15:52

Acties:

blaataaps

Hoe test je imap? Al eens met telnet geprobeerd? Welke authenticatie-methodes worden gebruikt? Verbose/debug-logging al eens aangezet in dovecot?

zaterdag 8 september 2012 16:04

Acties:

CyBeR

💩

Die error houdt in dat je client de verbinding verbroken heeft zonder te proberen te authenticeren. Dat kan om meerdere redenen zijn. Bijvoorbeeld, heb je wellicht aanstaan dat authenticeren altijd via TLS of SSL moet gebeuren, maar verbindt je client niet op die manier? Of heb je geen auth methode aanstaan die je client ondersteunt?

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 8 september 2012 16:15

Acties:

richardboer

Topicstarter

Telnet

code:

1 2	Escape character is '^]'. * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Dovecot ready.

De dovecot debug settings zoals op meerdere websites gevonden:

code:

#debug
disable_plaintext_auth=no
ssl=yes
auth_debug_passwords=yes
auth_verbose=yes
auth_debug=yes
mail_debug=yes
verbose_ssl=yes

Clients welke gebruikt zijn om te testen:
Thunderbird, Windows Live Mail

Alle settings geprobeerd in Thunderbird: SSL, STARTTLS, GEEN

Voor het gemak even de volledige dovecot config:

code:

protocols = imap imaps pop3 pop3s
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_location = maildir:/home/vmail/%d/%n/Maildir

ssl_cert_file = /etc/ssl/certs/dovecot.pem
ssl_key_file = /etc/ssl/private/dovecot.pem


#debug
disable_plaintext_auth=no
ssl=yes
auth_debug_passwords=yes
auth_verbose=yes
auth_debug=yes
mail_debug=yes
verbose_ssl=yes



namespace private {
    separator = .
    prefix = INBOX.
    inbox = yes
}

protocol lda {
    log_path = /home/vmail/dovecot-deliver.log
    auth_socket_path = /var/run/dovecot/auth-master
    postmaster_address = postmaster@example.com
    mail_plugins = sieve
    global_script_path = /home/vmail/globalsieverc
}

protocol pop3 {
    pop3_uidl_format = %08Xu%08Xv
}

auth default {
    user = root

    passdb sql {
        args = /etc/dovecot/dovecot-sql.conf
    }

    userdb static {
        args = uid=5000 gid=5000 home=/home/vmail/%d/%n allow_all_users=yes
    }

    socket listen {
        master {
            path = /var/run/dovecot/auth-master
            mode = 0600
            user = vmail
        }

        client {
            path = /var/spool/postfix/private/auth
            mode = 0660
            user = postfix
            group = postfix
        }

   }
}

[ Voor 3% gewijzigd door richardboer op 08-09-2012 16:15 ]

Richard

zaterdag 8 september 2012 16:19

Acties:

blaataaps

richardboer schreef op zaterdag 08 september 2012 @ 16:15:
Telnet
code:
1
2
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Dovecot ready.

Wat gebeurt er als je nu probeert in te loggen?

zaterdag 8 september 2012 16:26

Acties:

richardboer

Topicstarter

Onderstaand is wat ik krijg na het inloggen via telnet vanaf een andere linux bak.
(IP, username en WW zijn eruit gehaald uiteraard)

code:

telnet 321.321.321.321 143
Trying 321.321.321.321...
Connected to 321.321.321.321.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE STARTTLS AUTH=PLAIN] Dovecot ready.
a login USER PASSWORD
a OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS] Logged in
b select inbox
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted.
* 585 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1311427267] UIDs valid
* OK [UIDNEXT 648] Predicted next UID
* OK [HIGHESTMODSEQ 1] Highest
b OK [READ-WRITE] Select completed.

[ Voor 1% gewijzigd door richardboer op 08-09-2012 16:28 . Reden: ip'tje vergeten :) ]

Richard

zaterdag 8 september 2012 17:39

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Welke poorten staan er momenteel open (te zien via netstat -tln)? Is de telnet van een ander systeem geprobeerd, of lokaal?

Commandline FTW | Tweakt met mate

zaterdag 8 september 2012 18:51

Acties:

richardboer

Topicstarter

Vanaf een ander systeem

Heb op dit moment 1 fysieke server met ESXi 4.1 draaien in een datacentrum.
Welke direct z'n externe IP ontvangt op de netwerkkaart welke door gekoppeld is aan de 2 VM's die erop draaien.
(Dat is dus ook de machine met de problemen met dovecot)

En nog een VPS ergens anders -> de machine waarop ik telnet geprobeerd heb.

Voor zover ik weet zijn er op geen van beide machines poorten geblokkeerd.
Het enige wat wel gedaan word is SSH bruteforce controleren.
En daarin worden de mensen geblokkeerd via iptables.

code:

aragon ~ # netstat -tln
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:36109           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN
tcp6       0      0 :::80                   :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN

Richard

zaterdag 8 september 2012 21:17

Acties:

Hero of Time

Moderator LNX

There is only one Legend

Ah, nu zie je wat meer. Omdat je TLS aan hebt staan, zal je client bij een TLS/SSL antwoord verder weigeren via poort 143 te communiceren. Je moet poort 993 gebruiken. Kijk of dat beter werkt.

Commandline FTW | Tweakt met mate

zaterdag 8 september 2012 21:19

Acties:

CyBeR

💩

Hero of Time schreef op zaterdag 08 september 2012 @ 21:17:
Ah, nu zie je wat meer. Omdat je TLS aan hebt staan, zal je client bij een TLS/SSL antwoord verder weigeren via poort 143 te communiceren. Je moet poort 993 gebruiken. Kijk of dat beter werkt.

Ech nie.

TLS gaat sowieso over 143, na STARTTLS. En verder is dat clientspecifiek. Er zullen best clients zijn die dat doen maar dat is niet standaard.

Wat wel kan is dat 'ie 143 ingesteld heeft met SSL (ipv TLS) en dat gaat natuurlijk niet goed.

[ Voor 9% gewijzigd door CyBeR op 08-09-2012 21:19 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 8 september 2012 22:11

Acties:

richardboer

Topicstarter

Lijkt inderdaad daar aan te liggen, wel vreemd gezien ik wel een hele hoop van de instellingen in Thunderbird geprobeerd had.

Net trouwens getest via mail client van OS X -> die stelt hem in 1x keer goed in op imap.

Nu alleen nog even testen maar gezien het op OS X nu wel werkt.
(Had het alleen onder Windows getest met Thunderbird + Windows Live Mail)

Lijkt het dus opgelost.

Richard