Imap SSL Internet Site

  • Hallo wir haben einen Notes Webserver der Webmail anbietet. Wir würden gerne auch IMAP SSL für den Server freischalten.

    Dies will aber nicht so wir wir wollen. Wir haben in der Serverkonfiguration angegeben unter Ports->Internet-Ports->Mail IMAP SSL Portnummer 993 und SSL-Portstatus auf Aktiviert gesetzt.

    Als Hinweis steht dort das die Auth Optionen in der Ansicht InternetSites anzupassen sind.


    Unter Web->Internet-Sites haben wir SSL-Authentifizierung "Anonym ja" "Name und Kennwort Ja " Client Zertifikat "nein"


    wenn ich den imap service starten will bekomme ich folgende Fehlermeldung


    [0FB4:0002-2368] 01.10.2018 14:46:58 IMAP Server Error: SSL Port is enabled but there are no Internet Site Documents allowing SSL for this server.

    [0FB4:0002-2368] 01.10.2018 14:46:59 IMAP Server: Started


    Der port lauscht auch nicht :(

    Was machen wir falsch?

  • Welche Domino-Version mit welchem Domino-Directory Template in welcher Sprache ist im Einsatz?

    Der Typ der angelegten Internet-Site ist IMAP-Site?

    Im Feld Organisation steht der gleiche Name, der auch im Zertifikat des Servers (O=.......) steht?

    Stehen die korrekten (Host- und IP-)Adressen im IMAP-Site-Dokument?

    Gibt es weitere Server/IMAP-Site-Dokumente?

    Hat der Server mehrere Ports/IP-Adressen? Wenn ja, wurden die entsprechenden Parameter für den IMAP-Port in der notes.ini gesetzt?

  • Ja genau wir haben unter Internet-Sites eine "IMAP-Site" angelegt. Im Feld Organisation haben wir unseren Firmennamen drin.

    Das ist ein guter Hinweis mit dem gleichen Namen!

    Der Hostname ist korrekt angegeben fqdn + ip adresse.

    Nein es gibt keine weiteren IMAP-SItes in der Internet-Sites Config.

    Notes.ini habe ich kontrolliert. Dort steht nix von IMAP drin. Der Server hat auch nur eine DMZ Ip


    Was komisch ist der Port lauscht auch.


    root@xx0000s22:~# nmap servername

    Starting Nmap 7.70 ( https://nmap.org ) at 2018-10-02 13:27 CEST

    Nmap scan report for servername (xxx.xxx.xxx.xxx)

    Host is up (0.016s latency).

    Other addresses for servername (not scanned): 2002:3e99:4bf3::3e99:4bf3

    Not shown: 983 closed ports

    PORT STATE SERVICE

    25/tcp open smtp

    80/tcp open http

    110/tcp open pop3

    135/tcp open msrpc

    139/tcp open netbios-ssn

    143/tcp open imap

    443/tcp open https

    445/tcp open microsoft-ds

    993/tcp open imaps

    1311/tcp open rxmon

    1352/tcp open lotusnotes

    1720/tcp open h323q931

    3389/tcp open ms-wbt-server

    8085/tcp open unknown

    49152/tcp open unknown

    49153/tcp open unknown

    49154/tcp open unknown


    Nmap done: 1 IP address (1 host up) scanned in 5.41 seconds

    root@xx0000s22:~# telnet servername 993

    Trying xxx.xxx.xxx.xxx...

    Connected to servername

    Escape character is '^]'.

    Connection closed by foreign host.

    root@xx0000s22:~# telnet servername 143

    Trying xxx.xxx.xxx.xxx...

    Connected to servername

    Escape character is '^]'.

    * OK Domino IMAP4 Server Release 9.0.1FP9 ready Tue, 2 Oct 2018 13:27:56 +0200



    root@xx0000s22:~# openssl s_client -crlf -connect servername:993

    CONNECTED(00000003)

    write:errno=104

    ---

    no peer certificate available

    ---

    No client certificate CA names sent

    ---

    SSL handshake has read 0 bytes and written 176 bytes

    Verification: OK

    ---

    New, (NONE), Cipher is (NONE)

    Secure Renegotiation IS NOT supported

    Compression: NONE

    Expansion: NONE

    No ALPN negotiated

    SSL-Session:

    Protocol : TLSv1.2

    Cipher : 0000

    Session-ID:

    Session-ID-ctx:

    Master-Key:

    PSK identity: None

    PSK identity hint: None

    SRP username: None

    Start Time: 1538481245

    Timeout : 7200 (sec)

    Verify return code: 0 (ok)

    Extended master secret: no

    ---

    root@xx0000s22:~#




    Noch weitere Ideen? :)

  • Der Port ist laut deinem Listing durchaus aktiv - nur eben ohne sinnvolle Konfiguration (wie ja auch die Fehlermeldung besagt).

    Er findet das IMAP Internet-Site Dokument schlicht nicht, was (ohne das System vor der Nase zu haben) drei mögliche Ursachen am wahrscheinlichsten macht:


    a) Zwischen Anlegen des IMAP Dokuments und aktivieren des IMAP-Ports wurden die Ansichts-Indexe noch nicht aktualisiert, oder es sind mehrere Server in der Domäne und das IMAP Dokument wurde noch nicht zwischen den Servern repliziert - passiert gerne wenn man einen anderen Server am Adminclient benutzt als der, der die Konfiguration erhalten soll.


    b) Die Organisation des IMAP Dokuments stimmt immer noch nicht mit der Organisation des Servers überein.

    Bitte hier auch wirklich exakt den Namen aus dem Certifier benutzen!

    Beispiel: Wenn der Domino den Namen hat "CN=ServerXYZ/OU=Servers/O=MyCompany/C=DE" dann wäre "MyCompany" der richtige Wert.

    Wenn die Organisation Leerzeichen und/oder Sonderzeichen enthält müsste man nochmal gucken, einige sind unzulässig und verursachen möglicherweise Probleme.


    c) Es ist ein deutsches Domino-Directory-Template und es ist ein Übersetzungsfehler in der IMAP-Maske vorhanden, der für falsche Namen/Inhalte bei den Steuerfeldern sorgt.


    Für c) müsste man sich die Feldinhalte in den Dokumenteigenschaften genauer anschauen.


    Carsten

  • zu a) das halte ich für unwahrscheinlich, weiss ich aber nicht genau wie ich das prüfen kann.

    zu b) Ich habe den Certifer mir angeschaut. Der Name ist exakt hinterlegt.

    zu c) Genau wir nutzen Deutsche Templates. Ich habe mir die Dokumenteigenschaften mal angeschaut, aber nichts aufälliges gesehen.


    Kann doch nicht sein das das so ein Akt ist Imap ssl zu aktivieren :(


    Anbei die Konfig:


    pasted-from-clipboard.png

  • Es war vorher genau in der anderen drin. Aufgrund des Hinweis von Carsten, habe ich es auf RETHMANN gestellt. Leider ohne Erfolg.

    Also habe ich beide Varianten durch. Habt ihr noch eine Idee was ich kontrollieren könnte?

  • Xpost ohne es selber anzugeben ist schlecht, da gibt es welche die dort dann einfach nicht mehr reagieren.


    Wenn dann bitte mit eigene Meldung, und nicht warten und hoffen das keiner es merkt.


    Dann: Hast du die Site dokumente schon kontrolliert ?