Nach Update auf 3.2.1 Mail Passwörter falsche Encryption

[wintermute666]

Hallo miteinander,
ich habe einen Server den ich am Montag auf auf 3.2.1 gezogen habe.Seit diesem Zeitpunkt habe ich Probleme bei den Mailpasswörtern von neuen Konten:

in der Tabelle mail_user steht das Passwort als (wahrscheinlich) Crypt drinnen:

<email1> $1$D1gFZTQL$oQjv2b4prqHs4ET10hZvQ0
<email2>. $1$riCYSjC0$zJAbnhv.t1b/pSvJpvvNI1

und so weiter .....
eine neu angelegte Adresse sieht aber so aus:

<email20>. $6$rounds=5000$cf36e4b83ea86ef2$0Z1EtWG6PK6SApVFpNL6UFkbU45UlFW55ZzwoleJ8fvhay9IWq7Pr2LHYinZaypjeSUtnd20I7mNLdF1CSequ1

ein aktueller TB auf einem Windows Rechner kann weder IMAP noch SMTP Verbindungen Aufbauen, ein Auszug aus dem Postfix Log:

ec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute name: keybuf

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute value: K07cheu6Vx7n+qu/NYKAU3CGW4uoIaLu8964QVSjnIMQPkGc1B6hTfyFRdo7yEvBjdD85DxYbii4PCWKk66M9lgo2Cx+Y4up5ISrgZabocUj5chfAAAAAA==

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: private/tlsmgr: wanted attribute: (list terminator)

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute name: (end)

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: send attr request = update

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: send attr cache_type = smtpd

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: send attr cache_id = CB85C25CB81A4C4BB3EE8D2CA1B7327186A465ADDB4D38B12EB478BD43344C46&s=submission&l=269488255

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: send attr session = [data 137 bytes]

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: private/tlsmgr: wanted attribute: status

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute name: status

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute value: 0

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: private/tlsmgr: wanted attribute: (list terminator)

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: input attribute name: (end)

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_create: SASL service=smtp, realm=(null)

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: name_mask: noanonymous

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: Connecting

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: VERSION?1?2

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: MECH?PLAIN?plaintext

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: name_mask: plaintext

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: MECH?LOGIN?plaintext

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: name_mask: plaintext

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: SPID?30749

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: CUID?165

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: COOKIE?08ad74c200b6fead834654586a478ebb

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_connect: auth reply: DONE

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_mech_filter: keep mechanism: PLAIN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_mech_filter: keep mechanism: LOGIN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: < dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: EHLO [192.168.4.121]

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: match_list_match: dslb-088-077-003-187.088.077.pools.vodafone-ip.de: no match

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: match_list_match: 88.77.3.187: no match

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-my.server.name

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-PIPELINING

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-SIZE

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-VRFY

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-ETRN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-AUTH PLAIN LOGIN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-AUTH=PLAIN LOGIN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-ENHANCEDSTATUSCODES

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-8BITMIME

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-DSN

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250-SMTPUTF8

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 250 CHUNKING

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: < dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: AUTH PLAIN AGdlcnRAZm90by1raXJzY2guZGUAWUBhNFltRGtNcXVV

Dec 3 13:46:20 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_first: sasl_method PLAIN, init_response AGdlcnRAZm90by1raXJzY2guZGUAWUBhNFltRGtNcXVV

Dec 3 13:46:22 srv postfix/submission/smtpd[5060]: xsasl_dovecot_handle_reply: auth reply: FAIL?1?user=XXXXXXXXXXXXXXX

Dec 3 13:46:22 srv postfix/submission/smtpd[5060]: warning: dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: SASL PLAIN authentication failed:

Dec 3 13:46:22 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 535 5.7.8 Error: authentication failed:

Dec 3 13:46:22 srv postfix/submission/smtpd[5060]: < dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: AUTH LOGIN

Dec 3 13:46:22 srv postfix/submission/smtpd[5060]: xsasl_dovecot_server_first: sasl_method LOGIN

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: xsasl_dovecot_handle_reply: auth reply: CONT?2?VXNlcm5hbWU6

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 334 VXNlcm5hbWU6

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: < dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: Z2VydEBmb3RvLWtpcnNjaC5kZQ==

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: xsasl_dovecot_handle_reply: auth reply: CONT?2?UGFzc3dvcmQ6

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 334 UGFzc3dvcmQ6

Dec 3 13:46:26 srv postfix/submission/smtpd[5060]: < dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: WUBhNFltRGtNcXVV

Dec 3 13:46:28 srv postfix/submission/smtpd[5060]: xsasl_dovecot_handle_reply: auth reply: FAIL?2?uxxxxxxxxxxxxxxxxx

Dec 3 13:46:28 srv postfix/submission/smtpd[5060]: warning: dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Dec 3 13:46:28 srv postfix/submission/smtpd[5060]: > dslb-088-077-003-187.088.077.pools.vodafone-ip.de[88.77.3.187]: 535 5.7.8 Error: authentication failed: UGFzc3dvcmQ6


bei zugriff via IMAP kommt der auth-worker nur mit SQL(email20) password mismatch ?

Zusammengefasst wie kann ich das zurückstellen , da die alten User / Kennwort Kombi noch nutzen ud damit geht es auch

 

[Till]

Die Encryption ist nicht falsch, das ist einfach nur eine aktuellere Verschlüsselung, die von jeder aktuellen Linux Distribution unterstützt wird. Welches Linux nutzt Du denn?

 

[wintermute666]

Debian 10.6 Buster, das es nicht falsch ist , ist mir schon klar , aber : der Fehler tritt in der Form nur im TB unter Windows 10 auf , am gleichen Server hängen ca 20 iOsS devices und 10 iMacs , die sowohl mit TB als auch mit Apple Mail arbeiten : keinerlei Probleme . Mittlerweile haben mich schon andere Admins angerufen die das gleiche Problem haben. Ich bin mittlerweile soweit , das ich es auf TLSv 1.x eingrenzen konnte

 

[Till]

Der Client hat aber nichts mit der Verschlüsselung zu tun, denn er sendet das Passwort im Klartext, gesichert über eine TLS Verbindung, erst der Server wandelt es in einen hash um und ptüft den hash gegen den Eintrag in der datenbank. Prüf mal die Einstellungen in Thunderbird bzw. versuch da mal unterschiedliche Einstellungen, vermutlich ist da was falsches eingestellt.

 

[wintermute666]

ich bin nicht so der Thunderbirds Nutzer , das ich jetzt sofort wüsste woran es jetzt nun genau liegt Zumindest sendet der Thunderbird wieder mit STARTTLS und TLSv1.3 nur Dovecot hat sich zickig bezüglich der TLS Version : TLS: read(size=684) failed: Connection reset by peer ist und bleibt die Meldung , wenn ich Ordner abrufen will ......

 

[wintermute666]

hier die ausgäbe vom s_client :

openssl s_client -connect xxxxxxxxxxxxxxxxxx:993

CONNECTED(00000003)

depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3

verify return:1

depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

verify return:1

depth=0 CN = xxxx.xxxxxxxx.xxxxxxxx

verify return:1

---

Certificate chain

0 s:CN = xxx.xxxxx.xxxxxx

i:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

1 s:C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3

i:O = Digital Signature Trust Co., CN = DST Root CA X3

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIFZzCCBE+gAwIBAgISA1pN3auRlgVgfrkAe+0IL2IEMA0GCSqGSIb3DQEBCwUA

MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD

ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDExMTcwOTE2MjZaFw0y

MTAyMTUwOTE2MjZaMCIxIDAeBgNVBAMTF3Nydi5zaG90cy1vZi1hcnQuYmVybGlu

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAysG39tTbIJH65FXWzYzj

F2vVBjeSaYJ9gcnVUZr/xpaIOtCz6RtW6NujPcQMyvc6s/L/Y6iMlKwj57MX5Lwx

3zC6QM7vzseMamItnaynQzWvzxoAK33FdkQNkePBJTnWAFE78VF0WlPzITe0Axu3

05PMEr3v8QE8t4n5DtLc1MePb2hIICCq09jKU//0t87gS94GCch8wFrBgmKabKAQ

/dLHU0eT8Yh+cZZtOa51TFl3bLBssGAj2queIPh8Ndur4TZPtuAWxw3nFRkF9CLa

foDgV84rDsDwlQsxTEYqp5yZdXG5RdLxcfr797p4HnCAReFD9UVZPmKTxv4lOkBg

WQIDAQABo4ICbTCCAmkwDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUF

BwMBBggrBgEFBQcDAjAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBSalz7v5GwIojzs

1SGyn1Q7gjXkPDAfBgNVHSMEGDAWgBSoSmpjBH3duubRObemRWXv86jsoTBvBggr

BgEFBQcBAQRjMGEwLgYIKwYBBQUHMAGGImh0dHA6Ly9vY3NwLmludC14My5sZXRz

ZW5jcnlwdC5vcmcwLwYIKwYBBQUHMAKGI2h0dHA6Ly9jZXJ0LmludC14My5sZXRz

ZW5jcnlwdC5vcmcvMCIGA1UdEQQbMBmCF3Nydi5zaG90cy1vZi1hcnQuYmVybGlu

MEwGA1UdIARFMEMwCAYGZ4EMAQIBMDcGCysGAQQBgt8TAQEBMCgwJgYIKwYBBQUH

AgEWGmh0dHA6Ly9jcHMubGV0c2VuY3J5cHQub3JnMIIBBQYKKwYBBAHWeQIEAgSB

9gSB8wDxAHcAlCC8Ho7VjWyIcx+CiyIsDdHaTV5sT5Q9YdtOL1hNosIAAAF11bSj

9AAABAMASDBGAiEA0Di95UvxZhSHqXvA2BGonrbgmCSzkVenTM0fTe3llvkCIQDJ

+FCFLjFHlLbvxATTrbDwZspy7Dl6lv/xK0Sb3TiRhgB2AH0+8viP/4hVaCTCwMqe

Uol5K8UOeAl/LmqXaJl+IvDXAAABddW0pFkAAAQDAEcwRQIgUrKY0GKqeHKJZXmg

bJt5rydcqD7dvbquBAaXoaox2LcCIQCcrQKrKeYYIVB+hTyp0H8Tj8Fg+yzwGGHZ

zgZJh6O9yjANBgkqhkiG9w0BAQsFAAOCAQEAQ89mV8L5x+nL/as66LQBZ8PExh30

xJy1qilbddp7/zRxCF4y3+2ASYp5+ZAsIq/9w0ZqrgJPSgWcYMK3H8jiq5Mw+5z2

IywKRKxB3LUbykpf90NydWPYaYR/W5MHab9aP2t+uu+1DqucmfzTJlvR1wbGhSG8

2VnUAmwBA0mhwjWeJGwHazYm5Fs/PPqAl4aPODdJw2flSgJqARmvFmczb9pELEhO

9YBQNaSXNfrM0g07qDsx2hQwO+phwWmebSvXIr2RvCh3LakUVb81qmHQni7pmXZm

yXK/l54sO30cVaLNPVcWhPw/PROrFtwHmmqJjPmB4xX3vsCcVsw+SVxxrQ==

-----END CERTIFICATE-----

subject=CN = xxx.xxxxx.xxxxxxxxxx.xxxx



issuer=C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3



---

No client certificate CA names sent

Peer signing digest: SHA256

Peer signature type: RSA-PSS

Server Temp Key: X25519, 253 bits

---

SSL handshake has read 3126 bytes and written 405 bytes

Verification: OK

---

New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384

Server public key is 2048 bit

Secure Renegotiation IS NOT supported

Compression: NONE

Expansion: NONE

No ALPN negotiated

Early data was not sent

Verify return code: 0 (ok)

---

---

Post-Handshake New Session Ticket arrived:

SSL-Session:

Protocol : TLSv1.3

Cipher : TLS_AES_256_GCM_SHA384

Session-ID: 4AE899F86237AA3FEFA669255EF1D28F8836D76715DF951C477DB33A01B89FA0

Session-ID-ctx:

Resumption PSK: CFB43E89CE0255A29DC630525F9D8D2857BEFC1C81E53296AA039989FA4307D9D6A52AC192C8A023B7358A8B4B1714B8

PSK identity: None

PSK identity hint: None

SRP username: None

TLS session ticket lifetime hint: 7200 (seconds)

TLS session ticket:

0000 - 70 aa ad cc 22 2a d7 ef-da 07 fa 5d ab 26 3d ed p..."*.....].&=.

0010 - a6 a7 ac 44 1d 06 8c fb-b7 32 1c 92 76 91 b2 e8 ...D.....2..v...

0020 - 1f cc f0 93 c9 ca 36 f8-40 0a bc 82 c0 40 cb c4 ......6.@....@..

0030 - ce ee be 35 12 f1 28 61-c0 15 e3 21 1f cc 93 54 ...5..(a...!...T

0040 - c7 7d 62 51 cf 03 8f c4-42 4d a3 6a 3a d6 fe 77 .}bQ....BM.j:..w

0050 - 61 50 f0 aa 3c 62 9f 2b-c9 b4 c2 ac a3 f4 a9 7c aP..<b.+.......|

0060 - ad 1f 07 5d f5 0f 29 de-19 e3 6e af e3 8f 64 4e ...]..)...n...dN

0070 - 2f b5 bf ac f8 21 79 fe-7b c4 98 d9 4d d6 2e 8d /....!y.{...M...

0080 - a5 6d bc 23 c2 d0 9f b8-69 6c ff 5e 76 57 6a 54 .m.#....il.^vWjT

0090 - 86 cd c0 ae 4a 87 1a 2c-ae 95 27 0a c5 9d ae cc ....J..,..'.....

00a0 - 50 cf 06 db c6 ef 5a 83-52 57 9a 64 a6 94 3f 77 P.....Z.RW.d..?w

00b0 - 3b a1 fc b9 14 98 d3 0a-d0 b2 e8 94 dd 94 43 c1 ;.............C.

00c0 - a4 85 02 87 05 3e 24 ae-3e 72 4d f0 3f a0 b5 48 .....>$.>rM.?..H

00d0 - 5c b6 8f a6 f3 64 02 89-92 75 0e 9e d7 f8 19 6d \....d...u.....m



Start Time: 1607011570

Timeout : 7200 (sec)

Verify return code: 0 (ok)

Extended master secret: no

Max Early Data: 0

---

read R BLOCK

---

Post-Handshake New Session Ticket arrived:

SSL-Session:

Protocol : TLSv1.3

Cipher : TLS_AES_256_GCM_SHA384

Session-ID: B7B8378152E8FAEB5D4424803A802DBDE432649B7026F2C215974F3281CBFE07

Session-ID-ctx:

Resumption PSK: 5D1629E8E306E6FE0595CB48119A13F7DAC216C8EF5981023343116AB903808C8683101996A77D7FF6DA4A8886A32661

PSK identity: None

PSK identity hint: None

SRP username: None

TLS session ticket lifetime hint: 7200 (seconds)

TLS session ticket:

0000 - 70 aa ad cc 22 2a d7 ef-da 07 fa 5d ab 26 3d ed p..."*.....].&=.

0010 - 00 24 2d 72 f3 f0 6b e0-de 46 3b 0d 7e 1b ec 3b .$-r..k..F;.~..;

0020 - d9 63 c6 96 25 6e 73 70-aa fb 83 46 88 f6 85 87 .c..%nsp...F....

0030 - ba 15 65 29 cc f7 b0 fc-d4 ee 1f c5 71 40 cb 5e ..e)........q@.^

0040 - 3d 7a da 5a 93 17 13 f9-9c a0 c5 eb cb a5 81 97 =z.Z............

0050 - 3b d1 b3 3d cf 09 44 a0-6b 53 00 2d ee 01 49 38 ;..=..D.kS.-..I8

0060 - 41 31 16 3b 63 25 ec 2e-32 5b 18 51 0e 21 33 0f A1.;c%..2[.Q.!3.

0070 - cf 30 d9 6d db 6c 87 52-7a 01 c1 a5 5d fc bd b8 .0.m.l.Rz...]...

0080 - 0b a4 51 0c a8 09 7f 08-ea 57 53 28 5c 5b 28 20 ..Q......WS(\[(

0090 - ce c4 16 4d e3 b0 28 87-8f c8 54 8b 67 01 5e 18 ...M..(...T.g.^.

00a0 - a6 96 94 5c eb 70 2a d8-0d 04 21 8b 02 30 60 44 ...\.p*...!..0`D

00b0 - 3a c0 f2 1b 82 31 2d ec-a3 5a 08 79 89 02 cf a7 :....1-..Z.y....

00c0 - 4a 29 a7 3f 90 65 6d 65-eb dd 18 29 59 c2 c2 31 J).?.eme...)Y..1

00d0 - b4 64 93 fc c1 76 ec 41-41 46 4c 38 2f 23 c0 ad .d...v.AAFL8/#..



Start Time: 1607011570

Timeout : 7200 (sec)

Verify return code: 0 (ok)

Extended master secret: no

Max Early Data: 0

---

read R BLOCK

* OK [CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SEPCIAL-USE XLIST LITERAL+ AUTH=PLAIN AUTH=LOGIN] Dovecot (Debian) ready.

 

[wintermute666]

[SOLVED] Thunderbird hat ein paar Einstellung wohl verlagert, wasdazu führt das man das Profil zwar sichern sollte , es aber danach tatsächlich *komplett* aus %APPDATA&/Thunderbird/Roaming *löscht*, also nur den leeren Profilordner hat. Danach Thunderbirds mit dem Parameter "--ProfilManager" starten , das"default Profile" löschen, und ein neues anlegen. dann die Konten neu anlegen , und die MBOX Files Reimportieren , dann klappt es auch mit derTLS Einstellung