[RÉSOLU] Config mail - problème POP3S auto-signé

Ce forum est consacré aux versions stables de Firefox OS

Modérateurs : Monique, genma

Répondre
manu.p
Salamandre
Messages : 40
Enregistré le : 03 juil. 2014, 16:12
Contact :

[RÉSOLU] Config mail - problème POP3S auto-signé

Message par manu.p » 03 janv. 2015, 20:12

Bonjour,

J'ai mon propre serveur de mail POP auto-hébergé (Ubuntu/dovecot). Il fonctionne normalement depuis des mois avec des clients TB du réseau local et, précédemment, avec un client sous cyanogenMod (CM).

Nouvel utilisateur de FFOS (2.1), je ne parviens pas à configurer le client sur mon ZTE Open C en spécifiant les @IP du serveur et compte utilisateur du mail en SSL à l'identique des config TB ou CM...

Le client FFOS m'indique "Impossible d'établir une connexion sécurisée avec "192.168.1.200". Il y a peut-être un problème avec votre serveur ou votre réseau".

Mais le log du serveur m'en dit plus (et plus précis) :

Code : Tout sélectionner

Jan  3 19:58:42 monserveur dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=192.168.1.1, lip=192.168.1.200, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<U2vHC8QLlQDAqAEB>
Et duand je relève les mails à partir de TB :

Code : Tout sélectionner

Jan  3 19:58:57 monserveur dovecot: pop3-login: Login: user=<manu>, method=PLAIN, rip=192.168.1.100, lip=192.168.1.200, mpid=29182, TLS, session=<dBWjDMQLhgDAqAFk>
On dirait que le username de connexion (manu) n'est simplement pas transmis au serveur POP3, d'après le "user=<>".
Votre Navigateur : Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:34.0) Gecko/20100101 Firefox/34.0
Modifié en dernier par manu.p le 05 janv. 2015, 19:24, modifié 1 fois.
manu'

Shnoulle
Gecko
Messages : 78
Enregistré le : 31 mars 2006, 01:50

Re: Configuration mail - problème POP3S

Message par Shnoulle » 04 janv. 2015, 10:41

Salut,
ton serveur de mail à un SSL auto signé, non?

Parce que malheureusement, il n'est pas possible de gérer soit même les certificats pour les mails.
Il faut un certificat signé par une authorithe
Votre Navigateur : Mozilla/5.0 (Mobile; OPENC; rv:28.0) Gecko/28.0 Firefox/28.0

manu.p
Salamandre
Messages : 40
Enregistré le : 03 juil. 2014, 16:12
Contact :

Re: Configuration mail - problème POP3S

Message par manu.p » 04 janv. 2015, 10:55

Salut, merci Shnoulle.
Shnoulle a écrit : ton serveur de mail à un SSL auto signé, non?

Parce que malheureusement, il n'est pas possible de gérer soit même les certificats pour les mails.
Il faut un certificat signé par une authorithe
Oui, c'est un certificat auto-signé.

J'ai aussi eu le pb avec ma synchro de calendriers owncloud (caldav) que j'ai pu contourner en acceptant le certificat auto-signé dans FF, ce qui a eu pour effet de le valider globalement, du moins pour l'appli Agenda.

S'il n'existe vraiment aucune solution pour POP3S, ce que je crains effectivement, je crois que je vais devoir faire un tour chez startssl.com...
Votre Navigateur : Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:34.0) Gecko/20100101 Firefox/34.0
manu'

manu.p
Salamandre
Messages : 40
Enregistré le : 03 juil. 2014, 16:12
Contact :

Re: Configuration mail - problème POP3S

Message par manu.p » 05 janv. 2015, 19:21

Shnoulle a écrit :Parce que malheureusement, il n'est pas possible de gérer soit même les certificats pour les mails.
Il faut un certificat signé par une authorithe
Oui sans doute :) , mais il y a moyen de contourner là aussi cette limitation, toujours présente en 2.1. :evil:

En passant, un certificat CACERT ne passe pas...

C'est décrit (EN), et le principe est de récupérer sur un PC la base des certificats du téléphone, d'y intégrer le certificat auto-signé et de renvoyer le tout sur le téléphone.
Il faut adb et les libnss3-tools sur le PC/Linux, pour les autres OS je connais pas.

Il faut avoir rooté son téléphone, éventuellement de manière temporaire (merci PmGs).

On connecte le téléphone au PC par le câble USB, puis on vérifie qu'il soit bien "là" :

Code : Tout sélectionner

adb devices -l
qui affichera si tout va bien quelque chose de similaire à :

Code : Tout sélectionner

List of devices attached 
1a129ff                device usb:1-4.1 product:ZTE_OPENC model:Open_C device:ZTE_P821A10
Si on a une série de ??????????, il faut essayer d'arrêter/redémarrer le daemon adbd par :

Code : Tout sélectionner

adb kill-server
adb start-server
Et vérifier que le téléphone est bien vu du PC comme précédemment expliqué.

Puis on va déterminer l'id Mozilla par :

Code : Tout sélectionner

adb shell "ls -d /data/b2g/mozilla/*.default"
Chez moi, ça a donné : /data/b2g/mozilla/9qwfagf9.default, il faudra pour la suite bien entendu utiliser l'id qui correspond, pas le mien nécessairement... :P
J'ai créé un dossier ZTE pour travailler dedans puis j'ai récupéré du téléphone sur mon PC les fichiers nécessaires :

Code : Tout sélectionner

mkdir ZTE ; cd ZTE 
adb pull /data/b2g/mozilla/9qwfagf9.default/cert9.db
adb pull /data/b2g/mozilla/9qwfagf9.default/key4.db
adb pull /data/b2g/mozilla/9qwfagf9.default/pkcs11.txt
Par sécurité, on recopie ces fichiers qu'on va modifier dans un sous-dossier backup :

Code : Tout sélectionner

mkdir backup 
cp {cert9.db,key4.db,pkcs11.txt} backup/
On met à blanc le mot de passe de la base chargée en pressant Entrée sans mot de passe à :

Code : Tout sélectionner

certutil -d 'sql:.' -N
Dans un sous-dossier import, on met le(s) .pem du(des) certificat(s) qu'on veut importer sur le téléphone et on les injecte dans la base :

Code : Tout sélectionner

for i in import/*.pem; do certutil -d 'sql:.' -A -n "`basename $i`" -t "C,C,TC" -i $i; done
Il ne reste plus qu'à renvoyer à l'expéditeur, i.e. sur le téléphone :

Code : Tout sélectionner

adb push cert9.db /data/b2g/mozilla/9qwfagf9.default/
adb push key4.db /data/b2g/mozilla/9qwfagf9.default/
adb push pkcs11.txt /data/b2g/mozilla/9qwfagf9.default/
Et pour finir, redémarrer le téléphone.

Et j'ai alors pu finir de configurer mon compte mail et recevoir mes mails sur le téléphone. 8-)
Votre Navigateur : Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:34.0) Gecko/20100101 Firefox/34.0
Modifié en dernier par manu.p le 04 juil. 2015, 21:04, modifié 2 fois.
manu'

petrusko
Lézard vert
Messages : 120
Enregistré le : 11 déc. 2013, 13:07

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par petrusko » 06 janv. 2015, 16:22

Joli tuto a tester dès que possible!
Surtout si ce n'est toujours pas ok dans la v2.....
Votre Navigateur : Mozilla/5.0 (Mobile; OPENC; rv:28.0) Gecko/28.0 Firefox/28.0

PmGs
Arias
Messages : 6
Enregistré le : 12 janv. 2015, 00:55

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par PmGs » 12 janv. 2015, 10:20

Merci pour le tuto.

J'ai bloqué au début : adb shell "ls -d /data/b2g/mozilla/*.default" : sur Permission denied.

En fait il faut pouvoir booter en root et pour cela flasher la ROM du mobile :( , une solution plus simple est disponible ici : http://frederic-blanc.net/?p=25
Votre Navigateur : Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Firefox/31.0 Iceweasel/31.3.0

manu.p
Salamandre
Messages : 40
Enregistré le : 03 juil. 2014, 16:12
Contact :

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par manu.p » 12 janv. 2015, 10:28

Merci PmGs, j'ai rajouté le point dans mon post.
Votre Navigateur : Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:34.0) Gecko/20100101 Firefox/34.0
manu'

petrusko
Lézard vert
Messages : 120
Enregistré le : 11 déc. 2013, 13:07

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par petrusko » 05 janv. 2016, 21:34

Merci manu.p pour ton tuto
(oui, 1 an après... bref!!!)

Ca marche avec mon hébergeur mail, il nous file son certificat.crt que j'ai converti en .pem, et hop ca passe maintenant !

Par contre je viens à toi, voyant que tu as aussi ton propre serveur à mails.
Ici c'est pareil, ca marche bien avec STARTTLS, les clients Thunderbird chez windows et linux, le serveur... tout va bien pour l'instant.
Mais c'est le FFOS qui n'arrive pas à y acceder !
J'ai suivi la même méthode pour intégrer le certificat, mais erreur coté tél et serveur.

coté serveur, on aperçoit :
TLS: SSL_read() failed: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate: SSL alert number 42,

Perso, j'ai simplement exporté le certificat depuis Thunderbird qu'il a obtenu à la première connexion.
Pareil pour toi ?

edit: je me demande si la procedure suivie pour installer mon serveur mails est bonne à 100% pour le tél... surtout ces histoires de certificats et CA...... je m'y perd un peu...

manu.p
Salamandre
Messages : 40
Enregistré le : 03 juil. 2014, 16:12
Contact :

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par manu.p » 05 janv. 2016, 23:20

Salut, depuis j'ai changé d'hébergement pour mon domaine, il n'est plus auto-hébergé mais chez proxgroup (pub !), et j'ai reconfiguré le compte mail sur le téléphone en IMAP non sécurisé...

Je ne suis pas sûr que le compte mail sur le tél était en STARTTLS, peut-il être en SSL/TLS ? Et authentification par certificat SSL ?
manu'

petrusko
Lézard vert
Messages : 120
Enregistré le : 11 déc. 2013, 13:07

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par petrusko » 05 janv. 2016, 23:29

Ok merci pour la réponse,
bon, j'essaierai d'aller fouiner dans le coin des manchots ;)

petrusko
Lézard vert
Messages : 120
Enregistré le : 11 déc. 2013, 13:07

Re: [RÉSOLU] Config mail - problème POP3S auto-signé

Message par petrusko » 17 janv. 2016, 15:11

Après recherches et ramonage de neurones sur la vie trépidante de la PKI,
pour ceux qui ne veulent pas trop se prendre la tête avec commande openssl, certificats auto-signés pour leurs serveurs mails et leur tél Firefox OS,
il y a l'utilitaire avec GUI nommé TinyCA disponible dans les dépôts :
Gestion de CA (celui qu'on intègre au tél), et tous les certificats à mettre dans ses serveurs web/mails..........
Tuto en anglais pour utiliser TinyCA :
http://theworldofapenguin.blogspot.ro/2 ... art-1.html
http://theworldofapenguin.blogspot.com/ ... art-2.html

Perso ca a marché avec l'intégration de mon .pem dans le tél :)
Du coup dans la foulée, plus besoin de cliquer "visit site" ou ajouter l'exception pour son site perso en https.

Répondre

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité