Nach dem Update von Debian Stretch auf Debian Buster, bei dem auch der IMAP Server Dovecot auf die Version 2.3.4.1 aktualisiert wurde, funktioniert die Authentifizierung nicht mehr. Bei Login-Versuchen sieht man in der Logdatei /var/log/dovecot.log folgende Fehlermeldung:
imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small
Bei einer Webrecherche ergaben sich schnell einige Fundstellen zu dem Problem:
- https://wiki2.dovecot.org/Upgrading/2.3
- https://dovecot.org/pipermail/dovecot/2019-October/117221.html
- https://makeityourway.de/dovecot-2-3-couldnt-parse-dh-parameters/
In der Upgradedoku von Dovecot Version v2.2 to v2.3 wird darauf hingewiesen dass man eine neue Einstellung ssl_dh der Dovecot Config hinzufügen muss.
ssl-parameters.dat file is now obsolete. You should use ssl_dh setting instead: ssl_dh=</etc/dovecot/dh.pem
Lösungsschritte:
- Erzeugen einer Datei dh.pem für die Diffie-Hellman Parameter
- openssl dhparam -out /etc/dovecot/dh.pem 4096
- Hinweis: Die Ausführung des Befehls kann durchaus mehrere Minuten dauern.
- openssl dhparam -out /etc/dovecot/dh.pem 4096
- Ändern der Dovecot Config
- Bearbeiten der Datei /etc/dovecot/dovecot.conf
- Hinzufügen folgender Zeile am Ende der Datei:
- ssl_dh=</etc/dovecot/dh.pem
- Neustart des Dovecot Service
Danach funktionierte die Authentifizierung mit Dovecot wieder wie vorher.
kurz, knapp, zielführend
Danke!
Vielen dank, hat mir sehr geholfen!
Großartig! Danke!
2 x Daumenhoch!
Danke!!!
3 daumen hoch
Fantastisch, danke.
Bei mir steht die Konfiguration in /etc/dovecot/conf.d/10-ssl.conf
Habe da noch ssl_dh_parameters_length=4096 gesetzt, weiß aber nicht, ob das sein muss und Auswirkungen hat.
Clap!!! Great.
Danke! hat 1a geklappt
Super Anleitung. Vielen Dank für die schnelle Hilfe!
Dankeschön fürs Teilen! hat mir einiges an Zeit erspart 😀
Auch noch ein Dankeschön von mir. 🙂
Die Anweisung aus mail.log hat es nicht getan
Jul 1 06:40:02 r3 dovecot: config: Warning: please set ssl_dh= /etc/dovecot/dh.pem
Ich glaube, der Schlüssel war zu kurz
1. Treffer in Google, wenn man nach „Failed to initialize SSL server context: Can’t load DH parameters“ sucht. Super! wenn es auch Ubuntu in meinem Fall war(möglicherweise stammt das Paket aus Debian) aber läuft jetzt wieder. Danke!
Danke kann heute auch Silvester Feiern 🙂
Nunja, so ein apt ful-upgrade (in meinem Fall) von Stretch zu Buster ist schon so ein Ding. Das war der erste Fehler nach dem Upgrade, in den ich rein gerannt bin. Es werden noch viele weiterefolgen, fürchte ich.
Vielen Dank für die Anleitung, dieses Kommando läuft aber echt stundenlang, um einen Schlüssel zu erstellen. 4096 bit ist aber auch ein bisschen krass, aber was soll’s.
Ich musste gemäß https://doc.dovecot.org/installation_guide/upgrading/from-2.2-to-2.3/ zusätzlich noch /var/lib/dovecot/ssl-parameters.dat umbenennen (ggfs. löschen). Dann ging es endlich auch mit Dovecot 2.3.4.1
Thank you so much!
Setting „-dsaparam“ will accelerate the key generation:
openssl dhparam -dsaparam -out dh.pem 4096
(see: https://security.stackexchange.com/a/95184)
1000 Dank! Hab’s bei google gefunden nachdem ich stumpf stretch auf buster gezogen habe – hast mir zig Stunden Arbeit und Frustration erspart!
Klappt tadellos! Herzlichen Dank für die Mühe!
Perfekt! Problem in 5 Minuten gelöst!
DANKE! DANKE! DANKE!
Vielen vielen Dank für diese tolle Anleitung. Hatte schon Schweißperlen auf der Stirn. Das hat viel Frust erspart.