Stunnel: SSL für alles und jeden

Ich setze schon seit ein paar Tagen meinen Server komplett neu auf. Da der Server dieses Mal länger im Einsatz sein wird, habe ich mir natürlich auch überlegt, wie ich die Kiste ordentlich absichern kann. So biete ich zu allen Protokollen (z.B. IMAP, POP3, SMTP) auch die Varianten mit vorgeschaltetem SSL an (z.B. IMAPS, POP3S, SMTPS).

Wenn der Server direkt SSL unterstützt, ist das ganze garkein Problem. Dummerweise gibt es auch welche, bei denen das nicht der Fall ist. Das Projekt Stunnel kann dabei Abhilfe schaffen 😀 ! Das Programm fungiert als Reverse-Proxy, nimmt SSL-Verbindungen entgegen und leitet die Daten unverschlüsselt an den nichts ahnenden, lokalen Server weiter. 🙂

So sehen bei mir z.B. die Definitionen für HTTPS, POP3S, IMAPS und SMTPS aus - alles ganz einfach. Beachtet werden muss nur, dass sich hinter der Portnummer, die unter "connect" angegeben ist, auch wirklich ein Server verbirgt:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[https]
accept  = 443
connect = 80

[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143

[smtps]
accept  = 465
connect = 25

Bisher konnte ich noch keine größeren Problem festsstellen. Das Programm scheint auch nicht ganz unbekannt zu sein. 😉
Verschlüsselte Grüße, Kenny

7 Kommentare » Schreibe einen Kommentar

  1. Pingback: weizenspr.eu – trennt Spreu vom Weizen | My-azur.de

  2. Pingback: Mailserver, SSL und stunnel | mannaz (cc)

  3. Na ich werd's wohl für IMAP und SMTP nutzen, weil ich dort noch massive Probleme habe, es mit Dovecot/Postfix ordentlich einzurichten; irgendwie will das nicht so, wie ich es will, aber stunnel scheint es einem tatsächlich zu vereinfachen, immerhin hat der erste Test bei SMTP geklappt.

  4. Ach, stunnel klingt ja gut. So wie hier beschrieben klingt das auch gut für Sysadmin-Laien wie mich, weil es irgendwie die Konfiguration mit SSL auch erleichtert bei mehreren Anwendungen/Diensten. Danke für den Tipp!

    • Also ich bin immernoch sehr zufrieden mit dem Tool. Hatte bisher keinen einzigen Ausfall oder ähnliche Probleme. Das einzige, was man mit dem Tool nicht abbilden kann, ist FTPS. Das liegt an dem separaten Datenkanal, dessen Portnummer man nicht vorherbestimmen kann.

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.