<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body><div>Keys are generated when they are needed, so it does require that provisioning step currently</div><div><br></div><div>Maybe user key could be made on login too...</div><div id="composer_signature"><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">---<div>Aki Tuomi</div><div>Dovecot oy</div></div><div><br></div><div style="font-size:100%;color:#000000"><!-- originalMessage --><div>-------- Original message --------</div><div>From: eaerhaerhaehae aehraerhaeha <dovecotquestion@gmx.de> </div><div>Date: 01/09/2018  13:57  (GMT+02:00) </div><div>To: dovecot@dovecot.org </div><div>Subject: Do encrypted user keys self generate? </div><div><br></div></div><div style="font-family: Verdana;font-size: 12.0px;"><div>Hi! Dovecot version 2.2.33.2</div>
<div> </div>
<div>I added  folder based encryption with encrypted user keys to my dovecot using the five config lines in the manual:</div>
<div><a href="https://wiki2.dovecot.org/Plugins/MailCrypt#Folder_keys" target="_blank">https://wiki2.dovecot.org/Plugins/MailCrypt#Folder_keys</a></div>
<div>I also adjusted the database query slightly, as suggested. (MySQL, SHA512 passwords)</div>
<div> </div>
<div>I found out that I have to either:</div>
<div>- manually generate a key using doveadm -o plugin/mail_crypt_private_password=12345 mailbox cryptokey generate -u mail@example.org -URf</div>
<div>OR</div>
<div>- send an email to the newly generated address. It will end up in the mail queue (postqueue -p) with the error message "mail_crypt_require_encrypted_user_key set, cannot generate user keypair without password or key"</div>
<div>10-30 minutes later, however, a key will have been automatically generated and the email will be delivered.</div>
<div> </div>
<div>QUESTION 1:Does dovecot use the IMAP login my client performs to grab the password required to generate an encrypted user key? Or did it create an unencrypted key? It definitely seems to be password protected because "doveadm mailbox cryptokey password" will fail setting a new password unless I specify the actual email address password.</div>
<div> </div>
<div>QUESTION 2: If I change the password in the MySQL database this won't work, because Dovecot will not have access to the old password, correct?</div>
<div> </div>
<div>Thank you for your time.</div></div></body></html>