<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body style='font-family: Verdana,Geneva,sans-serif'>
<p>Some questions about mail_crypt setups</p>
<p>I have global mail enecryption working nicely, and replication works nicely between two systems. The main problem is that the private and public keys are *right there* on the server in /etc/dovecot/private ... Fine for a completely controlled system, but not so fine when on a rented VPS etc.</p>
<p>When are the keys read in by dovecot ? Are they ever read in again while dovecot is running, or does it cache them in ram until dovecot is restarted ?</p>
<p>Would it be possible for dovecot to read the keys as output from a script ? I'm thinking of a small script that would reach out to an authentication service like Authy or Okta or similar. Admin gets an alert on their phone, taps OK, UNLOCK and the two keys are returned to the script, which then hands them back to dovecot and away it goes.</p>
<p>The mail_crypt config normally contains</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>mail_crypt_global_private_key = </etc/dovecot/private/dovecot_crypt_privkey<br /> mail_crypt_global_public_key = </etc/dovecot/private/dovecot_crypt_pubkey</p>
</blockquote>
<p>Perhaps add another variable like</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>mail_crypt_global_script = </etc/dovecot/private/dovecot_crypt_script</p>
</blockquote>
<p>That script would run and feed the two keys back into dovecot (no matter how it got to them).</p>
<p><br />So I started looking into per-user/per-folder encryption to see how that would work, and I have that setup nicely too. The config looks like this</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p># /etc/dovecot/conf.d/99-mailcrypt.conf<br />#--------------------------------------<br />mail_attribute_dict = file:%h/Maildir/dovecot-attributes<br />plugin {<br /> mail_crypt_require_encrypted_user_key = yes<br /> mail_crypt_save_version = 2<br /> mail_crypt_curve = secp521r1<br />}</p>
<p><br /># /etc/dovecot/dovecot-sql.conf.ext<br />#----------------------------------<br /># CREATE TABLE IF NOT EXISTS `users` (<br /># `username` varchar(64) character set utf8 collate utf8_bin NOT NULL COMMENT 'localpart of email-address',<br /># `domain` varchar(64) character set utf8 collate utf8_bin NOT NULL COMMENT 'domain-part of email-address',<br /># `name` varchar(64) character set utf8 collate utf8_bin NOT NULL COMMENT 'Full name of user',<br /># `password` varchar(128) character set utf8 collate utf8_bin NOT NULL COMMENT 'base64-encoded SHA512 hash of password',<br /># PRIMARY KEY (`username`,`domain`)<br /># ) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='users';</p>
<p>driver = mysql<br />connect = host=/var/run/mysqld/mysqld.sock dbname=emailers user=dovecot password=RandomPassword<br />default_pass_scheme = SHA512-CRYPT</p>
<p>password_query = SELECT username, password, '%w' AS userdb_mail_crypt_private_password, '/var/mail/%d/%n' AS userdb_home, 'vmail' AS userdb_uid, 'vmail' AS userdb_gid FROM users WHERE username = '%n' AND domain = '%d'</p>
<p># For LDA:<br />user_query = SELECT '/var/mail/%d/%n' AS home, 'vmail' AS uid, 'vmail' AS gid FROM users WHERE username = '%n' AND domain = '%d'</p>
<p># For using doveadm -A:<br />iterate_query = SELECT username, domain FROM users</p>
</blockquote>
<p><br />Except that replication doesn't work due to the user password not being available. Actually, indexing fails too for the same reason.</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>Feb 21 14:02:13 indexer-worker(testuser@example.com)<120846><l8W9BzWuMmAK2AEAqNyxgw:MyoJDDWuMmAO2AEAqNyxgw>: Error: Mailbox INBOX: UID=1: read() failed: read(/var/mail/example.com/testuser/Maildir/INBOX/new/1613934133.M132059P120842.dove1,S=2568,W=2624) failed: Private key not available: Cannot decrypt key f64e7c12a60b3df12ebf865a70bec57fedd3e9b4fd98df93205f1096db14fda7: Cannot decrypt key eca099273f525ca46b2f5640253770ad19e0578543244d8cd34bde183e996bd5: Password not available (read reason=fts indexing)</p>
<p>Feb 21 14:02:13 indexer-worker(testuser@example.com)<120846><l8W9BzWuMmAK2AEAqNyxgw:MyoJDDWuMmAO2AEAqNyxgw>: Error: Failed to read mailbox INBOX mail UID=1 stream: Mailbox INBOX: UID=1: read() failed: read(/var/mail/example.com/testuser/Maildir/INBOX/new/1613934133.M132059P120842.dove1,S=2568,W=2624) failed: Private key not available: Cannot decrypt key f64e7c12a60b3df12ebf865a70bec57fedd3e9b4fd98df93205f1096db14fda7: Cannot decrypt key eca099273f525ca46b2f5640253770ad19e0578543244d8cd34bde183e996bd5: Password not available (read reason=fts indexing)</p>
<p>Feb 21 14:02:13 indexer-worker(testuser@example.com)<120846><l8W9BzWuMmAK2AEAqNyxgw:MyoJDDWuMmAO2AEAqNyxgw>: Error: Mailbox INBOX: Mail search failed: Internal error occurred. Refer to server log for more information. [2021-02-21 14:02:13]</p>
<p>Feb 21 14:02:13 indexer-worker(testuser@example.com)<120846><l8W9BzWuMmAK2AEAqNyxgw:MyoJDDWuMmAO2AEAqNyxgw>: Error: Mailbox INBOX: Transaction commit failed: FTS transaction commit failed: transaction context (attempted to index 1 messages (UIDs 1..1))</p>
<p>Feb 21 14:02:13 dsync-local(testuser@example.com)<TGxiDTWuMmAN2AEAqNyxgw>: Error: Mailbox INBOX: UID=1: read() failed: read(/var/mail/example.com/testuser/Maildir/INBOX/new/1613934133.M132059P120842.dove1,S=2568,W=2624) failed: Private key not available: Cannot decrypt key f64e7c12a60b3df12ebf865a70bec57fedd3e9b4fd98df93205f1096db14fda7: Cannot decrypt key eca099273f525ca46b2f5640253770ad19e0578543244d8cd34bde183e996bd5: Password not available (read reason=prefetch)</p>
</blockquote>
<p><br />What are the options here for providing the decryption password or key ? The user password is already stored in the mysql database as a SHA512-CRYPT so we don't want to store it unencrypted ... I saw the mail_crypt docs (https://doc.dovecot.org/configuration_manual/mail_crypt_plugin/) mention</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>mail_crypt_private_key - Private key to decrypt user’s master key, can be base64 encoded</p>
</blockquote>
<p>I'm assuming that can just be a key generated with</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>openssl ecparam -name secp521r1 -genkey | openssl pkey</p>
</blockquote>
<p>but that leaves the situation almost the same as with a global key - they key is local on the system, though a bit better in that it's not just visible there as a simple file, it can be buried in the database. One could retrieve it with</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px">
<p>password_query = SELECT username, password, privkey AS userdb_mail_crypt_private_key, '/var/mail/%d/%n' AS userdb_home, 'vmail' AS userdb_uid, 'vmail' AS userdb_gid FROM users WHERE username = '%n' AND domain = '%d'</p>
</blockquote>
<p>How are other people handling mail store encryption ?</p>
<div>
<pre>-- <br />Dean Carpenter
deano is at areyes dot com
203 six oh four 6644</pre>
</div>
</body></html>