Fehler: imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small – Nach einen Upgrade von Debian 9 auf Debian 10 Buster funktioniert die Anmeldung an dem Dovecot IMAP Server nicht mehr.

Nach dem Update von Debian Stretch auf Debian Buster, bei dem auch der IMAP Server Dovecot auf die Version 2.3.4.1 aktualisiert wurde, funktioniert die Authentifizierung nicht mehr. Bei Login-Versuchen sieht man in der Logdatei /var/log/dovecot.log folgende Fehlermeldung:

imap-login: Error: Failed to initialize SSL server context: Can’t load DH parameters: error:1408518A:SSL routines:ssl3_ctx_ctrl:dh key too small

Bei einer Webrecherche ergaben sich schnell einige Fundstellen zu dem Problem:

In der Upgradedoku von Dovecot Version v2.2 to v2.3 wird darauf hingewiesen dass man eine neue Einstellung ssl_dh der Dovecot Config hinzufügen muss.


ssl-parameters.dat file is now obsolete. You should use ssl_dh setting instead: ssl_dh=</etc/dovecot/dh.pem

Lösungsschritte:

  • Erzeugen einer Datei dh.pem für die Diffie-Hellman Parameter
    • openssl dhparam -out /etc/dovecot/dh.pem 4096
      • Hinweis: Die Ausführung des Befehls kann durchaus mehrere Minuten dauern.
  • Ändern der Dovecot Config
    • Bearbeiten der Datei /etc/dovecot/dovecot.conf
    • Hinzufügen folgender Zeile am Ende der Datei:
      • ssl_dh=</etc/dovecot/dh.pem
  • Neustart des Dovecot Service

Danach funktionierte die Authentifizierung mit Dovecot wieder wie vorher.

Beteilige dich an der Unterhaltung

22 Kommentare

  1. Fantastisch, danke.

    Bei mir steht die Konfiguration in /etc/dovecot/conf.d/10-ssl.conf

    Habe da noch ssl_dh_parameters_length=4096 gesetzt, weiß aber nicht, ob das sein muss und Auswirkungen hat.

  2. Auch noch ein Dankeschön von mir. 🙂
    Die Anweisung aus mail.log hat es nicht getan
    Jul 1 06:40:02 r3 dovecot: config: Warning: please set ssl_dh= /etc/dovecot/dh.pem

    Ich glaube, der Schlüssel war zu kurz

  3. 1. Treffer in Google, wenn man nach “Failed to initialize SSL server context: Can’t load DH parameters” sucht. Super! wenn es auch Ubuntu in meinem Fall war(möglicherweise stammt das Paket aus Debian) aber läuft jetzt wieder. Danke!

  4. Nunja, so ein apt ful-upgrade (in meinem Fall) von Stretch zu Buster ist schon so ein Ding. Das war der erste Fehler nach dem Upgrade, in den ich rein gerannt bin. Es werden noch viele weiterefolgen, fürchte ich.
    Vielen Dank für die Anleitung, dieses Kommando läuft aber echt stundenlang, um einen Schlüssel zu erstellen. 4096 bit ist aber auch ein bisschen krass, aber was soll’s.

  5. 1000 Dank! Hab’s bei google gefunden nachdem ich stumpf stretch auf buster gezogen habe – hast mir zig Stunden Arbeit und Frustration erspart!

  6. Vielen vielen Dank für diese tolle Anleitung. Hatte schon Schweißperlen auf der Stirn. Das hat viel Frust erspart.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert