EMail Konto von User A auch User B zuweisen | IMAP Passwort ungültig

itwo 2025-06-10 12:11:06 UTC #1

23.1.20250506

Folgende Ausgangssituation, ein User A hat ein IMAP Postfach und arbeitet damit (seit Monaten).
Jetzt melde ich mich als sysop an, klicke beim Benutzer A auf EMail Konto und weise dieses IMAP Konto auch noch Benutzer B zu.

Benutzer B sieht es zwar, kann aber nicht darauf zugreifen weil Authentifizierung gescheitert.
Hinterlege ich jetzt als sysop beim Benutzer A bzw. dem besagten EMail Konto erneut das IMAP Passwort funktioniert das Konto bei User A und B.

Mir passiert das nicht zum ersten mal, kann es sein das dieses Passwort verloren geht sobald man das als Admin einem anderen Benutzer zusätzlich zuweist?
Hängt es vielleicht damit zusammen das auch der Benutzer selber das EMail Konto bearbeiten darf?

RalfBecker 2025-06-10 12:47:07 UTC #2

Das Passwort geht nicht verloren, sondern wird, weil der Benutzer das Konto selbst angelegt hat, mit dessen EGroupware Sitzungspasswort verschlüsselt. Wenn Du jetzt einem weiter Benutzer oder Gruppe darauf Zugriff gibst, kann der das Passwort nicht lesen, da er ja nicht das EGroupware Passwort des ersten Benutzers verwendet.

Wenn Du als Admin für einen Benutzer das Mail-Passwort setzt, weißt Du in der Regel ja auch nicht dessen Passwort. Deshalb wird das Passwort dann statt mit dem Passwort des Benutzers mit dem System Secret (=Datenbank Passwort) verschlüsselt. Und funktioniert darauf für alle Benutzer die Zugriff auf das entsprechende Mail-Konto haben.

Das Verschlüsseln des Passworts hat mehrere Sicherheitsvorteile:

Datenbank Dump beinhalten keine lesebaren/verwendbaren Passworte (falls sie mal verloren gehen)
ein bösartiger Admin kann nicht einfach durch einen Passwort-Reset das Mailkonto eines Benutzers übernehmen

Ralf

Benutzer mit ActiveSync Gerät sperrt sich bei Passwort wechsel aus

itwo 2025-06-10 13:00:40 UTC #3

Danke Ralf, das macht Sinn was du schreibst.

Hat sich das in den letzten zwei Jahren irgendwie geändert?

Ich habe auch für Benutzer A das EMail/IMAP Konto angelegt, der Benutzer hat danach aber sicher sein persönliches Passwort gewechselt (was nach deine Beschreibung jedoch kein Problem wäre weil System Secret).

Dann hätte das Konto aber auch sofort bei Benutzer B funktionieren müssen.

Off Topic: Man kann fast nicht erkennen welchen Benutzern ein EMail Konto zugewiesen ist, das Drop down ist sehr unübersichtlich…

StefanU 2025-06-10 13:09:45 UTC #4

Darum mache ich das nicht mit persönlichen Konten, sondern erstelle Sammelkonten für Funktionen/Abteilungen und hänge diese an Gruppen. In den Gruppe sehe ich dann sehr schön wer da Zugriff hat.

Stefan

StefanU 2025-06-10 13:15:16 UTC #5

Willst du denn wirklich anderen Benutzern persönlich Mail-Konten zur Verfügung stellen mit mehr oder weniger Bearbeitungsrechte für das Konto (Konto, ACLs, Sieve, …)?

Ich würde das vermutlich mit ACLs lösen. Immer nur die, welche wirklich benötigt werden.

Urlaubsvertretung?:
Entweder Weiterleitung, oder besser (meine ich):
Alle eingehenden Mails in einen Unterordner kopieren lassen und diesen per ACL der Vertretung zur Verfügung stellen. Bei der Vertretung vermischen sich die Mails nicht und persönlicher Mail-Status /Gelesen, Wichtig, …) möglich. Das kann man auch wieder löschen (weil nur Kopie).

Stefan

itwo 2025-06-10 13:18:09 UTC #6

Ich möchte das nicht, aber die Benutzer möchten das ab und an (deren Wunsch).
Aber so oft passiert das nicht, mir ist das nur aufgefallen weil ich heute mal wieder so ein Wunsch hatte…

StefanU 2025-06-10 13:19:19 UTC #7

Was ist denn genau die Anforderung?

itwo 2025-06-10 13:19:49 UTC #8

Benutzer nicht da und möchte das ich sein ganzen Postfach dem Kollegen X zur Verfügung stelle.

StefanU 2025-06-10 13:36:42 UTC #9

Also Urlaubs-/Krankheitsvertretung?
Unterordner+ACL und gesendete Mails per ACL…

itwo 2025-09-22 15:28:21 UTC #10

@RalfBecker ich fürchte das hier ist das selbe Problem:

Wenn ich ein Anwendungspasswort / Token erstelle und mich mit diesem Anmelde sagt er kein IMAP Passwort.

RalfBecker 2025-09-22 16:48:08 UTC #11

Ja, es gibt aktuell nur einen Weg, das Benutzerpasswort, bei bei einem Login ohne dieses (wie beim SingleSignOn), doch zur Verfügung zu haben: als Admin kannst Du erlauben, dass der Benutzer sein Passwort entschlüsselbar speichert: Admin > App-Konfiguration > Sicherheit:

Das Anmelden per SingleSignOn liefert kein Passwort das an Mail- oder Datei-Server weiter gegeben werden kann. Erlaubt dem Benutzer sein Passwort unter 'Sicherheit & Passwort' für SingleSignOn zu speichern.

Damit kann man sich auf jeden Fall am IMAP oder SMTP anmelden, der die gleichen Passwörter wie EGroupware verwendet. Ob das so gespeicherte Passwort auch verwendet wir um ein anderes Passwort damit zu entschlüsseln habe ich nicht getestet.

Eine andere Möglichkeit für Mailserver die einen Masteruser unterstützen, ist dessen Passwort per Haken im Mailkonto, dafür zu verwenden.

Ralf

itwo 2025-09-24 10:03:45 UTC #12

Ist das dieser Punkt?
Allen Benutzern verbieten, anderen Benutzern Zugriff zu ihren Daten zu gewähren

Das hört sich jedoch mehr nach Berechtigungen für Anwendungen an.
Ich kann keinen anderen Menüeintrag dazu finden oder es ist evtl. eine EPL Option?

StefanU 2025-09-24 13:16:57 UTC #13

Ich hätte jetzt getippt:

Hat Ralf so geschrieben. Habs mal anders formatiert.

Stefan

RalfBecker 2025-09-24 16:21:22 UTC #14

Ja, das ist es

Ralf