[postfix-es] imap seguro

Victor Oñate victormanuelo en gmail.com
Vie Feb 20 02:34:51 CET 2009 

Buenas noches..

El día 19 de febrero de 2009 19:27, Miguel Angel Tormo Alfaro
<mlists en edicom.eu> escribió:
> El Jueves, 19 de Febrero de 2009 21:47:37 Victor Oñate escribió:
>> Buenas tardes.. amigos litereros
>>
>> Actualmente tengo sobre Debian una solución
>> de correo de postfix + dovecot la cual funciona excelente :-).
>>
>> Sin embargo ya que lo tengo estable quiero echarla a perder... jaja
>> no realmente lo que estoy pensando es darle seguridad al usuario
>> específicamente al imap en tal sentido estaba pensando utilizar imaps
>> por el puerto 993, revisando la configuración veo que lo tengo habilitado
>>
>> En tal sentido como puedo deshabilitar el 443 para evitar que entre
>> con la clave en texto plano.
>>
>> no creo conveniente aplicar reglas iptables pero puede ser una posibilidad.
>>
>> Que otra opciones en seguridad  tengo que sean lo mas trasparentes al usuario.
>
> Buenas. Primeramente, la pregunta que haces es sobre dovecot, no sobre postfix. Aquí tratamos temas de postfix.

Si gracias debí colocar el Off Topic me disculpo por ello,
sin embargo peque por presumir que gran parte de los amigos
que utilizan postfix tienen como imap dovecot.

> Por otro lado, el puerto IMAP estándar es el 143. No necesitas usar el 993 para tener cifrado, >a execpción de que tengas clientes con outlook, claro. Los demás (Thunderbird, Kmail, ...) >clientes de correo habilitarán el cifrado mediante STARTTLS en el puerto estándar de IMAP.

Eso suena bien de echo tengo aproximadamente 2.500 clientes con
icedove ya que tienen
como escritorio debian y unos 200 en Thunderbird que tiene Windows.
ya voy a investigar en el tema.

>
> Con dovecot es muy sencillo que los usuarios no puedan usar claves en claro, así:
>
> disable_plaintext_auth = yes
>
> Esto SOLO se aplica a los mecanismos de autenticación que transmiten la clave en claro, >como LOGIN o PLAIN. Es decir, sólo rechazará la validación si el usuario conecta sin cifrado >(puerto 143 sin TLS) y utiliza uno mecanismo de autenticación en claro. No afectaría si se usa >digest-md5 por ejemplo, incluso aunque la conexión fuera cifrada, ya que en este caso la >clave no se transmite en claro.

Excelente entonces  disable_plaintext_auth = yes + STARTTLS + puerto estandar
y tengo una solución.

Gracias..
y sorry por el offtopic




> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
>

More information about the postfix-es mailing list