SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix

[Michael Köhler]

Hallo,

ich denke schon die ganze Zeit darüber nach, ob der Authentifizierungsmechanismus „plain“ ein Sicherheitsrisiko ist, welchen ich in Postfix mit „smtpd_sasl_security_options“ bzw. „smtpd_sasl_tls_security_options“ und in Dovecot unter „auth_mechanisms“ angeben kann?! Ich bin geneigt dazu das Tor so weit wie möglich zu schliessen und nur die höchste und "verschlüsselste" Authentifizierungsmethode zuzulassen - aber ist das sinnvoll? Je nach Client kann es da zu Problemen führen, weil nicht alle Clients alle Möglichkeiten durchprobieren und deswegen der Erklärungsaufwand höher ist.

Wenn ich die diversen Dokus/Bücher richtig verstanden habe, dann wird bei IMAP logischerweise (wenn ich Dovecot als IMAP-Server einsetze) Dovecot als Authentifizierungsinstanz genutzt. Wenn ich jetzt 

	auth_mechanisms = plain, login, ...

setze - wie wird dann eine Anmeldung per IMAPS vorgenommen? Wird die Authentifizierung verschlüsselt ablaufen? Und stellt Plaintext in dem Falle ein Sicherheitsrisiko dar?

Und wie ist das bei Postfix? Ich kann mit 

	smtpd_sasl_security_options = noanonymous, noplaintext
	smtpd_sasl_tls_security_options = $smtpd_sasl_security_options

festlegen, dass bei einer unverschlüsselten SMTP-Session sowohl keine anonyme Authentifizierung als auch keine im Plaintext stattfinden darf. Um es komfortabler zu machen, kann ich aber auch

	smtpd_sasl_security_options = noanonymous, noplaintext
	smtpd_sasl_tls_security_options = noanonymous

festlegen. Damit kann ich TLS-verschlüsselt auch wieder Plaintext verwenden.

Würde denn auch 

	smtpd_sasl_security_options = noanonymous
	smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
	smtpd_tls_auth_only = yes

zu dem gleichen Ergebnis führen, wenn ich nur verschlüsselte Authentifizierung erlauben will? Denn dann würde ja smtpd_sasl_security_options gar nicht zum Zuge kommen, oder?

Was ist nun eine sichere und zugleich komfortable Konfiguration, damit sich am besten alle möglichen Clients einfach per IMAPS/SMTPS authentifizieren können?

Viele Grüße,
Michael