SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix

[Patrick Ben Koetter]

Hallo Michael,

PLAIN mit TLS bringt die höchste Sicherheit. Mit TLS erzwingst Du eine
verschlüsselte Strecke. Mit dieser schützt Du die Datenübertragung des PLAIN
Mechanismus. Der widerum ermöglicht, Kennworte verschlüsselt im Backend
abzulegen.

Erzwinge TLS _vor_ AUTH oder lehne die AUTH ab bzw. biete sie dann nicht an.

smtpd_tls_auth_only = yes

p at rick

* Michael Köhler <postfix-users at makomi.de>:
> Hallo,
> 
> ich denke schon die ganze Zeit darüber nach, ob der Authentifizierungsmechanismus „plain“ ein Sicherheitsrisiko ist, welchen ich in Postfix mit „smtpd_sasl_security_options“ bzw. „smtpd_sasl_tls_security_options“ und in Dovecot unter „auth_mechanisms“ angeben kann?! Ich bin geneigt dazu das Tor so weit wie möglich zu schliessen und nur die höchste und "verschlüsselste" Authentifizierungsmethode zuzulassen - aber ist das sinnvoll? Je nach Client kann es da zu Problemen führen, weil nicht alle Clients alle Möglichkeiten durchprobieren und deswegen der Erklärungsaufwand höher ist.
> 
> Wenn ich die diversen Dokus/Bücher richtig verstanden habe, dann wird bei IMAP logischerweise (wenn ich Dovecot als IMAP-Server einsetze) Dovecot als Authentifizierungsinstanz genutzt. Wenn ich jetzt 
> 
> 	auth_mechanisms = plain, login, ...
> 
> setze - wie wird dann eine Anmeldung per IMAPS vorgenommen? Wird die Authentifizierung verschlüsselt ablaufen? Und stellt Plaintext in dem Falle ein Sicherheitsrisiko dar?
> 
> Und wie ist das bei Postfix? Ich kann mit 
> 
> 	smtpd_sasl_security_options = noanonymous, noplaintext
> 	smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
> 
> festlegen, dass bei einer unverschlüsselten SMTP-Session sowohl keine anonyme Authentifizierung als auch keine im Plaintext stattfinden darf. Um es komfortabler zu machen, kann ich aber auch
> 
> 	smtpd_sasl_security_options = noanonymous, noplaintext
> 	smtpd_sasl_tls_security_options = noanonymous
> 
> festlegen. Damit kann ich TLS-verschlüsselt auch wieder Plaintext verwenden.
> 
> Würde denn auch 
> 
> 	smtpd_sasl_security_options = noanonymous
> 	smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
> 	smtpd_tls_auth_only = yes
> 
> zu dem gleichen Ergebnis führen, wenn ich nur verschlüsselte Authentifizierung erlauben will? Denn dann würde ja smtpd_sasl_security_options gar nicht zum Zuge kommen, oder?
> 
> Was ist nun eine sichere und zugleich komfortable Konfiguration, damit sich am besten alle möglichen Clients einfach per IMAPS/SMTPS authentifizieren können?
> 
> Viele Grüße,
> Michael

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein