SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix
Michael Köhler
postfix-users at makomi.de
Do Jan 8 16:49:08 CET 2015
Hallo Patrick,
>> ich denke schon die ganze Zeit darüber nach, ob der Authentifizierungsmechanismus „plain“ ein Sicherheitsrisiko ist, welchen ich in Postfix mit „smtpd_sasl_security_options“ bzw. „smtpd_sasl_tls_security_options“ und in Dovecot unter „auth_mechanisms“ angeben kann?! Ich bin geneigt dazu das Tor so weit wie möglich zu schliessen und nur die höchste und "verschlüsselste" Authentifizierungsmethode zuzulassen - aber ist das sinnvoll? Je nach Client kann es da zu Problemen führen, weil nicht alle Clients alle Möglichkeiten durchprobieren und deswegen der Erklärungsaufwand höher ist. […]
> PLAIN mit TLS bringt die höchste Sicherheit. Mit TLS erzwingst Du eine
> verschlüsselte Strecke. Mit dieser schützt Du die Datenübertragung des PLAIN
> Mechanismus. Der widerum ermöglicht, Kennworte verschlüsselt im Backend
> abzulegen.
>
> Erzwinge TLS _vor_ AUTH oder lehne die AUTH ab bzw. biete sie dann nicht an.
>
> smtpd_tls_auth_only = yes
Wenn ich es richtig verstehe, dann heisst das:
>> smtpd_sasl_security_options = noanonymous
>> smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
>> smtpd_tls_auth_only = yes
Ist genau das richtige, oder? Ich verbiete mit smtpd_tls_auth_only = yes das unverschlüsselte AUTH und mit smtpd_sasl_tls_security_options definiere ich, dass alles ausser anonymous (siehe smtpd_sasl_security_options = noanonymous) angenommen wird, bzw. an Dovecot angefragt wird. In Dovecot wiederum definiere ich
auth_mechanisms = plain login
Und in der Datenbank wird das Ganze dann mit SHA512-Crypt abgelegt. Oder kann ich die ganze Option smtpd_sasl_security_options auch weglassen, wenn ich eh kein unverschlüsseltes AUTH anbiete?
Und nur noch mal konkret nachgefragt: Gibt es in Dovecot eine Option wie in Postfix „smtpd_tls_auth_only“? Oder wird als Standard die Authentifizierung verschlüsselt abgewickelt, wenn man nur IMAPs angeschlagen hat?! Ich frage jetzt nicht wegen der Postfix-Anbindung sondern wegen des IMAP-Zugriffs.
Viele Grüße,
Michael
Mehr Informationen über die Mailingliste postfix-users