SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix

Michael Köhler postfix-users at makomi.de
Do Jan 8 16:49:08 CET 2015 

Hallo Patrick,

>> ich denke schon die ganze Zeit darüber nach, ob der Authentifizierungsmechanismus „plain“ ein Sicherheitsrisiko ist, welchen ich in Postfix mit „smtpd_sasl_security_options“ bzw. „smtpd_sasl_tls_security_options“ und in Dovecot unter „auth_mechanisms“ angeben kann?! Ich bin geneigt dazu das Tor so weit wie möglich zu schliessen und nur die höchste und "verschlüsselste" Authentifizierungsmethode zuzulassen - aber ist das sinnvoll? Je nach Client kann es da zu Problemen führen, weil nicht alle Clients alle Möglichkeiten durchprobieren und deswegen der Erklärungsaufwand höher ist. […]



> PLAIN mit TLS bringt die höchste Sicherheit. Mit TLS erzwingst Du eine
> verschlüsselte Strecke. Mit dieser schützt Du die Datenübertragung des PLAIN
> Mechanismus. Der widerum ermöglicht, Kennworte verschlüsselt im Backend
> abzulegen.
> 
> Erzwinge TLS _vor_ AUTH oder lehne die AUTH ab bzw. biete sie dann nicht an.
> 
> smtpd_tls_auth_only = yes

Wenn ich es richtig verstehe, dann heisst das:

>> 	smtpd_sasl_security_options = noanonymous
>> 	smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
>> 	smtpd_tls_auth_only = yes

Ist genau das richtige, oder? Ich verbiete mit smtpd_tls_auth_only = yes das unverschlüsselte AUTH und mit smtpd_sasl_tls_security_options definiere ich, dass alles ausser anonymous (siehe smtpd_sasl_security_options = noanonymous) angenommen wird, bzw. an Dovecot angefragt wird. In Dovecot wiederum definiere ich

	auth_mechanisms = plain login

Und in der Datenbank wird das Ganze dann mit SHA512-Crypt abgelegt. Oder kann ich die ganze Option smtpd_sasl_security_options auch weglassen, wenn ich eh kein unverschlüsseltes AUTH anbiete?

Und nur noch mal konkret nachgefragt: Gibt es in Dovecot eine Option wie in Postfix „smtpd_tls_auth_only“? Oder wird als Standard die Authentifizierung verschlüsselt abgewickelt, wenn man nur IMAPs angeschlagen hat?! Ich frage jetzt nicht wegen der Postfix-Anbindung sondern wegen des IMAP-Zugriffs.

Viele Grüße,
Michael

Mehr Informationen über die Mailingliste postfix-users