Authentifizierung in Thunderbird "Verschlüsseltes Passwort"

Patrick Ben Koetter p at sys4.de
Do Dez 28 22:11:30 CET 2017


* Frank Röhm <francwalter at gmx.net>:
> 
> > Am 28.12.2017 um 16:34 schrieb Patrick Ben Koetter <p at sys4.de>:
> > 
> > * Frank Walter <francwalter at gmx.net>:
> >> Hallo
> >> 
> >> was muss ich denn in meinem Postfix anbieten, damit ich beim Erstellen
> >> eines Kontos in Thunderbird unter Authentifizierung "Verschlüsseltes
> >> Passwort" verwenden kann?
> >> Dovecot macht die Authentifizierung meines Postfix nach der Anleitung:
> >> https://wiki2.dovecot.org/HowTo/PostfixAndDovecotSASL
> > 
> > "Verschlüsseltes Passwort" bedeutet: Das Passwort wird verschlüsselt
> > übertragen, aber es muss unverschlüsselt (plaintext) im Backend (passwdfile,
> > SQL, LDAP...) abgelegt sein.
> > 
> > Bist Du Dir sicher, dass Du das willst?
> > 
> 
> Im Moment muss ich ja "Passwort, normal" auswählen, damit es geht. Das ist
> ja auch nicht optimal.

Es ist optimal, auch wenn es auf den ersten Blick nicht so wirkt, *solange* Du
STARTTLS vor dem AUTH erzwingst.

Wenn Du eine TLS-verschlüsselte Verbindung erzwingst (nur auf Port 587) sind
alle Daten, die zwischen Client und Server ausgetauscht werden, geschützt. Sie
sind nur zwischen Client und Server "sichtbar".

In so einem Umfeld ist es sicher (so sicher wie TLS ist), wenn Du Benutzername
und Kennwort per PLAIN/LOGIN (lies: "Passwort, normal") an den Server senden
lässt.

Der Server, bzw. der sog. Password Verification Service (hier: Dovecot), nimmt
die Daten entgegen, prüft im Backend, ob das übergebene Passwort mit dem User,
der gesendet wurde, mit dem gecrypteten Passwort "passt".

Ist das der Fall, teilt der Password Verification Service (Dovecot) Postfix
den Erfolg ("Authentication sucessful") mit. Das ist der Auslöser für Postfix,
den Client zu autorisieren, dass er die E-Mail senden (relayen) darf.


> > Sicherer wäre:
> > 
> > - Erzwinge STARTTLS in der Session (SMTP/IMAP)
> 
> STARTTLS wähle ich auch immer aus.
> 
> > - Gestatte (in der dann geschützten Umgebung) PLAIN/LOGIN als SASL Methoden
> > 
> > Das Passwort kannst Du dann auf dem Server crypten wie Du willst.
> > 
> 
> Auf dem Server ist in der Datenbank das Passwort als MD5 abgelegt.
> 
> Mein Problem ist mit Delta Chat (der sichere Chat Client der über Mail läuft, siehe: delta.chat), dort kann sich Delta Chat (an einem Konto meines Mailservers) nicht anmelden. Ein Auszug aus dem Log:
> 
> Nov 27 12:21:10 ew6 postfix/smtpd[19421]: connect from
> x4db0daba.dyn.telefonica.de[77.176.218.186]
> Nov 27 12:21:10 ew6 postfix/smtpd[19421]: Anonymous TLS connection
> established from x4db0daba.dyn.telefonica.de[77.176.218.186]: TLSv1.2
> with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Nov 27 12:21:10 ew6 postfix/smtpd[19421]: discarding EHLO keywords: DSN
> Nov 27 12:21:12 ew6 postfix/smtpd[19421]: warning:
> x4db0daba.dyn.telefonica.de[77.176.218.186]: SASL DIGEST-MD5
> authentication failed:
> cmVhbG09IiIsbm9uY2U9IkE4MVRYaHk5L0ZjUEhoWXhranQxNFE9PSIscW9wPSJhdXRoIixjaGFyc2V0PSJ1dGYtOCIsYWxnb3JpdGhtPSJtZDUtc2VzcyI=
> Nov 27 12:21:12 ew6 postfix/smtpd[19421]: disconnect from
> x4db0daba.dyn.telefonica.de[77.176.218.186]
> 
> DIGEST-MD5 funktioniert also nicht, ich habe das als das Pendant bei Thunderbird "Passwort, verschlüsselt" verstanden.
> Vielleicht täusche ich mich?

DIGEST-MD5 kann prinzipbedingt nicht funktionieren, wenn Du das Kennwort als
MD5 abgelegt hast. DIGEST-MD5 gehört zu den Shared-Secret-Mechanismen und die
benötigen zwingend, dass das Kennwort unverschlüsselt abgelegt wird.

Kannst Du mir mal folgendes zeigen:

Mach ein "telnet $DEINSERVER 25" und sende den Output von nach dem "EHLO
x4db0daba.dyn.telefonica.de" hier auf die Liste. Dann wissen wir, ob Dein
Server DIGEST-MD5 anbietet. Das sollte er nämlich nicht, wenn er keine
Shared-Secred-Mechanismen verarbeiten kann.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users