SASL- und IMAP-Authentifizierungsmechanismen von Dovecot/Postfix
Thomas Preißler
thomas at preissler.me
Do Jan 8 14:46:21 CET 2015
Hallo Michael,
> ich denke schon die ganze Zeit darüber nach, ob der Authentifizierungsmechanismus „plain“ ein Sicherheitsrisiko ist, welchen ich in Postfix mit „smtpd_sasl_security_options“ bzw. „smtpd_sasl_tls_security_options“ und in Dovecot unter „auth_mechanisms“ angeben kann?! Ich bin geneigt dazu das Tor so weit wie möglich zu schliessen und nur die höchste und "verschlüsselste" Authentifizierungsmethode zuzulassen - aber ist das sinnvoll? Je nach Client kann es da zu Problemen führen, weil nicht alle Clients alle Möglichkeiten durchprobieren und deswegen der Erklärungsaufwand höher ist.
>
>
> Wenn ich die diversen Dokus/Bücher richtig verstanden habe, dann wird bei IMAP logischerweise (wenn ich Dovecot als IMAP-Server einsetze) Dovecot als Authentifizierungsinstanz genutzt. Wenn ich jetzt
>
>
> auth_mechanisms = plain, login, ...
>
>
> setze - wie wird dann eine Anmeldung per IMAPS vorgenommen? Wird die Authentifizierung verschlüsselt ablaufen? Und stellt Plaintext in dem Falle ein Sicherheitsrisiko dar?
>
Zunächst einmal hat die Art der Authentifizierung nichts mit einer verschlüsselten Verbindung zu tun. Ist eine Verbindung verschlüsselt, so werden jegliche Daten (auch das Passwort) nicht mehr im Klartext übertragen. Sowohl bei PLAIN als auch LOGIN sendet der Client das Passwort zum Server. Im Kontrast dazu gibt es CRAM-MD5, womit der Client den Server davon überzeugen kann, das Passwort zu kennen, aber ohne das Passwort tatsächlich zu übertragen. Bei CRAM-MD5 muss dagegen das Kennwort im Klartext auf dem Server gespeichert werden.
> Und wie ist das bei Postfix? Ich kann mit
>
>
> smtpd_sasl_security_options = noanonymous, noplaintext
> smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
>
>
> festlegen, dass bei einer unverschlüsselten SMTP-Session sowohl keine anonyme Authentifizierung als auch keine im Plaintext stattfinden darf. Um es komfortabler zu machen, kann ich aber auch
>
>
> smtpd_sasl_security_options = noanonymous, noplaintext
> smtpd_sasl_tls_security_options = noanonymous
>
>
> festlegen. Damit kann ich TLS-verschlüsselt auch wieder Plaintext verwenden.
>
>
> Würde denn auch
>
>
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
> smtpd_tls_auth_only = yes
>
>
> zu dem gleichen Ergebnis führen, wenn ich nur verschlüsselte Authentifizierung erlauben will? Denn dann würde ja smtpd_sasl_security_options gar nicht zum Zuge kommen, oder?
>
>
> Was ist nun eine sichere und zugleich komfortable Konfiguration, damit sich am besten alle möglichen Clients einfach per IMAPS/SMTPS authentifizieren können?
>
Erzwinge einfach eine verschlüsselte Verbindung für alle deine Benutzer, falls du einen dedizierten submission-Port verwendest:
smtpd_tls_security_level = encrypt
Mithilfe von
smtpd_tls_auth_only = yes
lässt sich erzwingen, jegliche Art der Authentifizierung nur über verschlüsselte Verbindungen zuzulassen.
Viele Grüße
Thomas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20150108/a17c17c6/attachment.html>
Mehr Informationen über die Mailingliste postfix-users