Postfix und Dovecot auf CRAM-MD5 stellen

[TheRoody]

Hallo,

ist es möglich Postfix und Dovecot so einzustellen, dass sich die Clients z.b. Outlook, Mac Mail ect. nur per CRAM-MD5 authentifizieren können?

Bei mir ist es im Moment nämlich so, dass sich Outlook und Mac Mail derzeit bei der Einrichtung eines E-Mail Kontos bei der Authentifizierung auf "Passwort" stellt. Ich muss es dann immer manuell auf MD5 Challenge-Response umstellen.

Danke

 

[danton]

Authentifizierung per Passwort ist IMHO absolut OK, wenn die Verbindung zum Server verschlüsselt abläuft. Bei CRAM-MD5 hast du den Nachteil, dass du das Passwort auf dem Server im Klartext speichern mußt, statt einen Hash zu speichern.

 

[TheRoody]

Was genau heißt ich muss das Passwort im Klartext auf dem Server speichern? Muss ich das selber manuell tun, oder macht das der Client beim Verbinden auf den Server?

 

[danton]

Wenn du den Mailuser auf dem Server anlegst, vergibst du ein Passwort. Dieses wird auf dem Server gespeichert, normalerweise als Hash-Wert. Mit diesem Hash-Wert kannst du aber keine CRAM-MD5-Authentisierung durchführen, dafür muß der der Server das Passwort im Klartext kennen. Jeder, der Zugriff auf die Datenbank hat, kann das Passwort dort direkt nachlesen (der Zugriff kann auch durch Sicherheitslücken möglich sein). Daher will man keine Passwörter im Klartext auf dem Server, sondern als Hash nach einem möglichst sicheren Algorithmus (z.B. bcrypt)

 

[TheRoody]

Also ehm, ich lege die Mailuser in Plesk an. Ich habe meinen Mail Client nun auf MD5 umgestellt und es funktioniert.

 

[Lord Gurke]

Ich hoffe doch sehr, dass die Nutzer die Mails über eine verschlüsselte Verbindung abrufen. Wenn sie es tun, ist es völlig egal, ob sie sich per CRAM-MD5 oder per normalem Passwort authentifizieren - die Verbindung ist ja eh verschlüsselt.

Sobald du sicherstellst, dass Authentifizierung nur über IMAPS resp. SMTPS (also über eine verschlüsselte Verbindung) möglich ist, brauchst du dich nicht mehr um die Frage zu kümmern ob das Passwort nun als Hash übertragen wird oder nicht und du tust den Nutzern zudem noch etwas gutes, weil dann auch die Inhalte der E-Mails dank verschlüsselter Verbindung ebenfalls nicht mehr lesbar sind.