Roundcube Password Plugin und Verschlüsselung

[meyer]

Ich brauch mal einen Denkanstoß bezüglich Verschlüsselungsmethoden, da ich mich mit dieser Thematik bisher noch nicht intensiv auseinandergesetzt habe.

Ausgangssituation:
Mailserver auf Debian 6 mit Postfix, Dovecot, PostfixAdmin und Roundcube
Der Mailserver läuft fehlerfrei.
Bisher werden Paßwortänderungen über die User-Schnittstelle von PostfixAdmin gemacht.
Jetzt möchte ich dafür allerdings gern das entsprechende Roundcube-Plugin aktivieren und nutzen.
Allerdings verschlüsselt dieses Plugin die Paßwörter anders als PostfixAdmin, obwohl ich (hoffentlich an der richtigen Stelle) in der Plugin-Config denselben Verschlüsselungsalgorithmus eingetragen hab. Folge dessen ist, daß man sich nicht mehr einloggen kann.
Hier mal die entsprechenden Config-Ausschnitte:

config.inc.php (PostfixAdmin)

// Encrypt
// In what way do you want the passwords to be crypted?
// md5crypt = internal postfix admin md5
// md5 = md5 sum of the password
// system = whatever you have set as your PHP system default
// cleartext = clear text passwords (ouch!)
// mysql_encrypt = useful for PAM integration
// authlib = support for courier-authlib style passwords
// dovecot:CRYPT-METHOD = use dovecotpw -s 'CRYPT-METHOD'. Example: dovecot:CRAM-MD5
$CONF['encrypt'] = 'md5';

config.inc.php (Roundcube Password Plugin)

// LDAP password hash type
// Standard LDAP encryption type which must be one of: crypt,
// ext_des, md5crypt, blowfish, md5, sha, smd5, ssha, or clear.
// Please note that most encodage types require external libraries
// to be included in your PHP installation, see function hashPassword in drivers/ldap.php for more info.
// Default: 'crypt'
$rcmail_config['password_ldap_encodage'] = 'md5';

Ich hoffe, mich kann jemand in die richtige Richtung schubsen...

 

[Whistler]

Ein Schubs in die Gegenrichtung: http://www.heise.de/newsticker/meldung/Autor-haelt-md5crypt-nicht-mehr-fuer-sicher-1614781.html

 

[meyer]

Ein Schubs in die Gegenrichtung: http://www.heise.de/newsticker/meldung/Autor-haelt-md5crypt-nicht-mehr-fuer-sicher-1614781.html

Hmm...solche Infos bringen einen dann schon ins Grübeln. Vor allem, wenn man bedenkt, wie häufig solche fertigen Webanwendungen eingesetzt werden und daß es eben auch Leute wie mich betrifft, die sich mehr um die administrativen Belange des Servers kümmern und eigentlich nicht davon ausgehen, daß derartige Webanwendungen, die auf zig-tausenden Servern/Webspaces im Einsatz sind, immer noch so unsicher sind.

Jetzt stellt sich mir natürlich die Frage, was ich tun kann, um mein System ein Stück sicherer zu machen.
Ich bin leider nicht unbedingt der PHP-Crack und trau mich nicht wirklich dran, an den fertigen Scripten rumzubasteln, allein schon aus Sorge darum, aufgrund mangelnder Kenntnisse neue Sicherheitslöcher ins System zu reißen.

Ich will sicher nicht fertige Lösungen vorgebetet bekommen, aber falls jemand zumindest einen Lösungsansatz hat, wäre ich schon sehr dankbar.

 

[its]

Könntest du einmal

imap_debug

anschalten und ein Fehlversuch posten?

 

[Whistler]

Du kannst mal "echo "testpasswort" | md5sum" mit dem vergleichen, das in den LDAP geschrieben wird (wenn ich den Config-Auszug richtig verstehe, nutzt Du derzeit nicht CRAM-MD5, sondern wirklich reines md5).
Eventuell ist es ein Problem des Präfix im LDAP-Eintrag oder Groß/Kleinschreibung.