Hallo Pascal,

On Jan 8, 2015, at 3:36 PM, Pascal Volk <user+postfix-users-de@localhost.localdomain.org> wrote:

On 01/08/2015 01:46 PM, Thomas Preißler wrote:

in Dovecot unter „auth_mechanisms“ angeben

Bei CRAM-MD5 muss dagegen das Kennwort im Klartext auf dem Server gespeichert werden.

Wo steht bitte geschrieben, dass bei Verwendung von CRAM-MD5 das
Passwort im Klartext gespeichert werden muss? Diese Aussage ist schlicht
falsch.

Bei CRAM-MD5 wird ein sog. HMAC-MD5-Hash des Passworts berechnet und von Server und Client auf die Challenge angewendet. Dovecot speichert dann einfach nur den HMAC-MD5-Hash. Dies bringt aber so gut wie keinen Vorteil, da dieser Hash von einem Angreifer genutzt werden kann um sich bei einem Server zu authentifizieren, so als ob er das Passwort hätte. Einzige Einschränkung ist, dass dieser Hash nur für CRAM-MD5 logins genutzt werden kann.

Peer Heinlein erläutert das in seinem Dovecot-Buch auf Seiten 93-97 recht ausführlich

Viele Grüße

Thomas