* Frank Röhm francwalter@gmx.net:
Am 28.12.2017 um 16:34 schrieb Patrick Ben Koetter p@sys4.de:
- Frank Walter francwalter@gmx.net:
Hallo
was muss ich denn in meinem Postfix anbieten, damit ich beim Erstellen eines Kontos in Thunderbird unter Authentifizierung "Verschlüsseltes Passwort" verwenden kann? Dovecot macht die Authentifizierung meines Postfix nach der Anleitung: https://wiki2.dovecot.org/HowTo/PostfixAndDovecotSASL
"Verschlüsseltes Passwort" bedeutet: Das Passwort wird verschlüsselt übertragen, aber es muss unverschlüsselt (plaintext) im Backend (passwdfile, SQL, LDAP...) abgelegt sein.
Bist Du Dir sicher, dass Du das willst?
Im Moment muss ich ja "Passwort, normal" auswählen, damit es geht. Das ist ja auch nicht optimal.
Es ist optimal, auch wenn es auf den ersten Blick nicht so wirkt, *solange* Du STARTTLS vor dem AUTH erzwingst.
Wenn Du eine TLS-verschlüsselte Verbindung erzwingst (nur auf Port 587) sind alle Daten, die zwischen Client und Server ausgetauscht werden, geschützt. Sie sind nur zwischen Client und Server "sichtbar".
In so einem Umfeld ist es sicher (so sicher wie TLS ist), wenn Du Benutzername und Kennwort per PLAIN/LOGIN (lies: "Passwort, normal") an den Server senden lässt.
Der Server, bzw. der sog. Password Verification Service (hier: Dovecot), nimmt die Daten entgegen, prüft im Backend, ob das übergebene Passwort mit dem User, der gesendet wurde, mit dem gecrypteten Passwort "passt".
Ist das der Fall, teilt der Password Verification Service (Dovecot) Postfix den Erfolg ("Authentication sucessful") mit. Das ist der Auslöser für Postfix, den Client zu autorisieren, dass er die E-Mail senden (relayen) darf.
Sicherer wäre:
- Erzwinge STARTTLS in der Session (SMTP/IMAP)
STARTTLS wähle ich auch immer aus.
- Gestatte (in der dann geschützten Umgebung) PLAIN/LOGIN als SASL Methoden
Das Passwort kannst Du dann auf dem Server crypten wie Du willst.
Auf dem Server ist in der Datenbank das Passwort als MD5 abgelegt.
Mein Problem ist mit Delta Chat (der sichere Chat Client der über Mail läuft, siehe: delta.chat), dort kann sich Delta Chat (an einem Konto meines Mailservers) nicht anmelden. Ein Auszug aus dem Log:
Nov 27 12:21:10 ew6 postfix/smtpd[19421]: connect from x4db0daba.dyn.telefonica.de[77.176.218.186] Nov 27 12:21:10 ew6 postfix/smtpd[19421]: Anonymous TLS connection established from x4db0daba.dyn.telefonica.de[77.176.218.186]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Nov 27 12:21:10 ew6 postfix/smtpd[19421]: discarding EHLO keywords: DSN Nov 27 12:21:12 ew6 postfix/smtpd[19421]: warning: x4db0daba.dyn.telefonica.de[77.176.218.186]: SASL DIGEST-MD5 authentication failed: cmVhbG09IiIsbm9uY2U9IkE4MVRYaHk5L0ZjUEhoWXhranQxNFE9PSIscW9wPSJhdXRoIixjaGFyc2V0PSJ1dGYtOCIsYWxnb3JpdGhtPSJtZDUtc2VzcyI= Nov 27 12:21:12 ew6 postfix/smtpd[19421]: disconnect from x4db0daba.dyn.telefonica.de[77.176.218.186]
DIGEST-MD5 funktioniert also nicht, ich habe das als das Pendant bei Thunderbird "Passwort, verschlüsselt" verstanden. Vielleicht täusche ich mich?
DIGEST-MD5 kann prinzipbedingt nicht funktionieren, wenn Du das Kennwort als MD5 abgelegt hast. DIGEST-MD5 gehört zu den Shared-Secret-Mechanismen und die benötigen zwingend, dass das Kennwort unverschlüsselt abgelegt wird.
Kannst Du mir mal folgendes zeigen:
Mach ein "telnet $DEINSERVER 25" und sende den Output von nach dem "EHLO x4db0daba.dyn.telefonica.de" hier auf die Liste. Dann wissen wir, ob Dein Server DIGEST-MD5 anbietet. Das sollte er nämlich nicht, wenn er keine Shared-Secred-Mechanismen verarbeiten kann.
p@rick