On 28.12.2017 22:11, Patrick Ben Koetter wrote:
- Frank Röhmfrancwalter@gmx.net:
Im Moment muss ich ja "Passwort, normal" auswählen, damit es geht. Das ist ja auch nicht optimal.
Es ist optimal, auch wenn es auf den ersten Blick nicht so wirkt, *solange* Du STARTTLS vor dem AUTH erzwingst.
Wenn Du eine TLS-verschlüsselte Verbindung erzwingst (nur auf Port 587) sind
nicht ganz; Port 587 ist der Submissionport, welcher wenn der Serveradmin es komplett verkorkst gar keine Verschlüsselung geben muss; Port 465 ist der SMTPS-Port (das SMTP-pendant) zu HTTPS mit Port 443 ...
wobei ich habe auch schon reines unverschlüsseltes HTTP auf Port 443 erlebt ...
In so einem Umfeld ist es sicher (so sicher wie TLS ist), wenn Du Benutzername und Kennwort per PLAIN/LOGIN (lies: "Passwort, normal") an den Server senden lässt.
Thunderbird, ändert hier die Anzeige, wenn man von 'None' auf 'STARTTLS' od. 'SSL/TLS' umstellt; bei 'None' wird an Stelle von 'Normal password' dann 'Password, transmitted insecurely' angezeigt; ich kenne kaum ein System, welches tatsächlich ohne SSL eine fehlerfreie verschlüsselte Übertragung von UserId / Passwort ermöglicht ...
Der Server, bzw. der sog. Password Verification Service (hier: Dovecot), nimmt die Daten entgegen, prüft im Backend, ob das übergebene Passwort mit dem User, der gesendet wurde, mit dem gecrypteten Passwort "passt".
hier gibt es 2 Arten, entweder es handelt sich um echte User am Linux-System - so habe ich es gemacht, oder aber eine eigene vom System losgelöste Verwaltung von Usern (die UserIds sind hier dann Mailadressen);
den Unterschied kennt man, ob der User in der /etc/passwd zu finden ist oder in der sasldb ...