ComputerBase Menü
Aktuelles

Dovecot IMAP Server Passwörter

Cool Master

Cool Master

Fleet Admiral
Registriert
Dez. 2005
Beiträge
37.418
Moin,

ich bin am Überlegen mein Mail Server umzustellen um die Administation leichter zu machen. Aktuell nutze ich folgendes Setup:

Postfix
Courier
MySQL/PHPMyAdmin
Roundcube

Das neue Setup soll so aussehen:

Postfixadmin (für die User, Domain und Alias Verwaltung, läuft aktuell noch über PhPMyAdmin)
Postfix
Dovecot
MySQL/PHPMyAdmin
Roundcube

Nun habe ich aber eine Frage bzgl. Dovecot evtl. kann mir da jemand helfen. Und zwar ich möchte ungern MD5-Crypt als PW hash nutzen.

Es gibt aktuell 4 Möglichkeiten:


  • BLF-CRYPT (Blowfish, bcrypt)
  • SHA512-CRYPT
  • SHA256-CRYPT
  • MD5-CRYPT

Ich würde gerne BLF-Crypt nutzen. Nun stellt sich aber die Frage kann Debian Wheezy das? Ich habe bis jetzt das hier gefunden:

https://packages.debian.org/stable/admin/libpam-unix2

Bekommt Debian bzw. Dovecot damit die bcrypt Fähigkeit? Dazu kommt kennt ihr eine gute Alternative für Roundcube? Auf dem Desktop ist das zwar ok aber wenn jemand mal unterwegs Mobil rein muss suckt das schon etwas.
 
also wenn ich das bei mir überprüfe, sieht es eher nach 'nein' aus und ich denke auch nicht, dass dir das Paket helfen wird.
Ich denke die sinnvollste Alternative bietet Dir SHA, worin ich auch kein Problem sehe.

Linux mail1.xxxxx.de 3.2.0-4-amd64 #1 SMP Debian 3.2.60-1+deb7u3 x86_64
xxx@mail1:~# doveadm pw -l
CRYPT MD5 MD5-CRYPT SHA SHA1 SHA256 SHA512 SMD5 SSHA SSHA256 SSHA512 PLAIN CLEARTEXT PLAIN-TRUNC CRAM-MD5 HMAC-MD5 DIGEST-MD5 PLAIN-MD4 PLAIN-MD5 LDAP-MD5 LANMAN NTLM OTP SKEY RPA SHA256-CRYPT SHA512-CRYPT

Für Roundcube gibt es auch Schemas, die für mobile Endgeräte geeignet sind. Ich habe roundcube bei mir in Die ownCloud Oberfläche eingebunden, rufe Mails allerdings mobil per IMAP Idle ab (Aquamail Client).
 
Hmm... SHA ist ja aber nur, wie der Name schon sagt, ein Hash und keine echte Verschlüsselung. Das Problem ist halt dank CUDA kann man Hashes sau schnell cracken, deswegen würde ich halt gerne auf bcrypt setzen da man hier das level anpassen kann und es somit mit der Computer Leistung skaliert.
 
Naja Du gehst schon davon aus, dass man mal eben den Hash irgendwo mitsnifft, was hoffentlich nicht so einfach möglich ist, wenn man mit seinem Client eine verschlüsselte Verbindung zum Server aufbaut. Bei HTTPS und einem auf dem Mailserver lokal liegenden Webmail Portal, erübrigt sich der Hash, weil die Eingabe im Klartext im Browser erfolgt und nur lokal innerhalb des Servers mit dem Hash Authentifiziert wird. Auch hier wird hoffentlich nur HTTPS verwendet, was allerdings nicht vor Keyloggern schützt.
Und einen SHA512 brute-forced man nicht mal eben mit CUDA oder OpenCL (Ja, das gibt es auch und es ist sogar in den aller meisten Fällen noch schneller als CUDA) am heimischen Rechner. Dafür muss einem schon ein GANZ NETTER Cluster zur Verfügung stehen.

Nochmal zu dem Problem: Ich sehe keine Möglichkeit es zum Laufen zu bekommen, solange es nicht fester Bestandteil von libc werden wird.

Ich wollte damit auch keinesfalls Deine Idee schlechtreden, denn der Einsatz ist natürlich sinnvoll, wenn möglich.
 
Zuletzt bearbeitet:
Auch trotz der immensen Leistungssteigerung durch GPUs im Vergleich zu CPUs ist auch die wirklich sehr zufällige Berechnung eines Klartextpasswortes zu einem gegebenen Hash-Wert sehr zeitaufwändig und meist nahezu nicht in akzeptabler Zeit praktizierbar.

Zudem sollte, wie schon erwähnt, die verschlüsselte Verbindung zum Server schon das meiste abhalten...

Am erfolgreichsten wird so ein Angriff wahrscheinlich durch eine riesige Rainbow-Table, die aber schon irgendwo im Netz liegen müsste, da der Speicherverbrauch eben auch nicht gering ist.

Fazit:
ich würde mir da (noch) keine all zu großen Sorgen machen :)
 
Alles klar :)
 
Sorgen machen musst du dir schon... für den Fall, dass jemand deine Datenbank kapert. Die reine Übertragung des PW zwischen Client und Server ist unproblematisch, da sorgst du einfach dafür, dass die Nutzer TLS verwenden müssen. Da kommt so schnell keiner durch.
 
Wenn die Mails nicht in der DB liegen und die Datenbank öffentlich nicht oder zumindest nicht schreibbar zugreifbar ist, hat er einen haufen Hashwerte.

Hmm, nicht sehr Erfolg-Versprechend, wenn du mich fragst...
(gegeben: ausreichend lange Passwörter und keine riesige Rainbow-Tabelle vorhanden)
 
Ne Mails liegen nicht in der DB, die legen in /home/vmail/%domain%/%user%

HTTPS bzw. TLS wird jetzt auch schon verwendet. Ist zwar self signed aber sollte denke ich kein Problem darstellen, abgesehen von der einmaligen Warnung von wegen nicht Vertrauenswürdig.

Schreibbar ist bzw. wird die DB sein, muss sie auch zwecks PostfixAdmin und neuen usern erstellen. Es wird allerdings nicht mit root gearbeitet sondern mit einem Benutzer nur für diese DB.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

P
[Debian 8] Postfix + Dovecot Mail senden möglich empfangen aber nicht
Antworten
4
Aufrufe
2.823
passy95
P

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz