TLS und Secure Auth (Postfix)

[ekin06]

Hallo,

ich wollte mal fragen ob TLS und Sichere Authentifizierung gleichzeitig möglich ist mit Postfix? Denn ich hab mal was gelesen das nur entweder-oder geht. Und damals hatte ich es auch nicht zum laufen bekommen. Denn bei Secure Auth, müssen doch die Daten Plain in der DB gespeichert werden, oder verwechsel ich das jetzt mit was anderem?

Und wenn es doch geht, welche "Verschlüsselungs"methode stell ich in MySQL ein?
Zur Zeit werden die MD5-Hashs der Passwörter in der MySQL-DB gespeichert. Beim Login zum Mailserver werden die Daten Plain übertragen, oder werden die Daten automatisch bei TLS mit verschlüsselt? Eigentlich dürften ja nur die Nachrichten verschlüsselt werden.

Danke,

MfG ekin06

 

[IceMatrix]

rein technisch kannst du beliebige authentifizierungs-varianten in kombination mit tls nutzen. tls ist nur eine verschlüsselung des kommunikationskanals.
soweit ich weiss stellst du tls direkt im postfix ein (smtpd_use_tls ..) und die authentifizierungsmöglichkeiten über sasl. mit smtp_sasl_mechanism_filter kannst du unsichere authentifizierung verbieten.

 

[ekin06]

Ok, dann werde ich mich nochmal hinsetzen und bisschen an der config rumspielen.

 

[ekin06]

Ich weiß es ist schon eine Weile her, aber ich konnte das Problem erst heute lösen - zumindest einigermaßen (Zeitmangel und >1 Monat ohne Internet).

Als erstes muss in der "/etc/postfix/sasl/smtpd.conf" folgende Eintragung/Änderung vorgenommen werden:

pwcheck_method: auxprop
auxprop_plugin: sql
mech_list: CRAM-MD5

Da saslauthd standardmäßig mit Verschlüsselten Passwörtern + Verschlüsselte Verbindungen nicht umgehen kann, nutzen wir das Plugin auxprop.

Wenn Thunderbird 3 als Client dient, braucht man alle Hashes der Passwörter im CRAM-MD5 Format - es sei denn man wählt eine andere Authentifizierungsmethode als "Verschlüsseltes Passwort". Jedenfall suche man noch bei /etc/dovecot/dovecot.conf (wer Dovecot als Mail Server benützt) folgende Zeile:

mechanisms =

Dort sollte cram-md5 eingetragen sein. Speichern beenden. Dann gehen wir in die Datei "/etc/dovecot/dovecot-sql.conf" und stellen ein:

default_pass_scheme = CRAM-MD5

CRAM-MD5 Hashes lassen sich einfach erzeugen mit dem Befehl: dovecotpw
Das Ergebnis muss dann ohne {CRAM-MD5} in die Datenbank eingetragen werden.

Dovecot und Postfix neustarten ... Voilà. Ein Problem habe ich dennoch. Und zwar funktioniert bei meinem SMTP nur STARTTLS, aber kein SSL/TLS

 

[IceMatrix]

STARTTLS ist die vorgesehene Methode. Alles andere ist obsolete.

 

[ekin06]

Mhmm, ich dachte immer TLS wäre neuer als STLS. Ich habs jetzt auch schon hinbekommen SSL/TLS zu aktivieren + Authentifizierung. Kann ich SSL/TLS jetzt trotzdem so aktiviert lassen? Ist ja im Prinzip "nur" ein Port der dadurch mehr freigegeben wird. Gibs noch andere Nachteile?

 

[IceMatrix]

http://tools.ietf.org/html/rfc2595
Kapitel 7

 

[ekin06]

Woah so viel ^^, das muss ich mir mal in Ruhe durchlesen wenn ich Zeit hab.

Danke