[Postfixbuch-users] SMTP-Auth und CRAM-MD5, sicher?

[Stefan Bielenberg]

Hallo Daniel,

Daniel Schulz schrieb/wrote/escribió (24.11.2006 15:30):
> ich habe smtp-auth eingerichtet und alles funktioniert sehr gut. Mir ist
> nur nicht klar, ob das so sicher ist, dh. ob mein Passwort im Klartext
> übertragen wird oder nicht?

Mal sehen...
Erst einmal gibt es zwei verschiedene Sachen:

- Password-Verschlüsselung (CRAM-MD5, DIGEST-MD5, ...)
- Transport-Verschlüsselung (TLS, SSL, ...)

> Wenn ich eine Mail verschicke steht in der Log:
> 
> Nov 24 15:10:22 localhost postfix/smtpd[24175]: A8580542FD:
> client=dslb-088-064-177-076.pools.arcor-ip.net[88.64.177.76],
> sasl_method=CRAM-MD5, sasl_username=user at domain.org

Gut, hier wird die Auth. mittels CRAM-MD5 (Password-Verschlüsselung)
gemacht, d.h. egal ob TLS benutzt wird oder nicht, wird niemals das
Password übermittelt, sondern immer nur ein Hash-Code, der mit dem
Hash-Code auf dem Server verglichen wird. Selbst wenn jemand die
Kommunikation abhört, kennt er nur den Hash-Code, aber niemals das
Password, aus dem dieser erstellt wird. Punkt für CRAM-MD5!
Das gilt auch z.B. für DIGEST-MD5, was so ähnlich funktioniert.

> eingetragen. Aber wie ist es dann, ist es sicher oder nicht? Werden
> Passwörter im Klartext übertragen oder muß ich unbedingt TLS einrichten?

Wenn in der SASL Methode (sasl_method) PLAIN oder LOGIN drinsteht, und
nicht TLS als Transportverschlüsselung benutzt wird, dann kannst Du
davon ausgehen, dass das Passwort im Klartext übertragen wird und damit
abgefangen werden kann.

Wenn Clients keine Password-Verschlüsselung kennen, also nur PLAIN oder
LOGIN benutzen, dann solltest Du mindestens TLS als
Transportverschlüsselung einsetzen.
Wenn sie beides nicht können, dann Client wechseln... ;-)

Noch Fragen?

Stefan