1 votes

Bemmu avatar

Suppression de "noplaintext" de la conf de Postfix en raison de l'absence de prise en charge de CRAM-MD5 par les clients. Est-ce que cela n'est pas sûr ?

Demandé el 6 de Mars, 2013
Quand la question a-t-elle été
1170 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai activé le support TLS dans POSTFIX et l'authentification est déléguée à Dovecot qui offre des méthodes "plain login cram-md5". La section SASL dans ma conf Postfix avait

smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_path = private/auth-client

Malheureusement, certains des clients de messagerie qui se connectent sont Outlook Express et Gmail, qui ne prennent pas en charge CRAM-MD5. Pour permettre à ces clients de relayer, j'ai dû supprimer la contrainte noplaintext et utiliser l'option

smtpd_sasl_security_options = noanonymous

plutôt. Cela signifie-t-il que des clients comme Outlook Express et Gmail enverront leurs informations d'identification en texte brut uniquement, même si TLS est activé ? Si oui, quelles sont les options dont je dispose ?

Merci !

Demandé el 6 de Mars, 2013 par Bemmu

0 votes

Avatar de NickW

L'idée de TLS n'est-elle pas de créer une connexion sécurisée afin que l'authentification envoyée ne puisse pas être reniflée ?

Commenté el 6 de Mars, 2013 par NickW

Réponse

Trop de publicités?

2voto

Christopher Perrin avatar
Christopher Perrin Points 4721

Comme votre connexion est cryptée via TLS, l'authentification en clair ne devrait pas poser de problème de sécurité. La plupart des fournisseurs de messagerie utilisent l'authentification en clair via TLS/SSL. Le problème est de savoir quelle est la probabilité que quelqu'un puisse renifler le contenu de la connexion.

Vous devez cependant vous assurer que vous ne pouvez pas vous connecter sans cryptage. Vous devez également utiliser un certificat provenant d'une autorité de certification de confiance.

Répondu el 6 de Mars, 2013 par Christopher Perrin (4721 Points )

0 votes

Avatar de Bemmu

Merci. Comment puis-je vérifier/assurer que je ne peux pas me connecter sans cryptage ? J'ai un certificat auto-signé que tous les clients s'engagent à accepter.

Commenté el 6 de Mars, 2013 par Bemmu

0 votes

Avatar de Christopher Perrin

Désactiver tous les protocoles non chiffrés

Commenté el 6 de Mars, 2013 par Christopher Perrin

0 votes

Avatar de ATLief

@ChristopherPerrin C'est un mauvais conseil.

Commenté el 15 de Août, 2020 par ATLief
Afficher 3 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X