Hallo Martin, * On Wed, Jan 02, 2008 at 02:59 PM, Martin Burnicki wrote:
Ingo Freund schrieb:
On 02.01.2008 12:26, Martin Burnicki wrote (please find the answer below the original text):
Hallo,
Ortwin Ebhardt schrieb:
Ingo Freund schrieb:
Martin Burnicki schrieb:
ich habe hier einen cyus imapd, der aus dem (kleinen) internen Netz direkt über imap-Protokoll mit einfachem Text-Passwort erreichbar ist.
Zusätzlich sollte der Server jetzt auch von extern erreichbar sein, jedoch ausschließlich über imaps-Protokoll / Port 993.
Ich weiß, dass imaps nur den Datenverkehr verschlüsselt. [...]
Absolut sicher? Woher kommt dieses Wissen?
Ich denke, hier liegt ein Mißverständnis vor; bei imaps wird für die verbindung mit dem imap-Server in SSL-Tunnel aufgebaut, alle Daten, die dadurch gehen (egal ob nun nochmals extra verschlüsselt oder nicht) sind somit mittels SSL geschützt. (SSL oder TSL, bin zu faul, immer beides zu schreiben.) Auch die Anmeldedaten werden über diesen Tunnel übertragen, entsprechend sind sie auch verschlüsselt. Genau. Aber meines Wissens verhindert die Verschlüsselung durch den Tunnel lediglich, dass durch Abhorchen des Datenverkehrs das Passwort herausgefunden werden kann.
Ja genau, deshalb ja auch meine Frage woher das Wissen über die "Nur- Datenverschlüsselung" kommt. Das klang so, als wenn die Anmeldedaten (User/Passwort) nicht verschlüsselt würden, was natürlich nicht der Fall ist.
Mit "Datenverschlüsselung" meinte ich jeglichen Datenaustausch zwischen dem Client und dem Server durch den Tunnel. Dazu gehört natürlich sowohl die Anmeldung als auch die Übertragung abgeholter Header und Nachrichten über das IMAP-Protokoll.
Zudem stellt sich die Frage, was denn nun eigentlich gewünscht ist, schließlich sind bei imaps _alle_ Daten encrypted und damit praktisch nicht abhörbar geschützt.
Wie ich schon schrieb, der Tunnel verhindert nur das Ausspionieren des Passworts durch Mithorchen an der Leitung.
Nein. Wenn Du IMAP über TLS/SSL machst, gehen sowohl Logindaten (also Benutzername und Passwort) als auch die Nutzdaten (eMail-Header, eMail- Bodys, Steuerinformationen) durch den Tunnel. Sie sind dann allesamt nicht mehr im Klartext auf der Leitung und damit nur dann von einem Dritten abhörbar, wenn er den SSH-Tunnel geknackt hätte. Es wird also "alles" verschlüsselt, nicht nur das Login. Auch das Mit- lesen der Nachrichten selbst wird so praktisch unmöglich gemacht. Du kannst es ja leicht überprüfen, indem Du z.B. mit "wireshark" mal die Pakete abfängst, die auf dem betreffenden Interface hereinkommen. Gruß, Steffen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org