Hallo, Ortwin Ebhardt schrieb:
Ingo Freund schrieb:
Martin Burnicki schrieb:
ich habe hier einen cyus imapd, der aus dem (kleinen) internen Netz direkt über imap-Protokoll mit einfachem Text-Passwort erreichbar ist.
Zusätzlich sollte der Server jetzt auch von extern erreichbar sein, jedoch ausschließlich über imaps-Protokoll / Port 993.
Ich weiß, dass imaps nur den Datenverkehr verschlüsselt. [...]
Absolut sicher? Woher kommt dieses Wissen?
Ich denke, hier liegt ein Mißverständnis vor; bei imaps wird für die verbindung mit dem imap-Server in SSL-Tunnel aufgebaut, alle Daten, die dadurch gehen (egal ob nun nochmals extra verschlüsselt oder nicht) sind somit mittels SSL geschützt. (SSL oder TSL, bin zu faul, immer beides zu schreiben.) Auch die Anmeldedaten werden über diesen Tunnel übertragen, entsprechend sind sie auch verschlüsselt.
Genau. Aber meines Wissens verhindert die Verschlüsselung durch den Tunnel lediglich, dass durch Abhorchen des Datenverkehrs das Passwort herausgefunden werden kann.
Eine recht einfach gehaltene Anleitung zur Konfiguration findet sich unter
Danke, werde ich mir ansehen.
Ein Text-Login würde dadurch nicht wesentlich erschwert.
Ähm, erschwertes Textlogin? Was ist das?
Mit "Textlogin" meinte ich die einfache Anmeldung durch Benutzername und Passwort. Eigentlich würde ich die Bezeichnung "Plain Text" damit in Verbindung bringen. In kmail kann man allerdings unter "Anmeldeverfahren" u.a. auswählen zwischen "Einfacher Text" und "PLAIN". Keine Ahnung, wo da der Unterschied ist, oder ob es sich lediglich um ein Übersetzungsproblem handelt.
Ich vermute, es ist ein Cleartext-Login (mit der Authentifizierunghsmethode Plain) gemeint. Auch der wird durch diese Geschichte natütlich verschlüsselt.
Ja. Aber um eine verschlüsselte Verbindung aufzubauen, genügt ein Zertifikat auf dem Server, ähnlich wie bei einer https-Verbindung. Wenn der Tunnel einmal steht und Cleartext-Login erlaubt ist, kann ein Angreifer einfach ein paar Passworte ausprobieren, um sich anzumelden. D.h. ob er Zugang zu dem Account erhält oder nicht hängt nur von der Crack-Sicherheit des Passworts ab. Also abgesehen von der fehlenden Abhörmöglichkeit der Verbindung bietet IMAPS allein keine höhere Sicherheit gegen unbefugten Zugang zu einem Account als ein normaler IMAP-Zugang. Falls ich das falsch verstehe, möge man mich bitte aufklären ;-)
Die Option
tls_require_cert: 1
sollte, wenn ich das richtig in der imapd.conf-Manpage gesehen haben, dafür sorgen, dass Clients über ein entsprechendes Zertifikat verfügen müssen, um überhaupt Kontakt aufnehmen zu können. Bestimmt lässt sich auch die Authentifizierung als solche mit einem Nutzerzertifikat koppeln, da weiss ich jetzt aber so aus dem Kopf nicht wie. Wenn das hier von Interesse ist kann ich es nochmal nachsene.
Danke, das ist ein guter Hinweis. ich werde mal sehen, ob ich in die Richtung weiterkomme. Viele Grüße, Martin -- Martin Burnicki Meinberg Funkuhren Bad Pyrmont Germany -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org