OT: dovecot and force ssl
Hallo Liste,
ich versuche den login eines users ohne ssl zu verbieten(Port 143). Das
gelingt mir jedoch irgendwie nicht. Ich kann user sowohl mit und ohne
STARTTLS (erfolgreich) anmelden. dovecot -n sagt:
ssl_cipher_list: ALL:!LOW:!SSLv2
verbose_ssl: yes
login_dir: /var/run/dovecot/login
login_executable: /usr/lib/dovecot/imap-login
mail_privileged_group: mail
mail_location: maildir:~/mail:INDEX=~/lib/fdb/dovecot:LAYOUT=maildir++
auth default:
mechanisms: plain login
passdb:
driver: pam
args: *
userdb:
driver: passwd
Die Option 'disable_plaintext_auth = yes' ist Standard.
Zugegeben, ich habe jetzt nicht ewig gesucht sowie Quelltexte und Debugger
nicht verwendet. Ein erster Blick in die dovecot doc impliziert mir jedoch,
dass mein Wunsch eigentlich der Standardkonfiguration entsprechen sollte.
Mich verwundert jedoch die Antwort von CAPABILITY:
CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT
LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS STARTTLS AUTH=PLAIN
AUTH=LOGIN
Wieso bietet er hier schon AUTH an? Sollte das nicht erst nach einem STARTTLS
angeboten werden? RFC2595 ist da recht eindeutig:
2.3. Clear-Text Password Requirements
Clients and servers which implement STARTTLS MUST be configurable to
refuse all clear-text login commands or mechanisms (including both
standards-track and nonstandard mechanisms) unless an encryption
layer of adequate strength is active. Servers which allow
unencrypted clear-text logins SHOULD be configurable to refuse
clear-text logins both for the entire server, and on a per-user
basis.
Hat jemand einen kleinen Hinweis, welcher mich in die richtige Richtung
stupst?
PS: ik ik - ist eigentlich eine dovecot Frage - aber dort bin ich gerade nicht
angemeldet ;-)
--
THX + Gruß
Steffen Kowalski
Reply to: