OT: dovecot and force ssl

[Steffen Kowalski <steffen.kowalski@selfdelve.com>]

Hallo Liste,

ich versuche den login eines users ohne ssl zu verbieten(Port 143). Das 
gelingt mir jedoch irgendwie nicht. Ich kann user sowohl mit und ohne 
STARTTLS (erfolgreich) anmelden. dovecot -n sagt:

ssl_cipher_list: ALL:!LOW:!SSLv2
verbose_ssl: yes
login_dir: /var/run/dovecot/login
login_executable: /usr/lib/dovecot/imap-login
mail_privileged_group: mail
mail_location: maildir:~/mail:INDEX=~/lib/fdb/dovecot:LAYOUT=maildir++
auth default:
  mechanisms: plain login
  passdb:
    driver: pam
    args: *
  userdb:
    driver: passwd

Die Option 'disable_plaintext_auth = yes' ist Standard.

Zugegeben, ich habe jetzt nicht ewig gesucht sowie Quelltexte und Debugger 
nicht verwendet. Ein erster Blick in die dovecot doc impliziert mir jedoch, 
dass mein Wunsch eigentlich der Standardkonfiguration entsprechen sollte. 
Mich verwundert jedoch die Antwort von CAPABILITY:

CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT 
LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS STARTTLS AUTH=PLAIN 
AUTH=LOGIN

Wieso bietet er hier schon AUTH an? Sollte das nicht erst nach einem STARTTLS 
angeboten werden? RFC2595 ist da recht eindeutig:

2.3. Clear-Text Password Requirements
   Clients and servers which implement STARTTLS MUST be configurable to
   refuse all clear-text login commands or mechanisms (including both
   standards-track and nonstandard mechanisms) unless an encryption
   layer of adequate strength is active.  Servers which allow
   unencrypted clear-text logins SHOULD be configurable to refuse
   clear-text logins both for the entire server, and on a per-user
   basis.

Hat jemand einen kleinen Hinweis, welcher mich in die richtige Richtung 
stupst?

PS: ik ik - ist eigentlich eine dovecot Frage - aber dort bin ich gerade nicht 
angemeldet ;-)

-- 
THX + Gruß
 Steffen Kowalski