[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: dovecot and force ssl

On 04/07/2010 10:51 AM Steffen Kowalski wrote:
> Hallo Liste,
> 
> ich versuche den login eines users ohne ssl zu verbieten(Port 143). Das 
> gelingt mir jedoch irgendwie nicht. Ich kann user sowohl mit und ohne 
> STARTTLS (erfolgreich) anmelden. dovecot -n sagt:
> …
> Zugegeben, ich habe jetzt nicht ewig gesucht sowie Quelltexte und Debugger 
> nicht verwendet. Ein erster Blick in die dovecot doc impliziert mir jedoch, 
> dass mein Wunsch eigentlich der Standardkonfiguration entsprechen sollte. 
> Mich verwundert jedoch die Antwort von CAPABILITY:
> 
> CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT 
> LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS STARTTLS AUTH=PLAIN 
> AUTH=LOGIN
> 
> Wieso bietet er hier schon AUTH an? Sollte das nicht erst nach einem STARTTLS 
> angeboten werden? RFC2595 ist da recht eindeutig:
> 
> 2.3. Clear-Text Password Requirements
>    Clients and servers which implement STARTTLS MUST be configurable to
>    refuse all clear-text login commands or mechanisms (including both
>    standards-track and nonstandard mechanisms) unless an encryption
>    layer of adequate strength is active.  Servers which allow
>    unencrypted clear-text logins SHOULD be configurable to refuse
>    clear-text logins both for the entire server, and on a per-user
>    basis.
> …
> PS: ik ik - ist eigentlich eine dovecot Frage - aber dort bin ich gerade nicht 
> angemeldet ;-)

Falsche Liste, da kann die Antwort schon mal etwas dauern.

Dovecot verhält sich korrekt. Du hast mit großer Wahrscheinlichkeit vom
falschen Host aus getestet. Denn: "all local IPs are treated as secure"¹

mit einem `telnet ::1 imap2` bekomme ich:
* OK [CAPABILITY IMAP4rev1 … STARTTLS AUTH=DIGEST-MD5 AUTH=CRAM-MD5
AUTH=LOGIN AUTH=PLAIN] Dovecot ready.

Im Log steht dann:
dovecot: imap-login: Aborted login (no auth attempts): rip=::1, lip=::1,
secured

Verbinde ich mich von einem anderen Host, sehe ich:
* OK [CAPABILITY IMAP4rev1 … STARTTLS LOGINDISABLED AUTH=DIGEST-MD5
AUTH=CRAM-MD5] Dovecot ready.

Im Log sthet dann:
dovecot: imap-login: Aborted login (no auth attempts):
rip=2a01:198:37a:0:c2ff:eeff:fe76:6805, lip=2a01:198:37a:1::1
Ganz ohne TLS am Ende.

Ergo: Klartext Authentifizierung wird abgelehnt, wie in RFC 2595,
Sektion 2.3² beschrieben.


Gruß
Pascal
--
1 = http://wiki.dovecot.org/TestInstallation
2 = http://tools.ietf.org/html/rfc2595#section-2.3
-- 
The trapper recommends today: deadbeef.1009819@localdomain.org
Reply to: