Re: OT: dovecot and force ssl
On 04/07/2010 10:51 AM Steffen Kowalski wrote:
> Hallo Liste,
>
> ich versuche den login eines users ohne ssl zu verbieten(Port 143). Das
> gelingt mir jedoch irgendwie nicht. Ich kann user sowohl mit und ohne
> STARTTLS (erfolgreich) anmelden. dovecot -n sagt:
> …
> Zugegeben, ich habe jetzt nicht ewig gesucht sowie Quelltexte und Debugger
> nicht verwendet. Ein erster Blick in die dovecot doc impliziert mir jedoch,
> dass mein Wunsch eigentlich der Standardkonfiguration entsprechen sollte.
> Mich verwundert jedoch die Antwort von CAPABILITY:
>
> CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT
> LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS STARTTLS AUTH=PLAIN
> AUTH=LOGIN
>
> Wieso bietet er hier schon AUTH an? Sollte das nicht erst nach einem STARTTLS
> angeboten werden? RFC2595 ist da recht eindeutig:
>
> 2.3. Clear-Text Password Requirements
> Clients and servers which implement STARTTLS MUST be configurable to
> refuse all clear-text login commands or mechanisms (including both
> standards-track and nonstandard mechanisms) unless an encryption
> layer of adequate strength is active. Servers which allow
> unencrypted clear-text logins SHOULD be configurable to refuse
> clear-text logins both for the entire server, and on a per-user
> basis.
> …
> PS: ik ik - ist eigentlich eine dovecot Frage - aber dort bin ich gerade nicht
> angemeldet ;-)
Falsche Liste, da kann die Antwort schon mal etwas dauern.
Dovecot verhält sich korrekt. Du hast mit großer Wahrscheinlichkeit vom
falschen Host aus getestet. Denn: "all local IPs are treated as secure"¹
mit einem `telnet ::1 imap2` bekomme ich:
* OK [CAPABILITY IMAP4rev1 … STARTTLS AUTH=DIGEST-MD5 AUTH=CRAM-MD5
AUTH=LOGIN AUTH=PLAIN] Dovecot ready.
Im Log steht dann:
dovecot: imap-login: Aborted login (no auth attempts): rip=::1, lip=::1,
secured
Verbinde ich mich von einem anderen Host, sehe ich:
* OK [CAPABILITY IMAP4rev1 … STARTTLS LOGINDISABLED AUTH=DIGEST-MD5
AUTH=CRAM-MD5] Dovecot ready.
Im Log sthet dann:
dovecot: imap-login: Aborted login (no auth attempts):
rip=2a01:198:37a:0:c2ff:eeff:fe76:6805, lip=2a01:198:37a:1::1
Ganz ohne TLS am Ende.
Ergo: Klartext Authentifizierung wird abgelehnt, wie in RFC 2595,
Sektion 2.3² beschrieben.
Gruß
Pascal
--
1 = http://wiki.dovecot.org/TestInstallation
2 = http://tools.ietf.org/html/rfc2595#section-2.3
--
The trapper recommends today: deadbeef.1009819@localdomain.org
Reply to: