Re: Serveur de mails et mécanismes SASL

To: debian-user-french@lists.debian.org
Subject: Re: Serveur de mails et mécanismes SASL
From: mouss <mlist.only@free.fr>
Date: Wed, 14 Nov 2007 16:59:09 +0100
Message-id: <[🔎] 473B1B4D.1030603@free.fr>
Reply-to: mouss <no.spam.here@free.fr>
In-reply-to: <[🔎] cd0bf3eba4811ad1b957873361e31417@localhost>
References: <[🔎] cd0bf3eba4811ad1b957873361e31417@localhost>

Franck JONCOURT wrote:
> Bonsoir,
> 
> Je configure actuellement un serveur de mails, et je m'attarde sur 
> les mécanismes SASL.
> 
> Ma configuration :
> 
> * IMAP - non activé pour le moment
> * IMAPS - PLAIN / LOGIN / CRAM-MD5
> * POP3 - non activé pour le moment
> * POP3S - PLAIN / LOGIN / CRAM-MD5
> 
> J'ai l'intention d'inhiber PLAIN en IMAP et POP3
> 
> * SMTP - LOGIN / CRAM-MD5 avec TLS disponible

et pourquoi LOGIN et pas PLAIN? c'est pas bien d'être plus gentils avec
les outlooks qu'avec les logiciels qui implémentent des standards non
obsoletes.

> * SUBMISSION - PLAIN / LOGIN / CRAM-MD5
> avec TLS obligatoire
> 
> Il y a quelques temps, il me semble que j'avais trouvé une RFC qui 
> mentionnait l'utilisation des _plaintext_ ou _non-plaintext mechanisms_
> pour la mise en place d'un serveur de mail ; mais je n'arrive plus à 
> mettre la main dessus.
> 
> L'utilisation de CRAM-MD5 comme mécanisme impose que le mot
> de passe soit stocké en PLAIN ou CRAM-MD5. Or je voudrais ajouter
> le mécanisme DIGEST-MD5, mais cela implique un mot de passe stocké 
> en PLAIN ou DIGEST-MD5. Donc incompatibilité entre DIGEST-MD5
> et CRAM-MD5 à moins d'un mot de passe en PLAIN.
> 
> Par conséquent, je me pose quelques questions :
> 
> * Doit-on proposer plus d'un _non_plaintext mécanism_ tel que 
> DIGEST-MD5, CRAM-MD5 et utiliser des mots de passe en clair pour
> le stockage ?
> 
> * Quels sont les mécanismes minimums à fournir en SMTP, SUBMISSION,
> IMAP ... ?

La réponse aux deux question dépend des logiciels de mail qui vont
accéder aux serveurs. grosso mod:

question submission/smtp, digest-md5 est supporté par Sylpheed, The
Bat!, Mulberry, Novel Edition, Wanderlust... je ne sais pas si ça fait
suffisamment d'utilisateurs sur ton système pour justifier le boulot.
Regarde sur
	http://www.melnikov.ca/mel/devel/SASL_ClientRef.html
pour le support sasl de différents mailers.

D'autre part, si tu forces TLS, PLAIN et LOGIN sont suffisants et il est
inutile de se batter avec *-MD5.

si t'as des utilisateurs outlook, tu risques de devoir activer le port
465 (smtps), qui est l'ancien service pour smtp sur ssl (obsolete depuis
belle lurette, mais bon).

LOGIN est uniquement nécessaire pour les clients qui ne supportent pas
le "vrai" standard, comme outlook (encore lui). dans ce cas, ton serveur
smtp doit proposer la syntaxe obseolete (220-AUTH=LOGIN ... avec un '='
au lieu d'un espace). sur postfix, il faut activer
broken_sasl_auth_clients.

Reply to:

Follow-Ups:
- Re: Serveur de mails et mécanismes SASL
  - From: Franck JONCOURT <franck.mail@dthconnex.com>

References:
- Serveur de mails et mécanismes SASL
  - From: Franck JONCOURT <franck.mail@dthconnex.com>

Prev by Date: Re: [HS] Couper les lignes automatiquement sous emacs
Next by Date: mysql_config ?
Previous by thread: Serveur de mails et mécanismes SASL
Next by thread: Re: Serveur de mails et mécanismes SASL
Index(es):
- Date
- Thread