Andreas Hergesell schrieb: > imaps cmd="imapd -s" listen="imaps" prefork=0 > pop3s cmd="pop3d -s" listen="pop3s" prefork=0 Das ist in der Tat nicht in meinem Sinn, weil ich dann andere Ports verwenden muss (bei IMAP anstelle von 143 die 993). Und da ich an einer Stelle eine sehr restriktive Firewall hab, auf die ich auch keinen Einfluss nehmen kann, möchte ich gerne lieber die Verschlüsselung per STARTTLS anstelle von SSL generell haben. > Öhm, was hat sasl mit tls zu tun? Direkt nichts, aber SASL bewertet die Sicherheit des Logins mit einem Wert, Plaintext hat eine Null, CRAM-MD5 dann etwas mehr und ein Login nach einem STARTTLS 128 und mehr. Nun kann man wenn ich das richtig verstanden hab mit sasl_minimum_layer genau einschränken, dass man einen Mindestwert erreicht hat (128 und höher). Leider fallen ja CRAM-MD5 und Co. weg, weil ich den saslauthd mit pam_pgsql im Einsatz hab, aber für den Login via CRAM-MD5 ja Zugriff auf dass Passwort im Klartext notwendig ist. Vielleicht sollte ich doch auf die sasldb umstellen, zwar nicht schön, aber besser als Plaintext für die Kennwörter. Cheers, Jan
Attachment:
signature.asc
Description: OpenPGP digital signature