Hallo Michael,
Man sollte dann zumindest eine andere Authentifizierungsmethode als klartext einstellen wenn man kein ssl benutzt. Alles andere ist in meinen Augen grob fahrlässig. (Man könnte dein Passwort einfach auslesen und dann deinen Mailserver, sofern du auch Versand per smtp anbietest, als SPAM-Schleuder mißbrauchen.)
vielen Dank für deine Antwort. Ich habe das gerade einmal geprüft und z. b. bei meinem GMX-Account festgestellt, dass man sich auch im Klartext via telnet am POP3-Server anmelden kann. Am SMTP-Server konnte ich mich via PLAIN (base64 String) authentifizieren, was ja auch unsicher ist, da der String ja problemlos decodiert werden kann.
Um es dann wenigstens selbst besser zu machen, habe ich den Dovecot auf CRAM-MD5 umgestellt.
Warum verwenden Mail-Anbieter nicht wenigstens CRAM-MD5, was ja - laut Wikipedia - doch recht sicher ist. Jedenfalls sicherer als echter Klartext oder Base64. Wenn eine Privatperson einen unsicheren Mailserver betreibt ist das eine Sache, aber die großen Unternehmen sollten es doch echt besser wissen.
Gruß Simon