Re: wie Imap Zugang von Außen über iPhone sicher machen

To: debian-user-german@lists.debian.org
Subject: Re: wie Imap Zugang von Außen über iPhone sicher machen
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Fri, 22 Jul 2011 17:38:50 +0200
Message-id: <[🔎] 201107221738.50551.Martin@lichtvoll.de>
In-reply-to: <[🔎] 20110722120453.GC4027@michelle1>
References: <[🔎] 20110718213249.00005123@unknown> <[🔎] 201107221036.08107.Martin@lichtvoll.de> <[🔎] 20110722120453.GC4027@michelle1> (sfid-20110722_164834_913913_1FB4E6D0)

Am Freitag, 22. Juli 2011 schrieb Michelle Konzack:
> Hello Martin Steigerwald,
> 
> Am 2011-07-22 10:36:07, hacktest Du folgendes herunter:
> > Wichtig ist bei TLS auf jeden Fall, den Client richtig einzustellen.
> > Denn wenn dieser das Passwort Klartext sendet, bringt es nichts,
> > wenn der Server TLS erfordert.
> 
> Nööö, viel zu hohes Risiko!
> 
> "plaintext auth"  im  Server  deaktivieren!
> 
> Funktioniert hier  einwandfrei  und  alle  MUAs  (Linux,  BSD, 
> Windows) switchen dann von selber zu TLS+SSL.

Aus meinem Telnet-Mitschnitt und meiner Mail auf die ich mich bezog, ist 
ersichtlich, dass unverschlüsslete Klartextpasswörter im Server 
deaktiviert sind, solange weder TLS noch SSL zum Einsatz kommt:

* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE 
STARTTLS LOGINDISABLED] Dovecot ready.

Capability LOGINDISABLED. Bei Dovecot ist das übrigens Standard-
Einstellung.

Ich weiß aber nicht, ob ein Client, der auf Plaintext gestellt ist, dann 
nicht trotzdem versucht, erstmal das Klartext-Passwort zu schicken. 
Genauso wie ich es in meinem Telnet-Mitschnitt demonstrierte:

a001 login testuser ghgfhg

Wenn ich auf dem Server STARTTLS als erforderlich konfiguriere, wie ich ja 
deutlich empfahl, dann hindert das den Client nicht, bei Fehlkonfiguration 
trotzdem erstmal Klartext zu schicken und *erst* dann auf die Schnauze zu 
fallen:

* BAD [ALERT] Plaintext authentication not allowed without SSL/TLS, but 
your client did it anyway. If anyone was listening, the password was 
exposed.

Das ist anders, wenn ich über Port 993 gehe und der Port 143 geschlossen 
ist. Wenn da der Client noch auf Port 143 konfiguriert ist, kann er 
schlicht schonmal keine Verbindung aufbauen. Und ein Client, der über Port 
993 eine Verbindung aufbaut, sollte nicht mal auf die Idee kommen, es 
überhaupt mit einem unverschlüsselten Klartext-Passwort zu versuchen.

Klar, von einem intelligenten Client würde ich erwarten, dass er 
unabhängig von seiner Konfiguration niemals versucht, ein Klartext-Passwort 
zu verschicken, *egal* was der Benutzer eingestellt hat. Ob jedoch jeder 
Client "LOGINDISABLED" auswertet, bevor er das Anmelden versucht?

Oder meintest Du, plaintext unabhängig von SSL/TLS, also generell 
auszuschalten und nur noch eine der an sich schon verschlüsselten Anmelde-
Verfahren wie cram-md5, digest-md5 oder so zuzulassen?

Das könnte etwas mehr Sicherheit geben, denn die Auth-Verfahren müsste der 
Client ja auf jeden Fall vorher prüfen, aber auch da: Wenn der Client es 
bei Fehlkonfiguration trotzdem versucht?

Nun, da wäre jetzt in Quelltext des entsprechenden Clients, in die 
aktuelle Netzwerk-Kommunikation und die IMAP-Spezifikationen zu schauen. 
Wie geschrieben: Ein intelligenter Client prüft, ob er das Passwort 
unverschlüsselt im Klartext verschicken darf, bevor er es (mit dem echten 
Passwort) versucht.

So oder so, da sehe ich bei IMAPS durch die andere Portnummer eine etwas 
höhere Sicherheit, dass der Client das richtige (TM) macht.

Ein kleiner Test (mit falschem Passwort) - jetzt aber mit POP, da ich IMAP 
an sich privat (noch) nicht nutze - mit KMail liefert genau die 
Fehlermeldung von oben zurück. Es scheint mir also, als ob KMail es 
einfach ausprobiert.

Okay, laut Wireshark sendet KMail

USER benutzername\r\n

und fällt dann auf die Schnauze. Also es geht kein Passwort über die 
Leitung, obwohl KMail es einfach probiert. Allerdings ist POP3 einfach 
auch ein anderes Protokoll und das sieht dann anders aus:

martin@merkaba:~> telnet mondschein 110
Trying 194.150.191.11...
Connected to mondschein.lichtvoll.de.
Escape character is '^]'.
+OK Dovecot ready.

D.h. der Server meldet sich nicht mit den von IMAP bekannten Capabilities 
und daher weiß KMail initial ja auch nicht, was Sache ist. Durch die 
Trennung der Authentifizierung in zwei Befehle für Benutzer und Passwort 
ist das hier aber auch kein Problem.

Beim Login-Befehl von IMAP hab ich jedoch Benutzername und Passwort auf 
der gleichen Zeile angegeben.  Hier wäre interessant, zu schauen, was 
KMail dann macht. Da hab ich grad aber keine Lust mehr zu, da ich keinen 
IMAP-Account in KMail konfiguriert hab. Vielleicht ein andermal.

Hmmm, interessant wärs schon, aber ich hab noch ein paar andere Dinge zu 
erledigen. Wenn jemand anders grad die Muse hat, mal genauer zu schauen, 
oder es schon weiß... immer gerne.

-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

References:
- wie Imap Zugang von Außen über iPhone sicher machen
  - From: Dirk Schleicher <dirk.schleicher@gmx.de>
- Re: wie Imap Zugang von Außen über iPhone sicher machen
  - From: Martin Steigerwald <Martin@lichtvoll.de>
- Re: wie Imap Zugang von Außen über iPhone sicher machen
  - From: Michelle Konzack <linux4michelle@tamay-dogan.net>

Prev by Date: Verwendet jemand GlusterFS?
Next by Date: Re: wie Imap Zugang von Außen über iPhone sicher machen
Previous by thread: Re: wie Imap Zugang von Außen über iPhone sicher machen
Next by thread: Re: wie Imap Zugang von Außen über iPhone sicher machen
Index(es):
- Date
- Thread