Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge

 
Erweiterte Suche

5477 Beiträge in 1178 Themen- von 498 Mitglieder - Neuestes Mitglied: Rithaquesri

23.05.2012 12:48
ProfiHost - SupportforumTechnikTechnische Problemesichere Authentifizierung bei SMTP und POP
« vorheriges nächstes »
Seiten: [1]   Nach unten
Drucken
Autor Thema: sichere Authentifizierung bei SMTP und POP  (Gelesen 3442 mal)
Christian
Gast
« am: 31.05.2003 18:16 »
Hallo,

der SSL-Thread erinnerte mich wieder an etwas das ich loswerden wollte.

Zur Zeit bieten Sie auf Ihren Servern für SMTP und POP gar keine gesicherte Authentifizierungsmöglichkeit. Damit sind die übermittelten Passworte für jeden, der die Verbindung beobachtet, offen einsehbar.

Nein, die für SMTP gebotenen AUTH-Mechanismen PLAIN und LOGIN sind nicht sicher, da sie Username/Passwort nur base64-codieren was leicht umkehrbar ist.

Ich denke hier an den SASL-Mechanismus CRAM-MD5 nach RFC 2195, der für beide Protokolle anwendbar ist.

Gruß,
Christian
Gespeichert
ProfiHost - Technik
Administrator
Hero Member
*****
Offline Offline

Beiträge: 1703


Profil anzeigen
« Antworten #1 am: 01.06.2003 11:31 »
Ist uns bekannt, führt aber zu folgendem Problem, dass sich zur Zeit nicht lösen läßt.

Die Passwörter müßten Plain oder im MD5 Format gespeichert sein/werden. Zur Zeit werden alle Passwörter aber Crypt gespeichert. Wir könnten also lediglich Crypt oder Plain anbieten und dafür gibt es so weit mir bekannt keinen Standard... wenn doch, bitte hier einmal posten, würde dann umgehend eingebaut werden.
Gespeichert
Mit freundlichen Grüßen
Ihr ProfiHost Team
Christian
Gast
« Antworten #2 am: 01.06.2003 13:44 »
Zitat von: "ProfiHost - Technik"
Ist uns bekannt, führt aber zu folgendem Problem, dass sich zur Zeit nicht lösen läßt.

Die Passwörter müßten Plain oder im MD5 Format gespeichert sein/werden. Zur Zeit werden alle Passwörter aber Crypt gespeichert. Wir könnten also lediglich Crypt oder Plain anbieten und dafür gibt es so weit mir bekannt keinen Standard... wenn doch, bitte hier einmal posten, würde dann umgehend eingebaut werden.


Stimmt, bei Speicherung in Crypt gibt's das bekannte Problem.

Dann bleibt nur eine Möglichkeit um das Paßwort nicht einsehbar zu übermitteln - Verbindung mit SSL/TLS zum Server. Das geht ja per POP, aber wie im anderen Thread geschrieben nicht per SMTP.

Also wären die Passworte ein Grund, SSL in Ihren SMTP-Server zu implementieren, auch wenn die eigentliche Mail an den nächsten Relay wieder im Klartext übermttelt wird.

Gruß,
Christian
Gespeichert
ProfiHost - Technik
Administrator
Hero Member
*****
Offline Offline

Beiträge: 1703


Profil anzeigen
« Antworten #3 am: 01.06.2003 14:58 »
OK, das stimmt. Haben Sie zufällig den Standard Port für SMTP/TLS da? Konnte so nichts finden... bzw. nur den Port für POP3/TLS.

Vielen Dank!
Gespeichert
Mit freundlichen Grüßen
Ihr ProfiHost Team
Markus
Jr. Member
**
Offline Offline

Beiträge: 88


Profil anzeigen WWW
« Antworten #4 am: 01.06.2003 16:37 »
Zitat von: "ProfiHost - Technik"
OK, das stimmt. Haben Sie zufällig den Standard Port für SMTP/TLS da? Konnte so nichts finden... bzw. nur den Port für POP3/TLS.

AFAIK für SMTP/TLS dito Port 25, veraltet auch Port 465.
Hier Infos zum rfc-Standard:
http://ftp://ftp.isi.edu/in-notes/rfc2487.txt
Gespeichert
ProfiHost - Technik
Administrator
Hero Member
*****
Offline Offline

Beiträge: 1703


Profil anzeigen
« Antworten #5 am: 01.06.2003 18:11 »
OK, ich gebe es mal an den Techniker weiter. Wir werden dann sehen, was sich da mit QMail machen läßt.
Gespeichert
Mit freundlichen Grüßen
Ihr ProfiHost Team
Markus
Jr. Member
**
Offline Offline

Beiträge: 88


Profil anzeigen WWW
« Antworten #6 am: 03.06.2003 13:35 »
Schön, dass Sie dieses Feature einbauen werden. :-)
Gespeichert
Seiten: [1]   Nach oben
Drucken
« vorheriges nächstes »
Gehe zu: