Удаление noplaintext из Postfix conf из-за отсутствия поддержки CRAM-MD5 в клиентах. Это небезопасно?

Question

Удаление noplaintext из Postfix conf из-за отсутствия поддержки CRAM-MD5 в клиентах. Это небезопасно?

Я включил поддержку TLS в POSTFIX, и аутентификация делегирована Dovecot, которая предлагает методы "plain login cram-md5". Раздел SASL в моей конфиге Postfix имел

smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_path = private/auth-client

К сожалению, некоторые из подключающихся почтовых клиентов - это Outlook Express и Gmail, которые не поддерживают CRAM-MD5. Чтобы разрешить этим клиентам ретрансляцию, мне пришлось удалить ограничение noplaintext и использовать

smtpd_sasl_security_options = noanonymous

вместо. Означает ли это, что такие клиенты, как Outlook Express и Gmail, будут отправлять свои учетные данные только в виде простого текста, даже если TLS включен? Если да, какие варианты у меня есть?

Спасибо!

1

postfix dovecot tls sasl

Источник

Ya. Perelman 06 мар '13 в 11:26

1 ответ

Решение

Другие вопросы по тегам postfix dovecot tls sasl

Christopher Perrin 06 мар '13 в 13:51 2013-03-06 13:51 · Accepted Answer · 2013-03-06 13:51

Поскольку ваше соединение шифруется по протоколу TLS, не должно быть проблем с безопасностью при аутентификации в виде открытого текста. Большинство почтовых провайдеров используют аутентификацию в виде открытого текста через TLS/SSL. Это проблема того, насколько вероятно, что кто-то может прослушать содержимое соединения.

Вы должны убедиться, что вы не можете подключиться без шифрования. Вы также должны использовать сертификат от доверенного центра сертификации.