moin moin

ich lese mich gerade durch diverse postings. das neue postfix buch ist noch nicht draussen und das alte vergriffen. deshalb meine frage an euch.

soweit ich verstanden habe bestehen viele moeglichkeiten das smtp-auth zu realisieren.
kann mir jemand sagen welche methode die vernuenftigste ist ?

cyrus-sasl
PAM
oder sogar pop vor smtp

irgend wann erreiche ich rom bestimmt

Hi,

wenn du PAM benutzen willst und z.B. gegen eine mySQL-Datenbank authen willst, musst du pam_mysql benutzen. Dieses will man jedoch nicht, da pam_mysql ziemlich gut auf securityfoscus.com vertreten ist ;)

Wenn du mit mySQL arbeiten willst, würde ich dir libsasl empfehlen, um SMTP-Auth zu realisieren. Wenn du dann noch mit Courier-imap arbeitest, kannst du auf die gleiche Benutzerdatentabelle zugreifen.

MfG,
Arne

problem ist bei dieser zusammenstellung allerdings das die passwörter in der mysql datenbank im klartext vorliegen, oder ?

meine test ergaben:

sasl - courier - mysql = passwörter im klartext
pop-before-smtp -courier -mysql = passwörter verschlüsselt
und an sasl - pam -courier - mysql hänge ich leider gerade

was das ganze aus meiner sicht eben so eckelhaft macht ist das sasl nicht mit verschlüsselten passwörtern klarkommt. für freebsd sollte es wohl einen sasl patch geben, für debian konnte ich da allerdings leider nichts finden ...

problem ist bei dieser zusammenstellung allerdings das die passwörter in der mysql datenbank im klartext vorliegen, oder ?
Und wieviele Leute haben Zugriff auf deine Datenbank mit den notwendigen Rechten, so dass das ein Problem wird?


was das ganze aus meiner sicht eben so eckelhaft macht ist das sasl nicht mit verschlüsselten passwörtern klarkommt. für freebsd sollte es wohl einen sasl patch geben, für debian konnte ich da allerdings leider nichts finden ...
Bitte schön: http://frost.ath.cx/software/cyrus-sasl-patches/
Mach dir aber klar, dass du bei verschlüsselten Passwörtern in der Datenbank keine Authentifizierungsmechanismen, wie z. B. DIGEST-MD5 oder CRAM-MD5 benutzen kannst.

erstmal ein dickes dankeschön die beiden guten antworten!


Und wieviele Leute haben Zugriff auf deine Datenbank mit den notwendigen Rechten, so dass das ein Problem wird?


ok, hast wohl soweit recht und da mysql nur auf 127.0.01 lauscht wäre soweit auch alles cool, problem ist nur das auf der selben kiste noch ein apache2 mit php und mysql läuft. mit einen entsprechenden bruttforce script von "innen" sehe ich daher schon eine gefahr ... da ich denn mailserver nach der konfiguration warscheinlich nie mehr anlangen werde (zeitdruck / projekte ...)
möchte ich die möglichst beste und zukunftssicherste lösung mit denn besten schnittstellen einführen.
da ich später für denn ganzen kram er ein php script zum anlegen neuer benutzer usw. schreiben möchte steht ja z.b. auch hier schon benutzername und passwort für die datenbank in dem script. sprich ein bug im apache würde ev. mit vielen weiteren problemen zusammenhängen ... das wäre ein punkt denn ich eigentlich verhindern möchte ...

zumal ich bei pam auch cool finde das man die fehler in mysql loggen kann,
somit könnte ich auch nette sql abfragen und auswertungen usw. machen ...




Bitte schön: http://frost.ath.cx/software/cyrus-sasl-patches/
Mach dir aber klar, dass du bei verschlüsselten Passwörtern in der Datenbank keine Authentifizierungsmechanismen, wie z. B. DIGEST-MD5 oder CRAM-MD5 benutzen kannst.


digest-md5 und cram-md5 sind im falle das ich denn smtp verkehr tls verschlüssel doch eigentlich auch nichtmehr nötig, oder ? wie schauts denn dann eigentlich mit einem anderen postfix server z.b. aus der mails abholen möchte ? bei einen frontend wie kmail werde ich ja gefragt ob ich das zertifikat anerkenne oder eben nicht, wie sieht das bei servern bzw. ascii clients aus ?