[Eisfair] [E1 64]mail-dovecot error nach update, hier auch, E64

Alex Busam abusam at gmx.de
Fr Jun 27 16:08:23 CEST 2025 

>>
>> https://doc.dovecot.org/2.4.1/core/config/ssl.html#secured-connections
> 
> guter Punkt! Wenn Du in der genannten Beschreibung "HAProxy TLS 
> Forwarding" auswählst, wird angezeigt, das man HAProxy für PROXYv2 
> konfigurieren muss. Da ich selbst HAProxy nicht kenne, hoffe ich, dass 
> Alex hier testen kann.

Hi,

ich versuche mich da durch zu kämpfen. Aber da fehlt mir Knowhow.

Perplexity liefert mir:

PLAIN/LOGIN sollten ausschließlich mit aktivierter 
SSL/TLS-Verschlüsselung verwendet werden. Ohne Verschlüsselung sind 
diese Verfahren hochgradig unsicher, da Passwörter im Klartext 
übertragen werden.

CRAM-MD5 bietet einen gewissen Schutz bei unverschlüsselten 
Verbindungen, ist aber durch die Schwächen von MD5, fehlende Mutual 
Authentication, mögliche Brute-Force-Angriffe und problematische 
Passwortspeicherung nicht mehr zeitgemäß und wird als veraltet angesehen.

Best Practice: Immer SSL/TLS aktivieren und dann PLAIN verwenden, da der 
Schutz durch die Transportverschlüsselung gewährleistet ist und keine 
zusätzlichen Nachteile bezüglich Passwortspeicherung entstehen.

Für höhere Sicherheit sollten modernere Mechanismen wie SCRAM-SHA-1 oder 
SCRAM-SHA-256 bevorzugt werden, sofern Client-Unterstützung vorhanden ist.

Zusammengefasst:
Ohne SSL/TLS ist keines der genannten Verfahren wirklich sicher. Mit 
SSL/TLS ist PLAIN ausreichend, CRAM-MD5 bringt dann keinen nennenswerten 
Vorteil mehr und ist wegen der Komplexität und der MD5-Schwächen sogar 
eher nachteilig.

PLAIN und LOGIN entspricht in Thunderbird/Authentifizierungsmethode dem 
"Passwort, normal". CRAM-MD5 entspricht "Verschlüsseltes Passwort"

Ich vermute, dass im Modus "default" andere Methoden zugelassen werden 
als im Modus tls oder both.

In Snappymail ist CRAM-MD5 nicht vorhanden. Ob das jetzt bei anderen 
Clients auch der Fall ist, hab ich noch nicht eruiert.

Ich strebe an auf OPNSENSE/HAproxy ein mit dem ACME-Plugin verwaltetes 
Let's encrypt Zertifikat und SSL-Offloading zu verwenden. Aktuell Geht 
dann die Verbindung im lokalen Netz unverschlüsselt zum dovecot. Daher 
vermute ich, dass dovecot auf dem imap Port andere Methoden zulässt als 
auf dem imaps Port. Allerdings fehlt mir Zeit zum ausgiebigen Testen.


Viele Grüße
Alex

Mehr Informationen über die Mailingliste Eisfair