Froxlor ohne Klartext-Passwörter

  • Moin,


    ich versuche gerade, Froxlor so sicher wie möglich zu bekommen. Dazu gehört m. E. auch das Entfernen von Klartext-Passwörtern aus der Datenbank, die Froxlor für Dinge wie z. B. SMTP/IMAP/POP3-Authentifizierung haben möchte. In der Tabelle mail_users gibt es ein Feld für Klartext-Passwörter. Welche Möglichkeiten gibt es, eine sichere Mail-Authentifizierung auch ohne diese Klartextpasswörter zu realisieren?


    Für mich ergibt sich da auch die Frage: Was ist sicherer: Klartext-Passwörter in einer Datenbank oder Klartextpasswörter auf dem Übertragungsweg? Gibt es eine Möglichkeit, beides loszuwerden?


    Viele Grüße

    Matthias


    P.S.: Ja, ich kenne die Sicherheitseinstellung, keine Klartextpassworte zu speichern. Das ist aber nicht das, worauf ich hinaus möchte.

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A

  • in den Einstellung kannst du das aus machen. musst natürlich noch prüfen, dass postfix / dovecot oder welche combo du nutzt auch nur die Verschlüsselten an nehmen.


    Auf einem Server wo noch froxlor im Einsatz ist läuft nen cronjob der Klartext PWs zusätzlich noch tilgt.

  • Moin


    Du solltest deinen Mailserver so konfigurieren, das er Klartextpassworte nur über verschlüsselte Verbindungen zulässt.
    Das wäre ohnehin Stand der Technik.

    I know. Auch schon lange so konfiguriert. Aber irgendwas in mir findet es trotzdem ungut, wenn ich das Passwort jedes mal übertrage. Vielleicht ist das aber auch unbegründet...

    Matthias Lohr Project Blog: https://mlohr.com/

    PGP: 0x8FC3060F80C31A0A