简短而简单——我不明白为什么它仍然有效。
我的配置有
disable_plaintext_auth = yes
ssl = required
根据文档,这意味着
即使使用非纯文本身份验证机制,也始终需要 SSL/TLS。在启用 SSL/TLS 之前进行任何身份验证尝试都会导致身份验证失败。
但我仍然可以
$ telnet 0 110
+OK Dovecot ready.
user xxxxxx
+OK
pass xxxxxx
+OK Logged in.
list
+OK 2 messages:
1 3761
2 4057
.
quit
我究竟做错了什么?
答案1
请注意,对于来自 localhost 的连接,始终允许使用纯文本身份验证(不需要 SSL),因为它们无论如何都被认为是安全的。这适用于本地和远程 IP 地址相等的所有连接。此外,login_trusted_networks 设置指定的 IP 范围也被认为是安全的。