我在 POSTFIX 中启用了 TLS 支持,并将身份验证委托给 Dovecot,它提供“plain login cram-md5”方法。我的 Postfix conf 中的 SASL 部分有
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_path = private/auth-client
不幸的是,一些连接的邮件客户端是 Outlook Express 和 Gmail,它们都不支持 CRAM-MD5。为了允许这些客户端进行中继,我不得不删除 noplaintext 约束并使用
smtpd_sasl_security_options = noanonymous
相反。这是否意味着即使启用了 TLS,Outlook Express 和 Gmail 等客户端也只会以纯文本形式发送其凭据?如果是,我有什么选择?
谢谢你!
答案1
由于您的连接是通过 TLS 加密的,因此纯文本身份验证应该不存在任何安全问题。大多数邮件提供商都使用纯文本身份验证而不是 TLS/SSL。问题在于有人嗅探连接内容的可能性有多大。
但您必须确保没有加密就无法连接。您还应该使用来自受信任 CA 的证书。