由于客户端缺乏 CRAM-MD5 支持,因此从 Postfix conf 中删除了“noplaintext”。这是否不安全?

由于客户端缺乏 CRAM-MD5 支持,因此从 Postfix conf 中删除了“noplaintext”。这是否不安全?

我在 POSTFIX 中启用了 TLS 支持,并将身份验证委托给 Dovecot,它提供“plain login cram-md5”方法。我的 Postfix conf 中的 SASL 部分有

smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_path = private/auth-client

不幸的是,一些连接的邮件客户端是 Outlook Express 和 Gmail,它们都不支持 CRAM-MD5。为了允许这些客户端进行中继,我不得不删除 noplaintext 约束并使用

smtpd_sasl_security_options = noanonymous

相反。这是否意味着即使启用了 TLS,Outlook Express 和 Gmail 等客户端也只会以纯文本形式发送其凭据?如果是,我有什么选择?

谢谢你!

答案1

由于您的连接是通过 TLS 加密的,因此纯文本身份验证应该不存在任何安全问题。大多数邮件提供商都使用纯文本身份验证而不是 TLS/SSL。问题在于有人嗅探连接内容的可能性有多大。

但您必须确保没有加密就无法连接。您还应该使用来自受信任 CA 的证书。

相关内容