Top過去ログ目次掲示板

作成日:2005年11月20日 作成:おやじ
掲示板で過去に質問された内容です。

No.5403 外部から接続時、受信のパスワードは秘匿される?


No.5403 投稿時間:2005年11月20日(Sun) 11:04 投稿者名:佳郎 URL:
タイトル:外部から接続時、受信のパスワードは秘匿される?

いつも参考にさせていただいています。

下記構成で何とかメールサーバーを立ち上げ、外部からメール確認・
送信したいと考え、「SMTP Authenticationの導入」を参考に、なんと
か試験するところまで辿り着きました。 認証はsaslauthdでPAMによる
方式としました。

さて、試験をしながら下記 疑問が思い浮かび、この場を借りて教えを
いただければと,メールさせていただきました、よろしくお願いします


送信時の認証は、
sasl_method=LOGIN, sasl_username=yosh
で、秘匿されていますが(設定が有効に働いてると・・・・思います
)受信時のパスワード認証処理は何もなされていないまま・・・、なの
でしょうか?

私の環境では「SMTP-Auth+TLS」までする必要ないと考えていたのです
が・・。

アドバイスいただければ幸です。

環境:

CentOS 4.2
Postfix 2.1.5
devecot 0.99.11


No.5404 投稿時間:2005年11月20日(Sun) 11:23 投稿者名:おやじ URL:
タイトル:クライアント環境しだいでは?

> 送信時の認証は、
> sasl_method=LOGIN, sasl_username=yosh
> で、秘匿されていますが(設定が有効に働いてると・・・・思います

クライアントがOEなら伝送路上はplainテキストなのでモニタすれば丸見えです。

> )受信時のパスワード認証処理は何もなされていないまま・・・、なの
> でしょうか?

受信とはどういう意味ですか? クライアントから見た受信ならPostfixの話ではなくDovecotの話ですよね?
サーバから見た受信なら、上記の話なので・・。

> 私の環境では「SMTP-Auth+TLS」までする必要ないと考えていたのです
> が・・。

クライアントがどういう環境にあるかだと思います。一般家庭のようにISP直結ならほとんど心配ないのでは?
学校や会社などでもしサーバダイレクトで送信できるなら、そこの管理者やネットワークを触れる状態ならモニタされる危険がなきにしもあらずということでしょうか?
不特定ならssl化しておくに越したことはありません。


No.5405 投稿時間:2005年11月20日(Sun) 14:11 投稿者名:佳郎 URL:
タイトル:Re: クライアント環境しだいでは?

[おやじ]様、ありがとうございます。


> > クライアントがOEなら伝送路上はplainテキストなのでモニタすれば丸見えです。

クライアントがOEですから「丸見え」状態なのですね。OEは考えもんですね。
ひつこいようですが、対応しているクライアントでSMTP認証を行ったとして、POP/IMAPでクライアントが受信時(Dovecot接続時)のパスワード認証は、やはり「丸見え」状態なのでしょうか?


No.5406 投稿時間:2005年11月20日(Sun) 14:50 投稿者名:おやじ URL:
タイトル:丸見えです。

> クライアントがOEですから「丸見え」状態なのですね。OEは考えもんですね。
> ひつこいようですが、対応しているクライアントでSMTP認証を行ったとして、POP/IMAPでクライアントが受信時(Dovecot接続時)のパスワード認証は、やはり「丸見え」状態なのでしょうか?

下記のとおりです。OEはPlainなので送受とも丸見えです。
おやじがSSLにこだわるのはそのためです。

http://www.aconus.com/~oyaji/centos/dovecot_centos.htm


No.5408 投稿時間:2005年11月20日(Sun) 16:15 投稿者名:佳郎 URL:
タイトル:Re: 丸見えです。

[おやじ]様

ありがとうございました。



掲示板▲頁先頭