# STARTTLS, SSL, Verschlüsselung allgemein



## theinrichs (12. Dez. 2011)

Hallo,

Ich setze zur Zeit einen Server zur ISP-Config Verwaltung (ohne Dovecot und Postfix) ein, 2 Mailer (mit Dovecot und Postfix) wo die eigentlichen Mailkonten drauf sind.
Außerdem läuft noch ein IMAP/POP3-Proxy (mit Dovecot und Postfix) welcher die Logins an die beiden "richtigen" Mailserver verteilt (der hat erst mal nichts mit ISPC zu tun). Außerdem gehen ausgehende Mails der Mailuser zunächst über diesen Server.
Eingehende kommen direkt auf den "richtigen" Mailern an.
Der Mailproxy authentifiziert die User mit den MySQL-Datenbanken der ISP-Config Verwaltung und als Fallback direkt mit den beiden "richtigen" Mailern.

Zunächst mal grundsätzlich zu diesem Vorgehen:

Ist es überhaupt sinnvoll die eingehenden Mails direkt an die "richtigen" Mailserver zu schicken (über MX-Eintrag)? Oder würde ich hier besser auch das Relay vorschalten was auch die Ausgehenden Mails verteilt?

Dann geht es um die Frage Sicherheit. Ich blicke nicht ganz durch was genau der Unterschied zwischen STARTTLS und SSL/TLS ist. 
Wenn ich das richtig verstehe, wird bei STARTTLS zunächst ganz normal auf Port 25,110 und 143 gearbeitet und DANN erst verschlüsselt. Außerdem wird der Login bei STARTTLS im Klartext übermittelt, SSL/TLS wird direkt verschlüsselt.

Seh ich das soweit richtig? 

Was sollte ich zum Thema Sicherheit bei Mailservern noch beachten?

Dann habe ich noch eine Frage:
Dovecot und Postfix habe ich auf dem Proxymailserver selbst konfiguriert, weil ISP-Config jedes mal meine selbstgemachte Datenbank abfrage kaputt machen würde. Ich würde das auch gerne so sicher wie möglich gestalten. Seh ich es richtig, dass in der Dovecot-Config ein Klartextpasswort in der Datei stehen muss?
Bei den Servern die ISP-Config konfiguriert hat, steht in der Dovecot-Config "default_pass_scheme = CRYPT"
Was hat das zu bedeuten? Bedeutet das lediglich dass das Passwort verschlüsselt Übertragen wird? Ist das Passwort was in dieser Config-Datei steht ein verschlüsseltes? Oder ist das das Klartext Passwort?

Ich hoffe das war nicht zu kompliziert und freue mich auf Antworten!


----------

