Quelle est la bonne configuration connexion SSL / mot de passe en clair pour un serveur mail

Support Debian
, ,
Tags: #<Tag:0x00007f509ffb9ba8> #<Tag:0x00007f509ffb9ae0> #<Tag:0x00007f509ffb9928>
#1

Bonjour,

J’ai encore un peu de mal avec les notions de sécurité, au préalable, j’ai essayé de configurer mon serveur de messagerie en utilisant postfix (mysql), dovecot et appliqué un certificat ssl sur mail.domaine.tld avec Let’s encrypte.

J’essaye maintenant d’obtenir mon courrier avec Gmail en important le compte utilisateur@domaine.tld . Je ne pouvais pas le faire avec la case SSL cochée. J’ai donc décoché et j’ai toujours une erreur en raison de l’authentification en texte brut.

[AUTH] Plaintext authentication disallowed on non-secure (SSL/TLS) connections.
J’ai aussi regardé les logs de /var/log/mail.log (que je peux vous montrer au besoin), mais je ne trouve rien d’explicite pour moi.

J’ai donc modifié sans succès : /etc/dovecot/conf.d/10-auth.conf avec disable_plaintext_auth = no

et /etc/dovecot/conf.d/10-ssl.conf avec ssl = required

D’une part, est-ce sécurisé? Je ne suis pas sûr de comprendre ceci:

ssl=yes et disable_plaintext_auth=no : SSL / TLS est proposé au client, mais le client n’est pas obligé de l’utiliser. Le client est autorisé à se connecter avec une authentification en texte brut même lorsque SSL / TLS n’est pas activé sur la connexion. Ceci n’est pas sûr, car le mot de passe en texte brut est exposé à Internet.

(Depuis: https://wiki.dovecot.org/SSL/DovecotConfiguration )

Le mot de passe transmis est-il crypté (grace à la configuration SSL) ou non (à cause de la configuration en texte brut) ?

Si non, comment puis-je le sécuriser mieux ? Est ce la façon de procéder pour gmail ?

J’ai peut être loupé un truc important… et je n’arrive toujours pas à associer mon compte messagerie dans gmail, alors que sur Thunderbird le test est ok.

Merci pour votre aide/piste de réflexion ! :wink:

#2

Rapport des erreurs
1# Je reçois sur gmail le message :

Un problème est survenu lors de la connexion à mail.exemple.fr.
Le serveur a renvoyé l’erreur : “SSL protocol error. Please try disabling SSL, or contact your other provider to verify the correct port settings.”.

Le serveur lui me renvoie l’erreur suivante, mail.log :

Dec 28 08:56:38 smtp dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=209.85.xxx.xxx lip=163.172.xxx.xxx, session=<8yUpZxB+SQDRVacB>

2# Lorsque je désactive la case SSL, je reçois un autre message d’erreur sur gmail :

Le serveur a refusé l’accès POP3 au nom d’utilisateur et au mot de passe indiqués.
Le serveur a renvoyé l’erreur : “[AUTH] Plaintext authentication disallowed on non-secure (SSL/TLS) connections.”.

Le serveur lui me renvoie cette fois l’erreur suivante, mail.log :

Dec 28 08:57:37 smtp dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=209.85.xxx.xxx, lip=163.172.xxx.xxx, session=<ESWsahB+mQDRVacM>

#3

Bonjour,
Petit up,
J’ai modifié : /etc/dovecot/conf.d/10-auth.conf avec disable_plaintext_auth = no

et cette fois /etc/dovecot/conf.d/10-ssl.conf avec ssl = **yes**

Cela fonctionne, mais ca me semble encore moins sécurisé…
A défaut de réponse, auriez vous un lien / une documentation / …, où je puisse trouver les infos sur le sujet ? J’ai cherché un peu au hasard sur le net, sans succès flagrant
Merci !