Sto utilizzando Dovecot per le connessioni IMAP.
Ho letto un sacco di tutorial su come impostare Dovecot e molti di loro hanno detto di consentire solo:
auth_mechanisms = plain login
Perché non dovrei permettere anche l'autenticazione * -md5? Mi piace così:
auth_mechanisms = plain login digest-md5 cram-md5
So che il server deve memorizzare la password in forma non criptata per supportare i meccanismi di autenticazione * -md5.
Ma questo diminuisce la sicurezza in alcun modo?
Voglio dire, chiunque abbia accesso al server può comunque leggere la password:
O leggendo direttamente la password non crittografata (semplice) dal disco se uso l'autenticazione * -md5, o aspettando che il mio client di posta elettronica si colleghi al mio server e quindi estraendo la password semplice che invia se uso plain
o login
auth.
Quindi qual è il problema di non usare l'autenticazione md5?
EDIT:
Sicuramente il mio server usa sempre sessioni IMAP TLS / SSL.