Вопросы Теги

Вход для частного пользователя Dovecot

Можно ли настроить Dovecot таким образом, чтобы я мог настроить «личное» имя пользователя, связанное с общедоступным адресом электронной почты? Например: 

Email address : email@domain.com
Login username: ph97eWY2HvUW5jbBY3jmY6

Таким образом, никто никогда не узнает, какое на самом деле имя пользователя для (скрытого), и попытки входа в систему как (скрытый) всегда будут терпеть неудачу.

Для пароля из 6 верхних / нижних / цифровых символов у вас есть 56,8 M макс. Комбинаций. Имя пользователя с такими же ограничениями даст максимальное количество комбинаций 56,8 млн.

Если предположить, что система аутентификации сообщит вам, действительное ли имя пользователя, использование секретного пароля И имени пользователя даст максимальную комбинацию более 113M. Другими словами, если бы вам пришлось угадать и то, и другое, для прохождения аутентификации потребовалось бы самое большее вдвое больше усилий.

Если вы (и система аутентификации) обрабатываете имя пользователя как пароль, тогда имя пользователя ЯВЛЯЕТСЯ паролем! Не могу поверить, что мне нужно оправдать такую ​​простую концепцию.

Если можно настроить Dovecot метод аутентификации таким образом, дайте инструкции о том, как выполнить эту задачу.

0
задан 7 April 2019 в 01:30
1 ответ

Ответ: либо избегайте этого или большая часть изменений конфигурации происходит в вашем MTA .

  1. Добавление сложности к имени входа хуже , чем добавление такой же сложности к паролю , поэтому, пожалуйста, не добавляйте эти накладные расходы на обслуживание из соображений безопасности - такой выгоды нет.

  2. Отделение имен входа от адресов по соображениям конфиденциальности также довольно неэффективно, поскольку получатель может очень легко сопоставить эти сопоставления. Однако вы можете удалить имена пользователей из заголовков сообщений (см., Например, параметр постфикса header_checks ) - если вы готовы потратить дополнительные усилия на получение информации, которая могла быть легко доступна в заголовках.

  3. Если вам нужно отдельные имена для входа и имена пользователей, чтобы справиться с некоторыми устаревшими требованиями или облегчить миграцию адресов без предварительного обновления всех клиентов, их настройка почти тривиальна - в вашем MTA. Поскольку dovecot userdb не требует, чтобы домашние каталоги, имена входа и адреса электронной почты совпадали каким-либо образом, вы можете изменить свои имена пользователей dovecot по мере необходимости.

    Предполагая, что вы используете постфикс , оставьте (скрытый ) и уже имеют reject_authenticated_senderlogin_mismatch в вашем smtpd_sender_restrictions , вам просто нужно изменить или добавить sender_login_maps (, чтобы определить, кто может отправлять сообщения с какого адреса электронной почты ) и virtual_alias_maps (чтобы определить, кто какие письма получает). Правая часть этих двух карт содержит ваши имена пользователей голубятни.

1
ответ дан 4 December 2019 в 15:43

Теги

Похожие вопросы