[Support] Warum wird SMTP AUTH zwingend mit TLS/SSL verlangt?

[Michael Hierweck]

Hallo Christian,

Christian Felber wrote:
> Hallo Michael,
> 
>>> Warum wird SMTP AUTH zwingend mit TLS/SSL verlangt?
>> Um nicht noch ein neues Verfahren einzuführen, bei denen das Passwort im
>> Klartext über ein gutes Dutzend von Servern im Internet läuft. 
>>
>> Den meisten wird nicht klar sein, wie unsicher das Internet gerade
>> durch solche Techniken ist, also wollen wir nicht dazu verleiten.
> 
> Das kann ich nachvollziehen. Warum ist es aber dann gestattet, das
> Passwort im Klartext durchs Netz zu jagen, wenn wir Nachrichten abrufen?

wir würden lieber heute als morgen unverschlüsselte Kommunikation, bei
der Benutzernamen oder Kennwörter übermittelt werden unterbinden.

Diese Ansicht ist bei uns nicht neu, sondern bestand bereits in dieser
Form als SMTP-Auth bei eingeführt wurde. Als neue, zusätzliche Technik
haben wir sie kosequenterweise nur verschlüsselt angeboten. Wir konnten
der Kompatibilität wegen aber nicht zeitlich POP3 und IMAP "in die
Verschlüsselung zwingen", weil dies mit vielen Lösungen, die sich
bereits aktiv im Einsatz befanden, gebrochen hätte.

Die aktuellen Überlegungen sollten also nicht lauten, ob man SMTP-Auth
unsicher machen könnte, sondern ob inzwischen die Zeit reif ist, in der
man auf IMAP und POP3 ohne SSL sowie auf die "SMTP-after-POP3"-Krücke in
Zukunft verzichten könnte. Diesbezügliche Diskussionen aber bitte auf
technik at . Ich starte dort einen Thread, falls das Thema niemanden
interessiert, lasst ihn sterben.

Viele Grüße

Michael


-- 
Michael Hierweck
EDV-Serviceteam Werthmann & Hierweck GbR
http://www.edv-serviceteam.net