[HaBo]

brave_snoopy · 09.03.06, 13:59

Hi, da ich in mein Programm eine emailfunktion einbauen muss, hab ich nen Problem mit der Authentifizierung am Mailserver.

Welche Verschlüssellung nutzen die mailserver zum einloggen?
Ich habe im RFC nix darüber gefunden.

Mein Outlook 2003 authentifiziert sich so:

EHLO ws01
AUTH LOGIN
response 334: eine wilde zeichenkette
ich sende benutzername
response 334: eine andere wilde zeichenkette
ich sende kennwort
response 235: authentification successful

Doch da das Kennwort und der Benutzername nicht im klartext übertragen werden, würde mich die Verschlüssellung interessieren. Wie gesagt im RFC 2554 hab ich nix mit AUTH LOGIN gefunden. Dort werden nur andere AUTH Techniken besprochen.

PS: Nein ich möchte keine fremde SMTP Biblothek nutzen :)

masterluuef · 09.03.06, 15:11

Nach der Anforderung von AUTH LOGIN durch den Client, sendet der Server den String ?VXNlcm5hbWU6? (?Username:? in base64-Codierung) und erwartet seinerseits den Usernamen als Antwort. Im Anschluß sendet der Server den String ?UGFzc3dvcmQ6? (?Password:? in base64-Codierung) und erwartet das Senden des Passwortes durch den Client. Stimmen die Angaben mit den serverseitig gespeicherten Werten überein, ist der Benutzer authentisiert und kann mit der Übertragung der Daten beginnen.

ÜBRIGENS handelt es sich bei dem EHLO befehl um EXTENDED SMTP
Wenn du es mal mit HELO versuchst geht es ohne Codierung wenn
dein Server es zulässt

Anzeige

- Anzeige -

brave_snoopy · 09.03.06, 15:46

habs mit helo versucht, doch da braucht er auch die base64 codierung. Aber danke für den Tip mit base64. werds dann gleich mal umsetzen.

Eine Frage noch. Akzeptieren alle Mailserver EHLO und dazu die base64 codierung?
Bzw wieso ist es überhaupt base64 codiert? Die codierung lässt sich ja nun wirklich einfach ver/entschlüsseln und ist somit ja praktisch ein Schutz = NULL

masterluuef · 09.03.06, 15:55

Es geht auch MD5
Nicht jeder Server unterstützt EHLO
nur wenn es sich um einen ESMTP server handelt

brave_snoopy · 09.03.06, 16:11

wie kann ich das denn am besten abfangen bzw kontrollieren? Outook unterscheided da ja sicherlich auch und verbindet sich nur per EHLO wenn der Server es auch unterstützt, oder ?

The Dude · 09.03.06, 23:58

base64 ist keine verschluesselung (md5 auch nicht). viele mailserver bieten die verwendung von tls/ssl an (STARTTLS). smtp authentication (benutzername und passwort) dient zur authentifizierung. die verwendung eines verschluesselungsprotokolls wie tls/ssl dient zur sicherstellung der vertraulichkeit und integritaet (niemand hat die daten mitgelesen und niemand hat die daten veraendert).
wenn der smtp server ein zertifikat nutzt welches von einer unbekannten ca signiert wurde, sind weder vertraulichkeit noch integritaet garantiert. in diesem fall weiss man nur, dass man vor passiven attacken (sniffer) geschuetzt ist.

Anzeige

- Anzeige -

09.03.06, 13:59	#1 (permalink)
brave_snoopy Registriert seit: 24.02.06 Likes: 0	SMTP MAIL versenden Anzeige Hi, da ich in mein Programm eine emailfunktion einbauen muss, hab ich nen Problem mit der Authentifizierung am Mailserver. Welche Verschlüssellung nutzen die mailserver zum einloggen? Ich habe im RFC nix darüber gefunden. Mein Outlook 2003 authentifiziert sich so: EHLO ws01 AUTH LOGIN response 334: eine wilde zeichenkette ich sende benutzername response 334: eine andere wilde zeichenkette ich sende kennwort response 235: authentification successful Doch da das Kennwort und der Benutzername nicht im klartext übertragen werden, würde mich die Verschlüssellung interessieren. Wie gesagt im RFC 2554 hab ich nix mit AUTH LOGIN gefunden. Dort werden nur andere AUTH Techniken besprochen. PS: Nein ich möchte keine fremde SMTP Biblothek nutzen :)

09.03.06, 15:11	#2 (permalink)
masterluuef Registriert seit: 03.03.06 Likes: 0	RE: SMTP MAIL versenden Nach der Anforderung von AUTH LOGIN durch den Client, sendet der Server den String ?VXNlcm5hbWU6? (?Username:? in base64-Codierung) und erwartet seinerseits den Usernamen als Antwort. Im Anschluß sendet der Server den String ?UGFzc3dvcmQ6? (?Password:? in base64-Codierung) und erwartet das Senden des Passwortes durch den Client. Stimmen die Angaben mit den serverseitig gespeicherten Werten überein, ist der Benutzer authentisiert und kann mit der Übertragung der Daten beginnen. ÜBRIGENS handelt es sich bei dem EHLO befehl um EXTENDED SMTP Wenn du es mal mit HELO versuchst geht es ohne Codierung wenn dein Server es zulässt

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
E-Mail versenden....	Nijopeon	Code Kitchen	6	16.08.07 12:53
[C++] E-mail versenden	<b00n>	Code Kitchen	7	03.08.07 16:21
E-Mail versenden mit C++	Neuer06	Code Kitchen	5	28.02.06 17:36
Per Telnet im SMTP Mail mit Anhang versenden möglich?	Fred556	Internet Allgemein	1	08.04.04 12:55

09.03.06, 15:46	#3 (permalink)
brave_snoopy Themenstarter Registriert seit: 24.02.06 Likes: 0	habs mit helo versucht, doch da braucht er auch die base64 codierung. Aber danke für den Tip mit base64. werds dann gleich mal umsetzen. Eine Frage noch. Akzeptieren alle Mailserver EHLO und dazu die base64 codierung? Bzw wieso ist es überhaupt base64 codiert? Die codierung lässt sich ja nun wirklich einfach ver/entschlüsseln und ist somit ja praktisch ein Schutz = NULL

09.03.06, 15:55	#4 (permalink)
masterluuef Registriert seit: 03.03.06 Likes: 0	Es geht auch MD5 Nicht jeder Server unterstützt EHLO nur wenn es sich um einen ESMTP server handelt

09.03.06, 16:11	#5 (permalink)
brave_snoopy Themenstarter Registriert seit: 24.02.06 Likes: 0	wie kann ich das denn am besten abfangen bzw kontrollieren? Outook unterscheided da ja sicherlich auch und verbindet sich nur per EHLO wenn der Server es auch unterstützt, oder ?

09.03.06, 23:58	#6 (permalink)
The Dude Registriert seit: 13.11.04 Likes: 0	base64 ist keine verschluesselung (md5 auch nicht). viele mailserver bieten die verwendung von tls/ssl an (STARTTLS). smtp authentication (benutzername und passwort) dient zur authentifizierung. die verwendung eines verschluesselungsprotokolls wie tls/ssl dient zur sicherstellung der vertraulichkeit und integritaet (niemand hat die daten mitgelesen und niemand hat die daten veraendert). wenn der smtp server ein zertifikat nutzt welches von einer unbekannten ca signiert wurde, sind weder vertraulichkeit noch integritaet garantiert. in diesem fall weiss man nur, dass man vor passiven attacken (sniffer) geschuetzt ist.

[HaBo]

SMTP MAIL versenden