[HaBo]

Chris

Anzeige

Es gibt doch in POP3 zwei Authentifizierungsmodi:
1. USER/PASS
2. APOP

Und genau über dieses APOP möcht ich mal was wissen...

1. Wird das überhaupt verwendet (mir is das noch nie über den weg gelaufen, habs nur im POP3-RFC gelesen...)?

2. Wie genau funktioniert das?

3. Kennt jemand einen Server, der diese Methode verwendet?

Danke.

daikatana

Ja.

hier

GMX

Chris

Entschuldigung, ich habe mich undeutlich ausgedrückt...

Ich will keine programme wissen, die diese Methode beherrschen, sondern wissen, wie genau sie funktioniert... (so, dass ich über telnet damit kommunizieren könnte). Also, welche Algorithmen da verwendet werden, etc.

creep

normalerweise startet jede POP3 sitzung mit einem austausch von username und passwort mit den befehlen USER resp. PASS! dabei wird das passwort im klartext über das netzwerk übertragen.

da das POP protokoll häufig verwendet wird und viele clients in regelmässigen abständen nach neuen nachrichten prüfen, wird dieses passwort oft neu übertragen [ein nicht zu unterschätzendes sicherheitsrisiko, da das passwort so praktisch von jedem, der die entsprechenden mittel hat, angeschaut werden kann].

eine methode zur authentifikation des clients beim server wird also benötigt, die das passwort nicht im klartext übermittelt -> das kommando APOP bringt diese gewünschte funktionalität.

authentifikation mit APOP:
jeder POP3 server, der den APOP befehl unterstützt, muss bei der willkommensmeldung am anfang der sitzung einen zeitstempel mitliefern. der syntax dieses stempels entspricht dem feld "msg-id" wie es im RFC822 beschrieben ist und muss sich bei jeder sitzung von den vorhergehenden unterscheiden.
beispielsweise könnte es in etwa so aussehen:

<6dfhj767sd75zudf7@cn-pc1.bla.de>

der vordere teil besteht aus zahlen und buchstaben, der hintere aus dem host-namen des servers.
der client berechnet nun mit diesem stempel und dem normalen passwort des benutzers ein verschlüsseltes passwort, welches dann zum server übertragen wird.

dieses verschlüsselte PW besteht immer aus 16 hexadezimal werten und wird mit einem MD5 algorithmus berechnet, welcher im RFC1321 beschrieben ist.

es wird also bei jeder sitzung ein anderes verschlüsseltes passwort übermittelt, je nach datumsstempel des servers.

zu beachten ist, dass je länger das unverschlüsselte passwort ist, desto besser ist dieser verschlüsselungsalgorithmus. es sollte aus mindestens 8 zeichen bestehen, wobei mehr besser ist.

das PW ist abhängig von der art der anmeldung, d.h., es können für beide methoden (USER/PASS oder APOP) unterschiedliche passwörter verwendet werden.

heutzutage unterstützen allerdings nur wenige mail- server das APOP kommando.

Chris

Hm, danke...

Gibt es möglichkeiten, das Mailbox-Passwort zu verschlüsseln, wenn man USER/PASS verwendet?

zerojump

Naja, und wie soll das aussehen? Also wenn in der RFC822 steht, dass es im Klartext übertragen wird, dann wird es im Klartext übertragen. Alles andere würde ja nicht mehr dem RFC-"Standard" entsprechen.

Ich muss zugeben, dass ich die RFC zu POP nie gelesen habe, aber ich konnte dem Beitrag von creep entnehmen, dass USER/PASS im Klartext übertragen wird.

soox

sofern der client und der server dies unterstützen kann die verbindung via ssl verschlüsselt werden.

Chris

Erklär mal genauer. Was is das, wie geht das?

soox

wie was geht? bei netscape musst du einfach die checkbox auswählen. jedoch muss der server das auch unterstützen (z.B. wenn du bei gmx was zahlst hast du dieses feature)

Chris

OK, Danke.