cyrus corrections
authorWolfgang Breyha <wolfgang.breyha@univie.ac.at>
Sat, 23 Nov 2013 15:40:32 +0000 (16:40 +0100)
committerWolfgang Breyha <wolfgang.breyha@univie.ac.at>
Sat, 23 Nov 2013 15:40:32 +0000 (16:40 +0100)
src/practical_settings.tex

index 8e11488..e187e1a 100644 (file)
@@ -297,7 +297,13 @@ If you still want to force strong encryption use
   tls_cipher_list: <...recommended ciphersuite...>
 \end{lstlisting}
 
-cyrus-imapd loads hardcoded 1024 bit DH parameters using get\_rfc2409\_prime\_1024() by default. If you want to load your own DH parameters add them PEM encoded to the certificate file given in tls\_cert\_file. Do not forget to re-add them after updating your certificate.
+cyrus-imapd loads hardcoded 1024 bit DH parameters using get\_rfc2409\_prime\_1024() by default. If you want to load your own DH parameters add them PEM encoded to the certificate file given in tls\_cert\_file. Do not forget to re-add them after updating your certificate.\\
+
+To prevent unencrypted connections on the STARTTLS ports you can set
+\begin{lstlisting}[breaklines]
+  allowplaintext: 0
+\end{lstlisting}
+This way MUAs can only authenticate after STARTTLS if you only provide plaintext and SASL PLAIN login methods. Therefore providing CRAM-MD5 or DIGEST-MD5 methods is not recommended.\\
 
 \paragraph*{cyrus.conf}\mbox{}\\
 
@@ -314,6 +320,7 @@ To support POP3S/IMAPS on ports 995/993 add
   pop3s        cmd="pop3d -s" listen="pop3s" prefork=1
 \end{lstlisting}
 
+
 \paragraph*{Limitations}\mbox{}\\
 
 cyrus-imapd currently (2.4.17, trunk) does not support elliptic curves. ECDHE will not work even if defined in your cipher list.\\
@@ -323,11 +330,6 @@ Currently there is no way to prefer server ciphers or to disable compression.\\
 There is a working patch for all three features:
 \url{https://bugzilla.cyrusimap.org/show_bug.cgi?id=3823}\\
 
-There is no way to prevent unencrypted connections on the STARTTLS ports. You can prevent usage of plaintext login by setting
-\begin{lstlisting}[breaklines]
-  allowplaintext: 0
-\end{lstlisting}
-in imapd.conf. But note that SASL PLAIN/LOGIN is still available!\\