https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=SMTP-AuthSMTP-Auth - Versionsgeschichte2026-05-27T05:13:40ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=SMTP-Auth&diff=60613&oldid=previmported>Mary Joanna: siehe https://datatracker.ietf.org/doc/html/rfc49542025-10-08T08:02:37Z<p>siehe https://datatracker.ietf.org/doc/html/rfc4954</p>
<p><b>Neue Seite</b></p><div>'''SMTP-Auth''' (''SMTP Service Extension for Authentication'', SMTP-Authentifizierung, auch als ASMTP bezeichnet) ist eine Erweiterung des [[Simple Mail Transfer Protocol#Extended SMTP|ESMTP]]-Protokolls, die einem [[Mailserver]] eine [[Authentifizierung]] des Clients anhand seines Nutzernamens und Kennworts ermöglicht.<br />
<br />
Über einen SMTP-Auth-fähigen Server können normalerweise nur noch authentifizierte Absender Mails weiterleiten, was dazu beiträgt, den [[Missbrauch]] des Mailservers für [[Spam]] zu verhindern. Weiterleiten bezeichnet dabei das Versenden einer E-Mail an Empfänger außerhalb der Zuständigkeit des verwendeten Mailservers (siehe [[SMTP-Relay-Server]]). Gleichzeitig kann in den [[Log-Datei]]en nachvollzogen werden, wer einen [[SMTP-Relay-Server|SMTP-Server]] zum Mailrelay genutzt hat.<br />
<br />
Ursprünglich definierte <nowiki>RFC&nbsp;2554</nowiki><ref>{{RFC-Internet |RFC=2554 |Titel=SMTP Service Extension for Authentication |Datum=}}</ref> die ''SMTP Service Extension for Authentication'' als ein Profil vom ''[[Simple Authentication and Security Layer]]'' (SASL). Daraus ergaben sich verschiedene Authentifizierungsmechanismen.<br />
<br />
Laut <nowiki>RFC&nbsp;4954</nowiki> von 2007<ref>{{RFC-Internet |RFC=4954 |Titel=SMTP Service Extension for Authentication |Datum=2007-07}}</ref> enthält die Extension nur noch ein Profil vom SASL und gibt dessen Mechanismus PLAIN in Verbindung mit ''[[Transport Layer Security]]'' (TLS) zu ermöglichen vor. Die alternativen Mechanismen im SASL sind nur noch zusätzlich erlaubt, und der Server muss nun auf einer [[Verschlüsselung]] bestehen.<br />
<br />
Der Server bietet deshalb möglicherweise verschiedene Authentifizierungsmechanismen an, wovon sich der Client einen aussucht. Der Server stellt dem Client daraufhin je nach Mechanismus einen ''Challenge'' oder weist ihn zum Fortfahren an.<br />
<br />
== Authentifizierungs-Verfahren ==<br />
Je nach SMTP-Server und dessen Konfiguration werden verschiedene Verfahren durch den Server angeboten.<br />
<br />
=== PLAIN ===<br />
Die PLAIN-Authentifizierung ist im <nowiki>RFC&nbsp;4616</nowiki> standardisiert.<ref>{{RFC-Internet |RFC=4616 |Titel=The PLAIN Simple Authentication and Security Layer (SASL) Mechanism |Datum=2006-08}}</ref> Hierbei wird Benutzername (zur Autorisierung), Benutzername (zur Authentifizierung) und Passwort unverschlüsselt übertragen. Die drei Zeichenketten werden in einer Zeichenkette zusammengefasst und [[Base64]]-kodiert.<br />
<br />
=== LOGIN ===<br />
Bei der LOGIN-Authentifizierung wird wie bei der PLAIN-Authentifizierung der Benutzername und das Passwort unverschlüsselt [[Base64]]-kodiert übertragen. Im Unterschied zur PLAIN-Authentifizierung werden die beiden Zeichenketten in zwei Schritten übertragen.<br />
<br />
=== CRAM-MD5 ===<br />
Die [[CRAM-MD5]]-Authentifizierung ist im <nowiki>RFC&nbsp;2195</nowiki> standardisiert.<ref>{{RFC-Internet |RFC=2195 |Titel=IMAP/POP AUTHorize Extension for Simple Challenge/Response |Datum=1997-09}}</ref><br />
<br />
=== SCRAM-SHA-1 ===<br />
Die [[SCRAM-SHA-1]]-Authentifizierung ist im <nowiki>RFC&nbsp;5802</nowiki> standardisiert.<ref>{{RFC-Internet |RFC=5802 |Titel=Salted Challenge Response Authentication Mechanism (SCRAM) SASL and GSS-API Mechanisms |Datum=2010-07}}</ref><br />
<br />
=== NTLM ===<br />
Die Authentifizierung erfolgt über [[NTLM]].<br />
<br />
== Beispiel ==<br />
Die folgende ESMTP-Session in Klartext und mit [[Verschlüsselung|unverschlüsselten]] LOGIN-Verfahren demonstriert die Authentifizierung. Bei produktiven Mailservern sollte die gezeigte Übertragung sensibler Daten in Klartext nicht angewendet werden und beispielsweise vor der Authentifizierung mittels [[STARTTLS]] auf eine verschlüsselte Kommunikation gewechselt werden.<br />
<br />
{| class="toptextcells"<br />
|-<br />
|<br />
> 220 mail.example.org ESMTP<br />
< EHLO example.net<br />
> 250-example.org Hello example.net<br />
> 250 AUTH CRAM-MD5 LOGIN PLAIN<br />
< AUTH LOGIN<br />
> 334 VXNlcm5hbWU6<br />
< aGFucw&#61;&#61;<br />
> 334 UGFzc3dvcmQ6<br />
< c2Nobml0emVsbWl0a2FydG9mZmVsc2FsYXQ=<br />
> 235 ok<br />
< MAIL FROM:<hans@example.net><br />
> 250 ok<br />
< RCPT TO:<fritz@example.org><br />
> 250 ok<br />
< DATA<br />
> 354 Go ahead.<br />
< From:<hans@example.net><br />
< To:<fritz@example.org><br />
< Subject: Hallo<br />
<<br />
< Hallo Fritz.<br />
< .<br />
> 250 Mail delivered.<br />
< QUIT<br />
|<br />
Klartext (base64 decoded)<br />
<br />
<br />
<br />
<br />
334 Username:<br />
hans<br />
334 Password:<br />
schnitzelmitkartoffelsalat<br />
|}<br />
<br />
== Siehe auch ==<br />
* [[SMTP-After-POP]]<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |RFC=1321 |Titel=The MD5 Message Digest Algorithm |Datum=}}<br />
* {{RFC-Internet |RFC=2104 |Titel=HMAC: Keyed-Hashing for Message Authentication |Datum=}}<br />
* {{RFC-Internet |RFC=2595 |Titel=Using TLS with IMAP, POP3 and ACAP |Datum=}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
{{SORTIERUNG:SMTP Auth}}<br />
[[Kategorie:Internet-E-Mail-Protokoll]]</div>imported>Mary Joanna