On 10 Feb 2025, at 10:23, Rupert Gallagher via dovecot <dovecot@dovecot.org> wrote:
Dovecot aligns the password encryption scheme used by the imap client with the password storage scheme used by the server.
Since the default is set to plain text, the client sends the password in plain text (tls tunneled), and the server local storage of passwords is a plain text file.
For minimum protection, just enough to say you are not using plaintext, you can use md5, so the client sends the hashed password and the server's local storage is a plain text file containing hashed passwords.
Hi,
Don’t know what you’re talking about. You can have the password be sent in plain (over a TLS tunnel, of course) but have it hashed on the "password storage”. That’s actually common practice.
AVISO DE CONFIDENCIALIDADE Esta mensagem e quaisquer ficheiros anexos a ela contêm informação confidencial, propriedade do grupo MEO e/ou das demais sociedades que com ela se encontrem em relação de domínio, Fundação MEO e MEO ACS, destinando-se ao uso exclusivo do destinatário. Se não for o destinatário pretendido, não deve usar, distribuir, imprimir ou copiar este e-mail. Se recebeu esta mensagem por engano, por favor informe o emissor e elimine-a imediatamente. Obrigado