<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"><span></span></div><div dir="ltr"><div>Hi Aki,</div><div><br></div><div>Thank you so much for your answer.</div><div><br></div><div>Does "encryption with user password" mean that the key is encrypted with the password that the imap client sends to the server?</div><div><br></div><div>That would be exactly the solution I am looking for. </div><div>The user password is nowhere in plain text, but only as a hash in the SQL database. </div><div>This would make the setup safe. </div><div><br></div><div>How do I tell Dovecot that this password should be used?</div><div><br></div><div>I think I have to create a keypair for the user with doveadm-mailbox-cryptokey and encrypt it with the password that is hashed in the SQL database. Right?</div><div>I am aware that I always have to change the Keypair password together with the mailbox password. </div><div>Do I have to pay attention to anything else?</div><div><br></div><div>Best regards</div><div><br></div><div>Daniel</div><div><br></div><div class="AppleOriginalContents" style="direction: ltr;"><blockquote type="cite"><div>Am 14.09.2019 um 15:52 schrieb Aki Tuomi via dovecot <<a href="mailto:dovecot@dovecot.org">dovecot@dovecot.org</a>>:</div><br class="Apple-interchange-newline"><div>

  
  <meta charset="UTF-8" class=""> 
 
 <div class="">
  <div class="">
   <br class="">
  </div>
  <blockquote type="cite" class="">
   <div class="">
    On 14/09/2019 16:08 Daniel Niewerth via dovecot <
    <a href="mailto:dovecot@dovecot.org" class="">dovecot@dovecot.org</a>> wrote:
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    Hi everybody,
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    I have a question about the Dovecot Mailcrypt Plugin.
   </div>
   <div class="">
    I'm trying to understand what the security of this plugin is based on.
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    The encryption with private and public key and elliptic curves is basically a good thing. But the keys are in the file system together with the encrypted mails. The passwords for the private keys are in the user database.
   </div>
   <div class="">
    I guess the passwords have to be in plaintext for it to work.
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    Is that true, or did I misunderstand something?
   </div>
   <div class="">
    Then the encryption would make no sense at all, right?
   </div>
   <div class="">
    For what purpose was the plugin developed?
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    Can anyone explain this to me?
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    Best regards
   </div>
   <div class="">
    <br class="">
   </div>
   <div class="">
    Daniel
   </div>
  </blockquote>
  <div class="">
   <br class="">
  </div>
  <div class="">
   It's best suited for securing external storage such as NFS or object storage. There are possibilities to encrypt the key using user's password, but this takes careful planning. The keys can also come from userdb , e.g. LDAP.
  </div>
  <div class="io-ox-signature">
   <pre class="">---
Aki Tuomi</pre>
  </div> 
 </div>

</div></blockquote></div><br></div></body></html>