Postfix + Dovecot com backend do MySQL: senhas md5-hashed e autenticação CRAM-MD5

Minha pergunta

What are the risks of switching from MD5 to CRAM-MD5 passwords in the database, especially considering the following, and how to approach that for an existing installation (provided I know the plain text passwords)?

Com (mudando para) CRAM-MD5,

1. para criptografia / verificação, o PostfixAdmin precisa reverter para uma ferramenta externa ( doveadm pw ) na criação do usuário e para alterações de senha , para que a senha em texto claro apareça, pelo menos em breve, na lista de processos ¹
2. Estou possivelmente introduzindo uma nova dependência (a mesma ferramenta)
3. Incerto se outras ferramentas (de terceiros) podem lidar com isso

O item 2 pode não ser um grande negócio, já que eu não planejo substituir o Dovecot (e mesmo que ele tenha documentado os caminhos de migração IMHO). O item 3 não é grande coisa ainda (como não tenho conhecimento de tais ferramentas). Nos bastidores, há também o SASL, que, o IIRC, faz essa parte de seu trabalho com a ajuda do Dovecot novamente (por exemplo, smtpd_sasl_type=dovecot na configuração do Postfix). Mas pode ser que eu tenha perdido alguma coisa - seja mais problema ou outra opção.

Alguma dica? O que você recomendaria (além de uma configuração completamente diferente)?

TL; DR (fundo)

Estou no meio de uma configuração de um novo servidor de e-mail, usando Dovecot, Postfix, PostfixAdmin, Sieve, alguns componentes adicionais - todos conectados com o MySQL como backend (seguindo apenas este tutorial em alemão ). Eu tenho tudo instalado e funcionando até agora, mas, em seguida, notei que oferece apenas PLAIN e LOGIN para autenticação IMAP. Não é grande coisa para conexões locais (por exemplo, o web mail Roundcube na mesma máquina) e outras "conexões criptografadas" (HTTPS / IMAPS / POP3S / SMTPS) - mas temo que alguns usuários usará conexões não criptografadas, que eu não quero desabilitar completamente (há situações em que elas podem ser necessárias).

Então eu habilitei o CRAM-MD5 e o DIGEST-MD5 no Dovecot - o que obviamente não funcionou: o PostfixAdmin armazena as senhas no banco de dados usando seu procedimento MD5 interno, e assim o Dovecot não pode combiná-las (veja meu resposta aqui para detalhes). O que basicamente me deixa com 3 opções, uma delas nem sendo assim:

• deixando como está (com os riscos descritos acima)
• mudando para senhas de texto simples no banco de dados (ai, não, não vai fazer)
• mudando para senhas CRAM-MD5 no banco de dados

Atualizar

A partir da investigação dos "participantes", aqui está uma comparação de possibilidades:

                    PwdStore MD5         PwdStore CRAM-DM5
Webmail (Roundcube)

Client/Server       HTTPS only (HTTP requests would be upgraded, so PLAIN = OK)
IMAP                PLAIN                PLAIN / CRAM-MD5 (internal)²
SMTP                PLAIN                PLAIN / CRAM-MD5 (internal)²

Native Clients (connecting to Postfix/Dovecot)

IMAP³               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5
SMTP³               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5
POP3³               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5
IMAPS               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5
SMTPS               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5
POP3S               PLAIN / LOGIN        PLAIN / LOGIN / CRAM-MD5

PostfixAdmin
Create/Update       MD5 (internal)       CRAM-MD5 (via dovecotadm)⁴

^{1: Acabei de verificar as fontes e encontrei o seguinte em postfixadmin/functions.inc.php na linha 928:
Use proc_open call to avoid safe_mode problems and to prevent showing plain password in process table
Portanto, esse contra-argumento parece cair.}

^{2: roundcube/program/lib/Roundcube/rcube_imap_generic.php linha 90ff, em function authenticate()}

^{3: PLAIN / LOGIN normalmente desabilitado em conexões não criptografadas}

^{4: Poderia ser reescrito usando o código do Roundcube , já que ambos são escritos em PHP - mas PostfixAdmin}