Bonjour,

J'ai encore un peu de mal avec les notions de sécurité, j'ai essayé de configurer mon serveur de messagerie en utilisant postfix (mysql), dovecot et appliqué un certificat ssl sur mail.example.com avec Let's encrypte.

J'ai essayé d'obtenir mon courrier avec Gmail en important le compte utilisateur@domaine.tld . Je ne pouvais pas le faire avec la case SSL cochée. J'ai donc décoché et j'ai toujours une erreur en raison de l'authentification en texte brut.

[AUTH] Plaintext authentication disallowed on non-secure (SSL/TLS) connections.

J'ai donc modifié: /etc/dovecot/conf.d/10-auth.confavec disable_plaintext_auth = no

et /etc/dovecot/conf.d/10-ssl.confavecssl = required

Je reçois le courrier avec succès dans Gmail, mais ma question est la suivante: est-il sécurisé? Je ne suis pas sûr de comprendre ceci:

ssl=yeset disable_plaintext_auth=no: SSL / TLS est proposé au client, mais le client n’est pas obligé de l’utiliser. Le client est autorisé à se connecter avec une authentification en texte brut même lorsque SSL / TLS n'est pas activé sur la connexion. Ceci n'est pas sûr, car le mot de passe en texte brut est exposé à Internet. 

(Depuis: https://wiki.dovecot.org/SSL/DovecotConfiguration )

Le mot de passe transmis est-il crypté (grace à la configuration SSL) ou non (à cause de la configuration en texte brut) ?

Si non, comment puis-je le sécuriser ? Est ce la façon de procéder pour gmail ? 

J'ai peut être loupé un truc important..

Merci beaucoup !

PS, dans les logs, j'ai suivant si je coche la case SSL ou non :

Dec 26 12:48:37 smtp dovecot: pop3-login: Disconnected (tried to use disallowed plaintext auth): user=<>, rip=209.85.xxx.xxx, lip=163.172.xxx.xxx, session=<FIoVaet9NwDRVdCQ>
Dec 26 12:50:41 smtp dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=209.85.xxx.xxx , lip=163.172.xxx.xxx, session=<M+d1cOt9TgDRVacf>