Simple Authentication and Security Layer

Simple Authentication and Security Layer (SASL) je obecná metoda pro přidávání nebo zlepšování ověřování v protokolech klient/server.Jeho hlavním účelem je ověřování klientů na serverech.Když nastavujete SASL,musíte se rozhodnout pro ověřovací mechanismus ,pro vyměnu ověřovacích informací(obvykle označené jako přihlašovací údaje) a ověřovací system pro uložení informací o uživatelích.Ověřovací mechanismus SASL řídí výzvy a odpovedi mezi klientem a serverem a to,jak by měly být kódovány při přenosu.Ověřovací systém označuje to,jak server ukládá a ověřuje data.

Klient i sever se musí dohodnout na mechanismu ověřování,který budou používat.Např.

• PLAIN-Mechanismus PLAIN je nejjednodušší pro používání,ale neobsahuje žádné šifrování přihlašovacích údajů.Současně s mechanismem PLAIN lze používatTLS.Přihlašovací jměno a heslo jsou předávány poštovnímu serveru jako řetezec kodovaný v base64.
• OTP-OTP je mechanismus ověřování používající jednorázová hesla(dříve S/key).Tento mechanismus neposkytuje žádné ověřování,ale nemusí to být nutné,protože je každý heslo dobré jen pro jednu relaci.
• DIGEST-MD5-Při použítí mechanismu DIGEST-MD5 klient i server sdílí tajné heslo,které neni posíláno nikdy přes síť.Výměna ověření začína výzvou serveru.Klient použije výzvu a tajné heslo pro vygenerování unikátní odpovedi,která by mohla být vytvořena pouze někým,kdo má tajné heslo.Srver používá stajné dvě věci,výzvu i tajné heslo,pro vygenerování svě vlastní kopie a porovná je.Jelikož skutečné tajné heslo neni nikdy odesíláno přes sít,neni citlivé na odposlouchávání sitě.
• KERBEROS-KERBEROS je sítový ověřovací protokol.
• ANONYMOUS-SASL obsahuje mechanismus ANONYMOUS,který má smysl pro některé protokoly,ale pro SMTP žadnou výhodu nemá.Tento mechanismus je v podstatě používán otevřeným systémem (open relay) a účelem ověřování SMTP je eliminace otevřeného předávání zpráv.

Když se klient připojuje k poštovnímu serveru,server typicky vypisuje všechny mechanismy hesla,které podporuje,v pořadí jejich upřednostnování.Klient zkouší první,který podporuje.Pokud se připojení nepodaří,může být nastaven tak,aby se pokusil použít další mechanismus,dokud se ověření nepodaří.Pokud se klient a server nemohou úspěšně shodnout na společném mechanismu,ověření selže.

Jakmile se server a klient dohodnou na mechanismu,začne ověřovací proces skládající se z jedné nebo více výzev a odpovědi,které jsou určovány dohodnutým mechanismem.Protokol také udává,jak májí být tyto výměny kodovány.

• D.DENT, Kyle. Postfix kompletní průvodce. Praha: Grada, 2005. ISBN 80-247-1029-3.