Zur Zusammenfassung nochmal:
Warum geht es mit Pine/Mutt/Thunderbird/... ?
Diese Mailclients verbinden sich mit dem Mailserver. Der Mailserver nimmt nur e-Mails an, die für ihn selbst bestimmt sind. In der Regel will der e-Mail Client aber Mails an irgendjemand anderes weiterschicken. Würde dein Mailserver jede Mail weiterleiten wäre er ein sogenanntes "offenes Relay". (neudeutsch: Spamschleuder). Es gibt also zwei Möglichkeiten: 1. Dein Mailclient wendet sich direkt an den Server, zu dem die Mail letztendlich soll. Weil auch auf diesem Weg viel Spam verschickt wurde, verweigern viele Mailserver heute Verbindungen, die von dynamisch vergebenen IPs kommen. Außerdem ist das herausfinden, wo man die Mail lang schicken muss keine Aufgabe vom Mailprogramm sondern vom Mailserver
2. Dein Mailclient überzeugt deinen Mailserver davon, dass er vertrauenswürdig genug ist und der Mailserver leitet die Mail für ihn an den richtigen Server weiter und erfüllt somit seine Aufgabe. Dies macht er, indem er sich dem Server gegenüber authentifiziert. Postfix kann das normalerweise nicht und bedient sich 3rd Party Software dafür. Populär sind Cyrus und Dovecot. Außerdem muss der Mailclient SASL ebenfalls beherrschen.
Warum geht es nicht mit Postfix *und* Dovecot? Wie könnte es gehen?
Postfix ist ein Mailserver und normalerweise wird ihm vertraut, weil er von einer statischen IP kommt (vgl. dynamische IP beim Mailclient) Das Problem ist nun, dass dein Notebook natürlich keine feste IP hat. Also muss Postfix sich authentifizieren. (UNTERSCHIED: Jetzt muss Postfix den Client-Teil (den vorher das Mailprogramm gemacht hat) beherrschen.) Wir erinnern uns: Postfix kann kein SASL. Also muss die 3rd Party Software das beherrschen. Dovecot ist neuer und kann das einfach nicht. Evtl. wird es das nie können. Cyrus bietet dieses Feature. Es kann also keinen Weg geben SASL als Mailclient zu benutzen, wenn man dovecot+postfix einsetzt. ABER: Es gibt andere Wege zur Authentifizierung. Die einzige Alternative für deinen Fall wäre allerdings ein SSL Zertifikat (kann man selbst machen). Das erfordert aber viel Know-How. Hier würde dein Postfix sich mittels SSL/TLS mit deinem Server verbinden. Der Server beweist mit einem Zertifikat, dass er der Server ist. Der Client tut das eigene mit einem weiteren Zertifikat.
Ist PLAIN/CRAMD-MD5/... Authentifizierung unsicher?
Es kommt darauf an. Challenge/Response Verfahren sind sicher, Hash und Plaintext Verfahren nicht. Im allgemeinen ist es immer sinnvoll, die Authentifizierung nur über TLS zu erlauben. Die Verschlüsselung des Kanals hebt diese Nachteile auf. Challenge Response Verfahren funktionieren grundsätzlich nur, wenn das Kennwort auf beiden Seiten bekannt ist. Das ist bei der /etc/passwd oder /etc/shadow regelmässig nicht der Fall und daraus ergibt sich die Notwendigkeit der (TLS-)Verschlüsselung.
