archivmail

Author	SHA1	Message	Date
sysops	f32f83ff8e	fix(PROJ-28): Invite-Token Pflicht bei Signup — TOCTOU + Enumeration-Leak schließen - Signup ohne Invite-Token gibt 400 zurück (war: optional) - Use() statt Peek() vor User-Erstellung: verhindert TOCTOU bei parallelen Requests mit demselben Token und Enumeration via "Token noch gültig?" - invite_used Audit-Eintrag ergänzt - Doppeltes IsConfigured()-Check entfernt - Frontend: ohne ?invite= im URL wird Formular nicht gerendert Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-05-29 18:20:07 +02:00
sysops	2bab61209c	chore: Modulname github.com/archivmail → archivmail Go-Modul in go.mod und allen 45 Go-Dateien umbenannt.	2026-04-05 20:37:35 +02:00
sysops	7371a73b3e	fix(SEC): Signup-Enumeration durch Always-Send-Email schließen Bei doppeltem Signup wird eine "bereits registriert"-Mail gesendet, sodass jeder Signup-Versuch eine ausgehende E-Mail erzeugt. Side-Channel-Angriff zur Account-Enumeration nicht mehr möglich. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-31 22:00:43 +02:00
sysops	4583262ea4	feat(PROJ-28): Self-Service Onboarding — Signup, Verify, Password Reset, Invites - internal/mailer: SMTP-Out via net/smtp (TLS + STARTTLS), HTML+Text-Templates - internal/tokenstore: auth_tokens Tabelle, SHA-256-Hash, TTL, einmalig verwendbar - userstore: CreateInactive(), Activate(), GetByEmail(), SetPassword() - API: POST /signup, GET /verify, POST /forgot-password, POST /reset-password - API: POST /admin/invite (domain_admin+), GET /auth/invite?token (check) - Login-Seite: Links zu "Passwort vergessen" und "Registrieren" - Frontend: /signup, /verify, /forgot-password, /reset-password Seiten - server.fqdn nicht konfiguriert → Startup-Warnung, Self-Service deaktiviert - LDAP-Nutzer: Passwort-Reset abgewiesen Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>	2026-03-31 21:54:11 +02:00

4 Commits