<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>... or do I need to establish my own SSH tunnel from master to
      backup server?</p>
    <p>I've set up my dedicated Cyrus backup server with tls_server_cert
      and tls_server_key, and when I connect to port 2005 I see that
      STARTTLS is offered:</p>
    <p># nc localhost 2005<br>
      * SASL PLAIN LOGIN DIGEST-MD5<br>
      * STARTTLS<br>
      * COMPRESS DEFLATE<br>
      * OK rsync Cyrus backup server 3.0.11-Debian-3.0.11-1~bpo10+1<br>
      STARTTLS<br>
      NO command not implemented<br>
    </p>
    <p>But as shown, the STARTTLS command from the client is rejected.</p>
    <p>I believe that DIGEST-MD5 gives me some level of privacy
      (sync_test reports a security strength factor of 128) even without
      TLS?</p>
    <div class="moz-signature">-- <br>
      <b>Deborah Pickett</b><br>
      System Administrator<br>
      <b>Polyfoam Australia Pty Ltd</b><br>
    </div>
  </body>
</html>