Bekannte MUAs, die bei Red Hat Enterprise Linux dabei sind, wie z.B. Mozilla Mail, Ximian Evolution, und mutt, gew�hrleisten SSL-verschl�sselte E-Mail-Sitzungen.
Wie alle anderen Dienste, die unverschl�sselte und wichige E-Mail-Informationen wie z.B. Benutzernamen, Passw�rter und vollst�ndige Mitteilungen �ber das Netzwerk verschicken, k�nnen diese Informationen auch ohne besondere Kenntnisse �ber Server oder Clients abgefangen und eingesehen werden. Bei der Verwendung der Standardprotokolle POP und IMAP werden alle Informationen �ber die Authentifizierung im "Klartext" �bermittelt. Angreifer, die diese Informationen abfangen, k�nnen sich dadurch Zugriff zu diesen Accounts verschaffen.
11.5.1.1. Sichere E-Mail-Clients
Die meisten Linux E-Mail-Clients, die E-Mails auf Remote-Servern kontrollieren, unterst�tzen die SSL Verschl�sselung. Um SSL beim Abfragen von E-Mails verwenden zu k�nnen, muss es auf dem E-Mail-Client und dem Server aktiviert sein.
SSL ist auf einem Client einfach zu aktivieren. Oft klickt man dazu lediglich auf einen Button im Konfigurationsfenster oder es gibt eine Option in der Konfigurationsdatei des E-Mail-Clients. Sichere IMAP und POP haben bekannte Portnummern (993 bzw. 995), die der E-Mail-Client verwendet, um Mitteilungen zu authentifizieren und herunterzuladen.
11.5.1.2. Sicherheit in E-Mail-Client Kommunikationen
Die Bereitstellung einer SSL-Verschl�sselung f�r IMAP und POP-Benutzer auf dem E-Mail-Servers ist recht einfach.
Zuerst m�ssen Sie ein SSL-Zertifikat erzeugen. Dies kann auf zwei verschiedene Weisen geschehen: Durch Anfordern eines SSL-Zertifikats bei der Certificate Authority (CA) oder durch Erzeugen eines eigensignierten Zertifikats.
 | Achtung |
|---|
| | Eigensignierte Zertifikate sollten lediglich f�r Testzwecke verwendet werden. Jeder in einem Produktionsablauf verwendete Server sollte ein SSL-Zertifikat verwenden, das von der CA ausgestellt wurde. |
Um ein eigensigniertes Zertifikat f�r IMAP zu erstellen, wechseln Sie in das Verzeichnis /usr/share/ssl/certs/, und geben den folgenden Befehl als root ein:
rm -f imapd.pem
make imapd.pem |
Beantworten Sie alle Fragen um diesen Vorgang abzuschliessen.
Um ein eigensigniertes Zertifikat f�r POP zu erstellen, wechseln Sie in das Verzeichnis /usr/share/ssl/certs/, und geben den folgenden Befehl als root ein:
rm -f ipop3d.pem
make ipop3d.pem |
Auch hier beantworten Sie alle Fragen, um diesen Vorgang abzuschliessen.
 | Wichtig |
|---|
| | Bitte stellen Sie sicher, die standardm��igen imapd.pem und ipop3d.pem Dateien zu l�schen, bevor Sie den jeweiligen make-Befehl ausf�hren. |
Wenn abgeschlossen, f�hren Sie den Befehl /sbin/service xinetd restart aus, um den xinetd-Daemon neu zu starten, der imapd und ipop3d steuert.
Alternativ, k�nnen Sie auch den Befehl stunnel als SSL-Verschl�sselungs-Wrapper auf die imapd und pop3d Daemons anwenden.
Das stunnel-Programm verwendet externe OpenSSL-Bibliotheken, die in Red Hat Enterprise Linux enthalten sind, f�r eine leistungsf�hige Verschl�sselung und zum Schutz der Verbindungen. Sie k�nnen ein SSL-Zertifikat bei der jeweiligen CA (Certificate Authority) beantragen oder ein eigensigniertes Zertifikat erstellen.
Um ein eigensigniertes Zertifikat zu erstellen, wechseln Sie in das Verzeichnis /usr/share/ssl/certs/ und geben den folgenden Befehl als root ein:
Auch hier beantworten Sie alle Fragen, um diesen Vorgang abzuschliessen.
Nachdem das Zertifikat generiert wurde, ist es m�glich, den Befehl stunnel zu verwenden, um den imapd Mail-Daemon zu starten. Benutzen Sie dazu folgenden Befehl:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Nach Ausf�hren dieses Befehls k�nnen Sie einen IMAP E-Mail-Client �ffnen und mit Ihrem E-Mail-Server, der die SSL-Verschl�sselung verwendet, verbinden.
Um pop3d mit dem Befehl stunnel zu starten, geben Sie folgenden Befehl ein:
/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d |
Weitere Informationen zur Verwendung von stunnel k�nnen Sie in der stunnel man-Seite oder in den Dokumenten des /usr/share/doc/stunnel-<Version Nummer>-Verzeichnisses finden. <Version Nummer> ist die Versionsnummer f�r stunnel.
