Al igual que otros servicios existentes en una red no cifrada, la informaci�n de correo electr�nico importante, como nombres de usuario, contrase�as y mensajes, se puede interceptar y ver sin que tenga conocimiento el servidor o el cliente de correo. Al usar los protocolos est�ndar POP e IMAP, toda la informaci�n de autenticaci�n se env�a "limpiamente", sin encriptar, por lo que es posible para un intruso ganar acceso a las cuentas de usuarios reuniendo los nombres de los usuarios y sus contrase�as cuando estos son transmitidos sobre la red.
11.5.1.1. Clientes de correo electr�nico seguros
Afortunadamente, la mayor�a de los agentes MUA de Linux dise�ados para comprobar correo en servidores remoto utilizan SSL. Para usar SSL al recuperar el correo, se debe activar esta opci�n en el cliente y en el servidor de correo.
SSL se activa muy f�cilmente en el cliente, normalmente basta con pulsar un bot�n en el �rea de configuraci�n del agente MUA o mediante una opci�n en el archivo de configuraci�n del MUA. Los protocolos IMAP y POP seguros tienen n�meros de puerto conocidos (993 y 995, respectivamente) que el MUA utiliza para autenticar y descargar los mensajes.
11.5.1.2. Asegurar las comunicaciones de cliente de correo
Ofrecer cifrado SSL a los usuarios de IMAP y POP del servidor de correo es muy sencillo.
Primero, cree un certificado SSL. Esto se puede hacer de dos formas: solicitando a una Certificate Authority (CA) por un certificado SSL o mediante la creaci�n de un certificado auto-firmado.
 | Atenci�n |
|---|
| | Los certificados auto-firmados solamente deber�an ser usados para prop�sitos de prueba. Cualquier servidor usado en un ambiente de producci�n deber�a usar un certificado SSL emitido por una CA. |
Para crear un certificado SSL con firma propia para IMAP, c�mbiese al directorio /usr/share/ssl/certs/ y escriba el comando siguiente como root:
rm -f imapd.pem
make imapd.pem |
Conteste todas las preguntas para completar el proceso.
Para crear un certificado SSL con firma propia para POP, c�mbiese al directorio /usr/share/ssl/certs/, y escriba los comandos siguientes como usuario root:
rm -f ipop3d.pem
make ipop3d.pem |
Una vez m�s, conteste todas las preguntas para completar el proceso.
 | Importante |
|---|
| | Aseg�rese de eliminar los archivos predeterminados imapd.pem y ipop3d.pem antes de ejecutar el comando make. |
Una vez finalizado, ejecute el comando /sbin/service xinetd restart para reiniciar el demonio xinetd que controla imapd y ipop3d.
Alternativamente, el comando stunnel puede ser usado como una envoltura de criptaci�n SSL con el est�ndar, para los demonios no seguros, imapd o pop3d.
El programa stunnel utiliza bibliotecas OpenSSL externas incluidas con Red Hat Enterprise Linux para proporcionar criptograf�a robusta y proteger las conexiones. Es mejor solicitar a una Autoridad de Certificaci�n (Certificate Authority, CA) por un certificado SSL, pero tambi�n es posible crear un certificado auto-firmado.
Para crear un certificado SSL auto-firmado, c�mbiese al directorio /usr/share/ssl/certs/ y escriba el comando siguiente:
Una vez m�s, conteste todas las preguntas para completar el proceso.
Una vez que el certificado es generado, es posible usar el comando stunnel para iniciar el demonio de correo imapd usando el comando siguiente:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Una vez que este comando es emitido, es posible abrir un cliente de correo IMAP y conectarse al servidor de correo usando una encriptaci�n SSL.
Para arrancar pop3d usando el comando stunnel, escriba el comando siguiente:
/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d |
Para m�s informaci�n sobre el uso de stunnel, lea la p�gina man stunnel o refi�rase a los documentos en el directorio /usr/share/doc/stunnel-<version-number>/, donde <version-number> es el n�mero de versi�n para stunnel.
