Comme pour tout autre service voyageant sur un r�seau non-crypt�, des informations de messagerie importantes comme les noms d'utilisateur, mots de passe voire des messages entiers, peuvent �tre intercept�es et lues par des utilisateurs du r�seau. En outre, �tant donn� que les protocoles POP et IMAP standard transf�rent les informations d'authentification en texte clair, un pirate peut obtenir l'acc�s aux comptes utilisateur en recueillant les noms d'utilisateur et mots de passe lors de leur transfert sur le r�seau.
11.5.1.1. Clients de messagerie s�curis�s
La plupart des AGC Linux con�us pour v�rifier le courrier sur des serveurs distants prennent en charge le cryptage SSL. Afin d'utiliser SSL lors de la r�cup�ration de courrier, son activation est n�cessaire aussi bien sur le client de messagerie que sur le serveur de messagerie.
L'activation de SSL du c�t� client est une op�ration simple, il suffit m�me parfois de cliquer sur un bouton dans la fen�tre de configuration de l'AGC ou de l'activer au moyen d'une option dans le fichier de configuration de l'AGC. IMAP et POP s�curis�s ont des num�ros de port connus (respectivement 993 et 995) que l'AGC utilise pour authentifier et t�l�charger les messages.
11.5.1.2. �tablissement de communications s�curis�es pour les clients de messagerie
L'utilisation du syst�me de cryptage SSL pour les utilisateur d'IMAP et POP sur le serveur de messagerie est une op�ration relativement simple.
Cr�ez tout d'abord un certificat SSL. Pour ce faire, il existe deux possibilit�s�: vous pouvez faire la demande d'un certificat SSL aupr�s d'une Autorit� de certification (AC) ou vous pouvez cr�er vous-m�me un certificat auto-sign�.
 | Avertissement |
|---|
| | Les certificats auto-sign�s ne devraient �tre utilis�s qu'a des fins de test. Tout serveur utilis� dans un environnement de production devrait avoir recours � un certificat obtenu aupr�s d'une AC. |
Pour cr�er un certificat SSL auto-sign� pour IMAP, allez dans le r�pertoire /usr/share/ssl/certs/ et saisissez les commandes suivantes en �tant connect� en tant que super-utilisateur�:
rm -f imapd.pem
make imapd.pem |
Pour achever le processus de cr�ation du certificat, r�pondez � toutes les questions.
Afin de cr�er un certificat SSL auto-sign� pour for POP, allez dans le r�pertoire /usr/share/ssl/certs/ et saisissez les commandes suivantes en �tant connect� en tant que super-utilisateur�:
rm -f ipop3d.pem
make ipop3d.pem |
Ici encore, r�pondez � toutes les questions afin d'achever le processus de cr�ation du certificat.
 | Important |
|---|
| | Assurez-vous de bien supprimer les fichiers imapd.pem et ipop3d.pem par d�faut avant d'ex�cuter chaque commande make. |
Une fois termin�, ex�cutez la commande /sbin/service xinetd restart pour red�marrer le d�mon xinetd qui contr�le imapd et ipop3d.
Il est �galement possible d'utiliser la commande stunnel en tant qu'enveloppeur de cryptage SSL plac� autour des d�mons non-s�curis�s standard imapd ou pop3d.
Le programme stunnel utilise des biblioth�ques OpenSSL externes fournies avec Red Hat Enterprise Linux pour offrir un cryptage fort et pour prot�ger les connexions. Il est recommand� de faire une demande de certificat SSL aupr�s d'une autorit� de certification (AC), mails il est �galement possible de cr�er un certificat auto-sign�.
Pour cr�er un certificat SSL auto-sign�, allez dans le r�pertoire /usr/share/ssl/certs/ et tapez la commande suivante�:
Ici encore, r�pondez � toutes les questions afin d'achever le processus de cr�ation du certificat.
Une fois le certificat cr��, il est possible d'utiliser la commande stunnel pour d�marrer le d�mon imapd � l'aide de la commande suivante�:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Apr�s l'ex�cution de cette commande, il est possible d'ouvrir un client de messagerie IMAP et d'�tablir une connexion au serveur de messagerie utilisant le syst�me de cryptage SSL.
Pour lancer pop3d � l'aide de la commande stunnel, tapez la commande suivante�:
/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d |
Pour obtenir de plus amples informations sur la fa�on d'utiliser stunnel, lisez la page de manuel de stunnel ou consultez les documents pr�sents dans le r�pertoire /usr/share/doc/stunnel-<num�ro- version>/, o� <version-number> correspond au num�ro de version de stunnel.
