13.5. Mail User Agents (MUA)
Red Hat Enterprise Linux offre une variété de programmes de messagerie, des programmes client de messagerie graphique, comme Evolution, ainsi que des programme de messagerie basés texte, comme
mutt
.
Le reste de cette section concerne la sécurisation des communications entre un client et un serveur.
13.5.1. Sécuriser les communications
Les MUA populaires inclus avec Red Hat Enterprise Linux, comme Evolution et Mutt offrent des sessions de messagerie chiffrées avec SSL.
Comme tout autre service exécuté sur un réseau non chiffré, les informations importantes des courrier électroniques, comme les noms d'utilisateurs, les mots de passe et les messages entiers peuvent être interceptés et vus par les utilisateurs sur le réseau. En outre, comme les protocoles standards
POP
et IMAP
passent des informations d'authentification non chiffrées, il est possible qu'une personne malveillante obtienne accès aux comptes des utilisateurs en récupérant les noms d'utilisateurs et mots de passe quand ils sont passés sur le réseau.
13.5.1.1. Clients de messagerie sécurisés
La plupart des MUA Linux conçus pour vérifier le courrier électronique sur les serveurs distants prennent en charge le chiffrement SSL. Pour utiliser SSL pendant la récupération du courrier, il doit être activé sur le client de messagerie et sur le serveur.
SSL est facile à activer côté client, ce qui est souvent fait simplement en cliquant sur un bouton dans la fenêtre de configuration du MUA ou via une option du fichier de configuration du MUA. Les protocoles sécurisés
IMAP
et POP
ont des numéros de port (993
et 995
, respectivement) utilisés par le MUA pour authentifier et télécharger des messages.
13.5.1.2. Sécurisation des communications des clients de messagerie
Offrir le chiffrement SSL aux utilisateurs
IMAP
et POP
sur le serveur de messagerie est une simple question.
Premièrement, veuillez créer un certificat SSL. Ceci peut être fait de deux manières différentes en appliquant sur un CA (Certificate Authority) pour obtenir un certificat SSL ou en créant un certificat autosigné.
Avertissement
Les certificats autosignés doivent uniquement être utilisés pour des tests. Tout serveur utilisé dans un environnement de production doit utiliser un certificat SSL signé par un CA.
Pour créer un certificat autosigné pour
IMAP
ou POP
, rendez-vous dans le répertoire /etc/pki/dovecot/
, modifiez les paramètres du certificat dans le fichier de configuration /etc/pki/dovecot/dovecot-openssl.cnf
selon vos préférences, puis saisissez les commandes suivantes en tant qu'utilisateur root
:
dovecot]#rm -f certs/dovecot.pem private/dovecot.pem
dovecot]#/usr/libexec/dovecot/mkcert.sh
Une fois terminé, assurez-vous d'avoir les configurations suivantes dans votre fichier
/etc/dovecot/conf.d/10-ssl.conf
:
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
Veuillez exécuter la commande suivante pour redémarrer le démon
dovecot
:
~]# systemctl restart dovecot
Alternativement, la commande
stunnel
peut être utilisée comme emballage de chiffrement autour des connexions standards non-sécurisées aux services IMAP
ou POP
.
L'utilitaire
stunnel
utilise des bibliothèques OpenSSL externes incluses avec Red Hat Enterprise Linux pour fournir un chiffrement fort et pour protéger les connexions réseau. Il est recommandé d'appliquer sur un CA pour obtenir un certificat SSL, mais il est également possible de créer un certificat autosigné.
Veuillez consulter Utiliser stunnel dans le Guide de sécurité Red Hat Enterprise Linux 7 pour obtenir des instructions sur l'installation de
stunnel
et pour créer sa configuration de base. Pour configurer stunnel
comme emballage pour IMAPS
et POP3S
, veuillez ajouter les lignes suivantes au fichier de configuration /etc/stunnel/stunnel.conf
:
[pop3s] accept = 995 connect = 110 [imaps] accept = 993 connect = 143
Le Guide de sécurité explique également comment lancer et arrêter
stunnel
. Une fois lancé, il est possible d'utiliser un client de messagerie IMAP
ou POP
et de se connecter au serveur de messagerie en utilisant le chiffrement SSL.