Come qualsiasi altro servizio che si muove in chiaro in una rete, con informazioni email importanti, come ad esempio il nome utente, le password e interi messaggi, possono essere intercettate e lette da altri utenti sulla rete. In aggiunta, poich� il POP standard e i protocolli IMAP inviano le informazioni di autenticazione in chiaro, � possibile per un intruso, ottenere l'accesso agli account, raccogliendo i nomi utente e le password, quando questi vengono inviati sulla rete.
11.5.1.1. Client e-mail sicuri
Molti Linux MUA, sono stati ideati per controllare le email con supporto SSL di cifratura su server remoti. Per poter usare SSL quando si riprende una email, ricordarsi di abilitarlo su entrambe le email client e del server.
Dalla parte del client, SSL � facile da abilitare, viene spesso fatto semplicemente facendo clic su di un pulsante nella finestra di configurazione MUA o attraverso una opzione nel file di configurazione MUA. IMAP sicuro e POP, sono a conoscenza dei numeri delle porte (rispettivamente 993 e 995) usate da MUA per autenticare e scaricare i messaggi.
11.5.1.2. Securezza nelle comunicazioni client email
Offrire il metodo di cifratura SSL a utenti IMAP e POP sul server email, � una cosa molto facile.
Innanzitutto, create un certificato SSL. Questo pu� essere effettuato in due modi: applicando un Certificate Authority (CA) per un certificato SSL oppure creando un certificato firmato da voi stessi "self-signed"
 | Attenzione |
|---|
| | I certificati "self-signed" dovrebbero essere usati solo a scopo di test. Ogni server usato in un ambiente di produttivit�, deve usare un certificato SSL garantito da un CA. |
Per creare un certificato SSL 'self-signed' per IMAP, andare nella directory /usr/share/ssl/certs/ e digitare i seguenti comandi come utente root:
rm -f imapd.pem
make imapd.pem |
Rispondere a tutte le domende per completare il processo.
Per creare un certificato SSL 'self-signed' per POP, andare nella directory /usr/share/ssl/certs/ e digitare i seguenti comandi come utente root:
rm -f ipop3d.pem
make ipop3d.pem |
Ancora, rispondere a tutte le domande per procedere.
 | Importante |
|---|
| | Assicuratevi di rimuovere i file di default imapd.pem e ipop3d.pem, prima di emettere il comando make. |
Una volta terminato, eseguire il comando /sbin/service xinetd restart per riavviare il demone xinetd, il quale controlla imapd e ipop3d.
Alternativamente, il comando stunnel pu� essere usato come un wrapper di cifratura SSL con i demoni standard non-sicuri, imapd o pop3d.
Il programma stunnel utilizza delle librerie OpenSSL esterne incluse con Red Hat Enterprise Linux, in modo da fornire una codifica forte e per proteggere i collegamenti. � consigliabile applicare il suddetto programma ad un CA, in modo da ottenere un certificato SSL, ma � anche possibile creare un certificato cos� detto 'self-signed'.
Per creare un certificato SSL "self-signed", andare nella directory /usr/share/ssl/certs/, e digitare il seguente comando:
Ancora, rispondere a tutte le domande per procedere.
Una volta generato il certificato, � possibile usare il comando stunnel per iniziare il demone di posta imapd, usando il seguente comando:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Una volta emesso questo comando, � possibile aprire un client email IMAP e connettersi al server email usando la cifratura SSL.
Per avviare il pop3d usando il comando stunnel, digitare il seguente comando:
/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d |
Per maggiori informazioni su come usare stunnel, leggere la pagina man stunnel o consultare i documenti nella directory /usr/share/doc/stunnel-<version-number>/, dove <version-number> � il numero della versione di stunnel.
