13.5. Mail User Agents (MUA)

Red Hat Enterprise Linux offre une variété de programmes de messagerie, des programmes client de messagerie graphique, comme Evolution, ainsi que des programme de messagerie basés texte, comme mutt.
Le reste de cette section concerne la sécurisation des communications entre un client et un serveur.

13.5.1. Sécuriser les communications

Les MUA populaires inclus avec Red Hat Enterprise Linux, comme Evolution et Mutt offrent des sessions de messagerie chiffrées avec SSL.
Comme tout autre service exécuté sur un réseau non chiffré, les informations importantes des courrier électroniques, comme les noms d'utilisateurs, les mots de passe et les messages entiers peuvent être interceptés et vus par les utilisateurs sur le réseau. En outre, comme les protocoles standards POP et IMAP passent des informations d'authentification non chiffrées, il est possible qu'une personne malveillante obtienne accès aux comptes des utilisateurs en récupérant les noms d'utilisateurs et mots de passe quand ils sont passés sur le réseau.

13.5.1.1. Clients de messagerie sécurisés

La plupart des MUA Linux conçus pour vérifier le courrier électronique sur les serveurs distants prennent en charge le chiffrement SSL. Pour utiliser SSL pendant la récupération du courrier, il doit être activé sur le client de messagerie et sur le serveur.
SSL est facile à activer côté client, ce qui est souvent fait simplement en cliquant sur un bouton dans la fenêtre de configuration du MUA ou via une option du fichier de configuration du MUA. Les protocoles sécurisés IMAP et POP ont des numéros de port (993 et 995, respectivement) utilisés par le MUA pour authentifier et télécharger des messages.

13.5.1.2. Sécurisation des communications des clients de messagerie

Offrir le chiffrement SSL aux utilisateurs IMAP et POP sur le serveur de messagerie est une simple question.
Premièrement, veuillez créer un certificat SSL. Ceci peut être fait de deux manières différentes en appliquant sur un CA (Certificate Authority) pour obtenir un certificat SSL ou en créant un certificat autosigné.

Avertissement

Les certificats autosignés doivent uniquement être utilisés pour des tests. Tout serveur utilisé dans un environnement de production doit utiliser un certificat SSL signé par un CA.
Pour créer un certificat autosigné pour IMAP ou POP, rendez-vous dans le répertoire /etc/pki/dovecot/, modifiez les paramètres du certificat dans le fichier de configuration /etc/pki/dovecot/dovecot-openssl.cnf selon vos préférences, puis saisissez les commandes suivantes en tant qu'utilisateur root :
dovecot]# rm -f certs/dovecot.pem private/dovecot.pem
dovecot]# /usr/libexec/dovecot/mkcert.sh
Une fois terminé, assurez-vous d'avoir les configurations suivantes dans votre fichier /etc/dovecot/conf.d/10-ssl.conf :
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem
Veuillez exécuter la commande suivante pour redémarrer le démon dovecot :
~]# systemctl restart dovecot
Alternativement, la commande stunnel peut être utilisée comme emballage de chiffrement autour des connexions standards non-sécurisées aux services IMAP ou POP.
L'utilitaire stunnel utilise des bibliothèques OpenSSL externes incluses avec Red Hat Enterprise Linux pour fournir un chiffrement fort et pour protéger les connexions réseau. Il est recommandé d'appliquer sur un CA pour obtenir un certificat SSL, mais il est également possible de créer un certificat autosigné.
Veuillez consulter Utiliser stunnel dans le Guide de sécurité Red Hat Enterprise Linux 7 pour obtenir des instructions sur l'installation de stunnel et pour créer sa configuration de base. Pour configurer stunnel comme emballage pour IMAPS et POP3S, veuillez ajouter les lignes suivantes au fichier de configuration /etc/stunnel/stunnel.conf :
[pop3s]
accept  = 995
connect = 110

[imaps]
accept  = 993
connect = 143
Le Guide de sécurité explique également comment lancer et arrêter stunnel. Une fois lancé, il est possible d'utiliser un client de messagerie IMAP ou POP et de se connecter au serveur de messagerie en utilisant le chiffrement SSL.