[sisyphus] Courier IMAP + SSL

[sisyphus] Courier IMAP + SSL

[Прокопьев Евгений]

Здравствуйте!

Правильно ли я понимаю, что имена и пароли передаются на сервер из 
почтовых клиентов открытым текстом? И для того, чтоб решить эту 
проблему, надо использовать ssl?

Пытаюсь включить ssl так:

В /etc/courier-imap/imapd пишу IMAPDSTART=NO, в 
/etc/courier-imap/imapd-ssl пишу IMAPDSSLSTART=YES

После service courier-imapd restart ничего на консоль не выдается, новые 
порты не задействуются:

[root@john courier-imap]# netstat -pan --inet | grep courier
tcp        0      0 127.0.0.1:110           0.0.0.0:* 
LISTEN      1211/couriertcpd
tcp        0      0 127.0.0.1:143           0.0.0.0:* 
LISTEN      1190/couriertcpd

Мозилла подключается к ящику как у указанием ssl, так и без него.

Вопросов 2:

1. Я так понял, что ssl включить мне не удалось. Как его включить?
2. Как узнать, что я его включил
-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Courier IMAP + SSL

[Dmitry Lebkov]

On Mon, 04 Nov 2002 16:05:03 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Здравствуйте!
> 
> Правильно ли я понимаю, что имена и пароли передаются на сервер из 
> почтовых клиентов открытым текстом? И для того, чтоб решить эту 
> проблему, надо использовать ssl?

Правильно ...

> 
> Пытаюсь включить ssl так:
> 
> В /etc/courier-imap/imapd пишу IMAPDSTART=NO, в 
Это не обязательно. Можно настроить TLS на стандартном
IMAP-порту.

> /etc/courier-imap/imapd-ssl пишу IMAPDSSLSTART=YES

Еще необходимо сгенерировать SSL-сертификаты для твоего
сервера и в конфигах IMAP/POP3 демонов указать путь к ним.
См. man mkimapdcert и man mkpop3dcert. Так же, желательно
читать комментарии внутри файлов конфигурации.

> 
> После service courier-imapd restart ничего на консоль не выдается, новые 
> порты не задействуются:

Внимательно смотрим в /etc/rc.d/init.d/ на предмет
файлов courier-*-ssl.

> 
> [root@john courier-imap]# netstat -pan --inet | grep courier
> tcp        0      0 127.0.0.1:110           0.0.0.0:* 
> LISTEN      1211/couriertcpd
> tcp        0      0 127.0.0.1:143           0.0.0.0:* 
> LISTEN      1190/couriertcpd
> 
> Мозилла подключается к ящику как у указанием ssl, так и без него.
> 
> Вопросов 2:
> 
> 1. Я так понял, что ssl включить мне не удалось. Как его включить?
> 2. Как узнать, что я его включил
Самое надежное средство - tcpdump с записью всего потока в файл
(например: # tcpdump -i lo -s 1500 -n -w ./imap.tcp 'src or dst port 143')
и просмотр получившегося файла (strings ./imap.tcp). Без SSL/TLS в дампе
будет виден текст сообщений из ящика, имя и пароль - в общем достаточно
много осмысленных строк. С включенным SSL/TLS - только комметарии,
присутствующие в сетрификате и начальный обмен IMAP-командами между
сервером и клиентом.

WBR, Dmitry Lebkov

Re: [sisyphus] Courier IMAP + SSL

[Прокопьев Евгений]

Dmitry Lebkov wrote:

>>В /etc/courier-imap/imapd пишу IMAPDSTART=NO, в 
> 
> Это не обязательно. Можно настроить TLS на стандартном
> IMAP-порту.

Заранее прошу прощения за глупый вопрос, но где бы почитать про SSL и 
TLS. Меня интересуют общие концепции (хорошо бы еще на русском), понятие 
сертификата и что требуется клиенту для использования защищенного 
соединения.

>>/etc/courier-imap/imapd-ssl пишу IMAPDSSLSTART=YES
> 
> 
> Еще необходимо сгенерировать SSL-сертификаты для твоего
> сервера и в конфигах IMAP/POP3 демонов указать путь к ним.
> См. man mkimapdcert и man mkpop3dcert.

Указанных манов, как и самих команд не нашел. В каком они пакете?

> Так же, желательно
> читать комментарии внутри файлов конфигурации.

Пытаюсь, но знаю слишком мало, чтобы все понять и переварить

-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Courier IMAP + SSL

[Dmitry Lebkov]

On Tue, 05 Nov 2002 09:44:17 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Dmitry Lebkov wrote:
> 
> >>В /etc/courier-imap/imapd пишу IMAPDSTART=NO, в 
> > 
> > Это не обязательно. Можно настроить TLS на стандартном
> > IMAP-порту.
> 
> Заранее прошу прощения за глупый вопрос, но где бы почитать про SSL и 
> TLS. Меня интересуют общие концепции (хорошо бы еще на русском), понятие 
> сертификата и что требуется клиенту для использования защищенного 
> соединения.

www.openssl.org - там есть все. На русском - не знаю, не искал.

> >>/etc/courier-imap/imapd-ssl пишу IMAPDSSLSTART=YES
> > 
> > Еще необходимо сгенерировать SSL-сертификаты для твоего
> > сервера и в конфигах IMAP/POP3 демонов указать путь к ним.
> > См. man mkimapdcert и man mkpop3dcert.
> 
> Указанных манов, как и самих команд не нашел. В каком они пакете?

$ rpm -qf /usr/share/courier-imap/mkimapdcert
courier-imap-1.5.3-alt2

WBR, Dmitry Lebkov
 

Re: [sisyphus] Courier IMAP + SSL

[Прокопьев Евгений]

Ну в общем получилось, спасибо.

Сильфида читает почту без вопросов, данные шифруются.

Мозилла тоже читает, но перед первым открытием ящика говорит "Возникли 
проблемы с сертификатом... Сертификат был выдан центром сертификации, 
который не был распознан Мозиллой". А предполагается, что пользователи 
будут сидеть в основном в Мозиллах и Аутглюках.

Начал смотреть в настройках Мозиллы по поводу центров сертификации и 
интернете по поводу того, как этот сертификат бесплатно получить. Среди 
перечисленных в настройках Мозиллы таковых, похоже, не оказалось. На 
apache.lexa.ru нашел совет:

> Берешь SSLeay, выписываешь себе самоподписанный
> сертификат сертификационного агентства, кладешь его на Web-страничку
> с соответствующим mime-type, И пишешь там же инструкцию - если 
> вы хотите получать защищенную информацию, сходите по этой ссылочке
> и нажмите несколько раз OK в появившихся окошках.

Сертификат, как я понимаю, у меня уже есть, а дальше - дело техники.

Можешь прокомментировать? То есть правильным ли путем я пошел?

-- 
С уважением, Прокопьев Евгений

Re: [sisyphus] Courier IMAP + SSL

[Dmitry Lebkov]

On Tue, 05 Nov 2002 13:57:58 +0300
Прокопьев Евгений <john@rmts.donpac.ru> wrote:

> Ну в общем получилось, спасибо.
> 
> Сильфида читает почту без вопросов, данные шифруются.
> 
> Мозилла тоже читает, но перед первым открытием ящика говорит "Возникли 
> проблемы с сертификатом... Сертификат был выдан центром сертификации, 
> который не был распознан Мозиллой". А предполагается, что пользователи 
> будут сидеть в основном в Мозиллах и Аутглюках.
> 
> Начал смотреть в настройках Мозиллы по поводу центров сертификации и 
> интернете по поводу того, как этот сертификат бесплатно получить. Среди 
> перечисленных в настройках Мозиллы таковых, похоже, не оказалось. На 
> apache.lexa.ru нашел совет:
> 
> > Берешь SSLeay, выписываешь себе самоподписанный
> > сертификат сертификационного агентства, кладешь его на Web-страничку
> > с соответствующим mime-type, И пишешь там же инструкцию - если 
> > вы хотите получать защищенную информацию, сходите по этой ссылочке
> > и нажмите несколько раз OK в появившихся окошках.
> 
> Сертификат, как я понимаю, у меня уже есть, а дальше - дело техники.
> 
> Можешь прокомментировать? То есть правильным ли путем я пошел?
> 
Все правильно. Центры сертификации (сертификаты которых обычно включают
в софт, подеерживающий SSL/TLS) выдают сертификаты за деньги. С этого
и живут. Последний раз, когда я интересовался этим вопросом, сертификат
для сервера стоил что-то около $1000. Поэтому, для своих нужд можно и
самоподписанный сделать ... :)

WBR, Dmitry Lebkov

Re: [sisyphus] Courier IMAP + SSL

[Dmitry Lebkov]

On Wed, 6 Nov 2002 03:46:56 +0000
avl <avl@l14.ru> wrote:

> 
> > > Сертификат, как я понимаю, у меня уже есть, а дальше - дело техники.
> > > 
> > > Можешь прокомментировать? То есть правильным ли путем я пошел?
> > > 
> > Все правильно. Центры сертификации (сертификаты которых обычно включают
> > в софт, подеерживающий SSL/TLS) выдают сертификаты за деньги. С этого
> > и живут. Последний раз, когда я интересовался этим вопросом, сертификат
> > для сервера стоил что-то около $1000. Поэтому, для своих нужд можно и
> > самоподписанный сделать ... :)
> 
> хотелось бы КакСде на эту тему. :)
> Очень интересно, как можно сделать сертификат для https и imap

См. http://www.modssl.org/docs/2.8/ssl_faq.html#cert-ownca
Все расписано по шагам. Так же, man ssl_CA.pl (пакет openssl).

WBR, Dmitry Lebkov

Re: [sisyphus] Courier IMAP + SSL

[avl]

> > Сертификат, как я понимаю, у меня уже есть, а дальше - дело техники.
> > 
> > Можешь прокомментировать? То есть правильным ли путем я пошел?
> > 
> Все правильно. Центры сертификации (сертификаты которых обычно включают
> в софт, подеерживающий SSL/TLS) выдают сертификаты за деньги. С этого
> и живут. Последний раз, когда я интересовался этим вопросом, сертификат
> для сервера стоил что-то около $1000. Поэтому, для своих нужд можно и
> самоподписанный сделать ... :)

хотелось бы КакСде на эту тему. :)
Очень интересно, как можно сделать сертификат для https и imap

Re: [sisyphus] Courier IMAP + SSL

[Alexander Bokovoy]

On Tue, Nov 05, 2002 at 09:28:17PM +1000, Dmitry Lebkov wrote:
> > Сертификат, как я понимаю, у меня уже есть, а дальше - дело техники.
> > 
> > Можешь прокомментировать? То есть правильным ли путем я пошел?
> > 
> Все правильно. Центры сертификации (сертификаты которых обычно включают
> в софт, подеерживающий SSL/TLS) выдают сертификаты за деньги. С этого
> и живут. Последний раз, когда я интересовался этим вопросом, сертификат
> для сервера стоил что-то около $1000. Поэтому, для своих нужд можно и
> самоподписанный сделать ... :)
Сертификаты, например, от ComodoGroup стоят порядка $49 на год и точно
также, как и сертификаты от VeriSign принимаются всеми нормальными
браузерами. http://www.instantssl.com/ -- они, кстати, дают бесплатный
полноценно работающий 30-дневный сертификат на пробу. Он такой же как и
платный, только срок его действия истекает через 30 дней после выдачи.
-- 
/ Alexander Bokovoy
---
Flattery will get you everywhere.