11.5. Agent de gestion de courrier (AGC)
De nombreux progammes de messagerie sont disponibles sous Red Hat Enterprise Linux. Ce sont des programmes clients de messagerie graphiques et riches en fonctionnalités, tels que Mozilla Mail ou Ximian Evolution, ainsi que des programmes de messagerie basés sur du texte tel que mutt.
Pour obtenir des informations sur l'utilisation de ces applications, reportez-vous au chapitre intitulé Applications de messagerie du Guide étape par étape de Red Hat Enterprise Linux.
Le reste de cette section se concentre sur l'établissement d'une communication sécurisée entre le client et le serveur.
11.5.1. Établissement d'une communication sécurisée
Parmi les AGC très utilisés fournis avec Red Hat Enterprise Linux figurent Mozilla Mail, Ximian Evolution et mutt qui offrent des sessions de messagerie cryptées avec SSL.
Comme pour tout autre service voyageant sur un réseau non-crypté, des informations de messagerie importantes comme les noms d'utilisateur, mots de passe voire des messages entiers, peuvent être interceptées et lues par des utilisateurs du réseau. En outre, étant donné que les protocoles POP et IMAP standard transfèrent les informations d'authentification en texte clair, un pirate peut obtenir l'accès aux comptes utilisateur en recueillant les noms d'utilisateur et mots de passe lors de leur transfert sur le réseau.
11.5.1.1. Clients de messagerie sécurisés
La plupart des AGC Linux conçus pour vérifier le courrier sur des serveurs distants prennent en charge le cryptage SSL. Afin d'utiliser SSL lors de la récupération de courrier, son activation est nécessaire aussi bien sur le client de messagerie que sur le serveur de messagerie.
L'activation de SSL du côté client est une opération simple, il suffit même parfois de cliquer sur un bouton dans la fenêtre de configuration de l'AGC ou de l'activer au moyen d'une option dans le fichier de configuration de l'AGC. IMAP et POP sécurisés ont des numéros de port connus (respectivement 993 et 995) que l'AGC utilise pour authentifier et télécharger les messages.
11.5.1.2. Établissement de communications sécurisées pour les clients de messagerie
L'utilisation du système de cryptage SSL pour les utilisateur d'IMAP et POP sur le serveur de messagerie est une opération relativement simple.
Créez tout d'abord un certificat SSL. Pour ce faire, il existe deux possibilités : vous pouvez faire la demande d'un certificat SSL auprès d'une Autorité de certification (AC) ou vous pouvez créer vous-même un certificat auto-signé.
 | Avertissement |
|---|---|
Les certificats auto-signés ne devraient être utilisés qu'a des fins de test. Tout serveur utilisé dans un environnement de production devrait avoir recours à un certificat obtenu auprès d'une AC. |
Pour créer un certificat SSL auto-signé pour IMAP, allez dans le répertoire /usr/share/ssl/certs/ et saisissez les commandes suivantes en étant connecté en tant que super-utilisateur :
rm -f imapd.pem make imapd.pem |
Pour achever le processus de création du certificat, répondez à toutes les questions.
Afin de créer un certificat SSL auto-signé pour for POP, allez dans le répertoire /usr/share/ssl/certs/ et saisissez les commandes suivantes en étant connecté en tant que super-utilisateur :
rm -f ipop3d.pem make ipop3d.pem |
Ici encore, répondez à toutes les questions afin d'achever le processus de création du certificat.
 | Important |
|---|---|
Assurez-vous de bien supprimer les fichiers imapd.pem et ipop3d.pem par défaut avant d'exécuter chaque commande make. |
Une fois terminé, exécutez la commande /sbin/service xinetd restart pour redémarrer le démon xinetd qui contrôle imapd et ipop3d.
Il est également possible d'utiliser la commande stunnel en tant qu'enveloppeur de cryptage SSL placé autour des démons non-sécurisés standard imapd ou pop3d.
Le programme stunnel utilise des bibliothèques OpenSSL externes fournies avec Red Hat Enterprise Linux pour offrir un cryptage fort et pour protéger les connexions. Il est recommandé de faire une demande de certificat SSL auprès d'une autorité de certification (AC), mails il est également possible de créer un certificat auto-signé.
Pour créer un certificat SSL auto-signé, allez dans le répertoire /usr/share/ssl/certs/ et tapez la commande suivante :
make stunnel.pem |
Ici encore, répondez à toutes les questions afin d'achever le processus de création du certificat.
Une fois le certificat créé, il est possible d'utiliser la commande stunnel pour démarrer le démon imapd à l'aide de la commande suivante :
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Après l'exécution de cette commande, il est possible d'ouvrir un client de messagerie IMAP et d'établir une connexion au serveur de messagerie utilisant le système de cryptage SSL.
Pour lancer pop3d à l'aide de la commande stunnel, tapez la commande suivante :
/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d |
Pour obtenir de plus amples informations sur la façon d'utiliser stunnel, lisez la page de manuel de stunnel ou consultez les documents présents dans le répertoire /usr/share/doc/stunnel-<numéro- version>/, où <version-number> correspond au numéro de version de stunnel.