11.5. Mail User Agents

Ci sono segni di programmi posta disponibili con Red Hat Enterprise Linux. Sono presenti programmi client email grafici, con molti contenuti come ad esempio Mozilla Mail o Ximian Evolution, oppure programmi email basati sul testo, come ad esempio Mutt.

Per istruzioni sull'uso di queste applicazioni, consultare il capitolo intitolato Applicazioni email in Red Hat Enterprise Linux Guida passo dopo passo.

Il resto di questa sezione presta particolare attenzione sulla sicurezza delle comunicazioni tra il client e d il server.

11.5.1. Securezza delle comunicazioni

I MUA più diffusi forniti con Red Hat Enterprise Linux, quali Mozilla Mail, mutt e Ximian Evolution, dispongono di sessioni di posta criptata mediante SSL.

Come qualsiasi altro servizio che si muove in chiaro in una rete, con informazioni email importanti, come ad esempio il nome utente, le password e interi messaggi, puó essere intercettato e letto da altri utenti sulla rete. In aggiunta, dato che il POP standard e i protocolli IMAP inviano le informazioni di autenticazione in chiaro, é possibile per un intruso, ottenere l'accesso agli account, raccogliendo i nomi utente e le password, quando questi vengono inviati sulla rete.

11.5.1.1. Client e-mail sicuri

Molti Linux MUA, sono stati ideati per controllare le email con supporto SSL di cifratura su server remoti. Per poter usare SSL quando si riprende una email, ricordarsi di abilitarlo su entrambe le email client e del server.

Dalla parte del client, SSL è facile da abilitare, viene spesso fatto semplicemente facendo clic su di un pulsante nella finestra di configurazione MUA o attraverso una opzione nel file di configurazione MUA. IMAP sicuro e POP, sono a conoscenza dei numeri delle porte (rispettivamente 993 e 995) usate da MUA per autenticare e scaricare i messaggi.

11.5.1.2. Securezza nelle comunicazioni client email

Offrire il metodo di cifratura SSL a utenti IMAP e POP sul server email, é una cosa molto facile.

Innanzitutto, create un certificato SSL. Questo puó essere effettuato in due modi: applicando un Certificate Authority (CA) per un certificato SSL oppure creando un certificato firmato da se stessi "self-signed"

CautelaAttenzione
 

I certificati "self-signed" dovrebbero essere usati solo a scopo di test. Ogni server usato in un ambiente di produttivitá, deve usare un certificato SSL garantito da un CA.

Per creare un certificato SSL 'self-signed' per IMAP, andare nella directory /usr/share/ssl/certs/ e digitare i seguenti comandi come utente root:

rm -f imapd.pem
make imapd.pem

Rispondere a tutte le domende per completare il processo.

Per creare un certificato SSL 'self-signed' per POP, andare nella directory /usr/share/ssl/certs/ e digitare i seguenti comandi come utente root:

rm -f ipop3d.pem
make ipop3d.pem

Ancora, rispondere a tutte le domande per procedere.

ImportanteImportante
 

Assicuratevi di rimuovere i file di default imapd.pem e ipop3d.pem, prima di emettere il comando make.

Una volta terminato, eseguire il comando /sbin/service xinetd restart per riavviare il demone xinetd, il quale controlla imapd e ipop3d.

Alternativamente, il comando stunnel puó essere usato come un wrapper di cifratura SSL con i demoni standard non-sicuri, imapd o pop3d.

Il programma stunnel usa librerie OpenSSL esterne incluse con Red Hat Enterprise Linux, per fornire una criptografia forte e per proteggere i collegamenti. È meglio applicare il suddetto programma ad un certificate authority, in modo da ottenere un certificato SSL, ma è anche possibile creare un certificato così detto 'self-signed'.

Per creare un certificato SSL "self-signed", andare nella directory /usr/share/ssl/certs/, e digitare il seguente comando:

make stunnel.pem

Ancora, rispondere a tutte le domande per procedere.

Una volta che il certificato é stato generato, é possibile usare il comando stunnel per iniziare il demone posta imapd, usando il seguente comando:

/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd

Una volta emesso questo comando, é possibile aprire un client email IMAP e connettersi al server email usando la cifratura SSL.

Per avviare il pop3d usando il comando stunnel, digitare il seguente comando:

/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d

Per maggiori informazioni su come usare stunnel, leggere la pagina man stunnel o consultare i documenti nella directory /usr/share/doc/stunnel-<version-number>/, dove <version-number> è il numero della versione di stunnel.