Le chiffrement des communication avec les serveurs de messagerie permet deux choses. D’une part que vos informations privées (mot de passe, messages) ne puissent être écoutées par un éventuel espion entre vous et le service de courrier. D’autre part, il permet de vous assurer que vous discutez bien avec le bon serveur et qu’un autre n’a pas pris sa place.
Statut au 27 avril 2004 : Tous les services de messagerie sont disponibles en mode chiffré:
| Webmail | lecture, envoi de messages | SSL sur l’url https://www.mail.teaser.fr/ |
| POP3 | lecture des boîtes aux lettres | STARTTLS sur port 110, SSL sur port 995 dédié. |
| IMAP | lecture boîtes aux lettres et de leurs dossiers | STARTTLS sur port 143, SSL sur port 993 dédié. |
| SMTP | envoi de messages | STARTTLS sur port 587, SSL sur port 465 dédié. |
Notes:
Avec STARTTLS, la session commence en clair, le serveur annonce qu’il supporte SSL et le client en tient compte. Sur un port dédié, la session est inégralement en SSL. POP, IMAP et SMTP utilisent un certificat officiel.
Les anciens certificats Teaser ne sont plus utilisés.
Eudora peut fonctionner en quatres modes. Elles sont à choisir en selectionnant le menu « Tools » puis « Personalities ». Cliquez à droite sur le nom du compte puis and le menu contextuel « Properties », selectionnez l’onglet « Incoming mail » et choisissez une des options dans le champ « Secure Sockets when Receiving » :
Version anglaise :
Dans le menu « Edit », cliquez sur « Mail & Newsgroup Account Settings ». Ensuite, cliquez sur le triangle face au compte à modifier afin de développer l’arborescence des éléments du compte. Selectionnez « Server settings » et cochez, dans la partie droite de la fenêtre, la case « Use secure connection (SSL) » et la case « Port », juste au-dessus, se verra automatiquement attribuer le numéro 995. Enfin, validez les modifications en cliquant sur « Ok ».
Allez dans le menu « Outils », puis selectionnez « Comptes... ». Dans la boîte de dialogue « Comptes Internet » cliquez sur l’onglet « Courrier », puis selectionnez le compte à modifier. Ensuite cliquez sur le bouton « Propriétés ».
Dans la nouvelle la boîte de dialogue qui s’ouvre cliquez sur l’onglet « Avancé » et cochez la case « Ce serveur requiert une connexion sécurisée (SSL) » sous l’indication « Courrier entrant (POP3) ». Le port 995 est automatiquement entré dans la case face à cette dernière indication. Enfin, cliquez sur le bouton « Ok » et fermez la boîte de dialogue « Comptes Internet ».
Suivant vos distributions, les certificats authoritaires ayant signé les certificats pop, imap, smtp, webmail, etc. seront déjà présents sur votre ordinateur. Dans la cas contraire, il faut les télécharger :
% mkdir -p ~/.certs/
% cd ~/.certs/
% wget https://certs.godaddy.com/repository/sf_issuing.crt
% wget https://certs.godaddy.com/repository/valicert_class2_root.cer
Il faut ensuite régénérer les hashs au moyen de l’utilitaire rehash. Il s’agit d’une commande qui est disponible dans les tools d’openssl et se trouve dans la plupart des distributions linux ; sur FreeBSD c’est dans les sources : /usr/src/crypto/openssl/tools/c_rehash.
% c_rehash ~/.certs
ou
% perl /usr/src/crypto/openssl/tools/c_rehash ~/.certs
Comme la connexion est chiffrée, vous ne pouvez plus utiliser la commande « telnet » pour tester le fonctionnement. Si vous disposez de la commande « openssl », vous pouvez lancer
openssl s_client -connect pop.teaser.fr:995
ou
openssl s_client -quiet -connect pop.teaser.fr:995
si vous le voulez moins verbeux au sujet des certificats.
Fetchmail doit être compilé avec le support SSL.
Vous avez deux modes d’opération :
SSL au dessus protocole
POP ordinaire (STARTTLS) : Ce mode est plus simple et plus souple, mais il a moins d’options. Configurez le fichier .fetchmailrc avec les lignes suivates :
server pop.teaser.fr # nom du serveur
proto pop3 # apop ne marche pas
sslcertpath ~/.certs # Chemin d'installation des certificats
sslcertpath est facultatif, il référence un répertoire contenant les certificats installés comme indiqué dans dans la rubrique OpenSSL.
Connexion en
SSL : Configurez fetchmail en éditant le fichier .fetchmailrc avec les lignes suivantes :
server pop.teaser.fr # nom du serveur
proto pop3 # protocole, vous pouvez mettre 'apop' à la place
port 995 # le port de POP3S
ssl # utiliser SSL
sslcertck # refuser la connexion si le cert. n'est pas vérifié
sslcertpath ~/.certs # Chemin d'installation des certificats
sslcertck est facultatif, mais si vous l’utilisez, sslcertpath doit être défini et le certificat installé comme indiqué dans la rubrique OpenSSL.
Utilisez la boîte aux lettres pops://votre-compte@votre-domaine@pop.teaser.fr/
Pour ne pas être ennuyé avec la demande de vérification des certificats, vous pouvez l’installer comme indiqué dans la rubrique OpenSSL.
Alternativement, pour que mutt vous propose l’option « accepter toujours » dans la vérification des certificats :
Mutt: Vérification du certificat SSL
(r)ejeter, accepter (u)ne fois, (a)ccepter toujours
Définissez une variable certificate_file dans le fichier .muttrc avec le nom d’un fichier qui contiendra les certificats :
set certificate_file=~/.mutt/certificates
Pour plus d’information, reportez vous au fichier README.SSL diffusé avec mutt.
Dans les paramètres avancés, cochez “Utiliser SSL“.
