Šifrovaný přístup k poště
Autor: Ludvík (mailto:ludvik@khnet.info),
Téma: Jak zprovozním...
Vydáno dne 20. 04. 2006 (9041 přečtení)
Dnes jsem zprovoznil šifrované spojení pro IMAP, POP3 a SMTP. Čtěte dále ...
upraveno 23.4.2006
upraveno 23.3.2007
POZOR: Vzhledem k přesunu některých služeb na nový server (22.3.07) je tento návod již mírně neaktuální. Email již není na serveru kix.khnet.info, ale hera.khnet.info. Pokud používáte nešifrovaný přístup (a jako adresy: pop3.khnet.info a smtp.khnet.info), neměli byste poznat změnu. Šifrovaný přístup (certifikáty) vyžadují ovšem trochu jiný přístup a stoprocentně bezproblémově funkční to bude až po zprovoznění nového datového centra (cca polovina až konec dubna 2007).
Teorie: Určitě všichni víte, že veškerá data přenášená přes
internet jsou standardně nešifrované, tj. teoreticky odposlechnutelná, a
to včetně přihlašovacích hesel. Týká se to především (nic jiného tady
zmiňovat nebudu) pošty (příjem i odesílání) a www stránek (kromě těch
začínajících na https:// - ty jsou šifrované). Kdokoliv, kdo má alespoň
trochu znalostí ohledně sítí, je schopný poslouchat co teče "po drátech" a
vycucnout z tohoto provozu přihlašovací jména a hesla. Dobrý příklad je
teď aféra Seznam vs Nova (viz článek na
Lupě). Takový "hacker" to má sice velice stížené tím, že nemá přístup
k datům na páteřích internetu (a khnetu), ale např. v panelákových sítích
je to poměrně jednoduché, jak předvedl ten dotyčný v té zmíněné škole ...
Jediná obrana je tedy šifrování. Nyní zmíním první možnost, která
zabezpečuje komunikaci mezi vaším emailovým klientem (Outlook,
Thunderbird, aj.) a poštovním serverem (samozřejmě mluvím o serveru na
naší síti: kix.khnet.info, pro jiné je to sice prakticky stejné, pokud to
vůbec používají, ale nemohu to potvrdit).
Příjem pošty protokolem POP3:
Outlook Express: menu nástroje/účty, záložka pošta, vlastnosti. Na
zobrazené kartě vybrat záložku Upřesnit a pod údajem Příchozí pošta (POP3)
zaškrtnout "zabezpečené připojení (SSL)". Číslo portu by se mělo změnit na
995 (nezmění-li se, vyplňte).
Na záložce Servery do kolonky Příchozí pošta (POP3) napište
"kix.khnet.info".
Thunderbird: menu nástroje/nastavení účtu, volba Nastavení
serveru.V pravé části okénka opět zaškrtnout "zabezpečené spojení (SSL)".
Číslo portu by se mělo změnit na 995 (nezmění-li se, vyplňte). Do kolonky
Název serveru vyplňte "kix.khnet.info".
Příjem pošty protokolem IMAP:
Nastavení je skoro stejné jako u protokolu POP3, jediná odlišnost je v
čísle portu: musí se změnit na 993.
Odesílání pošty protokolem SMTP:
Outlook Express: nastavení je opět prakticky stejné jako u POP3 -
jenom vás zajímají údaje Odchozí pošta (SMTP) a číslo portu je 465.
Thunderbird: tady už je trochu odlišnost - v okně Nastavení účtu
nalistujte v levé části volbu Server odchozí pošty, poté v pravé části
klikněte na tlačítko Rozšířené. V okénku Nastavení přidejte nový účet:
název je "kix.khnet.info", port 465, jméno a heslo nesmí být zaškrtnuté
ani vyplněné a dole vyberte možnost "SSL". Uložte.
Vraťte se do místa, kde jste nastavovali POP3 (nebo IMAP) - tj. Nastavení
serveru a pod tlačítkem Rozšířené nastavte na záložce SMTP server
kix.khnet.info (ten, co jste před chvilkou zakládali).
Poznámka: pokud k poště přistupujete z venku (z internetu) a jste schovaní
za nějakým firewallem (ve firmě, např.) je možné, že nemáte povolen
přístup na cizí SMTP servery. V tom případě musí být SMTP nastaveno na
server uvnitř takto chráněné sítě a zabezpečení je na správci ...
Příjem certifikátu
Oba dva programy budou se vší pravděpodobností nadávat na certifikát
serveru, že mu prý nelze důvěřovat ... Nedivte se jim, je to tak - správně
by měl být ověřen nějakou "nezávislou certifikační autoritou", kterou již
máte v počítači nastavenou jako důvěryhodnou. No a jelikož to není
zadarmo, a je to poměrně složité (není na to čas), tak tento certifikát
ověřený není a v nejbližší době ani nebude.
Doporučuji nahlédnout do podrobností a zkontrolovat zda je vystaven pro
organizaci Sdruzeni KHnet.info a potom ho přijmout, klidně i mezi
"důvěryhodné" - pak už vám to nadávat nebude.
Pro klid duše můžete zkontrolovat i otisky:
SHA1: 0B:E2:08:4B:0E:DE:3F:15:25:BE:28:1B:D1:4A:BC:A0:44:A5:A9:59
MD5: 1C:4C:F2:5F:B6:05:4B:1C:04:B4:F5:CA:4C:7A:DF:CB
Samozřejmě, certifikát se může změnit (např. kvůli již zmíněnému ověření),
pak se změní i otisky ... to ale bude oznámeno, pokud na to nezapomenu.
Chyby a změny vyhrazeny!! :-) Osobně používám Thunderbirda a protokol
IMAP, ostatní informace jsem sice napsal správně (si myslím) ale
nevyzkoušel jsem to. Takže pokud narazíte na nejasnost, či chybu, tak mi
napište. Buď emailem (adresa je pod článkem), nebo jabberem na
ludvik@jabber.khnet.info.
Doplněk:
Tímto bude zabezpečen provoz mezi serverem a vámi, ale již nikoliv přenos
emailu k adresátovi! Standardně jsou emaily tzv. "čistý text", takže pokud
ho někdo někde odposlechne, nebo nabourá cílový server či schránku
uživatele, normálně si ho přečte. Proti tomuto je obrana opět šifrování.
Pracuje to na podobném principu certifikátů - ty se použijí buď k
elektronickému podpisu (tj. příjemce emailu je schopný si ověřit, že to
posíláte opravdu vy a že se email po cestě nezměnil) nebo také k šifrování
- máte-li veřejnou část certifikátu adresáta. To je ale na další a hlavně
delší povídání ...
23.4.2006
Vám, kdo nepoužíváte thunderbird pomůže tento soubor. Otevřete ho a naimportujte (instalujte). Potom už outlook nebude nadávat na nedůvěryhodnost certifikátu. Resp. na jakýkoliv námi vystavený certifikát - tímto budete "důvěřovat" autoritě "kix.khnet.info".
Zároveň jsem upravil webmail a administaci emailu. Odkazy na ně jsou ve tvaru https:// takže používají také šifrovaný přenos. Upozorňuji, že stále funguje i nešifrovaný tvar http://, tj. je jenom na vás, jaký styl budete používat.
Též upřesňuji: tento článek se týká pouze emailových schránek na našem serveru! Tj. pro adresy končící na @khnet.info. Všichni ostatní musí požadovat tyto informace po svém poskytovateli emailových služeb. Jediné, co můžou použít všichni je ta část o SMTP (odesílání pošty) - a to jenom zevnitř khnetu!