Qmail, pop3/smtp, stunnel on openbsd system

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2003 ml@sikurezza.org
Soggetto: Qmail, pop3/smtp, stunnel on openbsd system
Mittente: Andrea Riela
Data: 1 Nov 2003 00:06:40 -0000

Ciao ragazzi,

Vorrei aprire un smtp relay sicuro, ma per evitare che diventi un open relay
ho bisogno che gli utenti che l'utilizzano vengano prima autenticati e
abilitati dal sistema.
Premetto che ho un server qmail su openbsd, per gli esempi pratici.
Ora, che strumenti posso utilizzare?
Soluzioni tipo --enable-roaming=y in vpopmail o smtp-auth sono parziali, nel
senso che l'utente si autentica col pop3 ma il tutto è fatto bellamente in
chiaro.
Quindi, ssl? Pare proprio di sì.
È possibile patchare qmail con il supporto TLS, oppure affidarsi a stunnel,
io direi di seguire la seconda ipotesi.
L'obbiettivo è quello di fare in modo che l'utente pinco che non vuole
utilizzare il mio relay possa comunque scaricare la posta tramite un
semplice pop3 non protetto (oppure avere la libera scelta se affidarsi o
meno alla soluzione ssl), mentre l'utente palla che invece desidera sparare
la sua posta in giro per il mondo tramite il mio server sia costretto prima
ad autenticarsi (come utente pop3 abilitato, e quindi tramite il servizio
pop3 e smtp ssl).
Se ho ben capito, la cosa migliore da fare sarebbe la seguente:

Pinco: pop3 ---> 110 servizio pop3
       smtp ---> il server della sua connessione

Palla: pop3 ---> 995 pop3+ssl, perché richiesto dall'smtp
       smtp ---> 25 smtp+ssl (autenticazione=pop3)

In questo modo l'utente che utilizza il mio relay è costretto ad utilizzare
il pop3+ssl, in modo che usr/pass non vengano sniffate e riutilizzare per
autenticarsi sull'smtp+ssl. Questo non mi permette di proteggere la posta
che uscirà o entrerà nel mio server da altri server smtp (ovviamente), ma
avrò una maggiore sicurezza sul lato server-client.
Ora, in pratica come fare? Ecco le domande:

1- non so come generare con openbsd un certificato per i servizi pop3 e smtp
+ssl (sono niubbo, lo so);
2- dal lato server ho visto come si può configurare il tutto, ma dal lato
client? Il servizio ssl è implementato in tutti i clients? Sto leggendo
anche il tut del buon Koba su Bfi
(http://www.s0ftpj.org/bfi/online/bfi7/bfi07-15.html), ma lo stunnel_client
è indispensabile? Non basta attivare nei vari email-client (tipo
outlook-mail-etc etc) l'autenticazione via ssl? In questo caso, se sì, il
"man in the middle" è sempre un rischio?

Cosa ne pensate di questo delirio?
Attendo consigli che vadano all'uovo ... Pardòn al sodo (per chi ha orecchie
per intendere :))

Andrea


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Qmail, pop3/smtp, stunnel on openbsd system, Simone Lazzaris
- R: Qmail, pop3/smtp, stunnel on openbsd system, Fausto Pasqualetti
- Re: Qmail, pop3/smtp, stunnel on openbsd system, Luca Berra

Data:
- precedente: Documentazione allegati ad applicativi, Fabio
- successivo: firma digitale (opensignature), Thelmo Loisio
- indice

Argomento:
- precedente: RE: Documentazione allegati ad applicativi, balyfix
- successivo: Re: Qmail, pop3/smtp, stunnel on openbsd system, Luca Berra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005