Šifrovaný přístup k poště

Autor: Ludvík (mailto:ludvik@khnet.info), Téma: Jak zprovozním...
Vydáno dne 20. 04. 2006 (9203 přečtení)




Dnes jsem zprovoznil šifrované spojení pro IMAP, POP3 a SMTP. Čtěte dále ...

upraveno 23.4.2006
upraveno 23.3.2007

POZOR: Vzhledem k přesunu některých služeb na nový server (22.3.07) je tento návod již mírně neaktuální. Email již není na serveru kix.khnet.info, ale hera.khnet.info. Pokud používáte nešifrovaný přístup (a jako adresy: pop3.khnet.info a smtp.khnet.info), neměli byste poznat změnu. Šifrovaný přístup (certifikáty) vyžadují ovšem trochu jiný přístup a stoprocentně bezproblémově funkční to bude až po zprovoznění nového datového centra (cca polovina až konec dubna 2007).


Teorie: Určitě všichni víte, že veškerá data přenášená přes internet jsou standardně nešifrované, tj. teoreticky odposlechnutelná, a to včetně přihlašovacích hesel. Týká se to především (nic jiného tady zmiňovat nebudu) pošty (příjem i odesílání) a www stránek (kromě těch začínajících na https:// - ty jsou šifrované). Kdokoliv, kdo má alespoň trochu znalostí ohledně sítí, je schopný poslouchat co teče "po drátech" a vycucnout z tohoto provozu přihlašovací jména a hesla. Dobrý příklad je teď aféra Seznam vs Nova (viz článek na Lupě). Takový "hacker" to má sice velice stížené tím, že nemá přístup k datům na páteřích internetu (a khnetu), ale např. v panelákových sítích je to poměrně jednoduché, jak předvedl ten dotyčný v té zmíněné škole ...

Jediná obrana je tedy šifrování. Nyní zmíním první možnost, která zabezpečuje komunikaci mezi vaším emailovým klientem (Outlook, Thunderbird, aj.) a poštovním serverem (samozřejmě mluvím o serveru na naší síti: kix.khnet.info, pro jiné je to sice prakticky stejné, pokud to vůbec používají, ale nemohu to potvrdit).

Příjem pošty protokolem POP3:

Outlook Express: menu nástroje/účty, záložka pošta, vlastnosti. Na zobrazené kartě vybrat záložku Upřesnit a pod údajem Příchozí pošta (POP3) zaškrtnout "zabezpečené připojení (SSL)". Číslo portu by se mělo změnit na 995 (nezmění-li se, vyplňte).
Na záložce Servery do kolonky Příchozí pošta (POP3) napište "kix.khnet.info".
Thunderbird: menu nástroje/nastavení účtu, volba Nastavení serveru.V pravé části okénka opět zaškrtnout "zabezpečené spojení (SSL)". Číslo portu by se mělo změnit na 995 (nezmění-li se, vyplňte). Do kolonky Název serveru vyplňte "kix.khnet.info".

Příjem pošty protokolem IMAP:

Nastavení je skoro stejné jako u protokolu POP3, jediná odlišnost je v čísle portu: musí se změnit na 993.

Odesílání pošty protokolem SMTP:

Outlook Express: nastavení je opět prakticky stejné jako u POP3 - jenom vás zajímají údaje Odchozí pošta (SMTP) a číslo portu je 465.
Thunderbird: tady už je trochu odlišnost - v okně Nastavení účtu nalistujte v levé části volbu Server odchozí pošty, poté v pravé části klikněte na tlačítko Rozšířené. V okénku Nastavení přidejte nový účet: název je "kix.khnet.info", port 465, jméno a heslo nesmí být zaškrtnuté ani vyplněné a dole vyberte možnost "SSL". Uložte.
Vraťte se do místa, kde jste nastavovali POP3 (nebo IMAP) - tj. Nastavení serveru a pod tlačítkem Rozšířené nastavte na záložce SMTP server kix.khnet.info (ten, co jste před chvilkou zakládali).

Poznámka: pokud k poště přistupujete z venku (z internetu) a jste schovaní za nějakým firewallem (ve firmě, např.) je možné, že nemáte povolen přístup na cizí SMTP servery. V tom případě musí být SMTP nastaveno na server uvnitř takto chráněné sítě a zabezpečení je na správci ...

Příjem certifikátu

Oba dva programy budou se vší pravděpodobností nadávat na certifikát serveru, že mu prý nelze důvěřovat ... Nedivte se jim, je to tak - správně by měl být ověřen nějakou "nezávislou certifikační autoritou", kterou již máte v počítači nastavenou jako důvěryhodnou. No a jelikož to není zadarmo, a je to poměrně složité (není na to čas), tak tento certifikát ověřený není a v nejbližší době ani nebude.
Doporučuji nahlédnout do podrobností a zkontrolovat zda je vystaven pro organizaci Sdruzeni KHnet.info a potom ho přijmout, klidně i mezi "důvěryhodné" - pak už vám to nadávat nebude.
Pro klid duše můžete zkontrolovat i otisky:
SHA1: 0B:E2:08:4B:0E:DE:3F:15:25:BE:28:1B:D1:4A:BC:A0:44:A5:A9:59
MD5: 1C:4C:F2:5F:B6:05:4B:1C:04:B4:F5:CA:4C:7A:DF:CB

Samozřejmě, certifikát se může změnit (např. kvůli již zmíněnému ověření), pak se změní i otisky ... to ale bude oznámeno, pokud na to nezapomenu.


Chyby a změny vyhrazeny!! :-) Osobně používám Thunderbirda a protokol IMAP, ostatní informace jsem sice napsal správně (si myslím) ale nevyzkoušel jsem to. Takže pokud narazíte na nejasnost, či chybu, tak mi napište. Buď emailem (adresa je pod článkem), nebo jabberem na ludvik@jabber.khnet.info.



Doplněk:
Tímto bude zabezpečen provoz mezi serverem a vámi, ale již nikoliv přenos emailu k adresátovi! Standardně jsou emaily tzv. "čistý text", takže pokud ho někdo někde odposlechne, nebo nabourá cílový server či schránku uživatele, normálně si ho přečte. Proti tomuto je obrana opět šifrování. Pracuje to na podobném principu certifikátů - ty se použijí buď k elektronickému podpisu (tj. příjemce emailu je schopný si ověřit, že to posíláte opravdu vy a že se email po cestě nezměnil) nebo také k šifrování - máte-li veřejnou část certifikátu adresáta. To je ale na další a hlavně delší povídání ...



23.4.2006
Vám, kdo nepoužíváte thunderbird pomůže tento soubor. Otevřete ho a naimportujte (instalujte). Potom už outlook nebude nadávat na nedůvěryhodnost certifikátu. Resp. na jakýkoliv námi vystavený certifikát - tímto budete "důvěřovat" autoritě "kix.khnet.info".
Zároveň jsem upravil webmail a administaci emailu. Odkazy na ně jsou ve tvaru https:// takže používají také šifrovaný přenos. Upozorňuji, že stále funguje i nešifrovaný tvar http://, tj. je jenom na vás, jaký styl budete používat.

Též upřesňuji: tento článek se týká pouze emailových schránek na našem serveru! Tj. pro adresy končící na @khnet.info. Všichni ostatní musí požadovat tyto informace po svém poskytovateli emailových služeb. Jediné, co můžou použít všichni je ta část o SMTP (odesílání pošty) - a to jenom zevnitř khnetu!