|
ATTENTION : PLUSIEURS PARTIES DE CETTE DOC SONT OBSOLETES, consulter le wiki pour obtenir les paramètres de connexion à utiliser. |
Ce document décrit la façon de procéder pour consulter ses mails de manière sécurisée
Stunnel est un programme qui permet de crypter les connexions TCP entre une machine et une autre en utilisant le cryptage SSL (Secure Socket Layer). La manière donc ces deux programmes sont utilisés sur zamok est décrite dans un autre document.
Lorsqu'une connexion est initiée en SSL, le client vérifie que la machine à laquelle il se connecte utilise un certificat valide. Entre autres vérifications, le client s'assure que l'adresse de la machine distante correspond bien à l'adresse pour laquelle a été délivré le certificat, il regarde également la date de validité. En cas de non concordance, l'utilisateur est averti et la poursuite de la connexion ne se fait que si celui-ci a accepté d'utiliser un certificat qui n'est pas 100% valide.
La première fois que l'utilisateur se connecte de manière sécurisée,
on distingue deux cas :
- le certificat utilisé par la machine distante est signé par
un organisme dans lequel l'utilisateur a confiance. La connexion peut se poursuivre.
- le certificat utilisé par la machine distante n'est pas signé
ou est signé par un organisme dans lequel l'utilisateur n'a pas confiance
(ce qui peut-être le cas lorsque le certificat est autosigné).
La poursuite de la connexion est alors soumise à l'approbation de l'utilisateur
et il en sera ainsi à chaque nouvelle connexion, à moins que
ce dernier ne déclare ce certificat comme valide et qu'il l'installe
sur sa machine. C'est ce que nous verrons dans la seconde partie de ce document.
Nous allons voir ici quels sont les différents réglages à effectuer pour pouvoir utiliser le cryptage SSL avec Outlook express.
Pourquoi est-ce intéressant et fortement conseillé ?
Lorsque l'on consulte son mail, il est nécessaire que le client envoie deux informations : le login, ainsi que le mot de passe. Si cette connexion s'effectue de manière non cryptée, le mot de passe circule en clair et un risque existe pour qu'il soit intercepté par un utilisateur malveillant qui pourrait alors s'en servir et compromettre la sécurité du serveur. C'est pour cette raison que les connexions POP3 et IMAP (les deux protocoles pour consulter son mail) ne peuvent se faire QUE de manière sécurisée depuis l'extérieur du réseau CRANS, et que l'on conseille fortement aux membres du CRANS d'utiliser un protocole sécurisé.
Concrètement, voici les paramètres à utiliser :
|
|
|
|
| POP3S | ptt.crans.org | 995 |
| IMAPS | ptt.crans.org | 993 |
| SMTPS | ptt.crans.org | 465 |
Vous pouvez également consulter les copies d'écran relatives à la configuration d'Outlook express pour consulter ces mails en utilisant le cryptage SSL : noms des serveurs, et ports/options à utiliser.
note importante : pour ne pas avoir à chaque connexion un message de Outlook Express signalant que le certificat n'est pas signé par un organisme de confiance, il est nécessaire d'installer le certificat de ptt.crans.org sur sa machine. Celui peut-être téléchargé ici. Il faut le sauvegarder localement sur votre machine et double cliquer dessus : une fenêtre détaillant les propriétés de ce certificat apparaît alors ; il faut cliquer sur "installer le certificat" et poursuivre l'installation en suivant les indications et les options par défaut proposées par Windows. Dès lors, les connexions à ptt.crans.org en utilisant ce certificat seront considérées comme sûres. ATTENTION : il faut bien préciser 'ptt.crans.org' dans les options de outlook, et non 'ptt' ou 'zamok' ou que sais-je encore.
Il n'y a pas grand chose à faire de plus que sous Outlook express. Nous allons détailler ces réglages pour Netscape 6.x, car avec les versions antérieures, ces fonctionnalités ne sont pas supportées.
Dans les 'paramètres de compte de messagerie/forums', onglet 'paramètres du serveur', il faut cocher 'Utiliser une connexion sécurisée (SSL)'. Voilà, c'est tout, il n'y a rien de plus à faire... Par la suite, à la première connexion, Netscape va signaler qu'il y a eu une erreur à la lecture du certificat. Il faut ignorer cette erreur et cliquer sur le bouton 'installer' : Netscape fera donc confiance à ce certificat à l'avenir.
Si toutes ces options ne vous plaisent pas, ou que votre client n'est ni
Netscape 6.x , ni Outlook express et qu'il n'a pas d'options pour consulter
son mail en SSL, il est toujours possible d'installer stunnel sur sa machine.
Alors vous vous rendez sur la page de Stunnel
dans la section téléchargement de binaires. Il vous faut stunnel.exe
(de préférence la dernière version, évidemment),
libssl32.dll et libeay32.dll. Vous mettez tout dans un répertoire,
disons C:\Program Files\stunnel. Placez-vous en ligne de commande dans ce
répertoire et lancez la commande
stunnel.exe -c -d localhost:110 -r ptt.crans.org:995
Dès lors, vous devriez avoir une connexion SSL ouverte entre votre
machine et zamok. Testez la fonctionnalité de la manip en utilisant les
paramètres suivants dans votre logiciel de mail :
- serveur : localhost
- port : 110
- cryptage SSL : non
Si vous arrivez à récupérer votre mail de cette manière,
on peut passer à l'étape suivante.
Comme on l'a vu, la connexion sécurisée repose sur stunnel. Il est donc nécessaire de le lancer au démarrage. Il y a plusieurs possibilités :
- On peut créer un raccourci avec la cible suivante :C:\Program Files\stunnel\stunnel.exe -c -d localhost:110 -r ptt.crans.org:995
Mais il faut quand même avouer que c'est goret comme solution car on a toujours une fenêtre ouverte avec stunnel en train de s'exécuter. D'ou l'intérêt de la seconde solution : installer stunnel en service (ce qui nécessite d'avoir windows NT/2k/XP). Mais je ne vais pas tout détailler sur la création d'un service. Sachez juste que c'est très facile en utilisant le petit utilitaire firedeamon librement téléchargeable.
top |
documents |
home |
dernière modif le 17.03.02 par Nico. |
