Discussion :

[Agrumes]

Bonjour à tous,

J'ai un problème pour sécuriser mon serveur pop. J'utilise stunnel pour mettre en place une connection sécuriser sur le port 995 (pop3s).
J'ai configuré stunnel pour qu'il accept les connections venant du port 995 et qu'il les renvoient sur le port 110 du serveur pop. D'après ce que j'ai compris c'est stunel qui se charge du handshake et du chiffrement.

Alors du coup j'install tout, et je test depuis un thunderbird à me connecter au serveur pop (fonctionnel sur le port 110) au moyen de la connection sécurisé sur e port 995 en cochant le radio "SSL" et la checkbox "use secure authentication" (dans l'interface thunderbird)

Et là quand je demande à récupérer les mails, il me dit :
"You cannot connect to 192.168.0.5 because SSL is disabled"

192.168.0.5 étant l'adresse du serveur pop

le serveur tourne sur une FreeBSD 6.0, je ne vois pas ce que j'ai oublié. Si vous pouvez m'éclairer sur le sujet, ce serait sympa.

Rgds

[Agrumes]

Alors apparement c'est avec thunderbird qu'il y a des soucis.

En effet, lorsque je me connecte à mon serveur pop en ligne de commande avec openssl, tout fonctionne très bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
15:23 (02-Jun) machine1.mail.com ~ slamb>openssl s_client -connect 192.168.0.3:995
CONNECTED(00000003)
depth=0 /C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
verify return:1
---
Certificate chain
 0 s:/C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
   i:/C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
---
Server certificate
-----BEGIN CERTIFICATE-----
MIICLzCCAZigAwIBAgIJAL1bIJqknmWSMA0GCSqGSIb3DQEBBAUAME4xCzAJBgNV
(...)
V5I+HAc2U+aCBqfx3UpwgOuJX0IRaM/P8EmHpK5BuDlvAA4=
-----END CERTIFICATE-----
subject=/C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
issuer=/C=FR/ST=NORD/L=Lille/O=MOI/CN=mail
---
No client certificate CA names sent
---
SSL handshake has read 725 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: B8F4B157652FDCE718814E80DD3D4F47C8B22EDE34552D7D0068C7FDE9EA6226
    Session-ID-ctx: 
    Master-Key: 92A1BB27FDF6E75EB3403451B500521DFFE067A957E485F1E9D2DF1051BB89CE3A46B608279484CF0E7FAAD0816B05D8
    Key-Arg   : None
    Start Time: 1149254643
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+OK Serveur pop ready!
USER slamb
+OK slamb selected
PASS monmdp
+OK Congratulations!

Je ne m'y connais pas trop en communication SSL, mais ça me parait en ordre, puisque je peux me connecter et voir mes mails. Et apparement le handshake se fait bien.

Alors mon problème devient un peu plus clair (en tous cas pour moi). Si vous avez des idées, remarques ou témoignage sur le fonctionnement de Thunderbird pour une connection sécurisé.
Je vous remercie par avance de poster, pour nous en faire part.

[Agrumes]

Re bonjour à tous,

voici le troisième volet de toto cherche à sécuriser son serveur pop!!!!

alors désormais, je peux me connecter depuis thunderbird, sauf que pour cela, je ne dois pas cocher la case "use secure authentification"!

Alors vous me direz, tout vas bien, il va arréter de nous casser les carambar
Eh bien non, je suis un eternel insatisfait. Maintenant je me pose la question de savoir si le handshake avec le tunnel ssl pour se connecter suffit à protéger le mot de passe de mes utilisateurs. Je suis pas un hacker spécialiste, mais quand je sniff le réseau les mots de passe ne passent plus en clair.

Ca peut être suffisant, sauf que j'aurais voulu que les utilisateurs puissent cliquer sur "use secure authentification"

En fait j'aimerais surtout savoir comment permettre ce click et savoir en quoi il influe, et quels protocols il utilise. Il me semble qu'il faut modifier le serveur pop, mais comment.... c'est la grande question

Voila, j'espere que vous vous êtes amusé en lisant mes lignes et que vous avez appris des choses, maintenant j'aimerais un retour si cela est possible

Best regards