11.5. Agentes de usuario de correo
Hay muchos programas de correo disponibles bajo Red Hat Linux. Hay programas gráficos de clientes de correo con características completas, tales como Mozilla Mail o Ximian Evolution, así como también programas basados en texto, tales como mutt y pine.
Para más instrucciones sobre el uso de estas aplicaciones, consulte el capítulo llamado Aplicaciones de correo en el Manual del principiante de Red Hat Linux.
El resto de esta sección se enfoca en asegurar la comunicación entre el cliente y el servidor.
11.5.1. Comunicación segura
Los MUAs populares incluídos con Red Hat Linux, tales como Mozilla Mail, mutt y pine, ofrecen sesiones encriptadas con SSL.
Al igual que otros servicios existentes en una red no cifrada, la información de correo electrónico importante, como nombres de usuario, contraseñas y mensajes, se puede interceptar y ver sin que tenga conocimiento el servidor o el cliente de correo. Al usar los protocolos estándar POP e IMAP, toda la información de autenticación se envía "limpiamente", sin encriptar, por lo que es posible para un intruso ganar acceso a las cuentas de usuarios reuniendo los nombres de los usuarios y sus contraseñas cuando estos son transmitidos sobre la red.
11.5.1.1. Clientes de correo electrónico seguros
Afortunadamente, la mayoría de los agentes MUA de Linux están diseñados para comprobar el correo mediante SSL. Para usar SSL al recuperar el correo, se debe activar esta opción en el cliente y en el servidor de correo.
SSL se activa muy fácilmente en el cliente, normalmente basta con pulsar un botón en el área de configuración del agente MUA o mediante una opción en el archivo de configuración del MUA. Los protocolos IMAP y POP seguros tienen números de puerto conocidos (993 y 995, respectivamente) que MUA utiliza para autenticar y descargar los mensajes.
11.5.1.2. Asegurar las comunicaciones de cliente de correo
Ofrecer cifrado SSL a los usuarios de IMAP y POP del servidor de correo es muy sencillo.
Primero, cree un certificado SSL. Esto se puede hacer de dos formas: solicitando a una Certificate Authority (CA) por un certificado SSL o mediante la creación de un certificado auto-firmado.
 | Atención |
|---|---|
Los certificados auto-firmados solamente deberían ser usados para propósitos de prueba. Cualquier servidor usado en un ambiente de producción debería usar un certificado SSL emitido por una CA. |
Para crear un certificado SSL con firma propia para IMAP, cambie al directorio /usr/share/ssl/certs/ y escriba el comando siguiente como root:
make imapd.pem |
Conteste todas las preguntas para completar el proceso.
Para crear un certificado SSL con firma propia para POP, cambie al directorio /usr/share/ssl/certs/, y escriba el comando siguiente como usuario root:
make ipop3d.pem |
Una vez más, conteste todas las preguntas para completar el proceso.
Una vez terminado, use el comando /sbin/service para iniciar el demonio apropiado (imaps o pop3s). Luego, configure el servicio imaps o pop3s para que arranquen en los niveles de ejecución apropiados usando una utilidad initscript, tal como la Herramienta de configuración de servicios (redhat-config-services). Refiérase a Sección 1.4.2 para más información sobre las utilidades initscript.
Alternativamente, el comando stunnel puede ser usado como una envoltura de criptación SSL con el estándar, para los demonios no seguros, imapd o pop3d.
El programa stunnel utiliza librerías OpenSSL externas incluídas con Red Hat Linux para proporcionar criptografía robusta y proteger las conexiones. Es mejor solicitar a una Certificate Authority (CA) por un certificado SSL, pero es posible crear un certificado auto-firmado.
Para crear un certificado SSL auto-firmado, cámbiese al directorio /usr/share/ssl/certs/ y escriba el comando siguiente:
make stunnel.pem |
Una vez más, conteste todas las preguntas para completar el proceso.
Una vez que el certificado es generado, es posible usar el comando stunnel para iniciar el demonio de correo imapd usando el comando siguiente:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Una vez que este comando es emitido, es posible abrir un cliente de correo IMAP y conectarse al servidor de correo usando una encriptación SSL.
Para arrancar pop3d usando el comando stunnel, escriba el comando siguiente:
/usr/sbin/stunnel -d 993 -l /usr/sbin/pop3d pop3d |
Para más información sobre el uso de stunnel, lea la página man stunnel o refiérase a los documentos en el directorio /usr/share/doc/stunnel-<version-number>/.