Unter Red Hat Linux gibt es eine vielzahl von Mail-Programmen. Es gibt graphische E-Mail-Clients, mit Unmengen an Funktionalität, wie Mozilla Mail oder Ximian Evolution, als auch Text-basierte E-Mail-Programme, wie mutt und pine.
Für Anleitungen zur Verwendung dieser Applikationen, sehen Sie das Kapitel E-Mail-Applikationen im Red Hat Linux Handbuch Erster Schritte.
Der Rest dieses Abschnitts geht auf die Sicherheit bei der Kommunikation zwichen Client und Server ein.
Bekannte MUAs, die Teil von Red Hat Linux sind, wie z.B. Mozilla Mail, mutt, und pine, gewährleisten SSL-verschlüsselte E-Mail-Sitzungen.
Wie alle anderen Dienste, die unverschlüsselte und wichige E-Mail-Informationen wie z.B. Benutzernamen, Passwörter und vollständige Mitteilungen über das Netzwerk verschicken, können diese Informationen auch ohne besondere Kenntnisse über Server oder Clients abgefangen und eingesehen werden. Bei der Verwendung der Standardprotokolle POP und IMAP werden alle Informationen über die Authentifizierung im "Klartext" übermittelt. Angreifer, die diese Informationen abfangen, können sich dadurch Zugriff zu diesen Accounts verschaffen.
Die meisten E-Mail-Clients in Linux kontrollieren E-Mails auf Remote-Servern und unterstützen SSL zum Verschlüsseln von Mitteilungen, wenn sie über ein Netzwerk verschickt werden. Um SSL beim Abfragen von E-Mails verwenden zu können, muss es auf dem E-Mail-Client und dem Server allerdings aktiviert sein.
SSL ist auf einem Client einfach zu aktivieren. Oft klickt man dazu lediglich auf einen Button im Konfigurationsbereich der E-Mail-Clients. Sichere IMAP und POP haben bekannte Portnummern (993 bzw. 995), die der E-Mail-Client verwendet, um Mitteilungen zu authentifizieren und herunterzuladen.
Die Bereitstellung einer SSL-Verschlüsselung für IMAP und POP-Benutzer auf dem E-Mail-Servers ist recht einfach.
Zuerst müssen Sie ein SSL-Zertifikat erzeugen. Dies kann auf zwei verschiedene Weisen geschehen: Durch Anfordern eines SSL-Zertifikats bei der Certificate Authority (CA) oder durch Erzeugen eines eigensignierten Zertifikats.
![]() | Achtung |
---|---|
Eigensignierte Zertifikate sollten lediglich für Testzwecke verwendet werden. Jeder in einem Produktionsablauf verwendete Server sollte ein SSL-Zertifikat verwenden, das von der CA ausgestellt wurde. |
Um ein eigensigniertes Zertifikat für IMAP zu erstellen, wechseln Sie in das /usr/share/ssl/certs/-Verzeichnis, und geben den folgenden Befehl als root ein:
make imapd.pem |
Beantworten Sie alle Fragen um diesen Vorgang abzuschliessen.
Um ein eigensigniertes Zertifikat für POP zu erstellen, wechseln Sie in das /usr/share/ssl/certs/-Verzeichnis, und geben den folgenden Befehl als root ein:
make ipop3d.pem |
Auch hier beantworten Sie alle Fragen um diesen Vorgang abzuschliessen.
Nach Abschluss verwenden Sie den Befehl /sbin/service, um den entsprechenden Daemon (imaps oder pop3s) zu starten. Richten Sie als nächstes den imaps oder pop3s Service so ein, dass dieser in den richtigen Runlevels startet, wozu Sie ein Initscript-Utility, wie Services-Konfigurationstool (redhat-config-services) verwenden können. Sehen Sie Abschnitt 1.4.2 für weitere Information zu Initscript-Utilities.
Alternativ, können Sie auch den Befehl stunnel als SSL-Verschlüsselungs-Wrapper auf die imapd und pop3d Daemons anwenden.
Das stunnel-Programm verwendet externe OpenSSL-Biblitotheken, die in Red Hat Linux enthalten sind, für eine leistungsfähige Verschlüsselung und zum Schutz Ihrer Verbindungen. Sie können ein SSL-Zertifikat bei der CA beantragen oder ein eigensigniertes erstellen.
Um ein eigensigniertes Zertifikat zu erstellen, wechseln Sie in das Verzeichnis /usr/share/ssl/certs/ und geben den folgenden Befehl als root ein:
make stunnel.pem |
Auch hier beantworten Sie alle Fragen, um diesen Vorgang abzuschliessen.
Nachdem das Zertifikat generiert wurde, ist es möglich, den Befehl stunnel zu verwenden, um den imapd Mail-Daemon zu starten. Benutzen Sie dazu folgenden Befehl:
/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd |
Nach Ausführen dieses Befehls können Sie einen IMAP E-Mail-Client öffnen und mit Ihrem E-Mail-Server, der die SSL-Verschlüsselung verwendet, verbinden.
Um pop3d mit dem Befehl stunnel zu starten, geben Sie folgenden Befehl ein:
/usr/sbin/stunnel -d 993 -l /usr/sbin/pop3d pop3d |
Weitere Informationen zur Verwendung von stunnel können Sie in der stunnel man-Seite oder in den Dokumenten des /usr/share/doc/stunnel-<version-number>-Verzeichnisses nachlesen.
Zurück | Zum Anfang | Vor |
Mail Delivery Agents | Zum Kapitelanfang | Zusätzliche Informationsquellen |