Forum Linux.debian/ubuntu Les Webmails et la sécurité

Posté par arnepsilon le 21 juin 2006 à 14:04.

Étiquettes : aucune

juin

2006

Salut !

Après de nombreuses prises de têtes, j'ai enfin pu faire marcher un serveur de mail (Debian sarge, postfix, courier-imap) accessible via squirrelmail avec apache-ssl.

Avant d'utiliser squirrel avec apache-ssl, J'ai testé les différent moyen sécurisés proposé par squirrelmail-configure mais aucun ne marche. Je me suis donc contenté de mettre le login en plain text et d'utiliser apache-ssl.

Je me demandais donc si apache-ssl suffisait quand à la sécurité, ou faudrait-il que j'utilise le cram-md5 ou autre pour l'authentification sécurisé ?

Autre question bète ;)
Comme je veux accéder à mes mail uniquement via squirrel, pas besoin d'ouvrir les port imap pour l'exterieur, juste l'ouverture du port 25 est suffisant ?

Merci d'avance ;)

# Qu'est-ce que la sécurité ?

Posté par peck (site web personnel) le 21 juin 2006 à 14:16. Évalué à 3.

Demande toi d'abord ce que tu entends par sécurisé.

Le ssl permet 2 choses : que le client te fasse confiance et que la communication soit cryptée (et accessoirement on peut lui demander de faire confiance au client).
Le cram-md5 permet une seule chose : que le mot de passe ne transite pas en clair.

Note que dans le permier cas, le mot de passe ne transite pas en clair non plus.

Pour ce qui est de l'ouverture des ports tu n'ouvres que ce dont tu as besoin. 25 c'est pour recevoir des mails par smtp.
# les ports à ouvrir

Posté par Thomas D le 21 juin 2006 à 14:34. Évalué à 2.

Le port IMAP (143) peut en principe être fermé.
Il faut ouvrir les ports HTTP (80 pour le non-ssl, pour le ssl 443 ?), et ca suffit.
De toutes façons essaie tu verras bien si ca passe ou pas...
- [^] # Re: les ports à ouvrir
  
  Posté par arnepsilon le 21 juin 2006 à 20:26. Évalué à 1.
  
  Yes, les réponse me satisfont tout à fait, c'est ce à quoi je m'attendait,
  
  Donc mon apache pour le site web perso et l'apache-ssl pour le webmail (un root directory différent pour chacun), le mot de passe ne transite pas en clair, j'imagine que les données qui transitent aussi (pièces jointes, compositions de messages etc...).
  
  J'ai bon ?
  
  ce dont je suis sûr : Je laisse le port 25 ouvert (sinon je ne reçoit rien en effet :p ) puis rien d'ouvert en imap car tout ce fait en local via squirrelmail.
  
  Merci pour vos réponse ;)
  - [^] # Re: les ports à ouvrir
    
    Posté par Raphaël G. (site web personnel) le 22 juin 2006 à 12:06. Évalué à 2.
    
    Exactement, enfin pense a pas pourrir la vie des utilisateurs, tu peux ouvrir le port de imaps (993 ou un du style), ça permettra aux user d'utiliser un client courrier...
    
    Ps : fait gaffe squirrelmail est pas compatible php5 et relativement codé "porqui" (avis perso), donc les upgrades de version pense a ajouter ça au point a vérifier...
    
    de plus le paquet debian a quelque soucis de locale, donc met en dur dans la conf de squirrelmail le fr par défaut
    
    Dernier point, la communication entre postfix, courrier-imap et ton webmail doivent être fait en CLAIR si tu utilise des mot de passe cryptés !!!
    (si c'est une machine locale avec les trois dessus y a aucun danger, si tu te fait pas hacker la machine bien sur...)
    - [^] # Re: les ports à ouvrir
      
      Posté par arnepsilon le 22 juin 2006 à 12:28. Évalué à 0.
      
      Ok, ne 'tinqiète pas pour mes utilisateur, à défaut d'apprendre à l'école, j'apprend chez moi donc aucun soucis je n'ai pas d'utilisateurs à gérer ! (si ce n'est le plus fou : root).
      
      Ok postfix, courier et squirrel sont sur la même machine donc cela va de soit que je n'ai rien à crypter de ce coté là.
      
      Pour les locales, je n'ai pas eu de pb encore et vue que squirrel est simple, je croise les doigt pour que cela reste comme ça.
      
      Pour ce qui est du php 5, je suis sur sarge donc c'est à espérer qu'ils ne feront pas de mise à jour sans vérifier les compatibilié non ?
      
      Merci !
    - [^] # Re: les ports à ouvrir
      
      Posté par arnepsilon le 22 juin 2006 à 14:21. Évalué à 1.
      
      Ok, ne 'tinqiète pas pour mes utilisateur, à défaut d'apprendre à l'école, j'apprend chez moi donc aucun soucis je n'ai pas d'utilisateurs à gérer ! (si ce n'est le plus fou : root).
      
      Ok postfix, courier et squirrel sont sur la même machine donc cela va de soit que je n'ai rien à crypter de ce coté là.
      
      Pour les locales, je n'ai pas eu de pb encore et vue que squirrel est simple, je croise les doigt pour que cela reste comme ça.
      
      Pour ce qui est du php 5, je suis sur sarge donc c'est à espérer qu'ils ne feront pas de mise à jour sans vérifier les compatibilié non ?
      
      Merci !
      - [^] # Re: les ports à ouvrir
        
        Posté par arnepsilon le 22 juin 2006 à 14:24. Évalué à 0.
        
        Oups, désolé pour le doublon :-s
        
        [^] # Re: les ports à ouvrir
        
        Posté par Raphaël G. (site web personnel) le 24 juin 2006 à 12:04. Évalué à 2.
        
        Aucun risque de mise a jour, surtout chez debian, je te le dis juste pour le cas où
        
        Mandriva par exemple utilise php5 par défaut, et php4 & php5 ne peuvent cohabiter sur la même machine en tant que module apache :'(
        (sauf en faisant des bidouilles monstre que j'ai faite, mais il faut faire une croix sur les modules php pour l'une des deux version de php)
        
        [^] # Re: les ports à ouvrir
        
        Posté par arnepsilon le 26 juin 2006 à 16:17. Évalué à 1.
        
        C'est vrai, on connait la réput de sarge: les progs datent du siècle dernier mais au moins ils sont fiables :p

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.