[LACNIC/Seguridad] SquirrelMail
Guillermo Pereyra Irujo
gpirujo en comtron.com.ar
Sab Mayo 13 00:32:50 BRT 2006
Hugo Pablo escribió:
> Tengo RH 7.3 con sendmail.
> Le instale Spamassassin y SquirrelMail
> Ya funciona todo.
> Pero tengo unas dudas.
> Tengo entendido que SquirrelMail usa el protocolo imap para
> manejar el correo.
> Mi duda es ¿ el protocolo imap es encriptado como el secure shell ?
> de no ser asi ¿ como puedo configurarlo para que sea encriptado ?
> Lo anterior es con la finalidad de que los login y passwords de
> los usuarios al consultar el correo no viajen como texto plano
Hola a todos. Soy Guillermo Pereyra Irujo, de Tandil, Argentina. Estoy
en la lista hace algún tiempo, pero esta es la primera vez que escribo.
Hugo:
La conexión entre el cliente y el servidor web es http, y para que la
información no viaje en plano tenés que usar http seguro. Punto. Si usás
apache como servidor web, tenés que agregarle el módulo mod_ssl.
La conexión entre el servidor web y el servidor imap, por lo que
entiendo, es local, así que no necesitás encriptarla. Si algún intruso
puede sniffear la interfaz de loopback, ya es root y tenés comprometido
mucho más que las cuentas de correo.
Si no es así, o si en algún momento separás el servidor web del imap,
creo que existe una versión del protocolo imap seguro, pero no sé si
estará soportada por tu servidor imap y o por el cliente de php. Lo que
siempre podés hacer es un túnel con ssh y entubar por él las conexiones
de imap común.
Guillermo
Más información sobre la lista de distribución Seguridad