<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.3790.2666" name=GENERATOR></HEAD>
<BODY><!-- Converted from text/plain format -->
<P><FONT face=Verdana size=2>Estimado Hugo Pablo:</FONT></P>
<P><FONT face=Verdana size=2>Squirrelmail es un cliente webbbb, y como veras tu
lees tu correo, utilizando el protocolo http y te autentificas localmente al
servidor ya sea con imap4 o pop3,(lamentablemente estos protocolos
no manejan encriptacion de datos, y puedes averiguarlo tu mismo
ejecutando tcpwarpers o ethereal o cualquier otro sniffer, en tu maquina
localmente, y veras que la información u autentificación es totalmente en texto
plano lo mismo sucede con el pop3 e imap4), pero si pones mas atención en
el tema, y me disculparas si soy un paranoico en la seguridad, para tu
caso es mejor encriptar la información en el protocolo http y luego el
imap4 o pop3, ahora estos 2 ultimos protocolos corren localmente en
el servidor de correo, no significa que asi tal como son, debieran
estar seguros por que corren localmente, pero sinceramente, la verdad es que
estan totalmente abiertos al husmeo por que la informacion es clear text, creo
que al menos en la informatica no se puede subestimar los
escenarios.</FONT></P>
<P><FONT face=Verdana size=2>Bueno solucion al problema es que deberias aplicar
los estandares mas conocidos en el medio, aplicar el SSL, todo depende del
servidor que corres en el http y en imap4 y pop3. Para todo esto aplicar
http-ssl, imap4-ssl o pop3-ssl, ya que puedes utilizar el mismo CA y certificado
raiz en todos estos protocolos.... Solo basta saber como generarlo con open-ssl,
googlea como implementar ssl para http, imap4 o pop3</FONT></P>
<P><FONT face=Verdana size=2>Es cierto Squirrelmail, maneja el protocolo imap,
pero tambien pop3 y otros mas, pero si te das cuentas estos protocolos se
les puede dar un grado de seguridad gracias a que se puede complementar con SSL,
como te explico lineas arriba y squirrelmail es abierto a aceptar
autenticación bajo protocolo imap4-SSL con el puerto 993 y pop3-SSL
con el puerto 995, para que no envias las contraseñas en texto plano,
tambien debes de asegurarar el SMTP (para envio), aplicando muchas estándares
como SMTP-AUTH+SSL/TSL.</FONT></P>
<P><FONT face=Verdana size=2>la configuracion en el squirrelmail para
estos protocolos, puedes configurarlo con el script en Perl, en esta ruta
default con RedHat</FONT></P>
<P><FONT face=Verdana color=#0000ff
size=2> /usr/share/squirrelmail/config/conf.pl<BR></FONT><FONT face=Verdana
size=2></FONT></P>
<P><FONT face=Verdana size=2>Si tienes entendido de como funciona el SSH, es
casi análogo a como debe trabajar el IMAP4-SSL, siempre hay un certificado
de por medio. Asi que te recominedo utilices SSL en cuaquiera de estos
protocolos, tambien puedes hacer tu husmeo aplicando imap4-SSL o pop3-SSL,
veras que la autentificacion es totalmente cifrada y no muestra nada
entendible... Esto si lo trabajas desde un cliente tipo outlook.</FONT></P>
<P><FONT face=Verdana size=2></FONT> </P>
<P><FONT face=Verdana size=2>Espero te haya al menos orientado en el
tema....</FONT></P>
<P><FONT size=2><FONT
face=Verdana>-----------------------------------------------------------<BR> Anatoly
Alexei Pedemonte Ku<BR> RAGE SYSTEMS S.A.C.<BR> </FONT><A
href="http://www.ragesys.net"><FONT
face=Verdana>http://www.ragesys.net</FONT></A><BR><FONT face=Verdana> Av.
Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA<BR> LIMA -
PERU<BR> Teléfono: 511.7962262<BR> Móvil:
511.97167435<BR>-----------------------------------------------------------<BR>Este
correo y su contenido son confidenciales y exclusivos para su destinatario. Si
usted recibe este mensaje por error o no es el destinatario del mismo, por favor
sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y
reflexiones expresadas en esta comunicación corresponden al originador del
correo y NO representa la posición oficial de su
empleador.<BR>--------------------------------------------------------------------------------------------------------------------------------------<BR>This
email is intended only for the addressee(s) and contains information which may
be confidential, legally privileged. If you are not intended recipient please do
not save, forward, disclose or copy the content of this email. Please delete it
completely from your system and notify originator.Finally, all ideas expressed
in this communication are personal comments and NOT represent official position
of his
employer.<BR>--------------------------------------------------------------------------------------------------------------------------------------<BR><BR>-----BEGIN
PGP PUBLIC KEY BLOCK-----<BR>Version: GnuPG v1.4.3
(MingW32)<BR><BR>mQGiBERIkeQRBAClI9GKvK4sDfnnXiZPZAu1LxTNd8dT+F2SG3R38LbCPzqKE7vh<BR>GpIv73VkjoSaRPdeB3LXWwA6aKEQU+IZESB78EaQomSfNYCxDshc7DoqgYX9F6cJ<BR>chlB2bhC8FP1l3wUMudTIyPyKjg84DkSDSnwn7xjAe7cvKyZ+ro0/7FRTwCg/7dQ<BR>Q9Bmb/bx7nUgb0ciWRbQSEcEAIUXDt8uTbIdq+dH5ufMFFV+KwobpXA8wA6J0vkv<BR>BI9mdh+7IaQ6W9Tb3v78QMC2C9EbTQUJueCNZ/e7BT1VraTzZhbxR8WXyL1F9a5Y<BR>TEdU//d33Wx1RG3WPIFvWkAy/AgOaxMpJ4ObvEVEyVevDn0J5PtVjflpO3yeCVns<BR>iLSwBACJegqLf9fp3Rz57rQaDwtnDMUd54T6ZdWpxHnz3x1lPqcN1BC8zZcxOpMh<BR>PgvzbH6jjaC2T4LMppqFDVq2xA9+UJINmen5S92HzNvyvq6VmaWwO1QCKWApQes+<BR>NFOIU+/pPFsSHLJxl2h0lu0MW2hwYbno+MwirmHgBGoAs8H0gbRIQW5hdG9seSBB<BR>LiBQZWRlbW9udGUgS3UgKEZpcm1hIERpZ2l0YWwgZGUgQW5hdG9seSkgPGFuYXRv<BR>bHlAcmFnZXN5cy5uZXQ+iGAEExECACAFAkRIkeQCGwMGCwkIBwMCBBUCCAMEFgID<BR>AQIeAQIXgAAKCRBnMNxOlTPvNcsBAKCLyLwBbsoZwQFuUWifS1Qv+158iACguCAl<BR>ApL0XCJJsxwaDcJC0YKbzV+5Ag0EREiR6RAIAJMJSK3nF7/GOZPK+xu7nt2OpbtD<BR>sE+g5wS8Nz9rEEsTbDRqmLZ9neS6OODGj6abGFy6dUtR7LcJtCXufCr+dEsGA4O0<BR>iSY/8k1bjWqoNqxHcTYbdhjy/SxYQOIrurTSsmlludhVn0XlpXN87jd9HtWi/Lg4<BR>TZhp0CRqG7IfY8BGySUbqAWB63x8jMXTzJRoorJx/HxbDRvDAayJcZ+LV3l6dF0f<BR>68km3TebPYf9Cca6cEQvn96gflcijneTbeKPU2JVClYBHtlnlJgFZjNsdSmsl3qb<BR>m20BRWIyTux/Om7YBEZlGA6JonYQxmbK+LEnLvyTHUgohtYWEP5ED8qv1ncAAwUH<BR>/0kpGlCvzHh1B1CH3Uc/AeUoXihvZM2D0TA887PyFSNAgkZBYyriRt8I7rTuVk4m<BR>XvphOLJvSqoYUX+9kLP0oDWVzBGfKmvFWaoXVjOeP3D/o4r6YxZTVM6NdvSgS+gd<BR>5U45Zg3f2offihvcNFyENjsFyYm2J8iTQb/YZqfb0fOrQNqp2I5HLsQO5rsyaok8<BR>xZfwjjZO1mXvCtPvwNs5KoAzvrCElUXNjG0rigXL9/M4Ewjq3mVcL3K5mlOEg2Rj<BR>qd6HfatZ6Fd00iGt751dHM45OO8+FTF6MD4DFR0+N25fS5PsYqM8Cc87yDdt/6G9<BR>vLyvkPfmperuFuuWvQuR/mCISQQYEQIACQUCREiR6QIbDAAKCRBnMNxOlTPvNRvm<BR>AKDCEGmCqWCdH+f4ZYal1bAXaNF2MwCdFiGKKQq3bxkF1iIlvlbzUs5GKTY=<BR>=e5cb<BR>-----END
PGP PUBLIC KEY BLOCK-----<BR><BR><BR>-----Mensaje original-----<BR>De:
seguridad-bounces@lacnic.net [</FONT><A
href="mailto:seguridad-bounces@lacnic.net"><FONT
face=Verdana>mailto:seguridad-bounces@lacnic.net</FONT></A><FONT face=Verdana>]
En nombre de Hugo Pablo<BR>Enviado el: Viernes, 12 de Mayo de 2006 08:44
p.m.<BR>Para: seguridad@lacnic.net<BR>Asunto: [LACNIC/Seguridad]
SquirrelMail<BR><BR>¡ Hola Lista !<BR><BR> Tengo RH 7.3 con
sendmail.<BR> Le instale Spamassassin y
SquirrelMail<BR> Ya funciona todo.<BR>
Pero tengo unas dudas.<BR> Tengo entendido que
SquirrelMail usa el protocolo imap para manejar el
correo.<BR> Mi duda es ¿ el protocolo imap es encriptado
como el secure shell ?<BR> de no ser asi ¿ como puedo
configurarlo para que sea encriptado ?<BR> Lo
anterior es con la finalidad de que los login y passwords de los usuarios al
consultar el correo no viajen como texto plano<BR><BR>¡ Gracias
!<BR><BR>HPL<BR>_______________________________________________<BR>Seguridad
mailing list<BR>Seguridad@lacnic.net<BR></FONT><A
href="http://lacnic.net/mailman/listinfo/seguridad"><FONT
face=Verdana>http://lacnic.net/mailman/listinfo/seguridad</FONT></A></FONT><FONT
face=Verdana> </FONT></P></BODY></HTML>