<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.3790.2666" name=GENERATOR></HEAD>
<BODY><!-- Converted from text/plain format -->
<P><FONT face=Verdana size=2>Estimado Hugo Pablo:</FONT></P>
<P><FONT face=Verdana size=2>Squirrelmail es un cliente webbbb, y como veras tu 
lees tu correo, utilizando el protocolo http y te autentificas localmente al 
servidor ya sea  con imap4 o pop3,(lamentablemente estos protocolos 
no manejan encriptacion de datos, y puedes averiguarlo tu mismo 
ejecutando tcpwarpers o ethereal o cualquier otro sniffer, en tu maquina 
localmente, y veras que la información u autentificación es totalmente en texto 
plano lo mismo sucede con el pop3 e imap4), pero si pones mas atención en 
el tema, y me disculparas si soy un paranoico en la seguridad, para tu 
caso es mejor encriptar la información en el protocolo http y luego el 
imap4 o pop3, ahora  estos 2 ultimos protocolos corren localmente en 
el servidor de correo, no significa que asi tal como son, debieran 
estar seguros por que corren localmente, pero sinceramente, la verdad es que 
estan totalmente abiertos al husmeo por que la informacion es clear text, creo 
que al menos en la informatica no se puede subestimar los 
escenarios.</FONT></P>
<P><FONT face=Verdana size=2>Bueno solucion al problema es que deberias aplicar 
los estandares mas conocidos en el medio, aplicar el SSL, todo depende del 
servidor que corres en el http y en imap4 y pop3. Para todo esto aplicar 
http-ssl, imap4-ssl o pop3-ssl, ya que puedes utilizar el mismo CA y certificado 
raiz en todos estos protocolos.... Solo basta saber como generarlo con open-ssl, 
googlea como implementar ssl para http, imap4 o pop3</FONT></P>
<P><FONT face=Verdana size=2>Es cierto Squirrelmail, maneja el protocolo imap, 
pero tambien pop3 y otros mas,  pero si te das cuentas estos protocolos se 
les puede dar un grado de seguridad gracias a que se puede complementar con SSL, 
como te explico lineas arriba y squirrelmail es abierto a aceptar 
autenticación bajo protocolo imap4-SSL con el puerto 993  y pop3-SSL 
con el puerto 995, para que no envias  las contraseñas en texto plano, 
tambien debes de asegurarar el SMTP (para envio), aplicando muchas estándares 
como SMTP-AUTH+SSL/TSL.</FONT></P>
<P><FONT face=Verdana size=2>la configuracion en el squirrelmail para  
estos protocolos, puedes configurarlo con el script en Perl, en esta  ruta 
default con RedHat</FONT></P>
<P><FONT face=Verdana color=#0000ff 
size=2> /usr/share/squirrelmail/config/conf.pl<BR></FONT><FONT face=Verdana 
size=2></FONT></P>
<P><FONT face=Verdana size=2>Si tienes entendido de como funciona el SSH, es 
casi análogo a como debe trabajar  el IMAP4-SSL, siempre hay un certificado 
de por medio. Asi que te recominedo utilices  SSL en cuaquiera de estos 
protocolos, tambien puedes  hacer tu husmeo aplicando imap4-SSL o pop3-SSL, 
veras que la autentificacion es totalmente  cifrada y no muestra nada  
entendible... Esto si lo trabajas desde un cliente tipo outlook.</FONT></P>
<P><FONT face=Verdana size=2></FONT> </P>
<P><FONT face=Verdana size=2>Espero te haya al menos orientado en el 
tema....</FONT></P>
<P><FONT size=2><FONT 
face=Verdana>-----------------------------------------------------------<BR> Anatoly 
Alexei Pedemonte Ku<BR> RAGE SYSTEMS S.A.C.<BR> </FONT><A 
href="http://www.ragesys.net"><FONT 
face=Verdana>http://www.ragesys.net</FONT></A><BR><FONT face=Verdana> Av. 
Juan Pascal Pringles 1225 (ex- La Fontana) - LA MOLINA<BR> LIMA - 
PERU<BR> Teléfono: 511.7962262<BR> Móvil: 
511.97167435<BR>-----------------------------------------------------------<BR>Este 
correo y su contenido son confidenciales y exclusivos para su destinatario. Si 
usted recibe este mensaje por error o no es el destinatario del mismo, por favor 
sírvase eliminarlo y notificarle a su originador. Así mismo, todas las ideas y 
reflexiones expresadas en esta comunicación corresponden al originador del 
correo y NO representa la posición oficial de su 
empleador.<BR>--------------------------------------------------------------------------------------------------------------------------------------<BR>This 
email is intended only for the addressee(s) and contains information which may 
be confidential, legally privileged. If you are not intended recipient please do 
not save, forward, disclose or copy the content of this email. Please delete it 
completely from your system and notify originator.Finally, all ideas expressed 
in this communication are personal comments and NOT represent official position 
of his 
employer.<BR>--------------------------------------------------------------------------------------------------------------------------------------<BR><BR>-----BEGIN 
PGP PUBLIC KEY BLOCK-----<BR>Version: GnuPG v1.4.3 
(MingW32)<BR><BR>mQGiBERIkeQRBAClI9GKvK4sDfnnXiZPZAu1LxTNd8dT+F2SG3R38LbCPzqKE7vh<BR>GpIv73VkjoSaRPdeB3LXWwA6aKEQU+IZESB78EaQomSfNYCxDshc7DoqgYX9F6cJ<BR>chlB2bhC8FP1l3wUMudTIyPyKjg84DkSDSnwn7xjAe7cvKyZ+ro0/7FRTwCg/7dQ<BR>Q9Bmb/bx7nUgb0ciWRbQSEcEAIUXDt8uTbIdq+dH5ufMFFV+KwobpXA8wA6J0vkv<BR>BI9mdh+7IaQ6W9Tb3v78QMC2C9EbTQUJueCNZ/e7BT1VraTzZhbxR8WXyL1F9a5Y<BR>TEdU//d33Wx1RG3WPIFvWkAy/AgOaxMpJ4ObvEVEyVevDn0J5PtVjflpO3yeCVns<BR>iLSwBACJegqLf9fp3Rz57rQaDwtnDMUd54T6ZdWpxHnz3x1lPqcN1BC8zZcxOpMh<BR>PgvzbH6jjaC2T4LMppqFDVq2xA9+UJINmen5S92HzNvyvq6VmaWwO1QCKWApQes+<BR>NFOIU+/pPFsSHLJxl2h0lu0MW2hwYbno+MwirmHgBGoAs8H0gbRIQW5hdG9seSBB<BR>LiBQZWRlbW9udGUgS3UgKEZpcm1hIERpZ2l0YWwgZGUgQW5hdG9seSkgPGFuYXRv<BR>bHlAcmFnZXN5cy5uZXQ+iGAEExECACAFAkRIkeQCGwMGCwkIBwMCBBUCCAMEFgID<BR>AQIeAQIXgAAKCRBnMNxOlTPvNcsBAKCLyLwBbsoZwQFuUWifS1Qv+158iACguCAl<BR>ApL0XCJJsxwaDcJC0YKbzV+5Ag0EREiR6RAIAJMJSK3nF7/GOZPK+xu7nt2OpbtD<BR>sE+g5wS8Nz9rEEsTbDRqmLZ9neS6OODGj6abGFy6dUtR7LcJtCXufCr+dEsGA4O0<BR>iSY/8k1bjWqoNqxHcTYbdhjy/SxYQOIrurTSsmlludhVn0XlpXN87jd9HtWi/Lg4<BR>TZhp0CRqG7IfY8BGySUbqAWB63x8jMXTzJRoorJx/HxbDRvDAayJcZ+LV3l6dF0f<BR>68km3TebPYf9Cca6cEQvn96gflcijneTbeKPU2JVClYBHtlnlJgFZjNsdSmsl3qb<BR>m20BRWIyTux/Om7YBEZlGA6JonYQxmbK+LEnLvyTHUgohtYWEP5ED8qv1ncAAwUH<BR>/0kpGlCvzHh1B1CH3Uc/AeUoXihvZM2D0TA887PyFSNAgkZBYyriRt8I7rTuVk4m<BR>XvphOLJvSqoYUX+9kLP0oDWVzBGfKmvFWaoXVjOeP3D/o4r6YxZTVM6NdvSgS+gd<BR>5U45Zg3f2offihvcNFyENjsFyYm2J8iTQb/YZqfb0fOrQNqp2I5HLsQO5rsyaok8<BR>xZfwjjZO1mXvCtPvwNs5KoAzvrCElUXNjG0rigXL9/M4Ewjq3mVcL3K5mlOEg2Rj<BR>qd6HfatZ6Fd00iGt751dHM45OO8+FTF6MD4DFR0+N25fS5PsYqM8Cc87yDdt/6G9<BR>vLyvkPfmperuFuuWvQuR/mCISQQYEQIACQUCREiR6QIbDAAKCRBnMNxOlTPvNRvm<BR>AKDCEGmCqWCdH+f4ZYal1bAXaNF2MwCdFiGKKQq3bxkF1iIlvlbzUs5GKTY=<BR>=e5cb<BR>-----END 
PGP PUBLIC KEY BLOCK-----<BR><BR><BR>-----Mensaje original-----<BR>De: 
seguridad-bounces@lacnic.net [</FONT><A 
href="mailto:seguridad-bounces@lacnic.net"><FONT 
face=Verdana>mailto:seguridad-bounces@lacnic.net</FONT></A><FONT face=Verdana>] 
En nombre de Hugo Pablo<BR>Enviado el: Viernes, 12 de Mayo de 2006 08:44 
p.m.<BR>Para: seguridad@lacnic.net<BR>Asunto: [LACNIC/Seguridad] 
SquirrelMail<BR><BR>¡ Hola Lista !<BR><BR>    Tengo RH 7.3 con 
sendmail.<BR>     Le instale Spamassassin y 
SquirrelMail<BR>    Ya funciona todo.<BR>     
Pero tengo unas dudas.<BR>     Tengo entendido que 
SquirrelMail usa el protocolo imap para manejar el 
correo.<BR>     Mi duda es ¿ el protocolo imap es encriptado 
como el secure shell ?<BR>     de no ser asi ¿ como puedo 
configurarlo para que sea encriptado ?<BR>      Lo 
anterior es con la finalidad de que los login y passwords de los usuarios al 
consultar el correo no viajen como texto plano<BR><BR>¡ Gracias 
!<BR><BR>HPL<BR>_______________________________________________<BR>Seguridad 
mailing list<BR>Seguridad@lacnic.net<BR></FONT><A 
href="http://lacnic.net/mailman/listinfo/seguridad"><FONT 
face=Verdana>http://lacnic.net/mailman/listinfo/seguridad</FONT></A></FONT><FONT 
face=Verdana> </FONT></P></BODY></HTML>