11.5. Agentes de usuario de correo

Hay muchos programas de correo disponibles bajo Red Hat Enterprise Linux. Hay programas gráficos de clientes de correo con características completas, tales como Mozilla Mail o Ximian Evolution, así como también programas basados en texto, tales como mutt.

Para más instrucciones sobre el uso de estas aplicaciones, consulte el capítulo llamado Aplicaciones de correo en el Manual paso-a-paso de Red Hat Enterprise Linux.

El resto de esta sección se enfoca en asegurar la comunicación entre el cliente y el servidor.

11.5.1. Comunicación segura

Los MUAs populares incluidos con Red Hat Enterprise Linux, tales como Mozilla Mail, Ximian Evolution y mutt, ofrecen sesiones encriptadas con SSL.

Al igual que otros servicios existentes en una red no cifrada, la información de correo electrónico importante, como nombres de usuario, contraseñas y mensajes, se puede interceptar y ver sin que tenga conocimiento el servidor o el cliente de correo. Al usar los protocolos estándar POP e IMAP, toda la información de autenticación se envía "limpiamente", sin encriptar, por lo que es posible para un intruso ganar acceso a las cuentas de usuarios reuniendo los nombres de los usuarios y sus contraseñas cuando estos son transmitidos sobre la red.

11.5.1.1. Clientes de correo electrónico seguros

Afortunadamente, la mayoría de los agentes MUA de Linux diseñados para comprobar correo en servidores remoto utilizan SSL. Para usar SSL al recuperar el correo, se debe activar esta opción en el cliente y en el servidor de correo.

SSL se activa muy fácilmente en el cliente, normalmente basta con pulsar un botón en el área de configuración del agente MUA o mediante una opción en el archivo de configuración del MUA. Los protocolos IMAP y POP seguros tienen números de puerto conocidos (993 y 995, respectivamente) que el MUA utiliza para autenticar y descargar los mensajes.

11.5.1.2. Asegurar las comunicaciones de cliente de correo

Ofrecer cifrado SSL a los usuarios de IMAP y POP del servidor de correo es muy sencillo.

Primero, cree un certificado SSL. Esto se puede hacer de dos formas: solicitando a una Certificate Authority (CA) por un certificado SSL o mediante la creación de un certificado auto-firmado.

AtenciónAtención
 

Los certificados auto-firmados solamente deberían ser usados para propósitos de prueba. Cualquier servidor usado en un ambiente de producción debería usar un certificado SSL emitido por una CA.

Para crear un certificado SSL con firma propia para IMAP, cámbiese al directorio /usr/share/ssl/certs/ y escriba el comando siguiente como root:

rm -f imapd.pem
make imapd.pem

Conteste todas las preguntas para completar el proceso.

Para crear un certificado SSL con firma propia para POP, cámbiese al directorio /usr/share/ssl/certs/, y escriba los comandos siguientes como usuario root:

rm -f ipop3d.pem
make ipop3d.pem

Una vez más, conteste todas las preguntas para completar el proceso.

ImportanteImportante
 

Asegúrese de eliminar los archivos predeterminados imapd.pem y ipop3d.pem antes de ejecutar el comando make.

Una vez finalizado, ejecute el comando /sbin/service xinetd restart para reiniciar el demonio xinetd que controla imapd y ipop3d.

Alternativamente, el comando stunnel puede ser usado como una envoltura de criptación SSL con el estándar, para los demonios no seguros, imapd o pop3d.

El programa stunnel utiliza bibliotecas OpenSSL externas incluidas con Red Hat Enterprise Linux para proporcionar criptografía robusta y proteger las conexiones. Es mejor solicitar a una Autoridad de Certificación (Certificate Authority, CA) por un certificado SSL, pero también es posible crear un certificado auto-firmado.

Para crear un certificado SSL auto-firmado, cámbiese al directorio /usr/share/ssl/certs/ y escriba el comando siguiente:

make stunnel.pem

Una vez más, conteste todas las preguntas para completar el proceso.

Una vez que el certificado es generado, es posible usar el comando stunnel para iniciar el demonio de correo imapd usando el comando siguiente:

/usr/sbin/stunnel -d 993 -l /usr/sbin/imapd imapd

Una vez que este comando es emitido, es posible abrir un cliente de correo IMAP y conectarse al servidor de correo usando una encriptación SSL.

Para arrancar pop3d usando el comando stunnel, escriba el comando siguiente:

/usr/sbin/stunnel -d 995 -l /usr/sbin/pop3d pop3d

Para más información sobre el uso de stunnel, lea la página man stunnel o refiérase a los documentos en el directorio /usr/share/doc/stunnel-<version-number>/, donde <version-number> es el número de versión para stunnel.