POP3 securise

Le
nufel
Bonjour,

Je voudrais savoir comment faire pour sécuriser une connexion POP3.
J'ai une adresse mail chez Free, mais le serveur n'accepte pas les
connexions SSL (port 995). J'aimerais avant tout que le mot de passe ne
circule pas en clair.
Existe-t'il donc une solution ou alors dois-je changer de boite mail ?

Merci beaucoup.
Vos réponses Page 1 / 2
Trier par : date / pertinence
WinTerMiNator
Le #246160
nufel wrote:
Bonjour,

Je voudrais savoir comment faire pour sécuriser une connexion POP3.
J'ai une adresse mail chez Free, mais le serveur n'accepte pas les
connexions SSL (port 995). J'aimerais avant tout que le mot de passe
ne circule pas en clair.
Existe-t'il donc une solution ou alors dois-je changer de boite mail ?

Merci beaucoup.


Bonjour,

Pas moyen de sécuriser côté client... si le serveur ne veut pas! Donc,
changer de mail.

Solution alternative: essayer le mode "webmail", si la saisie du mot de
passe se fait en https, dans une page chiffrée avec SSL, c'est OK.

--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité: comment surfer en
paix)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG

Michel Arboi
Le #246158
On Sun Oct 31 2004 at 11:12, nufel wrote:

J'ai une adresse mail chez Free, mais le serveur n'accepte pas les
connexions SSL (port 995). J'aimerais avant tout que le mot de passe
ne circule pas en clair.
Existe-t'il donc une solution


Pas chez Free, je ne pense pas.

ou alors dois-je changer de boite mail ?


Est-ce bien nécessaire ?

--
http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/

Erwann ABALEA
Le #246159
Bonjour,

On Sun, 31 Oct 2004, nufel wrote:

Je voudrais savoir comment faire pour sécuriser une connexion POP3.
J'ai une adresse mail chez Free, mais le serveur n'accepte pas les
connexions SSL (port 995). J'aimerais avant tout que le mot de passe ne
circule pas en clair.
Existe-t'il donc une solution ou alors dois-je changer de boite mail ?


Le serveur POP3 de free accepte l'authentification APOP, qui ne laisse pas
passer le mot de passe en clair. Vérifiez votre logiciel de messagerie
pour voir s'il supporte APOP.

Pour info, APOP fait partie de la RFC1939 qui définit le protocole POP3
depuis mai 1996. Un logiciel récent qui ne sait pas utiliser APOP est un
Mauvais Logiciel (tm).

--
Erwann ABALEA -----
Par l'exemple, tester si déjà présent, le charger, le décharger...
-+- Joe in: Guide du Neuneu d'Usenet - Change pas de main -+-

Michel Arboi
Le #246119
On Sun Oct 31 2004 at 12:39, WinTerMiNator wrote:

Solution alternative: essayer le mode "webmail", si la saisie du mot de
passe se fait en https, dans une page chiffrée avec SSL, c'est OK.


Pas chez Free.

Michel Arboi
Le #246117
On Sun Oct 31 2004 at 14:02, Erwann ABALEA wrote:

Le serveur POP3 de free accepte l'authentification APOP


Ah oui... Une fois sur deux, fetchmail se prend les pieds dans le
tapis, mais je ne vois rien de suspect avec Ethereal, ça n'a pas l'air
de venir du serveur.
Je vais devoir lui chercher un remplacement au "legendary remote-mail
retrieval and forwarding utility" :-

fetchmail: cannot get a range of message sizes (1-2).
fetchmail: client/server protocol error while fetching from pop.free.fr
fetchmail: Query status=4 (PROTOCOL)

nufel
Le #246118
Erwann ABALEA wrote:


Le serveur POP3 de free accepte l'authentification APOP, qui ne laisse pas
passer le mot de passe en clair. Vérifiez votre logiciel de messagerie
pour voir s'il supporte APOP.

Pour info, APOP fait partie de la RFC1939 qui définit le protocole POP3
depuis mai 1996. Un logiciel récent qui ne sait pas utiliser APOP est un
Mauvais Logiciel (tm).



J'utilise Thunderbird. Je suppose qu'APOP y est implémenté, mais je n'ai
pas trouvé d'informations le confirmant. APOP correspondrait-il à
l'option "Use secure authentification" dans "Server settings" ?

nufel
Le #246114
Michel Arboi wrote:

ou alors dois-je changer de boite mail ?



Est-ce bien nécessaire ?


Peut-être que non, je ne sais pas trop.
Mais dans ce cas, pourquoi chiffrer ses mails ou se connecter en SSL
pour payer par CB ? Tout gain de sécurité n'est-il pas bon à prendre ?


Fabien LE LEZ
Le #246113
On 31 Oct 2004 17:44:46 GMT, nufel
Tout gain de sécurité n'est-il pas bon à prendre ?


S'il est réel, oui.


--
;-)

Eric Razny
Le #246111
Mais dans ce cas, pourquoi chiffrer ses mails ou se connecter en SSL
pour payer par CB ? Tout gain de sécurité n'est-il pas bon à prendre ?


Quand je chiffre mais email c'est justement parce que je sais que
j'utilise une carte postale!

La seule info qui reste est (et c'est déjà une information parfois
gênante ou utile suivant où on se place) l'expéditeur et le destinataire
(et encore sur l'enveloppe, pour l'email lui même une fois délivré on
peut être plus tranquille)..

L'intéret du bidule/TLS, APOP & co c'est de protéger son login/password
pour l'envoi/récup. L'email lui même est déjà passé en clair sur un
certain (parfois grand) nombre de relais.

Ensuite tout gain de sécu est bon à prendre en théorie ; dans la
pratique il y a un compromis à faire entre sécu et facilité d'utilisation.

Eric.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

Cedric Blancher
Le #246110
Le Sun, 31 Oct 2004 18:36:46 +0000, Eric Razny a écrit :
L'intéret du bidule/TLS, APOP & co c'est de protéger son login/password
pour l'envoi/récup. L'email lui même est déjà passé en clair sur un
certain (parfois grand) nombre de relais.


Pas que.
Tout ce qui travaille sur SSL/TLS permet aussi de savoir si on parle bien
à la bonne machine. Si j'envoie tous mes mails en TLS, c'est aussi pour
être sûr que le MTA à qui je les donne est bien le bon, et idem pour la
consultation de mon compte IMAP, malgré le fait que j'utilise des
authentification par challenge dans les deux cas, eux-même dans un
session chiffrée.
En outre, le "dernier mile" est parfois intéressant à protéger, même
si le reste du chemin peut s'avérer moins sûr. Genre quand tu es
connecté à un hotspot par exemple, en WiFi mal protégé chez toi ou
un ami ou plus largement dans un environnement que tu ne maîtrise pas du
tout. Je peux t'assurer que quand tu te relève ton mail sur l'accès WiFi
d'une conf de sécurité, tu mets tout ce que tu peux pour faire en sorte
que ça passe bien ;)))
Enfin, si tu peut maîtrise la confidentialité de ce que tu envoies, en
choisissant ou non la chiffrement du mail, il n'en va pas de même pour ce
que tu reçois. Et en rajoutant du SSL, c'est toujours un lien de moins
qui est sniffable.

Pour finir, je constate avec plaisir que la majorité des mails perso que
je reçois ont fait un trajet full-TLS, même si ça laisse les admins des
relais comme lecteurs potentiels :)

Ensuite tout gain de sécu est bon à prendre en théorie ; dans la
pratique il y a un compromis à faire entre sécu et facilité
d'utilisation.


Comme si cocher la case SSL posait un véritable problème d'utilisation...


--
ZoRg : en gros, je fais du jdr sur les news
J'ai lancé mon perso hier
Tiens, vous ovulez le m-id ?
-+- J*A* in GPJ : Le JDR par Forum sur Femme-Online -+-

Publicité
Poster une réponse
Anonyme