Je voudrais savoir comment faire pour sécuriser une connexion POP3.
J'ai une adresse mail chez Free, mais le serveur n'accepte pas les
connexions SSL (port 995). J'aimerais avant tout que le mot de passe ne
circule pas en clair.
Existe-t'il donc une solution ou alors dois-je changer de boite mail ?
Le serveur POP3 de free accepte l'authentification APOP, qui ne laisse pas passer le mot de passe en clair. Vérifiez votre logiciel de messagerie pour voir s'il supporte APOP.
Pour info, APOP fait partie de la RFC1939 qui définit le protocole POP3 depuis mai 1996. Un logiciel récent qui ne sait pas utiliser APOP est un Mauvais Logiciel (tm).
J'utilise Thunderbird. Je suppose qu'APOP y est implémenté, mais je n'ai pas trouvé d'informations le confirmant. APOP correspondrait-il à l'option "Use secure authentification" dans "Server settings" ?
Je viens de vérifier, cocher cette case active les modes d'authentification AUTH et APOP. AUTH est testé d'abord, il échoue sur le serveur de free (c'est un truc additionnel importé d'IMAP), et APOP fonctionne.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Pour moi, que ce soit fr.rec.arts.musique.variete ou fr.rect.arts.chansons, c négatif, parce que je considére pas la musique comme un art, -+- BenC in http://neuneu.mine.nu : Neuneu joue du pipo.
On Sun, 31 Oct 2004, nufel wrote:
Erwann ABALEA wrote:
Le serveur POP3 de free accepte l'authentification APOP, qui ne laisse pas
passer le mot de passe en clair. Vérifiez votre logiciel de messagerie
pour voir s'il supporte APOP.
Pour info, APOP fait partie de la RFC1939 qui définit le protocole POP3
depuis mai 1996. Un logiciel récent qui ne sait pas utiliser APOP est un
Mauvais Logiciel (tm).
J'utilise Thunderbird. Je suppose qu'APOP y est implémenté, mais je n'ai
pas trouvé d'informations le confirmant. APOP correspondrait-il à
l'option "Use secure authentification" dans "Server settings" ?
Je viens de vérifier, cocher cette case active les modes
d'authentification AUTH et APOP. AUTH est testé d'abord, il échoue sur le
serveur de free (c'est un truc additionnel importé d'IMAP), et APOP
fonctionne.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
Pour moi, que ce soit fr.rec.arts.musique.variete ou
fr.rect.arts.chansons, c négatif, parce que je considére pas
la musique comme un art,
-+- BenC in http://neuneu.mine.nu : Neuneu joue du pipo.
Le serveur POP3 de free accepte l'authentification APOP, qui ne laisse pas passer le mot de passe en clair. Vérifiez votre logiciel de messagerie pour voir s'il supporte APOP.
Pour info, APOP fait partie de la RFC1939 qui définit le protocole POP3 depuis mai 1996. Un logiciel récent qui ne sait pas utiliser APOP est un Mauvais Logiciel (tm).
J'utilise Thunderbird. Je suppose qu'APOP y est implémenté, mais je n'ai pas trouvé d'informations le confirmant. APOP correspondrait-il à l'option "Use secure authentification" dans "Server settings" ?
Je viens de vérifier, cocher cette case active les modes d'authentification AUTH et APOP. AUTH est testé d'abord, il échoue sur le serveur de free (c'est un truc additionnel importé d'IMAP), et APOP fonctionne.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Pour moi, que ce soit fr.rec.arts.musique.variete ou fr.rect.arts.chansons, c négatif, parce que je considére pas la musique comme un art, -+- BenC in http://neuneu.mine.nu : Neuneu joue du pipo.
Eric Razny
Pas que. Tout ce qui travaille sur SSL/TLS permet aussi de savoir si on parle bien à la bonne machine.
C'est clair. Et c'est important d'en être sur *avant* d'envoyer un password :)
Si j'envoie tous mes mails en TLS, c'est aussi pour
être sûr que le MTA à qui je les donne est bien le bon, et idem pour la consultation de mon compte IMAP, malgré le fait que j'utilise des authentification par challenge dans les deux cas, eux-même dans un session chiffrée.
A l'époque, quand j'ai installé mon serveur, TLS s'était imposé aussi pour la protection du password car sur une des machines, je récupérais mon email via OE (ahem, pas de commentaires désobligeant!) et les types de challenges dispo étaient notoirement insuffisant.
De toutes façon, comme d'hab, ceinture et bretelles...
En outre, le "dernier mile" est parfois intéressant à protéger, même si le reste du chemin peut s'avérer moins sûr. Genre quand tu es connecté à un hotspot par exemple, en WiFi mal protégé chez toi ou un ami ou plus largement dans un environnement que tu ne maîtrise pas du tout.
Quand je prévois ça j'envois des copies de mes emails sur une autre boite sur une autre serveur et c'est là que je vais chercher les emails. Je sais que ça fait parano, mais en déplacement quand je ne peux utiliser mon portable j'ai une trouille certaine des keyloggers (avec éventuellement un exploit local à la clef), même chez des potes. Et comme je n'ai toujours pas trouvé le temps d'y mettre du OTP je reste prudent.
Je peux t'assurer que quand tu te relève ton mail sur l'accès WiFi d'une conf de sécurité, tu mets tout ce que tu peux pour faire en sorte que ça passe bien ;)))
C'est clair que ça la foutrait mal autrement ;)
Enfin, si tu peut maîtrise la confidentialité de ce que tu envoies, en choisissant ou non la chiffrement du mail, il n'en va pas de même pour ce que tu reçois. Et en rajoutant du SSL, c'est toujours un lien de moins qui est sniffable.
Oui (c'est d'ailleurs ce que je fais). Mais je pars du principe que l'email que j'ai reçu a déjà été lu (ça m'est d'ailleurs arrivé sur un FAI local -lointaine époque ou je n'avais pas mon serveur-, dont je gonflais le boss et qui a été assez con pour m'envoyer un email du genre : "vos envois en pgp c'est interdit...").
Ensuite tout gain de sécu est bon à prendre en théorie ; dans la pratique il y a un compromis à faire entre sécu et facilité d'utilisation.
Comme si cocher la case SSL posait un véritable problème d'utilisation...
Grrr, je parlais en général, pas spécifiquement d'email! :)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Pas que.
Tout ce qui travaille sur SSL/TLS permet aussi de savoir si on parle bien
à la bonne machine.
C'est clair. Et c'est important d'en être sur *avant* d'envoyer un
password :)
Si j'envoie tous mes mails en TLS, c'est aussi pour
être sûr que le MTA à qui je les donne est bien le bon, et idem pour la
consultation de mon compte IMAP, malgré le fait que j'utilise des
authentification par challenge dans les deux cas, eux-même dans un
session chiffrée.
A l'époque, quand j'ai installé mon serveur, TLS s'était imposé aussi
pour la protection du password car sur une des machines, je récupérais
mon email via OE (ahem, pas de commentaires désobligeant!) et les types
de challenges dispo étaient notoirement insuffisant.
De toutes façon, comme d'hab, ceinture et bretelles...
En outre, le "dernier mile" est parfois intéressant à protéger, même
si le reste du chemin peut s'avérer moins sûr. Genre quand tu es
connecté à un hotspot par exemple, en WiFi mal protégé chez toi ou
un ami ou plus largement dans un environnement que tu ne maîtrise pas du
tout.
Quand je prévois ça j'envois des copies de mes emails sur une autre
boite sur une autre serveur et c'est là que je vais chercher les emails.
Je sais que ça fait parano, mais en déplacement quand je ne peux
utiliser mon portable j'ai une trouille certaine des keyloggers (avec
éventuellement un exploit local à la clef), même chez des potes. Et
comme je n'ai toujours pas trouvé le temps d'y mettre du OTP je reste
prudent.
Je peux t'assurer que quand tu te relève ton mail sur l'accès WiFi
d'une conf de sécurité, tu mets tout ce que tu peux pour faire en sorte
que ça passe bien ;)))
C'est clair que ça la foutrait mal autrement ;)
Enfin, si tu peut maîtrise la confidentialité de ce que tu envoies, en
choisissant ou non la chiffrement du mail, il n'en va pas de même pour ce
que tu reçois. Et en rajoutant du SSL, c'est toujours un lien de moins
qui est sniffable.
Oui (c'est d'ailleurs ce que je fais). Mais je pars du principe que
l'email que j'ai reçu a déjà été lu (ça m'est d'ailleurs arrivé sur un
FAI local -lointaine époque ou je n'avais pas mon serveur-, dont je
gonflais le boss et qui a été assez con pour m'envoyer un email du genre
: "vos envois en pgp c'est interdit...").
Ensuite tout gain de sécu est bon à prendre en théorie ; dans la
pratique il y a un compromis à faire entre sécu et facilité
d'utilisation.
Comme si cocher la case SSL posait un véritable problème d'utilisation...
Grrr, je parlais en général, pas spécifiquement d'email! :)
Eric
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
Pas que. Tout ce qui travaille sur SSL/TLS permet aussi de savoir si on parle bien à la bonne machine.
C'est clair. Et c'est important d'en être sur *avant* d'envoyer un password :)
Si j'envoie tous mes mails en TLS, c'est aussi pour
être sûr que le MTA à qui je les donne est bien le bon, et idem pour la consultation de mon compte IMAP, malgré le fait que j'utilise des authentification par challenge dans les deux cas, eux-même dans un session chiffrée.
A l'époque, quand j'ai installé mon serveur, TLS s'était imposé aussi pour la protection du password car sur une des machines, je récupérais mon email via OE (ahem, pas de commentaires désobligeant!) et les types de challenges dispo étaient notoirement insuffisant.
De toutes façon, comme d'hab, ceinture et bretelles...
En outre, le "dernier mile" est parfois intéressant à protéger, même si le reste du chemin peut s'avérer moins sûr. Genre quand tu es connecté à un hotspot par exemple, en WiFi mal protégé chez toi ou un ami ou plus largement dans un environnement que tu ne maîtrise pas du tout.
Quand je prévois ça j'envois des copies de mes emails sur une autre boite sur une autre serveur et c'est là que je vais chercher les emails. Je sais que ça fait parano, mais en déplacement quand je ne peux utiliser mon portable j'ai une trouille certaine des keyloggers (avec éventuellement un exploit local à la clef), même chez des potes. Et comme je n'ai toujours pas trouvé le temps d'y mettre du OTP je reste prudent.
Je peux t'assurer que quand tu te relève ton mail sur l'accès WiFi d'une conf de sécurité, tu mets tout ce que tu peux pour faire en sorte que ça passe bien ;)))
C'est clair que ça la foutrait mal autrement ;)
Enfin, si tu peut maîtrise la confidentialité de ce que tu envoies, en choisissant ou non la chiffrement du mail, il n'en va pas de même pour ce que tu reçois. Et en rajoutant du SSL, c'est toujours un lien de moins qui est sniffable.
Oui (c'est d'ailleurs ce que je fais). Mais je pars du principe que l'email que j'ai reçu a déjà été lu (ça m'est d'ailleurs arrivé sur un FAI local -lointaine époque ou je n'avais pas mon serveur-, dont je gonflais le boss et qui a été assez con pour m'envoyer un email du genre : "vos envois en pgp c'est interdit...").
Ensuite tout gain de sécu est bon à prendre en théorie ; dans la pratique il y a un compromis à faire entre sécu et facilité d'utilisation.
Comme si cocher la case SSL posait un véritable problème d'utilisation...
Grrr, je parlais en général, pas spécifiquement d'email! :)
Eric
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
ALBATOR
prends www.myrealbox.com ya toute option avec ssl & interface fr :)
prends www.myrealbox.com ya toute option avec ssl & interface fr :)
