In collaborazione con
SMTP è notoriamente un protocollo con molti problemi legati alla sicurezza.
Uno dei problemi che affligge questo per altro indispensabile protocollo è
che non è possibile determinare con certezza chi ha originato l'e-mail.
Infatti per evitare che si abusi grossolanamente del protocollo, il relay
(inoltro della posta per contro di altri) non è aperto a chiunque ma è
riservato alle sole macchine (o sottoreti) specificate nella configurazione.
Questo però pone il problema che tutte le macchine che non appartengono alla
propria sottorete o che non hanno un indirizzo ip qualificato ed espressamente
autorizzato non possono spedire la posta utilizzando il nostro mail server.
Un altro problema è che tutta la posta viaggia in chiaro (a meno di non
crittarla volontariamente con programmi tipo gpg).
Finché si utilizzano postazioni fisse in una rete fisica unica non ci sono
problemi, ma quando si ha l'esigenza di viaggiare o si utilizzano reti
wireless poco sicure allora l'utilizzo di ssl sul server di posta ci dà una
mano.
Infatti il mio problema era quello di poter mandare posta da qualsiasi rete
mi connettessi col mio portatile senza dovermi preoccupare se l'ip che
utilizzo sia in qualche lista anti-spam, e evitare che la posta "interna"
fosse mandata in chiaro.
Ci sono diversi modi di risolvere il problema ma per il solo invio e
ricezione della posta smtp+ssl e imap+ssl sono più che sufficienti.
L'unico neo è che non tutti i client di posta supportano direttamente questi
protocolli, ma ci sono eleganti soluzioni anche per questo.
Strumenti:
Ho fatto tutti i test con un server debian (woody) e client redhat
7.1. Il server di posta utilizzato è l'ottimo postfix con patch TLS. Per
l'accesso alla propria mailbox ho utilizzato uw-imapd con supporto ssl ma
un qualsiasi altro server imap che utilizzi ssl va bene.
Il tutto mi ha richiesto mezza giornata di lavoro e si è rivelato abbastanza
semplice.
Un po' di ssl:
SSL/TLS può essere utilizzato come mezzo di crittazione o anche per
autenticare le richieste tramite l'uso di certificati.
I certificati devono essere rilasciati da una Certification Authority che
ne garantisce l'autenticità e la validità.
Se però se ne fa solo un uso interno ci si può creare la propria
Certification Authority senza troppa difficoltà ed è proprio il sistema che
ho scelto per flessibilità (e costo (-: ).
Installazione/Configurazione del server:
Debian (woody) ha già tutti i pacchetti necessari:
- non-US/main/o/openssl/openssl_0.9.6c-1_i386.deb
- non-US/main/p/postfix-tls/postfix-tls_0.0.20010502.SNAPSHOT+tls-0.7.2-1_i386.deb
- non-US/main/u/uw-imap-ssl/uw-imapd-ssl_2000cdebian-6_i386.deb
Innanzitutto ho installato e configurato postfix e uw-imapd-ssl.
Ho configurato postfix come un normale server di posta per il mio dominio
e ho configurato inetd per utilizzare solo imaps.
Per imap non è necessario disporre di certificati, quel che serve è solo
la crittazione del canale in modo che la password dell'utente non passi in
chiaro.
A questo punto ho testato che tutto funzionasse regolarmente inviando posta a
me stesso e verificando che la connessione a imap+ssl funzionasse
correttamente.
Fatto questo sono passato alla configurazione della CA e delle estensioni tls
di postfix per il server di posta.
Certification Authority:
In /usr/lib/ssl/misc si trovano una serie di comodi script per la gestione di
una semplice CA che risiede nella subdir demoCA.
Per prima cosa è necessario creare e inizializzare la
demoCA
[1].
Basta eseguire il comando:
Questo vi chiederà una serie di domande per creare il certificato che
identifica la CA e vi chiederà una pass phrase per codificare la chiave
della CA. Utilizzate una buona pass phrase, la chiave servirà per firmare
i certificati digitali degli utenti e dovrebbe stare in un posto sicuro
(idealmente la CA dovrebbe stare su una macchina ad hoc scollegata dalla
rete e non fisicamente accessibile se non ai responsabili della CA).
# ./CA.pl -newca
CA certificate filename (or enter to create)
Making CA certificate ...
Using configuration from /usr/lib/ssl/openssl.cnf
Generating a 1024 bit RSA private key
...++++++
...............++++++
writing new private key to './demoCA/private/cakey.pem'
Enter PEM pass phrase:
Verifying password - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:Italy
Locality Name (eg, city) []:Milano
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test s.r.l.
Organizational Unit Name (eg, section) []:Security
Common Name (eg, YOUR name) []:Test Private CA
Email Address []:security@test.it
Ora nel file /usr/lib/ssl/demoCA/cacert.pem vi trovate il certificato della
Certification authority e in /usr/lib/ssl/demoCA/private/cakey.pem la chiave
per la firma degli altri certificati.
I nuovi certificati avranno un numero seriale progressivo che parte da 01
ottenuto dal file /usr/lib/ssl/demoCA/serial e una copia di ogni certificato
firmato verrà mantenuta in /usr/lib/ssl/demoCA/newcerts/
(es: 01.pem 02.pem ...)
Prima di proseguire è necessario modificare lo script CA.pl in modo che non vi
chieda di utilizzare una password per proteggere la chiave del certificato
per il vostro server di posta; questo è necessario perché postfix non ha
modo di chiedere la password della chiave quando parte (al boot per esempio), quindi dovete fare attenzione a
proteggere correttamente il file con la chiave.
Per flessibilità ho creato una copia di CA.pl e ho modificato quella in modo
da poter creare certificati con o senza chiave a seconda delle necessità.
Nel file CA-nopwd.pl ho modificato i parametri -newreq e -newcert in modo che
invocassero openssl con il parametro -nodes
(vedi risorsa
[2])
Ora è necessario creare un certificato firmato dalla CA per il server di
posta:
# ./CA-nopwd.pl -newreq
Using configuration from /usr/lib/ssl/openssl.cnf
Generating a 1024 bit RSA private key
..............................++++++
.....++++++
writing new private key to 'newreq.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IT
State or Province Name (full name) [Some-State]:Italy
Locality Name (eg, city) []:Milano
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test s.r.l.
Organizational Unit Name (eg, section) []:Mail
Common Name (eg, YOUR name) []:mail.test.it
Email Address []:root@test.it
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:Test s.r.l.
Request (and private key) is in newreq.pem
Questo vi crea il file newreq.pem che contiene la chiave e la richiesta di
certificato che va ora firmato con la chiave della CA.
# ./CA.pl -sign
Using configuration from /usr/lib/ssl/openssl.cnf
Enter PEM pass phrase:
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName :PRINTABLE:'IT'
stateOrProvinceName :PRINTABLE:'Italy'
localityName :PRINTABLE:'Milano'
organizationName :PRINTABLE:'Test s.r.l.'
organizationalUnitName:PRINTABLE:'Mail'
commonName :PRINTABLE:'mail.test.it'
emailAddress :IA5STRING:'root@test.it'
Certificate is to be certified until Feb 13 17:45:28 2003 GMT (365 days)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Signed certificate is in newcert.pem
Come da messaggio il nuovo certificato si trova in newcert.pem
Per il postfix ci servono la chiave e il certificato in un solo file,
quindi è necessario editare i due file e fonderli in uno solo (cert.pem)
eliminando le informazioni che non servono (la richiesta da newreq.pem
e la prima parte di newcert.pem vedi Appendice) e poi eliminare i due
file newreq.pem e newcert.pem
Configurazione di Postfix per TLS:
La configurazione di postfix è semplice:
basta copiare i certificati della CA e del server in /etc/postfix/
Copiare il certificato della CA:
# cp /usr/lib/ssl/misc/demoCA/cacert.pem /etc/postfix/CAcert.pem
Spostare il certificato del server, e proteggerlo.
# mv /usr/lib/ssl/misc/cert.pem /etc/postfix
# chown root.root /etc/postfix/cert.pem
# chmod 400 /etc/postfix/cert.pem
Aggiungere i seguenti parametri alla configurazione di postfix
(vedi risorsa
[3] per i dettagli):
smtpd_recipient_restrictions = permit_mynetworks,permit_tls_clientcerts,check_relay_domains
smtpd_tls_received_header = yes
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtpd_use_tls = yes
smtpd_tls_ask_ccert = yes
relay_clientcerts = hash:/etc/postfix/relay_clientcerts
A questo punto manca solo la creazione dei certificati per i client.
Per creare un certificato per un client basta seguire la stessa procedura
utilizzata per creare quello per i server (se utilizzate un client come
netscape potete utilizzare CA.pl al posto di CA-nopwd.pl in modo da proteggere
la chiave con una password se invece volete usare postfix sul vostro notebook
dovete utilizzare CA-nopwd.pl)
A differenza del certificato per il server quando vi viene chiesto il Common
Name invece del nome di dominio dns mettete il nome dell'intestatario del certificato
magari aggiungendo un identificativo per evitare confusioni se una persona
possiede più certificati.
es:
Common Name (eg, YOUR name) []: Simo Sorce (Test CA)
Email Address []:simo@test.it
Prima di copiare la chiave sul client vi serve calcolare la fingerprint in
modo da poter abilitare il singolo certificato al relay (in questo modo potete
disabilitare i certificati persi/rubati/invalidati eliminando la relativa
fingerprint dal file /etc/postfix/relay_clientcerts
# openssl x509 -fingerprint -in newcert.pem
MD5 Fingerprint=01:23:45:67:89:AB:CD:EF:01:23:45:67:89:AB:CD:EF
-----BEGIN CERTIFICATE-----
MIITghjKy90Oiu....
.
.
.
Ci interessa ottenere solo la stringa esadecimale listata dopo "MD5
Fingerprint=" e metterla nel file /etc/postfix/relay_clientcerts in modo
che il server di posta permetta a chi ha il relativo certificato di
mandare posta tramite il nostro server.
La fingerprint viene utilizzata come nome di parametro, quindi è necessario
assegnargli un valore senza strani caratteri perché postfix non si lamenti;
assegnare il nome del proprietario del certificato ritorna utile nel caso
volessimo successivamente rimuovere qualche entry.
01:23:45:67:89:AB:CD:EF:01:23:45:67:89:AB:CD:EF simo.at.test.it
Quando abbiamo messo tutte le fingerprint necessarie nel file creiamo
l'hash necessario al postfix col comando:
# postmap hash:/etc/postfix/relay_clientcerts
Ora il server è completamente configurato, basta fare un reload della
configurazione se già sta girando ...
... o farlo partire.
# /etc/init.d/postfix start
Configurazione del Client
Per testare velocemente il server ho utilizzato netscape come client di posta,
poiché è uno dei pochi che supportano direttamente ssl su smtp.
Netscape però utilizza il formato PKCS12 per leggere i certificati, occorre
quindi convertire il file .pem che abbiamo generato e segnato con la
Certification Authority in .p12 per utilizzarlo.
# openssl pxcs12 -export -in client.pem -out client.p12
La mia intenzione però era quella di utilizzare l'autenticazione smtp con
evolution o mutt che non supportano direttamente ssl su smtp.
La soluzione è comunque abbastanza semplice, tutti i client di posta possono
utilizzare l'mta locale, quindi basta utilizzare postfix anche sul pc client
e configurarlo in modo da mandare la posta solo attraverso il nostro mail
server principale e solo utilizzando tls (ssl) con il nostro certificato.
Con RedHat 7.1 basta utilizzare il postfix fornito con i powertools
(postfix-20010202-4.i386.rpm) che contiene già le patch TLS; per RedHat
7.2 sembra che postfix non venga fornito, ma tramite le pagine di
posfix.org è abbastanza semplice trovare dei link ad un binario già
pacchettizzato o ai sorgenti già patchati.
Per configurare postfix lato client basta copiare il certificato della CA
in /etc/postfix/CAcert.pem, il certificato client (con chiave non protetta
da password) in /etc/postfix/client.pem (ricordarsi di rendere il file
leggibile solo a root) e i seguenti parametri in /etc/postfix/main.cf (vedi
sempre la risorsa
[3] per i dettagli).
smtp_tls_cert_file = /etc/postfix/client.pem
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_CAfile = /etc/postfix/CAcert.pem
smtp_use_tls = yes
smtp_enforce_tls = yes
Se tutto è stato eseguito correttamente il gioco è fatto:
- il vostro server di posta gestirà tutte le mail in uscita dal vostro pc e
permetterà il relay al vostro pc ovunque vi troviate.
- le comunicazioni tra il client e il server saranno tutte criptate quindi la
posta "interna" non sarà mai intercettabile.
Se qualcosa non funziona controllate /var/log/mail.log e compari per capire
cosa non va.
Buon divertimento,
Simo Sorce.
Appendice
File newreq.pem con la chiave del server:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
File newcert.pem con il certificato firmato dalla CA del server:
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=IT, ST=Italy, L=Milano, O=Test s.r.l., OU=Security, CN=Test
Private CA/Email=security@test.it
Validity
Not Before: Feb 13 17:45:28 2002 GMT
Not After : Feb 13 17:45:28 2003 GMT
Subject: C=IT, ST=Italy, L=Milano, O=Test s.r.l., OU=Mail,
CN=mail.test.it/Email=root@test.it
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:dd:b3:57:3f:59:55:d3:09:9a:d4:28:ee:31:ae:
81:8e:53:bd:76:7f:c6:05:17:d3:c6:3f:65:87:0a:
a5:5c:b1:0c:96:14:75:02:cb:e4:27:b4:db:24:72:
b1:bb:41:eb:5f:20:c9:b3:a2:4a:c8:e1:47:62:97:
73:20:f8:14:55:92:9b:9f:2f:0e:3b:ae:13:72:52:
b2:18:b8:6d:4b:61:1a:6a:b4:92:46:9b:12:1a:0f:
65:0b:3c:38:42:31:45:e1:e1:42:58:d9:ed:16:8a:
80:30:d6:23:d2:03:6d:07:db:ec:0e:c9:78:d5:4b:
6a:1c:55:61:da:bd:a8:79:d7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
CB:1D:40:CF:AA:C3:C2:78:63:29:81:C1:77:BC:7B:23:E2:4D:25:E8
X509v3 Authority Key Identifier:
keyid:2F:53:79:54:35:D5:7C:C7:9A:A8:AC:69:8C:EF:43:9C:91:8A:9A:CB
DirName:/C=IT/ST=Italy/L=Milano/O=Test
s.r.l./OU=Security/CN=Test Private CA/Email=security@test.it
serial:00
Signature Algorithm: md5WithRSAEncryption
47:de:26:af:93:26:c1:0d:f3:6b:d7:b7:7d:b2:38:d0:38:44:
40:c4:43:37:ba:a4:df:d0:b8:b3:65:5d:5e:89:8b:1e:8c:1b:
23:81:19:87:3e:cb:ce:2f:e6:18:17:8b:0d:9f:91:2c:b6:f1:
21:2c:d6:cf:99:21:1c:84:dc:7e:cd:1a:b1:32:8a:74:0d:a9:
66:0e:70:3a:9b:f2:64:2f:63:b1:16:54:d8:82:0d:8c:ba:08:
2d:2f:43:d6:32:45:70:48:93:85:35:4f:17:01:6c:fb:03:05:
d0:59:b4:bb:87:11:27:5e:12:cc:3a:54:d9:c6:6f:9e:fe:b0:
b3:08
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
File cert.pem risultato della fusione dei due:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----