HOWTO_fetchmail_ssl --- Configurare fetchmail con supporto SSL.
Version: 0.3.1Updated: 2003-07-15
Keywords: fetchmail, SSL, Autistici, Inventati
Description: come usare fetchmail con supporto ssl con il server Autistici.
Language: it (Italian)
Compatibility: fetchmail (SSL enabled) 5.9.11
Indice:
1. Descrizione
2. Perché
3. Prerequisiti
4. Facciamolo
5. Esageriamo
6. Conclusioni
1. Descrizione
Questo micro-HOWTO spiega come configurare fetchmail per scaricare la posta dal server Autistici utilizzando il protocollo SSL e verificando che stia dialogando davvero con il server Autistici.
2. Perché
Perche' senno' chiunque abbia interesse, conoscenza e mezzi a sufficienza potrebbe leggere la tua posta, anche per mesi o anni, violando la tua privacy e quella delle persone con cui comunichi, e magari spacciandosi pure per te.
3. Prerequisiti
fetchmail: questo HOWTO e' testato con la versione 6.2.1+SSL+NLS di fetchmail, configurata e compilata su una Debian GNU/Linux 3.0r1, ma dovrebbe funzionare con le versioni successive ed alcune delle precedenti, non resta che provare.
4. Facciamolo
Il file di configurazione di fetchmail ~/.fetchmailrc, quindi aggiungere a quel file le seguenti righe (e se non esiste crearlo):
# inizio configurazione autistici poll mail.autistici.org protocol imap username "utente@dominio", with password "password", is "localusername" here, ssl, sslfingerprint "fingerprint"; # fine configurazione autistici
sostituendo "utente@dominio" con il vostro indirizzo di posta elettronica, "password" con la relativa password, "localusername" con l'username che si ha sul proprio computer, e "fingerprint" con il fingerprint del certificato imap che trovate alla pagina Autistici CA
Nota che la riga with password "password", molto piu' sicuro ometterla, ed inserire ogni volta la password a mano da tastiera, altrimenti si rischia che chiunque riesca a scoprire la password del proprio account locale, o quella di root, e chiunque abbia la possibilita' di mettere le mani sull'hard disk possa venire in possesso della password dell'account di posta: vedere la sezione 2 per le possibili conseguenze di cio': NON PRENDERE ALLA LEGGERA!
L'opzione ssl fa si che la comunicazione avvenga attraverso il protocollo cifrato SSL, mentre l'opzione sslfingerprint fa si che venga verificata che la fingerprint (un'hash) del certificato SSL che il server fornisce sia veramente quella di Autistici, cosi' da evitare la possibilita' di fornire la nostra password a qualcuno che si spaccia per Autistici ("man in the middle" attack, attacco dell'"uomo di mezzo").
Leggere la pagina di manuale di fetchmail (1) per maggiori informazioni (`man 1 fetchmail').
5. Esageriamo
Quello che viene spiegato in questa sezione e' rindondante con la sezione precedente, ma male non fa', anzi.
Si spieghera' come fare in modo che fetchmail confronti il certificato con una serie di certificati che abbiamo installato sul computer.
Creare una cartella che contenga i certificati, ad esempio ~/prv/CAcerts, e copiare il certificato della CA di Inventati nel file ~/prv/CAcerts/Inventati.pem.
Il certificato si puo' trovare all'indirizzo http://www.autistici.org/it/ca.html, ma attenzione: e' necessario che questo certificato venga prelevato tramite una connessione considerata "sicura".
Ora eseguire il comando
c_rehash ~/prv/CAcerts/
in modo che la cartella sia utilizzabile da OpenSSL.
Infine, aggiungere nella configurazione precedente la riga
sslcertck, sslcertpath "percorsoCAcerts";
rimpiazzando "percorsoCAcerts" con il percorso _assoluto_ della cartella dei certificati creata precedentemente.
Il risultato sarebbe:
# inizio configurazione autistici poll mail.autistici.org protocol pop3 username "utente@dominio", with password "password", is "localusername" here, ssl, sslfingerprint "fingerprint", sslcertck, sslcertpath "percorsoCAcerts"; # fine configurazione autistici6. Conclusioni
Aver seguito questo HOWTO e' comunque meglio di niente, ma è assolutamente un errore sentirsi sicuri dopo aver attuato le cose lette in N HOWTO del genere, per sentirsi un minimo sicuri bisognerebbe conoscere _bene_ gli strumenti che si usano.
Quindi suggerisco di pensare a questo HOWTO come ad una pezza temporanea, finche' non si avra' il tempo di conoscere meglio il software che si usa.