Почтовые клиенты для Android с поддержкой SSL-сертификатов

 РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru

Почтовые клиенты для Android
с поддержкой SSL-сертификатов

Обзор двух почтовых клиентов для Android, полностью поддерживающих персональные SSL-сертификаты, способных подключаться к серверам со строгой защитой и читать зашифрованные и подписанные письма

Один взгляд назад

В 2013 году мною была издана книга [1], где рассматривались SSL-сертификаты, в том числе и их применение в почте. Вопрос применения почтовых клиентов под Android совместно с почтовыми серверами со строгой аутентификацией – с проверкой персональных сертификатов – в ней рассматривался, но вскользь, из-за отсутствия на тот момент клиентов, способных использовать сертификаты. Поэтому практически вся книга была посвящена стационарным устройствам.

Но мир не стоит на месте. С момента выхода книги прошло примерно полтора года, и однажды передо мной встала задача обеспечить как можно наиболее защищенное подключение к почтовому серверу по протоколу IMAP с телефона или планшета под управлением Android. Причем контроль по IP-адресу исключался сразу, потому что подключение должно было быть возможно из любой точки. Поначалу по привычке чуть было не сказал, что такое невозможно. Но, поскольку моим словам верят, я стараюсь не говорить вещи, которые не проверил сам и желательно недавно. И я занялся поиском программы, которая могла бы использовать персональные SSL-сертификаты. И нашел. И даже не одну, не две, а достаточно большое число. Было протестировано некоторое количество почтовых клиентов, включая стоковый клиент из поставки Android 4.4.2. В итоге найдены программы, которые показались интересными. Но поскольку обо всех программах сразу написать невозможно, в данной статье будут рассмотрены только две, которые подошли больше других: R2Mail2 версии 1.54 и SMail версии 1.3.0.1

Перед тем, как начать их описывать, сделаю замечание относительно тестовой платформы. Почтовый сервер представляет собой dovecot версии 2.2.9 и работает под управлением CentOS 6.5, DNS-имя сервера – mailsrv.deltahw.ru, IP-адрес – 212.20.5.1. Сервер настроен таким образом, что при подключении запрашивает пользовательский сертификат и, если он не предъявлен или выдан не тем УЦ, подпись которого может быть сервером проверена (а это, как правило, либо УЦ, выдавший сертификат самого сервера, либо какой-то общеизвестный УЦ), клиент подключен не будет. В подключении также будет отказано, если сертификат клиента находится в списке отозванных. Это, конечно, несколько осложняет жизнь тем, что постоянно нужно следить за выпуском CRL и построением объединенного файла, который dovecot хочет получить в качестве сертификата УЦ, выдавшего сертификат самого dovecot, но зато мы отсекаем всех тех, кто когда-то работал, потом уволился, но сертификат не удалил.

/usr/local/etc/dovecot/conf/10-auth.conf

auth_ssl_require_client_cert = yes

/usr/local/etc/dovecot/conf/10-ssl.conf

ssl_ca = </etc/ssl/rootca/camerged.pem

ssl_require_crl = yes

ssl_verify_client_cert = yes

В качестве сервера исходящей почты используется sendmail 8.14.9, которая тоже настроена на использовании сертификатов в соответствии с [1] и применяет SASL-авторизацию.

Статью целиком читайте в журнале «Системный администратор», №10 за 2014 г. на страницах 21-25.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии могут оставлять только зарегистрированные пользователи