Почтовые клиенты для Android с поддержкой SSL-сертификатов::Журнал СА 10.2014
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1990
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2001
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1565
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1131
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1714
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

Электронка - 2020!

 Почтовые клиенты для Android с поддержкой SSL-сертификатов

Архив номеров / 2014 / Выпуск №10 (143) / Почтовые клиенты для Android с поддержкой SSL-сертификатов

Рубрика: Администрирование /  Электронная почта

Рашид Ачилов РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru

Почтовые клиенты для Android
с поддержкой SSL-сертификатов

Обзор двух почтовых клиентов для Android, полностью поддерживающих персональные SSL-сертификаты, способных подключаться к серверам со строгой защитой и читать зашифрованные и подписанные письма

Один взгляд назад

В 2013 году мною была издана книга [1], где рассматривались SSL-сертификаты, в том числе и их применение в почте. Вопрос применения почтовых клиентов под Android совместно с почтовыми серверами со строгой аутентификацией – с проверкой персональных сертификатов – в ней рассматривался, но вскользь, из-за отсутствия на тот момент клиентов, способных использовать сертификаты. Поэтому практически вся книга была посвящена стационарным устройствам.

Но мир не стоит на месте. С момента выхода книги прошло примерно полтора года, и однажды передо мной встала задача обеспечить как можно наиболее защищенное подключение к почтовому серверу по протоколу IMAP с телефона или планшета под управлением Android. Причем контроль по IP-адресу исключался сразу, потому что подключение должно было быть возможно из любой точки. Поначалу по привычке чуть было не сказал, что такое невозможно. Но, поскольку моим словам верят, я стараюсь не говорить вещи, которые не проверил сам и желательно недавно. И я занялся поиском программы, которая могла бы использовать персональные SSL-сертификаты. И нашел. И даже не одну, не две, а достаточно большое число. Было протестировано некоторое количество почтовых клиентов, включая стоковый клиент из поставки Android 4.4.2. В итоге найдены программы, которые показались интересными. Но поскольку обо всех программах сразу написать невозможно, в данной статье будут рассмотрены только две, которые подошли больше других: R2Mail2 версии 1.54 и SMail версии 1.3.0.1

Перед тем, как начать их описывать, сделаю замечание относительно тестовой платформы. Почтовый сервер представляет собой dovecot версии 2.2.9 и работает под управлением CentOS 6.5, DNS-имя сервера – mailsrv.deltahw.ru, IP-адрес – 212.20.5.1. Сервер настроен таким образом, что при подключении запрашивает пользовательский сертификат и, если он не предъявлен или выдан не тем УЦ, подпись которого может быть сервером проверена (а это, как правило, либо УЦ, выдавший сертификат самого сервера, либо какой-то общеизвестный УЦ), клиент подключен не будет. В подключении также будет отказано, если сертификат клиента находится в списке отозванных. Это, конечно, несколько осложняет жизнь тем, что постоянно нужно следить за выпуском CRL и построением объединенного файла, который dovecot хочет получить в качестве сертификата УЦ, выдавшего сертификат самого dovecot, но зато мы отсекаем всех тех, кто когда-то работал, потом уволился, но сертификат не удалил.

/usr/local/etc/dovecot/conf/10-auth.conf

auth_ssl_require_client_cert = yes

/usr/local/etc/dovecot/conf/10-ssl.conf

ssl_ca = </etc/ssl/rootca/camerged.pem

ssl_require_crl = yes

ssl_verify_client_cert = yes

В качестве сервера исходящей почты используется sendmail 8.14.9, которая тоже настроена на использовании сертификатов в соответствии с [1] и применяет SASL-авторизацию.

Статью целиком читайте в журнале «Системный администратор», №10 за 2014 г. на страницах 21-25.

PDF-версию данного номера можно приобрести в нашем магазине.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru