no way to compare when less than two revisions

Différences

Ci-dessous, les différences entre deux révisions de la page.

@@ Ligne 1: / Ligne 1: @@
+====== Infra Mail Orange ======
+===== Points d'accès sécurisé =====
+<WRAP center round info>
+Mon but ici est de lister les **points d'accès sécurisé** à l'infra de mail d'Orange (Grand Public). La liste est définie à la fin de cette section
+</WRAP>
+Orange comme la plupart des FAI met à disposition de leur client une infrastructure de messagerie électronique (Courriel / Mail / e-Mail / Etc.) répartie en 2 fonctions :
+  * Envoi / transfert de courriel :
+    * Protocole [[wp>Simple Mail Transfer Protocol|SMTP]] / SMTPS
+  * Réception de courriel :
+    * Protocole [[wp>Post Office Protocol|POP]] / POPS (en version 3, aka POP3)
+    * Protocole [[wp>Internet Message Access Protocol|IMAP]] / IMAPS
+Chacun de ces protocoles sont disponibles sans chiffrement et surtout avec (SSL/TLS, [[wp>Opportunistic TLS|STARTTLS]]).
+**Dans un monde parfait** (En suivant les recommandations issues des RFC), les ports associés à chacun de ces protocoles sont :
+^ Protocole ^ Port  ^ Format des échanges           ^ Usage                                          ^
+^ SMTP      | 25    | Non chiffré                   | Ne pas utiliser !                              |
+^ SMTP      | 465   | SSL/TLS                       | Déprécié                                       |
+^ SMTP      | 587   | STARTTLS                      | **Recommandé** avec __STARTTLS__ uniquement    |
+^ POP       | 110   | Non chiffré + STARTTLS        | **Recommandé** avec __STARTTLS__ uniquement    |
+^ POP       | 995   | SSL/TLS                       | Déprécié                                       |
+^ IMAP      | 143   | Non chiffré + STARTTLS        | **Recommandé** avec __STARTTLS__ uniquement    |
+^ IMAP      | 993   | SSL/TLS                       | Déprécié                                       |
+Testons donc rapidement ces points d'accès sur l'infra Mail d'Orange (On a besoin d'un **Linux** avec **OpenSSL**) afin de redéfinir un listing des ports et méthodes d'accès à cette infra...
+Rappel des [[wp>Virtual IP address|VIP]] d'accès aux services de messagerie d'Orange :
+  * SMTP : ''smtp.orange.fr''
+  * POP : ''pop.orange.fr''
+  * IMAP : ''imap.orange.fr''
+Résultat type et interprétation (issu d'openssl en mode client) :
+  * Port **fermé**
+<code>
+connect: Connection timed out
+connect:errno=110
+</code>
+  * Port **ouvert** mais **pas de support STARTTLS**
+<code>
+CONNECTED(00000003)
+didn't found starttls in server response, try anyway...
+140245429929624:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
+---
+no peer certificate available
+---
+No client certificate CA names sent
+---
+SSL handshake has read 233 bytes and written 340 bytes
+---
+New, (NONE), Cipher is (NONE)
+Secure Renegotiation IS NOT supported
+Compression: NONE
+Expansion: NONE
+No ALPN negotiated
+SSL-Session:
+    Protocol  : TLSv1.2
+    Cipher    : 0000
+...
+---
+</code>
+  * Port **ouvert** avec **support STARTTLS ou SSL/TLS**
+<code>
+CONNECTED(00000003)
+...
+New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA
+Server public key is 2048 bit
+Secure Renegotiation IS supported
+Compression: NONE
+Expansion: NONE
+No ALPN negotiated
+SSL-Session:
+    Protocol  : TLSv1.2
+    Cipher    : ECDHE-RSA-AES128-SHA
+...
+</code>
+Place aux tests...\\
+Tests des **ports non chiffré ou avec STARTTLS**
+<code bash>
+echo "Q" | openssl s_client -connect smtp.orange.fr:25  -starttls smtp
+echo "Q" | openssl s_client -connect smtp.orange.fr:587 -starttls smtp
+echo "Q" | openssl s_client -connect pop.orange.fr:110  -starttls pop3
+echo "Q" | openssl s_client -connect imap.orange.fr:143 -starttls imap
+</code>
+Tests des **ports chiffré avec SSL/TLS**
+<code bash>
+echo "Q" | openssl s_client -connect smtp.orange.fr:465
+echo "Q" | openssl s_client -connect pop.orange.fr:995
+echo "Q" | openssl s_client -connect imap.orange.fr:993
+</code>
+Ce qui donne comme résultat (Valable au 04/01/2018) pour le **FAI Orange**
+^ Protocole ^ Port  ^ Format des échanges           ^ Recommandations                                ^
+^ SMTP      | 25    | Non chiffré                   | Ne pas utiliser ! JAMAIS 8-O                   |
+^ SMTP      | 465   | SSL/TLS                       | **Recommandé**                                 |
+^ SMTP      | 587   | Non chiffré                   | Ne pas utiliser, car pas de support STARTTLS   |
+^ POP       | 110   | Non chiffré                   | Ne pas utiliser, car pas de support STARTTLS   |
+^ POP       | 995   | SSL/TLS                       | **Recommandé**                                 |
+^ IMAP      | 143   | Non chiffré + STARTTLS        | **Recommandé** avec __STARTTLS__ uniquement    |
+^ IMAP      | 993   | SSL/TLS                       | Déprécié                                       |
+<WRAP center round tip>
+Le mot de la fin...\\
+**STARTTLS** semble supporté uniquement sur l'IMAP mais un accès sécurisé **SSL/TLS est offert** pour **l'ensemble des services de courriel** (ce qui me parait plutôt normal d'un point de vue sécurité). En soit, le support de **STARTTLS** n'est pas indispensable, mais cela permettrait d'offrir du chiffrage sur les ports standard tout en respectant les préconisations portées par les RFC.
+A titre personnel, je préfère ne pas utiliser STARTTLS et forcer les connexions en SSL/TLS, ce qui me garantie que les échanges sont chiffrés quoi qu'il arrive (pas de négociation possible), bien que je suppose que fait d'interdire tout échange non chiffré avec STARTTLS est un comportement paramétrable dans tout client mail digne ce nom (Quid de fetchmail ? ;-)).
+</WRAP>

Vim Online ;)

Outils pour utilisateurs

Outils du site

Différences

Outils de la page