geplaatst
Weinig e-mailgebruikers beseffen dat het ophalen en verzenden van e- mail via respectievelijk POP3 en SMTP onveilig is. Deze protocollen vereisen weliswaar een wachtwoord, maar dit wordt zonder enige versleuteling over internet gestuurd. Ook de inhoud van je e-mails zelf, wordt onversleuteld verzonden. Als bij je eigen inbel- of ADSL- provider e-mail ophaalt, dan is dat geen enorm risico: de verbindingen die je dan gebruikt zijn allemaal eigendom van KPN en je provider. Het is onwaarschijnlijk dat er derden meekijken naar de data. Als je echter veel rondreist en gebruik maakt van wireless netwerken, dan is het mogelijk dat er tientallen internetbedrijven tussen je laptop en de mailserver van je provider zitten. Dat zijn doorgaans geen kwaadwillende partijen die azen zijn op je wachtwoord, maar toch zit het ons niet lekker dat ons wachtwoord regelmatig ongecodeerd over het internet reist. Vandaar dat we in het verleden al artikelen hebben gewijd aan veilig ftp'en (met SCP), veilig websurfen (met SSL / https) en veilig telnetten (met SSH).
Dankzij een nieuwsgroepposting van de Xs4all-toptechneut Reinoud van Leeuwen weten we sinds kort ook hoe we veilig onze e-mail kunnen afhandelen. Voor we de uitleg weergeven in dit artikel, merken we op dat deze geldt voor Xs4all. De methode geldt echter ook voor andere providers die een unix shell service aanbieden. Ook zijn er providers die het POP3-verkeer zelf kunnen encrypten. Abonnees van verschillende providers kunnen via de link onderaan dit artikel reageren om hun medegebruikers op weg te helpen met veilig emailen. Tenslotte merken we op dat webmail veilig is bij Xs4all en andere providers dankzij SSL/https. POP3 en SMTP staan los van webmail. Ze worden gebruikt om mail te zenden en ontvangen met je eigen software zoals Outlook, Eudora of TheBat.
We hebben eerst een softwareprogramma voor encryptie nodig met de naam PuTTY, dat gratis kan worden gedownload via de link onderaan dit artikel. Start het en vul bij het openingsscherm Session als Host Name 'xs1.xs4all.nl' (zonder aanhalingstekens) in en selecteer vervolgens SSH. Als het goed is, springt het portnummer op 22. Ga vervolgens naar Tunnels bijna onderin het hoofdmenu. Vul onderin bij Source Port het nummer 1110 in en bij Destination 'pop.xs4all.nl:110' (zonder aanhalingstekens) en klik op Add. Als het goed is, staat er nu "L1110 pop.xs4all.nl:110" in het veld boven Add. Keer tenslotte terug naar Session en Save deze nieuwe configuratie. Vul bij Saved Sessions een zelfbedachte naam in, bijvoorbeeld 'Veilig' zodat je bovenstaande niet steeds opnieuw hoeft te doen.
Zorg nu dat je computer verbinding heeft met internet en open de sessie die je hierboven geconfigureerd hebt. Je logt nu in bij de xs1 unix machine van Xs4all. Gebruik je normale loginnaam en wachtwoord. Over de mogelijkheden van unix kunnen we moeiteloos een paar honderd SmallZines vullen en dat doen we misschien nog wel eens. In dit geval hoef je er echter niets vanaf te weten, zolang je het PuTTY window maar niet sluit.
Het is tijd om te gaan emailen. De configuratie van je emailprogramma moet worden aangepast. De POP3 server is nu je eigen machine die je kunt invullen als '127.0.0.1' of 'localhost' (zonder de aanhalingstekens). Ook het poortnummer van de POP3 server moet worden aangepast. Dit is in de meeste mailsoftware even zoeken, maar het zit altijd wel ergens in de configuratieopties. Vervang de standaardpoort 110 door 1110. Probeer nu je mail op te halen met de nieuwe instellingen. De mail komt als vanouds binnen met als enig verschil dat zowel je wachtwoord als de inhoud van de e-mail versleuteld over het internet vliegen. Zowel PuTTY als de xs1 machine zitten nu in de mailverbinding en zorgen voor encryptie. Het nummer 1110 is de lokale poort op je eigen pc. Je mag het daarom ook variëren, maar kies altijd een hoger nummer bijvoorbeeld 5000 of 5110, zolang je die nummers ook gebruikt in je mailsoftware configuratie. Wij vinden het zelf handig om altijd 1000 op te tellen bij het standaard poortnummer van een service.
Werkt het niet? Test de tunnel door een DOS commandprompt te openen (via Start -> Run ..) en in te tikken 'telnet localhost 1110' (of het andere lokale poortnummer dat je hebt gekozen). Dit kan eventueel ook in PuTTY zelf. Als het goed is, zie je zoiets als '+OK QPOP (version 2.3-XS4ALL) at mailpop5.xs4all.nl starting.' op je scherm. Zo niet, dan ligt de fout bij de PuTTY configuratie. Als PuTTY wel goed werkt, loop dan je mailsoftware na.
Met bovenstaande oplossing kun je e-mail ophalen. Voor het verzenden van mail heb je een tweede tunnel nodig naar SMTP. Dit protocol maakt van poort 25 gebruik. Als je tot hier gekomen bent in dit artikel, dan lukt het toevoegen in PuTTY je waarschijnlijk wel. De tunnel ziet er als volgt uit: L1025 smtp.xs4all.nl:25 waarbij 1025 weer zelfgekozen is. Vergeet niet de PuTTY sessie opnieuw te saven als 'Veilig'. De smtp server in je mailclient wordt nu ook 'localhost' (of '127.0.0.1') en poort 1025. Vergeet dit niet te configureren voordat je e-mail verzendt. Als je helemaal klaar bent met emailen, dan is het netjes om 'exit' te tikken op de unix prompt die je in PuTTY ziet, maar PuTTY zelf afsluiten kan ook.
Deze veilige e-mailoplossing is sterk aan te raden bij het rondreizen met een laptop gebruikmakend van wireless netwerken. Het is vaak onduidelijk wie een wireless netwerk beheert en of diegene met het dataverkeer meekijkt. Je mail en wachtwoord is voortaan versleuteld en we hebben ook gemerkt dat smtp (poort 25) niet altijd ondersteund wordt door openbare wireless netwerken. Zolang poort 22 voor SSH wel wordt doorgelaten, kun je bij dergelijke netwerken voortaan wel e-mail verzenden. Uiteraard kan - behalve PuTTY - ook een ander SSH programma gebruikt worden. Zo heeft het programma SecureCRT de mogelijkheid om na de connectie en de tunnel automatisch je mailsoftware te starten.
(smallzine)
-------------------- People are like pieces of a puzzle. We all fit together, but not all of us connect. Berichten: 6985 | Plaats: Zeist | Geregistreerd: Jul 2002
| IP: Gelogd |
Leuk hoor dat jij je mail nu van de server beveiligd ophaalt. En zelfs veilig weer wegzend. Maar daarna (en bij ontvangen daarvoor), is het toch echt niet beveiligd verzonden....
En ik neem aan dat je wilt dat je mailtje niet alleen naar gebruikers van je eigen provider gaan...
Betere oplossing is natuurlijk het mailtje zelf versleutelen.
Nou ja soms zijn er mensen die het willen overdijven..
Berichten: 36 | Plaats: Netherlands | Geregistreerd: Jul 2002
| IP: Gelogd |