私はSTARTTLSをサポートするCourier IMAPを実行しています。現在IMAP_TLS_REQUIRED
0(false)に設定されています。これは、クライアントが安全でないチャネルを介してプレーンテキストを使用してログインできることを意味します。 1(true)に設定すると、SquirrelMailが中断されるため(STARTTLSは使用できません)、オプションではありません。ただし、特定のIPアドレスだけが合法的に暗号化されていないトランスポートを使用できることがわかります。
最も簡単な場合は、理論的には暗号化なしで127.0.0.1の接続を許可し、他のすべての接続が認証される前にSTARTTLSを要求することが可能でなければなりません。しかし、私はこれを行うことができませんでした。また、もっと複雑なことをしたい場合はどうなりますか? 203.0.113.147のWebサーバーが203.0.113.148のIMAPサーバーと通信し、その間にセキュアLANがある可能性があります。 (LANが実際に安全であることを証明する問題は今は無視してください。)IMAP_TLS_REQUIRED
接続ごとに設定を変える方法はありますか?
答え1
IMAP_TLS_REQUIRED
私はこれをtrueに設定し、サポートされていないクライアントを使用する方法がないと思いますSTARTTLS
。
ただし、ネットワークを完全に制御できる場合は、他の可能性もあります。 SquirrelMail接続の場合、各IPアドレスに対してファイアウォールルールを使用して、少なくともその人だけがTLSなしでサービスに接続できるようにすることができます。ネットワークに中間者攻撃の可能性がまだある場合、これは実際にはもはや安全ではありません。
ただし、これが他のユーザー(Thunderbirdユーザーなど)に暗号化を使用することを強制するわけではありません。だからそれほど安全ではありません。
別のアプローチは、2つの異なるポートで2つの宅配便インスタンスを実行することです。非セキュアポートには別のポートを選択できます(常に開いているすべてのポートを確認できるハッカーから実際に隠すことはありません)。このように、暗号化可能バージョンはフラグを使用でき、IMAP_TLS_REQUIRED
少なくともそのユーザーは暗号化を使用しないことはありません。
つまり、TLS v1.2が機能しないようです(少なくともUbuntu 18.04では)。したがって、宅配便を別のものに変更する必要があるかもしれません...