Итак, файл PKCS#12 с клиентским сертификатом severtsev-rv_ deltahw.pl2 у нас имеется. Имеется также в наличии почтовая программа Mozilla Thunderbird, которую мы далее для краткости будем называть просто ТВ, последней на момент написания этих строк версии 12.0. Нужно подружить между собой эти две вещи и сделать так, чтобы при отправке писем с этого клиента и при приеме (по POP3) или работе на удаленном сервере (по IMAP) соединение шифровалось.
Первое, что сразу необходимо отметить, — хранилище сертификатов у Thunderbird свое. Собственное, ни с кем не разделяемое. Даже с лучшим другом и союзничком по захвату мира Mozilla Firefox. Поэтому все управление сертификатамм будет делаться исключительно внутри самой программы — больше его просто никак не сделать. Ну и понятно, что ни одна из процедур установки сертификатов, описанных в главе 1, нам не подходит, и мы опишем процесс установки сертификата прямо здесь.
Итак, запускаем ТВ, переходим в Инструменты => Настройки => Дополнительные (Tools => Preferences => Advanced), рис. 4.1.
Рис. 4.1. Настройка сертификатов в Mozilla Thunderbird
Нажимаем Просмотр сертификатов (View certificates), затем нажимаем Импортировать (Import), в открывшемся стандартном диалоге выбираем файл сертификата — появляется запрос пароля. Здесь надо ввести тот самый пароль, который мы задавали при генерации сертификата (рис. 4.2).
Рис. 4.2. Запрос пароля при импорте сертификата в Mozilla Thunderbird
Вводим пароль, получаем сообщение о том, что наши ключи успешно восстановлены. Правда, если вы ошибетесь в пароле, ТВ почему-то сообщит о том, что операция завершилась неуспешно по неизвестной причине.
После установки PKCS#12 у нас должно прибавиться, как обычно, два сертификата — клиентский сертификат, который видно на закладке Ваши сертификаты (Personal certificates), и сертификат СА, который отображается на закладке Центры сертификации (Trusted root certificates). По-хорошему, на этом следовало бы закончить. Но не тут-то было. Еще нужно установить доверие к только что установленному СА, а иначе им просто будет невозможно пользоваться.
Переходим на закладку Центры сертификации (Trusted root certificates), выбираем сертификат нашего СА и нажимаем кнопку Изменить доверие (Modify trust), рис. 4.3.
Вот теперь настройка сертификатов закончена, можно переходить к созданию учетных записей в программе ТВ.
Правда, я бы не назвал способ добавления, который используется в ТВ, удобным. Выбираем Инструменты => Параметры учетной записи (Tools => Account settings), внизу нужно нажать на малозаметную кнопочку Действия для учетной записи (Account actions). Поди еще догадайся, что это кнопка. После выбрать Добавить учетную запись электронной почты (Add electronic mail account), рис. 4.4.
Впрочем, пока нет ни одной учетной записи, можно нажать ссылку в основном окне программы Создать учетную запись (Create account). Независимо от того, как вы начинаете создавать учетную запись, вызывается какой-то дурацкий мастер — явная попытка сделать
Рис. 4.3. Изменение доверия к сертификату СА
Рис. 4.4. Добавление учетной записи электронной почты что-то, похожее на мастера создания учетных записей в MS Outlook. В нем нужно указать только Ваше имя (Your name), адрес электронной почты (e-mail address) и пароль (password). Ничтоже сумняше- ся, программа предполагает, что в сети, где она работает, существует только один почтовый сервер и на нем существует учетная запись с именем, равным адресу (рис. 4.5).
Рис. 4.5. Начало создания учетной записи в Mozilla Thunderbird
Ну что ж, указываем имя, адрес и пароль учетной записи, нажимаем Продолжить (Next) и тут же — Настройка вручную (Manual setup). Вот почему бы не сделать эту кнопку доступной с первого диалога? И вот здесь уже указываем имена серверов для входящей и исходящей почты, а также имя учетной записи, которое вполне может и отличаться. Параметры серверов оставляем в Авто (Auto).
Нажимаем кнопку Перетестировать (Test again). Параметр Аутентификация (Authentification) изменяем с Зашифрованный пароль (Encrypted password) на Обычный пароль (Simple password) — здесь под «зашифрованным паролем» имеется в виду digest-md5, а с ним почему-то не работает. И вот только теперь можно нажать кнопку Создать учетную запись (Create account), рис. 4.6.
Рис. 4.6. Создание учетной записи в Mozilla Thunderbird
Уф. Я, конечно, понимаю, что разработчики старались минимизировать действия пользователя, но мне почему-то кажется, что раньше, когда этот непонятный мастер не появлялся, было лучше.
И, кстати сказать, это еще не все. Еще нужно зайти в Инструменты => Параметры учетной записи (Tools => Account Settings), выбрать пункт Защита (Security) и в поле Цифровая подпись (Digital signature) выбрать личный сертификат. Для этого нажать Выбрать (Select) — появится окно со списком сертификатов, будет показан первый. Список можно раскрыть, в нем отображаются все доступные в данный момент действующие личные сертификаты, поле emailAddress которых равно адресу электронной почты, указанному в настройках. Просроченные сертификаты в этом списке не показываются (рис. 4.7).
Все. Если теперь параллельно с приемом-отправкой запустить wireshark, можно будет увидеть, что команда STARTTLS выполняется и при работе по IMAP, и при отправке по SMTP — сниффите на здоровье!
На всякий случай приведем настройки, которые были установлены в клиенте:
- ? IMAP — порт 143, защита соединения STARTTLS, метод аутентификации — обычный пароль;
- ? SMTP — порт 587, защита соединения STARTTLS, метод аутентификации — обычный пароль.
Из не имеющих отношения к безопасности недостатков стоит отметить тот факт, что ТВ ограниченно можно настроить на использо-
Рис. 4.7. Выбор личного сертификата в Mozilla Thunderbird
ванне AD в качестве LDAP-сервера для адресной книги — адреса из нее подставляются при поиске, но загрузить ее для автономного использования невозможно — постоянно выдается сообщение Ошибка репликации (Replication error).
Что ж, обычных пользователей настроили (все прочие настраиваются одинаково) — идем настраивать тех, кто «равнее других».
Что такое
Mozilla Thunderbird — это бесплатная программа для работы с почтой, которую разработала компания Mozilla (да-да, они еще и Firefox сделали). Скачать ее можно на официальном сайте.
Как настроить для получения, хранения и отправки почты?
Для начала, Вам понадобятся следующие настройки:
SMTP-сервер — например smtp.mysite.com
POP3-сервер — например mail.mysite.com
Имя пользователя — например Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
Пароль — он и в Африке пароль.
Еще раз напомним, имя пользователя и пароль задаются Вами, при создании почтового ящика (в панели управления хостингом). POP3 и SMTP серверы можно узнать у хостинг-провайдера, или же посмотреть в письме с настройками, которое приходит после заказа хостинга.
1. Откройте Thunderbird и перейдите "Инструменты" -> "Параметры учетной записи".
2. Выбираем "Действия для учетной записи" и нажимаем "Добавить учетную запись почты".
3. Вводим имя, адрес электронной почты и пароль. Все это Вы должны были выяснить на этапе подготовки. Жмем "Продолжить".
4. После этого программа автоматически постарается подобрать нужную конфигурацию. Если Вы настраиваете почту от популярных сервисов (mail.ru, gmail и т.д.), то Thunderbird подберет верные настройки. Но если Вы хотите использовать почту своего сайта, нажимайте "Настройка вручную".
5. Имена SMTP и POP/IMAP серверов нужно было узнать на подготовительном этапе. Порт зависит от сервера и того, используется ли защищенное соединение (TLS/SSL).
Отправка почты (SMTP): Обычное соединение — 25 порт, защищенное соединение (TLS/SSL) — 465 порт.
Получение почты (POP3/IMAP): Обычное соединение — 110, защищенное (TLS/SSL) — 995 порт.
Аутентификация — Обычный пароль.
6. Если на предыдущем шаге Вы не выбрали защищенное соединение (SSL), то программа сделает предупреждение о потенциальных рисках. Если Ваша почта поддерживает защищенное соединение, то лучше вернитесь и настройте его. Если нет (зачастую хостеры не поддерживают эту услугу или заставляют доплачивать за нее), то жмите "Готово".
7. Везде жмем "Ok" и "Далее". И в конце-концов Ваш новый ящик будет в левой колонке.
Если Вы все сделали правильно, то ящик будет создан, и Вы легко разберетесь как им управлять. Если же у Вас возникают трудности или ошибки, то пишите их в комментариях, и мы постараемся ответить Вам на имейл.
Ошибка Bad recipient address syntax
Эта ошибка как правило, появляется из-за того, что включена проверка правильности указания адреса электронной почты отправителя. Чтобы это исправить жмем "Сервис" -> "Параметры" -> "Параметры электронной почты" -> "Дополнительные параметры электронной почты" и убираем галочку с "Автоматически проверять имена".
Просмотреть больше тем
Когда вы конфигурируете учётную запись, Thunderbird создаёт "идентификацию" по умолчанию для учётной записи, которая содержит такую информацию как ваше имя, ваш адрес электронной почты, расположение, где должны храниться ваши сообщения, подпись и т.д. Вы можете вручную создать дополнительные идентификации для своей учётной записи (с помощью Инструменты > Параметры учётной записи… Правка > Параметры учётной записи… , Дополнительные адреса электронной почты ). Когда вы создаёте (или отвечаете на) сообщение, вы можете указать любую из сконфигурированных идентификаций, выбрав её из выпадающего списка От.
В качестве примера о том, как получить пользу от идентификаций, представьте сценарий, при котором у вас есть адрес "по умолчанию" для домена (например, "feedback@example.com"), который опубликован на вашем веб-сайте. Люди могут отправлять сообщения на этот адрес по разным причином: вопросы клиентов, вопросы вендоров, обратная связь по техническим проблемам сайта и т.д.
Когда вы конфигурируете множество идентификаций, вы можете указать идентификацию, которая будет использоваться при ответе на сообщение. Например, вы можете сконфигурировать идентификацию для "sales@example.com", с именем и адресом электронной почты, отличном от "feedback@example.com". Затем, когда вы отвечаете на "feedback@example.com", вы можете указать идентификацию "sales@example.com".
Другие применения идентификаций:
- использование сервиса пересылки электронной почты, который перенаправляет сообщения, отправленные на старую учётную запись электронной почты, на новую учётную запись
- переключение конфигурации сообщения для отдельных сообщений (например, шифрование или SMTP-сервер)
В этой статье идентификации относятся к разным конфигурациям единственной учётной записи. Однако если у вас множество учётных записей электронной почты, для каждой учётной записи существует профиль по умолчанию, который используется таким же образом, как идентификации для единственной учётной записи.
Чтобы создать идентификацию, щёлкните Инструменты > Параметры учётной записи… Правка > Параметры учётной записи… . Выберите желаемую учётную запись из списка слева, затем щёлкните по кнопке Дополнительные адреса электронной почты справа внизу. Отобразится список идентификаций, созданных для учётной записи ранее. Чтобы создать новую идентификацию, щёлкните Добавить .
Так же, как и при конфигурации идентификации по умолчанию, когда вы создаёте новую учётную запись, диалоговое окно для создания идентификаций позволяет вам указать несколько аспектов:
- Настройки: имя, адрес, подпись и т.д.
- Копии и папки: копии, скрытые копии и место хранения сообщений
- Составление и адресация: текстовый формат, управление цитатами, подпись и т.д.
- Защита: цифровые подписи и шифрование
Когда вы создаёте новое сообщение, Thunderbird использует идентификацию по умолчанию для выбранной учётной записи в качестве значения От сообщения. Щёлкните по выпадающему списку в поле От, чтобы выбрать другую идентификацию. В выпадающем списке отобразятся как идентификации для выбранной учётной записи, так и идентификации для других учётных записей.
При ответе на сообщение или пересылке сообщения Thunderbird сканирует получателей сообщения и, если это доступно, выбирает идентификацию исходного автора, который был использован при отправке вам сообщения. (Иногда эта информация недоступна, например, в некоторых списках рассылки). Эта идентификация станет затем идентификацией по умолчанию в окне составления. Вы можете выбрать другую идентификацию, как описано выше.