Dovecot: identification par certificat

Salut à tous !

Je fais tourner sur mon serveur un dovecot pour la récupération distante de mes e-mails (via IMAPS).
Pour plus de sécurité, je souhaiterai que l’identification de mon compte ne passe plus par un mot de passe, mais par un certificat (ou équivalent) que je copierai sur la seule machine que j’utilise pour relever mes e-mail lorsque je n’ai pas d’accès physique au serveur.

D’où deux questions qui me viennent spontanément :
_est-ce possible avec dovecot ? sinon, vers quel outil me tourner ?
_dans quelle direction chercher pour obtenir un peu de documentation sur le sujet ?

Côté possibilité, je l’ai sur mon serveur.
Je joins une capture d’une partie de "paramètres du serveur"
Perso, je fonctionne quand même avec un MDP (il est béton) mais dans le déroulant, il y a la possibilité de choisir “Certificat TLS”, entre plusieurs autres choix.

ricardo :
C’est une capture d’un bout de ton client ça, non ?
Si c’est bien le cas, je crois qu’il donne une liste de choix qui n’est pas limitée aux possibilités du serveur (en tous cas avec icedove/thunderbird). Je pouvais par exemple choisir de me connecter à mon serveur via SSL/TLS avant de mettre en place cette option côté serveur.

Semblerait que j’ai trouvé un bout de doc pertinent :
wiki2.dovecot.org/SSL/DovecotConfiguration

Je reviens dans le coin dès que j’arrive à quelque chose.

Salut,
J’ai trouvé cette documentation :
blog.moncoindunet.fr/linux/dovec … our-limap/
blog.moncoindunet.fr/linux/opens … uto-signe/

Salut,

je vais peut-être dire une grosse bétise, mais il me semble que le mot de passe est obligatoire, et que le SSL ou TLS permet seulement de ne pas transmettre le mot de passe (et les mails envoyés) en clair sur le réseau.

[quote=“ben_raven”]Salut,
J’ai trouvé cette documentation :
blog.moncoindunet.fr/linux/dovec … our-limap/
blog.moncoindunet.fr/linux/opens … uto-signe/[/quote]
Cette doc concerne la mise en place de SSL/TLS pour chiffrer la communication client/serveur.
C’est déjà en place sur mon serveur, mon besoin actuel est différent : j’aimerai que les clients présentent un certificat et non plus un mot de passe pour se connecter au serveur.

Ben il me semble que l’acceptation du chiffrage se fait la première fois seulement et qu’ensuite, seul le MDP est demandé

[quote=“vv222”][quote=“ben_raven”]Salut,
J’ai trouvé cette documentation :
blog.moncoindunet.fr/linux/dovec … our-limap/
blog.moncoindunet.fr/linux/opens … uto-signe/[/quote]
Cette doc concerne la mise en place de SSL/TLS pour chiffrer la communication client/serveur.
C’est déjà en place sur mon serveur, mon besoin actuel est différent : j’aimerai que les clients présentent un certificat et non plus un mot de passe pour se connecter au serveur.[/quote]

Tu souhaite grosso modo que tes client puisse envoyer du mail sans avoir à s’authentifier avec un mot de passe mais avec une clé de chiffrement, un peu à l’image d’une connexion SSH par clé si je comprends bien ?

Si s’était possible quel client mail permettrait se type d’authentification ?

C’est exactement ça.

Icedove propose d’identifier un compte par « Certificat TLS » (au lieu du mot de passe).
Ricardo l’a évoqué quelques messages plus haut :
dovecot-identification-par-certificat-t51135.html#p508163

Je recopie les possibilités du déroulant (capture déroulant impossible) :
[mono]MDP normal
MDP chiffré
Kerberos/GSSAPI
NTLM
Certificat TLS[/mono]

Ah ok, j’avais mal compris le but.

Effectivement ça doit être possible, Thunderbird/Icedove propose bien ce type d’authentification. Reste à trouver la conf de dovecot.

Il y a ce billet :
majic.rs/book/free-software-x509 … henticatio
Et celui-ci en complément : serverfault.com/questions/624303 … entication
Enfin le chapitre paragraphe “Client certificate verification/authentication” du wiki de Dovecot : wiki2.dovecot.org/SSL/DovecotConfiguration

Merci ben_raven, je pense que je devrais trouver ce qui me manque dans les liens que tu as donné.
Je reviendrai dans le coin pour un compte-rendu quand j’aurai réussi à mettre en place quelque chose de fonctionnel.