Autenticazione Stronger POP3 / IMAP

9

Recentemente abbiamo implementato una soluzione di autenticazione a due fattori per rafforzare l'accesso alle nostre applicazioni Web (una di queste è la posta basata sul Web, l'accesso Web Outlook di Microsoft) La maggior parte degli utenti a cui sono stati assegnati nuovi token sono anche utenti pop3 / imap da molto tempo. Abbiamo quindi notato che mentre le applicazioni web sono ben protette da 2FA, le applicazioni di posta elettronica sono un modo semplice per bypassare qualsiasi metodo di autenticazione più strong perché POP3 / IMAP non supportano 2FA.

La mia domanda è: come posso fornire un metodo di autenticazione più strong con i servizi pop3 / imap che non supportano 2FA? Qualche consiglio per risolvere questo problema?

    
posta Owkv 04.09.2012 - 01:10
fonte

6 risposte

8

IMAPS (ovvero "IMAP in SSL") può essere configurato con un requisito per un certificato client (ovvero SSL bi-autenticato). È possibile configurare il server IMAPS in questo modo e richiedere i certificati emessi da una CA personalizzata e distribuiti in smartcard (o token USB equivalenti a smart card, il che è più semplice poiché questi non necessitano di lettori specifici). Infine, le smartcard potrebbero richiedere un codice PIN, che quindi conta come 2FA (un fattore è il possesso della smartcard, il secondo fattore è la conoscenza del PIN).

Purtroppo, non tutti i client IMAPS supportano i certificati client (ad esempio, su un iPhone, apparentemente richiede jailbreaking e qualche sforzo extra ) (buona fortuna per collegare una smartcard in un iPhone comunque ...). Inoltre, impostando un PKI e iscrivendo le smartcard, tende ad essere, diciamo, un po 'costoso.

    
risposta data 04.09.2012 - 02:22
fonte
1

Se il tuo server IMAP supporta l'utilizzo di PAM per l'autenticazione, potresti essere in grado di configurare PAM per utilizzare una Yubikey + una password per l'autenticazione a due fattori. Credo che Yubikey supporti l'integrazione con PAM, anche se non ho esperienza personale con esso e non ho visto alcun report su come integrarlo con un server IMAP.

In alternativa, puoi utilizzare Gmail come provider di posta e utilizzare una "password specifica per l'applicazione" per l'autenticazione in Gmail. Questa tecnica non è un'autenticazione a due fattori, ma è in qualche modo migliore di una password scelta dall'utente.

    
risposta data 04.09.2012 - 01:47
fonte
1

È possibile consentire le connessioni al server di posta solo da IP interni e fornire una soluzione VPN e webmail. La VPN sarebbe necessaria per l'utilizzo di client come Outlook e richiederebbe l'autenticazione a due fattori sulla connessione. L'opzione webmail richiederebbe l'autenticazione a due fattori per connettersi al sito e il sito consentirebbe l'invio e la ricezione di e-mail tramite un server interno a cui è consentito l'accesso dalle regole del server di posta.

    
risposta data 04.09.2012 - 19:40
fonte
1

Mentre sarebbe relativamente semplice modificare un server POP / IMPA open-source per utilizzare un diverso metodo di autenticazione, riscrivere MS Outlook sarà molto più difficile.

In alternativa, è possibile utilizzare un gateway captive inverso per consentire solo l'accesso al server POP / IMAP per gli indirizzi IP che sono stati recentemente autenticati con successo tramite HTTP, ma esistono numerosi problemi:

  • stai basando l'autenticazione su un indirizzo IP - non l'utente - potrebbero esserci altri utenti all'indirizzo IP

  • l'IP del client che vedi serveride potrebbe essere diverso per diversi protocolli / lo stesso client

Una soluzione più pratica sarebbe quella di limitare l'accesso IMAP / POP a una VPN e richiedere l'autenticazione per la VPN (primo fattore) insieme a un nome utente / password POP (secondo fattore).

    
risposta data 04.09.2012 - 11:18
fonte
0

La raccomandazione di Tom Leek di esaminare i certificati dei clienti è la soluzione migliore. Le soluzioni password una tantum sono inadatte per IMAP , perché molti client di posta elettronica aprono più connessioni o connessioni ripetute senza che ciò sia evidente per l'utente.

Ho effettuato l'accesso al mio client IMAP webmail stamattina, ma osservando i log vedo che ha eseguito l'autenticazione con il backend IMAP 40 volte negli ultimi 90 minuti. Se era in uso un fattore password una tantum, non è stato possibile farlo senza ulteriori richieste.

    
risposta data 04.09.2012 - 20:27
fonte
0

La prima cosa è riformulare la tua domanda: quali protocolli di autenticazione standard posso utilizzare per implementare l'autenticazione a due fattori in IMAP? La risposta all'interno del firewall è di solito raggio. Se è possibile configurare il server IMAP in modo che supporti il raggio e il caching della sessione (per evitare il problema che @gowenfawr menziona come sicuramente si è fatto anche per le proprie app Web), è possibile farlo funzionare con qualsiasi fornitore 2FA. Come tutti supportiamo RADIUS.

Non sono sicuro di come fare questo su Windows, ma molto probabilmente avrai bisogno di qualcosa davanti al tuo server IMAP come Forefront. Ecco come l'ho fatto per SquirrelMail / IMAP su Linux: link .

    
risposta data 27.05.2014 - 16:01
fonte

Leggi altre domande sui tag