OVH Community, votre nouvel espace communautaire.

Envoi mail sécurisé


fritz2cat
15/06/2010, 09h38
Bonjour,

Pour envoyer un mail sécurisé de bout en bout, il y a deux grands courants: PGP (ou gpg) et S/Mime.

Dans les deux cas la personne qui doit recevoir un mail sécurisé devra au préalable avoir fabriqué des clés et publié les clés publiques, éventuellement certifiées par une autorité (certification authority) ou un réseau (web of trust).

C'est bien ton problème: ton destinataire n'a jamais entendu parler de tout cela. Il ne pourra pas recevoir le moindre mail sécurisé.

Tu dois donc considérer que l'information secrète et confidentielle ne pourra pas être transportée par mail.

Je ne vois que comme alternative possible, que ton client prenne connaissance de cette information confidentielle sur ton site web, sécurisé en ssl (https) .
Pour celui-ci tu auras acquis un certificat d'authenticité (même mécanisme: tu crées des clés, la clé publique doit être transmise dans un fichier CSR à une autorité de certification, tu reçois un certificat en retour. C'est payant.)



Frédéric

Nowwhat
15/06/2010, 09h09
J'ai bien compris que le serveur d'envoi est chez toi, est que les destinataires ce trouveront n'importe où sur la planète.
Déjà, on ne peut 'obliger' que le destinataire utilise son pop à lui avec un accès sécurisé, ce qui rend caduc cette phase de sécurité (SSL, etc) - on ne peut l'imposer.
Il faut donc crypter me mail lui même - au pire en ZIP avec mot de passe.
La destinataire va donc être impliqué dans la sécurisation.

liandri
15/06/2010, 08h24
Merci pour tes orientations ! Mais le client va checker ses mails dans sa boite personnelle, et je doute que l'on puisse lui dire de faire quoi que ce soit pour "décrypter" le mail.

Tant en https (ssl) toute la phase de navigation est sécurisée entre client et serveur web, qu'en transaction mail je vois pas trop !

En fait le serveur pop n'est pas sur le serveur web en local, c'est un mail hébergé ailleurs. Donc même si le https va sécuriser tout le traitement avec le formulaire client + les traitements "internes", et même si le client peut par son compte pop à lui checker ses mails en tls/ssl pour sécurisé cette phase de récupération de mail, il n'en reste pas moins un problème de sécurisation entre l'envoi du mail depuis le serveur web vers le serveur pop du client.

Qu'en pensez-vous ?

Nowwhat
15/06/2010, 06h57
Oui, bien compris.

Juste une exemple : attendu parler de i.e. PGP ( http://fr.wikipedia.org/wiki/Pretty_Good_Privacy ) ?

Normallement, ce concept est a implementer entre client-mail et client-mail des deux cotés, mais pour toi, un coté est un formulaire, donc rien à faire.
Le code de PGP me semble "libre" (semi-libre) et est a implementé coté serveur.
Coté lui qui reçoit le mail : à informer aussi car il lui faut des outils.

liandri
14/06/2010, 22h45
Merci pour ta réponse,

Mais j'ai dû mal m'exprimer.

Ma fonction mail en php fonctionne très bien à l'heure actuelle, et envoi très bien les mails à destination.

Je souhaiterai que le simple envoi de ce mail via php (fonction mail() ) soit tout simplement sécurisé, afin que son contenu ne soit pas lisible, sauf par le destinataire du message.

Nowwhat
14/06/2010, 22h35


Ton serveur Apache ce trouve sur ton serveur.
Le serveur mail aussi (je présume) donc la fonction mail() de PHP ce connecte vers le 127.0.01 !!
L’info ne partira jamais de ton serveur.

Le formulaire en SSL s'occupe d'un transport sécurisé de ton client vers le serveur, c'est ok ça.
Mais demander comment protéger ce message qui ne quittera jamais le RAM de ton serveur, alors là .......

De plus : ici t'est dans la section How-Tow-To du forum avec comme description "Les guides réalisés par les utilisateurs", on y poste des problèmes rencontré et leur solutions, certainement pas des questions.

Je termine donc avec un ( )

liandri
14/06/2010, 21h03
Bonjour à tous !

Je suis sur un gentoo release 2 d'ovh en dédié avec Apache2.

Comment puis-je envoyer un mail sécurisé depuis la fonction mail en php.

En fait j'ai plusieurs étape à mettre en oeuvre afin de sécuriser toute une transaction.

Je souhaite mettre en place un formulaire php en ssl (je dois configurer apache2 pour ça avec certainement l'achat d'un certificat ssl). De ce formulaire, le resultat du post doit envoyer par mail un code bien spécifique, qui bien sur ne doit pas être envoyé en dur depuis le serveur, sinon le fait de passer en ssl depuis le début sert plus à grand chose.

Que me conseillez-vous pour avoir cette sécurisation du début à la fin ?

Merci beaucoup pour votre aide !