stunnel에 대해 답변드립니다.

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

stunnel은 일반적인 tcp/ip를 암호화해주는 프로그램이라고 생각하시면 됩니다. 따라서 평문으로 전송되는 110(pop3) 대신 암호화가 지원되는 995(spop3)를 통해 접속하시면 내부적으로 이를 110번으로 포워딩해 주는 것입니다.  즉, 995 포트로 접속하면 이 트래픽을 서버의 110번으로 리다이렉트해 주는 것입니다.
따라서 stunnel을 설치하셨다 하더라도 110번으로 접속하면 이전처럼 평문으로 접속하는 것이며 995번으로 접속하여야 암호화된 세션을 통해 접속하게 되는 것입니다.   

그리고, iptables를 사용할 경우, spop3만 제공한다면 110(tcp)는 127.0.0.1을 통해 통신하므로 110(tcp)를 차단하고, 995(tcp)만 허용하면 되겠지만 spop3와 일반 pop3를 함께 제공한다면 110(tcp)도 허용해 주어야 합니다. 이를테면 웹메일을 통해 pop3 읽기를 하고자 할 경우 spop3를 제공하지 않으므로 이때에는 어쩔수 없이 110(tcp)을 허용하여야겠지요..

일반적으로 stunnel은 pop3와 같이 접속이 적은 서비스에 적당하며 웹서비스등에는 부적절합니다. 따라서 웹서비스를 제공하고자 할 경우에는 당연히  mod_ssl과 같은 전용 SSL 프로토콜을 사용하셔야 합니다.   

답변이 되셨는지요?

감사합니다.