Serveurs de messagerie : Open Relay, En-tête des messages…

Serveurs de messagerie

Nous venons de publier un dossier complet relatif à la sécurisation de la messagerie électronique, principalement destiné à l’entreprise. Composé de 6 volets dont celui-ci, consacré à la sécurisation des serveurs de messagerie, il convient d’utiliser son contenu comme une sorte de « check list » permettant d’évaluer votre service existant.

Sécurisation des serveurs de messagerie

Ces quelques mécanismes relativement simples à mettre en œuvre s’appliquent à tout service de messagerie et contribuent significativement à leur niveau de sécurité.

Open Relay

Le principe de l’Open Relay consiste, sur un serveur de messagerie, à accepter les envois de mails depuis n’importe quelle origine et vers n’importe quel destinataire, rendant leur utilisation possible en tant que relais de Spams.Messagerie - Open Relay

De nos jours, il est de plus en plus rare que les serveurs de messagerie soient configurés de cette manière, néanmoins il est préférable de contrôler ce paramètre.

Un serveur correctement configuré doit accepter les mails entrants uniquement s’ils sont à destination d’adresses mails appartenant à votre domaine, et éventuellement depuis des adresses IP définies, et/ou ayant pour émetteur un domaine connu et approuvé.

En-tête des messages

Les clients de messagerie, les serveurs et les solutions antispam ajoutent généralement des entêtes aux messages afin d’assurer leur distribution au sein de l’infrastructure. Bon nombre de ces entêtes contiennent des informations sensibles sur la topologie du Système d’Information (noms de serveur, adresses IP internes, informations sur les solutions de sécurité utilisées, …). Ils sont utilisés pour le bon acheminement des communications internes, mais n’ont plus aucune utilité une fois que les messages sont envoyés à l’extérieur. Un attaquant peut mettre à profit ces informations pour mieux cibler la construction de ses attaques vers votre organisation.Messagerie - Entêtes

Ces entêtes doivent être supprimés avant l’envoi des messages vers des destinataires externes. Le mécanisme automatisé de suppression est communément appelé « Header Stripping ». Il peut être effectué, au choix, soit sur le serveur de messagerie, soit sur la solution antispam, soit idéalement sur les 2 conjointement.  Il s’agit d’une fonctionnalité offerte par la plupart des solutions de messagerie du marché.

Authentification

Messagerie - Authentification

Afin de s’assurer que seuls les émetteurs autorisés ont la possibilité d’émettre des messages, il est nécessaire d’activer l’authentification SMTP sur tout serveur utilisé pour les envois (en interne ou vers l’extérieur). Ce mécanisme permet également une traçabilité détaillée des envois et une lutte plus efficace contre les malware émetteurs de Spams (ceux-ci devant compromettre les identifiants afin de réaliser des envois).

Les serveurs de messagerie supportent généralement cette fonction (SMTP AUTH ou ASMTP). Ainsi, tout émetteur de message (utilisateur, application, système, …) doit disposer d’un compte (et d’un mot de passe) lui permettant de démontrer son identité avant d’être en mesure d’envoyer des messages. Dans la plupart des cas, cette authentification pourra s’appuyer sur un annuaire interne (ex : Active Directory, nativement supporté sous Exchange notamment).

Chiffrement

Initialement, les protocoles de messagerie (SMTP) n’étaient pas conçus pour assurer la confidentialité et l’intégrité des communications. Aujourd’hui, cette lacune a été comblée par la mise en œuvre d’une encapsulation des protocoles dans des canaux sécurisés SSL/TLS. Ce mécanisme présente également l’avantage de vérifier l’identité des serveurs de messagerie distants (vérification qu’ils sont bien ceux qu’ils prétendent être).

La problématique réside dans le fait que les acteurs (clients et serveurs de messagerie) ne sont pas encore tous compatibles avec cette technologie.

C’est pourquoi l’activation de ces mécanismes doit être effectuée de manière prudente :

  • Sur la réception de messages provenant de l’extérieur, son activation doit permettre l’utilisation « optionnelle et préférée » du chiffrement, laissant la possibilité à des serveurs de messagerie anciens de continuer à envoyer les messages en clair. Ce mode est souvent appelé « TLS Preferred » reposant sur le mécanisme StartTLS.
  • Sur l’émission de messages vers l’extérieur, les serveurs de messagerie doivent être paramétrés pour systématiquement tenter d’activer le chiffrement, et choisir l’envoi en clair uniquement si les serveurs distants ne le supportent pas.
  • Sur la communication des clients de messagerie internes avec vos serveurs, son activation doit être obligatoire. Les serveurs de messagerie ne devront pas accepter de communications internes non chiffrées. Sauf bien sûr s’il vous est impossible de résoudre les éventuels problèmes de compatibilité associés.

Enfin, le chiffrement SSL est aujourd’hui démontré comme insuffisamment fiable car celui-ci comporte des vulnérabilités de conception qu’il est désormais impossible de corriger. Il est donc nécessaire de lui préférer le mécanisme TLS, idéalement dans sa plus récente version (TLS 1.2 et bientôt 1.3).

Lire le dossier complet

No votes yet.
Please wait...
A propos Sylvain Pilette 7 Articles
Professionnel passionné en sécurité de l’information depuis plus de 12 ans, Sylvain a su faire évoluer son savoir-faire au sein d’environnements clients aux enjeux et problématiques riches et variés (industrie, télécoms, défense, transports, services), en mettant l’accent sur la qualité du service rendu, la créativité, le pragmatisme et la rationalité économique dans les solutions proposées. Son engagement, son sens du service et sa volonté entrepreneuriale l’ont conduit à participer à la création de LINEON, avec un leitmotiv : la satisfaction client http://www.lineon.fr
Contact : Site web

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*