Sécurité MAIL - ThomasDeceuninck/Admin2bis GitHub Wiki
Sécurisation du service mail
Identification des biens à protégé
La connexion sur le serveur mail
Notre serveur de messagerie a été créé pour permettre l'utilisation d'un MTA (Mail Transfer Agent) et d'un MDA (Mail Delivery Agent). Ces agents de messagerie sont gérés sur notre serveur à l'aide des services Postfix et Dovecot. Cependant, un MTA tel que Postfix n'exige pas d'authentification pour être utilisé. Cela signifie que toute personne se connectant via Telnet à l'adresse IP publique sur le port 25 pourrait potentiellement envoyer des e-mails en utilisant le nom de domaine de l'entreprise. Il est très important de gérer cette vulnérabilité, car cela veut dire que tout le monde pourrait y accéder comme il le souhaite. Et cela pourrait nuire à la réputation de l’entreprise, si une personne malveillante se mettait à envoyer des messages au nom de l’entreprise.
Donc dans ce cas ci il s'agirait de sécurisé l'accessibilité du service mail en lui même, authentifié le nom de domaine de l'entreprise et la réputation de l'entreprise.
Afin de sécuriser l'accès au MTA, il serait recommandé de configurer un MSA (Mail Submission Agent) qui vérifierait les connexions entrantes sur le serveur de messagerie, généralement sur le port 587, et qui exigerait une authentification pour envoyer des e-mails.
Confidentialité des mails
Lorsque les clients ont besoin d'utiliser des protocoles de messagerie tels que SMTP, POP3 et IMAP, ces protocoles transmettent les informations en clair, sans aucune sécurité. Cela signifie qu'il est possible d'intercepter la communication entre la machine de l'employé et le serveur de messagerie, permettant ainsi la lecture de toutes les données échangées entre eux.
Il faudra donc sécurisées les données échangées entre l'émetteur et le récepteur, ainsi que la confidentialité des messages pendant la transmission.
Dans ce cas, on peut utiliser le protocole TLS pour chiffrer un message lorsqu'il est envoyé. Cependant le message doit être déchiffré à chaque agent de messagerie. Par conséquent, il est recommandé d'utiliser une solution de chiffrement de bout en bout par-dessus TLS, telle que S/MIME ou PGP, pour assurer une protection des données tout au long de la transmission du message.
L’usurpation d’identité
Plus haut, nous avons déjà évoqué la possibilité qu'une personne malveillante se fasse passer pour un employé et envoie des messages visant à nuire à l'identité de l'entreprise. Cependant, la simple création d'un MSA ne peut pas protéger totalement l'entreprise des personnes cherchant à usurper son identité. Il est possible qu'une personne disposant d'un serveur de messagerie utilise le nom de domaine de l'entreprise pour envoyer des e-mails en se faisant passer pour elle. Quelques solutions existent pour essayer d’assuré un maximum l’usurpation d’identité de l’entreprise, voici quelques exemple : SPF (Sender Policy Framework), Ce protocole permet d'authentifier les adresses IP qui envoient des e-mails avec votre nom de domaine. Si une personne envoie un e-mail depuis une adresse IP qui n'appartient pas à la liste des adresses IP autorisées, ce courrier sera ignoré. DKIM (DomainKeys Identified Mail), Ce protocole permet de signer numériquement les e-mails afin de garantir leur authenticité.
Le spam
Si un employé envoie un e-mail, il est essentiel que ce courrier parvienne à la boîte de réception du destinataire. Pour garantir cela, il est important que notre e-mail ne soit pas considéré comme du spam. Dans le cas contraire, notre message risque d'être ignoré par le serveur de messagerie du destinataire ou placé dans la boîte de spam, ce qui pourrait entraîner le fait que le destinataire ne le voie jamais.
Pour éviter que les e-mails de l'entreprise soient considérés comme du spam, il faudra garantir l'authenticité et l'intégrité des e-mails envoyées par les employés, et donc permettre la délivrance réussie des e-mails.
Pour cela, plusieurs éléments doivent être mis en place. Voici quelques-uns d'entre eux : Premièrement il faut que la liste d’adresse ip qui envoie les mails se trouve dans la white-lists dns et à l’inverse ne pas se retrouver dans la black-lists dns. La white-lists dns sont les adresse ip qui sont considéré comme légitimes contrairement à la black-lists dns qui elles sont considéré comme génératrice de spam. Deuxièmement il faudrait enregistré un RR de type PTR dans le serveur DNS et que le nom de domaine de ce RR soit le même que celui du mail envoyées. Pour finir mettre des mécanisme de protection contre le spoofing tel que SPF et DKIM, permet au serveur de messagerie d’être considéré comme légitime et donc de permettre aux messages d’être délivrée sans soucis.
La sauvegarde des mails
Le serveur de messagerie à été conteneurisée afin de permettre la légèreté du service de messagerie et sa portabilité, le serveur de messagerie est hébergé sur un service cloud tel que Azure. Ici le point étant que tout les mails doivent être sauvegarder et de manière permanente et sur. Le problème de la conteneurisation est que le stockage n’est pas permanent, cela veut dire qu’a chaque redémarrage du conteneur ou arrêt de celui-ci les mails seront perdues. Il faudrait donc trouver un moyen de sauvegarder ces données autre part que sur le conteneur.
Ici c'est les données des e-mails, qui doivent être sauvegardées de manière permanante et sécurisée.
Pour ceci une solution existe ce sont les volumes. Les volumes permettent d'enregistrer toute les fichiers qui se trouvent dans un dossier en particulier. Donc afin de pouvoir garder une trace de tout les mails il faudrait mettre en place sur notre hébergeur cloud un volume qui pourrait enregistrer toutes nos données.
Tableau récapitulatif
| Menace | Probabilité | Impact | Estimation du risque | Contre mesure |
|---|---|---|---|---|
| Connexion au serveur | Forte | Fort | Elevée (nuire à l'image) | MSA |
| Sauvegarde | Faible | Fort | Fort | Volumes |
| Confidentialité | Moyenne | Moyen | Elevée (document confidentiel) | TLS, S-MIME, PGP |
| Usurpation d'identité | Moyenne | Moyen | Elevée | SPF, DKIM |
| SPAM | Moyenne | Faible | Moyen | Filtres anti-spam |
Les mesures qui vont être mise en place dans le projet
Dans le projet on mettra en place les sécurités suivantes :
la sauvegarde des données
La sauvegarde des données des mails avec les volumes. C'est une mesure de sécurité importante à mettre en place, pour cela on devra crée un volume qui stockera les données de nos mails de nos conteneurs et ainsi même si le conteneur s'arrête ou crash, les données ne seront pas perdus il faudra simplement relancer le conteneur et ainsi les mails pourront être consulté sans soucis. Rien ne garantit que le volume crée sur la machine virtuelle ne disparaisse pas a cause d'un plantage de la machine virtuelle, il serait donc pas extravagant de doublement sauvegarder les mails dans des disques dur physiques.
Les maintenances à réaliser sont :
- Déterminez les fréquence des sauvegardes qui sera défini en fonction des besoins de l'entreprise et de la criticité des données.
- Il faudra aussi vérifié l'état des disques durs, pour être sur qu'ils sont en bon état.
- Également vérifié régulièrement ci ses sauvegardes sont bien effectuées correctement et vérifié l'intégrité des données.
Confidentialité des données :
Une deuxième sécurisation est la mise en place de protocoles tels que TLS. Mais cela n'empêchera des attaques tels que "Man in the middle". Si une personne se positionne entre le récepteur et l'émetteur, il va pouvoir intercepter les messages ou modifier les messages qui sont envoyées. Ou bien les attaques par force brute qui vont essayé de trouver les clés de chiffrements afin de déchiffrées les messages.
Les maintenances à réaliser sont :
- D'avoir des certificats valides et fiables. Vous pouvez vérifiez vos certificats avec openssl avec la commande suivantes :
openssl verify -CAfile ca-certificates.crt certificate.crt
il suffira simplement de changer "ca-certificates.crt" par le nom du fichier fournit par l'autorité de certification de confiance et "certificate.crt" par le certificat à vérifié.
-
De mettre à jour la sécurité des logiciels qui utilisent TLS, donc ici ce sera Postfix et Dovecot.
-
De demandez aux utilisateurs d'utiliser des mots de passe fort pour la connexion au serveur de messagerie.
La connexion au service mail
Une dernière mesure qui sera mis en place ce sera un agent d'authentification. Il est important que notre service mail vérifie la connexion sur le serveur à l'aide d'un MSA. Cela n'empêchera pas une personne malveillante d'utiliser notre nom de domaine pour envoyées des mails, ou du moins un nom qui ressemble à notre nom de domaine, afin de se faire passer pour un employé, mais cela ne peut pas être empêcher.
Les maintenance à réaliser sont :
- Surveillez les journaux d'activité sur le MSA, si des connexion suspecte ont été réaliser ou des tentatives d'accès non autorisées, il faudra mettre des disposition de resécurisation du service.
- Demandez aux utilisateurs d'utiliser des mots de passe fort, afin que rendre plus difficiles les intrusions sur le serveur mail.
- Mettre a jour le logiciel MSA régulièrement, ici ce sera SASL utilisé avec Postfix.
Bibliographie
[1] Virginie Van Den Schrieck, Synthèse et références pour la théorie, Date de consultation : 08/05/2023
[2] Guardia School, Qu'est ce que le spoofing, Date de consultation : 08/05/2023
[3] Wikipedia, Transport Layer Security, Date de consultation : 08/05/2023
[4] Syuzanna Papazyan, Comment améliorer vos défenses contre le phishing et le spoofing ?, Date de consultation : 08/05/2023
Auteur : Apostolidis Alex 18/05/2023