Analyse de sécurité MAIL - a-kalin0/Admin-Projet-CAA GitHub Wiki

Identification des biens à protéger

  • Les données sensibles : Les e-mails peuvent contenir des informations confidentielles, telles que des données financières, des informations sur les clients, des stratégies commerciales ou des secrets commerciaux. Il est crucial de protéger ces données contre les accès non autorisés, les fuites ou les compromissions.

  • La Communication : Les e-mails sont très souvent utilisés pour la communication interne et externe de l'entreprise. Il est important de garantir l'intégrité et la confidentialité des communications pour prévenir toute altération ou interception non autorisée. Cela peut être réalisé en utilisant des protocoles de chiffrement tels que TLS (Transport Layer Security) pour sécuriser les transferts de données.

  • La Disponibilité : Il est essentiel de garantir la disponibilité des services de messagerie électronique de l'entreprise. Si l'entreprise perd l'accès à ses e-mails, cela peut entraîner une perte de revenu significative et nuire à sa réputation. Comme dit précédemment les e-mails sont souvent le moyen de communication privilégié avec les clients, les partenaires commerciaux et les employés, et toute interruption prolongée de ce service peut causer des perturbations majeures dans les opérations quotidiennes de l'entreprise.

  • La Protection contre l'utilisation abusive : Un autre aspect critique de la protection des biens de l'entreprise est de s'assurer que ses machines ne sont pas exploitées à des fins malveillantes, telles que l'envoi de spam. Lorsqu'un pirate informatique compromet les systèmes de l'entreprise et les utilise pour envoyer du spam, cela peut entraîner des conséquences graves. Cela peut endommager la réputation de l'entreprise en la faisant apparaître comme un émetteur de spam.

Identification des risques

  • Attaques par déni de service (DoS) : Les attaques par déni de service visent à rendre un service indisponible en surchargeant les ressources du système cible. Bien que de telles attaques puissent provenir de l'intérieur de l'infrastructure de l'entreprise, elles sont souvent lancées depuis l'Internet et ciblent spécifiquement l'agent MTA (Mail Transfer Agent) accessible publiquement.

  • Le Phishing : Le phishing est une technique utilisée par les cybercriminels pour voler des informations personnelles et financières, telles que des mots de passe, des numéros de carte de crédit ou des informations d'identification, en se faisant passer pour une entreprise, une organisation ou une personne de votre entourage.

  • Le Spam : Le spam consiste à l'envoie massif et non sollicité de courriers électroniques non désirés, généralement à des destinataires qui n'ont pas donné leur accord pour les recevoir. Ces e-mails indésirables sont souvent de nature commerciale et peuvent contenir des publicités, des offres promotionnelles, des arnaques ou du contenu frauduleux.

  • Attaque de l'homme du milieu : C'est une technique d'attaque dans laquelle un attaquant s'insère entre deux parties communicantes, interceptant et éventuellement modifiant les communications entre elles sans que les parties ne le sachent.

Classement des menaces en fonction du risque

Menace Probabilité Impact Estimation du risque Contre-mesure
Attaque de l'homme du milieu Moyen Fort Moyen Mettre en place le cryptage TLS (Transport Layer Security)
DoS Moyen Fort Elevé Un pare-feu robuste
Phishing Moyen Fort Elevé L'utilisation des mécanismes SPF, DKIM et DMARC
Spam Faible Faible Faible Filtre anti-spam

Contre-mesures contrant les risques identifiés

  • Attaque de l'homme du milieu : Afin de sécuriser le service contre l'attaque de l'homme du milieu , il faudrait mettre en place le cryptage TLS(Transport Layer Security) afin de rendre les communications impossible à écouter.

  • DoS : Avoir un pare-feu bien configuré peut aider à filtrer le trafic entrant et sortant, identifiant et bloquant les paquets malveillants associés à une attaque DoS. Il peut également fournir des fonctionnalités de limitation de bande passante pour limiter l'impact d'une attaque.

  • Phishing : Utiliser des mécanismes d'authentification tels que DMARC, SPF et DKIM pour renforcer la sécurité des e-mails. Vérifier aussi l'authenticité des courriels en vérifiant les en-têtes, les adresses d'expéditeur et les liens avant de fournir des informations.

  • Spam : Utiliser des filtres antispam et des logiciels de filtrage des courriers électroniques pour bloquer les e-mails indésirables.

Choix des contre-mesures et justification

Chiffrement des communications

L'installation du protocole TLS

Pour la configuration de TLS, nous aurons besoin de :

  1. Un certificat CA (certificate authority)
  2. Une clé de certificat
  3. Le certificat ROOT de notre CA

Ensuite, pour activer TLS, il faut :

  1. Créer un nouveau répertoire dans /opt/pmx6/posfix/etc/ nommé /certs
  2. Placez nos certificats dans ce répertoire
  3. Modifier le fichier main.cf de postfix en y ajoutant les lignes suivantes
# ------ Enable TLS -------
    smtpd_use_tls = yes
    smtpd_tls_key_file = /opt/pmx6/postfix/etc/certs/MyCertKey.pem
    smtpd_tls_cert_file = /opt/pmx6/postfix/etc/certs/MyCert.pem
    smtpd_tls_CAfile = /opt/pmx6/postfix/etc/certs/CaCert.pem
    smtpd_tls_loglevel =  3
    smtpd_tls_received_header = yes
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev:/dev/urandom
# ------ END TLS -------
  1. Redémarrez Postfix

Utilisation de MailScanner

MailScanner est un logiciel de filtrage d'e-mails open source largement utilisé pour détecter et neutraliser les menaces potentielles dans les messages électroniques. Il est conçu pour fournir une protection contre les virus, les malwares, le phishing, le spam et d'autres types de contenus indésirables ou dangereux présents dans les e-mails.

De plus, MailScanner utilise Spamassassin pour contrer le SPAM de boite mail. En effet, SpamAssassin utilise DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework), deux protocoles largement connus dans la mise en œuvre des services de messagerie, pour lutter contre le spam dans les boîtes de réception.

DKIM est utilisé par SpamAssassin pour établir une connexion d'authentification entre le nom de domaine de l'expéditeur et le message lui-même. Cela se fait en vérifiant une signature cryptographique présente dans l'en-tête du message. La signature permet de vérifier l'intégrité du message et d'authentifier le domaine de l'expéditeur.

SpamAssassin peut également utiliser SPF pour l'authentification des e-mails. SPF empêche les personnes non authentifiées d'envoyer des e-mails en utilisant un nom de domaine spécifique. Il utilise un enregistrement de ressource SPF qui répertorie les adresses IP autorisées à envoyer des e-mails pour le domaine spécifié.

Validation des contre-mesures :

Configuration TLS :

  • Vérifiez que le répertoire /opt/pmx6/postfix/etc/certs a été créé.
  • Assurez que les certificats CA, la clé de certificat et le certificat ROOT de votre CA ont été correctement générés et placés dans le répertoire /opt/pmx6/postfix/etc/certs.
  • Ouvrez le fichier main.cf de Postfix situé dans /opt/pmx6/postfix/etc/ et vérifiez que les lignes (voir plus haut) ont bien été ajoutées
  • Si c'est pas le cas, redémarrez le service Postfix pour appliquer les changements.

MailScanner :

  • Envoyez un e-mail à partir d'une adresse externe vers notre serveur de messagerie sécurisé.
  • Vérifiez si l'e-mail est correctement reçu et filtré par MailScanner.
  • Consultez les journaux de MailScanner pour vérifier s'il a détecté et neutralisé les menaces potentielles.
  • Vérifiez si le SPAM est correctement marqué ou filtré par SpamAssassin.
  • Vérifiez si les signatures DKIM sont présentes dans les en-têtes des messages sortants.
  • Vérifiez si les enregistrements SPF sont correctement configurés pour votre domaine à l'aide d'un outil de validation SPF en ligne.

Documentation des risques résiduels

  • Attaques de force brute : Les attaques de force brute consistent à tenter de deviner ou de craquer des mots de passe en essayant différentes combinaisons. Même avec des politiques de mot de passe solides et des mécanismes de protection, il existe une possibilité que les attaquants puissent réussir à compromettre les comptes utilisateurs.

  • Fuites d'informations sensibles : Les services de messagerie électronique peuvent contenir des informations sensibles (informations personnelles, données financière). Il existe un risque résiduel de fuite de ces informations sensibles en raison d'une mauvaise configuration des paramètres de confidentialité, d'une mauvaise manipulation des pièces jointes ou des erreurs humaines.

  • Usurpation d'identité : Les attaquants peuvent utiliser des techniques dite de spoofing pour se faire passer pour d'autres utilisateurs légitimes et envoyer des e-mails frauduleux. Bien que les filtres antispam et les mécanismes d'authentification aident à atténuer ce risque, il peut avoir un risque résiduel de spoofing, en particulier si des protocoles d'authentification tels que SPF, DKIM et DMARC ne sont pas correctement configurés.

La maintenance

  • Surveillance régulière : Cela peut être réalisé en utilisant des outils de surveillance tels que des logiciels de surveillance de sécurité, des journaux d'audit et des alertes de sécurité. Des rapports réguliers sur l'état du service doivent être générés pour permettre une analyse plus approfondie.

  • Gestion des mises à jour : Les mises à jour régulières du système d'exploitation, des applications et des logiciels de sécurité sont essentielles pour maintenir la sécurité du service de messagerie électronique.

  • Effectuez des tests et des vérifications réguliers : Vérifiez régulièrement la configuration SPF et DKIM en effectuant des tests d'envoi d'e-mails depuis différents serveurs et en vérifiant leur authenticité à l'aide d'outils de test en ligne.

  • Maintenir les enregistrements DNS à jour : notamment ceux liés à SPF et DKIM. Les modifications de configuration ou de fournisseurs de messagerie peuvent nécessiter des ajustements dans vos enregistrements DNS.

  • Surveillez et analysez les rapports DMARC : DMARC fournit des rapports sur les tentatives d'usurpation d'identité et d'envoi d'e-mails non authentifiés au nom de votre domaine.

Bibliographie

[1] V. VAN DEN SCHRIECK, Synthèse et références pour la théorie : 6. Mail : Déploiement et sécurisation, Année académique 2022-2023 et consultée le 7 Mai 2023

[2] CloudFlare, Qu'est-ce qu'une attaque DDoS ?, consultée le 7 Mai 2023

[3] Wikipedia, Attaque de l'homme du milieu, consultée le 7 Mai 2023

[4] Wikipedia, Hameçonnage, version du 28 avril 2023, consultée le 7 Mai 2023

[5] altospam, Anti-spam, spam et ses formes dérivées, consultée le 7 Mai 2023

[6] Malekal, SPF, DKIM, DMARC c’est quoi ?, version du 28 juin 2021, consultée le 8 Mai 2023

[7] Wikipedia, Lutte anti-spam, version du 21 janvier 2023, consultée le 8 Mai 2023

[8] Wikipedia, SpamAssassin, version du 7 février 2022, consultée le 8 Mai 2023

[9] Wikipedia, MailScanner, version du 20 December 2022, consultée le 8 Mai 2023