Analyse service MAIL sécurité - bahuwart/Projet-admin-2 GitHub Wiki
Sécurité Mail
Il existe 5 failles potentielles qui menacent la sécurité d'un service d'email. Pour chacune de ces failles, il existe des solutions logiciel pour protéger le service mail. Ces 5 failles sont :
- La connexion au serveur
- L'accès aux emails
- La gestion des spams
- Le stockage des emails
- La prévention du spoofing
Nous allons voir quels sont les problèmes de ces failles et les solutions à mettre en place pour les sécuriser.
Connexion au serveur
Notre plateforme de messagerie fonctionne grâce aux services Postfix et Dovecot. Cependant, l'utilisation de Postfix expose à une vulnérabilité significative du notamment au MTA. Afin de prévenir toute utilisation abusive de notre nom de domaine, il est recommandé de configurer un serveur MSA qui exige une authentification pour l'envoi des e-mails. Cette mesure de sécurité renforcera l'accès au serveur de messagerie et préviendra toute utilisation malveillante de notre nom de domaine. Le MSA se place en amont du MTA. Il traite les demandes d’envoie de mails envoyées par le MUA. Il y répond favorablement si toutes les conditions sont remplies (identifiant et mot de passe correct, contenu autorisé…).
Protection possible
L'ajout d'un pare-feu permet de sécurisé cette menace en filtrant les ip rentrantes. Le pare-feu est mit entre le serveur web et internet.
Accès aux emails
Lorsque des protocoles de messagerie tels que SMTP, POP3 et IMAP sont utilisés, les informations sont transmises en texte clair, ce qui peut conduire à l'interception des communications et à la lecture des données échangées. Afin de garantir la confidentialité des données, il est essentiel d'appliquer un chiffrement TLS lors des communications. Cependant, il est recommandé d'utiliser une solution de chiffrement de bout en bout, comme S/MIME, pour assurer une protection complète des données pendant la transmission des messages.
Protection possible
L'ajout de S/MIME sécurise les mails en cryptant les messages, en authentifiant les expéditeurs, en garantissant l'intégrité des messages et en protégeant contre les attaques d'interception. Cela renforce la confidentialité, l'authenticité et l'intégrité des communications.
Gestion des spams
Il est primordial que les e-mails de l'entreprise ne soient pas considérés comme du courrier indésirable afin de s'assurer qu'ils arrivent dans la boîte de réception des destinataires. Pour y parvenir, il est nécessaire de contourner les filtres anti-spam. Pour ce faire, l'adresse IP doit être incluse dans la white-list DNS plutôt que dans la black-list DNS, et un enregistrement PTR de type RR doit être configuré dans le serveur DNS. De plus, il est recommandé d'utiliser des mécanismes de protection contre le spoofing tels que SPF et DKIM.
Protection possible
l'ajout de Spamassassin ajoute des listes blanches et noires pour contrôler les expéditeurs, prévenant les spams. Il évalue les e-mails avec des règles prédéfinies pour détecter les spams.
Stockage des e-mails
Le serveur de messagerie est hébergé dans un environnement conteneurisé sur Azure afin de garantir une utilisation légère et une grande portabilité. Toutefois, il est essentiel de sauvegarder de manière sécurisée les e-mails de façon permanente. L'utilisation de volumes docker constitue une solution pour archiver tous les fichiers d'un répertoire spécifique. Ainsi, afin de garantir la conservation de tous les e-mails, il est nécessaire de mettre en place un volume sur l'hébergement cloud utilisé.
Protection possible
Ajout d'un volume sur docker pour isoler les données sensibles, comme les emails, afin de renforcer la sécurité et réduire les risques en cas de compromission du serveur de messagerie.
Prévention du spoofing
Il est possible pour un individu malveillant de se faire passer pour l'entreprise en utilisant son nom de domaine pour envoyer des e-mails. Afin de réduire ce risque, des solutions telles que SPF et DKIM peuvent être implémentées. SPF permet d'authentifier les adresses IP autorisées à envoyer des e-mails au nom de l'entreprise, tandis que DKIM signe numériquement les e-mails afin de garantir leur authenticité.
Protection possible
L'ajout de DKIM authentifie et vérifie les e-mails, renforçant ainsi la confiance et limitant les risques de fraude, de phishing et d'usurpation d'identité
Tableau récapitulatif
| Menaces | Probabilité | Impact | Estimation du risque | Contre-mesures |
|---|---|---|---|---|
| Connexion au serveur | Élevé | Élevé | Élevé | Pare-feu |
| Accès aux mails | Moyenne | Moyen à élevé | Élevé | S/MIME |
| Spams | Moyenne | Moyen | Moyen | une white/black-list pour trier les emails rentrant |
| Stockage | Faible | Élevé | Élevé | Mise en place d'un volume docker |
| Spoofing | Moyenne | Moyen | Élevé | Utilisation de SPF/DKIM |
Bibliographie
https://www.openhost-network.com/blog/fonctionnement-messagerie-exchange-server/ consulté pour la dernière fois le 21/5/2023 à 14h30
https://learn.microsoft.com/fr-fr/exchange/policy-and-compliance/smime/smime?view=exchserver-2019 consulté la dernière fois le 21/5/2023 à 14h53
https://learn.microsoft.com/fr-fr/system-center/orchestrator/standard-activities/pgp-encrypt-file?view=sc-orch-2022 consulté la dernière fois le 21/5/2023 à 15h01
https://learn.microsoft.com/fr-fr/microsoft-365/security/office-365-security/email-authentication-dkim-configure?view=o365-worldwide consulté la dernière fois le 21/5/2023 à 15h22
https://www.zdnet.fr/actualites/spamassassin-mode-d-emploi-39171310.htm consulté la dernière fois le 31/5/2023 à 18h07
Ainsi que le cours de Admin 2