Articles /

Comment Sécuriser Mon Serveur De Messagerie ? Un Guide complet

Sécurisation du trafic e-mail entrant

Chiffrer un serveur de messagerie et chiffrer le trafic e-mail sont en fait deux choses différentes. Un serveur de messagerie sécurisé nécessite un cryptage lors du transfert, un cryptage des e-mails et un cryptage des e-mails enregistrés.

Chiffrement côté utilisateur final

PGP/MIME et S/MIME sont deux options pour chiffrer les e-mails de bout en bout. Ces deux options utilisent un cryptage basé sur un certificat pour les e-mails à partir du moment où ils proviennent de l’appareil de l’utilisateur final jusqu’à leur réception sur l’appareil de l’utilisateur final du destinataire..

S/MIME utilise une clé publique ou une cryptographie asymétrique ainsi que des certificats numériques pour les e-mails. Les certificats aident à authentifier l’expéditeur de l’e-mail.

Chiffrement des identifiants d’authentification

Axigen, l’un des principaux fournisseurs de logiciels de serveur de messagerie, utilise CRAM-MD5, DIGEST-MD5 et GSSAPI pour le chiffrement des identifiants de messagerie. En savoir plus sur la sécurité du serveur de messagerie Axigen sur notre page dédiée.

L’authentification de soumission SMTP est nécessaire pour identifier correctement l’expéditeur et s’assurer que votre serveur de messagerie ne devienne pas un relais ouvert abusé par des tiers.

Pour le cryptage en transit des e-mails, TLS est la norme de facto. Il peut et doit être utilisé pour sécuriser le trafic pour la messagerie Web, l’IMAP et tout autre protocole d’accès client.

Services SMTP

Le protocole de transfert de courrier simple (ou SMTP) est le protocole de choix utilisé par la plupart des clients de messagerie pour envoyer des messages à un serveur de messagerie ainsi que des serveurs de messagerie envoyant / relayant des messages d’un serveur à un autre en route vers leur utilisateur désigné.

Voici les problèmes de sécurité les plus courants lors de la transmission d’e-mails:

  • Accès non autorisé à vos e-mails et fuites de données
  • Spam et hameçonnage
  • Malware
  • Attaques DoS

SSL (Secure Sockets Layer) est un protocole cryptographique développé par Netscape en 1995 conçu pour fournir une sécurité accrue sur les communications réseau et il est le prédécesseur de TLS (Transport Sécurité des couches). Étant donné que toutes les versions de SSL ont actuellement de nombreuses vulnérabilités connues et exploitables, il n’est plus recommandé pour une utilisation en production. La sécurisation de la transmission avec TLS est la norme de facto actuelle: les versions recommandées de TLS sont 1.1, 1.2 et, la plus récente et la plus sécurisée, 1.3.

SSL/TLS chiffre les messages entre le client de messagerie et le serveur de messagerie ainsi qu’entre les serveurs de messagerie. Si la communication SMTP chiffrée est enregistrée par un tiers malveillant, ce dernier ne verra que ce qui semble être des caractères aléatoires qui remplacent le contenu de l’e-mail, ce qui signifie que vos contacts et vos données de message sont toujours protégés et illisibles.

Axigen prend également en charge une extension TLS appelée Perfect Forward Secrecy qui est une fonctionnalité de protocoles d’accord de clé spécifiques qui garantit que les clés de session ne seront pas compromises même si les secrets à long terme utilisés dans l’échange de clés de session sont compromis. En termes simples, en cas de perte ou de violation des clés privées stockées sur le serveur, les sessions SMTP chiffrées précédemment enregistrées sont toujours indéchiffrables.

permet de chiffrer les certificats

À partir de la version X2, Axigen peut utiliser le service Let’s Encrypt pour générer des certificats SSL, qui sont automatiquement renouvelés avant l’expiration.

À partir de la version X3, Axigen permet la gestion des certificats à partir du WebAdmin, vous permettant ainsi de créer, de renouveler ou de supprimer des certificats ou des CSR, ainsi que d’afficher et de configurer l’endroit où chaque certificat doit être utilisé — c’est-à-dire écouteur de service, hôte virtuel ou sécurisation des connexions SMTP lors de la livraison via un hôte intelligent.

En savoir plus sur la sécurisation de vos services SMTP à l’aide d’Axigen.

DNSBL et URIBL

Liste noire du système de noms de domaine (DNSBL) ou Liste de trous noirs en temps réel (RBL) est essentiellement un service qui fournit une liste noire de domaines et d’adresses IP connus qui ont la réputation d’être une source de spam. Généralement, un logiciel de serveur de messagerie peut être configuré pour vérifier une ou plusieurs de ces listes.

Un DNSBL est plus un mécanisme logiciel qu’une liste spécifique. Il en existe de nombreuses qui utilisent un large éventail de critères susceptibles d’obtenir une adresse répertoriée ou non: liste des adresses des machines utilisées pour envoyer du spam, les fournisseurs d’accès Internet (FAI) sont connus pour héberger des spammeurs, etc.

  • Le DBL Spamhaus est un service qui liste les domaines trouvés dans les messages de spam et répertoriés comme ayant une mauvaise réputation.
  • Le service URIBL est une liste de domaines détectés comme envoyant des e-mails de spam

Les serveurs DNSBL sont sur la liste noire des spammeurs, et lorsque vous définissez un serveur comme un, les e-mails de ces serveurs sont automatiquement supprimés.

Axigen propose également deux de ces services à ses clients: aDNSBL et aURIBL, ces deux listes DNSBL et URIBL basées sur IP premium, exploitées et organisées par Axigen et peuvent être utilisées par les clients Axigen qui souscrivent à ces services optionnels.

SPF, DKIM et DMARC

SPF (Sender Policy Framework) est une entrée DNS TXT qui contient une liste de serveurs qui doivent être considérés comme ayant été autorisés à envoyer du courrier au nom d’un domaine spécifique. Le fait d’être une entrée DNS peut être considéré comme un moyen d’imposer le fait que la liste d’entrées est digne de confiance pour le domaine, car les seules personnes autorisées à ajouter ou à modifier cette zone de domaine sont les propriétaires ou les administrateurs du domaine.

Plus d’informations sur la configuration de SPF pour les services Axigen sont accessibles ici.

DKIM (DomainKeys Identified Mail) est une méthode pour vérifier que le contenu des messages est fiable, montrant que le contenu n’a pas été modifié à partir du moment où le message a quitté le serveur de messagerie initial et jusqu’à ce qu’il atteigne la destination. Cette couche supplémentaire de cohérence est obtenue par l’utilisation d’un processus standard de signature de clé publique/privée. Comme dans le cas du SPF, les propriétaires ou administrateurs du domaine ajoutent un enregistrement DNS contenant la clé publique DKIM qui sera utilisée par les récepteurs pour vérifier que la signature du message DKIM est correcte, et du côté de l’expéditeur des choses, le serveur utilisera la clé privée correspondant à la clé publique présente dans l’enregistrement DNS pour signer les messages électroniques.

Plus d’informations sur la configuration de DKIM pour les services Axigen sont accessibles ici.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est un protocole qui utilise SPF et DKIM pour déterminer si le message électronique est authentique. En substance, il est plus facile pour les FAI d’empêcher des tiers malveillants d’effectuer des pratiques telles que l’usurpation de domaine pour phisher les informations privées des utilisateurs.

DMARC énonce une politique claire à la fois sur SPF et sur DKIM et permet de définir une adresse qui doit être utilisée pour envoyer des rapports sur les messages électroniques envoyés par le serveur. Cette stratégie doit être utilisée par tous les serveurs et clients récepteurs.

Plus d’informations sur la configuration de DMARC pour les services Axigen sont accessibles ici.

Tous ces outils dépendent fortement du DNS et la façon dont ils fonctionnent une fois que toute la configuration a été prise en charge est la suivante:

SPF

  • à la réception, le message HELO et l’adresse de l’expéditeur sont récupérés par le serveur de messagerie
  • le serveur de messagerie récupère une requête DNS TXT contre l’entrée SPF du domaine des messages
  • les données d’entrée SPF récupérées sont ensuite utilisées pour vérifier le serveur d’envoi
  • si cette vérification échoue, le message être rejeté avec des informations sur le rejet

DKIM

  • Lors de l’envoi d’un message, le dernier serveur de l’infrastructure de domaine vérifie ses paramètres internes si le domaine utilisé dans le “From:” l’en-tête est en effet inclus dans sa “table de signature”. Si cette vérification échoue, tout s’arrête ici
  • Un en-tête nommé “DKIM-Signature” est ajouté à la liste des en-têtes de message en générant une signature à l’aide de la partie privée de la clé sur le contenu du message
  • Après ce point, le contenu principal du message ne peut plus être modifié ou l’en-tête DKIM-Signature ne sera plus correct et l’authentification échouera.
  • À la réception du message, le serveur récepteur effectuera une requête DNS pour récupérer la clé publique utilisée dans la signature DKIM
  • Après quoi l’en-tête DKIM pourra être utilisé pour décider si le message a été modifié en transit ou s’il est digne de confiance

DMARC

  • À la réception, le serveur récepteur vérifiera si un message a été modifié en transit ou s’il est fiable

DMARC

  • La stratégie DMARC est publiée dans le domaine utilisé par les contrôles SPF et/ou DKIM
  • si l’une ou les deux vérifications SPF/DKIM réussissent mais ne sont pas alignées avec la stratégie DMARC, la vérification est considérée comme infructueuse, sinon, si elles sont également aligné avec la stratégie DMARC, la vérification est réussie
  • en cas d’échec, en fonction de l’action publiée par la stratégie DMARC, différentes actions peuvent être prises

Même si vous avez un système parfaitement fonctionnel et que tous les outils mentionnés ci-dessus sont configurés et fonctionnent correctement, vous ne pouvez pas être à 100% en sécurité car tous les serveurs n’utilisent pas ces outils.

Filtrage de contenu

Les filtres de contenu vous permettent d’analyser et d’inspecter les messages entrants / sortants et de prendre les actions correspondantes en fonction des résultats automatiquement.

De tels services analysent principalement le contenu du message électronique et décident si le contenu correspond aux filtres anti-spam et empêchent le message d’atteindre la boîte de réception. Les analyses examinent également les métadonnées et les en-têtes des images ainsi que le contenu du texte du message.

cyren-antivirus-antispam-brochure

Axigen fournit un filtrage AntiVirus et AntiSpam premium intégré, qui sont préemballés et sont entièrement intégrés et configurables à partir du WebAdmin:

  • L’AntiSpam et AntiVirus premium d’Axigen (alimenté par Cyren) et
  • Kaspersky AntiSpam et AntiVirus.

Vous pouvez également intégrer des produits tiers à condition qu’ils soient plus performants, ou même utiliser des services basés sur le cloud comme passerelle devant votre serveur de messagerie.

Il est important de noter que le filtrage de contenu consomme plus de ressources, c’est pourquoi il est important d’implémenter également les autres couches qui filtrent les e-mails avant d’atteindre votre filtre de contenu.

Sécurisation du trafic e-mail sortant

Restrictions d’envoi et de réception

Des limites peuvent être appliquées aux messages envoyés par les utilisateurs que vous hébergez sur votre serveur de messagerie. Vous pouvez contrôler la taille maximale qu’un message peut avoir dans son intégralité ou la taille des parties individuelles d’un message ou même les deux. Par exemple, vous pouvez contrôler la taille maximale de l’en-tête du message ou de ses pièces jointes, ou définir une limite pour le nombre maximum de destinataires qu’un utilisateur peut ajouter à un message sortant.

De plus, et plus important encore, en tant qu’administrateur, vous pouvez créer des quotas d’envoi (avec des exceptions) qui garantissent que votre stratégie d’utilisation équitable est appliquée automatiquement.

Vous pouvez en savoir plus sur la configuration de ces restrictions dans Axigen WebAdmin ici.

Protection contre le spam sortant

Avoir le contrôle de ce qui sort de vos serveurs de messagerie est aussi important que de savoir ce qui entre. Il est donc important d’avoir une politique pour analyser les messages sortants ainsi que les messages entrants, car cela peut empêcher quelqu’un d’envoyer des messages de spam et, par conséquent, attirer des répercussions indésirables sur vous.

En savoir plus sur ce sujet dans mon article sur LinkedIn ici.

Sécurisation de l’accès aux boîtes aux lettres

Authentification à deux facteurs de messagerie Web (2FA)

Il est important de s’assurer que vos comptes d’utilisateurs sont sécurisés même si vous utilisez probablement SSL/ TLS, car parfois les mots de passe des utilisateurs ne sont pas les plus puissants.

Outre le fait qu’Axigen prend en charge les stratégies de mot de passe configurables, l’activation de l’authentification à deux facteurs peut grandement améliorer la sécurité du compte de chaque utilisateur et protéger ses données contre les tiers malveillants qui pourraient autrement avoir accès à leur compte car ils ont peut-être obtenu leur mot de passe d’un autre service qu’ils utilisaient et doté d’une porte dérobée de sécurité.

Axigen prend en charge l’authentification à deux facteurs pour les comptes d’utilisateurs.

Écouteurs SSL/ TLS

Il est très important que vos écouteurs soient correctement configurés avec de bonnes versions SSL et des suites de chiffrement. Le serveur Axigen est livré avec tout ce qui est configuré et nous vous recommandons de toujours garder le serveur à jour pour vous assurer que vos écouteurs SSL sont de qualité A.

Paramètres recommandés de chiffrement et d’authentification IMAP

L’utilisation d’une connexion cryptée avec StartTLS activé est le meilleur moyen de s’assurer que vos données et celles de vos clients sont protégées et ne peuvent pas être lues par un tiers malveillant.

Axigen WebAdmin permet de contrôler les paramètres du cryptage et de l’authentification du serveur de messagerie, vous pouvez voir les paramètres recommandés pour configurer IMAP sur cette page de documentation.

Protection contre les attaques par force brute

Une attaque par force brute est un type de cyberattaque par lequel un tiers malveillant essaie différents mots de passe et phrases de passe à l’aide d’un script automatisé jusqu’à ce qu’il trouve la bonne combinaison pour accéder à un compte ou à un service. Il existe peut-être depuis longtemps, mais il est toujours très populaire en raison de son efficacité contre les mots de passe faibles, c’est pourquoi l’authentification à deux facteurs est une fonctionnalité importante à avoir sur les comptes d’utilisateurs.

Fail2Ban (Linux) et RDPGuard (Windows) sont des systèmes de prévention des intrusions qui ajoutent une protection contre les attaques par force brute aux serveurs de messagerie. En surveillant les fichiers journaux et en bloquant les adresses IP des hôtes qui effectuent trop de tentatives de connexion, ou trop de connexions dans un court laps de temps défini par l’administrateur du serveur de messagerie.

En savoir plus sur la configuration de votre serveur Axigen pour utiliser Fail2Ban sur Linux ou sur la configuration de votre serveur Axigen pour utiliser RDPGuard sur Windows

Pare-feu

L’un des contrôles de sécurité critiques et vraiment obligatoires au niveau du réseau est le pare-feu. Un pare-feu doit disposer de fonctionnalités avancées d’analyse des menaces persistantes, car elles sont capables de détecter les attaques de sécurité zero-day. Il est recommandé d’exécuter également des systèmes de détection d’intrusion (IDS). Une passerelle de sécurité de messagerie est requise pour filtrer le trafic de messagerie entrant / sortant.

Les règles de filtrage du pare-feu peuvent être utilisées pour refuser/autoriser le trafic de messagerie spécifique. Ceci est utile pour empêcher le serveur de devenir un relais et d’envoyer des spams en masse. Les règles de filtrage des paquets aident à arrêter les attaques DDoS et DoS.

Axigen dispose d’un composant interne pour le pare-feu au niveau de l’application qui gère cela pour vous dans le cadre des couches de sécurité du serveur.

Vous pouvez en savoir plus sur les options de configuration disponibles dans le WebAdmin pour le pare-feu intégré dans la section Contrôle de flux de cette page de documentation.

Conclusion

Un serveur de messagerie sécurisé possède essentiellement des contrôles de sécurité au niveau du réseau et du serveur. La configuration et la maintenance de votre propre serveur de messagerie sont une pratique courante. Cependant, certaines organisations choisissent d’acheter des solutions logicielles de serveur de messagerie prêtes à l’emploi. Si vous considérez cette option, la sécurité devrait être votre plus haute considération.

Il n’existe aucun système totalement sécurisé dans le monde. Cependant, certaines solutions logicielles de messagerie fournissent des packages complets couvrant la sécurité à toutes les couches, y compris les niveaux de réseau et de serveur.

Une solution de serveur de messagerie hautement sécurisée devrait avoir:

  • règles de pare-feu
  • passerelle de messagerie sécurisée
  • contrôles au niveau du serveur, y compris le cryptage, l’anti-spam/anti-phishing/antivirus, ainsi qu’un service de surveillance et d’analyse.

L’une des meilleures solutions est la solution de serveur de messagerie sécurisé proposée par Axigen, dont vous pouvez en savoir plus ici.

Leave a Reply