Skip to content

Sécurisation du service mail

Jump to bottom
RaphaelMarto edited this page May 14, 2022 · 7 revisions

Identification des risques

  • malwares : Ce sont des éléments que l'on peut retrouver dans des pièces jointes a un mail ou fois la pièce ouverte l'installation du malware est automatique.
    Une fois installé il va essayer de soi faire des dégâts ou trouver des accès pas autoriser ou juste perturber le système.

  • hoax : Ce sont des mails qui tentenr de transmettre de fausses informations pour affecter la réputation d'une société.

  • spams : Envoi de mail de façon répéter avec de message publicitaire, peut aussi être utilisé pour saturer de boîte mail ou ralentir de serveur mail.

  • phishing : C'est un mail qui semble provenir d'une compagnie normale et qui tente de faire dévoiler des informations aux utilisateurs tels que leur numéro de carte de crédit, mot de passe, etc.

  • spoofing : C'est l'usurpation de l'identité de quelqu'un en se fessant passer pour cette personne auprès de la victime.

Contre-mesures contrant les risques identifiés

Mettre en place les mesures suivantes :

  • Il faut mettre en place de l'authentification avec les normes SPF et DKIM potentiellement DMARC.

  • Mettre du cryptage en place avec SSL/TLS

  • Activer un filtre anti-spam

  • Configurer le serveur pour empêcher le relais de mail

  • Mettre en place un reverse DNS

  • Activer un anti-virus

Choix des contre-mesures et justification.

SSL/TLS

Tout d'abord nous allons commencer par chiffrer nos envoies de mail :

Pour cela nous allons utiliser SSL/TLS qui sont des protocoles opens source qui vont nous permettre de générer des clés et d'authentifier le serveur et donc de sécuriser nos échanges.

Installer SSL:
apt install openssl

Tout d'abord nous allons crées le dossier ou les clés vont être stockées :
mkdir ~/mailcerts

Puis nous allons générer un certificat CA puis notre ROOT CA et une clé:

openssl genrsa -des3 -out mail.domain.tld.key 2048
openssl req -new -key mail.domain.tld.key -out mail.domain.tld.csr
openssl x509 -req -days 365 -in mail.domain.tld.csr -signkey mail.domain.tld.key -out mail.domain.tld.crt

Retirer le mot de passe pour éviter que postfix le demande à chaque redémarrage :
openssl rsa -in mail.domain.tld.key -out mail.domain.tld.key.nopass

Crée le handshake TLS:
openssl req -new -x509 -extensions v3_ca -keyout WoodyToyskey.pem -out WoodyToyscert.pem -days 3650

Mettre les clés dans les bons dossiers et les permissions d'accès :

sudo mkdir -p /etc/ssl/private/; 
sudo mkdir -p /etc/ssl/certs/; 
sudo chmod 600 mail.domain.tld.key; 
sudo chmod 600 WoodyToyskey.pem; 
sudo cp mail.domain.tld.key /etc/ssl/private/; 
sudo cp mail.domain.tld.crt /etc/ssl/certs/; 
sudo cp WoodyToyskey.pem /etc/ssl/private/; 
sudo cp WoodyToyscert.pem /etc/ssl/certs/

Dernière étape modifier le main.cf :

smtpd_tls_cert_file = /etc/ssl/certs/mail.domain.tld.crt
smtpd_tls_key_file = /etc/ssl/private/mail.domain.tld.key
smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_auth_only = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_CAfile = /etc/ssl/certs/WoodyToyscert.pem
smtpd_tls_session_cache_database = btree:/etc/postfix/smtpd_scache
smtp_tls_session_cache_database = btree:/etc/postfix/smtp_scache
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_tls_protocols = SSLv3, TLSv1, !SSLv2
smtpd_tls_cipherlist = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:-eNULL
smtp_tls_cipherlist = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:-eNULL

Il faut également ajouter ceci dans Dovecot :

ssl=required
ssl_cert = </etc/ssl/certs/mail.domain.tld.crt
ssl_key = </etc/ssl/private/mail.domain.tld.key

Puis redémarrer vos serveurs pour que les changements prennent place.

DKIM

Installer OpenDkim puis générer une clé:
opendkim-genkey -b 2048 -d m1-2.ephec-ti.be -s dkim

Cela va vous générer 2 fichiers 1 dkim.private qu'il ne faut pas partager et 1 dkim.txt qu'il faut ajouter dans le soa externe sous la forme suivante :
dkim._domainkey IN TXT ("v=DKIM1; h=sha256; k=rsa;" "p=chaine de caratere du fichier")

opendkim devient proprietaire du fichier dkim.private :
chown opendkim:opendkim dkim.private

Ajouter ces lignes dans main.cf de postfix : 

milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters

Il faut vider tout ce qui se trouve dans /etc/default/opendkim (car ceci prend le dessus sur le .conf) et écrire ceci dans /etc/opendkim.conf : 

Syslog yes
UMask 002
Canonicalization relaxed/simple
Mode sv
SubDomains no
AutoRestart yes
AutoRestartRate 10/1M
Background yes
DNSTimeout 5
SignatureAlgorithm rsa-sha256
OversignHeaders From
TrustAnchorFile /usr/share/dns/root.key
UserID opendkim
KeyTable /etc/opendkim/key.table
SigningTable refile:/etc/opendkim/signing.table
ExternalIgnoreList /etc/opendkim/trusted.hosts
InternalHosts /etc/opendkim/trusted.hosts
Socket inet:8891@127.0.0.1

Puis pour finir il faut donner les permissions a opendkim sur son dossier lire écrire exécuter une fois cela fait il faut modifier les fichiers signing.table, key.table et trusted.hosts comme ceci :

signing.table

*@m1-2.ephec-ti.be default._domainkey.m1-2.ephec-ti.be

key.table

default._domainkey.m1-2.ephec-ti.be m1-2.ephec-ti.be:default:/etc/opendkim/keys/m1-2.ephec-ti.be/default.private

trusted.hosts

127.0.0.1
localhost
::1
*.m1-2.ephec-ti.be

DMARC & SPF

Il faut ajouter des records dans le soa externe comme ceci :
SPF Record
@ IN TXT "v=spf1 include:mail.m1-2.ephec-ti.be ip4:176.96.231.200 -all

DMARC Record
_dmarc IN TXT "v=DMARC1; p=none;"

OrangeAssassin

OrangeAssassin est un anti-spam assez récent qui est développé en python. C'est l'évolution de SpamAssassin et contient donc tous les plugins de celui-ci et supporte le développement de nouveaux plugins. Il est Open Source et compatible avec Linux. Il est plutôt optimisé et pas trop gourmand sur le CPU et la mémoire. Dans ces features nous retrouvons le scan de mail pour les malwares, le spam, phishing et autres. Il reconnaît aussi les attaques cibler sur les fails de sécurité et renforce donc la sécurité du réseau.

Pour l'installer il faut aller sur gitHub cloner le repository installer tous les requirements et run le setup.py puis run le html.
Un script génère même un fichier doc pour vous aider si besoin.

Source

http://igm.univ-mlv.fr/~dr/XPOSE2009/Nouveaux%20services%20de%20messagerie%20electronique/risques.html , Consulter le 12-05-22
https://www.cases.lu/publications/recommendationsecuring/Recommendations4securingEmailServer_fr.html , Consulter le 12-05-22
https://www.openhost-network.com/blog/5-moyens-securiser-mails/ , Consulter le 12-05-22
https://www.mailgenius.com/knowledge/reverse-dns/ , Consulter le 12-05-22
https://www.polemb.net/les-differents-types-de-virus-informatique-expliques/ , Consulter le 12-05-22
https://www.novagraaf.com/fr/vision/noms-de-domaine-les-risques-de-le-mail-spoofing , Consulter le 12-05-22
https://www.techticity.com/howto/how-to-create-a-mail-server-with-ssl-tls-on-linux/ , Consulter le 12-05-22
https://www.comodo.com/home/email-security/best-open-source-anti-spam.php#:~:text=The%20top%20most%20Open%20Source,Apache%20SpamAssassin , Consulter le 12-05-22
https://orangeassassin.readthedocs.io/en/v1.0b/intro.html#running-tests , Consulter le 12-05-22

Service DNS

Service Web

Services internes

Service Mail

Service VoIP

Prototype

Clone this wiki locally