Skip to content

Mail

Jump to bottom
Logan Montalto edited this page Feb 10, 2023 · 20 revisions

Besoins techniques

Pour notre réseau d'entreprise, nous devions mettre en place différents besoins techniques :

  1. Un serveur de messagerie gère le courrier des employés (doit pouvoir recevoir des mails de l’extérieur).
  2. Toutes les boîtes aux lettres des utilisateurs doivent être configurée.
  3. Des listes de distribution pour chaque groupe d’employés et pour la direction (des listes de contact pour chaque groupe et une liste de contact réservée à la direction).

Eléments techniques

  • Implémenter un serveur POP et IMAP
  • Implémenter un serveur SMTP
  • Configurer le firewall pour qu'il redirige l'accès aux mails vers le serveur mail

Par manque de temps, nous n'avons pas mis en place le service mail dans notre réseau d'entreprise étant donné qu'il n'était pas dans les tâches importantes que nous avions décidées. Pour cela, plusieurs solutions étaient possibles.

Solutions envisageables

Postfix

Postfix est un serveur de messagerie électronique et un logiciel libre développé par Wietse Venema et plusieurs contributeurs. Il se charge de la livraison de courriers électroniques. Postfix a été conçu comme une alternative plus rapide, plus facile à administrer et plus sécurisée que Sendmail. Il est le serveur de courriel par défaut dans plusieurs systèmes de type UNIX, comme Mac OS X, NetBSD3, diverses distributions GNU/Linux, … . Postfix permet d'éviter bon nombre de spams sans même devoir scanner les contenus de message.

SurgeMail

SurgeMail est un serveur de messagerie de classe entreprise complet avec une messagerie intégrée basée sur le Web, une administration des comptes et du serveur basée sur le Web. SurgeMail dispose de nombreuses fonctionnalités pour les systèmes à haute fiabilité, telles que la gestion de spams, la mise en miroir intégrée du serveur (=processus par lequel une réplique exacte d'un serveur est créée en permanence au moment de l'exécution) et la prise en charge des configurations cluster et proxy, le stockage du courrier basé sur NFS, etc.

Agixen

Axigen est un serveur de messagerie complet, doté d’un support technique qui offre vitesse, sécurité et fiabilité. Son système de stockage intelligent et à sécurité intégrée permet d'éviter toute interruption de service ou perte de données. Il assure une migration automatique à partir de n'importe quel serveur de messagerie tiers et permet d'élaborer des solutions plus performantes et plus attrayantes. Les principaux services comprennent SMTP, IMAP ou POP3, serveur de liste, WebMail localisé dans plus de 20 langues, interface mobile Web Mail, journalisation ou rapports avancés, administration centralisée WEB ou CLI. Axigen est recommandé pour les petites entreprises, les projets d'intégration ou les environnements de test.

Comparatif

Postfix SurgeMail Agixen
OS Linux Linux, Windows Linux, Windows
SMTP oui oui oui
Support/Documentation Assez complète Très complète Un peu faible
Plus adapté pour / Grosse entreprise Petit projet, petite entreprise

Sécurisation du service Mail

Nous avons pas sécurisé le mail étant donné que nous n'avons pas mit le service en place. Voici ce que nous aurions mit en place comme contre-mesure.

Les risques

Il existe plusieurs attaque possible qui peuvent arriver contre les serveurs mails. Voici les plus courantes :

  • Phishing: est une forme de fraude en ligne où les attaquants cherchent à obtenir des informations sensibles telles que les mots de passe, les numéros de carte de crédit, les informations bancaires, etc. en se faisant passer pour une entreprise ou une organisation de confiance. Les attaquants peuvent envoyer des e-mails ou des messages textes malveillants, ou créer des sites web frauduleux qui ressemblent à des sites légitimes pour tromper les victimes en leur faisant saisir leurs informations personnelles.
  • Le SPAM: Le spam est un courrier indésirable, généralement envoyé en grande quantité, qui peut inclure des publicités, des offres commerciales, des escroqueries, des virus informatiques et autres contenus non sollicités. Il peut être envoyé par e-mail, messagerie instantanée, réseaux sociaux, ou tout autre moyen de communication en ligne.
  • Spoofing: Le spoofing est une technique utilisée pour faire croire à un utilisateur qu'il communique avec une source fiable, alors que cette source est en réalité une personne malveillante.
  • DDOS: est une forme d'attaque informatique visant à rendre un site web ou un service en ligne indisponible en surchargeant ses serveurs avec un trafic excessif

Quelques moyen de contrer les risques :

  • Pour limiter les SPAM on peut utiliser un logiciel qui utilise les protocoles DKIM, DMARC ou SPF.
  • Utiliser fail2ban pour vérifier qu'aucune attaque DDOS n'est arrivée.
  • Le DDOS peut être contré par le firewall.
  • Pour qu'aucune personne mal intentionnée ne puisse lire les échanges il est possible de les crypter avec du cryptage TLS.
  • Il existe SpamAssassin est un excellent logiciel pour éliminer le SPAM de manière drastique.

Configuration des moyens de contre-mesures :

Voici comment nous aurions fait pour contrer les mesures.

SpamAssasin

  • Il faut d'abord installer et configurer SpamAssassin grâce à cette commande.
    apt-get install spamassassin libmail-spf-query-perl
  • Il y a deux fichiers à configurer
  1. Le premier se trouve dans /etc/spamassassin/local.cf. Voici la configuration 
# SpamAssassin Configuration
rewrite_header Subject  *****SPAM*****
use_bayes               1
bayes_auto_learn        1
required_score          5.0
skip_rbl_checks         0
report_safe             0

  1. Le deuxième se trouve dans /etc/default/spamassassin.
    Il faut changer le ENABLE=0 en ENABLE=1 pour activer SpamAssassin.

  2. Il faut ensuite redémarrer SpamAssassin grâce à
    /etc/init.d/spamassassin restart

OpenDKIM

  • Il faut installer OpenDKIM grâce à
    apt install opendkim
  • Pour le configurer il faut aller dans le fichier de configuration
    nano /etc/opendkim.conf
  • Il faut changer la ligne
    Mode V par Mode sv pour dire que on va signer les emails sortants
  • Il faut enlever les commandes à ses lignes : 
Key file
KeyTable
SigningTable
ExternalIgnoreList
InternalHosts
  • Ajouter à la fin du fichier, la ligne Domain brainwash-corp.org et RequireSafeKeys False
  • Configurer le fichier avec la table des signatures
    nano /etc/opendkim/SigningTable
  • Il faut indiquer à OpenDKIM qu'il doit signer les requêtes de notre domaine
    *@brainwash-corp.org default._domainkey.brainwash-corp.org
  • Sauvegarder le fichier
  • Il faut éditer le fichier qui contient les hôtes du réseau qui sont des hôtes trusted
    nano /etc/opendkim/TrustedHosts
  • Ajouter la ligne *brainwash-corp.org pour autoriser toues les adresses email contenue dans ce domaine.
  • Il faut générer les clés publiques et privées. Créer un dossier pour le domaine dans le dossier des clés :
    mkdir /etc/opendkim/keys/brainwash-corp.org
  • Pour créer les clés, on peut utiliser l'outil opendkim-genkey.
    opendkim-genkey -b 1024 -d brainwash-corp.org -D /etc/opendkim/keys/brainwash-corp.org -s default -v
  • Pour que opendkim doit être le propriétaire des clés pour les utiliser.
    chown opendkim:opendkim /etc/opendkim/keys -R
  • Mettre la clé publique dans la configuration de notre DNS.
    cat /etc/opendkim/keys/`brainwash-corp.org/default.txt
  • Il faut ensuite connecter postfix à OpenDKIM. Il faut aller dans le fichier
    nano /etc/postfix/main.cf
  • Il faut ensuite ajouter ces lignes à la fin du fichier pour que postfix fasse appel à OpenDKIM quand il en aura besoin: 
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters milter_default_action = accept
  • Finalement, redémarrer OpenDKIM
    redémarrez OpenDKIM
  • Ainsi que postfix
    service postfix restart

SPF

Pour activer SPF, on peut ajouter tout simplement au fichier de zone, la ligne suivante:
brainwash-corp.org IN TXT "v=spf1 include:mail.brainwash-corp.org ip4:176.96.231.161 -all"
Cela active SPF pour la zone brainwash-corp.org.

DMARK

Pour activer DMARK, on peut ajouter tout simplement au fichier de zone, la ligne suivante: _dmarc IN TXT "v=DMARC1; p=reject;" Cela active DMARK pour la zone brainwash-corp.org. À noter que le paramètre p sert à dire, dans ce cas-ci, que les e-mails frauduleux vont être rejetés.

TLS

  • Pour configurer TLS, il faut générer la clé et le certificat. D'abord aller dans le dossier postfix.
    cd /etc/postfix
  • Il faut taper cette commande
    openssl req -nodes -new -x509 -keyout dsfc.key -out dsfc.crt
  • Il faut aller dans le fichier de configuration de postfix
    nano /etc/postfix/main.cf
  • Et y ajouter ces directives 
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/dsfc.key
smtpd_tls_cert_file = /etc/postfix/dsfc.crt
smtpd_tls_ask_ccert = yes
smtpd_tls_req_ccert = yes
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtpd_tls_ccert_verifydepth = 1
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_tls_session_cache_timeout = 86400

Sources

https://fr.wikipedia.org/wiki/Postfix https://surgemail.com/ https://www.techopedia.com/definition/1156/server-mirroring https://netwinsite.com/surgemail/integrated.htm https://download.cnet.com/Axigen-Mail-Server/3000-2369_4-10879853.html https://www.axigen.com/mail-server/free/#free-mail-server

1. Introduction

2. Gestion de Projet

3. Résumés journaliers

4. Schémas

5. Configurations réseau

6. Proxmox, VMs et containers

7. Services

8. Sécurité

9. Réunions et prises de notes diverses

Clone this wiki locally