Mail

Besoins techniques

Pour notre réseau d'entreprise, nous devions mettre en place différents besoins techniques :

1. Un serveur de messagerie gère le courrier des employés (doit pouvoir recevoir des mails de l’extérieur).
2. Toutes les boîtes aux lettres des utilisateurs doivent être configurée.
3. Des listes de distribution pour chaque groupe d’employés et pour la direction (des listes de contact pour chaque groupe et une liste de contact réservée à la direction).

Sécurisation du service Mail

Nous avons pas sécurisé le mail étant donné que nous avons pas mit le service en place. Voici ce que nous aurions mit en place comme contre-mesure.

Les risques

Il existe plusieurs attaque possible qui peuvent arriver contre les serveurs mails. Voici les plus courantes :

• Phishing: est une forme de fraude en ligne où les attaquants cherchent à obtenir des informations sensibles telles que les mots de passe, les numéros de carte de crédit, les informations bancaires, etc. en se faisant passer pour une entreprise ou une organisation de confiance. Les attaquants peuvent envoyer des e-mails ou des messages textes malveillants, ou créer des sites web frauduleux qui ressemblent à des sites légitimes pour tromper les victimes en leur faisant saisir leurs informations personnelles.
• Le SPAM: Le spam est un courrier indésirable, généralement envoyé en grande quantité, qui peut inclure des publicités, des offres commerciales, des escroqueries, des virus informatiques et autres contenus non sollicités. Il peut être envoyé par e-mail, messagerie instantanée, réseaux sociaux, ou tout autre moyen de communication en ligne.
• Spoofing: Le spoofing est une technique utilisée pour faire croire à un utilisateur qu'il communique avec une source fiable, alors que cette source est en réalité une personne malveillante.
• DDOS: est une forme d'attaque informatique visant à rendre un site web ou un service en ligne indisponible en surchargeant ses serveurs avec un trafic excessif

Quelques moyen de contrer les risques :

• Pour limiter les SPAM on peut utiliser un logiciel qui utilise les protocoles DKIM, DMARC ou SPF.
• Utiliser fail2ban pour vérifier qu'aucune attaque DDOS n'est arrivée.
• Le DDOS peut etre contrer par le firewall.
• Pour qu'aucune personne mal intentionnée ne puisse lire les échanges il est possible de les crypter avec du cryptage TLS.
• Il existe SpamAssassin est un excellent logiciel pour éliminer le SPAM de manière drastique.

Configuration des moyens de contre-mesures :

Voici comment nous aurions fait pour contrer les mesures.

SpamAssasin

• Il faut d'abord installer et configurer SpamAssassin grâce à cette commande.
  apt-get install spamassassin libmail-spf-query-perl
• Il y a deux fichier à configurer
  

1. Le premer se trouve dans /etc/spamassassin/local.cf. Voici la configuration
   

# SpamAssassin Configuration
rewrite_header Subject  *****SPAM*****
use_bayes               1
bayes_auto_learn        1
required_score          5.0
skip_rbl_checks         0
report_safe             0

2. Le deuxième se trouve dans /etc/default/spamassassin.
   Il faut changer le ENABLE=0 en ENABLE=1 pour activier SpamAssassin.

3. Il faut ensuite redémarrer SpamAssassin gràce à
   /etc/init.d/spamassassin restart

OpenDKIM

• Il faut installer OpenDKIM gràce à
  apt install opendkim
• Pour le configurer il faut aller dans le fichier de configuration
  nano /etc/opendkim.conf
• Il faut changer la ligne
  Mode V par Mode sv pour dire que on va signer les emails sortants
• Il faut enlever les commandes à ses lignes :
  

Key file
KeyTable
SigningTable
ExternalIgnoreList
InternalHosts

• Ajouter à la fin du fichier, la ligne Domain brainwash-corp.org et RequireSafeKeys False
• Configuer le fichier avec la table des signatures
  nano /etc/opendkim/SigningTable
• Il faut indiquer à OpenDKIM qu'il doit signer les reqûêtes de notre domaine
  *@brainwash-corp.org default._domainkey.brainwash-corp.org
• Sauvegarder le fichier
• Il faut editer le fichier qiu contient les hôtes du réseau qui sont des hôtes trusted
  nano /etc/opendkim/TrustedHosts
• Ajouter la ligne *brainwash-corp.org pour autoriser toues les adresses email contenue dans ce domaine.
• Il faut générer les clés publiques et privées. Créer un dossier pour le domaine dans le dossier des clés :
  mkdir /etc/opendkim/keys/l1-3.ephec-ti.be
• Pour créer les clés, on peut utiliser l'outil opendkim-genkey.
  opendkim-genkey -b 1024 -d l1-3.ephec-ti.be -D /etc/opendkim/keys/l1-3.ephec-ti.be -s default -v
• Pour que opendkim doit être le propriétaire des clés pour les utiliser.
  chown opendkim:opendkim /etc/opendkim/keys -R
• Mettre la clé publique dans la configuration de notre DNS.
  cat /etc/opendkim/keys/`brainwash-corp.org/default.txt
• Il faut ensuite ocnnecter postfix à OpenDKIM. Il faut aller dans le fichier
  nano /etc/postfix/main.cf
• Il faut ensuite ajouter ces lignes à la fin du fichier pour que postfix fasse appel à OpenDKIM quand il en aura besoin:
  

smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters milter_default_action = accept

• Finalement, redémarrer OpenDKIM
  redémarrez OpenDKIM
• Ainsi que postfix
  service postfix restart

SPF

Pour activer SPF, on peut ajouter tout simplement au fichier de zone, la ligne suivante:
brainwash-corp.org IN TXT "v=spf1 include:mail.brainwash-corp.org ip4:176.96.231.161 -all"
Cela active SPF pour la zone brainwash-corp.org.

DMARK

Pour activer DMARK, on peut ajouter tout simplement au fichier de zone, la ligne suivante: _dmarc IN TXT "v=DMARC1; p=reject;" Cela active DMARK pour la zone brainwash-corp.org. À noter que le paramètre p sert à dire, dans ce cas-ci, que les e-mails frauduleux vont être rejetés.

TLS

• Pour configurer TLS, il faut générer la clé et le certificat. D'abord aller dans le dossier postfix.
  cd /etc/postfix
• Il faut taper cette commande
  openssl req -nodes -new -x509 -keyout dsfc.key -out dsfc.crt
• Il faut aller dans le fichier de configuration de postfix
  nano /etc/postfix/main.cf
• Et y ajouter ces directives
  

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/dsfc.key
smtpd_tls_cert_file = /etc/postfix/dsfc.crt
smtpd_tls_ask_ccert = yes
smtpd_tls_req_ccert = yes
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtpd_tls_ccert_verifydepth = 1
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_tls_session_cache_timeout = 86400