Sécurité Internet - Sécurité des e-mails
Dans ce chapitre, nous expliquerons les mesures de sécurité à prendre dans un serveur de messagerie et sur un site client.
Renforcer un serveur de messagerie
Pour renforcer un serveur de messagerie, vous devrez suivre les étapes suivantes -
Étape 1. Configurez le serveur de messagerie pour ne pas avoir Open Relay
Il est très important de configurer vos paramètres de relais de messagerie pour qu'ils soient très restrictifs. Tous les serveurs de messagerie ont cette option, dans laquelle vous pouvez spécifier les domaines ou adresses IP vers lesquels votre serveur de messagerie relaiera les e-mails. Ce paramètre spécifie à qui votre protocole SMTP doit transmettre les e-mails. Un relais ouvert peut vous nuire car les spammeurs peuvent utiliser votre serveur de messagerie pour spammer d'autres personnes, ce qui entraîne la mise sur liste noire de votre serveur.
Étape 2. Configurez l'authentification SMTP pour contrôler l'accès des utilisateurs
L'authentification SMTP force les personnes qui utilisent votre serveur à obtenir l'autorisation d'envoyer des e-mails en fournissant d'abord un nom d'utilisateur et un mot de passe. Cela permet d'éviter tout relais ouvert et abus de votre serveur. S'ils sont configurés correctement, seuls les comptes connus peuvent utiliser le SMTP de votre serveur pour envoyer un e-mail. Cette configuration est fortement recommandée lorsque votre serveur de messagerie a une adresse IP routée.
Étape 3. Limitez les connexions pour protéger votre serveur contre les attaques DoS
Le nombre de connexions à votre serveur SMTP doit être limité. Ces paramètres dépendent des spécifications du matériel du serveur et c'est une charge nominale par jour. Les principaux paramètres utilisés pour gérer les limites de connexion comprennent: le nombre total de connexions, le nombre total de connexions simultanées et le taux de connexion maximal. Le maintien de valeurs optimales pour ces paramètres peut nécessiter un affinement au fil du temps. Ilprevents Spam Floods and DoS Attacks qui ciblent votre infrastructure réseau.
Étape 4. Activez le DNS inversé pour bloquer les faux expéditeurs
La plupart des systèmes de messagerie utilisent des recherches DNS pour vérifier l'existence du domaine de messagerie de l'expéditeur avant d'accepter un message. Une recherche inversée est également une option intéressante pour lutter contre les faux expéditeurs de courrier. Une fois la recherche DNS inversée activée, votre SMTP vérifie que l'adresse IP de l'expéditeur correspond à la fois aux noms d'hôte et de domaine qui ont été soumis par le client SMTP dans leEHLO/HELO Command. Ceci est très utile pour bloquer les messages qui échouent au test de correspondance d'adresse.
Étape 5. Utilisez les serveurs DNSBL pour lutter contre les abus d'e-mails entrants
L'une des configurations les plus importantes pour protéger votre serveur de messagerie consiste à utiliser DNS – based blacklists. Vérifier si le domaine ou l'adresse IP de l'expéditeur est connu des serveurs DNSBL du monde entier pourrait réduire considérablement la quantité de spam reçu. L'activation de cette option et l'utilisation d'un nombre maximum de serveurs DNSBL réduiront considérablement l'impact des e-mails entrants non sollicités. La liste des serveurs DNSBL ainsi que toutes les adresses IP et domaines connus des spammeurs à cette fin sont tous stockés dans un site Web, le lien pour ce site Web est -https://www.spamhaus.org/organization/dnsblusage/
Étape 6. Activez SPF pour éviter les sources usurpées
Le Sender Policy Framework (SPF) est une méthode utilisée pour empêcher l'usurpation des adresses des expéditeurs. De nos jours, presque tous les e-mails abusifs portent de fausses adresses d'expéditeurs. Le contrôle SPF garantit que le MTA expéditeur est autorisé à envoyer du courrier au nom du nom de domaine de l'expéditeur. Lorsque SPF est activé sur votre serveur, l'enregistrement MX du serveur d'envoi (l'enregistrement DNS Mail Exchange) est validé avant toute transmission de message.
Étape 7. Activez SURBL pour vérifier le contenu du message
Le SURBL (Spam URI Real-time Block Lists) détecte les e-mails indésirables en fonction de liens non valides ou malveillants dans un message. Le fait d'avoir un filtre SURBL aide à protéger les utilisateurs contre les logiciels malveillants et les attaques de phishing. À l'heure actuelle, tous les serveurs de messagerie ne prennent pas en charge SURBL. Mais si votre serveur de messagerie le prend en charge, son activation augmentera la sécurité de votre serveur, ainsi que la sécurité de l'ensemble de votre réseau puisque plus de 50% des menaces de sécurité Internet proviennent du contenu des e-mails.
Étape 8. Maintenez des listes noires d'adresses IP locales pour bloquer les spammeurs
Avoir une liste noire d'adresses IP locales sur votre serveur de messagerie est très important pour contrer des spammeurs spécifiques qui ne ciblent que vous. La maintenance de la liste peut prendre des ressources et du temps, mais elle apporte une réelle valeur ajoutée. Le résultat est un moyen rapide et fiable d'empêcher les connexions Internet indésirables de déranger votre système de messagerie.
Étape 9. Crypter l'authentification POP3 et IMAP pour des problèmes de confidentialité
Les connexions POP3 et IMAP n'ont pas été conçues à l'origine avec la sécurité à l'esprit. En conséquence, ils sont souvent utilisés sans authentification forte. C'est une grande faiblesse car les mots de passe des utilisateurs sont transmis en texte clair via votre serveur de messagerie, ce qui les rend facilement accessibles aux pirates et aux personnes malveillantes. Le SSLTLS est le moyen le plus connu et le plus simple d'implémenter une authentification forte; il est largement utilisé et considéré comme suffisamment fiable.
Étape 10. Avoir au moins deux enregistrements MX pour tout basculement
Avoir une configuration de basculement est très important pour la disponibilité. Avoir un enregistrement MX n'est jamais suffisant pour assurer un flux continu de courrier vers un domaine donné, c'est pourquoi il est fortement recommandé de configurer au moins deux MX pour chaque domaine. Le premier est défini comme primaire et le secondaire est utilisé si le primaire tombe en panne pour une raison quelconque. Cette configuration se fait sur leDNS Zone level.
Sécuriser les comptes de messagerie
Dans cette section, nous discuterons de la manière de sécuriser les comptes de messagerie et d'éviter qu'ils ne soient piratés.
Sécurisation sur le site client
Le plus important est de Create complex passwords. Comme il existe de nombreuses techniques disponibles pour déchiffrer les mots de passe comme la force brute, les attaques par dictionnaire et la devinette de mot de passe.
A strong password contains −
- 7 à 16 caractères.
- Lettres majuscules et minuscules
- Numbers
- Caractères spéciaux
Connectez toujours le mot de passe de l'e-mail à un autre e-mail authentique auquel vous avez accès. Donc, en cas de piratage de cet e-mail, vous avez la possibilité d'y accéder à nouveau.
Installez dans votre ordinateur un antivirus de messagerie, de sorte que chaque e-mail qui arrive dans votre client de messagerie soit analysé comme les pièces jointes et les liens de phishing.
Si vous avez l'habitude d'utiliser l'accès Web, n'ouvrez jamais les pièces jointes avec l'extension.exe extensions.
Il est recommandé d'utiliser un e-mail crypté lors de la communication officielle avec des données importantes. Il vaut donc mieux que la communication soit cryptée entre les utilisateurs finaux, un bon outil pour cela estPGP Encryption Tool.