Sécurité des comptes et des mots de passe

Détails des articles
Lien: http://support.icewarp.fr/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=367
Code d'identification de l'article: 367
Créé le: 20 Nov 2013 10:48 AM

Réponse IceWarp toutes versions -

La sécurité du serveur est fondée sur l'existence et la confidentialité de couples Utilisateur/Mot de passe.
La découverte par une personne mal intentionnée d'un de ces couples peut entraîner de graves conséquences sur le serveur.

La découverte d'un mot de passe peut provenir : du piratage d'un poste, du piratage du serveur, de l'écoute des liaisons non cryptées, d'attaques de type "force brute". Voici quelques règles pour lutter contre ces menaces.


1) Protection des postes


2) Protection du serveur

3) Écoute des liaisons
Les mots de passe doivent être toujours demandés, ils doivent être toujours cryptés et les liaisons doivent si possible être aussi complètement cryptées (SSL).
4) Attaques de type force brute
Ces attaques consistent pour un hacker à essayer de façon systématique des couples utilisateur/mot de passe jusqu'à trouver une combinaison gagnante. Pour lutter contre ce type d'attaque, il faut sécuriser les mots de passe et bloquer les tentatives de connexion.
Ensuite, pour vérifier la conformité des mots de passe existants par rapport à la nouvelle stratégie, exécuter la commande suivante (dans une fenêtre invite de commande et sous le répertoire principal d'IceWarp):
       tool check account "*@*" passpolicy
qui donnera une liste des comptes non-conformes.


D'une façon plus générale, un certain nombre d'informations sur la sécurité sont données dans le document :
http://www.icewarp.fr/download/guides/IceWarp%20-%20V11%20-%20Guide%20de%20securite.pdf
et la vidéo
http://support.icewarp.fr/index.php?_m=downloads&_a=viewdownload&downloaditemid=6&nav=0

En cas d'utilisation de votre serveur comme relais de spam, vous pouvez consulter la FAQ: "Que faire si mon serveur est utilisé comme relais de Spams ?"

Crypter les mots de passe
Pour que les mots de passe soient cryptés, valider l'option Domaines et comptes -> Stratégies -> Stratégie des mots de passe -> Crypter les mots de passe
Comme le cryptage n'est pris en compte que si le compte est modifié, voici une méthode pour l'appliquer immédiatement :
- Copier ce fichier dans le répertoire 'html' du serveur après l'avoir dézippé : http://www.icewarp.fr/download/executables/outils/crypter_pwd.zip
- Dans un navigateur, exécuter : https://<serveur>/crypter_pwd.php
- Vérifier le résultat : select U_Alias, U_Password, U_Type from Users where U_Type=0
- Supprimer le fichier .../html/crypter_pwd.php


Maj septembre 2018