Sécurité des comptes et des mots de passe

Détails des articles
Lien: https://support.icewarp.fr/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=367
Code d'identification de l'article: 367
Créé le: 20 Nov 2013 10:48 AM

Réponse IceWarp toutes versions -

La sécurité du serveur est fondée sur l'existence et la confidentialité de couples Utilisateur/Mot de passe.
La découverte par une personne mal intentionnée d'un de ces couples peut entraîner de graves conséquences sur le serveur.

La découverte d'un mot de passe peut provenir : du piratage d'un poste, du piratage du serveur, de l'écoute des liaisons non cryptées, d'attaques de type "force brute". Voici quelques règles pour lutter contre ces menaces.


1) Protection des postes


2) Protection du serveur

3) Écoute des liaisons
Les mots de passe doivent être toujours demandés, ils doivent être toujours cryptés et les liaisons doivent si possible être aussi complètement cryptées (SSL).
4) Attaques de type force brute
Ces attaques consistent pour un hacker à essayer de façon systématique des couples utilisateur/mot de passe jusqu'à trouver une combinaison gagnante. Pour lutter contre ce type d'attaque, il faut sécuriser les mots de passe et bloquer les tentatives de connexion.
  •     Activer la stratégie des mots de passe (Domaines & Comptes -> Stratégies -> onglet Stratégie des mots de passe) en exigeant un mot de passe différent du nom, une longueur minimale et un certain nombre de caractères numériques et alpha-numériques.
  •     Activer "Bloquer la connexion à un compte si le nombre d'échecs excède" dans Domaines & Comptes -> Stratégies ->  onglet Stratégie de connexion et mettre une valeur pas trop élevée (7 par exemple).
  •     Activer la prévention des intrusions (Mail -> Sécurité -> onglets DNS et Prévention des intrusions). Et en particulier activer le contrôle "Bloquer adresse IP si nombre d'échecs de connexion excède :"
    Mettre une valeur la plus faible possible (5 par exemple) et en particulier plus faible que la limite


D'une façon plus générale, un certain nombre d'informations sur la sécurité sont données dans le document Guide de Sécurité.
et la vidéo
http://support.icewarp.fr/index.php?_m=downloads&_a=viewdownload&downloaditemid=6&nav=0

En cas d'utilisation de votre serveur comme relais de spam, vous pouvez consulter la FAQ: "Que faire si mon serveur est utilisé comme relais de Spams ?"

Vérifier la conformité des mots de passe
Pour vérifier la conformité des mots de passe existants par rapport à la stratégie, exécuter la commande suivante (dans une fenêtre invite de commande ouverte en administrateur et sous le répertoire principal d'IceWarp):
           tool check account "*@*" passpolicy
    qui donnera une liste des comptes non-conformes.

Crypter les mots de passe
Pour que les mots de passe soient cryptés, valider l'option Domaines et comptes -> Stratégies -> Stratégie des mots de passe -> Crypter les mots de passe
Comme le cryptage n'est pris en compte que si le compte est modifié, voici une méthode pour l'appliquer immédiatement :
- Copier ce fichier dans le répertoire 'html' du serveur après l'avoir dézippé : https://www.icewarp.fr/download/executables/outils/crypter_pwd.zip
- Dans un navigateur, exécuter : https://<serveur>/crypter_pwd.php
- Vérifier le résultat dans la base de données Comptes : select U_Alias, U_Password, U_Type from Users where U_Type=0
- Supprimer le fichier .../html/crypter_pwd.php
On peut aussi utiliser la commande suivante : tool --filter="U_Type=0" modify account *@* U_Type=0

Forcer le changement de tous les mots de passe
Dans la console d'administration -> Domaines & Comptes -> Stratégies -> onglet Stratégies des mots de passe -> option "Expiration du mot de passe" doit être activée.
Dans une fenêtre invite de commande ouverte en administrateur et sous le répertoire principal d'IceWarp exécuter :
       tool --filter="U_Type=0" set account *@* U_PasswordExpired 1
Ceci va obliger l'utilisateur du Client Web à changer son mot de passe
En même temps, un fichier passchg.dat est ajouté dans le dossier mail du compte, par exemple dans ...\domaine.fr\alias\ pour alias@domaine.fr
- Si le fichier n'existe pas c'est que la demande de changement de mot de passe n'a pas été exécuté
- Si le fichier existe mais n'a pas de date ou une date très ancienne, le mot de passe n'a pas été changé et son changement sera demandé à l'utilisateur à la prochaine connexion du webmail
- Si le fichier a une date récente c'est que le mot de passe a bien été changé par l'utilisateur



Modifié septembre 2021