18 Jun 2018 
Centre d'assistance » Base de connaissances » Sécurité des comptes et des mots de passe
 Connexion [Mot de passe perdu] 
Courriel:
Mot de passe:
Se souvenir de moi:
 
 Recherche
 Détails des articles
 Sécurité des comptes et des mots de passe
Solution IceWarp toutes versions -

La sécurité du serveur est fondée sur l'existence et la confidentialité de couples Utilisateur/Mot de passe.
La découverte par une personne mal intentionnée d'un de ces couples peut entraîner de graves conséquences sur le serveur.

La découverte d'un mot de passe peut provenir : du piratage d'un poste, du piratage du serveur, de l'écoute des liaisons non cryptées, d'attaques de type "force brute". Voici quelques règles pour lutter contre ces menaces.


1) Protection des postes
  • Il est recommandé de faire des vérifications régulières des postes utilisateurs (et a fortiori ceux des comptes qui ont déjà été piratés) pour la présence de virus/malware - par ex. avec Malawarebytes (http://www.malwarebytes.org/lp/malware_lp_form/)
  • Il est recommandé d'avoir un bon antivirus sur tous les postes utilisateurs.
  • Il ne faut pas que les mots de passe du compte soient écrits à côté du poste ni diffusés à d'autres personnes.
  • Il n'est pas recommandé d'utiliser le mot de passe de la messagerie sur d'autres sites (ex: réseaux sociaux) ou pour d'autres applications.
  • Il ne faut pas mémoriser le couple utilisateur/mot de passe sur des postes publics
  • Il est recommandé de configurer la modification périodique du mot de passe (Gestion -> Stratégies -> onglet Stratégie des mots de passe -> groupe Expiration des mots de passe)


2) Protection du serveur
  • Vérifier que la version du serveur est la plus à jour, en particulier si des correctifs de sécurité ont été publiés.
  • Il ne faut pas autoriser l'inscription automatique sur le Client Web (Options du client Web -> Général -> Restrictions)
  • Il est plus judicieux de ne pas valider la fonction "mot de passe oublié" (Options du client Web -> Général -> Mot de passe oublié), afin de ne pas envoyer le mot de passe en clair dans un mail sur un serveur (gmail, hotmail,yahoo...)
  • Il faut vérifier que les comptes administrateurs sont en nombre limités et que leurs mots de passe ne sont pas diffusés
  • Les sessions sur la console d'administration à distance doivent être en mode crypté (HTTPs)
  • Les bases de données doivent être protégées contre toute tentative de lecture à partir de l'extérieur du serveur.
  • Positionner l’option suivante de Gestion -> Stratégies -> Stratégie des mots de passe : "Un mot de passe ne peut être ni lu ni exporté" (ceci supprime la possibilité pour un compte de retrouver son mot de passe)
  • Valider l'option Gestion -> Stratégies -> Stratégie des mots de passe -> Crypter les mots de passe (il faut mettre à jour chaque compte pour que cette option s'applique)
  • Dans la console API (menu Fichier), positionner la variable "c_mail_security_protocols_denyvrfy" à vrai sauf si vous utilisez la commande VRFY (cette commande est en particulier utilisée pour les domaines distribués sauf si vous utilisez Minger)
  • Dans la console API "c_mail_security_protocols_denyexpn" doit être à vrai sauf si vous utilisez la commande EXPN.
  • Dans la mesure du possible, ne garder que 127.0.0.1 dans la liste Mail -> Sécurité -> IP de confiance. Si d'autres adresses y figurent, s'assurer que les serveurs en question sont bien gérés.
  • Pour se protéger contre le relayage, dans Mail -> Sécurité -> onglet Général cocher "Rejeter émetteur non autorisé dans domaine local" et dans Mail -> Sécurité -> onglet Avancé : cocher "Ne relayer que si le domaine de l'expéditeur est local"

3) Écoute des liaisons
Les mots de passe doivent être toujours demandés, ils doivent être toujours cryptés et les liaisons doivent si possible être aussi complètement cryptées (SSL).
  • Il faut s'assurer que les mots de passe sont toujours cryptés (Digest-MD5, CRAM-MD5) ou utiliser un protocole crypté (SSL). Les clients de messagerie habituels (Client Web, Desktop, Outlook, Thunderbird) utilisent toujours une méthode de cryptage du mot de passe pour s'authentifier.
  • Vérifier que tous vos clients de messagerie utilisent bien une méthode de ce type pour s'authentifier. Vous pouvez pour cela, interdire les options Plain et Login pour le codage des mots de passe (à décocher dans Système -> Avancé -> Protocole).
  • Il faut décocher l'option "POP avant SMTP" dans Mail -> Sécurité -> onglet Général pour forcer le client de messagerie à faire une authentification SMTP.
  • Il est conseillé de n'utiliser que des liaisons cryptées. Pour le web, on peut forcer l'utilisation de HTTPs (cf. FAQ sur les flux HTTPs)
4) Attaques de type force brute
Ces attaques consistent pour un hacker à essayer de façon systématique des couples utilisateur/mot de passe jusqu'à trouver une combinaison gagnante. Pour lutter contre ce type d'attaque, il faut sécuriser les mots de passe et bloquer les tentatives de connexion.
  • Activer la stratégie des mots de passe (Gestion -> Stratégies -> onglet Stratégie des mots de passe) en exigeant un mot de passe différent du nom, une longueur minimale et un certain nombre de caractères numériques et alpha-numériques.
Ensuite, pour vérifier la conformité des mots de passe existants par rapport à la nouvelle stratégie, exécuter la commande suivante (dans une fenêtre invite de commande et sous le répertoire principal d'IceWarp):
       tool check account "*@*" passpolicy
qui donnera une liste des comptes non-conformes.
  • Activer la prévention des intrusions (Mail -> Sécurité -> onglets DNS et Prévention des intrusions)


D'une façon plus générale, un certain nombre d'informations sur la sécurité sont données dans le document :
http://www.icewarp.fr/download/guides/IceWarp%20-%20V11%20-%20Guide%20de%20securite.pdf
et la vidéo
http://support.icewarp.fr/index.php?_m=downloads&_a=viewdownload&downloaditemid=6&nav=0

En cas d'utilisation de votre serveur comme relais de spam, vous pouvez consulter la FAQ: "Que faire si mon serveur est utilisé comme relais de Spams ?"


Maj 20 novembre 2013


Détails des articles
Code d'identification de l'article: 367
Créé le: 20 Nov 2013 10:48 AM

 Cette réponse m'a été utile  Cette réponse ne m'a pas été utile