IceWarp toutes versions -
La sécurité du serveur est fondée sur l'existence et la confidentialité de couples Utilisateur/Mot de passe.
La découverte par une personne mal intentionnée d'un de ces couples peut entraîner de graves conséquences sur le serveur.
La découverte d'un mot de passe peut provenir : du piratage d'un poste, du piratage du serveur, de l'écoute des liaisons non cryptées, d'attaques de type "force brute". Voici quelques règles pour lutter contre ces menaces.
1) Protection des postes
- Il est recommandé de faire des vérifications régulières des postes utilisateurs (et a fortiori ceux des comptes qui ont déjà été piratés) pour la présence de virus/malware - par ex. avec Malawarebytes (https://www.malwarebytes.org/lp/malware_lp_form/)
- Il est recommandé d'avoir un bon antivirus sur tous les postes utilisateurs (attention toutefois si vous utilisez Outlook Sync)
- Il ne faut pas que les mots de passe du compte soient écrits à côté du poste ni diffusés à d'autres personnes.
- Il n'est pas recommandé d'utiliser le mot de passe de la messagerie sur d'autres sites (ex: réseaux sociaux) ou pour d'autres applications.
- Il ne faut pas que le navigateur mémorise le couple utilisateur/mot de passe sur des postes publics
- Il est recommandé de configurer la modification périodique du mot de passe (Domaines et comptes -> Stratégies -> onglet Stratégie des mots de passe -> groupe Expiration des mots de passe)
- Depuis la version 12.1, il est possible de créer une validation en deux étapes sur le Client Web. Ce mécanisme est simple et très sécurisé puisque la connexion nécessite à la fois de connaître le mot de passe et de posséder le mobile du propriétaire. Il est conseillé de l'utiliser en particulier sur les comptes administrateurs (voir la documentation du client Web).
2) Protection du serveur
- Vérifier que la version du serveur est la plus à jour, en particulier si des correctifs de sécurité ont été publiés.
- Il ne faut pas autoriser l'inscription automatique sur le Client Web (Options du client Web -> Général -> Restrictions)
- Il est plus judicieux de ne pas valider la fonction "mot de passe oublié" (Options du client Web -> Général -> Mot de passe oublié), afin de ne pas envoyer le mot de passe en clair dans un mail sur un serveur (gmail, hotmail,yahoo...)
- Il faut vérifier que les comptes administrateurs sont en nombre limités et que leurs mots de passe ne sont pas diffusés
- Les sessions sur la console d'administration à distance doivent être en mode crypté (HTTPs)
- Les bases de données doivent être protégées contre toute tentative de lecture à partir de l'extérieur du serveur.
- Positionner l’option suivante de Domaines et comptes -> Stratégies -> Stratégie des mots de passe : "Un mot de passe ne peut être ni lu ni exporté" (ceci supprime la possibilité pour un compte de retrouver son mot de passe)
- Valider l'option Domaines et comptes -> Stratégies -> Stratégie des mots de passe -> Crypter les mots de passe (il faut mettre à jour chaque compte pour que cette option s'applique - voir le § en fin de cet article)
- Dans la console API (menu Fichier), positionner la variable "c_mail_security_protocols_denyvrfy" à vrai sauf si vous utilisez la commande VRFY (cette commande est en particulier utilisée pour les domaines distribués sauf si vous utilisez Minger)
- Dans la console API "c_mail_security_protocols_denyexpn" doit être à vrai sauf si vous utilisez la commande EXPN.
- Dans la mesure du possible, ne garder que 127.0.0.1 dans la liste Email -> Sécurité -> IP de confiance. Si d'autres adresses y figurent, s'assurer que les serveurs en question sont bien gérés.
- Pour se protéger contre le relayage, dans Mail -> Sécurité -> onglet Général cocher "Rejeter émetteur non autorisé dans domaine local" et dans Email -> Sécurité -> onglet Avancé : cocher "Ne relayer que si le domaine de l'expéditeur est local"
3) Écoute des liaisons
Les mots de passe doivent être toujours demandés, ils doivent être toujours cryptés et les liaisons doivent si possible être aussi complètement cryptées (SSL).
- Il faut s'assurer que les mots de passe sont toujours cryptés (Digest-MD5, CRAM-MD5) ou utiliser un protocole crypté (SSL). Les clients de messagerie habituels (Client Web, Desktop, Outlook, Thunderbird) utilisent toujours une méthode de cryptage du mot de passe pour s'authentifier.
- Vérifier que tous vos clients de messagerie utilisent bien une méthode de ce type pour s'authentifier. Vous pouvez pour cela, interdire les options Plain et Login pour le codage des mots de passe (à décocher dans Système -> Avancé -> Protocole).
- Il faut décocher l'option "POP avant SMTP" dans Mail -> Sécurité -> onglet Général pour forcer le client de messagerie à faire une authentification SMTP.
- Il est conseillé de n'utiliser que des liaisons cryptées. Pour le web, on peut forcer l'utilisation de HTTPs (cf. FAQ sur les flux HTTPs)
4) Attaques de type force brute
Ces attaques consistent pour un hacker à essayer de façon systématique des couples utilisateur/mot de passe jusqu'à trouver une combinaison gagnante. Pour lutter contre ce type d'attaque, il faut sécuriser les mots de passe et bloquer les tentatives de connexion.
- Activer la stratégie des mots de passe (Domaines & Comptes -> Stratégies -> onglet Stratégie des mots de passe) en exigeant un mot de passe différent du nom, une longueur minimale et un certain nombre de caractères numériques et alpha-numériques.
- Activer "Bloquer la connexion à un compte si le nombre d'échecs excède" dans Domaines & Comptes -> Stratégies -> onglet Stratégie de connexion et mettre une valeur pas trop élevée (7 par exemple).
- Activer la prévention des intrusions (Mail -> Sécurité -> onglets DNS et Prévention des intrusions). Et en particulier activer le contrôle "Bloquer adresse IP si nombre d'échecs de connexion excède :"
Mettre une valeur la plus faible possible (5 par exemple) et en particulier plus faible que la limite
D'une façon plus générale, un certain nombre d'informations sur la sécurité sont données dans le document Guide de Sécurité.
et la vidéo
http://support.icewarp.fr/index.php?_m=downloads&_a=viewdownload&downloaditemid=6&nav=0
En cas d'utilisation de votre serveur comme relais de spam, vous pouvez consulter la FAQ: "Que faire si mon serveur est utilisé comme relais de Spams ?"
Vérifier la conformité des mots de passe
Pour vérifier la conformité des mots de passe existants par
rapport à la stratégie, exécuter la commande suivante (dans une
fenêtre invite de commande ouverte en administrateur et sous le répertoire principal d'IceWarp):
tool check account "*@*" passpolicy
qui donnera une liste des comptes non-conformes.
Crypter les mots de passe
Pour que les mots de passe soient cryptés, valider l'option Domaines et comptes -> Stratégies -> Stratégie des mots de passe -> Crypter les mots de passe
Comme le cryptage n'est pris en compte que si le compte est modifié, voici une méthode pour l'appliquer immédiatement :
- Dans un navigateur, exécuter : https://<serveur>/crypter_pwd.php
- Vérifier le résultat dans la base de données Comptes : select U_Alias, U_Password, U_Type from Users where U_Type=0
- Supprimer le fichier .../html/crypter_pwd.php
On peut aussi utiliser la commande suivante : tool
--filter="U_Type=0" modify account *@* U_Type=0
Forcer le changement de tous les mots de passe
Dans la console d'administration -> Domaines
& Comptes -> Stratégies -> onglet Stratégies des mots de
passe -> option "Expiration du mot de passe" doit être activée.
Dans une
fenêtre invite de commande ouverte en administrateur et sous le répertoire principal d'IceWarp exécuter :
tool --filter="U_Type=0" set account *@*
U_PasswordExpired 1
Ceci va obliger l'utilisateur du Client Web à changer son mot de passe
En même temps, un fichier passchg.dat est ajouté dans le dossier
mail du compte, par exemple dans ...\domaine.fr\alias\ pour alias@domaine.fr
- Si le fichier n'existe pas c'est que la demande de changement de mot de passe n'a pas été exécuté
- Si le fichier existe mais n'a pas de date ou une date très ancienne, le
mot de passe n'a pas été changé et son changement sera demandé à
l'utilisateur à la prochaine connexion du webmail
- Si le fichier a une date récente c'est que le mot de passe a bien été changé par l'utilisateur
Modifié septembre 2021
