par Joseph Neubauer - Mis en ligne le 29/03/06 - Publié en Mars 2005
De plus en plus d’organisations mettent en place des stratégies qui requièrent des évaluations de la sécurité et des vulnérabilités au niveau des serveurs et systèmes avant leur déploiement sur le réseau. Nombre de ces stratégies nécessitent des outils d’audit afin de rechercher des exploitations de vulnérabilité sur les serveurs, de confirmer les versions de correctifs, de fournir des conseils de verrouillage de la sécurité, etc. Pour les serveurs Exchange Server 2003 et Exchange 2000 Server, l’une des vulnérabilités à prendre très au sérieux et la notion de « relais ouvert ».Qu’est-ce qu’un relais ouvert ? Une fonctionnalité de SMTP permet à un serveur de faire office d’intermédiaire et d’accepter des messages pour le compte de la destination finale. Ce serveur retransmet (ou relaie) ensuite les messages vers la destination en question. Dans Exchange, vous pouvez configurer les serveurs de telle sorte que certains ordinateurs et utilisateurs puissent relayer le courrier. Toutefois, lorsque des problèmes de configuration surviennent et que tout un chacun peut utiliser le système pour relayer du courrier, on parle de relais ouvert. Cette situation est dangereuse pour au moins deux raisons : premièrement, SMTP est intrinsèquement non sécurisé, ce qui permet d’usurper ou de contrefaire facilement l’identité de l’expéditeur dans un message. Récemment, la prolifération de virus tels que Bagel a montré comment la contrefaçon de l’identité de l’expéditeur peut être source de confusion et accroître la charge de travail. Un relais ouvert amplifie le problème car un message contrefait ajoute un certain niveau d’authenticité. En effet, le message semble provenir d’un serveur du domaine de l’expéditeur spécifié.
Deuxièmement, les spammeurs se servent fréquemment des relais ouverts pour propager leur charge utile. Dans ce type de situation, les ressources de votre serveur sont détournées du traitement du trafic de messagerie de votre organisation. Outre le détournement des ressources et la gêne occasionnée dans la remise des courriers, ce phénomène risque d’entraîner des pertes d’activité sur le long terme. L’utilisation de logiciels antispam et de listes noires telles que MAPS (http://www.mailabuse.com) peut aboutir au rejet de tous les courriers légitimes de votre domaine, du fait de sa réputation de relais ouvert. Un relais ouvert peut entraver la capacité commerciale de votre organisation et ternir son image de marque.
Si les relais ouverts constituent une telle menace, pourquoi faire en sorte que vos serveurs relaient le courrier ? En règle générale, vous autorisez la fonction de relais lorsqu’une application doit envoyer du courrier SMTP mais que vous n’avez pas la possibilité de déterminer le moyen de transmettre le message à sa destination. Vous configurez l’application afin de transférer le message directement à votre serveur relais, et ce dernier utilise le routage SMTP pour remettre le message à ses destinataires. Les clients POP et MAP constituent des exemples de ces types d’applications. C’est également le cas d’un formulaire de serveur Web qui envoie des configurations d’e-mail lors du téléchargement d’informations. Dans certaines situations, notamment la conception d’une application de serveur Web, vous pourriez développer l’application de telle sorte qu’elle utilise plutôt MAPI (Messaging API) au lieu de SMPT, éliminant ainsi le besoin de relais. Mais la tendance est plutôt à l’utilisation de protocoles standard (par ex., SMPT) et non à leur mise à l’écart.
Dans le cas de POP et d’IMAP, le relais est nécessaire car ces deux protocoles ne sont pas prévus pour envoyer des courriers, mais plutôt pour les récupérer des boîtes aux lettres. Pour envoyer des courriers, les protocoles POP et IMAP doivent être couplés à SMTP et le client doit être configuré avec le nom d’un serveur autorisant la fonction de relais. La prise en charge du relais pour ces applications ne signifie pas que votre serveur deviendra obligatoirement
Analyse des relais Exchange
SMTP est le principal protocole de transport dans Exchange 2003 et Exchange 2000. Souvent, Exchange relaie les messages entre plusieurs serveurs jusqu’à leur destination finale, mais par défaut les deux versions sont configurées afin de ne pas être des relais ouverts publics. Prenons l’exemple de la configuration de la figure 1 : plusieurs serveurs hébergeant les boîtes aux lettres et un serveur distinct faisant office de tête de pont sont réunis au sein d’un groupe de routage. Le serveur tête de pont accepte les courriers en provenance d’Internet et les relaie aux serveurs de boîtes aux lettres. Il accepte également les courriers sortants des serveurs de boîtes aux lettres et les remet aux hôtes de destination sur Internet.
Comme SMTP constitue le principal protocole de transport, chaque serveur comporte un serveur virtuel SMTP à l’écoute du port 25. Les propriétés du serveur virtuel permettent à n’importe quel ordinateur de se connecter et d’ouvrir une session SMTP, mais le serveur virtuel n’autorise pas le relais non authentifié. En examinant la boîte de dialogue Relay Restrictions (Restrictions de relais) du serveur virtuel SMTP du serveur tête de pont, illustrée à la figure 2, vous pouvez voir deux paramètres servant à contrôler la fonction de relais. Le premier est l’option Select which computer may relay through this virtual server (Sélectionner l’ordinateur autorisé à relayer via ce serveur virtuel). Lorsque vous définissez Only the list below (Uniquement la liste ci-dessous) pour cette option, vous devez spécifier explicitement l’adresse IP, les sous-réseaux ou les noms de domaine de tout système autorisé à utiliser le serveur virtuel en tant que relais. Lorsque la liste est vide (paramétrage par défaut), les relais basés sur l’identification de serveur via l’adresse IP ne sont pas autorisés. Le tableau 1 présente les aspects à prendre en compte lors de l’ajout de ces définitions.
La deuxième méthode utilisée par un serveur virtuel SMTP pour contrôler la fonction de relais passe par l’authentification. Sur la figure 2, notez que la case à cocher Allow all computers which successfully authenticate to relay, regardless of the list above (Autoriser tous les ordinateurs authentifiés à relayer, sans tenir compte de la liste ci-dessus) est activée. Cette option indique au serveur virtuel SMTP que le client de messagerie doit s’authentifier (en fournissant un nom d’utilisateur et un mot de passe) avant que le serveur puisse accepter le courrier et le relayer. Exchange 2003 et Exchange 2000 incluent tous deux cette option.
La principale différence entre les versions est que Exchange 2000 utilise une approche tout ou rien pour l’authentification. En effet, si la case à cocher d’authentification est désactivée, vous ne pouvez pas utiliser cette méthode pour déterminer les ordinateurs autorisés à relayer. Si la case à cocher est activée, n’importe quel ordinateur du domaine capable de s’authentifier peut relayer le courrier, même les comptes sans boîte aux lettres Exchange correspondante. Exchange 2003 affine l’authentification de cette fonction afin de fournir un contrôle à granularité plus fine sur les ordinateurs autorisés ou non à relayer. Dans Exchange 2003, lorsque la case à cocher est désactivée, un bouton Users (Utilisateurs) devient accessible. Celui-ci vous permet d’accéder à la boîte de dialogue de la figure 3 afin d’octroyer des autorisations à des comptes et groupes de sécurité spécifiques, basées sur l’authentification. Pour attribuer à un utilisateur ou groupe le droit de relayer, vous devez les ajouter à la liste Permissions (Autorisations) et activer les cases à cocher Allow (Autoriser) pour les autorisations Submit Permission (Autorisation de dépôt) et Relay Permission (Autorisation de relais). Lorsqu’un client de messagerie réussit à se connecter au serveur virtuel SMTP et qu’il essaie de relayer un message, le serveur virtuel accepte le message en question. Si le client de messagerie ne s’authentifie pas, ou s’il s’authentifie mais qu’il n’est pas membre des groupes de sécurité autorisés, Exchange rejette le message avec le code de réponse SMTP 550 Unable to Relay.
Au début de cette section, j’expliquais que, par défaut, Exchange 2003 et Exchange 2000 ne sont pas des relais ouverts publics. Selon votre degré de paranoïa en matière de sécurité, vous les considérerez peut-être encore comme tels. Ils sont ouverts dans le sens où quiconque à même de s’authentifier auprès du serveur peut déposer un message à remettre.
Le fait que n’importe qui avec un compte de domaine soit en mesure de s’authentifier et de relayer peut constituer un problème dans un environnement relativement sécurisé car l’authentification ne vérifie en aucun cas que l’adresse du message indiquée dans la zone From (De) correspond à l’adresse affectée au compte employé pour l’authentification (si tant est qu’une adresse ait été attribuée). Prenons l’exemple d’un compte de domaine nommé SteveN ayant une adresse steve.neubauer@neulan.net. Le compte SteveN peut être utilisé afin de s’authentifier correctement auprès du serveur virtuel SMTP, en vue de relayer un message à l’adresse chris.neubauer@neulan.net, mais rien n’oblige SteveN à utiliser l’adresse steve.neubauer@neulan. net.
Il pourrait, s’il le souhaitait, très facilement reprendre george.bush@whitehouse.gov. Le fait de pouvoir spécifier n’importe quelle adresse dans la zone From (De) est inhérent à SMTP, mais les utilisateurs malveillants peuvent facilement s’en servir à mauvais escient. Dans la mesure où le relais lie directement le message en amont aux serveurs de messagerie d’une organisation, certains responsables de la sécurité considèrent qu’il est risqué de laisser n’importe qui disposer d’un accès au relais.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
