> Tech > Test des relais authentifiés

Test des relais authentifiés

Tech - Par iTPro - Publié le 24 juin 2010
email

Le test des relais basés sur l’autorisation IP requiert uniquement d’ouvrir la session Telnet à partir des systèmes dont les adresses IP figurent dans la liste de relais. Le test des relais authentifiés est légèrement plus complexe car vous devez fournir un nom d’utilisateur et un mot de passe. Pendant

Test des relais authentifiés

la session SMTP, vous devez employer les commandes d’authentification ESMTP (Extended SMTP) afin de fournir les informations d’identification nécessaires pour autoriser le relais. Cette opération peut sembler des plus aisées, jusqu’à ce que vous réalisiez que vous ne pouvez tout simplement pas taper le nom d’utilisateur et le mot de passe dans le cadre de votre session Telnet.
Les commandes ESMTP liées à l’authentification requièrent le codage Base64, de sorte que vous devrez d’abord convertir les chaînes de nom de compte et de mot de passe du format texte brut au format Base64.

A l’origine, le codage Base64 a été conçu afin de permettre le transfert fiable de données sur 8 bits via des protocoles (tels que SMTP) pouvant gérer uniquement des données sur 7 bits. Pour la conversion en Base64, vous prenez un groupe de bits et vous les fractionnez tous les 6 bits, puis vous mappez les résultats vers un « alphabet » Base64 de 64 caractères imprimables (A à Z, a à z, 0 à 9, + et /).

Par exemple, le nom JOE représenté sous forme binaire en tant que 01001010 01001111 01000101 (par ex., E équivaut au code ASCII 69 et au nombre binaire 01000101). Pour convertir cette représentation sur 8 bits de JOE en Base64, vous allez fractionner la chaîne en sections de 6 bits, par exemple 010010 100100 111101 000101. Le premier groupe de bits, 010010, est la représentation binaire de 18, de sorte que le premier caractère dans la chaîne en Base64 sera S (le 18e caractère de l’alphabet Base64). La chaîne de bits complète convertie en Base64 sera Sm9l.

Heureusement, il n’est pas nécessaire d’effectuer tous ces fractionnements et toutes ces conversions manuellement. Le listing 1 présente le code VBA (Visual Basic for Applications) utilisable dans Microsoft Excel afin d’effectuer le codage Base64. Ouvrez une nouvelle feuille de calcul Excel, choisissez Macro dans le menu Tools (Outils) et sélectionnez Visual Basic Editor. Dans le menu Insert (Insertion) de l’éditeur, sélectionnez Module. Une fois la fenêtre Module ouverte, copiez le code du listing 1, puis fermez l’éditeur (il n’est pas nécessaire d’enregistrer quoi que ce soit). Dans la cellule A1, entrez le nom de compte que vous allez utiliser pour authentifier le relais. Dans la cellule A2, saisissez le mot de passe du compte (en respectant les majuscules/minuscules). Au niveau de la cellule B1, tapez

=Base64(A1)

et appuyez sur Entrée. Dans la cellule B2, tapez

=Base64(A2)

et appuyez sur Entrée. Les représentations en Base64 du nom et du mot de passe du compte apparaîtront respectivement dans les cellules B1 et B2. Je suggère de changer également la police des cellules B1 et B2 en Courier afin qu’il n’y ait aucune confusion concernant les chiffres et les lettres. En utilisant la police par défaut, la lettre O et le chiffre zéro (0), ainsi que la lettre I et le nombre un (1) peuvent sembler identiques. Si vous souhaitez vérifier que la conversion fonctionne correctement, tapez par exemple

exfun\neubauer

dans la cellule A1 et l’exemple de mot de passe

Go!Exchange

dans la cellule A2. (Les deux entrées respectent les majuscules/ minuscules.) Les conversions en Base64 doivent donner le résultat suivant : ZXhmdW5cbmV1YmF1ZXI= et R28hRXhjaGFuZ2U=. Si ces valeurs s’affichent, la fonction de conversion est opérationnelle. Avant de continuer, remplacez le contenu des cellules A1 et A2 par les informations d’identification correctes de votre environnement. Après avoir codé le compte et le mot de passe en Base64, vous êtes prêt à effectuer le test. Utilisez la session Telnet afin d’ouvrir une connexion sur le port 25 vers Exchange. Pour démarrer la session ESMTP, tapez

ehlo

et appuyez sur Entrée. Exchange répond par environ dix-sept codes de réponse 250 indiquant les commandes ESMTP disponibles. Entrez ensuite le verbe MAIL FROM avec le nom d’une boîte aux lettres émettrice ayant l’autorisation de relayer. Par exemple, si l’adresse électronique de l’expéditeur est jneubauer@neulan.net, saisissez mail from:

et appuyez sur Entrée. Le serveur doit répondre par un message 250 OK. La commande suivante spécifie un compte d’un domaine externe. Tapez

rcpt to:

et appuyez sur Entrée. Le serveur doit répondre par un code de réponse 550 indiquant que le relais est interdit. Si ce n’est pas le cas, votre serveur constitue un relais ouvert. En supposant que vous ayez eu la réponse 550, tapez

auth login

et appuyez sur Entrée. Le serveur répondra par un code de réponse intermédiaire 334 VXNlcm5hbWU6, indiquant que le système escompte un nom de compte codé Base64. Tapez le texte respectant les majuscules/minuscules de la cellule B1 de la feuille de calcul Excel (à savoir ZXhmdW5cbm V1YmF1ZXI=) et appuyez sur Entrée. Le serveur répond par un code de réponse intermédiaire 334 UGFzc3dvcmQ6, indiquant qu’un mot de passe est attendu. Tapez le texte respectant les majuscules/minuscules de la cellule B2 et appuyez sur Entrée. Si le serveur retourne un code 235, l’authentification s’est déroulée correctement. Dans le cas contraire, un code d’échec 535 s’affiche. Une fois l’authentification réussie, tapez de nouveau

rcpt to:

et appuyez sur Entrée. Cette fois, un code 250 indiquant que le relais avec authentification est autorisé doit s’afficher. Enfin, tapez rset et appuyez sur Entrée, puis tapez quit et appuyez sur Entrée pour fermer la session SMTP sans envoyer réellement de message. Tapez quit au niveau de l’invite Telnet pour fermer la session Telnet.

Si vous avez suivi la procédure indiquée dans l’article « Analyse des relais Exchange » et si vous avez limité le relais authentifié à un groupe, vous devez répéter ce processus avec un compte de domaine qui n’est pas membre du groupe de sécurité autorisé à relayer. Bien que ce deuxième compte soit valide sur le domaine, vous devez recevoir une réponse 550 à chaque commande RCPT TO.

Téléchargez gratuitement cette ressource

TOP 5 Modernisation & Sécurité des Postes Clients

TOP 5 Modernisation & Sécurité des Postes Clients

Pour aider les entreprises à allier les restrictions liées à la crise et la nécessaire modernisation de leurs outils pour gagner en réactivité, souplesse et sécurité, DIB-France lance une nouvelle offre « Cloud-In-One » combinant simplement IaaS et DaaS dans le Cloud, de façon augmentée.

Tech - Par iTPro - Publié le 24 juin 2010