Sécurité sur un serveur Exchange 5.5
Le
Marc
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
D'avance merci.
Marc.
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
D'avance merci.
Marc.
problème
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
si on parle du connecteur smtp en écoute sur internet :
ce genre là.
http://www.logsat.com/sfi-download.asp
premiere page de l'outil "settings"
il y a un "reject if from domain=to domain"
pour installer ça sur la même machine que le smtp 5.5., changer le port
en écoute du 5.5 en modifiant le fichier
c:winntsystem32driversetcservices
attention aux effets de bord.
typiquement, votre DRH se connecte sur email-job pour répondre à une
candidature, il donne naturellement son adresse professionelle comme
identité. s'il demande une copie de la réponse, il ne recevra jamais rien.
il va donc falloir faire un peu de comm...
didier
http://www.microsoft.com/france/exchange/utilisez/infotech/info/info.asp?mar=/france/technet/produits/exchange/2000/info/secexsrv.html&xmlpath=/france/technet/produits/exchange/55/admin.xml&rang=1
Mais je recommande la migration (d'urgence) vers Exchange 2003 avant que la
procédure ne se complique du fait du décalage technologique entre les 2
plateformes.
ET
"Marc" wrote:
Oui : si on arrêtait de raconter des c.... ?
Cela ne fonctionne pas plus sous Exchange 2003 que sous 5.5 :
Exemple : soit trois comptes dans le domaine Active Directory 2003 disposant
de BAL Exchange 2003.
Premier compte :
Pirate avec l'adresse
Deuxième compte :
Victime avec l'adresse
Troisième compte :
Thierry avec l'adresse
Dans cet exemple, le pirate va envoyer un courrier à Victime en se faisant
passer pour Thierry.
1) Le pirate configure son client de messagerie (OE par exemple) pour
utiliser l'adresse d'expéditeur (et éventuellement le
nom de la victime). Dans les propriétés de son compte, il configure
*l'authentification SMTP* en utilisant son nom d'utilisateur et son mot de
passe (du domaine) puisqu'il ne connait pas ceux des autres (Thierry et
Victime) bien évidemment. Le serveur SMTP étant Exchange 2003.
2) Le pirate envoie un courrier à en utilisant le compte
créé lors de l'étape 1.
3) Depuis Outlook 2003 (en MAPI), Thierry reçoit un message provenant de
Victime (écrit en toutes lettres comme dans la GAL) et surtout *sans*
l'adresse SMTP à côté puisque la connexion SMTP était "authentifiée" et
autorisée. S'il ne regarde pas les entêtes SMTP, il ne peut savoir que ce
message a été transporté en utilisant SMTP. Et même s'il le faisait : il n'a
pas moyen de vérifier que c'est bien Victime qui lui a envoyé. Le seul qui
pourra mettre en évidence la fraude est l'administrateur (à condition
d'avoir activé les journaux SMTP qui sont désactivés par défaut). "Ce n'est
pas un problème de sécurité, c'est by design (c)". La préconnisation
possible est de restreindre l'utilisation du serveur SMTP uniquement à
l'authentification anonyme et de refuser les adresses IP du réseau interne
(et encore que l'attaquant pourra passer par l'adresse IP publique). Les
échanges des clients avec le serveur étant réalisés soit en MAPI soit en
HTTP(S).
Maintenant, la seule méthode utilisable pour authentifier un correspondant
est l'utilisation de certificats et la signature numérique lorsque SMTP est
utilisé pour le transport. Ces certificats doivent être délivrés par une
autorité de certication digne de confiance (c'est à dire conçue et
administrée de manière sérieuse).
Pour mémoire, le but des groupes de discussion n'est pas de faire du scoring
mais de fournir des réponses et les suivre (cf. le groupe server).
J'espère obtenir une réponse pertinente me démontrant que je me trompe.
Bien cordialement
--
Thierry MILLE
www.my-vista.com