Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ludovik DOPIERALA
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce
problème
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Marc
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce
problème
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Ludovik DOPIERALA
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce
problème
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Didier
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
si on parle du connecteur smtp en écoute sur internet :
ce genre là. http://www.logsat.com/sfi-download.asp
premiere page de l'outil "settings" il y a un "reject if from domain=to domain" pour installer ça sur la même machine que le smtp 5.5., changer le port en écoute du 5.5 en modifiant le fichier c:winntsystem32driversetcservices
attention aux effets de bord. typiquement, votre DRH se connecte sur email-job pour répondre à une candidature, il donne naturellement son adresse professionelle comme identité. s'il demande une copie de la réponse, il ne recevra jamais rien. il va donc falloir faire un peu de comm...
didier
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
si on parle du connecteur smtp en écoute sur internet :
ce genre là.
http://www.logsat.com/sfi-download.asp
premiere page de l'outil "settings"
il y a un "reject if from domain=to domain"
pour installer ça sur la même machine que le smtp 5.5., changer le port
en écoute du 5.5 en modifiant le fichier
c:winntsystem32driversetcservices
attention aux effets de bord.
typiquement, votre DRH se connecte sur email-job pour répondre à une
candidature, il donne naturellement son adresse professionelle comme
identité. s'il demande une copie de la réponse, il ne recevra jamais rien.
il va donc falloir faire un peu de comm...
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
si on parle du connecteur smtp en écoute sur internet :
ce genre là. http://www.logsat.com/sfi-download.asp
premiere page de l'outil "settings" il y a un "reject if from domain=to domain" pour installer ça sur la même machine que le smtp 5.5., changer le port en écoute du 5.5 en modifiant le fichier c:winntsystem32driversetcservices
attention aux effets de bord. typiquement, votre DRH se connecte sur email-job pour répondre à une candidature, il donne naturellement son adresse professionelle comme identité. s'il demande une copie de la réponse, il ne recevra jamais rien. il va donc falloir faire un peu de comm...
didier
ET
Voir plutôt cet article http://www.microsoft.com/france/exchange/utilisez/infotech/info/info.asp?mar=/france/technet/produits/exchange/2000/info/secexsrv.html&xmlpath=/france/technet/produits/exchange/55/admin.xml&rang=1
Mais je recommande la migration (d'urgence) vers Exchange 2003 avant que la procédure ne se complique du fait du décalage technologique entre les 2 plateformes.
ET
"Marc" wrote:
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Voir plutôt cet article
http://www.microsoft.com/france/exchange/utilisez/infotech/info/info.asp?mar=/france/technet/produits/exchange/2000/info/secexsrv.html&xmlpath=/france/technet/produits/exchange/55/admin.xml&rang=1
Mais je recommande la migration (d'urgence) vers Exchange 2003 avant que la
procédure ne se complique du fait du décalage technologique entre les 2
plateformes.
ET
"Marc" wrote:
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce
problème
--
Ludovik DOPIERALA
http://www.c2points.com
MCSE, MCT Microsoft
MVP Windows System - Infrastructure Architect
CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation
pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple
connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité.
Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne
trouve pas la solution adéquate.
Voir plutôt cet article http://www.microsoft.com/france/exchange/utilisez/infotech/info/info.asp?mar=/france/technet/produits/exchange/2000/info/secexsrv.html&xmlpath=/france/technet/produits/exchange/55/admin.xml&rang=1
Mais je recommande la migration (d'urgence) vers Exchange 2003 avant que la procédure ne se complique du fait du décalage technologique entre les 2 plateformes.
ET
"Marc" wrote:
Ok. Mais il n'existe vraiment aucune autre alterative en attendant?
Oui il faut passer sur Exchange 2003 qui apporte des amélioration sur ce problème -- Ludovik DOPIERALA http://www.c2points.com MCSE, MCT Microsoft MVP Windows System - Infrastructure Architect CCEA Citrix Metaframe
Bonjour,
Je viens de remarquer que n'importe quel utilisateur de mon organisation pouvait utiliser l'adresse de messagerie d'une tierce personne par une simple connexion telnet sur le port 25 du serveur.
Ceci me pose un réel problème de sécurité. Vu mes faibles compétences sur Exchange, je sollicite votre aide car je ne trouve pas la solution adéquate.
D'avance merci. Marc.
Thierry MILLE [MVP]
"Ludovik DOPIERALA" a écrit dans le message de news:
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info
Oui : si on arrêtait de raconter des c.... ?
Cela ne fonctionne pas plus sous Exchange 2003 que sous 5.5 :
Exemple : soit trois comptes dans le domaine Active Directory 2003 disposant de BAL Exchange 2003.
Premier compte : Pirate avec l'adresse
Deuxième compte : Victime avec l'adresse
Troisième compte : Thierry avec l'adresse
Dans cet exemple, le pirate va envoyer un courrier à Victime en se faisant passer pour Thierry.
1) Le pirate configure son client de messagerie (OE par exemple) pour utiliser l'adresse d'expéditeur (et éventuellement le nom de la victime). Dans les propriétés de son compte, il configure *l'authentification SMTP* en utilisant son nom d'utilisateur et son mot de passe (du domaine) puisqu'il ne connait pas ceux des autres (Thierry et Victime) bien évidemment. Le serveur SMTP étant Exchange 2003.
2) Le pirate envoie un courrier à en utilisant le compte créé lors de l'étape 1.
3) Depuis Outlook 2003 (en MAPI), Thierry reçoit un message provenant de Victime (écrit en toutes lettres comme dans la GAL) et surtout *sans* l'adresse SMTP à côté puisque la connexion SMTP était "authentifiée" et autorisée. S'il ne regarde pas les entêtes SMTP, il ne peut savoir que ce message a été transporté en utilisant SMTP. Et même s'il le faisait : il n'a pas moyen de vérifier que c'est bien Victime qui lui a envoyé. Le seul qui pourra mettre en évidence la fraude est l'administrateur (à condition d'avoir activé les journaux SMTP qui sont désactivés par défaut). "Ce n'est pas un problème de sécurité, c'est by design (c)". La préconnisation possible est de restreindre l'utilisation du serveur SMTP uniquement à l'authentification anonyme et de refuser les adresses IP du réseau interne (et encore que l'attaquant pourra passer par l'adresse IP publique). Les échanges des clients avec le serveur étant réalisés soit en MAPI soit en HTTP(S).
Maintenant, la seule méthode utilisable pour authentifier un correspondant est l'utilisation de certificats et la signature numérique lorsque SMTP est utilisé pour le transport. Ces certificats doivent être délivrés par une autorité de certication digne de confiance (c'est à dire conçue et administrée de manière sérieuse).
Pour mémoire, le but des groupes de discussion n'est pas de faire du scoring mais de fournir des réponses et les suivre (cf. le groupe server).
J'espère obtenir une réponse pertinente me démontrant que je me trompe.
Bien cordialement
-- Thierry MILLE www.my-vista.com
"Ludovik DOPIERALA" <LudovikDOPIERALA@discussions.microsoft.com> a écrit
dans le message de news:
09A769F8-A02F-4537-BBCC-D77CC3EF3B56@microsoft.com...
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info
Oui : si on arrêtait de raconter des c.... ?
Cela ne fonctionne pas plus sous Exchange 2003 que sous 5.5 :
Exemple : soit trois comptes dans le domaine Active Directory 2003 disposant
de BAL Exchange 2003.
Premier compte :
Pirate avec l'adresse pirate@cpasbon.com
Deuxième compte :
Victime avec l'adresse victime@cpasbon.com
Troisième compte :
Thierry avec l'adresse thierry@cpasbon.com
Dans cet exemple, le pirate va envoyer un courrier à Victime en se faisant
passer pour Thierry.
1) Le pirate configure son client de messagerie (OE par exemple) pour
utiliser l'adresse d'expéditeur victime@cpasbon.com (et éventuellement le
nom de la victime). Dans les propriétés de son compte, il configure
*l'authentification SMTP* en utilisant son nom d'utilisateur et son mot de
passe (du domaine) puisqu'il ne connait pas ceux des autres (Thierry et
Victime) bien évidemment. Le serveur SMTP étant Exchange 2003.
2) Le pirate envoie un courrier à thierry@cpasbon.com en utilisant le compte
créé lors de l'étape 1.
3) Depuis Outlook 2003 (en MAPI), Thierry reçoit un message provenant de
Victime (écrit en toutes lettres comme dans la GAL) et surtout *sans*
l'adresse SMTP à côté puisque la connexion SMTP était "authentifiée" et
autorisée. S'il ne regarde pas les entêtes SMTP, il ne peut savoir que ce
message a été transporté en utilisant SMTP. Et même s'il le faisait : il n'a
pas moyen de vérifier que c'est bien Victime qui lui a envoyé. Le seul qui
pourra mettre en évidence la fraude est l'administrateur (à condition
d'avoir activé les journaux SMTP qui sont désactivés par défaut). "Ce n'est
pas un problème de sécurité, c'est by design (c)". La préconnisation
possible est de restreindre l'utilisation du serveur SMTP uniquement à
l'authentification anonyme et de refuser les adresses IP du réseau interne
(et encore que l'attaquant pourra passer par l'adresse IP publique). Les
échanges des clients avec le serveur étant réalisés soit en MAPI soit en
HTTP(S).
Maintenant, la seule méthode utilisable pour authentifier un correspondant
est l'utilisation de certificats et la signature numérique lorsque SMTP est
utilisé pour le transport. Ces certificats doivent être délivrés par une
autorité de certication digne de confiance (c'est à dire conçue et
administrée de manière sérieuse).
Pour mémoire, le but des groupes de discussion n'est pas de faire du scoring
mais de fournir des réponses et les suivre (cf. le groupe server).
J'espère obtenir une réponse pertinente me démontrant que je me trompe.
"Ludovik DOPIERALA" a écrit dans le message de news:
Je ne vois pas sur Excchange 5.5 peut être quelqu'un d'autre aura une info
Oui : si on arrêtait de raconter des c.... ?
Cela ne fonctionne pas plus sous Exchange 2003 que sous 5.5 :
Exemple : soit trois comptes dans le domaine Active Directory 2003 disposant de BAL Exchange 2003.
Premier compte : Pirate avec l'adresse
Deuxième compte : Victime avec l'adresse
Troisième compte : Thierry avec l'adresse
Dans cet exemple, le pirate va envoyer un courrier à Victime en se faisant passer pour Thierry.
1) Le pirate configure son client de messagerie (OE par exemple) pour utiliser l'adresse d'expéditeur (et éventuellement le nom de la victime). Dans les propriétés de son compte, il configure *l'authentification SMTP* en utilisant son nom d'utilisateur et son mot de passe (du domaine) puisqu'il ne connait pas ceux des autres (Thierry et Victime) bien évidemment. Le serveur SMTP étant Exchange 2003.
2) Le pirate envoie un courrier à en utilisant le compte créé lors de l'étape 1.
3) Depuis Outlook 2003 (en MAPI), Thierry reçoit un message provenant de Victime (écrit en toutes lettres comme dans la GAL) et surtout *sans* l'adresse SMTP à côté puisque la connexion SMTP était "authentifiée" et autorisée. S'il ne regarde pas les entêtes SMTP, il ne peut savoir que ce message a été transporté en utilisant SMTP. Et même s'il le faisait : il n'a pas moyen de vérifier que c'est bien Victime qui lui a envoyé. Le seul qui pourra mettre en évidence la fraude est l'administrateur (à condition d'avoir activé les journaux SMTP qui sont désactivés par défaut). "Ce n'est pas un problème de sécurité, c'est by design (c)". La préconnisation possible est de restreindre l'utilisation du serveur SMTP uniquement à l'authentification anonyme et de refuser les adresses IP du réseau interne (et encore que l'attaquant pourra passer par l'adresse IP publique). Les échanges des clients avec le serveur étant réalisés soit en MAPI soit en HTTP(S).
Maintenant, la seule méthode utilisable pour authentifier un correspondant est l'utilisation de certificats et la signature numérique lorsque SMTP est utilisé pour le transport. Ces certificats doivent être délivrés par une autorité de certication digne de confiance (c'est à dire conçue et administrée de manière sérieuse).
Pour mémoire, le but des groupes de discussion n'est pas de faire du scoring mais de fournir des réponses et les suivre (cf. le groupe server).
J'espère obtenir une réponse pertinente me démontrant que je me trompe.
