Voici quelques règles de sécurité à respecter pour assurer la pérennité de votre serveur mail. Je me suis basé sur mon expérience et les failles de sécurité que nous avons rencontré en entreprise.

1.Le serveur mail est le seul autorisé à envoyer du courrier

Dans votre organisation, vous devez faire en sorte que seul votre serveur mail puisse envoyer du courrier, et pas vos postes clients. Concrètement vous devez ajouter une règle dans votre parefeu qui indique que seul l'IP du serveur mail peut utiliser le port 25 tcp sortant. Il doit être bloqué pour le reste des gens.

Imaginez qu'un poste client attrape un virus (très courant) dont le but est d'envoyer du spam. Si le poste client accède au port 25, rien n'empêchera le nuisible de le faire et vous vous ferez rapidement blacklister. Par contre si l'accès au port 25 est bloqué, l'impact sera limité (pas de blacklistage). Les nuisibles qui envoient du spam sont rarement capables de trouver et utiliser le serveur mail de l'entreprise.

2. Contrôlez ce que le serveur mail relaie

Un serveur mail ne doit pas être openbar. Il ne doit accepter de relayer le courrier qu'après une authentification du client. Si ce n'est pas possible pour certaines applications, autorisez les adresses IP des serveurs qui les font tourner. Mais un serveur mail ne doit pas relayer le courrier anonymement pour tous.

Bien souvent la configuration par défaut autorise le relai du courrier si l'émetteur est sur le même réseau. En pratique c'est rarement gênant mais cela peut constituer une faille et un point d'entrée pour l'émission de courriers non désirée.

3. Le serveur mail est protégé par une passerelle

Un serveur mail peut être sensible s'il contient des éléments critiques : par exemple un serveur Exchange est sur un domaine Active Directory. Il ne doit donc pas être compromis sous peine de donner l'accès à tout votre domaine et vos ressources réseau à l'attaquant. Vous devez donc utiliser une passerelle SMTP qui va effectuer un premier filtrage et ne fera que du relai. Ce rôle peut être rempli par diverses solutions : serveur linux avec postfix, appliance, etc.

4. Le serveur mail est clean

Votre serveur mail doit être mis à jour régulièrement et disposer d'un antivirus. Le système ne doit pas être compromis (par un virus, vers, rootkit...) sous peine de devenir une machine à spam. L'analyse des profils utilisateur et du comportement est un élément de diagnostic.

5. Votre serveur mail ne doit pas être accessible par internet

Le courrier entrant doit être dirigé dans la passerelle, située en DMZ, qui ensuite va les rediriger sur votre serveur mail. Il est important que le serveur mail lui-même ne soit pas accessible par internet. De trop nombreuses failles sont exploitables, notamment au niveau des logins administrateur. Un compte de test anodin sur un Active Directory avec un mot de passe "temporaire" (123456) permettra à quelqu'un de se connnecter en RDP et faire des dégâts.

De manière générale aucun serveur fournissant des services privés, comme du TSE, ne doit être accessible par internet. Si vous souhaitez que des utilisateurs distants ouvrent des sessions TSE, utilisez un VPN.

Original post of Xavier Chotard.Votez pour ce billet sur Planet Libre.