Depuis le début des problèmes, la file contenait de nombreux mails datant de plusieurs jours, mais plus étrange encore on pouvait observer à intervalles réguliers (toutes les 10 min environ) un nouvel envoi de courrier, placé en tête de liste, qui était finalement envoyé sans difficulté. L'expéditeur de ces courriers était toujours différent et le message était vraisemblablement du spam. Cela est d'autant plus visible que les messages sont à destination de domaines (la partie de l'adresse après le « @ ») ou de personnes (le nom avant le « @ ») n'ayant aucun rapport avec les correspondants habituels.
Afin de comprendre la provenance de ces emails indésirables on met en place une architecture me permettant d'écouter les données entrantes et sortantes de la Eyebox. Pour cela on utilise un Hub : cet élément, à la différence d'un Switch, n'effectue aucune commutation (toute donnée reçue sur un port est retransmise à tous les ports, c'est alors aux postes de décider si l'information les concerne ou non et donc de la traiter ou de la détruire), il est donc possible d'écouter les communications transitant par cet élément.
[...] La capture permet d'observer l'envoi des mails frauduleux, par exemple : Pour simplifier, voici le dialogue qui est effectué : Ligne : De Nettel vers Serveur Distant : Je suis la Eyebox, je veux envoyer un message de (néant) d'une taille de 1117 octets Ligne : De Serveur Distant vers Eyebox : Ok Ligne : De Eyebox vers Serveur Distant : Le destinataire est Suite du dialogue non détaillée On note donc deux éléments qui posent problème : le fait que la Eyebox envoie un message sans expéditeur , mais aussi le destinataire du message qui, après vérification, n'appartient à aucun des contacts de la Eyebox. Enfin pour confirmer le diagnostic, on utilise le site http://www.pagasa.net/test-smtp qui permet de tester si un serveur de mail est relais ouvert, c'est-à-dire que n'importe qui (surtout depuis internet) peut envoyer des mails à partir de ce dernier. Le site web effectue une série de tests visant à évaluer le niveau de sécurité du serveur. Le résultat est négatif : le serveur de mail Eyebox est bel et bien relais de spam. [...]
[...] De plus, il était parfois impossible de s'authentifier auprès du serveur de mail durant un temps, puis la connexion se passait à nouveau correctement. Pour diagnostiquer le problème plus précisément j'ai utilisé l'interface de gestion de l'Eyebox, car c'est l'outil le plus rapide à utiliser pour tenter de cerner la panne. On y accède via un navigateur Internet à l'adresse https:// (de manière sécurisée via le protocole Http Secured*), après identification avec le login Superadmin on peut naviguer dans l'interface. [...]
[...] Le résultat est positif, notre serveur n'est plus un serveur relais : De plus, on peut vérifier le paramétrage : les options TLS (SSL) et AUTH (authentification) sont bien présentes. On vérifie aussi que les échanges sécurisés sont bien présents. Pour cela on utilise Wireshark sur un client qui se connecte au serveur. On visualise bien un échange en TLS (SSL) : Le client ( ligne fait sa demande au serveur. A la seconde ligne, le serveur ( ) répond en TLS. La sécurisation du service d'envoi de messages est donc sécurisée. [...]
[...] Le message est donc tout d'abord envoyé au serveur de messagerie de l'utilisateur puis la machine se charge de le transmettre au serveur de messagerie de l'utilisateur B. Le message est prêt à être récupéré. C'est alors le protocole POP3 (en bleu) qui est mis en œuvre, l'utilisateur l'utilise pour demander au serveur la récupération de ses messages. Sécurisation du service SMTP Le service SMTP est l'élément qui sert à la gestion de l'envoi de messages électroniques. Diagnostic d'une panne Depuis un certain temps, il devenait difficile d'envoyer des e-mails alors que la réception se passait sans problème. [...]
[...] Enfin, le dernier onglet permet de gérer l'autorisation de relais par nom ou par adresse IP. On désactive cette option, car, comme pour les deux options précédentes, l'authentification elle seule suffit. Le fait de ne pas utiliser cette option permet aussi d'éviter des problèmes dans le cas par exemple d'un changement de machine qui induirait un changement d'adresse IP, et bloquerait alors la fonction de messagerie pour ce poste. L'authentification est donc active. Il est toutefois possible d'améliorer encore ce fonctionnement en ajoutant une sécurisation des échanges. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture
