OKIOK – Securité dans un monde en changement

Protections pour les courriels entrants/internes à l’organisation

Solution « On-Premise »

Nous avons précédemment exploré certaines pistes de solution contre les pourriels sortants, il est maintenant temps, de voir ce qu’il est possible de faire pour se protéger à l’interne.

Pour un serveur courriel basé sur Exchange (2007 et plus récent), même si celui-ci est configuré pour bloquer les adresses invalides, au niveau de l’enveloppe SMTP, il est possible de personnifier un utilisateur du domaine en utilisant la section « DATA » du message.

Le droit étendu « ms-Exch-SMTP-Accept-Authoritative-Domain-Sender » indique au serveur à partir de quels domaines il peut accepter d’envoyer des courriels, ceux-ci étant identifiés dans la section « Accepted Domains » d’Exchange.

Lorsqu’un domaine est « Authorative Domain Sender », il est contre-indiqué de permettre aux utilisateurs externes de soumettre des courriels sans authentification en utilisant ce domaine dans l’en-tête « MAIL FROM » ou dans l’entrée « FROM » de la section « DATA » du courriel.

Pour imposer cette restriction, il est possible de retirer le droit de « NT AUTHORITY\Anonymous Logon » sur le connecteur externe d’Exchange (les utilisateurs légitimes, étant authentifiés, pourront toujours envoyer des courriels).

Afin de valider l’envoi anonyme (non authentifié) de l’externe sur votre serveur, vous pouvez lancer la commande suivante grâce à l’environnement de ligne de commande Exchange Management Shell en remplaçant « Default internet facing connector » par l’identifiant du connecteur acceptant les courriels d’Internet :

[PS] C:\Windows\system32>Get-ReceiveConnector « Default internet facing connector » | get-ADPermission -user « NT AUTHORITY\Anonymous Logon » -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Pour retirer la personnification en utilisant les droits « Anonymous Logon », utilisez la commande suivante (toujours en remplaçant « Default internet facing connector » par l’identifiant du connecteur acceptant les courriels d’Internet) :

[PS] C:\Windows\system32>Get-ReceiveConnector « Default internet facing connector » | remove-ADPermission -user « NT AUTHORITY\Anonymous Logon » -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Il est à noter qu’il est important pour les administrateurs de serveurs de courriels Exchange de s’assurer qu’il n’y ait pas d’utilisations légitimes de l’envoi de courriels utilisant le droit « NT AUTHORITY\Anonymous Logon » sur le connecteur externe avant d’entreprendre les étapes mentionnées dans cet article.

Si c’est le cas, la création d’un nouveau connecteur avec ce droit, mais limité pour recevoir uniquement des IP correspondantes, peut légitimer la mise en place de cette protection sur le connecteur par défaut tout en permettant l’envoi de courriel de manière anonyme pour les services spécifiques.

Cette protection n’est malheureusement pas mise en place par défaut lors de l’installation de base des serveurs de courriels Exchange.

La faible quantité de documentation disponible, l’absence d’impact visible et le manque de sensibilisation à ce problème font que son implémentation est peu répandue dans l’industrie.

Cette simple manipulation permet cependant d’assurer un plus haut niveau d’intégrité pour vos communications électroniques.

 

Solution Office365

Office 365 ne propose pas de protection interne de « spoofing » pour les courriels reçus de votre propre domaine. Il est donc primordial de mettre en place certaines règles qui permettront de limiter grandement les tentatives d’usurpation de noms internes.

Nous allons créer entre 1 et 3 listes de distribution selon les besoins :

– 1 liste dynamique afin d’inclure tous les utilisateurs avec une boîte aux lettres

– 1 liste statique pour ajouter des exceptions aux règles **

– 1 liste statique pour les boîtes aux lettres de ressources **

** les deux listes de distribution statiques sont facultatives si vous n’utilisez pas de boîtes aux lettres de ressources ou d’exception (scanners, imprimantes)

Note : Les règles ci-dessous n’incluent pas les listes de distribution facultatives, mais vous pouvez les ajouter en conditions dans les règles, si nécessaire.

Pour créer ces règles, vous devez accéder au centre d’Admin Exchange Admin Center Office 365 > Admin Center > Exchange > Mail Flow > règles

Règle #1 : si le message est reçu par un membre du groupe « globalddl@domain.com » et est reçu de « À l’intérieur de l’organisation », Ajouter l’en-tête de message « X-Transport_Validation » avec la valeur « expéditeur validé ».

Règle #2 : si le message est envoyé à un membre du groupe « globalddl@domain.com » et inclut ces mots dans l’adresse de l’expéditeur : « domaine.com » (votre nom de domaine), ajouter le sujet avec « MESSAGE d’avertissement USURPÉE : » sauf si l’en-tête « X-Transport_Validation » contient « expéditeur validé ».

** La règle numéro 2 peut être adaptée pour faire rebondir le message, le livrer avec l’avertissement ou l’envoyer à une autre boîte aux lettres de surveillance.

Note : Il est recommandé de modifier les exemples inclus de noms pour l’en-tête et les valeurs afin d’éviter une utilisation répandue des mêmes valeurs qui permettrait de contourner cette sécurité.

En fait, ces règles ajoutent une valeur spécifique à l’intérieur de vos en-têtes de message (expéditeur confirmé) chaque fois que « un vrai utilisateur » envoie un courriel à l’intérieur de l’organisation. Chaque fois que vous recevez un message en provenance de votre propre domaine, il cherche cette valeur. Si cet en-tête n’est pas présent, il va ajouter à l’objet du message « MESSAGE d’avertissement USURPÉE » (ou exécuter l’action de votre choix). Il est également possible, dans les options d’Office 365, de rejeter le message en générant un rapport d’incident qui sera envoyé à une boîte de courriel valide pour modération.

Quitter la version mobile