Il existe différentes formes d'attaques par intrusion sur les serveurs de messagerie : il existe des attaques utilisant des vulnérabilités de débordement de mémoire tampon, des attaques par déni de service, des attaques par collecte d'annuaire, etc. Des mesures telles que le renforcement des serveurs de messagerie, l'utilisation d'outils de filtrage de courrier, l'utilisation de services gérés et l'installation de logiciels intégrés peuvent toutes stopper les attaques sur les serveurs de messagerie de différents côtés. Cet article décrit ces mesures en détail.
Renforcer votre serveur de messagerie, en installant d'abord un outil réseau de filtrage de courrier devant lui ou en utilisant un service de filtrage de courrier géré aidera à atténuer les attaques des spammeurs et d'autres sources.
À mesure que les attaques contre les utilisateurs finaux et leurs postes de travail se multiplient, les attaques directes contre les serveurs de messagerie ont diminué (bien que cette diminution soit relative). Cependant, les serveurs restent vulnérables, car les attaquants continuent de trouver des vulnérabilités dans le serveur EXChange de Microsoft et même dans Sendmail. Voici un aperçu de deux attaques courantes et des moyens de réduire ou d'éliminer l'exposition de votre serveur de messagerie à ces attaques.
L'une des causes profondes : la vulnérabilité de débordement de tampon
Un dépassement de tampon se produit lorsqu'un programme logiciel, tel qu'un logiciel de serveur de messagerie, stocke plus de données dans un tampon de données que ce qui était initialement autorisé et ne parvient pas à se prémunir contre les entrées inattendues. Un attaquant pourrait exploiter cette faille pour amener le serveur de messagerie à exécuter des procédures autres que celles prévues. Si le serveur de messagerie fonctionne avec des privilèges, la sécurité de l'ensemble du système sera compromise. Même si le serveur de messagerie n'est pas privilégié, un attaquant peut toujours compromettre sa sécurité et prendre le contrôle total de ses ressources.
Bien que les débordements de mémoire tampon soient causés par des erreurs de programmation accidentelles, ils constituent une vulnérabilité de sécurité très courante en termes d’intégrité des données. Lorsqu'un débordement de tampon se produit, les données excédentaires peuvent contenir du code conçu pour déclencher des actions spécifiques, telles que l'envoi de nouvelles instructions au serveur compromis qui pourraient corrompre les fichiers utilisateur, modifier les données ou exposer des informations top secrètes.
Les attaquants ont prouvé leurs compétences dans le passé en exploitant les vulnérabilités de débordement de mémoire tampon pour permettre aux vers de se déplacer entre différents serveurs sur Internet. Mais récemment, les vulnérabilités de type buffer overflow ont pris une cible plus spécifique. Ils permettent aux attaquants de compromettre un serveur de messagerie, qu'ils peuvent ensuite utiliser pour envoyer du spam.
Cette attaque a deux conséquences graves. Premièrement, un serveur de messagerie compromis signifie qu'un attaquant peut lire les e-mails entrants et sortants de l'entreprise. Les résultats peuvent être catastrophiques. Deuxièmement, les attaquants peuvent utiliser les ressources du serveur d'une entreprise pour envoyer du spam. Cette situation peut donner une mauvaise réputation à l'entreprise, violer le contrat du FAI et entraîner souvent la résiliation du service.
Il est important de renforcer votre serveur de messagerie (et tout autre serveur public) contre les vulnérabilités de débordement de tampon et autres formes d'attaques. D'autres mesures de protection peuvent être prises.
Une réponse : le renforcement des serveurs
La meilleure façon de réduire les risques de compromission de la sécurité de votre serveur de messagerie est de renforcer le serveur de messagerie lui-même. Dans tous les cas, le renforcement en vaut la peine. Sur les serveurs renforcés, en particulier ceux sur Internet, peu de services sont vulnérables aux vulnérabilités, et ces services sont généralement traités « différemment ». Le renforcement nécessite généralement les mesures suivantes :
• Ordinateurs physiquement sécurisés ;
• Mettre à jour les systèmes d'exploitation et les logiciels d'application ;
• Activer la journalisation pour enregistrer les opérations des administrateurs sur l'accès et l'utilisation des ressources ;
• Supprimer les applications, services et outils inutiles ;
• Activer le service de pare-feu local ;
• Restreindre l'utilisation de comptes privilégiés.
En durcissant vos serveurs, vos points faibles peuvent être considérablement réduits. Mais le simple renforcement de votre serveur de messagerie ne suffit souvent pas. Une meilleure solution serait de renforcer le serveur tout en fournissant un filtrage supplémentaire du trafic de courrier électronique avant que le courrier électronique n'atteigne réellement le serveur.
Le trafic de messagerie peut être pré-filtré grâce à l'utilisation d'outils réseau, de services de gestion et de logiciels intégrés aux systèmes de messagerie existants (tels que EXChange de Microsoft). N'oubliez pas de disposer de différents niveaux de défense, par exemple en renforçant vos serveurs de messagerie internes et en déployant des outils réseau renforcés par les fournisseurs pour protéger l'environnement.
Réponse 2 : outils réseau
Les outils réseau de filtrage du courrier sont déployés devant les serveurs de messagerie internes. Ces outils fournissent généralement deux types de pare-feu : les pare-feu de filtrage de paquets et les pare-feu au niveau des applications. Les outils réseau qui agissent comme des pare-feu de filtrage de paquets autorisent uniquement le trafic TCP/IP valide vers les ports utilisés par les services de messagerie (tels que SMTP, généralement POP3 et IMAP). L'outil, en tant que pare-feu au niveau de l'application, garantit que le serveur d'envoi utilise correctement SMTP et respecte les demandes de commentaires (RFCS) et les conventions IEEE pertinentes (par exemple, prend en charge les paramètres DNS inversés).
Les outils réseau ne sont pas vulnérables aux attaques pour plusieurs raisons. Premièrement, la grande majorité des outils fonctionnent sur des systèmes d’exploitation hautement personnalisés. Ces systèmes d'exploitation ont désactivé la plupart des services supplémentaires qui permettraient aux attaquants de prendre pied (ou ont été personnalisés dès le départ spécifiquement pour les outils à utiliser).
Deuxièmement, les ingénieurs adhèrent strictement aux meilleures pratiques lors du durcissement des outils.
Enfin, un outil ne permet qu'un type limité de communication vers et depuis le serveur de messagerie (c'est-à-dire la communication liée au transport du courrier), et même ce type de communication est soumis à une inspection minutieuse.
Réponse 3 : Services gérés
Avec les services gérés, tous les e-mails sont d'abord envoyés à un service hors site qui filtre les e-mails, qui transmet ensuite les e-mails valides au serveur de messagerie de l'entreprise.
Pour utiliser cette stratégie afin de prévenir efficacement les attaques utilisant des protocoles de publipostage, le serveur de messagerie interne doit accepter uniquement les connexions initiées par le service géré et aucune autre connexion. Mais ces services ne sont disponibles que pour les communications par courrier électronique entrantes. Le trafic de courrier électronique sortant est toujours envoyé directement vers d'autres serveurs sur Internet, activant ainsi d'éventuelles vulnérabilités dans l'utilisation des protocoles de messagerie (par exemple, un serveur de courrier électronique récepteur pourrait exploiter une vulnérabilité de débordement de tampon dans le logiciel du serveur de courrier électronique expéditeur lors d'une transmission SMTP).
Réponse 4 : Logiciel intégré
Enfin, un logiciel intégré peut être installé pour aider à protéger votre serveur de messagerie. Ce logiciel installé localement protège contre les attaques réseau et rend le serveur plus robuste. Les logiciels intégrés s'exécutent généralement au niveau de la couche application (c'est-à-dire SMTP) pour protéger les serveurs contre les exploits. Certains logiciels d'intégration remplacent la pile TCP/IP native du serveur par une version renforcée personnalisée.
Cependant, il est plus courant qu'un logiciel de filtrage local fonctionne avec le logiciel de messagerie plutôt que de construire un mur entre le logiciel de messagerie et le système externe. Un logiciel intégré utilisant cette approche peut être utile lorsqu'un attaquant a un accès direct au serveur de messagerie (par exemple, si un utilisateur interne de confiance lance l'attaque).
Réponse 5 : attaques par déni de service et attaques de collecte d'annuaire
Les attaques par déni de service (DoS) réduisent les capacités du système cible. Disons qu'un serveur de messagerie, par exemple, et qu'un attaquant tente de le ralentir ou de le désactiver. Les attaquants lancent des attaques par déni de service de plusieurs manières, notamment en consommant des ressources réseau et en lançant des attaques de récolte d'annuaires.
Lorsqu'un attaquant mène une attaque par déni de service via la consommation des ressources réseau, l'attaque se concentre souvent sur la consommation de toutes les connexions entrantes disponibles sur la machine cible. Étant donné que SMTP est un protocole TCP, un exploit réussi nécessite simplement que l'attaquant demande plus de connexions TCP que ce qui est disponible. Autrement dit, l’attaquant crée plus de connexions au serveur de messagerie que ce dernier ne peut en gérer. De cette façon, le serveur de messagerie ne peut plus accepter les connexions entrantes valides provenant de serveurs de messagerie légitimes.
Il existe peu de solutions basées sur serveur pour prévenir les attaques par déni de service. La plupart des serveurs de messagerie fonctionnent sur des systèmes d'exploitation à usage général qui ne sont pas conçus pour protéger contre les attaques par déni de service. Même sur un système UNIX renforcé, l'augmentation de la capacité du serveur à résister à un grand nombre d'attaques par déni de service nécessite des paramètres réseau différents. En conséquence, les entreprises achètent souvent des systèmes spécialement créés pour détecter et prévenir les attaques par déni de service, ou des outils de filtrage renforcés capables d'accepter beaucoup plus de connexions simultanées qu'un serveur de messagerie à usage général. De tels dispositifs de filtrage sont souvent mieux à même de détecter les attaques par déni de service et de prendre des mesures défensives.
Les attaques de récolte d'annuaire sont des attaques gourmandes en ressources lancées par des spammeurs pour identifier des adresses valides disponibles pour le futur spam. Lorsqu'une attaque de collecte d'annuaire se produit, la charge sur le serveur de messagerie sera considérablement augmentée, affectant la transmission efficace du courrier. De plus, le serveur de messagerie local renverra des rapports de non-remise pour les adresses non valides tentant d'accéder à l'adresse d'expéditeur utilisée par le spammeur.
Le renvoi de rapports de non-remise génère un trafic de courrier électronique sortant supplémentaire, consommant une bande passante coûteuse et augmentant ainsi la charge sur le serveur de messagerie. Étant donné que la plupart des adresses d'expéditeur utilisées par les spammeurs sont fausses, les rapports de non-remise de transmission expirent toujours, ce qui oblige le serveur de messagerie à réessayer la transmission ultérieurement. En résumé, une attaque de récolte d’annuaire est une forme coûteuse d’attaque sur un serveur de messagerie.
Malheureusement, il existe peu de moyens d’atténuer les dangers des attaques de collecte d’annuaires. Une solution consiste à utiliser des services gérés. Généralement, les services gérés gèrent beaucoup plus de serveurs de messagerie qu'une entreprise ne peut en fournir, de sorte que les attaques de collecte d'annuaire n'ont pas d'impact majeur sur la livraison du courrier.
Une autre solution consiste à installer des outils de filtrage front-end optimisés pour ce type d’attaque. Maintenir une liste d'utilisateurs de messagerie légitimes dans l'outil (soit via une liste statique, soit via un accès Light Directory Access Protocol à un répertoire interne) afin que les filtres n'envoient pas d'e-mails à des utilisateurs non valides.