WinGate et la sécurité de la messagerie

de messagerie WinGate sans que la configuration d'un système d'adresses IP ne ... APOP et CRAM-MD5 si vous utilisez la base de données utilisateurs NT. ... D'un autre côté, l'acquisition d'un certificat auprès d'un organisme spécialisé reste.
Télécharger le PDF
37KB taille 5 téléchargements 149 vues
commentaire
Report
WinGate et la sécurité de la messagerie

Document technique WATSOFT

WinGate et la sécurité de la messagerie septembre 2003

Ce document porte sur deux fonctionnalités importantes : 1. L’authentification (pour les protocoles POP3 et SMTP). 2. Les connexions sécurisées à l’aide du protocole TLS (Transport Layer Security)

L’authentification L’authentification correspond à la manière dont le client (autrement dit le logiciel qui envoie ou collecte le courrier électronique) valide son identité auprès du serveur. Plusieurs systèmes sont possibles. En général, elles se divisent en deux groupes (systèmes sécurisés/non sécurisés) et leur classement varie en fonction de la possibilité d’intercepter ou non les mots de passe transmis sur le réseau. L’authentification est nécessaire avec POP3 (collecte d’e-mails) car le système a besoin de connaître la boîte aux lettres à laquelle l’utilisateur souhaite accéder. En revanche, l’intérêt d’une authentification est moins perceptible avec SMTP (envoi d’e-mails). Elle permet pourtant aux utilisateurs d’être considérés comme des personnes de confiance et d’obtenir des avantages (exemple : envoi d’e-mails par un système de relais). Pour devenir un utilisateur de confiance, il faut, par défaut et lors de l’envoi d’un e-mail, remplir l’une des conditions suivantes : 1. Se connecter à WinGate avec une interface de confiance. 2. Configurer un système d’hypothèses associant des adresses IP à un compte utilisateur WinGate. 3. Authentifier l’utilisateur auprès du serveur SMTP de WinGate. Si vous souhaitez que des utilisateurs externes au réseau puissent envoyer des e-mails via le serveur de messagerie WinGate sans que la configuration d’un système d’adresses IP ne soit requise, alors l’authentification est la solution à mettre en place. WinGate prend en charges les systèmes d’authentification suivants : Non sécurisés: SASL: PLAIN, USER/PASS (POP3 uniquement) Sécurisés: SASL: NTLM, SASL: CRAM-MD5, APOP (POP3 uniquement) La méthode d’authentification SASL (Simple Authentication and Security Layer) suit un processus particulier. Les méthodes PLAIN, NTLM et CRAM-MD5 sont acceptées tant pour POP3 que pour IMAP. Enfin, les commandes APOP et la méthode habituelle UTILISATEUR/MOT DE PASSE sont acceptées pour le protocole POP3. WinGate est également capable de sécuriser une connexion avant d’exécuter certains systèmes d’authentification.

Base de données utilisateurs Les méthodes d’authentification précédemment énoncées ne sont pas acceptées avec la base de données utilisateurs WinGate, ni avec la base NT. Si vous utilisez la base NT, un système

WATSOFT

Qbik Software -1-

WinGate et la sécurité de la messagerie

Document technique WATSOFT

d’authentification en texte clair ou les méthodes SASL et NTLM sont nécessaires (elles sont employées par Outlook). La méthode NTLM n’est pas possible avec la base utilisateurs WinGate.

Priorité du mot de passe POP3 Dans certains cas, les paramètres du compte utilisateur prédominent. Par exemple, si vous configurez un mot de passe POP3 pour un utilisateur et que le programme de messagerie repose sur la méthode d’authentification NOM D’UTILISATEUR/MOT DE PASSE pour la collecte du courrier, alors c’est le mot de passe POP3 qui doit être utilisé. Les mots de passe WinGate et NT ne sont pas acceptés. Certaines méthodes utilisent le mot de passe POP3 de façon secondaire. Exemple : les méthodes APOP et CRAM-MD5 si vous utilisez la base de données utilisateurs NT.

Paramètres de validité Chaque méthode d’authentification regroupe trois paramètres : Refuser, Autoriser et Sécuriser (TLS). Le premier (Refuser) bloque les tentatives d’authentification, le second (Autoriser) déclenche un processus d’authentification, et le troisième (Sécuriser) autorise les processus d’authentification tant qu’ils s’effectuent via une connexion TLS/SSL cryptée.

Connexions sécurisées (TLS/SSL) Parce qu’elles sont cryptées, les connexions sécurisées permettent d’utiliser des méthodes d’authentification non sécurisées sans risque. Le contenu du courrier électronique est également envoyé par la connexion cryptée. Ainsi, les personnes qui espionnent le trafic sur votre réseau ou sur Internet ne peuvent pas visualiser le contenu de vos messages.

Certificats Pour pouvoir utiliser TLS, un certificat (X.509 standard, format PEM) est nécessaire. Les certificats servent à valider l’authenticité d’un serveur et sont depuis longtemps associés aux serveurs Web sécurisés. WinGate crée ses certificats ou les obtient auprès d’autorités compétentes. Inconvénient lorsqu’il génère ses propres certificats : certains clients de messagerie s’en méfient. Néanmoins, une option permet aujourd’hui de forcer les autres clients à les accepter. L’obligation de vous munir d’un nouveau certificat semble donc peu probable, à moins que la configuration manuelle visant à faire accepter votre certificat par les autres clients de messagerie ne soit trop complexe. D’un autre côté, l’acquisition d’un certificat auprès d’un organisme spécialisé reste une opération coûteuse. Remarque : vous devez nommer chaque certificat crée. Ce nom sert à identifier le serveur. De nombreux programmes de messagerie protesteront si le nom du certificat est différent de celui du serveur auquel ils sont connectés. La solution consiste à utiliser des caractères jokers : *.qbik.com (nom utilisé pas le serveur de messagerie Qbik) Ainsi, lorsqu’un client de messagerie se connecte à un nom se terminant par « qbik.com » pour récupérer le courrier, le nom est accepté. WinGate prend seulement en charge les certificats au format PEM. Vous pouvez modifier le format de vos certificats à l’aide des nombreux outils de conversion disponibles sur le marché.

WATSOFT

Qbik Software -2-

WinGate et la sécurité de la messagerie

Document technique WATSOFT

Identité du serveur Il s’agit du nom du serveur, qui est différent du nom DNS du poste sur lequel il fonctionne. Exemple : « qbik.com » sur le serveur Active Directory (Windows 2000), « WorkPC1 » sur des systèmes d’exploitation plus anciens. Ce critère est important puisque le nom du serveur devient le nom par défaut du certificat (sauf changement de votre part). Ce nom figure ensuite dans les programmes de gestion des certificats.

Clients de messagerie De nombreux clients de messagerie disposent d’un support de connexion sécurisée et/ou d’authentification. Microsoft Outlook, Outlook Express. Systèmes d’authentification : POP3: UTILISATEUR/MOT DE PASSE, NTLM. SMTP: NTLM Tant que les connexions sont sécurisées, Outlook accepte le système TLS pour l’envoi de courrier (SMPT) mais pas pour la collecte (POP3). Si vous précisez que Outlook doit utiliser une connexion cryptée pour POP3, il fera une tentative de connexion à un serveur POP3 sécurisé (SPOP) sur le port 995. Le support TLS pour POP3 de WinGate n’effectue pas cette opération. Outlook présente des faiblesses si vous utilisez la méthode NTLM pour l’authentification (authentification par mot de passe sécurisé). À chaque fois, il vérifiera le nom d’utilisateur et le mot de passe de l’utilisateur Windows connecté avant même d’essayer le nom d’utilisateur et le mot de passe que vous entrez. Qualcomm Eudora Systèmes d’authentification : POP3: UTILISATEUR/MOT DE PASSE, APOP, CRAM-MD5, Kerberos (non disponible) SMTP: CRAM-MD5, Kerberos, PLAIN Support TLS compris.

WATSOFT

Qbik Software -3-