Scribd Logo
Importer

Bienvenue sur Scribd !

  • S4 - Sécurité Des Applications Messagerie

    Transféré par

    parfait ELABA
    31 vues14 pages

    Titre original

    S4 - Sécurité des applications Messagerie

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    31 vues14 pages

    S4 - Sécurité Des Applications Messagerie

    Transféré par

    parfait ELABA

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 14

    Sécurité des réseaux

    M. Jean DIOKH
    Certifié Linux Professional Institute ( LPIC-3 Core & LPIC-3 Security )
    http://www.lpi.org/verify/LPI000201968/9ntq6grjtk
    Sécurité des applications
    MAIL

    Les risques

    Statistique année 2019

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: Résolution inverse

    reject_unknown_reverse_client_hostname
    Reject the request when the client IP address has no address->name mapping.

    reject_unknown_client_hostname (with Postfix < 2.3: reject_unknown_client)


    Reject the request when:
    1) the client IP address->name mapping fails,
    or 2) the name->address mapping fails,
    or 3) the name->address mapping does not match the client IP address.

    This is a stronger restriction than the reject_unknown_reverse_client_hostname feature, which


    triggers only under condition 1) above.

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: SPF - Sender Policy Framework

    Limiter l’usurpation d’identité en publiant dans les DNS de votre nom de domaine la liste des
    serveurs, ou plus précisément des adresses IP, qui sont autorisés à envoyer du courrier avec ce
    domaine
    Sécurité des réseaux - M. DIOKH
    Sécurité des applications
    MAIL

    SOLUTION: DKIM - DomainKeys Identified Mail

    L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas
    été usurpé, mais que le message n’a pas été altéré durant sa transmission.
    Sécurité des réseaux - M. DIOKH
    Sécurité des applications
    MAIL

    SOLUTION: DKIM - DomainKeys Identified Mail

    ▪ Installer OpenDKIM

    sudo apt-get install opendkim

    ▪ Générer la paire de clé publique/privée:

    sudo opendkim-genkey -s mail -d test.sn

    -s specifies the selector and -d the domain, this command will create two files, mail.private is
    our private key and mail.txt contains the public key.

    ▪ Ajouter la clé publique dans les enregistrements DNS

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: DKIM - DomainKeys Identified Mail

    ▪ Installer OpenDKIM

    sudo apt-get install opendkim

    ▪ Générer la paire de clé publique/privée:

    sudo opendkim-genkey -s mail -d test.sn

    -s specifies the selector and -d the domain, this command will create two files, mail.private is
    our private key and mail.txt contains the public key.

    ▪ Ajouter la clé publique dans les enregistrements DNS

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: ANTIVIRUS – CLAMAV & ANTISPAM

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: ANTIVIRUS – CLAMAV

    Installer clamav
    apt -y install clamav clamav-daemon amavisd-new
    sed -i -e "s/^NotifyClamd/#NotifyClamd/g" /etc/clamav/freshclam.conf

    Mettre à jour la base de données:


    systemctl stop clamav-freshclam
    freshclam

    Activer le scanne de virus:


    vim /etc/amavis/conf.d/15-content_filter_mode
    # uncomment to enable virus scanning
    @bypass_virus_checks_maps = (
    \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: ANTIVIRUS – CLAMAV

    Ajouter l’utilisateur clamav dans le groupe Amavis:

    gpasswd -a clamav amavis

    Changer les droits du dossier:

    chmod -R 770 /var/lib/amavis/tmp/

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: ANTIVIRUS – CLAMAV


    vim /etc/postfix/main.cf
    # add to the end
    content_filter=smtp-amavis:[127.0.0.1]:10024

    #vim /etc/postfix/master.cf
    # add to the end
    smtp-amavis unix - - n - 2 smtp
    -o smtp_data_done_timeout=1200
    -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
    127.0.0.1:10025 inet n - n - - smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o strict_rfc821_envelopes=yes
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    Sécurité des réseaux - M. DIOKH
    Sécurité des applications
    MAIL

    SOLUTION: ANTIVIRUS – CLAMAV

    Redémarrer les services:

    systemctl restart clamav-daemon amavis postfix

    Test:

    Envoyer un mail avec le contenu du lien: https://secure.eicar.org/eicar.com.txt

    Capture:

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: ANTISPAM - SPAMASSASSIN

    Sécurité des réseaux - M. DIOKH


    Sécurité des applications
    MAIL

    SOLUTION: MAIL GATEWAY

    Sécurité des réseaux - M. DIOKH

    Vous aimerez peut-être aussi