Reseaux Messagerie

Réseaux : Architecture,
Sécurité, Internet et
messagerie
Partie III : Messagerie et travail
collaboratif
M. Abderrezak RACHEDI
Professeur des Universités
Université Paris-Est Marne-la-Vallée (UPEM)
Laboratoire d’Informatique Gaspard Monge (UMR8049)
Février 2019
1
© 2019 - Ddéveloppé par M. A. RACHEDI – droits réservés – reproduction interdite
2
Plan
n Messagerie électronique
n Sécurité de la messagerie
¨ les systèmes anti-SPAM
n Travail collaboratif
¨ Gestion partagée du temps
¨ Agenda électronique
¨ Suivi d’activités
n Serveurs applicatifs
¨ Serveurs d’applications
¨ Serveurs de fichiers
© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

3
Messagerie électronique

4
Messagerie Internet - Histoire 1/3

n Envoie de messages entre différents utilisateurs des mainframes à
la fin des années 60 (MAILBOX)
n Premier envoi d'un message entre deux machines du réseau

ARPANET courant 1972 (1ère utilisation du caractère @)
n En 1973, les mails représentent 3/4 du trafic ARPANET
n Nombreux problèmes d'interropérabilité (RFC 680, 724, 733, etc.)
n Eric Allman développe delivermail (utilisation de FTP over NCP

(Network Control Protocol) pour transmettre les messages)

5

L’arrivé du TCP/IP
n Avant la naissance du protocole SMTP (Simple Mail Transfer

Protocol), la transmission des mails se fait au moyen de :
FTP, UUCP (Unix to Unix Copy), etc.
n Eric Allman développe sendmail
n La RFC 821 donne les premières spécifications du protocole SMTP

en 1982
n La RFC 822 spécifie le format des messages

6

Actuellement ...
n L’évolution vers la messagerie actuelle :
¨ Encapsulation de contenus multimédias (MIME)
¨ Interconnexion avec les annuaires LDAP, Active Directory
n Les besoins émergents en terme de sécurité :

¨ Authentification, confidentialité, etc.
¨ Filtrage applicatif : spam, antivirus, etc.
n Les objectifs d’un serveur Mail sont :

¨ Accepter les mails issus des processus locaux (programmes et/ou utilisateurs)
¨ Accepter les mails provenant d'autres serveurs
¨ Transmettre les mails aux processus locaux
¨ Transmettre les mails aux autres serveurs

7
Protocoles et standard
n SMTP (Simple Mail Transfer Protocol)
¨ Définit la manière de communiquer entre deux MTA en utilisant une connexion TCP
n POP3 (Post Office Protocol)
¨ Permet de récupérer localement les courriers électroniques situés sur un serveur
de messagerie
n IMAP (Interactive Message Access Protocol)
¨ Permet d'accéder aux courrier directement sur le serveur de messagerie
n MIME (Multipurpose Internet Mail Extensions)
¨ Standard qui étend le format de données des courrier pour supporter des textes en
différents codage des caractères autres que d’ASCII
Ports du service de messagerie

8
Composants d’un serveur de messagerie

n MUA (Mail User Agent)
¨ Programme permettant à l'utilisateur de lire et d'envoyer des messages
n Dialogue avec le MTA via le protocole SMTP (client uniquement) et avec le serveur de
boîtes aux lettres via POP ou IMAP
n MTA (Mail Transfer Agent)
¨ Programme responsable de l'acheminement des messages
n MSA (Mail Submission Agent)
¨ Interface utilisée par le MUA pour soumettre les messages sortants au MUA.
¨ Fonctionnalité intégrée au MTA.
n MDA (Mail Delivery Agent)
¨ Interface entre le MTA et la boite aux lettres de l'utilisateur

9
MUA et MDA
n Les MUA sont les programmes utilisés par les utilisateurs pour gérer leur
messagerie.
- Exemples : Microsoft Outlook, Evolution, Thunderbird, Mutt, Pine, mailx, etc.
n Un MDA est directement exécuté par le MTA afin d'ajouter le message à la

BAL (Boite Aux Lettres) de l'utilisateur destinataire.
- Exemples : procmail, maildrop, etc.

10
Architecture d’un système de messagerie

Internet

11
Quelques exemples de MTA

n Sendmail (le serveur mail historique d’Unix)
¨ Multiples failles de sécurité, configuration complexe, etc.
n qmail
¨ Architecture modulaire conçue de façon très sécurisée
¨ Configuration aisée, très performant
n Postfix
¨ Architecture similaire à qmail
¨ Plus moderne (plus d'évolutions possibles)
n Exim (EXperimental Internet Mailer)

¨ Délivrer les messages de manière instantanée, sans les mettre en file d'attente
¨ Mauvaise performances de gestion de la file (cas des sites à haut débit)

12
Accès aux boîtes aux lettres : POP3

n POP3 = Post Office Protocol version 3
¨ RFC 1939
¨ Protocole permettant à un programme local de récupérer les mails
stockés dans une BAL distante (ie. présente sur un serveur distant)
n Utilise le port TCP/110
n Encore majoritairement utilisé par les ISP :

¨ Le protocole est très simple, et il est compatible avec la plus part des
programmes clients
¨ Le fonctionnement par défaut favorise le contrôle de la taille des boites
aux lettres
¨ Convient parfaitement à un accès à Internet non-permanent

13
IMAP- Internet Message Access Protocol

n Permet d’accéder directement aux emails sur le serveur de
messagerie sans les rapatriés localement
n Plusieurs évolution pour le protocole IMAP : la version 4 - RFC 3501
n Caractéristiques
¨ TCP/143 (ou TCP/993 pour imap over SSL)
¨ Les messages restent sur le serveur, l'utilisation est en mode connecté
¨ Boîtes aux lettres partagées, accès concurrentiels, etc.
¨ Plusieurs connexions IMAP peuvent être ouvertes simultanément lors de
l'accès à une BAL
¨ Création de dossiers IMAP résidant sur le serveur
n Quelques exemples de serveurs IMAP :

¨ UW Imap, Courier IMAP, Cyrus IMAP Server, Microsoft Exchange Server, Dovecot

14
MIME (Multi-purpose Internet Mail Extensions)

n RFC 2045..2049 (1996), 2183 (1997)
n MIME permet de transporter des contenus quelconques
n En-tête :
– MIME-Version : 1.0
– Content-Type :
– Content-Transfer-Encoding :
n MIME - types de messages

¨ Content-Type : définit comment afficher le message à la réception.
Exemples : text/plain, text/html, text/enriched, image/gif, video/mpeg, application/pdf
¨ Messages composites : multipart définit un séparateur. Entre chaque
séparateur structure MIME avec Content-Type : et Content-Encoding
n multipart/mixed : plusieurs éléments à la suite
n multipart/alternative : plusieurs versions du même élément
n multipart/parallel : plusieurs éléments à montrer en même temps (vidéo/audio)
n multipart/signed : Un élément et sa signature numérique
15
MIME - exemple
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="3Pql8miugIZX0722”
--3Pql8miugIZX0722
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Bonjour,
blah blah, ci-joint un document pdf, blah blah
--3Pql8miugIZX0722
Content-Type: application/pdf
Content-Disposition: attachement; filename="figure.pdf"
Content-Transfer-Encoding: base64
JVBERi0xLjMKJcfsj6IKNiAwIG9iago8PC9MZW5ndGggNyAwIFIvRmlsdGVyIC9GbGF0Z
URlY29kZT4+CnN0cmVhbQp4nN1aS4/cxhG+81fw6BhQp9+Po4wYRoAIiLRr5BxM1paC
oRzJkvP3
--3Pql8miugIZX0722--
16
Le format des adresses

n Une adresse mail est une chaîne de caractère contenant le symbole "@"
utilisateur@exemple.domaine.fr
n Partie gauche (utilisateur) :
¨ Définie et interprétée localement par le site de destination
n Partie droite
¨ Adresse de messagerie du site. Utilise le DNS pour résoudre cette adresse
n un enregistrement de type MX (Mail eXanger) : pointe vers un enregistrement de
type A.
n un enregistrement de type A (adresse IP)
n un enregistrement de type « alias »
n Adresses particulières
¨ postmaster@domain.com (RFC 822)
¨ abuse@domain.com
¨ ...

17
DNS (Domain Name System) 1/3

n DNS introduit une convention de nommage hiérarchique des domaines
n Le domaine racine appelé “.”
n Les domaines du premier niveau représentent la localisation géographique
(fr, be, eu, de ...) ou le type de service (museum, info, org, gov, mail, ...)
¨ Ils sont gérés par ICANN (Internet Corporation for Assigned Names and Numbers)
n Les domaines de second niveau sont disponibles pour les
entreprises/particuliers.
¨ Ils sont gérés par l'InterNIC (une filiale de l'ICANN) ou bien l'AFNIC (Association
Française pour le Nommage Internet en Coopération) qui gère le domaine « fr »
n Plusieurs sous domaines peuvent être crée à l'intérieur d'un domaine de
second niveau.

18
DNS (Domain Name System) 2/3

n Les noms de machine utilisant le système DNS sont appelés noms
d'hôtes
¨ Un nom d'hôte peut contenir jusqu'à 255 caractères alphanumériques et le trait
d'union "-".
¨ L'utilisation du "." est interdite car il est réservé
n Deux types de noms avec le système DNS :

¨ le nom d'hôte qui représente le nom d'une machine (un ordinateur, une
imprimante ou bien encore un routeur)
¨ le nom de domaine pleinement qualifié ou FQDN (Fully Qualified Domain
Name).
n Le FQDN est composé de deux parties : le noms d'hôte et le nom
de domaine
n Par exemple, une machine avec le noms d'hôte TEST-1 située dans
le domaine students.u-pem.fr alors le nom de domaine pleinement
qualifié (FQDN) de la machine TEST-1 est :
TEST-1.students.u-pem.fr
19
DNS: Les types d’enregistrement 3/3
n Un enregistrement DNS peut être sous différentes formes :

¨ A : Retourne une adresse IPv4 pour un nom de host donné
¨ AAA : Retourne une adresse IPv6 pour un nom de host donné
¨ NS : Délègue la gestion d’une zone à un serveur de nom faisant autorité
¨ CNAME (Canonical NAME) : Permet de réaliser un alias (un raccourci)
d’un host vers un autre
¨ SOA : Définit le Serveur Maitre du domaine
¨ PTR : Réalise l’inverse de l’enregistrement A ou AAAA, donne un nom
de host (FQDN: Fully Qualified Domain) pour une adresse IP.
Sous Linux/Unix: FQDN est disponible dans le fichier /etc/hosts
¨ MX : Définit le nom du serveur de courrier du domaine
¨ TXT : Une chaîne de caractères libres

21
Format des adresses
n Le format et l'interprétation des en-têtes sont spécifiés dans la RFC

822 (1982)
¨ « 822 allows much more flexibility than a typical mail- reading program
can actually handle; meanwhile it imposes restrictions that millions of
users violate every day »
n Les en-têtes sont de la forme « Nom: valeur »

¨ Date: Sat, 2 Fab 2019 12:27:41 +0200
X-Spam-Flag: YES
From: Bob Marley <bob@marley.com>
To: Abderrezak Rachedi <rachedi@ieee.org>
Subject: Coucou
Message... ?!

22
Le routage des mails et le DNS
n Question : à quel serveur doit-on s'adresser pour envoyer un mail

destiné à "local@domaine.com"
¨ Le MTA effectue une requête DNS afin de connaître l'enregistrement
MX de "domaine.com"
bash$ host -t mx rstack.org

rstack.org mail is handled by 10 spool.mail.gandi.net.
rstack.org mail is handled by 50 fb.mail.gandi.net.
¨ En cas d'échec de la requête DNS, cela ne veut pas dire qu'il n'y a pas
d'enregistrement MX pour le domaine concerné : le client doit réessayer
un peu plus tard...
¨ Si la requête DNS ne renvoie aucun enregistrement MX, alors le MTA
doit prendre comme MX l'hôte lui-même
23
Le routage des mails et le DNS
n Le serveur prend ensuite la liste des serveurs destinataires par

ordre croissant de préférence et se connecte ensuite sur le port
TCP/25 pour envoyer le message par SMTP
¨ En cas d'échec permanent, le client retourne un message d'erreur à

l'expéditeur (bounce message)
¨ En cas d'échec temporaire, le client réessaye d'envoyer le message en
utilisant les serveurs de mails ayant une priorité inférieure. S'il ne
restent plus de serveurs dans la liste, le message est alors mis en
attente
n L'utilisation des MX est spécifiée dans la RFC 974

24
Protocole SMTP
n Définit la manière de communiquer entre deux MTA en utilisant une

connexion TCP
¨ Protocole de type « PUSH »
n Utilise un alphabet ASCII 7 bits (en TCP, transmission de 8 bits avec le

bit de poids fort à 0)
n Le nombre de commandes utilisées est relativement faible (< à 12)
n Le protocole est défini dans la RFC 821 (1982)
n La commande HELO permet à la machine source de s'identifier auprès

du serveur SMTP
25
Protocole SMTP
n Lorsqu'un serveur de mail accepte un message, il ajoute un en-tête
"Received:" au début du message
n Le protocole TCP n'est utilisé qu'en half-duplex

n Le client envoie une requête, attend la réponse, etc.
n Importance de la rapidité de réponse pour les serveurs
n Les serveurs SMTP ne parsent pas les headers d'un message,

excepté pour compter le nombre de saut (nb. de "Received: ")

26
Les principales commandes SMTP

n HELO : pour identifier l'émetteur du mail
¨ Synopsis : HELO <espace> <domaine> <CRLF>
n MAIL : pour débuter un transfert de l’email

¨ Synopsis : MAIL <espace> FROM: <chemin inverse> <CRLF>
¨ Exemple : MAIL FROM:<@mailhub.ici:@mailhost.labas:Lambda@mondomain.fr>
n RCPT : permet de cibler le destinataire

¨ Synopsis : RCPT <espace> TO: <destinataire> <CRLF>
¨ RCPT TO:Lambda@mondomain.fr
n DATA : permet de définir le corp de l’email qui se termine par

<CRLF>.<CRLF>
¨ Synopsis : DATA <CRLF>
n QUIT : Marque la fin de la session et permet la fermeture de la

connexion
27
Les principales commandes SMTP
n VRFY: permet de vérifier la validité d'une adresse

¨ Problème de confidentialité vis à vis du Spam
¨ La RFC 1123 définit un nouveau code d'erreur (252) permettant de traiter la
commande VRFY
n EXPN : permet de développer une adresse générique représentant

“une liste de diffusion” ou les alias d’une adresse
n Certains serveurs SMTP désactive (ne supportent pas ces deux

commandes)

28
Les évolutions du protocole SMTP

n Extended SMTP (ESMTP)
¨ Ces extensions (définies dans la RFC 1425) maintiennent néanmoins
une compatibilité́ ascendante
¨ Utilisation de EHLO à la place de HELO, puis code réponse 250
bash$ nc mxa.relay.renater.fr 25
220 mxb1-1.relay.renater.fr ESMTP asm
EHLO marley.com
250-mxb1-1.relay.renater.fr
250-PIPELINING
250-SIZE 31457280
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

29
Outils et commandes
n L’outil “nc” (netcat) : outil polyvalent (couteau suisse). Il permet :
¨ d’ouvrir des connexions TCP, envoyer des paquets UDP,
¨ écouter des ports TCP et UDP, effectuer un scan des ports (IPv4 et IPv6).
¨ Tester le serveur SMTP: nc nom_du_serveur 25
¨ Tester la disponibilité du serveur POP3 : nc pop.laposte.net 110
n L’outil « dig » : permet d’interroger des serveurs DNS et de diagnostiquer les

dysfonctionnements dans la résolution de nom. Ex. dig gmail.com
¨ Pour trouver le nom du serveur du domaine :
dig +noall +answer -t mx gmail.com
n L’outil « nslookup » : permet de connaitre les adresses IP de tous
les serveurs d’un domaine
n L’outil « Whois » : permet d’interroger l’annuaire pour obtenir des
informations sur le propriétaire d’un domaine
n L’outil « TraceRoute » : permet de visualiser les routeurs traversés
par les paquets IP lors d'un échange entre deux machines distantes
30
Sécurité de la messagerie
électronique

31
Sécurité: Vulnérabilités, Menaces,

Attaques
n Vulnérabilités :
¨ pas d’authentification ni d’intégrité ni de confidentialité,
¨ relayage SMTP,
¨ transport de contenus exécutables,
¨ abus de privilèges,
¨ failles des logiciels,
¨ ..
n Menaces :
¨ diffusion de SPAM
¨ propagation de virus
¨ dénis de service
¨ abus de privilèges
¨ atteinte à la vie privée des utilisateurs, – etc.

32
Absence de services de sécurité

n Le protocole SMTP ne fournit pas les services de sécurité de base :
authentification, intégrité et confidentialité
¨ les messages ainsi que leurs entête sont transportés sans aucune
vérification
¨ les contrôles sur l’enveloppe sont limités aux règles anti-relayage
¨ l’enveloppe peut contenir n’importe quoi pourvu qu’elle passe l’anti-
relais
¨ un relais SMTP peut modifier un message sans violer le protocole
¨ les échanges se font en clair

33
Relayage SMTP
n Vulnérabilité du protocole SMTP :

¨ Le protocole SMTP ne restreint pas les connexions acceptées. Historiquement
un relais SMTP acceptait de relayer n’importe quel message
¨ Utilisé pour diffuser du SPAM en masquant le plus possible l’identité de
l’expéditeur : connexion à un relais SMTP aléatoire entre l’expéditeur et le
destinataire
n Règle :
¨ Un serveur SMTP accepte de relayer un message seulement si l’expéditeur ou le
destinataire est local
n Mise en œuvre :
¨ Utilise les champs de l’enveloppe (EHLO, MAIL FROM : et RCPT TO :)
¨ Vérifications dans le DNS
¨ Comparaison avec la liste des sites locaux

34
Vulnérabilités : contenu exécutable, DoS
n Contenu exécutable
¨ MIME permet de transporter des fichiers exécutables (code machine,
scripts, plug-ins,...)
¨ Les MUA ouvrent automatiquement les documents attachés
n Pour un document exécutable, l’action par défaut est (était) de l’exécuter
n Convaincre les utilisateurs d’ouvrir (exécuter) les documents attachés
n Dénis de Services (DoS)

¨ Un serveur de messagerie se met en général hors-ligne lorsque sa charge
devient trop importante

35
Vulnérabilités : confidentialité, abus de

privilège
n Problèmes lié à l’absence de confidentialité mais en plus :
¨ commandes SMTP expn et vrfy donnent accès à la liste des comptes
connus,
¨ informations contenues dans les entêtes permettent de tracer
géographiquement (et temporellement ) l’émetteur d’un message
¨ systèmes de répondeurs automatiques qui donnent souvent trop
d’information
n Abus de privilège
¨ MTA et MDA exécutés avec les droits du super-utilisateur augmentent
l’impact des vulnérabilités
¨ Compte de messagerie = compte Unix avec shell et exécution de code
sur le serveur POP/IMAP
¨ L’outil local de messagerie a l’accès complet à la machine de
l’utilisateur, alors qu’il traite des contenus potentiellement dangereux.
36
Outils de sécurité: la redondance

n La redondance pour éviter le Déni de service (DoS)
n Serveur DNS secondaire hors site

n Serveur MX secondaire
¨ sur site : le plus simple à mettre en œuvre. Duplication de la
configuration du serveur principal si fonction relais seul
¨ hors site : sur un serveur d’un domaine existant. Accepter le courrier
pour son site, relais vers le serveur principal
n Redondance matérielle : système RAID pour BAL / Queue :

¨ pas d’arrêt en cas de panne
¨ pas de perte de données en cas de panne
¨ mais ne peut rien contre les erreurs humaines

37
Recommandation pour la sécurité
n Gestion des utilisateurs

¨ annuaire : correspondance compte messagerie / personnes physiques,
¨ fermer les comptes non utilisés,
¨ mettre en place de quotas sur les boîtes aux lettres,
¨ avoir des moyens pour informer les utilisateurs,
n Architecture réseau
¨ R1 : laisse passer le port 25 de l’internet vers le relais SMTP

bloque SMTP vers le réseau interne
bloque SMTP du réseau interne vers l’internet
¨ R2 : Routeur ou commutateur/routeur interne
n Peut faire du filtrage entre réseaux internes

38
Recommandation pour la sécurité

n Analyse de logs MTA
¨ erreurs de connexion SMTP
¨ erreurs de résolution DNS
¨ connexions trop fréquentes
¨ taille de la file d’attente
¨ tentatives de connexions sur des machines autre que le serveur
n Parmi les outils d’analyse de log

¨ Logcheck : scrute par défaut les fichiers de logs toutes les heures et
envoie par courrier électronique à root
¨ isoqlog :analyseur des logs MTA . Il est conçu pour analyser les logs
de qmail, postfix, sendmail et exim logfile

39
Filtres anti-virus / anti-spam

Où installer les filtres ?
n Niveau MUA indispensable mais :

¨ garantir la mise à jour
¨ être exhaustif (un seul poste non protégé peut bloquer/contaminer tout un réseau)
n Au niveau MTA :
¨ protection globale
¨ plus facile de garantir la mise à jour et l’utilisation systématique
¨ problèmes de charge serveurs
¨ problèmes de politique de sécurité globale

40
Anti-virus
Approches :
n par signature : ce que font les anti-virus traditionnels

n Limites :
¨ « fenêtre de vulnérabilité » entre apparition d’un nouveau virus et la mise à jour
des anti-virus.
¨ fausses alertes de plus en plus nombreuses (statistiquement inévitable).
¨ Coût des solutions les plus performantes
n plus simple : bloquer l’exécution des contenus potentiellement

dangereux.
¨ Capable de bloquer de nouveaux vers/virus.
¨ Pas de faux positifs (par définition).
n Limites :
¨ liste exhaustive des types MIME exécutables ?
¨ comment échanger des exécutables légitimes ?

41
Spam (Pourriel)- Courriers indésirables
n Les “Spam” désignent les emails indésirables, envoyés

massivement à de nombreux destinataires (sans qu’il aient accepté)
n Souvent, la collecte des adresses électroniques figurant dans la

base de données des spammeurs s’effectue illégalement
n Le spam est un courrier non sollicité que les destinataires ne

s’attendent pas à recevoir
n Représente environ 70% à 90% du trafic mail sur Internet
n Deux questions se posent, comment le caractériser et surtout

comment l'éviter.

42
Comment reconnaître un spam ?

n Un contenu commercial (ou financier)
n Une importante liste de destinataires
n En-tête du message truquée
n Un grand nombre d'exemplaires du même message envoyé dans un
court laps de temps
n Utilisation de l'adresse d'un destinataire sans son consentement
explicite
n Usage des sites de relais comme “open mail relay” pour l'émission
n Champs To et From de l'en-tête invalides

43
Filtrage des Spam

n Politiques de filtrage des Spam
¨ Définir : 1) ce qui est du trafic légitime, 2) ce qui sera bloqué (mis en
quarantaine).
n Masquer les adresses email
¨ Jean@NOSPAM.exemple.fr pour Jean@exemple.fr.
¨ Jean chez exemple point fr pour Jean@exemple.fr
¨ Jean[at]exemple.fr pour Jean@exemple.fr
¨ Communiquer l’adresse email par une image
¨ Coder l’adresse email
n Les techniques de filtrage
¨ Filtrage d’enveloppe : s’applique uniquement sur l’enveloppe du message
¨ Filtrage de contenu : s’applique sur le contenu du message
n Filtrage Bayésien : basé sur l’apprentissage et la classification automatique
n Filtrage par mots-clés ou adresse : type « money », « viagra », « sexe », etc
n Filtrage par expression régulière
n Filtrage par heuristique
n Filtrage par analyse de virus des pièces jointes
n Filtrage par analyse du contenu des images

44
Ex.: Outil général de filtrage pour

sendmail
n Mimedefang : Programme de filtrage de mails, utilisant l’API milter
de Sendmail
¨ destruction, modification ou mise en quarantaine de fichiers attachés
«dangereux»
¨ interface avec Anti-virus existants, avec SpamAssassin
¨ ajout de notices aux messages
¨ actions configurables en fonction du domaine, de l’utilisateur, du relais
utilisé, etc.
¨ Permet d’opérer comme anti-virus et anti-spam en même temps

45
Interaction sendmail/mimedefang

46
Filtrage sur le contenu : principe

n Classer les messages en fonction du texte complet du message
¨ Par mots clés / patterns : SpamAssassin
¨ Par analyse statistique : Classification Bayesienne (bogofilter, bmf, etc. )
¨ Base de donnée de spams : Vipul’s Razor
n Exemple : SpamAssassin
¨ Ensemble de tests sur le contenu
¨ Chaque test attribue des points
¨ Somme des points → score
¨ Marque les messages qui dépassent un seuil.
¨ Ecrit en Perl.
¨ Plusieurs modes de fonctionnement :
n filtre simple (utilisation avec procmail)
n filtre client d’un démon (meilleurs performances) (spamc)
n au travers de l’API milter (sendmail) → filtrage global
47
Sécurité du transport
n SSL - protocole au dessus de TCP (Entre TCP et l’application)
n IPsec - protocole au niveau transport
n VPN - Virtual Private Networks

48
IPSec
n IPSec est un protocole lié à IPv4 et IPv6. Il assure l’authentification
et le chiffrement des données via Internet
n IPSec encapsule des paquets IP complets et les protège jusqu'à
leur destination, où les paquets IP sont "décapsulés" et restitués.
n Il regroupe les protocoles suivants :
¨ Pour le chiffrement et l’authentification : ESP et AH
¨ Pour l’échange de clés IKE (Internet Key Exchange)
n IPSEC a deux modes d’opérations:

¨ Tunnel : le paquet entier est encapsulé dans un nouveau paquet
¨ Transport : ne protège que les données des paquets transmis
n Pour chaque connexion TCP protégée, la SA (Security Association)

mémorise :
¨ Les algorithmes utilisés
¨ Les clés et la durée de validité des clés
¨ Les numéros de séquence et l’identité des partenaires
49
IPSec : Authentification Header (AH)

n L’ajout de l’entête d’authentification permet de vérifier l’authenticité
et l’intégrité des paquets
n Il n’y a pas de chiffrement des données
n L’authentification est faite sur :

¨ Les données qui suivent l’en-tête AH
¨ Sur l’en-tête AH
¨ Sur les champs important de l’en-tête IP ( source, destination, protocole,
longueur, version)

50
IPSec : Encapsulated Security Payload

n L’enveloppe ESP permet de chiffrer et d’authentifier les paquets
n L’enveloppe ESP contient :
¨ L’en-tête (Header)
¨ Les données chiffrées
¨ Une queue (Trailer)
¨ Des données supplémentaires d’authentification
n Le chiffrement ne porte que sur les données encapsulées et le

trailer
n L’authentification optionnelle porte sur l’en-tête ESP et tout ce qui
suit, mais pas sur l’en-tête IP

51
IPSec : mode transport et tunnel

n En mode transport, on chiffre ou on authentifier la partie data d’un paquet IP
n En mode tunnel, on protège le paquet complet et on l’encapsule dans un
nouveau paquet
n En mode transport la sécurité est faite de bout en bout
n En mode tunnel la sécurité est faite par des routeurs intermédiaires

52
IPSec
n 2 types de VPN avec IPSec
n L2TP sur IPSec en mode transport (mode Microsoft) :
¨ transporte n'importe quel protocole (IP, IPX, NetBeui) ;
¨ Beaucoup d'en-têtes et d'encapsulations.
n IPSec en mode tunnel.

¨ ne peut transporter que IP ;
¨ plus efficace.

53
IPSec: Internet Key Exchange (IKE)
n IKE sert à négocier les paramètres pour les protocoles AH et ESP

(algos, clés, durée de validité,...)
n Authentifie les partenaires par secrets partagés, clé publiques ou
certificats.
n Deux phases :
¨ Phase1 : négocie une SA (Security Association : enregistrement
contenant les paramètres pour AH et ESP) pour protéger les
négociations.
¨ phase 2 : définit les SA nécessaires pour des flux ESP ou AH.

54
IPSec
n Services fournis par IPSec
¨ Confidentialité et protection contre l’analyse du

réseau
¨ Authentification des données et de leur origine
¨ Intégrité des données (en mode non connecté)
¨ Protection contre le rejeu
¨ Contrôle d’accès
n Exemple d’utilisation : les réseaux virtuels privés

55
IPSec
n Avantages :
¨ Modèles de sécurité flexible (toolkit modulaire)
¨ Différents niveaux de sécurité : chiffrement fort ou faible et/ou
authentification
¨ Totalement transparent pour les applications
n Inconvénients :
¨ Système très complexe (nombreux protocoles)
¨ Interaction IKE & PKI possible mais pas normalisée
¨ IPSec est limité à l’instauration de VPN entre réseaux
(passerelles/serveurs)
¨ Pas d’authentification de personnes
¨ pas de transaction sécurisée & non concurrence à SSL

56
SSL (Secure Socket Layer)

n Le protocole SSL (Secure Socket Layer) a été proposé au départ
Netscape et permet des connexions sécurisées sur des serveurs Web.
n Il intervient au dessus de la couche transport.
n Il permet :
¨ une authentification réciproque entre client et serveur à l’aide de clés symétriques ;
¨ des transaction encryptées entre client et serveur
n SSL intègre deux sous-couches :

¨ SSL record protocol qui définit le format utilisé pour transmettre les
données ;
¨ SSL handshake protocol qui définit une série de message pour établir la
connexion entre le client et le serveur.
57
Echange SSL

58
Protocole SSL avec certificat

n Pour palier les lacunes, le cryptage est souvent associé à un certificat.
n Le navigateur qui accède à un serveur doit récupérer la clé publique

de ce serveur ; celle-ci lui est transmise à l’intérieur d’un certificat
X509.
n Le certificat est un fichier constitué de la clef publique et sa signature,

le nom de l’autorité et quelques extensions.
n Ce certificat contient donc la clé publique du serveur, validée

("signée") par un organisme reconnu, appelé autorité de certification
(CA).
n Pour sécuriser davantage, un certificat peut aussi être installé sur
chaque client.

59
Protocole SSL avec certificat

60
SSL : Capture

61
SSL: Applications utilisant SSL

n SSL peut être utilisé pour sécuriser n'importe quel protocole utilisant
TCP/IP
n Certains protocoles ont été spécialement modifiés pour supporter SSL:
¨ HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans tous les navigateurs
¨ FTPS est une extension de FTP utilisant SSL.
n Une fois le tunnel SSL créé, Il est donc possible de faire passer
n'importe quel protocole dedans (SMTP, POP3, HTTP, NNTP...).
n Ceci peut être réalisé avec des outils comme STunnel
(http://www.stunnel.org) ou SSH.
n La version 3.0 (actuellement la plus répandue) est standardisée par
l’IETF (Internet Engineering Task Force).
n TLS (Transport Layer Security) proposé par l’IETF est la version 3.1 de
SSL.
n TLS est défini dans le RFC 22456 et n’impose pas de méthodes de
chiffrement spécifiques.
62
Connexion sécurisée SSH

n L'environnement SSH (Secure Shell) s'adresse aux utilisateurs qui
souhaitent accéder de manière sécurisée à des systèmes Unix
distants.
n Ses composants remplacent des programmes peu sécurisés comme :
¨ ftp (file transfer protocol) ou rcp (remote copy) pour les échanges de fichiers ;
¨ telnet ou rlogin (remote login) pour établir une session de travail ;
¨ sh (remote shell) ou rexec (remote exec) pour exécuter une commande Unix sur un
système distant
n La sécurité est garantie par une authentification à l'établissement de
chaque connexion et par l'encryptage des données
n SSH utilise une connexion TCP sur le port 22.
n On peut utiliser une connexion SSH pour transporter un autre
protocole, par exemple SMTP
n SCP (Secure CoPy), utilisé généralement en mode commande,
permet de télécharger des fichiers de manière sécurisée en passant
par SSH. © 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite
63
VPN : Virtual Private Networks

n La sécurité passe également par l’utilisation de réseaux privés virtuels (VPN)
n Un VPN est constitué d’un ensemble de LAN privés reliés à travers Internet
par un « tunnel » sécurisé dans lequel les données sont cryptées.
n Les postes distants faisant partie du même VPN communiquent de manière
sécurisée comme s’ils étaient dans le même espace privé.
n La technique de « tunneling » utilisée permet :
¨ d’identifier chaque extrémité ;
¨ de transférer les données après chiffrement.

64

65

n VPN vu par Cisco
¨ PC1 (10.2.2.2) envoie un paquet vers le serveur web S1 (10.1.1.1) comme il le ferait si
ce dernier était sur le même LAN.
¨ Le routeur qui joue le rôle de passerelle VPN encrypte le paquet, ajoute les en-têtes
VPN et un nouvel en-tête IP (avec les @ publiques) et relaie le paquet.
¨ Le « man in the middle » peut intercepter le paquet mais ne peut lire ni son contenu ni
les adresses privées.
¨ Le routeur/firewall ASA-1 reçoit le paquet, confirme l’identité de l’émetteur, confirme
que le paquet n’a pas été modifié, et décrypte le paquet original.
¨ Le serveur S1 reçoit le paquet décrypté.

66
n Eléments de base :
¨ Protocole de VPN sur les routeurs ou les PCs (portables) ;
¨ Encapsulation des paquets pour leur voyage à travers
Internet
¨ Chiffrement des données pour garantir la confidentialité.
n Différents niveaux de protocoles

¨ Protocole de niveau 2
n Microsoft : PPTP - Point to Point Tunneling Protocol
n IETF : L2TP - Layer 2 Tunneling Protocol :
Résultat de la fusion du protocole L2F (Layer 2 forwarding) de Cisco et
de PPTP de Microsoft
¨ Protocole de niveau 3 (GRE, IPSEC, MPLS)
¨ Protocole de niveau 4 (SSL, TLS)

67
VPN : Protocole PPTP

n Pour accéder à distance à un réseau non sécurisé, on se connecte
à un serveur d’accès distant ou Remote Access Server (RAS)
n La méthode classique consiste à se connecter au RAS directement
par modem (protocole PPP)
n Dans le cas d’un VPN, le serveur RAS devient une passerelle VPN
à laquelle on accède par le protocole PPTP
n La passerelle VPN doit également être connecté à Internet, par
exemple par une connexion PPP modem vers un ISP
Réseau non sécurisé
Passerelle VPN Passerelle VPN

logicielle
Réseau type VPN

68
VPN : Encapsulation PPTP
n Encapsulation :
¨ Le protocole PPTP chiffre et encapsule (fait passer par un « tunnel crypté») le
datagramme IP dans le cadre d’une connexion point à point.
¨ Le serveur VPN à l’entrée du tunnel exécute l'ensemble des contrôles de la sécurité et
des validations, et active le cryptage des données.
¨ Une trame PPTP est donc constituée :
n Du datagramme IP contenant les données utiles et les adresses IP de bout en bout ;
n De l’en-tête PPP nécessaire pour toute connexion point à point ;
n D’un en-tête GRE (Generic Routing Encapsulation) qui gère l’encapsulation et permet d’isoler
les flux IP privé et public ;
n D’un nouvel en-tête IP contenant les adresses IP source et destination des passerelles VPN
(client et serveur VPN).
n Négociation :
¨ Avant d'établir le tunnel GRE, une connexion TCP (port 1723) est utilisée :
n négociation des paramètres ;
n authentification de l'utilisateur ;
¨ La négociation se fait en clair.
¨ La version courante utilise des clés de 128 bits aléatoires.
69
VPN : Protocole L2TP

n L2TP (Layer 2 Tunneling Protocol)
¨ Protocole standardisé par l'IETF (Internet Engineering Task Force).
¨ Extension de PPP qui permet de terminer une connexion non pas à
l'autre modem mais à une adresse IP quelconque.
¨ Les paquets PPP sont encapsulés dans des paquets UDP pour le
transport par Internet.
¨ Remplace la solution propriétaire PPTP.
¨ N'a pas de chiffrement (nécessite IPSec).

70
VPN : Encapsulation L2TP

n L2TP offert par l’ISP :
¨ Le tunnel L2TP rallonge la connexion PPP du client jusqu'au
serveur d'accès à distance.
q L2TP réalisé par le client :

Ø Le client doit gérer 2 connexions PPP : une vers l'ISP et une vers le
serveur d'accès.

71
Travail collaboratif

72
Les services des plateformes collaboratifs
n Le but est d’avoir un point de contact unique pour :

§ Etre informé de l’état de présence de mon correspondant
§ Partager des documents et travailler instantanément sur ces derniers
§ Piloter dynamiquement mon état de présence
§ Messagerie instantanée (chat)
§ Accès à l’annuaire d’entreprise
§ Import des contacts personnels
§ Click-to-Call (les appels)
§ Journal d’appels
§ Softphone (travail à distance ou à domicile)
§ Conférence
§ Messagerie vocale unifiée
§ Appel Vidéo (Open VPN SSL )

73
Outils de Meeting virtuels

n La vidéoconférence était difficile à mettre en place (coût, et QoS)
n Actuellement, les entreprises (petites et moyennes) utilisent la
visioconférence quotidiennement, car :
¨ le coût des applications a baissé,
¨ la QoS (bande passante, débit et le délai (jigue)) du réseau a
augmenté
n Parmi les outils utilisés sont (permettent d’organiser des réunions
virtuelles en partageant votre écran avec d’autres participants) :
q ezTalks Cloud Meeting q FreeConferenceCall.com
q Join.me q WebEx
q Go to Meeting/Go to Webinar q GroupMe
q Zoom q …
q Skype
q Google Hangouts
74

n Combien de participants seront impliqués?
¨ Certains outils fonctionnent bien avec un petit groupe, mais ne peuvent pas accueillir 10
personnes ou plus.
n Quel type de partage est nécessaire?
¨ les participants devront-ils regarder une vidéo tous ensemble, lors d'une réunion en temps réel?
¨ Les participants ont-ils besoin de se voir? Travailler sur le même document (partager)
n Qui peut partager ?
¨ Dans certains cas, vous pouvez limiter le partage (écran/application/etc) à quelques-uns
seulement.
n Cette réunion s'inscrit-elle dans une collaboration en cours?
¨ Si les participants se réunissent fréquemment pour collaborer, envisagez des outils permettant
de partager des connaissances et de reprendre le fil de la dernière conversation (une
participation asynchrone).
n Est-ce que tout le monde fait partie de la même organisation?
¨ Si tous les participants sont internes à une organisation, vous pouvez utiliser un outil de
téléconférence Web qui s’intègre au système d’annuaire (les réunions ad hoc, en plus des
réunions pré-programmées).
¨ Les outils de communication unifiée tels que Microsoft Lync et Cisco Jabber, ainsi que d'autres
solutions moins connues, fournissent cette fonctionnalité.

75

n D'où se connecteront les participants?
¨ Par exemple, seront-ils au bureau? Leur bureau à la maison? Site client? Aéroport? Train?
Voiture?
¨ Il faut déterminer la bande passante à laquelle ils s'attendent d'avoir accès, les restrictions
de sécurité pouvant nécessiter des solutions de contournement à l'avance, la possibilité de
télécharger les applications nécessaires et les autorisations spéciales éventuellement
nécessaires.
n Quels appareils les participants utiliseront-ils pour se connecter?
¨ Certains utiliseront-ils un ordinateur de bureau? Portable? Tablette? Téléphone? Téléphone
portable? Combiné? Casque? Haut-parleur?
¨ Certains outils de téléconférence Web et d'audioconférence fonctionnent mieux sur certains
appareils que sur d'autres.
n Quelles sont les exigences technologiques?
¨ Indiquez d'emblée dans votre demande de réunion initiale ou votre message électronique
quelle technologie sera utilisée et quel type d'installation ou de test peut être nécessaire
avant la réunion. Par exemple, tout le monde aura besoin d'un casque sans fil connecté à
son ordinateur (ou d'un casque standard connecté à une ligne fixe), d'un accès Internet
rapide, d'une webcam et d'un clavier.

76
Les services des plateformes

collaboratifs
n Plateforme :
¨ MICROSOFT OFFICE 365
¨ GOOGLE G SUITE
n Outils :
¨ Scrumblr

77
Scrumblr: Un tableau blanc collaboratif

n Scrumblr : http://scrumblr.ca
¨ un site qui permet de créer un tableau blanc collaboratif
¨ des notes sous la forme de Post-it de toutes les couleurs
¨ un environnement graphique sous forme d’une application Web

78
Serveurs applicatifs

79
n Définition : le serveur d’application est un logiciel d’infrastructure,
installé sur ordinateur placée sur un réseau qui offre un contexte un
d’excution pour des composants applicatifs
n Le serveur d’application est considéré comme une application trois-

tiers :
¨ Un serveur d’interface utilisateur graphique (nommé le front-end) : il
s’exécute dans un navigateur Web
¨ Une application (ou groupe d’applications) dédie à la logique métier
¨ Un back-end (ce qui n’est pas visible à l’utilisateur) comme une base
de données et un serveur transactionnel

80
n Il existe une grande variété de logiciels serveurs et de logiciels
clients en fonction des besoins à servir :
¨ un serveur web publie des pages web demandées par des navigateurs web
¨ un serveur de messagerie électronique envoie des mails à des clients de
messagerie
¨ un serveur de fichiers permet de stocker et consulter des fichiers sur le réseau
¨ un serveur de données à communiquer des données stockées dans une base
de données
¨ un contrôleur de domaine permet de gérer les utilisateurs et les droits d'accès
sur un réseau, etc.

Reseaux Messagerie

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Reseaux Messagerie

Transféré par

Droits d'auteur :

Formats disponibles

Réseaux : Architecture,

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 1/3

n Premier envoi d'un message entre deux machines du réseau

n En 1973, les mails représentent 3/4 du trafic ARPANET

n Nombreux problèmes d'interropérabilité (RFC 680, 724, 733, etc.)

n Eric Allman développe delivermail (utilisation de FTP over NCP

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 2/3

n Avant la naissance du protocole SMTP (Simple Mail Transfer

n Eric Allman développe sendmail

n La RFC 821 donne les premières spécifications du protocole SMTP

n La RFC 822 spécifie le format des messages

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Messagerie Internet - Histoire 3/3

n Les besoins émergents en terme de sécurité :

n Les objectifs d’un serveur Mail sont :

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Ports du service de messagerie

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Composants d’un serveur de messagerie

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Un MDA est directement exécuté par le MTA afin d'ajouter le message à la

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Architecture d’un système de messagerie

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Quelques exemples de MTA

n Exim (EXperimental Internet Mailer)

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Accès aux boîtes aux lettres : POP3

n Utilise le port TCP/110

n Encore majoritairement utilisé par les ISP :

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

IMAP- Internet Message Access Protocol

n Quelques exemples de serveurs IMAP :

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

MIME (Multi-purpose Internet Mail Extensions)

n MIME - types de messages

Le format des adresses

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

DNS (Domain Name System) 1/3

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

DNS (Domain Name System) 2/3

n Deux types de noms avec le système DNS :

DNS: Les types d’enregistrement 3/3

n Un enregistrement DNS peut être sous différentes formes :

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Format des adresses

n Le format et l'interprétation des en-têtes sont spécifiés dans la RFC

n Les en-têtes sont de la forme « Nom: valeur »

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

Le routage des mails et le DNS

n Question : à quel serveur doit-on s'adresser pour envoyer un mail

bash$ host -t mx rstack.org

Le routage des mails et le DNS

n Le serveur prend ensuite la liste des serveurs destinataires par

¨ En cas d'échec permanent, le client retourne un message d'erreur à

n L'utilisation des MX est spécifiée dans la RFC 974

© 2011 - Développé par M. Abderrezak RACHEDI – Droits réservés – reproduction interdite

n Définit la manière de communiquer entre deux MTA en utilisant une

n Utilise un alphabet ASCII 7 bits (en TCP, transmission de 8 bits avec le

n Le nombre de commandes utilisées est relativement faible (< à 12)