Comment vérifier si mon serveur SMTP est sécurisé

Avec la multiplication des attaques par ransomware dans les années 2020
le courrier électronique, notre principal moyen de communication sur Internet, est-il sûr ?

Les serveurs SMTP constituent une infrastructure particulièrement sensible.
Ils peuvent diffuser des messages électroniques en notre nom,
que nos interlocuteurs acceptent comme provenant d'expéditeurs de confiance
car ils sont correctement authentifiés par le serveur d'envoi.

Les serveurs SMTP constituent une infrastructure particulièrement sensible.
Ils acheminent des messages électroniques en notre nom,
que nos interlocuteurs considèrent comme provenant d'expéditeurs de confiance
car ils sont correctement authentifiés par le serveur SMTP de l'expéditeur.

Que se passe-t-il si quelqu'un d'autre utilise votre serveur SMTP ?
Comment vérifier si mon serveur SMTP est sécurisé ?

L'utilisation d'infrastructures sensibles sur Internet
nécessite un niveau élevé de protection afin d'éviter tout abus.

Alerte de sécurité critique

Si vous essayez d'envoyer des messages via smtp.gmail.com
, vous serez bloqué et recevrez cette « alerte de sécurité critique » :

Application moins sécurisée bloquée  
Google a bloqué l'application que vous essayiez d'utiliser 
car elle ne respecte pas nos normes de sécurité. [...]

La seule alternative consiste à utiliser OAuth2, un protocole qui ne transmet pas les mots de passe
mais qui utilise plutôt des jetons d'autorisation pour vérifier l'identité.

Les serveurs de messagerie les plus utilisés sur Internet (données d'août 2021) sont :
Exim (58 %), Postfix (35 %), Sendmail (4 %)

Pour continuer à utiliser votre propre serveur de messagerie
et réduire ainsi le risque de piratage, voici les conditions minimales à vérifier :

  1. n'accepter que les authentifications sécurisées
    le nom d'utilisateur et le mot de passe doivent être transmis via des connexions sécurisées,
    généralement le port 587 avec TLS , le port 25 avec TLS ou le port 465 avec SSL
    les communications de données sensibles en texte clair sont désactivées

  2. Il faut vérifier l'adresse « Mail-From » (l'expéditeur),
    Seules les personnes que vous avez autorisées pourront passer

  3. Configurez Fail2ban pour bloquer toutes les attaques externes
    afin d'empêcher toute tentative de contournement de vos protections.
    Fail2ban doit notamment bloquer toutes les tentatives répétées :

  • en se connectant avec un nom d'utilisateur ou un mot de passe erroné
  • pour envoyer des e-mails en se faisant passer pour un expéditeur non autorisé
  • pour interrompre la connexion SMTP pendant le processus d'authentification
    (des connexions interrompues à plusieurs reprises rendent le service SMTP indisponible pour les utilisateurs légitimes)

Le blocage intervient généralement après trois à dix tentatives
et entraîne l'interdiction de l'adresse IP d'origine pendant trois à vingt-quatre heures.

Il est assez facile de vérifier ces points et de déterminer si
votre infrastructure SMTP nécessite une mise à niveau de sécurité.

Fail2ban protège votre serveur contre les attaques par force brute et les attaques DDoS.
C'est un peu comme si, lorsqu'un inconnu frappait à la porte,
après un certain nombre de coups, la porte disparaissait.

Logo Fail2ban

Un témoignage tiré de Hacker News:

Je gère mon propre serveur de messagerie depuis plusieurs années et je pense que beaucoup d'autres ici 
utilisent des solutions comme Mail-in-a-box, mailcow, Mailu, etc.

Jusqu'à l'arrivée du coronavirus, je n'avais jamais eu de gros problèmes avec mon serveur de messagerie, mais ces dernières semaines, 
j'ai reçu un trafic entrant très important – c'était trop pour mon serveur et je devais le redémarrer manuellement à chaque fois...

[...] Edit : j'ai modifié mes paramètres fail2ban et j'ai découvert que j'étais principalement la cible 
d'attaques par force brute contre lesquelles je devrais pouvoir me protéger avec des outils comme fail2ban

Fail2ban est un outil d'analyse des journaux qui surveille les journaux système
à la recherche de signes indiquant une attaque automatisée.

Lorsqu'une tentative d'attaque est détectée, à l'aide des paramètres définis,
Fail2ban ajoute une nouvelle règle au pare-feu (iptables ou firewalld)
afin de bloquer l'adresse IP de l'attaquant, soit pour une durée déterminée, soit de manière permanente.
Fail2ban peut également vous avertir par e-mail qu'une attaque est en cours.

Fail2ban est principalement destiné à lutter contre les attaques SSH, mais il peut être configuré davantage
pour fonctionner avec n'importe quel service utilisant des fichiers journaux et susceptible d'être compromis.

Il est très répandu. En effectuant une recherche sur Google, on trouve facilement
des exemples de configuration permettant de sécuriser les serveurs de messagerie.