WinGate et la sécurité de la messagerie

WinGate et la sécurité de la messagerie
Document technique WATSOFT
WinGate et la sécurité de la messagerie
septembre 2003
Ce document porte sur deux fonctionnalités importantes :
1. L’authentification (pour les protocoles POP3 et SMTP).
2. Les connexions sécurisées à l’aide du protocole TLS (Transport Layer Security)
L’authentification
L’authentification correspond à la manière dont le client (autrement dit le logiciel qui envoie ou collecte
le courrier électronique) valide son identité auprès du serveur. Plusieurs systèmes sont possibles. En
général, elles se divisent en deux groupes (systèmes sécurisés/non sécurisés) et leur classement varie
en fonction de la possibilité d’intercepter ou non les mots de passe transmis sur le réseau.
L’authentification est nécessaire avec POP3 (collecte d’e-mails) car le système a besoin de connaître
la boîte aux lettres à laquelle l’utilisateur souhaite accéder. En revanche, l’intérêt d’une authentification
est moins perceptible avec SMTP (envoi d’e-mails). Elle permet pourtant aux utilisateurs d’être
considérés comme des personnes de confiance et d’obtenir des avantages (exemple : envoi d’e-mails
par un système de relais).
Pour devenir un utilisateur de confiance, il faut, par défaut et lors de l’envoi d’un e-mail, remplir l’une
des conditions suivantes :
1. Se connecter à WinGate avec une interface de confiance.
2. Configurer un système d’hypothèses associant des adresses IP à un compte utilisateur WinGate.
3. Authentifier l’utilisateur auprès du serveur SMTP de WinGate.
Si vous souhaitez que des utilisateurs externes au réseau puissent envoyer des e-mails via le serveur
de messagerie WinGate sans que la configuration d’un système d’adresses IP ne soit requise, alors
l’authentification est la solution à mettre en place. WinGate prend en charges les systèmes
d’authentification suivants :
Non sécurisés: SASL: PLAIN, USER/PASS (POP3 uniquement)
Sécurisés: SASL: NTLM, SASL: CRAM-MD5, APOP (POP3 uniquement)
La méthode d’authentification SASL (Simple Authentication and Security Layer) suit un processus
particulier. Les méthodes PLAIN, NTLM et CRAM-MD5 sont acceptées tant pour POP3 que pour
IMAP. Enfin, les commandes APOP et la méthode habituelle UTILISATEUR/MOT DE PASSE sont
acceptées pour le protocole POP3.
WinGate est également capable de sécuriser une connexion avant d’exécuter certains systèmes
d’authentification.
Base de données utilisateurs
Les méthodes d’authentification précédemment énoncées ne sont pas acceptées avec la base de
données utilisateurs WinGate, ni avec la base NT. Si vous utilisez la base NT, un système
WATSOFT
Qbik Software
-1-
WinGate et la sécurité de la messagerie
Document technique WATSOFT
d’authentification en texte clair ou les méthodes SASL et NTLM sont nécessaires (elles sont
employées par Outlook). La méthode NTLM n’est pas possible avec la base utilisateurs WinGate.
Priorité du mot de passe POP3
Dans certains cas, les paramètres du compte utilisateur prédominent. Par exemple, si vous configurez
un mot de passe POP3 pour un utilisateur et que le programme de messagerie repose sur la méthode
d’authentification NOM D’UTILISATEUR/MOT DE PASSE pour la collecte du courrier, alors c’est le
mot de passe POP3 qui doit être utilisé. Les mots de passe WinGate et NT ne sont pas acceptés.
Certaines méthodes utilisent le mot de passe POP3 de façon secondaire. Exemple : les méthodes
APOP et CRAM-MD5 si vous utilisez la base de données utilisateurs NT.
Paramètres de validité
Chaque méthode d’authentification regroupe trois paramètres : Refuser, Autoriser et Sécuriser (TLS).
Le premier (Refuser) bloque les tentatives d’authentification, le second (Autoriser) déclenche un
processus d’authentification, et le troisième (Sécuriser) autorise les processus d’authentification tant
qu’ils s’effectuent via une connexion TLS/SSL cryptée.
Connexions sécurisées (TLS/SSL)
Parce qu’elles sont cryptées, les connexions sécurisées permettent d’utiliser des méthodes
d’authentification non sécurisées sans risque.
Le contenu du courrier électronique est également envoyé par la connexion cryptée. Ainsi, les
personnes qui espionnent le trafic sur votre réseau ou sur Internet ne peuvent pas visualiser le
contenu de vos messages.
Certificats
Pour pouvoir utiliser TLS, un certificat (X.509 standard, format PEM) est nécessaire. Les certificats
servent à valider l’authenticité d’un serveur et sont depuis longtemps associés aux serveurs Web
sécurisés.
WinGate crée ses certificats ou les obtient auprès d’autorités compétentes. Inconvénient lorsqu’il
génère ses propres certificats : certains clients de messagerie s’en méfient. Néanmoins, une option
permet aujourd’hui de forcer les autres clients à les accepter.
L’obligation de vous munir d’un nouveau certificat semble donc peu probable, à moins que la
configuration manuelle visant à faire accepter votre certificat par les autres clients de messagerie ne
soit trop complexe. D’un autre côté, l’acquisition d’un certificat auprès d’un organisme spécialisé reste
une opération coûteuse.
Remarque : vous devez nommer chaque certificat crée. Ce nom sert à identifier le serveur. De
nombreux programmes de messagerie protesteront si le nom du certificat est différent de celui du
serveur auquel ils sont connectés. La solution consiste à utiliser des caractères jokers :
*.qbik.com (nom utilisé pas le serveur de messagerie Qbik)
Ainsi, lorsqu’un client de messagerie se connecte à un nom se terminant par « qbik.com » pour
récupérer le courrier, le nom est accepté.
WinGate prend seulement en charge les certificats au format PEM. Vous pouvez modifier le format de
vos certificats à l’aide des nombreux outils de conversion disponibles sur le marché.
WATSOFT
Qbik Software
-2-
WinGate et la sécurité de la messagerie
Document technique WATSOFT
Identité du serveur
Il s’agit du nom du serveur, qui est différent du nom DNS du poste sur lequel il fonctionne. Exemple :
« qbik.com » sur le serveur Active Directory (Windows 2000), « WorkPC1 » sur des systèmes
d’exploitation plus anciens. Ce critère est important puisque le nom du serveur devient le nom par
défaut du certificat (sauf changement de votre part). Ce nom figure ensuite dans les programmes de
gestion des certificats.
Clients de messagerie
De nombreux clients de messagerie disposent d’un support de connexion sécurisée et/ou
d’authentification.
Microsoft Outlook, Outlook Express.
Systèmes d’authentification :
POP3: UTILISATEUR/MOT DE PASSE, NTLM.
SMTP: NTLM
Tant que les connexions sont sécurisées, Outlook accepte le système TLS pour l’envoi de courrier
(SMPT) mais pas pour la collecte (POP3). Si vous précisez que Outlook doit utiliser une connexion
cryptée pour POP3, il fera une tentative de connexion à un serveur POP3 sécurisé (SPOP) sur le port
995. Le support TLS pour POP3 de WinGate n’effectue pas cette opération.
Outlook présente des faiblesses si vous utilisez la méthode NTLM pour l’authentification
(authentification par mot de passe sécurisé). À chaque fois, il vérifiera le nom d’utilisateur et le mot de
passe de l’utilisateur Windows connecté avant même d’essayer le nom d’utilisateur et le mot de passe
que vous entrez.
Qualcomm Eudora
Systèmes d’authentification :
POP3: UTILISATEUR/MOT DE PASSE, APOP, CRAM-MD5, Kerberos (non disponible)
SMTP: CRAM-MD5, Kerberos, PLAIN
Support TLS compris.
WATSOFT
Qbik Software
-3-