Email - Security

WinGate 6.1

E-mail - Sécurité (Security)

 

Cette fonctionnalité permet de configurer les paramètres de sécurité du service E-mail de WinGate.

Elle comporte deux applications :

  1. Support de l'authentification (protocoles POP3 et SMTP).
  2. Support des connexions sécurisées TLS (Transport Layer Security)

 

Authentification :

Procédé par lequel le client confirme son identité auprès du serveur. Ceci peut être effectué à l'aide de diverses méthodes fonctionnant de façons différentes. On distingue les authentifications sécurisées des authentifications non sécurisées en fonction de la façon dont les mots de passe sont transmis sur le réseau (s'ils peuvent être interceptés ou non).

Le protocole POP3 (réception d'e-mails) nécessite une authentification pour des raisons évidentes : le système en a besoin pour déterminer à quelle boîte l'utilisateur essaie d'accéder. Avec le protocole SMTP (envoi d'e-mails) cela n'est pas indispensable mais présente de nombreux avantages.

En effet, lorsqu'un utilisateur s'authentifie pour le SMTP, il est considéré comme un utilisateur connu et possède donc plus de privilèges (comme l'envoi de courrier par le biais d'un relais).

Par défaut, un utilisateur est considéré comme connu pour l'envoi de courrier s'il répond à l'une des conditions suivantes :

  1. Il s'est connecté à WinGate dans une interface "connue" (dans les paramètres avancés : Interfaces)
  2. La configuration de son adresse IP l'associe à un compte utilisateur WinGate
  3. Il s'est authentifié dans le service SMTP de WinGate

Par conséquent, si vous souhaitez que les utilisateurs externes à votre réseau puissent bénéficier du serveur de messagerie de WinGate, la seule méthode sécurisée est l'authentification (en effet, leur adresse IP risque de changer fréquemment).

 

WinGate supporte les méthodes d'authentification suivantes :

Non sécurisée :  SASL: PLAIN, USER/PASS (POP3 uniquement)

Sécurisée :  SASL: NTLM, SASL: CRAM-MD5, APOP (POP3 uniquement)

SASL (Simple Authentication and Security Layer) est un procédé d'authentification pouvant être utilisé avec diverses méthodes. Ainsi les méthodes PLAIN, NTLM et CRAM-MD5 sont supportées avec les protocoles SMTP et POP3. De plus, la méthode USER/PASS ainsi que les commandes APOP sont supportées pour le POP3.

WinGate vous permet également d'exiger qu'une connexion soit sécurisée (voir ci-dessous) avant d'autoriser certaines méthodes d'authentification, afin d'éviter que les mots de passe ne soient envoyés sur le réseau de façon non sécurisée.

 

Bases de données d'utilisateurs

En fonction de la base de données d'utilisateurs choisie (celle de WinGate ou du système d'exploitation), certaines méthodes risquent de ne pas être disponibles. En résumé, pour une base de données NT l'authentification doit être de type plaintext, ou SASL NTLM (utilisé dans Outlook). Si vous choisissez la base de données WinGate, la méthode NTLM n'est pas disponible.

 

Mots de passes POP3 prioritaires

Les paramètres du compte de l'utilisateur ont également une influence sur les mots de passe. Par exemple, si vous avez indiqué que le mot de passe POP3 d'un utilisateur est prioritaire, et que votre programme de messagerie utilise la méthode USER/PASS, ce mot de passe doit être utilisé impérativement. Le mot de passe WinGate ou NT ne fonctionnera pas.

Cependant, avec d'autres méthodes le mot de passe POP3 prioritaire n'est utilisé qu'en deuxième recours (par exemple avec les méthodes APOP et CRAM-MD5 lorsque l'on utilise la base de données NT), car sinon elles ne seraient pas disponibles.

 

Paramètres

Trois paramètres sont disponibles pour chaque méthode :

  1. Refusé (Denied)
  2. Il n'est pas possible de s'authentifier à l'aide de cette méthode.

  3. Autorisé (Allowed
  4. )

    Il est possible de s'authentifier avec cette méthode.

  5. Connexion sécurisée obligatoire (Allowed with secure connection)
  6. La méthode n'est disponible que si la connexion est sécurisée (TLS/SSL).

 

 

Connexions sécurisées (TLS/SSL)

Elles permettent de réduire les risques avec les méthodes d'authentification non sécurisées car la connexion est cryptée. Ainsi, vous pouvez utiliser en toute sécurité des méthodes qui présenteraient des risques avec une connexion normale.

De plus, si vous choisissez ce type de connexion les messages sont également envoyés de façon cryptée. Ainsi, même si un pirate utilise un "sniffeur" sur votre réseau ou sur Internet il ne connaîtra pas leur contenu.

 

Certificats

Pour bénéficier du support TLS, vous devez posséder un certificat (X.509 au format PEM  standard). Les certificats ont pour but de valider l'authenticité d'un serveur. Ils sont utilisés depuis de nombreuses années sur les serveurs sécurisés. WinGate peut générer son propre certificat pour le courrier, mais vous pouvez également en obtenir un auprès d'une autorité reconnue. Si vous choisissez de générer un certificat avec WinGate, certains clients de messagerie risquent de ne pas l'accepter. Toutefois, la plupart d'entre eux peuvent être configurés afin de les obliger à reconnaître le certificat.

Par conséquent, les certificats de WinGate devraient vous suffire, sauf si la configuration des clients s'avère trop fastidieuse. En outre, l'obtention de certificats signés auprès d'une agence n'est généralement pas un service gratuit.

 

Remarque importante :

Lors de la création d'un certificat vous devez lui attribuer un nom, qui servira à identifier le serveur. La plupart des clients n'acceptent pas que le nom du certificat ne soit pas le même que celui du serveur sur lequel ils sont connectés. Vous avez par contre la possibilité d'utiliser des caractères joker. Par exemple, le serveur de messagerie de Qbik emploie le nom :

*.qbik.com

Les clients peuvent donc accéder à leur courrier en se connectant à n'importe quel nom finissant par qbik.com.

Enfin, WinGate ne supporte que les certificats au format .PEM. Si vous avez obtenu votre certificat auprès d'une agence, il sera éventuellement nécessaire de le convertir (de nombreux outils de conversion sont disponibles sur Internet).

 

Identité du serveur

Nom servant à designer le serveur. Par défaut, il s'agit du nom DNS de l'ordinateur sur lequel il se trouve. Par exemple : "qbik.com" pour un serveur sous Windows 2000 Active Directory, ou "WorkPC1" pour des systèmes d'exploitation plus anciens. Ce nom est également utilisé lors de la création de certificats (sauf si vous décidez du contraire), et figure donc dans les programmes de gestion des certificats.

Clients de messagerie

La plupart des clients supportent les connexions sécurisées et/ou l'authentification, à différents niveaux. Voici quelques informations concernant les principaux clients :

  • Microsoft Outlook et Outlook Express.

    Méthodes d'authentification supportées :

    POP3 : USER/PASS, NTLM.

    SMTP : NTLM

En ce qui concerne les connexions sécurisées, Outlook supportes le TLS pour l'envoi de courrier (SMTP), mais pas pour la réception (POP3).

Si vous spécifiez qu'Outlook doit utiliser une connexion sécurisée pour le POP3, il essaiera de se connecter à un serveur POP3 sécurisé (SPOP) sur le port 995. Or, cela n'est pas supporté dans WinGate.

 

  • Qualcomm Eudora

    Méthodes d'authentification supportées :

    POP3 :  USER/PASS, APOP, CRAM-MD5, Kerberos (non disponible)

    SMTP :  CRAM-MD5, Kerberos, PLAIN

    Support TLS inclus.

 

©2004 Qbik New Zealand Limited