Paris, France

Le spoofing d'adresse email

Le spoofing, consiste à vous envoyer un mail à partir d'internet, avec une adresse email expéditeur de votre propre domaine de messagerie.

Lors de l'envoi d'un message, il est très facile de tricher sur presque toutes les informations que les utilisateurs prendront pour argent comptant lors de sa lecture. Par exemple, envoyer un message avec l'adresse du PDG comme expéditeur.

Exemple d'un message reçu à partir d'internet :
Expéditeur : support@votredomaine.com
Destinataires : tous_les_utilisateurs@votredomaine.com
Sujet : URGENT : Eteignez votre ordinateur immédiatement !
....

Il n'y a pas que les utilisateurs dont la vigilance est visé par cette pratique, les mécanismes de protection des passerelles de messagerie et les systèmes anti-spam peuvent en subir les conséquences.


En principe, votre passerelle ne devrait jamais accepter de recevoir un message avec un expéditeur dont le domaine internet vous appartient !

Seule exception : Si vos utilisateurs doivent pouvoir envoyer des messages de l'extérieur de votre entreprise à l'aide du protocole SMTP en se connectant à votre passerelle, réservez une seconde interface réseau à leur attention et mettez en oeuvre l'authentification SMTP ou PopBeforeSMTP.


Mise en oeuvre avec Postfix :

Le plus simple pour cette mise en oeuvre est de configuré Postfix avec 2 interfaces réseaux : l'une dédié aux messages en provenance d'internet et l'autre à ceux en provenance de votre messagerie interne.

Créez un fichier /etc/postfix/anti-spoofing et ajoutez vos domaines internet avec
dans la seconde colonne l'instruction "REJECT ANTI-SPOOFING" :
votredomaine.com       REJECT ANTI-SPOOFING
autredomaine.fr        REJECT ANTI-SPOOFING


Dans le fichier master.cf, dans les options de l'interface dédié à Internet :

1.2.3.4:smtp      inet    n       -       n       -       -       smtpd
    -o smtpd_sender_restrictions=hash:/etc/postfix/anti-spoofing
    -o smtpd_helo_restrictions=hash:/etc/postfix/anti-spoofing

Cette protection permettra de rejeter tous les messages en provenance d'internet qui se présenteront avec un HELO/EHLO ou MAIL FROM qui contiendra l'un de vos domaines.