Vous êtes sur le site public du Cert-IST
Configuration par défaut du serveur de messagerie "Sendmail" sous les systèmes IBM AIX

Date :23 Juin 2005

Publication: Article

Le SDSC (San Diego Supercomputer Center) a émis début mai un avis de sécurité pour annoncer officiellement que le serveur de messagerie ("sendmail") livré par IBM pour AIX est par défaut configuré comme un relais ouvert ("open-relay").

Un serveur de messagerie est dit "relais ouvert" quand il accepte de traiter des e-mails qui ne lui sont pas destinés. Typiquement, le serveur de messagerie du site "ma-compagnie.com" est un relais ouvert s'il accepte de traiter les e-mails qui n'ont pas de rapport (en terme de destinataire ou d'expéditeur) avec "ma-compagnie.com". Les relais ouverts sont dangereux car ils sont un moyen de masquer l'origine réelle d'un e-mail. Ils sont à ce titre abondamment utilisés par les spammeurs. Supprimer les relais de messagerie ouverts est donc un moyen de mettre un frein au phénomène du SPAM.

Le SDSC explique que le problème qu'il soulève pour le système d'exploitation AIX n'est pas nouveau (il est connu depuis au moins 1999), mais que malgré de nombreuses demandes du SDSC à IBM, la vulnérabilité subsiste encore à ce jour. En dénonçant publiquement cet état de fait, le SDSC espère en fait que la situation évoluera, et que des fichiers de configuration plus stricts seront dans le futur livrés par IBM pour AIX.

La suppression des relais ouverts est une action entamée depuis longtemps et qui est maintenant bien connue des administrateurs de messagerie. L'IMC (Internet Mail Consortium) réalise depuis 1998 des tests pour mesurer le pourcentage de serveurs de messagerie mal configurés. Alors que lors de la première campagne de test (janvier 1998), 55% des serveurs sondés étaient mal configurés, ce chiffre est en forte baisse depuis : 17% en juillet 1999, 6% en janvier 2001, moins de 1% en août 2002. Il faut dire que l’IMC n'effectue ses tests que vis-à-vis des serveurs de messagerie officiels des entreprises (ceux indiqués comme MX au niveau DNS) et ne prend pas en compte toutes les machines mal configurées qui offrent des services de messagerie sans forcément le savoir.

Tous les administrateurs système (et pas seulement les administrateurs des messageries centrales) doivent donc être au courant de ce problème de "relais ouverts". Comme le montre l'anomalie signalée par le SDSC pour AIX, ces administrateurs doivent aussi absolument vérifier que leurs machines sont correctement configurées. A cette fin, dans la rubrique "Pour plus d'information", vous trouverez l'URL d'un site expliquant comment configurer correctement les serveurs de messagerie les plus populaires (une soixantaine de serveurs de messagerie différents sont étudiés).

Pour plus d'information :