Sommaire
Cause et environnement
Je me rends chez une PME à Brignoles suite à un appel de détresse du gérant: Un hacker à envoyé à son adresse de type Wanadoo des coordonnées de paiement d’un bon client à lui, lequel informait d’un changement de RIB… Sauf que ce bon client était un hacker. Résultat plus de 3000€ envoyés sur un compte désormais bien fournit.
D’autres préoccupations animent mon obligé:
- Des emails provenants directement de la boité de la PME furent expédiés, là aussi pour signifier quelques changements sur le compte à créditer. Heureusement pour ce cas, les correspondants n’ont pas donné suite, et furent alertés de vive voix téléphonique par le gérant.
- La boite Orange est constellée de courriels indésirables.
- L’ adresse mail gérée par O2Switch, elle aussi croulant sous les spams
L’environnement, 3 PC sous Windows 10 avec pack office dont Outlook installé, et environ 3 Smartphones Android:
- Une boite mail Orange
- Un site Internet de présentation Société hébergé par O2switch
- Le formulaire de contact envoie les emails sur l’@mail Wanadoo de la Sté
- De se séparer peu à peu du mail Orange (beaucoup de correspondants dont les services étatiques correspondent avec: On ne peut pas tout à coup le supprimer ou l’ignorer)
- Utiliser une adresse Mail d’aspect Professionnel avec le nom de l’entreprise dedans
- Utiliser pour le formulaire du site un service mail plus performant que celui d’O2switch
Tous ces points imposent l’utilisation d’un service spécialisé serveur de messagerie. Ce sera Google Workspace étant donné le tarif attractif, l’expérience hors normes dans le traitement et la sécurité antispams et authentificatrice acquise avec les 1,5 milliards de boite Gmail (selon leurs dires 99,90% des spams et hameçonnages sont bloqués). De plus l’interface smartphone de Gmail est très aboutie.
Il existe des tutoriels pour configurer, mais que ce soit sous Google aide, FluentSMTP ou SMT WP, j’ai trouvé qu’ils ne couvraient pas toute la configuration requise surtout au niveau du réglage de l’hébergement du site, ni de la sécurité additionnelle pour ce qui est des emails rentrants.
Sauvegarde
Le backup du compte mail existant, pour import futur vers la nouvelle n’a pas lieu d’être ici vu que le principe est d’ajouter une boite mail. S’il aurait fallu le faire j’aurais simplement lancer un Export Outlook des données au format PST, en local sur PC.
Par contre l’opératrice principale devra constituer une liste de ses correspondants et leur envoyer un email notifiant du changement de son courriel (il y en a peu heureusement). Puis au fil des jours, consulter régulièrement la boite Orange et répondre aux mails légitimes en utilisant la nouvelle adresse (une signature Outlook édifiante sera créée pour appuyer l’effet).
Il aurait été possible de tout automatiser, mais je pense que ne pas procéder à l’aveugle va participer à une prise de conscience vitale pour la société et changer petit à petit le traitement nonchalent des communications extérieures en analyse vigilante et attention suffisante.
Google Workspace
Je créé carrément un compte google sur Google Workspace plutôt que d’utiliser un des comptes Gmail standards de la Société. La version Business starter à env. 5€ par mois en abo annuelle. Je choisi d’utiliser l’adresse email avec le nom de domaine de leur site (service@NDD.fr) pour configurer et valide « Oui je dispose d’un domaine » que je renseigne à la suite.
Protéger le domaine
Assez mal traduit, veut dire « Prouver que vous être le propriétaire du NDD ». Je copie le contenu textuel proposé et me rend sur l’espace technique O2switch du site puis Domaine > Zone editor > clic Bouton « Gérer » sur la ligne du NDD puis « Ajouter un enregistrement », type TXT.
Retour à Google Workspace: Clic sur vérifier, c’est bon! Enfin ce n’est pas fini..
Modifier le code MX
Alors que l’entrée précédente n’avait de valeur que de prouver la propriété du NDD, ici on commence à s’attaquer aux réglages actifs, le MX est une entité DNS montrant aux emails entrants quel chemin ils doivent prendre pour aboutir à la boite du récipiendaire.
Le Todo Workspace affiche « Activer Gmail pour NOMDUSITE.com », clic sur « Activer ». On a un nouvel enregistrement à rentrer en Zone DNS editor sur le compte O2Switch, mais le @ n’est pas reconnu par l’hébergeur…
Espace O2Switch au sous menu Zone editor: J’honore les conditions de Workspace mais rentre le NDD; suivit d’un point, au lieu du @ proposé. Il faut aussi supprimer l’enregistrement MX d’origine.
Enregistrement DKIM
Google Workspace
C’est une authentification basée sur une clé publique et privée. Dans le Workspace: Panneau gauche > Applications > Gmail > Autentifier les Emails > Clic sur « Générer un nouvel enregistrement » . Attention de demander une clé à 1024 bits car O2switch n’accepte pas sans une circonvolution complexe une clé plus forte de 2048 bits. Une clef 1024 bits requiert actuellement des années pour être déchiffrée donc ça devrait suffire .. Je laisse ouvert Workspace tandis que j’ouvre un nouvel onglet sur O2switch.
O2switch zone DNS Editor
Renseignement de l’entrée DKIM. Là aussi je supprime les autres enregistrements DKIM par défaut.
Je reviens dans le sous menu Workspace, attends quelques minutes la propagations DNS, et appuie sur « Lancer l’authentification ».
Entrée SPF et DMARC sur O2switch
Entrée SPF
L’entrée SPF indique les serveurs et IP authorisés à envoyer les mails. Pour ici ce devra être l’adresse IP allouée au site Web, et Google. J’ouvre O2switch sur Email > Email deliverability > Gérer en regard du NDD puis en bas sur « Personnaliser ». Je note l’adresse IP du serveur SPF d’origine. Les réglages:
- +IP4: l’@IP notée précédemment
- +INCLUDE: _spf.google.com
Puis clic sur bouton « Install a customized SPF record ». Rien à faire côté Workspace pour une fois.
Entrée DMARC
DMARC vérifie l’état SPF et DKIM et selon des réglages additionnels que l’on va voir, autorise ou pas les envois. Cette entrée peut accueillir une @mail réceptrice des erreurs d’authentification.
Toujours sur O2switch espace technique, mais je reviens en DNS zone Editor pour créer une entrée de type DMARC depuis le menu déroulant « Ajouter un enregistrement » > « Add DMARC record ».
- Nom: _dmarc.NOM_DU_SITE. (le point final est important pour indiquer la racine du NDD et pas un sous-domaine)
- TTL: Tel quel
- TXT: TXT
- Enregistrement: en Policy Je choisi la mise en Quarantaine. Puis Clic sur « Optionnal parameters »:
- Subdomaine policy: Quarantaine (mails non autentifiés placés en quarantaine)
- DKIM mode: Strict (Le domaine dans la signature DKIM doit correspondre exactement au domaine From)
- SPF Mode: Strict (Le domaine de l’adresse Return-Path doit correspondre exactement au domaine From)
- Percentage: 100 (100% des emails seront traités)
- Send failure report to: mailto: EMAIL_SOCIETE (Envoie des rapports sur les échecs d’authentification sur l’@ mail citée)
Impossible en l’état actuel des choses, mais rien n’empêche l’indélicat d’utiliser un serveur d’envoie créé à l’usage d’usurpation d’adresse email: C’est alors aux récipiendaires qu’est porté la responsabilité d’utiliser des services Emails sérieux.
Google Cloud
Le site de la société est sous Worpdress, et, dans le projet de faire gérer les demandes de devis du formulaire par google workspace, il va falloir configurer une API Gmail.. Direction Google Cloud en prenant la précaution d’y être bien loggé avec le même compte que le Workspace.
J’y créé un « Nouveau Projet », le nomme etc, puis bouton « Créer ». ensuite RDV sur le menu sandwich à gauche > API et services > Bibliothèque > Je cherche Gmail API et je l’active.
Ensuite Créer des Identifiants > Sélectionner une API : Gmail API; Cocher « Données Utilisateur »; Je rentre diverses informations. La section « Niveaux d’accès » est laissée par défaut.
Par contre l’étape ID client Oauth est à renseigner. Type d’application: Application Web; Nom: FluentAPP; URL de redirection autorisée: https://fluentsmtp.com/gapi/ (On verra plus loin pourquoi cette URL est ainsi au niveau des réglages du site).
Dernière étape: Copier les clefs d’authentification, mais pas besoin; Je passe. Un dernier soubressaut de l’interface s’exhibe où je choisit de Publier l’App et de bien vérifier si le User type est sur « External ».
Je garde la fenêtre Google Cloud ouverte et je me rend dans l’interface WordPress du site.
WordPress administration du site
J’ai installé le plugin FluentSMTP; C’est le meilleur plugin gratuit pour établir une passerelle entre WordPress et un serveur de messagerie. Après voir choisit « Google » dans ses settings, Fluent SMTP demande les Clefs de l’API Gmail. Je me rends à nouveau sur Google Cloud, clic sur « Identifiants » puis sur l’icone de téléchargement à droite.
Copier coller des identifiants dans l’interface de Fluent SMTP. Puis clic sur « Autentification With Google.. ». Une fenêtre Google s’ouvre dans laquelle le « Code » apparaît, à copier-coller dans FluentSMTP.
C’est presque bon pour WordPress, il faut bien sur que je modifie le formulaire Elementor pour y renseigner la nouvelle adresse d’envoie et retour.
Outlook application
J’ai eu un peu de mal avec l’application bureau Outlook 2019 installée sur les postes de la société; la méthode automatique d’ajout de compte n’a pas fonctionné car les paramètres SMTP et IMAP proposés étaient ceux de O2Switch. NB: J’ai bien activé le protocole IMAP sous GMAIL.
Ce que j’ai alors fait: Dans Menu Outlook > Ajouter un compte > Options avancées je coche « Configurer mon compte manuellement ». Je rentre l’adresse mail > Clic sur l’icone Google, renseigne le mot de passe.
A cette étape Outlook me notifie d’un problème de connexion, je clic sur « Modifier les paramètres du compte »:
- Courrier entrant: imap.gmail.com Port: 993 Sécurité: SSL/TLS
- Courrier sortant: smtp.gmail.com Port: 465 Sécurité SSL/TLS
Et là, après une énième fenêtre Google de confirmation d’accès au compte, la boite mail fonctionne.
Workspace: Durcir les règles de sécurité des emails entrants
Rendre infalsifiable ses mails sortants est une chose, mais pour les emails entrants? Le Gmail de Workspace repose sur des bases plus solides que notre regretté serveur mail O2switch intégré à l’hébergement du site, mais il y a des choses à faire pour l’améliorer encore.
Direction Workspace > Avatar du compte en haut à droite > Console d’administration. Puis menu de gauche Applications > Google Workspace > Gmail > Sécurité: J’active toutes les protections, de toute façon les emails entrants ne passant pas les mesures atterriront dans le dossier Quarantaine ou Spam de Gmail.
Je reviens au sous-menu Gmail > Spam, hameçonnage et logiciels malveillants. De là j’active « L’analyse améliorée du contenu suspect ». Ce mode analyse plus finement les emails non conventionnels au prix d’un léger retard de réception.
Ces raffermissements de sécurité seront à modifier peut être, dans le futur, au cas où trop d’emails seraient classés en Spam. Mais nous verrons cela d’ici une bonne semaine.
Vous avez remarqué que je n’ai pas parlé de l’autentification à deux facteurs: Elle est cependant mise en place mais la configuration est trop aisée pour faire l’objet d’autre chose que ce NB de bas de page.
