Limiter l'accès à votre boîte email sur cPanel avec un pare-feu

Procédure

Afin de prévenir un accès non autorisé sur une adresse email, vous pouvez utiliser l'outil Email firewall sur nos serveurs cPanel dans le but de limiter l'accès à ces boîtes de réception sur le protocole POP et IMAP. Ainsi, malgré une fuite de mot de passe, votre adresse email ne pourra être accédé en POP et IMAP que depuis les pays ou adresses IP dont vous avez choisi.

Quelles restrictions peuvent être configurées sur Email Firewall ?

Vous pouvez autoriser ou bloquer l'accès sur des segments du réseau internet. Une autorisation ou un blocage est effectif sur le protocole POP et IMAP donc sur les logiciels de messagerie (Outlook, Thunderbird ...) et ne concerne pas les accès sur le webmail.

Pour sélectionner un segment du réseau internet, vous pouvez utiliser :

• Une adresse IP ou une plage d'adresse
• Un numéro d'AS (Autonomous System) : chaque fournisseur d'accès internet dispose de son propre numéro d'AS, cela vous permet donc de restreindre l'accès à un fournisseur d'accès internet précis
• Un pays

Vous pouvez également autoriser ou bloquer les adresses IP identifiées comme non résidentiels, c'est-à-dire les adresses IP qui ne correspondent pas à des abonnements internet classiques (box internet, connexion 4G ...) mais à des serveurs, des équipements en centre de données, des VPN…

Comment configurer les règles de blocage/autorisation ?

Dans votre panneau de contrôle cPanel, cliquez sur l'icône Email Firewall dans la section E-mail.

Une liste de vos boîtes emails sera alors affichée. Cliquer sur le bouton "Configurer les règles" correspondant à l'adresse email dont vous souhaitez configurer :

La liste des règles actuellement effectives vous sera alors présentée :

Vous pouvez alors :

1. Modifier l'action par défaut : ce qui se passe quand une connexion ne correspond à aucune des règles
2. Ajouter une nouvelle règle

Créer une nouvelle règle

En cliquant sur le bouton "Ajouter une règle" (2), vous pouvez ajouter une nouvelle règle dans le pare-feu :

Vous pouvez alors renseigner la portion de réseau sur laquelle vous souhaitez contrôler l'accès :

• Adresse IP ou plage réseau en notation CIDR. Exemples :
  • 1.2.3.4 pour bloquer ou autoriser l'adresse IP 1.2.3.4
  • 1.2.3.4/24 pour bloquer l'adresse IP 1.2.3.0 à 1.2.3.255 (en savoir plus sur la notation CIDR).
• Numéro AS (Autonomous System). Exemple : 210403. Vous pouvez retrouver le numéro AS de votre fournisseur internet depuis l'outil Radar de Cloudflare ou encore PeeringDB.
• Pays. Exemple : France
• Adresse IP non résidentielle.

Choisissez l'action à réaliser, c'est-à-dire bloquer ou autoriser toute connexion provenant d'une connexion internet correspondant au critère mentionnée, et cliquez sur "Enregistrer" pour sauvegarder vos paramètres.

Vous pouvez alors réorganiser l'ordre de priorité des règles nouvellement créées grâce aux boutons "Monter" et "Descendre".

Priorité des règles

Grâce à la priorité des règles, vous pouvez mettre en place des exclusions sur vos règles. Le système de pare-feu applique les règles de haut en bas. Dans le cas de la précédente capture d'écran :

• Le blocage des adresses IP non résidentiel (règle no. 1) prime par-dessus l'autorisation du bloc d'adresse IP 1.2.3.4/32 (règle no. 2). Cela veut dire que l'adresse IP 1.2.3.4 sera bloquée par la règle no. 1 si elle correspond à une adresse IP non résidentielle, même s'il est autorisé par la règle no. 2.
• L'autorisation du bloc d'adresse IP 1.2.3.4/32 (règle no. 2) prime par-dessus le blocage des États-Unis (règle no. 3). Cela veut dire que l'adresse IP 1.2.3.4 sera autorisée par la règle no. 2 même s'il provient des États-Unis.

Si la connexion ne correspond à aucune règle dans la liste, alors elle sera traitée par l'action par défaut.

Supprimer une règle

Pour supprimer une règle existante, il suffit de cliquer sur le bouton Supprimer correspond à la ligne de règle que vous souhaitez supprimer.

Diagnostiquer un problème de connexion POP/IMAP

Si vous avez des difficultés à vous connecter à une boîte email, il est possible que ce soit à cause de l'une des règles de pare-feu associées à celui-ci. La raison est alors indiquée dans le message d'erreur retourné par le serveur :

Dans cet exemple, le message d'erreur retourné par le serveur est : "Access denied by email firewall rule no. 1". Voici les deux types de message d'erreur retourné par le serveur qui est en lien avec l'outil de pare-feu email :

• Access denied by email firewall rule no. XX : votre connexion est bloquée par une règle particulière. Vous pouvez rechercher la règle par son numéro de priorité dans l'interface.
• Access denied by email firewall default behavior settings : votre connexion ne correspond à aucune règle particulière et a été bloqué par l'action par défaut du pare-feu email.

Malheureusement, certains logiciels de messagerie (comme Mozilla Thunderbird) n'affiche pas le message d'erreur retourné par le serveur, et fournit uniquement un message générique :

Dans ce type de situation, vous devez consulter les journaux de connexion pour récupérer la raison du blocage. Pour cela, récupérez d'abord l'adresse IP de votre connexion internet actuelle sur https://monip.lws.fr (ou tout autre outil de détection d'adresse IP publique).

Une fois, récupérez, rendez-vous dans l'outil "Journaux" dans cPanel :

Dans la rubrique "Fichiers logs d'emails" (1), récupérez l'historique des connexions à vos boîtes emails par IMAP ou POP (2) :

Sélectionnez ensuite la boîte email concernée :

Les événements de blocages liés à la boîte email seront alors listés, retrouvez ainsi les événements en lien avec votre adresse IP :

Vous pouvez utiliser l'outil de filtre pour limiter l'affichage à une adresse IP ou un message en particulier.

Voici les messages en lien avec l'outil de pare-feu email :

• Authentication blocked by email firewall rule no. XX (non-residential IP). IP: 0.0.0.0, Username: johndoe@example.com : cela signifie que la règle indiquée a bloqué l'adresse IP, car cette adresse IP est une adresse non résidentielle.
• Authentication blocked by email firewall rule no. XX (restricted IP/net block). IP: 0.0.0.0, Username: johndoe@example.com : cela signifie que la règle indiquée a bloqué l'adresse IP, car celui-ci correspond au bloc d'adresse IP indiqué.
• Authentication blocked by email firewall rule no. XX (restricted AS number). IP: 0.0.0.0, Username: johndoe@example.com : cela signifie que la règle indiquée a bloqué l'adresse IP, car celui-ci appartient au numéro d'AS indiqué.
• Authentication blocked by email firewall rule no. XX (restricted country). IP: 0.0.0.0, Username: johndoe@example.com : cela signifie que la règle indiquée a bloqué l'adresse IP, car celui-ci se trouve dans le pays indiqué.
• Authentication blocked by default email firewall behaviour. IP: 0.0.0.0, Username:johndoe@example.com : cela signifie que la connexion provient d'une adresse IP qui ne correspond à aucune règle, et que l'action par défaut bloque la connexion.

Une fois la règle identifiée, vous pouvez procéder à la réorganisation de l'ordre de vos règles, réajuster l'action par défaut ou encore ajouter ou supprimer les règles qui ne vous conviennent pas/plus.

comments powered by Disqus