La faiblesse identifiée sous la référence smtp:::open_relay:* concerne un risque potentiel de relais SMTP ouvert sur le service de messagerie exposé via le port 25. Un relais SMTP ouvert permettrait à des tiers non autorisés d’envoyer des emails via le serveur, sans authentification ni restriction de provenance.
Le niveau de risque réel est modéré à élevé, car un relais ouvert peut entraîner une utilisation abusive du serveur pour l’envoi de spam, une dégradation de la réputation du domaine et des adresses IP, voire un blocage par des listes noires. Cette faiblesse n’entraîne pas une compromission directe du système, mais peut avoir un impact opérationnel et réputationnel significatif.
Cette alerte apparaît lorsque le serveur SMTP accepte le relais de messages entre des domaines externes sans contrôle suffisant (authentification, restrictions IP ou règles de relais). Il s’agit d’une configuration critique qui doit être strictement contrôlée sur tout serveur de messagerie exposé.
Les bonnes pratiques recommandées consistent à désactiver le relais SMTP ouvert, à restreindre le relais aux domaines internes ou authentifiés, et à exiger une authentification SMTP (SMTP AUTH) pour l’envoi de messages. Il est également recommandé de limiter l’accès au port 25, de surveiller les journaux de messagerie, et de mettre en place des mécanismes anti-abus (anti-spam, limitation de débit).
La mise en œuvre de ces bonnes pratiques permet de supprimer cette faiblesse, de prévenir l’utilisation abusive du serveur, et d’assurer un fonctionnement fiable et sécurisé du service de messagerie, sans impact pour les utilisateurs légitimes.