La faiblesse identifiée sous la référence smtp:::user_enumeration:* concerne un risque d’énumération des utilisateurs via le service SMTP exposé sur le port 25. Cette technique permet à un attaquant de déterminer l’existence ou non d’adresses email valides en observant les différences de réponse du serveur lors de commandes SMTP spécifiques.
Le niveau de risque réel est faible à modéré, car cette faiblesse ne permet pas une compromission directe du système. Toutefois, l’énumération d’utilisateurs peut conduire à une fuite d’informations facilitant des attaques ultérieures, telles que le phishing ciblé, le bruteforce de mots de passe ou des campagnes de spam plus efficaces.
Cette alerte apparaît lorsque le serveur SMTP renvoie des messages de réponse distincts selon que l’adresse email testée existe ou non, ou lorsque certaines commandes SMTP ne sont pas correctement neutralisées. Il s’agit d’une configuration perfectible, courante sur des serveurs de messagerie configurés pour des raisons de compatibilité ou de diagnostic.
Les bonnes pratiques recommandées consistent à uniformiser les réponses SMTP afin de ne pas distinguer les adresses valides des adresses inexistantes, à désactiver les commandes SMTP inutiles ou sensibles (par exemple VRFY, EXPN), et à limiter l’accès au service SMTP aux seules sources autorisées lorsque cela est possible. Il est également recommandé de mettre en place des mécanismes de protection contre le bruteforce et le spam.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette alerte, de réduire la surface d’attaque liée à la messagerie, et d’améliorer la sécurité globale du service SMTP, sans impact sur le fonctionnement normal de la messagerie.