Enumération d'utilisateurs via SMTP

Le protocole SMTP de part son design va nous permettre d'énumérer localement les utilisateurs d'un serveur/machine. Pour cela nous disposons de deux commandes utilisables depuis un shell telnet:

  • RCPT TO:

Cette commande permet de spécifier le destinataire d'un mail. Si l'utilisateur final n'existe pas le message suivant sera émis:

Sinon le message reçu sera le suivant:

  • VRFY:

De même la commande VRFY pourra être utilisé. Si l'utilisateur n'existe pas le message émis sera le suivant:

A l'inverse le message suivant sera émis si le compte existe:

Comment empêcher cette énumération d'utilisateur? Malheureusement ce n'est pas possible puisque ces commandes font partie intégrante du protocole SMTP. La seule solution est de forcer l'authentification auprès du serveur SMTP via SASL.