Le filtrage SMTP avec ISA Server

est optionnel et peut être installé par la suite, indépendamment des composants ISA et d’administration d’ISA. Avec le filtre SMTP, chaque commande SMTP est analysée avant d’être transmise au serveur Exchange ou autre type de serveur SMTP. De manière détaillée, chaque commande SMTP peut être autorisée ou non, et de plus il est possible de préciser la taille maximale en caractères qui est permise pour chaque ligne de commande SMTP ainsi autorisée.

Si cette limite est dépassée, alors la connexion est coupée. Cette solution permet de limiter les risques de faille ou de saturation du service SMTP avec des débordements de mémoire bien connus sous le nom d’attaques par débordement de mémoire tampon (Buffer overflow). Il est important de noter que ces paramètres ne sont pas toujours simples à appréhender. Ainsi, les RFC considèrent la commande AUTH comme étant partie intégrante de la commande MAIL FROM. Le résultat de cette imbrication est que la commande MAIL FROM n’est bloquée que si la longueur totale dépasse la taille autorisée pour MAIL FROM et pour AUTH, si ces deux commandes sont autorisées.

Concrètement si la taille maximum de MAIL FROM est définie à 266 et celle de AUTH à 1024, la commande MAIL FROM ne sera refusée que si la taille est supérieure à 1024+266 soit 1290 octets pour permettre la réception de la taille maximale autorisée pour ces deux commandes. A noter que le service SMTP peut être filtré en fonction de différents paramètres et en particulier il est possible d’effectuer une analyse des commandes pour être certain de n’accepter que des commandes autorisées vers le serveur SMTP. Ainsi, il sera possible de refuser certaines fonctions jugées dangereuses ou inutiles. Le second niveau de protection pour le protocole SMTP se situe dans le filtrage de contenu des messages. Le rôle de ce filtrage n’est pas de remplacer des outils spécifiquement dédiés à la messagerie, mais bien de limiter les risques en mettant en place un premier niveau de filtrage du contenu. Cette fonction permet la mise en place de plusieurs types de règles. En premier lieu des règles basées sur des mots clés. Si un mot clé est détecté dans le message (en-tête, corps du message ou les deux), une action peut alors être effectuée (suppression, mise en quarantaine ou transmission du message à un destinataire particulier) sur le message.

 Il est possible de définir autant de règles de ce type que nécessaire, mais cela demandera un temps de traitement dépendant de la complexité et du nombre de règles imposées. Il est aussi possible de bloquer certains utilisateurs en indiquant des adresses e-mail d’expéditeurs systématiquement refusés ou encore des domaines complets. Dans ce dernier cas, toutes les adresses e-mail de ces domaines pourront alors être marquées comme indésirables et les messages refusés. Enfin, une dernière famille de règles de filtrage repose sur les attachements qui se trouvent dans les messages. Ainsi, il sera aisé de refuser tous les attachements jugés potentiellement dangereux comme les fichiers ayant des extensions de type .pif ou .exe ou encore les fichiers attachés avec un nom précis ou encore ayant une taille supérieure à une valeur prédéfinie. Comme pour les règles définies sur mots clé, la règle sur les attachements génère des actions de type destruction, mise en quarantaine ou re-routage du message vers une boîte aux lettres spécifique.

Avec la mise en place de ces différents outils, le serveur SMTP du serveur de messagerie (Exchange ou autre) est ainsi protégé d’un certain nombre de risques et d’attaques. De plus, il est déchargé d’une part du travail de filtrage de certains messages. Il est certain que de nombreuses fonctions sont maintenant assurées par le rôle EDGE d’un serveur Exchange 2007.