> Tech > Continuer la lutte contre le spam

Continuer la lutte contre le spam

Tech - Par iTPro - Publié le 24 juin 2010
email

Microsoft a régulièrement amélioré Exchange en matière de suppression du courriel indésirable. La version originale d’Exchange 2003 permettait une meilleure connexion et le filtrage des destinataires, et aussi de restreindre l’accès aux groupes de distribution. SP1 a corrigé certains problèmes, tout comme la première version de l’IMF (Intelligent Message Filter),

Continuer la lutte contre le spam

qui est basée sur la même SmartScreen Technology avec lequel Microsoft protège son service MSN Hotmail. Junk E-mail Filter d’Outlook 2003 utilise aussi une variante d’IMF. En substance, IMF examine un flux de courriel entrant et établit un niveau de confiance de spam (SCL, spam confidence level) pour chaque message. Si le SCL est supérieur à la valeur définie par l’administrateur, Exchange peut immédiatement abandonner le message. Sinon, il est transmis à l’utilisateur. Junk E-mail Filter d’Outlook évalue ensuite le message et le transmet ou le rejette, selon les préférences de l’utilisateur. Par exemple, certaines adresses peuvent figurer dans la liste des envoyeurs sûrs d’un utilisateur et, dans ce cas, Outlook ne supprimera pas les messages qui en proviennent, même si leur valeur SCL est élevée.

SP2 s’appuie sur cette base en renforçant plusieurs composantes antispam et en incluant une nouvelle release IMF. Par exemple, SP2 examine désormais les connexions SMTP entrantes pour s’assurer que le partenaire envoie des messages correctement formatés, de telle sorte que des utilisateurs malveillants ne puissent pas envoyer de messages qui incluent des caractères de 8 bits dans le flux RFC2821 (une tactique courante visant à déjouer les filtres). De plus, SP2 répond aux commandes SMTP VRFY entrantes, que les correspondants distants utilisent pour vérifier les adresses e-mail, mais Exchange ne fournit pas l’information de répertoire parce que les spammers utilisent souvent des commandes VRFY pour récolter des adresses de courriel valides. Exchange ne reconnaît pas la commande SMTP EXPN qui interroge un serveur sur les membres figurant dans les listes de distribution (DL, distribution lists).

Si les messages passent le test de connexion et sont acceptés, Exchange peut alors appliquer le filtrage des destinataires pour empêcher leur livraison à certaines adresses. Le filtrage des destinataires peut empêcher l’envoi de messages à des adresses non existantes, mais les spammers peuvent fouiller dans les carnets d’adresses en essayant d’envoyer des messages à des adresses créées par eux, dans l’espoir que certaines seront valides. SP2 supporte une technique appelée « SMTP command tarpitting », qui permet de configurer Exchange de manière à instaurer un délai (en secondes) pour répondre à une commande Rcpt To: si un envoyeur distant tente de récolter des adresses. Les spammers constateront alors que leurs attaques ralentissent au point qu’ils n’obtiennent aucun résultat et ils se tourneront probablement vers une cible plus facile.

Pour l’IMF mis à niveau, la bonne nouvelle est la manière dont il détecte et supprime les messages qui contiennent des attaques par phishing. L’IMF mis à niveau contient des tests qui jugent si un message présente les traits du phishing et il envoie une valeur PCL (Phishing Confidence Level) que vous pouvez utiliser pour décider d’accepter ou de supprimer le message. Plus le PCL est élevé et plus le message est douteux.

IMF utilise aussi Sender ID, un dispositif standard destiné à contrer l’imitation de domaine e-mail : un spammer génère des messages qui semblent provenir d’un domaine légitime comme Microsoft.com. Sender ID suppose que les entreprises peuplent les enregistrements DNS avec des détails sur les serveurs de courriel qui transmettent les messages pour leurs domaines. Les serveurs qui reconnaissent Sender ID peuvent utiliser cette information pour vérifier si un message vient bien d’une source légitime. Vous pouvez décider de supprimer les messages illégitimes, de les rejeter et d’envoyer un rapport de non-livraison (NDR, nondelivery report), ou les accepter avec un état qui conduit l’IMF à augmenter le SCL du message. L’action par défaut est Accept, mais tout message qui arrive marqué comme source illégitime aura probablement une valeur SCL calculée par IMF tellement haute qu’il sera de toute façon supprimé, probablement par le filtre de pourriel du destinataire.

IMF ne prend pas en charge les clusters, mais ce n’est pas important. La grande majorité des serveurs qui participent aux opérations de salubrité du courriel sont autonomes et se contentent généralement de traiter le courriel entrant pour filtrer le spam et les virus, tandis que les clusters sont généralement utilisés pour des serveurs de boîtes à lettres. Par comparaison, la redondance et la disponibilité des serveurs de salubrité du courriel sont généralement obtenues en équilibrant la charge sur de multiples systèmes.

Téléchargez gratuitement cette ressource

Guide des Services Managés pour se moderniser et se sécuriser

Guide des Services Managés pour se moderniser et se sécuriser

À l’heure où les talents du numérique sont rares et difficiles à séduire, comment bénéficier des meilleures compétences en infrastructure Cloud ou en cybersécurité pour gagner en agilité et en cyber-résilience ? Découvrez le Guide des Services managés dédiés aux PME.

Tech - Par iTPro - Publié le 24 juin 2010