Ce que votre serveur mail devra pouvoir faire
REJETEZ AUTANT DE SPAM ENTRANT QUE POSSIBLE
Le projet Spamhaus propose plusieurs bases de données d’adresses IP et de domaines qui, si elles sont correctement utilisées, permettent de réduire à un niveau très bas la quantité de spam entrant qui atteint les boîtes aux lettres, sans bloquer une quantité significative de courriers légitimes. Si les volumes de courrier ne sont pas très élevés (voir les conditions d’utilisation), ces bases de données peuvent être utilisées librement.
Il est cependant très important qu’elles soient utilisées correctement. Cela se résume à :
Utiliser les bases de données SBL, XBL et PBL basées sur l’IP au niveau de la connexion SMTP contre l’adresse IP source initiant la connexion (c’est l’utilisation normale de la DNSBL) ;
Utiliser la base de données DBL basée sur le domaine au niveau de la connexion SMTP, en vérifiant idéalement trois éléments : le domaine de l’expéditeur (MAIL FROM), le nom du serveur de connexion selon HELO et le nom du serveur de connexion selon le DNS inverse. Il faut choisir un logiciel de serveur de messagerie qui prend en charge ces vérifications ;
Disposer d’un logiciel lié au serveur de courrier qui effectue une analyse plus poussée du contenu du courrier (en-tête et corps du message), en recherchant les adresses IP et les domaines apparaissant dans les lignes de réception et dans le corps du message sous forme d’URL et en les comparant aux bases de données SBL, XBL et DBL. Très souvent, les résultats de ces vérifications sont combinés à d’autres vérifications afin d’établir un “score de spam” pour le message, qui est ensuite utilisé pour décider si le message doit être remis dans la boîte aux lettres normale de l’utilisateur, dans un dossier séparé ou s’il doit être purement et simplement rejeté.
Ces trois composants doivent être considérés comme absolument nécessaires. Aucune nouvelle installation ne devrait être faite sans ces trois composants en place.
EMPÊCHER L’ÉMISSION DE SPAM
L’émission de spam est causée soit par une personne ou une unité au sein de l’organisation qui décide d’envoyer du spam, soit par un problème de sécurité qui permet à d’autres personnes d’envoyer du spam depuis votre adresse IP. Le premier cas n’a pas de solution technique, cependant, tous les employés travaillant dans le domaine du marketing doivent être pleinement conscients que toutes les adresses électroniques utilisées pour les envois en masse doivent avoir spécifiquement demandé à recevoir des courriels sur vos produits ou services par le biais d’une procédure d’opt-in confirmée (pour plus d’informations, voir notre page sur les listes de diffusion et les FAQ sur le marketing). Dans cette note, nous souhaitons aborder le deuxième cas, qui est beaucoup plus courant.
L’écrasante majorité du spam causé par des problèmes de sécurité entre dans l’une des quatre catégories suivantes (qui se chevauchent parfois partiellement) :
Trojans et virus malveillants
Les programmes malveillants sont téléchargés sur les ordinateurs à l’aide de diverses astuces et sont ensuite utilisés par des criminels pour diverses tâches infâmes. L’envoi de spam n’est que l’une d’entre elles.
Si l’analyse des machines à l’aide d’antivirus est toujours une bonne chose, de nos jours, de nombreux logiciels malveillants parviennent à échapper à la détection en changeant constamment. La meilleure chose à faire est de configurer les choses de manière à ce qu’ils soient tout simplement incapables d’envoyer du courrier à l’extérieur grâce à un pare-feu. Notre FAQ CBL donne plusieurs suggestions dans ce sens, en accordant une attention particulière au cas où le NAT est utilisé et où les chevaux de Troie peuvent avoir un impact négatif direct sur votre flux de courrier légitime. En principe, vous ne devez pas permettre à une machine qui n’est pas le serveur de messagerie de lancer des connexions SMTP (port 25 comme destination) vers des hôtes externes. Seul le serveur de messagerie doit être en mesure d’envoyer du courrier. Cette mesure rendra les chevaux de Troie qui contournent le serveur de messagerie tout simplement inefficaces.
Relais ouvert
Votre système de messagerie ne doit pas se comporter comme un relais ouvert, c’est-à-dire permettre à n’importe qui dans le monde de se connecter au serveur et d’envoyer du courrier à n’importe qui dans le monde. Nous avons récemment publié Le retour des relais ouverts consacré à ce problème. La principale question abordée dans cet article est que les pare-feu et autres boîtiers de protection d’aujourd’hui sont souvent responsables des configurations de relais ouverts, plutôt que le serveur de messagerie lui-même. Mais le test de détection d’un relais ouvert est extrêmement facile et devrait toujours être effectué, chaque fois que la configuration du système de messagerie est modifiée. Si le test est réussi, vous n’avez pas ce problème.
Comptes compromis
Une raison très courante de l’émission de spam à partir de votre serveur de messagerie est l’existence de mots de passe connus des spammeurs, soit par devinette, hameçonnage ou espionnage par des logiciels malveillants. Spam par mots de passe compromis : peut-on l’arrêter ? est un article consacré à ce problème. Contrôlez la force des mots de passe de vos utilisateurs et assurez-vous que votre serveur inscrit le nom du compte dans les journaux chaque fois qu’un courrier est envoyé en utilisant l’authentification SMTP AUTH (malheureusement, certains logiciels de serveur de messagerie ne le font pas dans la configuration par défaut). Il est également utile d’avoir les informations du compte dans les en-têtes des messages sortants.
Si votre serveur de messagerie le permet, définissez des limites par utilisateur pour le nombre de messages qui peuvent être envoyés en utilisant l’authentification dans un certain laps de temps.
Outre les serveurs de messagerie, tous les périphériques de votre réseau local (y compris les routeurs) ne devraient pas avoir de comptes avec le mot de passe par défaut ou un mot de passe très simple, indépendamment du protocole qu’ils utilisent (telnet, ftp, ssh, etc.) : toute connexion non autorisée est une source potentielle d’abus.
Serveurs web compromis
De nombreux problèmes de sécurité entraînant l’émission de spam se produisent dans l’espace web. Si les auteurs d’abus ont la possibilité de télécharger des pages web sans autorisation sur un serveur web, ils peuvent télécharger des contenus abusifs dont ils font la publicité à l’aide de spam, mais ils peuvent aussi télécharger, par exemple, des scripts PHP qui agissent comme des canons à courrier mais sont commandés par des commandes HTTP. Parfois, des fichiers malveillants sont téléchargés à l’aide de FTP et de mots de passe compromis, ce qui rend le problème similaire à celui évoqué dans le paragraphe précédent.
Là encore, le maintien d’une bonne sécurité des applications Web et des mots de passe des utilisateurs devrait permettre d’éviter ce genre de situation. L’article “Empêchez les spammeurs d’exploiter votre serveur Web !” aborde les principaux problèmes liés à la sécurité du serveur Web. La meilleure solution consiste à empêcher le serveur web d’envoyer directement du courrier, en obligeant tous les courriers sortants générés par les applications web à passer par un wrapper SMTP utilisant l’authentification et en inscrivant les informations d’injection pertinentes dans les en-têtes du message.
SURVEILLEZ LES JOURNAUX !
Consacrez une petite partie de votre temps, ou mettez en place des mécanismes automatisés basés par exemple sur le nombre d’e-mails et la proportion de messages non distribués, pour surveiller votre serveur de messagerie. Découvrir un problème et prendre des mesures correctives rapidement et avant que la réputation de l’adresse IP ou du domaine ne commence à se détériorer peut vous faire gagner du temps et réduire l’impact d’un incident sur votre flux de courrier normal.
N’oubliez pas que le spam envoyé par un serveur web laissera des traces dans les journaux du serveur web plutôt que dans ceux du serveur de messagerie, et que le spam envoyé par un logiciel malveillant contourne normalement le serveur de messagerie et ne laisse aucune trace dans les journaux.
CONCLUSION
Nous pensons qu’un serveur de messagerie interne reste une solution viable pour les petites organisations, et qu’il devrait être privilégié lorsque les questions de confidentialité sont considérées comme importantes. S’il est vrai qu’il doit y avoir un administrateur système connaissant bien le fonctionnement du système de messagerie, cette tâche ne devrait pas être considérée comme écrasante une fois que les points ci-dessus sont pris en compte. Tout bien considéré, l’exploitation de votre propre serveur de messagerie peut s’avérer être un très bon investissement.
Voir https://www.rts.ch/info/sciences-tech/technologies/11742095-une-nouvelle-adresse-email-gratuite-developpee-et-hebergee-en-suisse.html pour en savoir plus !