Messagerie : Risques

De Justine's wiki
Aller à la navigation Aller à la recherche

Risques

En dehors des risques communs à tous les systèmes, il existe un certain nombre de risques auquel on doit faire face lorsque l'on gère un système de messagerie. Ceux-ci peuvent être des dysfonctionnements inopinés, des négligences, ou bien des actes de malveillance. Dans tous les cas, il faut garder en tête le fait suivant : schématiquement, un système de messagerie est un système avec (dans notre cas, comme dans la plupart des cas) un flux entrant et un flux sortant. Ces flux sont bien entendu les flux de courrier. Ainsi, il est simple de classer les risques selon qu'il sont internes ou externes, et selon qu'ils sont en corrélation avec le flux entrant ou sortant. Risques externes

Les risques externes sont majoritairement liés au flux entrant. On peut citer :

  • Les arrivées de spam en forte quantité;
  • Les arrivées de fishing;
  • Les arrivées de virus et de vers (via des pièces jointes notamment);
  • La compromission de systèmes d'authentification (par attaque, exploitation d'une faille...);
  • Le dysfonctionnement d'un éventuel serveur externe (imaginons que les serveurs de Gmail tombent en panne...);
  • L'interception de mails (peut probable en présence d'un chiffrement "moderne", même si les en-têtes de mail sont généralement en clair).

Les risques externes sont parmis les plus simples à appréhender. En effet, se protéger de l'extérieur est assez instinctif : mettre en place des antivirus, antispams ... est une procédure que tout admin suivra. Cependant, avoir un antispam bien configuré peut s'avérer être une tâche complexe, et le risque zéro n'existe pas. Il en va bien sûr de même pour les systèmes d'authentifications, qui ne seront jamais parfaits tant que des êtres humains devront retenir des mots de passe !

Ici, en plus des procédures techniques, la sensibilisation des utilisateurs est un atout capital. En effet, même face à des mails de fishing parfois basiques, des utilisateurs "se feront avoir" et pourront transmettre des informations essentielles. Sensibiliser les utilisateurs au risques liés à la messagerie (ainsi qu'à l'authentification) est une chose capitale; d'autant plus que les risques augmentent de façon exponentielle avec le nombre d'utilisateurs. Risques internes

Les risques internes sont majoritairement liés au flux sortant. On peut citer :

  • L'envoi de spam (à notre insu, bien sûr);
  • L'envoi de fishing;
  • L'envoi de virus, vers;
  • La baisse de réputation de nos serveurs.

Ici, en plus des procédures techniques, la sensibilisation des utilisateurs est un atout capital. En effet, même face à des mails de fishing parfois basiques, des utilisateurs "se feront avoir" et pourront transmettre des informations essentielles. Sensibiliser les utilisateurs au risques liés à la messagerie (ainsi qu'à l'authentification) est une chose capitale; d'autant plus que les risques augmentent de façon exponentielle avec le nombre d'utilisateurs.

Réputation et listes

https://www.statista.com/statistics/456500/daily-number-of-e-mails-worldwide/

https://securelist.com/spam-and-phishing-in-q3-2018/88686/

Chaque jour, 279 milliards d'emails sont envoyés dans le monde. Parmi tout ces mails, environ la moitié sont des spams. Pour avoir ne serait-ce qu'une seule réponse, un spammeur doit envoyer des milliers d'emails.

Ainsi, on peut dégager plusieurs choses de ce constat: 

   L'analyse des spams ne peut pas être efficace au cas par cas. Les systèmes d'analyse de mails doivent se baser sur des critères plus généraux, comme des listes d'émetteurs.
   Toute organisation peut être confrontée à des attaques.

Par attaque, nous entendons ici le fait que des attaquants utilisent notre infrastructure pour envoyer des mails.

Afin de faire face à cela, il existe un système de réputation. La réputation représente le taux de confiance que l'on peut avoir en un domaine de messagerie ou en un serveur de messagerie, et elle est généralement représentée par un chiffre de 0 à 100, avec 100 étant la meilleur note. Celle-ci est comptabilisée dans un ensemble de listes, appellées DNSBL (pour Domain Name System Black List, ou liste noire basée sur le nom de domaine), familièrement appellées spamlists. Chaque spamlist a généralement sa propre base de données reliant domaine / serveur -> réputation, même si celles-ci ont généralement tendance à se recouper. Ces listes sont alimentées en fonction de plaintes (si un grand nombre d'utilisateurs marquent vos emails comme des spams, votre réputation baisse; c'est notamment le cas chez Microsoft) et d'autres systèmes de surveillance. Ces spamlists peuvent généralement être intérrogées publiquement, voir par exemple la réputation du domaine u-pec.fr sur différentes listes.

Des outils comme Spamassassin utilisent ces listes afin d'évaluer si un mail reçu est fiable ou non. Si l'envoyeur a une faible réputation, le message sera marqué comme Spam. Plus d'information sur les DNSBL

Flags et Spam

Parmi les métadonnées d'un email, il existe plusieurs champs (que l'utilisateur ne regarde généralement pas) dans l'en-tête nommé "flags"; ce sont des champ qui contiennent de courtes informations. Parmi ces flags, certains concernent le spam, j'en citerait deux :

  • X-Spam-Flag: initialisé à vrai ou faux, ce flag sert à désigner si un message est identifié comme spam ou non en fonction des analyses qu'il a subi, en émission ou en réception.
  • X-Spam-Score: composé d'un score de 0 à 100 (0 étant le meilleur), il désigne là encore un taux de confiance, même si il ne doit pas être confondu avec la réputation. Ce score est déterminé par les analyses faites sur le mail. Au-delà de 10, on commence généralement à se méfier.

Ainsi, lorsque l'on reçoit un email et que celui-ci finit dans notre boîte "spam", c'est très probablement à cause de l'un de ces champs.

Mais qui effectue les analyses ? On peut avoir tendance à penser qu'un email file directement d'un serveur à un autre, mais ce n'est pas le cas : non seulement il est généralement analysé à l'entrée d'un domain avant d'être re-routé à l'intérieur de celui-ci, mais un email passe de toute façon rarement par un seul serveur (à moins que la communication se fasse entre deux petites structures). Ainsi, lorsque l'un des serveurs sur le chemin considère que le mail est suspect, il peut le marquer afin que les serveurs suivants en tiennent compte. Certains services comme le service de filtrage proposé par RENATER proposent d'analyser et marquer les emails avant de les renvoyer vers notre domaine.

Il est à noter que si un domaine malveillant n'analysera pas ses mails sortants, un domaine de confiance le fera.

Blacklists / Greylists

Maintenant que nous avons ces informations, nous pouvons nous poser la question suivante : que se passe-t'il lorsque notre domaine se mets à envoyer des milliers de spams à notre insu? C'est simple :

  1. Les destinataire de ces spams les marquent en tant que tels.
  2. La réputation de notre domaine baisse, et nous apparaissont dans les spamlists.
  3. Nos mails sont marqués comme spam. En fonction de leur score, plusieurs choses peuvent se produire : soit nos mails atterissent simplement dans la boîte "spams" de notre destinataire, soit nous faisont face à un blacklistage.

Familièrement, une blacklist est une liste de correspondants auxquels nous interdisont expréssement de nous adresser la parole. Le principe est le même pour une greylist, sauf que nous nous contentons de ne pas lire les messages sans rien dire et sans répondre.

Lorsque notre réputation diminue, nos correspondant cessent ainsi de nous écouter. Selon la stuation, les serveurs de messageries nous renverront des refus (blacklist, typiquement des erreurs SMTP 550) ou ne nous diront rien (greylist). Nous ne pouvons plus communiquer. Que faire?

Une fois l'hémorragie stoppée, la seule chose à faire est de demander à nos principaux correspondant de nous dé-blacklister, c'est à dire de nous faire à nouveau confiance. Cela passe généralement par un formulaire afin de communiquer avec le postmaster du domaine (comme celui-ci pour Microsoft) afin d'être retiré de sa blacklist. Cette demande peut-être faite auprès d'un domaine ou d'une spamlist, généralement gratuitement. Il faudra la plupart du temps fournir un résumé des correctifs amenés pour stopper l'envoi de spam et un résumé de la situation.

En l'absence de formulaire, stopper l'envoi de mails suffit généralement. La réputation remontera doucement au fil des jours.

Nous comprenons ainsi mieux que notre réputation en tant que fournisseur de messagerie dépend de nos actions et de celles de nos usagers. Tout comme nous sommes impactés par les outils que sont la réputation et les spamlists, nous nous en servons afin de nous protéger de l'extérieur.

Un domaine de messagerie bien réputé est un outil précieux pour un spammeur, qui a fait son gagne-pain de l'envoi de mails frauduleux. En plus d'éviter d'avoir à falsifier des adresses, celui-ci profite alors de notre infrastructure.

Récupérée de « https://wiki.squi.fr/index.php?title=Messagerie_:_Risques&oldid=2207 »