Introduction
Ce document décrit un problème rencontré sur le dispositif de sécurité de la messagerie Cisco (ESA) lorsque du spam et des e-mails frauduleux pénètrent sur le réseau.
Problème
Les fraudeurs tentent de se faire passer pour des courriels. Lorsque l'e-mail se fait passer pour un membre du personnel de votre entreprise (il est censé provenir d'un tel membre), il peut être particulièrement trompeur et peut être source de confusion. Pour tenter de résoudre ce problème, les administrateurs de messagerie peuvent tenter de bloquer les messages entrants qui semblent provenir de l'entreprise (messages usurpés).
Il peut sembler logique que si vous bloquez le courrier entrant provenant d'Internet dont l'adresse de retour de société figure dans le nom de domaine, cela résout le problème. Malheureusement, lorsque vous bloquez le courrier de cette manière, il peut également bloquer le courrier légitime en même temps. Prenons les exemples suivants :
- Un employé voyage et utilise un fournisseur d'accès Internet (FAI) d'hôtel qui redirige de manière transparente l'ensemble du trafic SMTP (Simple Mail Transfer Protocol) vers les serveurs de messagerie du FAI. Lors de l'envoi d'un message, il peut sembler qu'il passe directement par le serveur SMTP de l'entreprise, mais il est en fait envoyé par un serveur SMTP tiers avant d'être remis à l'entreprise.
- Un employé s'abonne à une liste de discussion par e-mail. Lorsque des messages sont envoyés à la liste de messagerie, ils sont renvoyés à tous les abonnés, apparemment de l'expéditeur.
- Un système externe est utilisé afin de surveiller les performances ou l'accessibilité des périphériques visibles de l'extérieur. Lorsqu'une alerte se produit, l'e-mail contient le nom de domaine de la société dans l'adresse de retour. Les fournisseurs de services tiers, tels que WebEx, le font assez fréquemment.
- En raison d'une erreur temporaire de configuration du réseau, les messages provenant de l'intérieur de l'entreprise sont envoyés via l'écouteur entrant plutôt que l'écouteur sortant.
- Une personne externe à la société reçoit un message qu'elle renvoie à la société avec un agent utilisateur de messagerie (MUA) qui utilise de nouvelles lignes d'en-tête plutôt que l'en-tête d'origine.
- Une application Internet, telle que les pages d'expédition Federal Express ou la page d'envoi de cet article par e-mail Yahoo, crée un courrier légitime avec une adresse de retour qui renvoie vers l'entreprise. Le courrier est légitime et possède une adresse source interne à l'entreprise, mais il ne provient pas de l'intérieur.
Ces exemples montrent que si vous bloquez le courrier entrant en fonction des informations de domaine, il peut en résulter des faux positifs.
Solution
Cette section décrit les actions recommandées que vous devez effectuer afin de résoudre ce problème.
Appliquer les filtres
Afin d'éviter la perte de messages légitimes, ne bloquez pas les messages entrants en fonction des informations de domaine. À la place, vous pouvez marquer la ligne d'objet de ces types de messages lorsqu'ils entrent sur le réseau, ce qui indique au destinataire que les messages sont potentiellement falsifiés. Cela peut être réalisé soit avec des filtres de messages, soit avec des filtres de contenu.
La stratégie de base pour ces filtres est de vérifier les lignes d'en-tête du corps pointées vers l'arrière (les données From sont les plus importantes), ainsi que l'expéditeur de l'enveloppe RFC 821. Ces lignes d'en-tête sont le plus souvent affichées dans les MUA et sont celles qui sont le plus susceptibles d'être contrefaites par une personne frauduleuse.
Le filtre de messages de l'exemple suivant montre comment marquer les messages qui sont potentiellement empruntés. Ce filtre effectue plusieurs actions :
- Si la ligne d'objet contient déjà "{Peut-être falsifiée}", une autre copie n'est pas ajoutée par le filtre. Ceci est important lorsque les réponses sont incluses dans le flux de messages et qu'une ligne d'objet peut se déplacer plusieurs fois dans la passerelle de messagerie avant la fin d'un thread de message.
- Ce filtre recherche l'expéditeur de l'enveloppe ou l'en-tête De qui a une adresse qui se termine par le nom de domaine @yourdomain.com. Il est important de noter que la recherche de l'en-tête de l'e-mail est automatiquement sensible à la casse, contrairement à la recherche de l'en-tête. Si le nom de domaine se trouve à l'un ou l'autre emplacement, le filtre insère "{Peut-être falsifié}" à la fin de la ligne d'objet.
Voici un exemple de filtre :
MarkPossiblySpoofedEmail:
if ( (recv-listener == "InboundMail") AND
(subject != "\\{Possibly Forged\\}$") )
{
if (mail-from == "@yourdomain\\.com$") OR
(header("From") == "(?i)@yourdomain\\.com")
{
strip-header("Subject");
insert-header("Subject", "$Subject {Possibly Forged}");
}
}
Mesures complémentaires
Étant donné qu'il n'existe pas de moyen simple d'identifier les e-mails usurpés à partir d'e-mails légitimes, il n'existe aucun moyen d'éliminer complètement le problème. Par conséquent, Cisco vous recommande d'activer l'analyse antispam IronPort (IPAS), qui identifie efficacement les messages frauduleux (hameçonnage) ou les spams et les bloque de manière positive. L'utilisation de cet analyseur antispam, lorsqu'il est associé aux filtres décrits dans la section précédente, fournit les meilleurs résultats sans perte d'e-mails légitimes.
Si vous devez identifier les e-mails frauduleux qui arrivent sur votre réseau, envisagez d'utiliser la technologie DKIM (Domain Keys Identified Mail). Elle nécessite davantage de configuration, mais elle constitue une bonne mesure contre le phishing et les e-mails frauduleux.
Remarque : pour plus d'informations sur les filtres de messages, reportez-vous au Guide de l'utilisateur AsyncOS sur la page de support de l'appliance de sécurité de la messagerie Cisco.