Anti-spam Verimailis
VERIMAILIS Gestionnaire de Messagerie d'entreprise
Spam : email envoyé de façon automatique, non souhaité, non sollicité, au contenu non désiré, recueilli sans le consentement du destinataire…
Ce phénomène va aller en s'amplifi ant. En 2002 : 260 milliards de spams envoyés, en 2003 : 5000 milliards en 2005 : 10 000 milliards (source : Jupiter Research) ou encore 5 spams/boite aux lettres/jour en 2003, 13 en 2004, 22 en 2005 en zone Europe. Certaines sources estiment actuellement le coût d'un spam à environ 1€/$ comprenant les coûts informatiques (serveurs, bande passante, stockage) et les coûts de traitements humains. Ce chiffre va augmenter avec l'augmentation du volume des spams. D'autres estimations (Radical Group) font état d'un coût moyen en 2003 de 49€/$ par boîte aux lettres/an, 86 €/$ en 2004, 134€/$ en 2005, 189€/$ en 2006 pour une entreprise sans protection anti-spam.
La lutte contre le spam doit s'inscrire dans une politique globale de la sécurité informatique de l'entreprise.
• Connaissance et amélioration des lois de protection au niveau national et international ;
• Politique de diffusion et de protection des adresses (protection au niveau des enregistrements de domaines, participation à des chats, newsgroups, forums, contacts sur les sites WEB de l'entreprise) ; •
Niveaux de confidentialité des adresses email (adresse publique, adresse de diffusion limitée, adresse de diffusion très limitée) ;
• Protection des serveurs (mise en place de relais, paramétrage de ces relais, protection contre les attaques Directory Harvest Attack permettant de détecter les adresses emails de l'entreprise) ;
• Outils performants d'administration et de gestion de la messagerie paramétrables, évolutifs, autoadaptables….
VerimaiLIS s'inscrit dans cette dynamique de protection et d'optimisation…
VerimaiLIS est un système centralisé d'administration de la messagerie d'entreprise qui permet un paramétrage et une politique globale au niveau de l'entreprise contrairement aux produits individuels de type plug-in.
VerimaiLIS fonctionne sur un serveur positionné en frontal comme relais vers le système de messagerie de l'entreprise que celui-ci soit Exchange 2000, Lotus Notes; ou tout système sur Windows, Unix, Linux…
VerimaiLIS se compose d'une partie interface WEB permettant le paramétrage, l'activation des différentes actions, la visualisation des logs et des statistiques; d'un moteur performant traitant les emails en entrée et en sortie en mode parallèle; d'une base de données permettant le stockage des paramêtres et des logs (en différé) indépendante du moteur fonctionnant même si la base est indisponible (paramêtres en XML).
Verimailis Intègre les deux parties fondamentales du traitement de protection et de gestion de la messagerie :
- Blocage des connexions
Principe : Blocage et destructions (drop) de la connexion SMTP de l’émetteur avant la distribution du mail en cas d’émetteur hostile.
- Analyse du mail (Enveloppe,headers, Sujet, Corps)
Principe : Analyse des messages après distribution locale sur le relais VerimaiLis mais avant distribution au serveur principal de messagerie.
Analyses des connexions
Avant la distribution effective du mail, le moteur d’analyse de VerimaiLis va utiliser les informations transmises par le serveur émetteur au niveau protocolaire SMTP pour déterminer si la connexion doit être ou non acceptée. Le moteur agit en mode parallélisé et peut traiter simultanément plusieurs connexions.
Il est ainsi possible de gagner la bande passante relative au message si l’on est sûr qu’il va s’agir d’un spam ou d’une attaque (certains moyens permettent de le déterminer, et en cas de doute, la connexion est acceptée) ou encore d’un mail vers un destinataire interne inconnu (virus, attaque brute force, faute de frappe). Dans ce dernier cas, le message d’erreur généré à la connexion correspond à celui qu’aurait pu faire le serveur de messagerie par émission d’un avis de non remise pour cause destinataire inconnu mais sans bande passante utilisée sur le réseau local.
Les filtres au niveau protocolaire vont utiliser l’adresse IP source (et par là déterminer, le nom DNS, le pays d’émission etc.. et donc utiliser des listes blanches ou noires), le nom de présentation, l’email de l’émetteur au niveau du protocole et l’email du destinataire. Toutes les connexions acceptées ou refusées sont conservées pour des contrôles et statistiques. Lorsque la connexion a été acceptée, le message va être intercepté par le moteur d’analyse des message avant la distribution au serveur principal de messagerie (Si celui est arrêté, les mails sont stockés en file d’attente, ce qui représente une sécurité supplémentaire au niveau de la messagerie d’entreprise)
Analyse des messages
Chaque filtre va déterminer un état de mail qui va évoluer en fonction des contrôles positifs pour aboutir à une classification finale (mail Propre, Suspect, Spam effectif…) qui ne soit pas simplement binaire.
Ces filtres sont par exemple (sans que ces exemples soient exhaustifs car plus de 40 filtres sont disponibles) :
- IP source du message : listes blanches et noires personnelle sur connecteur, liste noire web ( serveurs paramétrables) ;
- détection des adresses IP dynamiques (câble, ADSL) ;
- Le pays d’origine du message, les horaires de réception...;
- Contrôles sur le reverse DNS et le nom de présentation de l’hôte (listes blanches et noires) ;
- Contrôles sur l’adresse email source ou destinataire;
- Contrôles sur les dissimulations HTML;
- Contrôles sur le contenu réel (c’est-à-dire débarrassé des artifices de dissimulation HTML (sujet et corps);
- Contrôles sur les attachements : extensions interdites ou invalide, correspondance type MIME/extensions...;
- Contrôles des objets externes inclus : références externes, applets,Java, contrôles Jscript, ActiveX, formulaires…;
- Contrôles plus techniques et plus sophistiqués tenant compte des dernières évolutions technologiques.
Action sur les Messages
Des actions sont exécutées pour sécuriser l'utilisation de la messagerie pour les utilisateurs finaux :
• Avertissement synthétique et journalier paramétrable aux destinataires internes des mails passés en spam, avec possibilité de récupération pouvant dégager l'administrateur de cette fonction ;
• Possibilité éventuelle (paramétrage) pour l'utilisateur de marquer pour le moteur un mail reçu comme Suspect en Spam ou en Propre avec actions automatique du moteur (listes noires ou blanches).
• Possibilité pour l'administrateur de récupérer un mail marqué comme spam avec analyse des entêtes, sujet et corps d'après rapport ou en temps réel.
• Mise en quarantaine des mails spams ou douteux ;
• Suppression des attachements douteux ou interdits avec possibilité de récupération directe par l'utilisateur ou par demande automatique à l'administrateur.
• Désactivation des éléments HTML comme les objets externes, applets et scripts ;
• Suppression éventuelle des priorités hautes des messages, ainsi que des accusés de lecture et de réception ;
• Logs des entêtes mails entrants spam ou non et des mails sortants (dans les limites légales.);
Précision et fl exibilité
• Interface HTML de paramétrage et d'action simple et ergonomique ;
• Logs complets avec tris et recherches multi-critères. • Statistiques complètes avec graphiques en temps réels (choix de plus de 50 types de graphiques). • Possibilité d'attribuer une importance à un critère de détection parmi 6 niveaux différents pour pouvoir adapter les détections selon le niveau de sécurité recherché ;
• Auto-apprentissage pour augmenter la vitesse de traitement ;
• Modification dynamique des paramétrages en fonction d'actions administrateurs ou utilisateurs ou d'événements;
• Console temps réel graphique de Visualisation des connexions entrantes et sortantes pour l'Administrateur. • Console temps réel graphique de Visualisation des mails entrants et sortants pour l'Administrateur.
Pour des renseignements techniques ou commerciaux, merci de téléphoner au 33 (0)2 99 14 74 20
Pour approfondir :
Informations sur
le site
.gif)