Sécurité Informatique

Si comme moi, vous avez des enfants qui utilisent Internet et souhaitez limiter l’accès aux sites “adultes”, voici une solution gratuite et très facile à mettre en place : BlueCoat K9 Web protection.

Bluecoat fournit des solutions professionnelles de cache et proxy pour l’industrie. A côté de cela, Bluecoat a développé une solution de contrôle parentale gratuite pour le particulier et très efficace.

Petit point faible : cette solution n’est disponible qu’en anglais, mais étant donné la simplicité d’utilisation, ça n’est pas vraiment un obstacle.

En cas d’accès à une page non autorisée, une redirection est effectuée sur la page suivante :

Read the rest of this entry »

• Les enregistrements SPF

Pourquoi un enregistrement SPF ?

Un enregistrement SPF est un enregistrement DNS type TXT qui renseigne sur les passerelles SMTP autorisées à envoyer des mails pour un domaine donné.

Ex : le domaine “domain.xyz” utilise la passerelle SMTP suivante “smtp.domain.xyz” pour envoyer ses emails, et uniquement celle-çi.

L’enregistrement SPF consiste à indiquer que seul smtp.domain.xyz envoie des emails avec pour expéditeur *@domain.xyz.

Cet enregistrement peut alors être utilisé par la passerelle de destination selon le schéma suivant :

• Réception sur smtp.cible.xyz d’un email envoyé par toto@domain.xyz
• smtp.cible.xyz interroge les DNS pour savoir si “domain.xyz” possède un enregistrement SPF (ce qui est le cas ici)
• L’enregistrement indique que cet email ne peut venir que de la machine smtp.domain.xyz
• Si c’est le cas, le mail est traité par la passerelle; dans le cas contraire le mail est rejeté.
• Si l’enregistrement SPF n’existe pas, le mail sera traité par la passerelle, mais peut-être avec des règles de filtrage plus strictes.

L’enregistrement SPF pour le domaine “domain.xyz” sera le suivant :

“v=spf1 a:smtp.domain.xyz ~all”

ou encore “v=spf1 mx ~all“

Dans le premier cas, on indique que seul (~all) le serveur smtp.domain.xyz envoie des emails venant du domaine “domain.xyz”.

Le deuxième cas, équivalent au premier, indique que seul le(s) serveur(s) enregistré(s) comme MX du domaine sont habilités à envoyer ces emails.

Vous pouvez consulter le site OpenSPF qui possède un wizard pour créer ses enregistrements SPF.

D’autres techniques similaires existent comme le SenderID de Microsoft ou le DKIM de Yahoo et Cisco, plutôt basé sur des certificats, mais ces systèmes sont plus lourds à mettre en place.

Point faible : ces systèmes sont efficaces seulement si tout le monde joue le jeu.

A suivre…

Bien configurer sa passerelle SMTP : les points à suivre.

J’occupe actuellement à un poste d’administrateur réseau où je gère aussi bien le réseau LAN WAN, la sécurité, ainsi que les passerelles SMTP (Routage SMTP, Filtrage virus et spams).

Les différents points expliqués par la suite sont ceux que j’applique dans la société pour laquelle je travaille.

Le flux mail représente environ 50′000 mails / jour pour environ 400 boîtes aux lettres.

Les enregistrements DNS

• Les MX Records

Un domaine doit posséder des MX records pour recevoir des emails : les MX records renseignent les serveurs distants sur quel hostname/IP envoyer les emails.

Admettons que le domaine soit “mydomain.xyz“, un enregistrement MX sera du type :

mydomain.xyz MX 10 smtp.mydomain.xyz

“10″ représente la priorité du serveur : admettons qu’il existe une 2ème passerelle SMTP, un enregistrement avec une priorité 20 indique qu’il est possible d’envoyer des emails vers cette passerelle, mais l’envoi doit se faire en priorité sur la passerelle d’un poids inférieur.

smtp.domain.xyz représente le hostname de la gateway SMTP du domaine. Evidemment, ce serveur doit avoir un enregistrement DNS type A, qui renseigne sur son adresse IP .

A savoir : la passerelle de priorité 20 recevra principalement du spam et très peu de mails utiles. Cela fait partie des techniques des spammeurs qui envoient sur les passerelles secondaires, car celles-ci sont parfois moins bien configurés ou un peu oubliés par l’administrateur.

• Le Reverse DNS

Toute passerelle SMTP doit posséder un enregistrement PTR permettant d’effectuer une vérification type ReverseDNS.

Exemple : Une gateway SMTP possède l’enregistrement type A suivant :

smtp.domain.xyz IN A 1.2.3.4

L’enregistrement PTR correspondant sera du type :

4.3.2.1.in-addr.arpa smtp.domain.xyz

Il est important et même nécessaire d’avoir un enregistrement PTR pour tout les serveurs MX.

Actuellement, mes systèmes sont configurés pour rejeter tout serveur ne possédant pas d’enregistrement PTR. Ceci pour la raison suivante : contrairement à l’administrateur d’un site légal, un spammeur utilisant des techniques de spoofing n’a pas la possibilité (administrative) d’enregistrer un PTR pour un domaine qu’il ne possède pas.

A suivre…

Quelles techniques pour combattre le spam ?

2 aspects doivent être pris en compte pour combattre efficacement le spam :

1. Une bonne configuration des passerelles SMTP pour l’envoi des message
2. Un différenciation efficace des mails utiles et des spams en réception

Ces 2 responsabilités appartiennent à l’administrateur de la messagerie.

Jusqu’à maintenant, le combat contre le spam s’est concentré sur le 2ème point : une recherche continue pour améliorer les moteurs de filtrage antispam.

Ces techniques vont de la “blacklist” au filtre bayesian en passant par l’empreinte mail…

Or actuellement, toutes ces techniques commencent à montrer leurs limites : tout en étant efficace, elles ne peuvent filtrer 100% du spam.

Pour arriver à ce résultat, une configuration efficace des passerelles SMTP est nécessaire : alors, le filtrage en réception devient très efficace, tout en nécessitant moins de ressources à la fois humaine et matérielle.

Le prochain article donnera quelques indications sur la bonne configuration des serveurs SMTP.