Retour d expd expérience sur le choix d une d solution Antispam au LAPP Muriel Gougerot Sylvain Garrigues 1/26
Le LAPP Laboratoire d Annecyd Annecy-le-Vieux de Physique des Particules UMR 5814 (Université de Savoie CNRS/IN2P3) 200 personnes sur le site Muriel Gougerot Sylvain Garrigues 2/26
Quelques infos sur le spam Plus de 90% du trafic mail mondial est du spam Bientôt 100 milliards/jour Depuis 2006 : spam image en hausse (>25% total) Détection plus difficile Augmentation de la taille des mails et donc du trafic Moins de virus, plus d escrocs (phishing,, déstabilisation d des cours boursiers ) Organisations mafieuses Moins de virus, plus d Utilisation massive de PC zombies pour spammer Muriel Gougerot Sylvain Garrigues 3/26
Quelques techniques contre le spam Analyse du spam (analyse de bo (analyse de boîtes obsolètes, trafic ) Bases de connaissances/réputations/signatures Analyse des évolutions de volumes («suspects Filtrage/analyse de contenu (mots-cl clés, html, ) Filtrage bayésien (apprentissage ex : Thunderbird) Listes blanches, grises et noires (ORBL, ) Reverse DNS (pas toujours légitime) l OCR (reconnaissance de caractères res dans les images) suspects») Muriel Gougerot Sylvain Garrigues 4/26
Système antispam actuel Logiciel Postfix + Spamassassin + Amavisd 400 000 mails reçus par semaine (80% de spam) Mécanisme antispam : calcul de score Règles de SpamAssassin (mises à jour gratuites) Apprentissage type Bayésien Auto liste blanche Bases de signatures de spam (Razor( Razor) Ajout d éd émetteurs connus dans les listes blanches au besoin Non utilisé : listes grises, reverse DNS, ORBL Complément ment éventuel au niveau du client (Thunderbird) Muriel Gougerot Sylvain Garrigues 5/26
Situation actuelle Avantages : Logiciel libre (gratuit) Inconvénients nients : Suivi quasi quotidien : mise à jour de règles, r liste blanche sur demande, vérification v des rejets (traces, quarantaine) et relâchement Quarantaine non accessible aux utilisateurs Renouvellement du serveur à prévoir (charge) Muriel Gougerot Sylvain Garrigues 6/26
Solutions possibles Service hébergh bergé Module client Module serveur Firewall applicatif (analyseurs de contenus) Passerelle antispam Muriel Gougerot Sylvain Garrigues 7/26
Service hébergh bergé (Externalisation) Pas besoin d infrastructured Service peu personnalisé pas toujours adapté Pas de maîtrise Contact et réactivitr activité Risque de perte de confidentialité Muriel Gougerot Sylvain Garrigues 8/26
Module client Non compatible avec tous les clients Installation / formation des utilisateurs Le serveur transmet tous les spams (charge) Volume des messages (sauvegarde) Charge du client et trafic réseau r inutile Muriel Gougerot Sylvain Garrigues 9/26
Module serveur Intégr gré sur le serveur de mail (solution actuelle) Surcharge le serveur Pas de compatibilité avec un autre serveur de mail (si migration vers Exchange par ex.) Muriel Gougerot Sylvain Garrigues 10/26
Firewall applicatif (analyseur de contenus) Agit au niveau des protocoles réseaux r : uniquement flux non chiffrés s (http, ftp, smtp, imap,, pop ) Solution assez complète (FW, analyse les mails + www + vers + malwares ) Charge CPU importante Perte de bande passante au Gigabit (partage de charge nécessaire n pour un débit d >600Mbps) En cas de problème, tout le trafic est coupé Coût élevé en version Gigabit, surtout si redondance Muriel Gougerot Sylvain Garrigues 11/26
Passerelle antispam (en entrée e de site) Fonctionnement : Solution déclard clarée e en MX Reçoit tout le trafic mail (entrant + éventuellement sortant) Analyse et filtre les spams Transfère re les mails légitimes l vers les serveurs pour distribution Compatible avec tout serveur de mail Existe sous 2 formes : Serveur classique 1 serveur supplémentaire à gérer (OS ) Système autonome («( Appliance») moins de maintenance, mises à jour automatiques Muriel Gougerot Sylvain Garrigues 12/26
Fonctionnalités s demandées es Quarantaine accessible par l utilisateurl Mail de type «Digest» régulier Fiabilité (faible taux de faux positifs) et robustesse Administration minimale ( ( appliance) Muriel Gougerot Sylvain Garrigues 13/26
Solutions étudiées MailInBlack (présentation commerciale) esafe de Aladdin (démonstration) Norman Email protection (test/maquette) Logiciel puremessage de Sophos (test/maquette) Appliance puremessage de Sophos (test) IrontPort de Cisco (test) BrightMail de Symantec (test) Muriel Gougerot Sylvain Garrigues 14/26
Fonctionnalités s généralesg des solutions évaluées Installation/Administration Fonctionnement du filtrage antispam Traces Monitoring Possibilités s de redondance Gestion des utilisateurs Résumé de quarantaine (message «digest») Quarantaine pour l utilisateurl Profil utilisateur Muriel Gougerot Sylvain Garrigues 15/26
Installation / Administration Appliance // Serveur + OS + logiciel(s) Complexité de l installationl Interfaces : HTTP, console, SSH, TSE Finesse du paramétrage Convivialité Mises à jour des règles r de filtrage (fréquence) Mises à jour du logiciel Exportation de la configuration (reprise d activitd activité) Muriel Gougerot Sylvain Garrigues 16/26
Filtrage antispam 2 philosophies de filtrage : Expéditeur humain ou robot? challenge CAPTCHA Quel avenir face à Melissa? Sur la connexion et/ou le contenu À l établissement de la connexion SMTP (Réputation..) À la réception r des entêtes (destinataire invalide ) Après s analyse du contenu (heuristiques, images, signature ) Muriel Gougerot Sylvain Garrigues 17/26
Traces Niveau de détail d selon le type de rejet Possibilités s de recherches Muriel Gougerot Sylvain Garrigues 18/26
Monitoring Activité instantanée Rapports d activitd activité sur une période: p Graphiques / Listes Logiciel compagnon Modèles personnalisables Automatisation SNMP (Mib( propriétaire) Muriel Gougerot Sylvain Garrigues 19/26
Gestion des utilisateurs Comptes locaux // Intégration LDAP / AD Politique de filtrage par groupes (intérêt d une d politique par défaut) d Authentification pour l accl accès à la quarantaine Vérification des adresses valides (listes!) Gestion des aliases Muriel Gougerot Sylvain Garrigues 20/26
Résumé de quarantaine («digest») Déclenchement (programmé/à la demande) Niveau de détail d variable (champs : de, objet, date, ) Ergonomie (tris par probabilités, consultation ) Accessible depuis tous les clients? (modes texte, HTML, VBScript ) Mail actif (relâchements ) ) ou accès à la quarantaine avec/sans authentification Muriel Gougerot Sylvain Garrigues 21/26
Quarantaine Utilisateur Accès s par lien hypertexte depuis digest ou authentification Personnalisation (langues ) Fonctions de base (consultation/relâchement/suppression) Ergonomie (sélections multiples) Possibilités s de recherches Pages statiques (mise à jour asynchrone) // dynamiques Latences Aliases (attention : 1 quarantaine par alias!) Nettoyage automatique (rétention par défaut d de n jours) Muriel Gougerot Sylvain Garrigues 22/26
Profil utilisateur Géré par l administrateur l et/ou l utilisateurl Augmentation de la durée e de rétention r (vacances) Choix langue Listes blanche/noire (jokers) Muriel Gougerot Sylvain Garrigues 23/26
Autres fonctionnalités Gestion de plusieurs domaines Antivirus Détection proactive (rétention temporaire) Prévention d attaques d : Directory Harvest Filtrage messagerie instantanée Relais en mode authentifié Possibilités s de redondance Muriel Gougerot Sylvain Garrigues 24/26
Redondance Au niveau du matériel : Alimentation, raid, double attachement réseaur Possibilité de redondance avec n matériels : Mode actif/passif Mode actif/actif (équilibrage( de charge ) Muriel Gougerot Sylvain Garrigues 25/26
Conclusion Beaucoup de produits mais tous différents! Pas de solution universelle : chaque unité a une architecture et des besoins propres! Se renseigner sur les fonctionnalités s existantes Définir les fonctionnalités s nécessaires/utilesn Sélectionner le matériel qui semble le plus adapté mais surtout : Faire des tests pour conforter son choix! Muriel Gougerot Sylvain Garrigues 26/26