COMMENT PROTÉGER LE FLUX E-MAIL SORTANT? Evitez d être blacklisté! Auteur Vade Retro Technology Octobre 2011
Sommaire Problématique... 3 Des solutions existent... 5 Les précnisations de Vade Retro Technology... 7 2
Problématique Au travers de leurs offres d accès à internet, les FAI ou Hébergeurs proposent aux clients d utiliser leur plateforme de messagerie ou de contacter directement d autres plateformes de messagerie afin d envoyer des e-mails. Il est nécessaire de mettre en place une politique de sécurisation du flux SMTP sortant afin de préserver la réputation du nom de domaine ou de la plage IP de l opérateur. Vade Retro Technology a effectué des mesures sur le flux SMTP d une société cliente ayant une activité d hébergement : Schéma 1 Les mesures ont été effectuées le 17/10/2011 (en semaine) et le 16/10/2011 (un jour de week end) sur un total respectif de 18 719 et 4 338 e-mails. Dans le cas où le filtrage sortant n est pas protégé convenablement, le flux représenté en rouge amènera certainement à un blacklistage des adresses IP d origine et donc à une baisse de la délivrabilité. 3
Pour les clients d un opérateur, il y a deux façons d envoyer des e-mails : Au travers d un MTA mutualisé En direct au travers des routeurs de bordures pour contacter d autres MTA Schéma 2 Problématique du sortant Peu importe le moyen utilisé pour envoyer de l e-mail. En proposant un service de routage sortant, les opérateurs font face à trois menaces : Les machines infectées des clients qui envoient un nombre important de spam. Ces machines deviennent membres d un réseau de botnets. Ces derniers ont auparavant utilisé une faille du système pour introduire le malware. La présence d un client qui souhaite en toute connaissance de cause envoyer du spam au travers des liens de l opérateur. La présence d un client annonceur qui expédie un nombre important d e-mails à caractère commercial ou newsletters à une liste d adresses non vérifiée provocant un nombre important de plaintes auprès des FAIs. En proposant ce service, l opérateur fait face à tous ces risques. Chaque menace citée ci-dessus peut entrainer un blacklistage ou une inscription automatique en RBL (Real-Time Black List). L impact est direct car tout ou partie de ses clients ne peuvent plus envoyer d e-mails. En effet ceux-ci seront automatiquement arrêtés par les filtres présents sur les MTA de destination des opérateurs ou des entreprises utilisant les RBL. Pour ne plus être présent les listes noires des FAI ou des sociétés de RBL, il faut soit prendre contact avec ces dernières, soit attendre un éventuel timeout présent sur la liste et, dans tous les cas, appliquer des mesures face à la situation. En étant présent dans des listes de RBL, les FAIs et Hébergeurs sont dépendants d un tiers pour assurer leur délivrabilité. 4
Des solutions existent Solution 1 : Centraliser la protection La solution 1 consiste à bloquer le flux SMTP sortant sur le routeur de bordure lorsque celui-ci ne vient pas des MTA. Ainsi la protection du flux sortant est centralisée. En fonction de l usage des utilisateurs, router le flux SMTP sortant directement vers les serveurs MTA est plus transparent que l interdiction. Schéma 3 - Protection centralisée Cette manipulation exige que la plateforme MTA soit suffisamment dimensionnée pour recevoir l ensemble du flux et protégée par un moteur de filtrage adapté aux spécificités du flux sortant. 5
Face à ce changement de politique de sécurité, il est essentiel de prévoir une adaptation du comportement du flux sortant. En effet, étant donné que chaque e-mail sortant sera filtré, il est donc possible que les plateformes centralisées deviennent la cible directe des cybercriminels et reçoivent un certain nombre d attaques de déni de service, de phishing ou subissent une augmentation du reverse-engineering afin d outrepasser le filtrage. Il se peut donc que cette modification entraine une augmentation globale du flux de transit. Il est donc primordial que le moteur de filtrage placé sur les MTA soit en mesure d analyser les e-mails avec un délai de traitement très court. Solution 2 : Gestion de la réputation Schéma 4 Gestion de la réputation Des systèmes de routage d adresses IP existent. Associés à une détection fine du flux, ils permettent d afficher les adresses IP de sous réseaux à la réputation prédéfinie. Ainsi lorsqu un client est détecté comme émettant du flux abusif, celui-ci est routé avec une «bad IP» et verra ainsi sa délivrabilité dégradée tout en préservant celle des autres clients. Cette solution a pour avantage d être transparente en termes de changements à prendre en compte par les utilisateurs tout en protégeant les plages d adresses IP de l entreprise. 6
Les préconisations de Vade Retro Technology Vade Retro Technology préconise la mise en place de l architecture décrite en «Figure 3», associée à son moteur de filtrage spécifiquement adapté au flux sortant. N étant pas face au même type de flux, le comportement du moteur a été adapté ce qui permet de conserver l efficacité reconnue de la technologie Vade Retro sur du flux entrant comme sortant. En alliant le moteur de filtrage Vade Retro à une solution de routage IP, il est possible de mesurer le taux de spam, de publicité, notifications et virus à travers le flux SMTP sortant tout en identifiant l origine ainsi qu en assurant une délivrabilité propre à chaque client. Cette architecture alliée à une protection antispam sortant Vade Retro Technology sur les relais de messagerie, garantie la bonne réputation de votre place d adresses IP et sécurise durablement l ensemble de votre flux SMTP sortant. 7
A propos de Vade Retro Technology Avec la protection de plusieurs centaines de millions de boîtes aux lettres dans le monde, Vade Retro Technology est le spécialiste de la messagerie contre tous les types de courriers indésirables. Outre la protection des plus grands fournisseurs d accès Internet français et internationaux, l entreprise protège également des milliers de PME et grandes entreprises ainsi que plusieurs millions d indépendants et particuliers. 40C3V3-05/12 FR SASU VADE RETRO TECHNOLOGY au capital de 268 831 3 avenue. Antoine Pinay, Parc d activité des 4 vents, 59 510 HEM France RCS Rbx Tourcoing - 509 568 416