Comment sécuriser la messagerie électronique ?

La messagerie électronique au premier rang de la communication

Malgré l’adoption massive et la démocratisation des « nouveaux moyens de communication » (réseaux sociaux d’entreprises, solutions collaboratives, messageries instantanées, …), la messagerie électronique reste encore aujourd’hui l’un des principaux moyens de communication dans l’entreprise.Messagerie - Communication

Elle est également l’un des principaux vecteurs de diffusion des menaces (Phishing, Malware, Ransomware, Advanced Persistent Threats, Usurpation d’identité, Tentatives de fraude, Spam, …).

Pourtant, force est de constater que ces derniers temps, la messagerie n’est pas, ou n’est plus, le principal service sur lequel les entreprises concentrent leurs efforts en terme de sécurité. Les raisons de cette baisse de vigilance sont multiples : anticipation d’une future migration vers des services Cloud, discours efficace des fournisseurs de solutions de sécurité, discrétion accrue des nouvelles menaces, …

Les pirates font pourtant preuve d’une ingéniosité grandissante et mettent au point en permanence des mécanismes avancés permettant de mettre en difficulté les solutions historiques de sécurité (antispam/antivirus). Messagerie électronique - Piratage logicielsLes infections récentes basées sur les malware Locky ou Cryptolocker et leurs variantes en sont de bonnes illustrations.

Par ailleurs, le respect de bonnes pratiques d’implémentation permet de contribuer de manière significative au niveau de sécurité, et en complément, au maintien d’une bonne image de marque (image de l’entreprise vis-à-vis de ses tiers, et image d’une DSI vis-à-vis de ses utilisateurs) par leur contribution à la fonction principale du service : l’acheminement des messages à leur destinataire !

Cet article tentera de résumer les bonnes pratiques à suivre, les solutions pertinentes que celles-ci soient techniques ou non, afin de maintenir un niveau satisfaisant de sécurité d’un service de messagerie électronique.

Il sera possible d’utiliser ce contenu comme une sorte de « check list » permettant d’évaluer votre service.  Les préconisations indiquées sont suffisamment génériques pour assurer leur indépendance vis-à-vis des choix technologiques implémentés. Elles s’appliquent à la fois aux infrastructures de messagerie électronique hébergées en interne dans l’entreprise, ainsi qu’aux systèmes souscrits sous forme de services (Messagerie Cloud, SaaS, IaaS). Bien sûr, dans ce dernier cas, bon nombre de mesures de sécurité seront déjà incluses dans le service souscrit, et les éléments décrits ici pourront servir de points de contrôle.

Planifier la mise en œuvre du service

Lors de la planification de la mise en œuvre d’un service de messagerie électronique, certains éléments de conformité vis-à-vis des spécifications standardisées (IETF, RFC) vont avoir une incidence importante sur le bon fonctionnement du service et l’image qu’il peut rendre vis-à-vis de ses tiers ou de ses utilisateurs.

Enregistrements WHOIS

Les enregistrements WHOIS, souvent peu complets, sont vérifiés en détails par les gestionnaires des principales Blacklists d’Internet (DNSBL, CBL, Spamhaus, Senderbase, …). Ces Blacklists sont utilisées par la plupart des solutions antispam du marché. Ainsi une non-conformité vis-à-vis de ces standards peut conduire à un blacklistage et donc nuire au bon acheminement des messages légitimes.Messagerie - Whois

Les données WHOIS doivent préciser l’adresse e-mail Abuse@ correspondante au domaine ainsi qu’un maximum d’informations de contact. Ils doivent également être maintenus à jour en cas de changement.

Les données doivent impérativement être valides et vérifiables, notamment en ce qui concerne :

  • La localisation géographique de l’entreprise
  • La personne responsable du domaine
  • Ses coordonnées de contact

En effet, les gestionnaires de Blacklists peuvent vérifier en détail l’intégralité des informations WHOIS, dans le but de détecter des domaines non légitimes, potentiellement utilisés dans des cas de malveillance. Il doit donc être possible (ou à minima « sembler possible ») d’entrer en contact avec les contacts référencés dans les bases WHOIS.

Boîtes aux lettres Abuse@domaine et Postmaster@domaine

Ces boîtes permettent aux tiers et à l’ensemble des utilisateurs d’Internet victimes d’abus et de contenus illicites (message indésirable, phishing, malware, …) d’envoyer une plainte sous forme d’email.Messagerie - Signalement

Ces boîtes sont ainsi des supports de détection de l’ensemble des éventuels problèmes remontés par les acteurs d’Internet et permettent ainsi de les corriger au plus vite.

Ces boîtes doivent impérativement exister, et être consultées le plus régulièrement possible.

En effet, la non-existence de l’une de ces boîtes (ou des deux) est à elle seule un critère de Blacklistage.

De plus, certains gestionnaires de Blacklists (DNSBL) envoient des messages sur ces boîtes et demandent d’en confirmer la lecture en cliquant sur un lien. Si rien n’est fait dans un temps imparti, le score du domaine visé se dégrade au sein de la DNSBL et peut ainsi conduire à un Blacklistage

Enregistrements DNSMessagerie DNS

Les enregistrements DNS doivent également être réalisés méthodiquement et adresser principalement les points suivants :

  • L’adresse IP d’un service de messagerie électronique doit posséder un enregistrement inverse (Reverse DNS) de type « FQDN » (Fully Qualified Domain Name, de la forme « nom-serveur.domaine.com »). Ce FQDN doit lui-même porter l’adresse IP initiale dans son enregistrement DNS principal.
  • Le FQDN d’un service de messagerie doit être exactement le même que le nom d’hôte spécifié dans la séquence « HELO » lors de l’envoi d’un message depuis ce serveur.
  • Le nom de domaine ainsi présent dans les FQDN des services de messagerie électronique (et dans leur messages HELO) doit impérativement posséder un enregistrement DNS de type MX associé. L’objectif étant de démontrer que le domaine n’est pas uniquement utilisé pour envoyer des e-mails mais qu’il présente également la possibilité d’en recevoir.
  • De plus, cet enregistrement MX doit pointer vers un (ou plusieurs) enregistrement(s) de type FQDN qui doivent chacun renvoyer vers une adresse IP unique et précisée (champ A de l’enregistrement DNS).

Ces quatre points sont systématiquement contrôlés par l’ensemble des solutions antispam du marché lors de la réception d’un message, et une partie significative du scoring (score de confiance) attribué à un message est basé sur ces éléments. Ils sont généralement simples à mettre en œuvre conformément aux standards, et ainsi permettre de « marquer des points ».

Cas particulier des enregistrements DNS « SPF »

De plus en plus fréquemment, les entreprises font usage de solutions applicatives totalement externalisées (applications SaaS). Ces solutions doivent souvent envoyer des messages vers vos utilisateurs en se faisant passer pour des utilisateurs internes à votre organisation, appartenant à votre domaine (ce que l’on pourrait appeler des « usurpations légitimes d’identité »)

Les enregistrements SPF (Sender Policy Framework) permettent de déclarer des adresses (ou plages d’adresses de serveurs de messagerie externes autorisés à recourir à ce type de principes. Vous pourrez alors paramétrer vos outils antispam pour rejeter toute tentative d’usurpation provenant de serveurs non déclarés dans les enregistrements SPF de votre domaine.

Messagerie - Enregistrements SPF

Sécurisation des serveurs de messagerie électronique

Ces quelques mécanismes relativement simples à mettre en œuvre s’appliquent à tout service de messagerie électronique et contribuent significativement à leur niveau de sécurité.

Open Relay

Le principe de l’Open Relay consiste, sur un serveur de messagerie électronique, à accepter les envois de mails depuis n’importe quelle origine et vers n’importe quel destinataire, rendant leur utilisation possible en tant que relais de Spams.Messagerie - Open Relay

De nos jours, il est de plus en plus rare que les serveurs de messagerie soient configurés de cette manière, néanmoins il est préférable de contrôler ce paramètre.

Un serveur correctement configuré doit accepter les mails entrants uniquement s’ils sont à destination d’adresses mails appartenant à votre domaine, et éventuellement depuis des adresses IP définies, et/ou ayant pour émetteur un domaine connu et approuvé.

En-tête des messages

Les clients de messagerie électronique, les serveurs et les solutions antispam ajoutent généralement des entêtes aux messages afin d’assurer leur distribution au sein de l’infrastructure. Bon nombre de ces entêtes contiennent des informations sensibles sur la topologie du Système d’Information (noms de serveur, adresses IP internes, informations sur les solutions de sécurité utilisées, …). Ils sont utilisés pour le bon acheminement des communications internes, mais n’ont plus aucune utilité une fois que les messages sont envoyés à l’extérieur. Un attaquant peut mettre à profit ces informations pour mieux cibler la construction de ses attaques vers votre organisation.

Messagerie - Entêtes

 

Ces entêtes doivent être supprimés avant l’envoi des messages vers des destinataires externes. Le mécanisme automatisé de suppression est communément appelé « Header Stripping ». Il peut être effectué, au choix, soit sur le serveur de messagerie, soit sur la solution antispam, soit idéalement sur les 2 conjointement.  Il s’agit d’une fonctionnalité offerte par la plupart des solutions de messagerie électronique du marché.

Authentification

Messagerie - Authentification

Afin de s’assurer que seuls les émetteurs autorisés ont la possibilité d’émettre des messages, il est nécessaire d’activer l’authentification SMTP sur tout serveur utilisé pour les envois (en interne ou vers l’extérieur). Ce mécanisme permet également une traçabilité détaillée des envois et une lutte plus efficace contre les malware émetteurs de Spams (ceux-ci devant compromettre les identifiants afin de réaliser des envois).

Les serveurs de messagerie électronique supportent généralement cette fonction (SMTP AUTH ou ASMTP). Ainsi, tout émetteur de message (utilisateur, application, système, …) doit disposer d’un compte (et d’un mot de passe) lui permettant de démontrer son identité avant d’être en mesure d’envoyer des messages. Dans la plupart des cas, cette authentification pourra s’appuyer sur un annuaire interne (ex : Active Directory, nativement supporté sous Exchange notamment).

Chiffrement

Messagerie - ChiffrementInitialement, les protocoles de messagerie électronique (SMTP) n’étaient pas conçus pour assurer la confidentialité et l’intégrité des communications. Aujourd’hui, cette lacune a été comblée par la mise en œuvre d’une encapsulation des protocoles dans des canaux sécurisés SSL/TLS. Ce mécanisme présente également l’avantage de vérifier l’identité des serveurs de messagerie distants (vérification qu’ils sont bien ceux qu’ils prétendent être).

La problématique réside dans le fait que les acteurs (clients et serveurs de messagerie électronique) ne sont pas encore tous compatibles avec cette technologie.

C’est pourquoi l’activation de ces mécanismes doit être effectuée de manière prudente :

  • Sur la réception de messages provenant de l’extérieur, son activation doit permettre l’utilisation « optionnelle et préférée » du chiffrement, laissant la possibilité à des serveurs de messagerie électronique anciens de continuer à envoyer les messages en clair. Ce mode est souvent appelé « TLS Preferred » reposant sur le mécanisme StartTLS.
  • Sur l’émission de messages vers l’extérieur, les serveurs de messagerie électronique doivent être paramétrés pour systématiquement tenter d’activer le chiffrement, et choisir l’envoi en clair uniquement si les serveurs distants ne le supportent pas.
  • Sur la communication des clients de messagerie internes avec vos serveurs, son activation doit être obligatoire. Les serveurs de messagerie ne devront pas accepter de communications internes non chiffrées. Sauf bien sûr s’il vous est impossible de résoudre les éventuels problèmes de compatibilité associés.

Enfin, le chiffrement SSL est aujourd’hui démontré comme insuffisamment fiable car celui-ci comporte des vulnérabilités de conception qu’il est désormais impossible de corriger. Il est donc nécessaire de lui préférer le mécanisme TLS, idéalement dans sa plus récente version (TLS 1.2 et bientôt 1.3).

Lutter contre le courrier indésirable

Messagerie SPAMSelon les organismes de lutte contre le SPAM et nos observations au sein de diverses grandes entreprises, entre 70 et 80% du volume de messagerie électronique reçu par une entreprise concerne les courriers indésirables, à vocations diverses (sollicitations commerciales, tentatives de fraude, propagation de malware, tentatives de vol d’information personnelles, …).

Les solutions antispam

L’objectif ici n’est pas de fournir un guide de sélection d’une solution antispam. En effet, de très nombreuses solutions contre le spam sont disponibles sur le marché ainsi que dans le monde du logiciel libre (SpamAssassin notamment), avec des approches de fonctionnement différentes (sous forme de services SaaS, de passerelles de messagerie, d’agent de protection sur les postes de travail, …), et des fonctionnalités de plus en plus étoffées et en constante évolution. Ce sujet pourrait faire l’objet d’un dossier à part entière. Le site http://www.anti-spam.fr/ donne de bons éléments de départ dans le choix d’une solution.

L’essentiel est que face à ces chiffres et aux typologies de menaces concernées, la mise en œuvre d’une solution antispam efficace fait donc figure d’incontournable pour tout service de messagerie électronique.

Celle –ci doit bien sur permettre de contrôler les messages entrants afin d’assurer la protection du SI et de ses utilisateurs, mais également assurer le contrôle des messages sortants afin notamment de :

  • Eviter un potentiel blacklistage de votre service de messagerie, ce qui aurait des conséquences néfastes sur l’image de marque de votre entreprise ainsi que sur l’acheminement de vos communications légitimes.Messagerie - Blacklists
  • Détecter la présence d’un logiciel malveillant émettant d’importants volumes de messages.

Les méthodes des spammeurs étant en constante évolution afin de réussir à contourner les protections antispam du marché, il est bien entendu nécessaire de constamment maintenir à jour ces solutions.

Les  quotas d’émission

La mise en œuvre de quotas d’émission peut être décidée après observation du trafic email habituel des utilisateurs. Plus ces quotas seront restrictifs, moins les risques de blacklistage seront important, mais les utilisateurs envoyant un volume d’emails conséquent risquent de manifester leur mécontentement, ce qui pourrait être préjudiciable pour le service fourni par votre organisation informatique.Messagerie - Quotas d’émission

Par ailleurs, le dépassement d’un quota permettra la génération d’alertes indiquant la présence potentielle d’un code malveillant sur le poste des utilisateurs concernés, permettant ainsi une réponse rapide et efficace face à ce type de menace.

La plupart des solutions antispam et des serveurs de messagerie du marché ou du monde Open Source permettent la mise en œuvre de ce type de quotas.

Lutter contre les codes malveillants

Antivirus

Primordiale également, l’analyse antivirale des contenus des messages électroniques peut être réalisée à différents niveaux :

  • Par la solution antispam sur les messages en transit. La plupart des solutions antispam du marché incluent cette fonction nativement, bien souvent au moyen de plusieurs moteurs antivirus
  • Par les serveurs de messagerie électronique, à la fois sur les messages en transit (analyse temps réel) et sur les boîtes mails des utilisateurs (analyse planifiée)
  • Par les postes de travail, à l’arrivée des messages sur le poste, et sur les messages contenus dans le client de messagerie.

Parmi les fonctionnalités principales attendues de ce type de solution, nous pouvons citer :

  • L’analyse de fichiers, pièces jointe en vue de détecter des logiciels malveillants (virus, malware, ransomware, adware, spyware, …)
  • L’analyse des liens (URL) contenu dans les mails, en les comparant avec des bases de connaissances appelées « base de réputation » (URL connues pour héberger des menaces de type code malveillant, contrefaçons de sites Internet, formulaires utilisés dans des attaques de type phishing, etc.).Messagerie codes malveillants

Les solutions antivirus dites « classiques » reposent sur la comparaison d’un contenu avec une base de menaces connues (base de signatures) régulièrement mise à jour par leurs éditeurs. Ce principe de fonctionnement implique que la pertinence d’une solution antivirus est directement liée à la réactivité de son éditeur dans la détection de nouvelles menaces et dans la diffusion des mises à jour associées. Or, tous les éditeurs ne font pas preuve du même degré de réactivité face à une menace donnée. Ils peuvent s’avérer très réactifs et pertinents sur une typologie de malware, tandis que leurs concurrents seront plus efficaces sur d’autres typologies.

C’est pourquoi il est fortement recommandé d’appliquer les principes dits de « défense en profondeur », visant à faire en sorte que les faiblesses éventuelles d’une solution soient compensées par une autre. En pratique, cela revient à utiliser :

  • Une solution antimalware d’un éditeur X couplée à la solution antispam
  • Une solution antimalware d’un éditeur Y sur les serveurs de messagerie
  • Une solution antimalware d’un éditeur Z sur les postes de travail

Ce principe permet d’optimiser la capacité de contrer un malware récent, pour lequel l’ensemble des éditeurs n’auront pas encore eu le temps  d’apporter une réponse adéquate.

 

Le SandBoxingMessagerie - SandBoxing

Les menaces de type malware, ransomware, spyware, … évoluent très rapidement, et leurs concepteurs appliquent de plus en plus de méthodes leur permettant de contourner la détection des solutions antimalware classiques. Ceux-ci sont de plus en plus mis en difficultés face ces évolutions.

On peut citer pour exemple :

  • Utilisation du chiffrement : un fichier malveillant est crypté avec une clé de chiffrement différente pour chaque organisation ciblée. La conséquence est que la signature (Hash) du fichier est différente à chaque émission. La solution antivirale doit donc apprendre la nouvelle signature avant d’être efficace contre cette menace, ce qui induit un délai conséquent (dû à l’analyse par les équipes de l’éditeur, à la publication et à l’application des mises à jour associées)
  • Hébergement du code malveillant sur des serveurs Web, généralement sur des serveurs piratés. Le fichier ne contient pas le code malveillant, il le télécharge quand l’utilisateur ouvre la pièce jointe. Le seul élément que la solution antivirale est en mesure de détecter est l’adresse du serveur de téléchargement, et ce uniquement si le serveur est déjà connu de la solution.

Les solutions de SandBoxing (« bac à sable »), en forte progression ces dernières années, viennent combler ces différentes lacunes, en apportant une analyse immédiate du comportement des fichiers attachés aux messages électroniques.

Chaque pièce jointe ou lien URL contenu dans les mails est alors exécutée dans un environnement de « bac à sable », c’est-à-dire une machine virtuelle, isolée du reste du réseau, dont le système est personnalisé pour refléter l’environnement technique de l’entreprise (même système, même lecteur de PDF, même solution bureautique, …). La solution de SandBoxing analyse alors de manière détaillée le comportement de la pièce jointe (ou du lien URL), en observant notamment :

  • Les lectures / écritures sur le système de fichiers
  • Les lectures / écritures dans la base de registre
  • Les connexions réseau

Toute détection de comportement typique d’un code malveillant permet alors de bloquer l’acheminement du message, et ce y compris pour une menace inconnue.

Là encore, des méthodes de contournement ont été imaginées et appliquées par les attaquants pour échapper à ces solutions. Par exemple : la détection de l’exécution dans une machine virtuelle, ou la mise en œuvre de « minuteurs » (le malware attend un certain temps avant d’exécuter ses actions malveillantes, dépassant le délai acceptable d’une analyse par le SandBoxing), mais heureusement les éditeurs ont su faire face à la plupart d’entre elles en proposant des contre-mesures efficaces. C’est la « course du chat et de la souris ».

Ce type de solution apporte donc un bon niveau de protection face aux nouvelles menaces et aux attaques ciblées (APT, soit Advanced Persistent Threats), et devient donc un incontournable des solutions de sécurité, principalement pour les grandes entreprises car le coût des solutions éditeurs reste élevé.

Heureusement, des solutions Open Source existent également et sont prometteuses, permettant d’assurer un bon niveau de protection à moindre coût (Ex : Cuckoo https://www.cuckoosandbox.org)

Sensibiliser les utilisateurs

Messagerie - Sensibiliser les utilisateursFace à l’évolution rapide des menaces utilisant la messagerie comme vecteur, le dernier rempart, et non des moindres, est encore une fois l’humain. L’utilisateur joue un rôle primordial dans le niveau de sécurité du SI, et tous les utilisateurs du SI sont concernés.

Des utilisateurs suffisamment sensibilisés aux risques auxquels le SI doit faire face aujourd’hui, seront en mesure de réagir efficacement dans le cas d’une attaque ayant réussi à traverser les mécanismes de sécurité en amont.

Ainsi, il convient de régulièrement rappeler aux utilisateurs :

  • Les mécanismes des principales menaces (vol d’information, tentatives de fraude, propagation virale, …)
  • Les impacts potentiels de ces menaces
  • Les bonnes pratiques à appliquer au quotidien :
    – Supprimer les e-mails douteux sans les lire,
    – Ne pas ouvrir les pièces jointes ou les liens contenus dans des mails provenant d’expéditeurs inconnus,
    – Diffuser l’adresse e-mail professionnelle à bon escient, et la communiquer uniquement aux personnes ou organismes
    de  confiance offrant un service utile et reconnu,
    – Alerter les équipes en charge de la Sécurité du SI en cas de doute.

Anticiper, Détecter et Réagir

Messagerie- Anticiper, détecter et réagirEn complément à l’ensemble des mesures de sécurité et bonnes pratiques énoncées, il est également important d’adopter une attitude proactive afin d’anticiper ou détecter au plus tôt un problème de sécurité.

Les actions pouvant être menées sont multiples, par exemple :

  • Analyser régulièrement les rapports et logs des solutions antispam / Antivirus / SandBox pour identifier les comportements anormaux, investiguer et répondre efficacement en cas de problème identifié
  • Réaliser des tests d’acheminement des messages (« deliverability »): Un moyen simple d’évaluer le niveau de « deliverability » associé à un service de messagerie consiste en la création, chez les principaux FAI et hébergeurs mondiaux, de boites mails de test. L’envoi de messages à ces adresses et l’analyse de leur distribution permettra de donner un indicateur de deliverability  précis.
  • Consulter les référentiels de Blacklists (CBL, DNSBL, Spamhaus, Senderbase, Virustotal, RFC Clueless …) : Consulter régulièrement ces référentiels permet d’identifier la présence des adresses de vos serveurs de messagerie dans les « Blacklists », et ainsi vous permet de réagir rapidement en cas de blacklistage. Les raisons des blacklistage sont souvent indiquées par les gestionnaires, vous permettant d’identifier la source du problème afin de lancer des actions correctives.
  • Contrôler régulièrement l’état de mise à jour de vos solutions de sécurité (antispam, Antivirus, SandBoxing, serveurs de messagerie, clients, …) idéalement au moyen d’une supervision automatisée, avec remontée d’alertes en cas d’échec de mise à jour.
  • Auditer régulièrement vos infrastructures en :
    – Faisant appel à un cabinet externe indépendant spécialisé dans les audits de sécurité,
    – Utilisant ce dossier comme une « check list », et en contrôlant régulièrement point par point la bonne implémentation
    des mesures énoncées.

 

No votes yet.
Please wait...