Architecture de filtrage

Architecture de filtrage

Le filtrage enveloppe élimine 90% des pourriels

Pendant la transaction SMTP, les serveurs ZEROSPAM vérifient l'intégrité et la réputation des serveurs d'expédition. Ces simples vérifications permettent de bloquer de l'ordre de 90% des connexions entrantes. Nous nommons ces vérifications le filtrage enveloppe. Par un courriel envoyé par un domaine ou une adresse IP blacklistée, par un botnet (un réseau d'ordinateurs infectés par un spammeur), un relais ouvert ou un domaine fictif est bloqué à ce niveau. De plus, certaines communications sont bloquées lorsque l'expéditeur ne respecte pas le protocole SMTP. ZEROSPAM tient aussi à jour une petite blacklist interne d'expéditeurs abusifs.

Tous les fournisseurs antispam infonuagiques rejettent un pourcentage des courriels entrants. ZEROSPAM se distingue en ayant développé un plus grand nombre de ces vérifications que d'autres fournisseurs. Après la migration vers ZEROSPAM, nos clients sont étonnés d'avoir une quarantaine beaucoup plus petite et donc plus facile à gérer.

Les message rejetés au niveau enveloppe ne peuvent pas être consultés puisque les connexions ont été refusées avant d'avoir le contenu du courriel. Nous mettons cependant à la disposition de nos clients un journal complet de toutes les transactions ayant rejoint ZEROSPAM pour leur domaines dans les 30 derniers jours. Les faux-positifs au niveau enveloppe sont particulièrement rares et indiquent typiquement un problème au niveau de l'expéditeur qui les affectera dans tous leurs envois. Par exemple, le serveur peut avoir été blacklisté par une liste publique telle Spamhaus ou bien un serveur qui n'est pas listé dans leur SPF envoie peut-être en leur nom.

La second étape de filtrage: L'analyse contenu

Les messages qui ont passé l'étape de filtrage enveloppe avec succès sont transférés à l'analyse du contenu, où ils sont sujets à plusieurs couches d'analyse faites en parallèle.

ZEROSPAM-Architecture-Filtrage-fr

Détection virale

Tous les messages passant par ZEROSPAM sont analysés par deux engins antiviraux. Les définitions antivirales de ces engins sont mis à jour tous les 30 minutes. Les messages reconnus par ces bases de données sont détruits.

Protection contre les rançongiciels, détection de fichier éxécutables et autres fichiers joints proscrits

Le vecteur le plus important dans la propagation des rançongiciels (ransomware) est l'envoi de courriels contenant des pièces jointes éxécutables par courriel. Toutes les pièces jointes dans tous les courriels qui passent par ZEROSPAM sont analysées par un engin qui déterminera si elle est éxécutable ou non. Les fichiers éxécutables Windows et Mac OS sont les plus communs mais nous reconnaissons aussi les éxécutables Linux avec notre analyse à plusieurs niveaux. Ceci détecte du code éxécutable caché dans tout type de fichier.

Les spammeurs ont plus d'un truc dans leur sac pour éviter la détection de leur pièces jointes proscrites, mais nous les détectons tous. Si le fichier est compressé, nous l'ouvrons pour analyser son contenu. Si plusieurs archives sont imbriquées comme des poupées russes, nous irons juqu'au fond pour trouver la nature de la pièce jointe. Nous analysons le type MIME déclaré mais aussi une série d'outils heuristiques pour déterminer le vrai type MIME des fichiers.

La configuration par défaut des que touts les types de fichiers éxécutables sont reconnus et mis en quarantaine sur nos serveurs. Ceci s'assure qu'ils ne peuvent pas être nocifs à moins d'être libérés de la quarantaine par un administrateur ou le destinataire.

Les pirates utilisent aussi des macros dans des documents Microsoft Office pour propager des rançongiciels puisque les macros peuvent contenir du code éxécutable. Les pirates utilisent typiquement des vieilles versions de fichiers Microsoft Office puisque depuis 2007, la suite Office ajoute la lettre m à la fin d'une extension (docm, xlsm) pour clairement indiquer que le document contient une macro. ZEROSPAM offre la possiblité de bloquer complètement les documents contenant des macros Office pré-2007. Si cette option est sélectionnée, ces messages sont automatiquement mis en quarantaine.

ZEROSPAM intègre aussi des signatures sur des campagnes actives utilisant les macros pour infecter leurs victimes. Ces signatures sont mises à jour à toutes les heures et intégrées dans notre architecture de filtrage en temps réel.

Détection de liens dangereux

ZEROSPAM analyse tous les liens dans chaque courriel de multiples manières pour s'assurer de sa sécurité. Ceci inclus :

  • analyse par nos deux antivirus
  • analyse de Sanesecurity pour des liens dangereux
  • comparaison avec un grand nombre de blacklist d'URI de bonne réputation

Algorithmes heuristiques

Les algorithmes heuristiques réfèrent à toute les règles de détection utilisées pour analyser diverses caractéristiques du message. Avant d'être classifié, un message passe par un ensemble d'algorithmes et chacun ajoute ou soustrait un petit pointage au message. Une fois l'analyse complétée, si le message atteint un certain pointage, le message est mis en quarantaine. Un message avec un très haut pointage est simplement discarté pour ne pas polluer la quarantaine.

Analyse statistique bayesienne

Cette technique demande une base de donnée consistant de milliers de pourriels et de messages légitimes, auxquels on réfère comme des corpus de pourriels et de courriels légitimes. Le contenu de chaque nouveau courriel qui passe par les filtres ZEROSPAM est analysé et le texte est segmenté. Chaque segment est comparé avec les segments similaires dans nos corpus pour déterminer la nature du message. La fréquence est calculée en utilisant le théorème de Bayes et une probabilité de légitimité est obtenue, contribuant au pointage total.

Taille du message

La taille maximale pour les messages entrants est de 50 MB. Les messages plus gros sont rejetés avec un message explicatifs. S'ils le désirent, les clients peuvent configurer une plus petite taille maximale dans notre interface de gestion.

Livraison au serveur de courriel

Les messages qui passent toutes ces vérifications sont livrés aux serveurs courriel des clients sans modifications, comme s'ils venaient directement de l'expéditeur. Le tout prend typiquement moins de 2 secondes.

Rétroaction

Puisque ZEROSPAM filtre des millions de pourriels chaque jour, notre système s'améliore constemment. En analysant ce qui nous est rapporté par nos utilisateurs et ce qui est libéré de la quarantaine, nous pouvons continuellement ajuster nos filtres pour les adapter aux réalités du courriel et du pourriel contemporain.

Il est important de noter que quand un courriel est rejeté, l'expéditeur en est avisé. Ainsi, un expéditeur légitime pourra prendre les mesures appropriés pour corriger la situation.

Liens utiles

" Une solution de qualité comme ZEROSPAM facilite notre travail. "

- A. Beaupré Groupe ABI
';