Premièrement : Si vous êtes un administrateur informatique féru de sécurité, cet article n’est pas pour vous. Cela vous semblera assez évident en fait. Si vous êtes un généraliste en TI et que l’exploitation d’un serveur de messagerie n’est qu’une partie de vos nombreuses tâches, cette information pourrait être pour vous.
De temps à autre, un client (ou un client potentiel) qui n’utilise pas notre produit ou qui utilise le produit de quelqu’un d’autre appelle notre ligne d’assistance, mais il se retrouve toujours sur la liste noire des FAI en amont.
Le client vérifie les files d’attente de son serveur de messagerie et ne voit pas d’arriéré sérieux de courrier (à part les domaines qui le mettent sur liste noire).
Alors, que se passe-t-il?
Il y a de fortes chances que l’un des systèmes du réseau ait été compromis et qu’il soit utilisé comme spambot.
Habituellement, un ver ou un virus infecte une machine ou un poste de travail et ce système est détourné et enrôlé » dans un vaste réseau de machines compromises qui font généralement plusieurs choses : distribuer des attaques par déni de service par exemple, ou agir comme un zombie de pourriel. La plupart de ces gangs » qui exploitent des réseaux de zombies utiliseront les systèmes pour envoyer des pourriels à des tiers moyennant des frais. C’est l’une des principales méthodes qu’ils utilisent pour monétiser les botnets.
Si vous n’avez pas autant de systèmes sur votre réseau, vous pouvez facilement déterminer quels systèmes ont été compromis.
Sur les systèmes Windows, vous pouvez simplement accéder à chaque boîte et, à partir de la ligne de commande, faire un . netstat Cela produira toutes les connexions vers et depuis la machine.
Normalement, vous ne devriez pas voir plus d’une ou deux connexions vers un système externe sur le port 25. Vous pouvez voir sur la capture d’écran ci-dessus que la machine sur laquelle j’ai fait un netstat a une connexion établie au port 25 sur un système externe.
Si vous voyez qu’un système a littéralement des CENTAINES ou des MILLIERS de connexions ouvertes, et s’il s’agit du bureau appartenant à un utilisateur final, et que l’utilisateur se plaint que son système est lent, alors vous avez à peu près cloué le coupable.
À moins que le système en question ne soit censé envoyer de grandes quantités de courriels, vous devez débrancher la machine et la nettoyer à l’aide d’un produit antivirus ou antimalveillant.
Il est possible que malgré tout cela, le ver ou le virus revienne », il y a des menaces très persistantes qui sont horriblement difficiles à éliminer. Les kits racines (qui remplacent souvent les fonctionnalités de base des systèmes d’exploitation par des versions modifiées qui sont toujours opérationnelles mais incluent une porte dérobée) peuvent vous forcer à faire une réinstallation complète du système.
Tout dépend de la quantité d’énergie que vous voulez dépenser pour essayer de trouver la racine du problème. Si, en fin de compte, vous passez des jours à essayer de nettoyer un système en profondeur, il est parfois préférable de sauvegarder toutes les données de l’utilisateur, d’effacer et de réinstaller le système d’exploitation à partir de zéro.
Si vous avez trop de systèmes à vérifier individuellement…
… et que vous utilisez un pare-feu moderne, vous pouvez généralement vérifier les journaux du pare-feu pour voir s’il y a des systèmes qui ont un grand nombre de connexions sortantes au port 25. S’il s’agit d’une machine qui n’est pas ou ne devrait pas exécuter un serveur de messagerie, alors vous l’avez trouvée.
Un filtre anti-pourriel me protégera-t-il de cela?
Il vous protégera sur le segment sortant si vous acheminez le courrier provenant de votre serveur de messagerie principal via cette passerelle de filtrage des pourriels, à moins que vous ne fassiez confiance à ce serveur. Cependant, si vous avez le port sortant 25 ouvert en général, cela signifie que les postes de travail ou les serveurs peuvent se connecter directement aux serveurs sur Internet sans passer par votre MTA ou votre passerelle de filtrage. Si c’est le cas, alors votre filtre anti-pourriel est absolument inutile.
Pratiques exemplaires
Aujourd’hui, il est reconnu comme une pratique exemplaire de bloquer toutes les connexions sortantes du port 25 sur le périmètre, n’autorisant que les connexions sortantes à partir de serveurs de messagerie légitimes sur votre réseau. Cela implique de forcer les utilisateurs finaux à utiliser votre MTA pour tous les courriels sortants.
Quoi qu’il en soit, si vous êtes un fournisseur de services ou une petite entreprise qui exploite un serveur de messagerie, vous devriez consulter les documents sur les pratiques exemplaires du MAAWG :
