Les mécanismes de détection d’un spammeur sur votre réseau sont assez simples. Ils enverront des pourriels dans votre réseau de deux façons :

1. Via un hôte compromis sur votre réseau : une machine infectée est devenue un bot dans un réseau de zombies et envoie des pourriels directement sur Internet.
2. Via un compte de messagerie compromis : le spammeur utilise l’un des comptes de messagerie de votre utilisateur pour diffuser des pourriels via votre propre MTA.

Pour corriger ces situations :

1) Un hôte compromis sur votre réseau

Détection :

Un hôte compromis est généralement facile à repérer. Si vous avez un bon pare-feu de classe affaires, vous pourrez voir un volume élevé de trafic sortant – qui ne provient PAS de l’une de vos adresses IP MTA – passant par le port 25 vers des milliers d’emplacements différents. Entrer sur la machine infectée, si possible, et émettre une commande netstat (fonctionne avec Windows et *Nix) devrait afficher toutes les connexions sortantes ouvertes à partir de la boîte. Les résultats peuvent fournir des preuves corroborantes que la machine a été compromise.

Assainissement :

• Retirez la machine de votre réseau et nettoyez-la. Oui, c’est facile à dire, et Dieu sait combien de temps cela pourrait prendre. Il peut parfois nécessiter un effacement complet et une réinstallation du système d’exploitation si la machine a été root-kitée ou si le logiciel malveillant a été téléchargé.
• Vous devrez analyser les autres ordinateurs du même segment de réseau que la machine infectée. La plupart des types de logiciels malveillants actuels effectuent une série de tentatives d’exploitation pour tenter de trouver d’autres hôtes vulnérables sur le réseau. Donc, si vous avez une machine à problèmes, il y a de fortes chances que vous en ayez d’autres.
• Ne comptez pas sur un seul programme antivirus ou outil de suppression de logiciels malveillants. Utilisez plusieurs antivirus et épurateurs de logiciels malveillants (p. ex., Malwarebytes, Spybot-S&D, etc.). Si un outil manque quelque chose, l’autre peut ne pas le faire.
• Si vous avez réussi à nettoyer la machine sans effacer complètement le système, vous devriez essayer de la garder sur un segment de réseau différent de celui de vos systèmes de production, au moins temporairement – au cas où vous n’auriez pas complètement supprimé le logiciel malveillant. L’isolation de la machine réduit le risque que des logiciels malveillants de type ver y résident encore et l’empêche d’essayer d’accéder aux systèmes voisins.
• Oh oui, des remplaçants. Je suis sûr que vous avez sauvegardé la machine, n’est-ce pas?

Prévention :

• Tous vos postes de travail et serveurs devraient avoir tous les correctifs de système d’exploitation existants appliqués
• Vous devriez avoir un antivirus à jour sur toutes les machines (serveurs et postes de travail) pour protéger l’ensemble du réseau
• Sur le pare-feu, envisagez de bloquer le port de sortie (sortant) 25 sur toutes les machines à l’exception de votre MTA
• Idéalement, vous devriez déployer un système de détection/prévention des intrusions (IDS/IPS) ou de contrôle d’accès au réseau (NAC) pour prévenir de futures infections, mais ces systèmes peuvent être TRÈS coûteux. Il existe cependant des systèmes IDS/IPS et NAC open source, et j’en aborderai certains dans un autre billet de blogue

[cta id= »18654″]

2) Un compte de messagerie compromis

Détection :

Vous apprenez généralement cela lorsqu’il est trop tard, et à ce moment-là, vous avez déjà été mis sur liste noire par une agence externe pour spam. En regardant les journaux de votre serveur de messagerie, vous devriez rapidement vous dire quel compte est utilisé pour envoyer des pourriels sur votre serveur.

Assainissement :

• Changer les mots de passe des comptes, la première étape évidente
• Communiquez avec votre fournisseur de MTA pour voir comment vous pouvez supprimer les messages des files d’attente sortantes existantes si vous ne le savez pas déjà
• Parlez à la personne dont le compte de messagerie a été piraté et essayez de déterminer quelle pourrait être la cause :
  – Le mot de passe était peut-être trop facile à deviner, ou il était dans un dictionnaire
  de force brute standard- La personne a peut-être récemment répondu à un courriel d’hameçonnage qui a été transmis
  – La machine de la personne a peut-être été infectée et le logiciel malveillant utilise le client de messagerie existant (et les identifiants d’identification associés) pour relayer les pourriels par l’intermédiaire de votre MTA au lieu de tenter de le faire. se connecter indépendamment à Internet.

Prévention :

• Appliquer des politiques strictes en matière de mots de passe pour s’assurer qu’ils répondent à une exigence de complexité minimale
• Informez vos utilisateurs finaux sur le fait de ne pas répondre aux demandes de mot de passe dans les courriels
• Assurez-vous que votre MTA peut atténuer les attaques par force brute sur les connexions POP, IMAP et AUTH
• Assurez-vous d’utiliser une sorte de mécanisme de filtrage des pourriels pour réduire les tentatives d’hameçonnage
• Assurez-vous de mettre en place une sorte de mécanisme de surveillance des files d’attente. Si vos files d’attente dépassent un certain seuil ou si le courrier prend plus d’un certain temps pour entrer ou sortir de votre MTA, une alerte devrait être envoyée à quelqu’un pour qu’il prenne des mesures.
• Séparez vos serveurs SMTP entrants et sortants. Étant donné que les spammeurs encombrent vos files d’attente, c’est une bonne idée de séparer les flux entrants et sortants pour empêcher tout le courrier de s’accumuler.
• Assurez-vous de filtrer les messages sortants. Si quelqu’un commence à envoyer des pourriels, vous pourriez avoir une chance de mettre en quarantaine le trafic illégitime.