Inspection approfondie du linteau : à utiliser avec prudence

SHARE WITH YOUR NETWORK!

Table of Contents

Inspection approfondie du linteau : à utiliser avec prudence

Qu’est-ce que l’inspection profonde des linteaux?

Certains outils anti-pourriel examinent la réputation des adresses IP dans chacun des en-têtes reçus d’un courriel. Les mécanismes de réputation font généralement appel à de multiples sources, p. ex., les DNSBL et les services de réputation axés sur Honeypot.

Voici un exemple d’en-tête :

Livré à : address@gmail.com
Reçu : au plus tard 1.1.1.1 avec l’ID SMTP e5cs33412ibd;
Fri, 16 Apr 2010 08:38:08 -0700 (PDT)
Reçu : par 1.2.2.2 avec l’ID SMTP e9mr1978437rvi.51.1271432287560;
Fri, 16 Apr 2010 08:38:07 -0700 (PDT)
Chemin de retour : me@mydomain.com
Reçu : de SERVER.somedomain.com (mail.somedomain.com [ 3.3.3.3])
par mx.google.com avec l’ID ESMTP 11si4715430qyk.0.2010.04.16.08.38.06;
Fri, 16 Apr 2010 08:38:07 -0700 (PDT)
Reçu : de myserver.mydomain.com (non vérifié [ 4.4.4.4]) par SERVER.somedomain.com
(MTA XYZ) avec identifiant ESMTP <B0001262286@SERVER.somedomain.com> pour <address@gmail.com>;
Fri, 16 Apr 2010 11:38:08 -0400

En gras : adresses IP qui seront vérifiées.

Problème

Étant donné que certains des systèmes de réputation IP utilisés sont des DNSBL, certains administrateurs peuvent involontairement utiliser des listes d’adresses IP qui couvrent des plages d’adresses IP dynamiques utilisées par les FSI. Ces adresses IP ne sont pas censées être utilisées pour envoyer des courriels directement (comme celles utilisées par un DSL ou un modem câble), mais qui devraient pouvoir envoyer des courriels indirectement (par exemple par l’intermédiaire de leur FAI). Exemples : pbl.spamhaus.org et dul.dnsbl.sorbs.net.

Que se passe-t-il?

Les messages envoyés par les utilisateurs finaux des FAI seront rejetés ou mis en quarantaine parce que l’administrateur utilise (incorrectement) des DNSBL qui couvrent des plages IP dynamiques.
En fait, les gens qui tiennent à jour la liste Spamhaus1 PBL mettent explicitement en garde contre l’utilisation de telles mesures :

Mise en garde : Étant donné que le PBL répertorie l’espace IP normal du client, n’utilisez pas PBL sur les smarthosts ou les serveurs sortants SMTP AUTH pour vos propres clients (ou vous risquez de bloquer vos propres clients si leurs IP dynamiques sont dans le PBL). N’utilisez pas PBL dans les filtres qui effectuent une « analyse approfondie » des en-têtes reçus, ou pour d’autres raisons que de vérifier les adresses IP qui sont transférées à vos serveurs de messagerie.

Ce qu’il faut faire

Assurez-vous de rechercher soigneusement les DNSBL que vous prévoyez utiliser avec une inspection approfondie des en-têtes avant de les mettre en service. Sinon, vous risquez de vous tirer une balle dans le pied!

Référence :
pbl.spamhaus.org

Explore our Advanced Email Security Solutions

Protect your clients and simplify your operations with reliable, scalable email security solutions. Get in touch today to learn how we can support your success.

SHARE WITH YOUR NETWORK!

Ready to See the Difference?
Discover our advanced security products today.

Faire défiler vers le haut

Joignez-vous à nous au MSP Summit Orlando, du 15 au 17 septembre – Code : Vircom