Malgré toutes les prévautions prises (antivirus, coupe-feu, etc.), les systèmes de sécurité des réseaux connectés à internet ne sont pas infaillibles. La messagerie électronique constitue souvent le talon d’Achille de l’infrastructure. De plus, cette application s’appuie principalement sur le maillon le plus faible de la chaîne de sécurité, à savoir l’utilisateur.Notre laboratoire a testé 4 outils destinés à la surveillance des courriers électroniques non chiffrés au niveau de la passerelle SMTP pour les entreprises de 50 utilisateurs et plus. Ces logiciels contrôlent les données entrantes et sortantes, mais ne vérifient pas les messages qui circulent sur le réseau interne de la société.Les produits retenus fonctionnent selon 2 axes technologiques différents. ESafe Mail 3.02 d’Aladdin et McAfeeWebShield SMTP 4.5 de NAI sont spécialisés dans la protection antivirale, tandis que Mailsweeper SMTP 4.2 de Baltimore Technologies (qui s’est détaché des autres lors du test) et Mail Essentials 3.5 for Exchange de GFI analysent et filtrent le contenu.
Des attaques classiques, mais efficaces
Paralyser le système de communication d’une entreprise en s’attaquant au serveur de messagerie se révèle très simple. Les outils de surveillance disposent donc de règles de traitement et de filtrage, tels l’anti-spam et l’anti-bombing, afin d’éviter la surcharge et d’améliorer le bon fonctionnement du serveur. Dans le cadre d’attaques massives, certains logiciels proposent en outre une protection adaptable, à l’instar de NAI WebShield.Baptisé Outbreak Manager, ce service, qui s’appuie sur des règles, détecte les attaques de grosse envergure, puis réagit en modifiant automatiquement (ou sur confirmation) le comportement de la passerelle de filtrage. Les réactions vont du simple blocage des fichiers attachés jusqu’à l’arrêt de réception de messages.La messagerie de l’entreprise constitue aussi une formidable porte d’entrée pour certains virus, tels “I Love You” et ses nombreuses variantes. Mais, pour les épreuves de détection virale, le critère prépondérant n’est pas la qualité de l’antivirus qui accompagne les différents outils, mais ses capacités à décomposer les différents formats de pièces jointes (pour fournir des pièces analysables à l’antivirus).Cette fonction antivirus disponible chez chacun des éditeurs est optionnelle pour Mailsweeper 4.2 ; il faut alors recourir à des éditeurs tels que F-Secure, Sophos, Norman, Symantec ou H+BEDV, lesquels ont développé une DLL autorisant l’interfaçage de leurs solutions avec Mailsweeper. Notre choix s’est limité à Sophos Antivirus, logiciel proposé par défaut par l’éditeur.
Un espionnage des e-mails par mots clés !
Dans le cas de courriers sortants, les outils de surveillance des e-mails disposent d’une fonction d’analyse de texte. L’administrateur définit des règles concernant le tri des messages électroniques par la détection de mots clés ou du type de fichiers joints.Selon les logiciels, la gestion des règles est développée différemment, rendant le déroulement d’actions plus ou moins complexe. C’est d’ailleurs sur ce point que Mailsweeper de Baltimore Technologies se démarque de ses concurrents, grâce notamment à la richesse des outils proposés et à la variété des pièces attachées gérées.Lors du traitement d’incidents, les différents événement sont rapportés à l’administrateur par e-mail. GFI Mail Essentials l’avertit lorsqu’un message est mis en quarantaine, par exemple. Sont précisés le ou les mots interdits identifiés, ainsi que le contenu du message électronique. Depuis son client de messagerie compatible HTML, l’administrateur gère ce fichier à distance, libère l’e-mail de la quarantaine, l’efface ou le détruit, et envoie une note à l’émetteur.L’ensemble de ces actions et événements est répertorié dans des fichiers de logs et des comptes rendus d’incidents. Sur ce point, on regrettera l’absence de générateur de rapport au sein de WebShield de NAI. Par ailleurs, pour simplifier la gestion des groupes d’utilisateurs, seuls Mailsweeper SMTP 4.2 et Mail Essentials fonctionnent avec un annuaire LDAP. Sachant que pour le second, la gestion des profils ne prend pas en charge la partie antivirale, cette dernière étant globale. Enfin, il n’autorise pas l’établissement de règles spécifiques par domaine.
Tests fonctionnels et mesures de performances
Afin d’évaluer les 4 outils les plus représentatifs de ce segment de marché, notre laboratoire a déployé une plate-forme de tests représentant une architecture réelle. La partie correspondant au réseau interne se compose d’un client relié à un serveur Netscape Messaging. Pour la création de 2 domaines, nos ingénieurs ont procédé à l’installation d’un DNS.Le routeur d’e-mails Sendmail Switch 2.1, mis en place sur un système RedHat 7.0, est configuré en routeur simple vers la passerelle serveur Exchange 5.5. Outre la facilité de déploiement des outils, nos ingénieurs ont testé leurs capacités d’analyse de texte et de décomposition de document. Lié à ce dernier critère, l’examen des virus s’est déroulé avec les dernières mise à jour.
Mailsweeper : vainqueur sans appel
À l’issue des différentes épreuves, la solution de Baltimore Technologies éclipse les autres produits sélectionnés. La raison de cette réussite réside dans sa richesse fonctionnelle : décomposition, rapports, alertes, gestion des règles, intégration à l’annuaire, etc. Seul regret, eu égard au prix élevé du logiciel, l’antivirus reste optionnel.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
