SSTIC04 - Filtrage de messagerie et analyse de contenu

La messagerie est un des services les plus utilisés sur Internet et sur les réseaux d’entreprise. L’ouverture de ce service vers Internet nécessite un filtrage efficace pour se prémunir des nombreux risques inhérents au protocole de messagerie SMTP/MIME : virus, vers, contenus actifs, vulnérabilités des clients de messagerie et des serveurs, chevaux de Troie, usurpation d’identité, relayage, spam, mailbombing...

Cet article présente les objectifs d’un filtrage de messagerie sécurisé, ainsi que les différentes techniques généralement utilisées, dont l’analyse de contenu. Il détaille ensuite les problèmes et les limites de ces techniques de filtrage, en apportant quelques exemples concrets comme le filtrage de scripts dans HTML ou de macros dans les documents Office, le ”zip de la mort”, le filtrage par nom ou par contenu. Le cas particulier des webmails est aussi abordé.

En conclusion les techniques de filtrage actuelles sont imparfaites mais nécessaires, et quelques pistes d’amélioration sont proposées. Cet article est complémentaire de celui publié pour SSTIC03 à propos des formats de fichiers et du code malveillant.