Comment évaluer la qualité d’un email entrant ?

Dans l’arsenal des cyber attaquants, la messagerie occupe une place de choix. L’email constitue un vecteur idéal pour introduire un code malveillant sur un poste de travail ou dans une entreprise (virus, ransomware), ou amener le destinataire à cliquer sur un lien vers un site frauduleux (phishing). 

Pour les entreprises, la première des parades consiste à analyser les emails entrants pour ne laisser passer que ceux considérés comme sains. Oui ! Mais sur quels critères effectuer ce filtrage ? Quels sont les principaux check-points mis en place par les outils de protection de messagerie ? Réponse dans ce billet !

Au niveau de la transaction SMTP

transaction SMTPAvant même de s’intéresser au contenu des emails, un premier ensemble de barrages filtrants est dressé au niveau du protocole d’acheminement des emails. Voici les informations examinées : 

  • Serveur d’envoi : il révèle un grand nombre d’éléments intéressants. On commence par s’assurer que son adresse IP n’est pas sur liste bloquée. On regarde également le nom d’hôte – c’est la façon dont le serveur de provenance s’annonce –  et l’adresse IP spécifique correspondante. On vérifie ainsi la cohérence entre le serveur d’envoi et son nom d’hôte. Dans la pratique, les contrôles effectués au niveau du serveur d’envoi permettent de rejeter entre 70 et 90 % du trafic.
  • Adresse mail d’expédition : en premier lieu, elle sert à vérifier que le domaine d’envoi existe réellement. Mais on l’utilise aussi pour les contrôles du SPF (Server Policy Framework). Cette norme, bien adoptée dans les entreprises, vise à déclarer les serveurs autorisés à envoyer des mails à partir d’un domaine donné. Elle constitue un rempart efficace contre les attaques de type spoofing et phishing (souvent combinées). Les adresses d’enveloppes et d’en-tête différent aussi dans le cas d’emails retransmis (“forwardés”) ou d’envoi de masse par des plateformes d’emailing. L’email n’en est pas pour autant frauduleux. La qualité des contrôles – et des outils de protection – réside aussi dans leur capacité à discerner ces cas de figure.
  • Destinataire : la vérification de l’existence de l’adresse destinataire, à l’aide de technologies dédiées, est recommandée.  

 

Au niveau de l’en-tête du mail

L’email lui-même contient une quantité impressionnante d’informations, réparties entre son en-tête et le corps. Une grosse partie de l’analyse de la qualité du mail se fait au niveau de l’en-tête, avec une grande variété de points de contrôles :

  • Mail user Agent : il indique à partir de quelle application cliente le mail a été envoyé (Thunderbird, Outlook, Lotus Notes, etc.). Certaines sont problématiques, car obsolètes depuis longtemps. Un mail envoyé par Outlook Express, qui n’est plus trop utilisé ni mis à jour depuis 15 ans, rejoint souvent le rang des spams. 
  • Historique du parcours : il contient les adresses IP des systèmes par lesquels l’email a transité. Si certaines de ces adresses sont blacklistées, cela jette la suspicion sur le mail. Un contrôle sur lequel il faut garder un regard critique : les informations du parcours peuvent avoir été falsifiées pour apparaître comme saines.
  • Cohérence entre données : l’analyse consiste ici à rapprocher certaines données de l’en-tête entre elles pour s’assurer de l’authenticité d’un mail. On sait, par exemple, qu’un mail envoyé depuis Facebook doit avoir certaines caractéristiques bien précises. Si ce n’est pas le cas, l’email est douteux. 
  • Expéditeur : on vérifie qu’il n’y a pas d’adresse de réponse “reply to” corrompue ou incohérente attachée à l’expéditeur – une technique classique d’usurpation d’identité ou d’arnaque au président.

 

Au niveau du corps du mail

corps emailL’extraction et l’analyse de certaines traces présentes dans le corps du mail viennent renforcer ou réduire la confiance. On peut ainsi scruter :  

  • les liens (URLs) présents dans le mail : il est intéressant de regarder leur nombre, leur destination, l’historique des domaines et le contenu des sites auxquels ils mènent. Un domaine tout juste enregistré sera suspect. Cette analyse exploite le travail effectué par ailleurs sur la détection de spam, qui recense les URLs et domaines non fiables. Quand l’email est au format HTML, les liens affichés – comme les fameux “cliquer ici pour accéder à la version en ligne” ou “se désabonner” – sont particulièrement scrutés : ils peuvent pointer vers une URL frauduleuse.
  • les adresses bitcoins sont de plus en plus utilisées dans les échanges électroniques. Elles doivent être confrontées à une base de données d’adresses suspectes.
  • les pièces jointes : elles sont bien sûr surveillées par les antivirus, dont le passage doit être systématique. Mais beaucoup sont aussi bloquées par des signatures – des règles strictes fixées dans les outils de protection basées sur le travail de fond de détection et de repérage préventif des patterns de virus partagés par la communauté ou suivies par des équipes spécialisées. Certains noms de fichiers attirent également l’attention et la vigilance, notamment au sein des pièces jointes de type “.rar”, “.zip. “ sans parler des “.pif”, “.exe”
  • le ratio texte/image : le ratio texte/image reste un critère relatif sur le plan de la sécurité, utilisé par les antispams pour écarter des mails commerciaux. En revanche, les outils de protection regardent la nature, la fréquence et la provenance des images. Certaines sont cataloguées comme récurrentes dans des messages peu fiables. 

 

Philosophie de protection

protection emailCette liste, loin d’être exhaustive, rassemble quelques-uns des contrôles incontournables pour évaluer la qualité (ou la dangerosité) d’un email. En pratique, les solutions de protection de messagerie examinent un nombre bien supérieur de critères. 

Mais au-delà de la batterie de contrôles effectués, c’est par leur philosophie et leur mode opératoire que ces protections de messagerie se distinguent. Certaines vont privilégier des analyses en amont et rejeter beaucoup de mails – de façon toujours justifiée – avant qu’ils n’arrivent. D’autres vont se montrer moins bloquantes a priori et répartir les mails de faible qualité entre dossiers spam et quarantaine. Tout dépend finalement du degré d’autonomie que l’on veut laisser au destinataire.

Enfin, dernier point et non des moindres : la capacité à réagir des menaces émergentes. Grâce à une surveillance et une analyse constante du trafic, les outils de protection dédiés peuvent très vite repérer de nouvelles menaces et systématiser leur détection comme leur traitement. En plus des multiples outils de l’intelligence artificielle, le traitement humain des alertes par des experts reste une arme essentielle pour réagir intelligemment et efficacement. Une raison de plus pour laquelle les solutions de protection spécialisées constituent un complément indispensable aux grandes messageries type Exchange/Microsoft 365, moins agiles et plus généralistes dans leur sécurisation.