SMTP
Le protocole SMTP a pour objectif de détecter les connexions entre un client et un serveur e-mail ou entre deux serveurs e-mails utilisant le protocole SMTP. Il permet d’envoyer des e-mails. Il est utilisé par SEISMO pour détecter la version du client et/ou du serveur e-mail afin de remonter d’éventuelles vulnérabilités.
Onglet « IPS »
| Détecter et inspecter automatiquement le protocole |
Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage. |
Extensions du protocole SMTP
| Filtrer l’extension CHUNKING |
Permet de filtrer les données transférées d’une adresse mail à une autre.
Exemple : Les pièces jointes incluses dans un mail. |
| Filtrer les extensions spécifiques à Microsoft Exchange Server |
Permet de filtrer les commandes additionnelles provenant du serveur de mails Microsoft Exchange Server. |
| Filtrer la demande de notification de sens de connexion ATRN et ETRN |
Permet de filtrer les données contenues dans la demande de notification de sens de connexion, du client vers le serveur, ou du serveur vers le client.
Lors d’une communication SMTP, l’utilisation des commandes ATRN et ETRN permet d’échanger les rôles client/serveur. |
Taille maximale des éléments (octets)
La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow).
| En-tête du message [64 – 4096] |
Nombre maximum de caractères que peut contenir l’en-tête d’un e-mail (adresse mail de l’expéditeur, date, type de codage utilisé etc.) |
| Ligne de réponse serveur [64 – 4096] |
Nombre maximum de caractères que peut contenir la ligne de réponse du serveur SMTP. |
| Données Exchange (XEXCH50)[102400 – 1073741824] |
Taille maximale des données lors d’un transfert de fichier au format MBDEF (Message Database Encoding Format). |
| En-tête de l’extension BDAT[102400 – 10485760] |
Taille maximale des données transmises via la commande BDAT. |
| Ligne de commande[64 – 4096] |
Taille maximale des données que peut contenir une ligne de commande (en dehors de la commande DATA). |
Support
| Désactiver la prévention d’intrusion |
En cochant cette option, l'analyse du protocole SMTP sera désactivée et le trafic sera autorisé si la politique de filtrage le permet. |
| Tracer chaque requête SMTP |
Active ou désactive les logs permettant de tracer les requêtes SMTP. |
Onglet « Proxy »
| Filtrer la bannière d’accueil |
Lorsque cette option est cochée, la bannière du serveur est anonymisée lors d'une connexion SMTP. |
Commande HELO
| Remplacer le nom de domaine du client par son adresse IP |
Lors d’une identification basique, le client renseigne son nom de domaine en exécutant la commande HELO. En cochant cette case, le nom de domaine sera remplacé par l’adresse IP. |
Filtrage du nom de domaine
| Activer le filtrage du nom de domaine du serveur |
Cette option permet de supprimer le nom de domaine que le serveur SMTP inclut dans sa réponse à une commande HELO. Ce filtrage est activé par défaut. |
Connexion
| Conserver l’adresse IP source originale |
Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.
Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée. |
Limites lors de l’envoi d’un e-mail
Par défaut, la limite de taille des données du message de mails sortants (text line) est activée. Elle est fixée à 1000 caractères maximum conformément à la norme RFC 2821.
| Limiter la taille des lignes de message |
Active une limite sur la longueur des lignes d’un message sortant. |
|
Ligne de message [1000-2048 (Ko)] |
Ce champ indique la longueur maximale de la ligne lors de l’envoi d’un message. REMARQUE La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow). |
|
Nombre max. de destinataires |
Indique le nombre maximum de destinataires que peut contenir un message. Les messages dont le nombre de destinataires est excessif seront refusés par le firewall (le refus sera marqué par un message d’erreur SMTP). Cela permet de limiter le spam d'e-mails. |
|
Taille maximum du message [0 – 2147483647 (Ko)] |
Indique la taille maximale que peut prendre un message passant par le firewall Stormshield Network. Les messages dont la taille est excessive seront refusés par le firewall. |
Onglet « Commandes SMTP»
Ce menu vous permet d'autoriser ou de rejeter les commandes SMTP définies dans les RFC. Vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur.
Proxy
Commandes principales
Bouton Modifier toutes les commandes : Permet d’autoriser, de rejeter ou de vérifier toutes les commandes.
| Commande |
Indication du nom de la commande. |
| Action |
Indication de l’action effectuée. |
Autres commandes autorisées
| Commande |
Par défaut, toutes les commandes non définies dans les RFC sont interdites. Cependant, certains systèmes de messagerie utilisent des commandes supplémentaires non standardisées. Vous pouvez donc ajouter ces commandes afin de les laisser passer au travers du firewall.
Les boutons d'actions Ajouter et Supprimer permettent d'agir sur la liste de commandes. |
IPS
Commandes SMTP autorisées
Liste des commandes SMTP supplémentaires autorisées. Il est possible d’en Ajouter ou d’en Supprimer.
Commandes SMTP interdites
Liste des commandes SMTP interdites. Il est possible d’en Ajouter ou d’en Supprimer.
Onglet « Analyse des fichiers»
| Taille max. pour l'analyse antivirale et sandboxing (Ko) |
La taille positionnée par défaut dépend du modèle de firewall :
|
AVERTISSEMENT
Lorsque vous définissez une taille limite de données analysées manuellement, veillez à conserver un ensemble de valeurs cohérentes. En effet, l’espace mémoire total correspond à l’ensemble des ressources réservées pour le service Antivirus. Si vous définissez que la taille limite des données analysées sur SMTP est de 100% de la taille totale, aucun autre fichier ne pourra être analysé en même temps.
Action sur les messages
Cette zone décrit le comportement de l’antivirus face à certains événements.
| Lorsqu’un virus est détecté |
Ce champ contient 2 options : « Passer » et « Bloquer ». En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier même s’il est détecté comme infecté. |
| Lorsque l’antivirus ne peut analyser |
L’option Passer sans analyser définit le comportement de l’antivirus si l’analyse du fichier qu’il est en train de scanner échoue.
Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.
Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis. |
| Lorsque la collecte de données échoue |
Cette option décrit le comportement de l’antivirus face à certains événements.
Exemples : Si le disque dur est plein, le téléchargement des informations ne pourra pas être effectué. La taille maximale que le fichier peut atteindre pour l’analyse antivirale est restreinte (1000Ko). |
Onglet « Analyse sandboxing»
Sandboxing
| Etat |
Cette colonne affiche l’état ( |
| Type de fichiers |
L'option sandboxing propose l'analyse de quatre types de fichiers attachés en pièce-jointe:
|
| Taille max. d'un e-mail soumis à l'analyse sandboxing (Ko) | Ce champ permet de définir la taille maximale d'un e-mail devant être soumis à l'analyse sandboxing. Par défaut, cette valeur est égale à celle du champ Taille max. pour l'analyse antivirale et sandboxing (Ko) présent dans l'onglet Analyse des fichiers. Elle ne peut l'excéder. |
Activé/
Désactivé) de l'analyse sandboxing pour le type de fichier correspondant. Double-cliquez dessus pour changer l’état.Action sur les fichiers
| Lorsqu’un malware connu est identifié | Ce champ contient 2 options. En sélectionnant Bloquer, le fichier analysé n’est pas transmis. En sélectionnant Passer, le fichier est transmis dans son état. |
| Lorsque sandboxing ne peut analyser |
Cette option définit le comportement de l’option sandboxing si l’analyse du fichier échoue.
Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis. Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis. |