SMTP

Le protocole SMTP a pour objectif de détecter les connexions entre un client et un serveur e-mail ou entre deux serveurs e-mails utilisant le protocole SMTP. Il permet d’envoyer des e-mails. Il est utilisé par SEISMO pour détecter la version du client et/ou du serveur e-mail afin de remonter d’éventuelles vulnérabilités.

Onglet « IPS »

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Extensions du protocole SMTP

Filtrer l’extension CHUNKING

Permet de filtrer les données transférées d’une adresse mail à une autre.

Exemple :

Les pièces jointes incluses dans un mail.

Filtrer les extensions spécifiques à Microsoft Exchange Server

Permet de filtrer les commandes additionnelles provenant du serveur de mails Microsoft Exchange Server.

Filtrer la demande de notification de sens de connexion ATRN et ETRN

Permet de filtrer les données contenues dans la demande de notification de sens de connexion, du client vers le serveur, ou du serveur vers le client.

Lors d’une communication SMTP, l’utilisation des commandes ATRN et ETRN permet d’échanger les rôles client/serveur.

Taille maximale des éléments (octets)

La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow).

En-tête du message [64 – 4096]	Nombre maximum de caractères que peut contenir l’en-tête d’un e-mail (adresse mail de l’expéditeur, date, type de codage utilisé etc.)
Ligne de réponse serveur [64 – 4096]	Nombre maximum de caractères que peut contenir la ligne de réponse du serveur SMTP.
Données Exchange (XEXCH50)[102400 – 1073741824]	Taille maximale des données lors d’un transfert de fichier au format MBDEF (Message Database Encoding Format).
En-tête de l’extension BDAT[102400 – 10485760]	Taille maximale des données transmises via la commande BDAT.
Ligne de commande[64 – 4096]	Taille maximale des données que peut contenir une ligne de commande (en dehors de la commande DATA).

Support

Désactiver la prévention d’intrusion	En cochant cette option, l'analyse du protocole SMTP sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.
Tracer chaque requête SMTP	Active ou désactive les logs permettant de tracer les requêtes SMTP.

Onglet « Proxy »

Filtrer la bannière d’accueil

Lorsque cette option est cochée, la bannière du serveur est anonymisée lors d'une connexion SMTP.

Commande HELO

Remplacer le nom de domaine du client par son adresse IP

Lors d’une identification basique, le client renseigne son nom de domaine en exécutant la commande HELO. En cochant cette case, le nom de domaine sera remplacé par l’adresse IP.

Filtrage du nom de domaine

Activer le filtrage du nom de domaine du serveur

Cette option permet de supprimer le nom de domaine que le serveur SMTP inclut dans sa réponse à une commande HELO. Ce filtrage est activé par défaut.

Connexion

Conserver l’adresse IP source originale

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Limites lors de l’envoi d’un e-mail

Par défaut, la limite de taille des données du message de mails sortants (text line) est activée. Elle est fixée à 1000 caractères maximum conformément à la norme RFC 2821.

Limiter la taille des lignes de message	Active une limite sur la longueur des lignes d’un message sortant.
Ligne de message [1000-2048 (Ko)]	Ce champ indique la longueur maximale de la ligne lors de l’envoi d’un message. REMARQUE La mise en place d’une taille maximale pour les éléments (en octets) permet de lutter contre les attaques par débordement de tampon (buffer overflow).
Nombre max. de destinataires	Indique le nombre maximum de destinataires que peut contenir un message. Les messages dont le nombre de destinataires est excessif seront refusés par le firewall (le refus sera marqué par un message d’erreur SMTP). Cela permet de limiter le spam d'e-mails.
Taille maximum du message [0 – 2147483647 (Ko)]	Indique la taille maximale que peut prendre un message passant par le firewall Stormshield Network. Les messages dont la taille est excessive seront refusés par le firewall.

Onglet « Commandes SMTP»

Ce menu vous permet d'autoriser ou de rejeter les commandes SMTP définies dans les RFC. Vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur.

Proxy

Commandes principales

Bouton Modifier toutes les commandes : Permet d’autoriser, de rejeter ou de vérifier toutes les commandes.

Commande	Indication du nom de la commande.
Action	Indication de l’action effectuée.

Autres commandes autorisées

Commande

Par défaut, toutes les commandes non définies dans les RFC sont interdites. Cependant, certains systèmes de messagerie utilisent des commandes supplémentaires non standardisées. Vous pouvez donc ajouter ces commandes afin de les laisser passer au travers du firewall.

Les boutons d'actions Ajouter et Supprimer permettent d'agir sur la liste de commandes.

IPS

Commandes SMTP autorisées

Liste des commandes SMTP supplémentaires autorisées. Il est possible d’en Ajouter ou d’en Supprimer.

Commandes SMTP interdites

Liste des commandes SMTP interdites. Il est possible d’en Ajouter ou d’en Supprimer.

Onglet « Analyse des fichiers»

Taille max. pour l'analyse antivirale et sandboxing (Ko)

La taille positionnée par défaut dépend du modèle de firewall :

Firewalls modèle S (U30S, U70S, SN150, SN160(W), SN200, SN210(W), SN300 et SN310) : 4000 Ko.
Firewalls modèle M (U150S, U250S, V50, V100, SN500, SN510, SN700, SN710 et SNi40) : 4000 Ko.
Firewalls modèle L (U500S, U800S, SN900 et SN910) : 8000 Ko.
Firewalls modèle XL (VS5, VS10, VS-VU, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100) : 16000 Ko.

AVERTISSEMENT

Lorsque vous définissez une taille limite de données analysées manuellement, veillez à conserver un ensemble de valeurs cohérentes. En effet, l’espace mémoire total correspond à l’ensemble des ressources réservées pour le service Antivirus. Si vous définissez que la taille limite des données analysées sur SMTP est de 100% de la taille totale, aucun autre fichier ne pourra être analysé en même temps.

Action sur les messages

Cette zone décrit le comportement de l’antivirus face à certains événements.

Lorsqu’un virus est détecté

Ce champ contient 2 options : « Passer » et « Bloquer ». En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier même s’il est détecté comme infecté.

Lorsque l’antivirus ne peut analyser

L’option Passer sans analyser définit le comportement de l’antivirus si l’analyse du fichier qu’il est en train de scanner échoue.

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.

Lorsque la collecte de données échoue

Cette option décrit le comportement de l’antivirus face à certains événements.

Exemples :

Si le disque dur est plein, le téléchargement des informations ne pourra pas être effectué.

La taille maximale que le fichier peut atteindre pour l’analyse antivirale est restreinte (1000Ko).

Onglet « Analyse sandboxing»

Sandboxing

Etat

Cette colonne affiche l’état (Activé/Désactivé) de l'analyse sandboxing pour le type de fichier correspondant. Double-cliquez dessus pour changer l’état.

Type de fichiers

L'option sandboxing propose l'analyse de quatre types de fichiers attachés en pièce-jointe:

Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…)
Document bureautique (logiciels Office): tous les types de documents pouvant être ouverts avec la suite MS Office.
Exécutable: fichiers exécutables sous windows (fichiers avec extension ".exe",".bat",".cmd",".scr", …).
PDF: fichiers au format Portable Document Format (Adobe).
Flash (fichiers avec extension ".swf").
Java (fichiers compilé java. Exemple : fichiers avec extension ".jar").

Taille max. d'un e-mail soumis à l'analyse sandboxing (Ko)

Ce champ permet de définir la taille maximale d'un e-mail devant être soumis à l'analyse sandboxing. Par défaut, cette valeur est égale à celle du champ Taille max. pour l'analyse antivirale et sandboxing (Ko) présent dans l'onglet Analyse des fichiers. Elle ne peut l'excéder.

Action sur les fichiers

Lorsqu’un malware connu est identifié

Ce champ contient 2 options. En sélectionnant Bloquer, le fichier analysé n’est pas transmis. En sélectionnant Passer, le fichier est transmis dans son état.

Lorsque sandboxing ne peut analyser

Cette option définit le comportement de l’option sandboxing si l’analyse du fichier échoue.

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.