Archives par mot-clé : antivirus

Pourquoi recevez-vous certains e-mails
marqués du préfixe « /!\ CONTENU SUSPICIEUX – » ?

La solution EndiGuard.Mel analyse vos emails entrant afin de vous protéger des virus.

Pour ce faire, elle dispose de plusieurs filtres qui vont notamment étudier les pièces jointes contenues dans vos e-mails,
et déterminer si elles contiennent ou non du code exécutable :

Certaines pièces jointes sont identifiables directement comme contenant des virus,

s’ils sont par exemple répertoriés dans les bases virales
=> ils sont alors bloqués par notre système antivirus.

D’autres pièces jointes, comme des documents Office, des documents  PDF ou des images, peuvent contenir du code exécutable sans être répertoriées dans les bases virales :

=> l’intelligence artificielle de notre système analyse donc le type de script et applique une pondération en fonction de différents critères tels que leur nommage, leur poids, la forme et le comportement du code …

  • Les e-mails identifiés comme contenant un ou plusieurs virus seront bloqués et loggués
    (nous enregistrons le blocage de chaque virus dans vos statistiques antivirus, consultable depuis votre interface IcoAdmin)
  • Les e-mails identifiés comme non suspicieux
    vous sont délivrés normalement
  • Les e-mails identifiés comme suspicieux vous sont délivrés,
    mais le préfixe « /!\ CONTENU SUSPICIEUX – » est ajouté au sujet de l’email, afin d’attirer votre attention sur le fait que la pièce jointe peut potentiellement être dangereuse.

 

 

 

 

 

IcoAdmin : Réception des alertes virales de l’IcoAntivirus

Généralités :

Icone_virusPlus de 90% des infections virales passent par la messagerie ; c’est pourquoi nos serveurs de messagerie disposent de filtres antivirus, basés sur 5 bases de données d’empreintes différentes, mises à jour toutes les heures.

  • Les emails entrant sont filtrés en temps réel
  • Le destinataire et l’expéditeur d’un email détectés sont alertés par email,  et informés sur le type de virus.
  • Une fois  le contenu de l’email nettoyé, les éléments de qui ne sont pas infectés sont transmis au destinataire
  • Le système filtre également les alias emails et les redirections emails.

Par défaut aucun message n’est effacé sans que le destinataire ne soit informé. Cependant il est possible de désactiver la réception du message d’alerte, celui-ci étant purement informatif.

Activer ou désactiver la réception des alertes virales :

  • Connectez-vous sur votre interface d’administration IcoAdmin à l’adresse indiquée sur votre feuille de paramètres de connexion. Pour vous identifier, utilisez l’identifiant et le mot de passe indiqués.
  • Cliquez ensuite sur l’icône du menu « Gestion de vos paramètres et outils » : Icone_Gestion des paramètres et outils
  • Cliquez sur le bouton «[réglages IcoAdmin]»

IcoAdmin_Réglages IcoAdmin_antivirus : Ecran 1

  • Par défaut la case « réception des alertes virales de l’IcoAntivirus » est cachée.
    • Si la case est cochée le destinataire reçoit les alertes de blocage des virus sur la messagerie entrante.
    • Si la case est décochée, les alertes ne sont pas envoyées. L’IcoAntivirus reste cependant actif.

Le paramétrage de la fonctionnalité de réception des alertes virales est globale. l’activation et la désactivation se font pour pour l’ensemble des comptes email.

Option : IcoAntivirusAntispam

L’option IcoAntivirusAntispam a été mise en place pour permettre aux utilisateurs dont la messagerie n’est pas hébergée sur la plateforme mutualisée de bénéficier de l’expertise d’Icodia en matière de filtrage et de sécurité messagerie.

Le service d’ingénierie logicielle (développement sur systèmes) d’ICODIA fait partie de différents projets Open Source, permettant le déploiement de nouveaux modules pour les applications serveurs. Cet investissement permet à nos développeurs système d’être à la pointe en matière de sécurité.

L’antivirus

Plus de 90% des infections virales informatiques passent par la messagerie.

Nos serveurs de messagerie disposent de filtres antivirus, basés sur 5 bases de données d’empreintes différentes, mises à jour toutes les heures.

Icone_virus

  • Le système filtre tous les emails entrant en temps réel
  • Il informe le destinataire et l’expéditeur d’un email, lorsqu’un virus est détecté,
  • Il donnent le type de virus
  • Il nettoie le contenu de l’email
  • Transmet au destinataire les éléments qui ne sont pas infectés.
  • Par défaut, un message d’information est envoyé au destinataire de l’email filtré détecté mais il est possible de désactiver ces alertes.
  • Aucun message n’est effacé sans information.

les Antispam

Le système antispam d’Icodia est basé sur la complémentarité de plusieurs filtres et leur capacité à « apprendre ». Ces filtres sont entièrement paramétrables. (chaque filtre peut être activé ou désactivé). Un système de Whiteliste et de blackliste email est intégré et vous avez la possibilité de recevoir ou non les messages (tagués en tant que « spam ») dans votre client de messagerie.

Il est important de noter qu’aucun email détecté comme SPAM par nos filtres n’est rejeté silencieusement : un message est envoyé à l’expéditeur (si l’expéditeur est valide), l’invitant à valider son adresse email manuellement par un processus sécurisé via site Web (les spams sont envoyés majoritairement par des robots qui ne valident pas automatiquement les emails).
Tout email rejeté comme SPAM est stocké en quarantaine et automatiquement supprimé au bout de 20 jours.
Vous pouvez consulter cette quarantaine devant chaque adresse email, depuis la rubrique « statistiques globales des boîtes, etc. » de l’IcoAdmin.

Icone_antispam

  • MAPS RBL : Ce filtre analyse les entêtes de chaque email entrant et compare les adresses IP et domaines de l’expéditeur à des bases de données temps réel (RBL) disponibles sur le réseau Internet. Ces bases de données rassemblent l’intégralité des plaintes des différents FAI et utilisateurs. Si l’adresse IP expéditeur, ou le domaine expéditeur, est contenu dans au moins 50% de ces bases, le message est rejeté comme SPAM et mis en quarantaine.
  • SURBL : Ce filtre analyse les entêtes et le contenu de chaque email entrant et compare les noms de domaines trouvés à des bases de données temps réel d’url (SURBL) disponibles sur le réseau Internet. Si le, ou les domaines, sont contenus dans au moins 50% de ces bases, le message est rejeté comme SPAM et mis en quarantaine.
  • Bayesien : Ce filtre statistique se base sur tous les précédents emails pour créer des filtres actifs différents. Il tient compte de l’ensemble du message, et calcule en permanence des probabilités sur la possibilité ou non qu’un email soit un spam. Si cette probabilité dépasse 99,99%, le message est rejeté comme SPAM et mis en quarantaine.
  • Mots clés : Ce filtre analyse le contenu des entêtes et du corps de chaque email et le compare à une base de mots clés actifs et complexes (RegEx). Cette base de mots clés est en permanence mise à jour par la plateforme technique, suivant les comportements, les spams envoyés sur des emails espions, etc. Si le contenu de l’email est reconnu par ces mots clés, le message est rejeté comme SPAM et mis en quarantaine.
  • SPF : Le filtre SPF (Sender Policy Framework) permet, pour les FAI et Opérateurs supportant la norme, de paramétrer la zone DNS d’un nom de domaine avec des clés de certification SPF permettant d’authentifier l’expéditeur d’un email (que l’expéditeur est bien celui annoncé, ce qui évite le spoof email). Cette technologie commence à faire son apparition mais n’est pas encore supportée par énormément d’opérateurs.
  • Pot de miel : Nous avons des emails cachés et des relais particuliers qui sont inscrits sur la plupart des listes de spammers. Cette technologie permet d’enregistrer les adresses IP de ces spammers, et de les refuser temporairement si un envoi en masse est effectué vers nos serveurs de messagerie.
  • OCR / Checksum image : Ce filtre effectue un OCR (reconnaissance de caractères à partir d’une image bitmap) et un checksum temps réel sur les images contenues dans le code d’un email html. Si le résultat du checksum, ou le résultat de l’OCR, donne un contenu texte comportant des mots clés reconnus, le message est rejeté comme SPAM et mis en quarantaine.
  • Reverse DNS : Ce filtre met en quarantaine tout email envoyé par une adresse ip ne disposant pas d’un reverse DNS. Il faut savoir que dans la norme SMTP (RFC 821, RFC1912, etc) tout expéditeur doit avoir une adresse ip nommée (exemple : 46.31.192.4 dispose d’un reverse DNS nommé « robots.icodia.com »). Le reverse DNS permet donc d’identifier une adresse ip et des serveurs DNS délégataires.
  • Attention : Certains FAI (fournisseurs d’accès) ont fréquemment des problèmes de serveurs DNS; à cause de ces plantages, certains emails, qui ne sont pas des spams, peuvent être considérés comme tels.
  • Invalide MX : Ce filtre met en quarantaine tout email envoyé par une adresse ip du relai SMTP de l’expéditeur ne disposant pas de serveur MX. Un (ou plusieurs) serveur MX est utilisé pour acheminer les emails. Si l’adresse ip du relai SMTP de l’expéditeur n’a pas de serveur MX, c’est qu’il est impossible de lui répondre. Certains expéditeurs ne disposent pas d’entrée dns « MX », mais directement d’une entrée dns « A », ce qui n’est pas valide dans la norme, mais fonctionnel.
  • Checksum email : Un checksum sur 160 bits est calculé sur chaque email entrant, et stocké en mémoire. Ce filtre met en quarantaine tout email identique (même entête, même contenu de message) envoyé au même moment à des dizaines de destinataires de notre plateforme
  • Blacklist IP : L’adresse IP de chaque email entrant est répertoriée dans une base de données, lorsque cet email est manuellement détecté comme spam. Cette base est partagée avec de nombreux organismes officiels d’Internet. Ce filtre met en quarantaine tout email ayant un même contenu et une même adresse IP d’origine, répertoriée dans cette base.
  • Entêtes / Mots clés cyrilliques : Tout email entrant disposant d’un entête de message et/ou d’un contenu comprenant des caractères cyrilliques (alphabet Russe, Asiatique, url, etc.) sera détecté comme spam et mis en quarantaine.
  • Expéditeur non renseigné : Tout email entrant n’ayant pas d’expéditeur sera refusé et mis en quarantaine.
  • Même expéditeur et destinataire : Tout email entrant ayant le même expéditeur et le même destinataire sera refusé et mis en quarantaine.
  • Plainte IP : Un service d’analyse d’Icodia reçoit des plaintes de différents destinataires de spams. Ces spams sont analysés puis retracés. Enfin, après prise de décision, liée au nombre de plaintes, type de spams, etc. le, ou les adresses IP sources incriminées sont blacklistées. Tout email dont l’adresse IP source figure dans cette liste est mis en quarantaine. Note : dans certains cas, certaines adresses IP peuvent être supprimées de cette liste si le souci de spam source est réglé.
  • Taguer le sujet « SPAM: » et délivrer les emails au destinataire : Par défaut, tous les emails traités comme SPAM sont stockés en quarantaine (cette quarantaine peut être gérée depuis le menu ‘statistiques globales des boîtes etc.’). Ce module permet de ne plus stocker les messages en quarantaine, et des les envoyer directement au destinataire, en y ajoutant le mot « SPAM: » au début du sujet de chaque email, permettant ensuite de construire des règles de tri de messages dans votre client de messagerie.
  • Informer l’expéditeur lorsque son message est mis en quarantaine : Par défaut, notre plateforme envoi un message à chaque expéditeur dont les emails sont traités comme SPAM (et stockés en quarantaine). Ce message permet à chaque expéditeur de valider automatiquement les messages en quarantaine, et de s’ajouter en whisteliste. Vous pouvez décocher cette option si vous ne souhaitez pas que vos expéditeurs soient informés.
  • Ne pas ajouter l’expéditeur en « whiteliste » lorsqu’il se valide (via code html) : Lorsqu’un email d’un expéditeur est mis en quarantaine SPAM, cet expéditeur reçoit un email du système antispam, contenant un lien html vers une page sécurisée. Cette page permet à l’expéditeur de valider un code (captcha), prouvant qu’il est bien l’auteur de l’email. Lorsque l’expéditeur valide ce code, son message est automatiquement délivré dans la boite du destinataire, et l’expéditeur est automatiquement ajouté en « whisteliste » du nom de domaine destinataire. Cochez cette option si vous ne voulez pas ajouter automatiquement l’expéditeur en « whisteliste ».
  • Pas de notification si l’expéditeur est @domaine.com : Lorsqu’un email d’un expéditeur est mis en quarantaine SPAM, cet expéditeur reçoit un email du système antispam, contenant un lien html vers une page sécurisée. Cette page permet à l’expéditeur de valider un code (captcha), prouvant qu’il est bien l’auteur de l’email. Cochez cette option si vous ne souhaitez pas envoyer de notification lorsque l’expéditeur fait partit du nom de domaine destinataire (domaine.com) .

La conservation d’emails

En cas de problème sur votre serveur de destination (serveur hors service ou message d’erreur retourné par celui-ci), les emails sont conservés sur notre plateforme pendant 7 jours, et seront envoyés vers votre serveur dès qu’il sera de nouveau disponible. Notre système prévient  l’expéditeur au bout de 24h (RFC) si le message n’est pas délivré, tout en réessayant. Si le message, au bout des 7 jours, ne peut pas être délivré, le bounce « normal » est envoyé à l’expéditeur.

Avec ce système, vous n’avez donc plus de perte d’email en cas de défaillance sur votre serveur de messagerie.

Pour commander, ouvrez un ticket sur l’IcoAdmin du pack d’hébergement concerné.

Recrudescence des keyloggers : La sécurité de vos sites passe avant tout par vos machines !

Icone_virusLes Keyloggers exploitent des failles de sécurité de navigateurs, client FTP, etc. et enregistrent vers des serveurs distants (à destination de hackeurs) vos identifiants en tout genres : Identifiants FTP, login/mots de passe, cartes bancaires…

Une fois vos codes récupérés par les keyloggers, les hackeurs peuvent utiliser ces données comme bon leur semble. Ils peuvent ainsi se connecter en toute facilité en FTP sur votre hébergement et modifier votre site.

Une Faille de sécurité très connue sur Fillezilla est souvent exploitée par les Keylogger :

Les sessions sont stockées (mots de passes et identifiants en claire) sur votre machine dans un fichier xml. Bilan si vous avez un Keylogger sur votre machine et que vous utilisez Filezilla, le Keylogger aura accès à sa guise à vos identifiants FTP…

Le Hacker n’aura plus qu’à utiliser ces informations pour pirater votre site internet.

Nous vous conseillons donc :

D’utiliser un ou plusieurs bons antivirus (Microsoft Security Essentials, Comodo antivirus ) pour nettoyer vos machines. Si un Keylogger s’y loge, il sera détecté et supprimé. Ces antivirus disposent généralement d’une version d’essai 30 jours.

Si vous le pouvez, le mieux est de connecter le disque dur de la machine infectée sur une machine « propre » avec un tiroir USB par exemple ,afin d’effectuer le nettoyage.

Si vous avez détecté un virus ou une intrusion sur votre site internet :

  • Il est impératif de scanner toutes les machines ayant pu se connecter en FTP ou sur votre base de données. N’importe laquelle peut être responsable.

Nous rappelons que les OS sont tous concernés! Les Hackeurs n’épargnent personne même les Mac ! Nous avons vu des propriétaires de Mac victimes de Keyloggers.

  • Si un Keylogger est détecté, notez son nom, et contactez le support Icodia en précisant le/les lien(s )où nous pourrons constater le problème. Le nom du Virus nous donnera des informations complémentaires (ce problème est assez commun en ce moment).
  • Une fois vos machines « propres », changez vos mots de passe ftp, IcoAdmin et si possible MySQL (le hackeur ayant pu conserver ces informations, il pourrait utiliser phpMyAdmin pour se connecter sur votre site en mode web et refaire des modifications). Attention néanmoins, le changement du mot de passe MySQL oblige la mise à jour de la configuration MySQL d’éventuels scripts php sur votre hébergement.
  • Vérifiez tous les fichiers de votre site web, supprimer les dossiers contenant des virus et traces de hacking.

Chers professionnels et dilettantes du net, il y a une morale à tout cela ! Veillez à la sécurité de vos machines en leur offrant un antivirus fiable et bien à jour ! vous verrez, vos sites vous le rendront. Ou plutôt vous ne verrez rien si ce n’est un site qui tourne !

Bien à vous!
Le support Icodia

IcoAdmin : Statistiques virus

Généralités :

Icone_virusPlus de 90% des infections virales passent par la messagerie.
Nos serveurs de messagerie disposent de filtres antivirus, basés sur 5 bases de données d’empreintes différentes, mises à jour toutes les heures. Notre système filtre tous les emails entrant en temps réel ; Il informe le destinataire et l’expéditeur d’un email, lorsqu’un virus est détecté, en donnant le type de virus. Le système nettoie le contenu de l’email et transmet au destinataire les éléments qui ne sont pas infectés. Le système filtre également les alias emails et les redirections emails. Il est possible de désactiver la fonctionnalité d’alerte, pour minimiser le nombre d’emails, tout en conservant l’efficacité de l’antivirus en ligne. Dans tous les cas, un message d’information est envoyé. Aucun message n’est effacé sans information.

Consulter les statistiques antivirus :

  • Connectez-vous sur votre interface d’administration IcoAdmin à l’adresse indiquée sur votre feuille de paramètres. Pour vous identifier, utiliser l’identifiant et le mot de passe indiqués.
  • Cliquez sur l’icône  du menu “Statistiques globales des POP, alias, réplications” : Menu_IcoAdmin : Statistiques globales des POP, alias, réplications
  • Enfin, cliquez sur le bouton “Stats virus”.

IcoAdmin_statistiques virus : Ecran 1

Ce tableau regroupe les statistiques des différents virus qui ont été détectés et supprimés de vos contenus emails. Le menu déroulant vous permet de sélectionner un autre mois que celui en cours (si disponible). La liste détaille le nombre de virus ainsi que leurs noms.

La plateforme Icodia vous adresse un email à chaque fois qu’un email infecté est arrêté par l’antivirus. Vous pouvez désactiver la réception de ces messages d’alertes. Pour plus de précisions : cliquez ici