Qu'est-ce que le filtrage des e-mails ?
Le filtrage des e-mails est le processus d'analyse des e-mails entrants et/ou sortants pour déterminer s'ils doivent ou non être livrés, en fonction des règles et exigences de sécurité.
Il s'agit d'un élément clé de votre stratégie de sécurité des emails.
Il repose sur différentes techniques et technologies d'analyse, ainsi que sur diverses configurations techniques, allant des configurations sur site aux configurations dans le cloud.
4 258
Milliards
d'utilisateurs d'e-mails actifs en 2024
93%
des violations de données
sont initiées par des e-mails de phishing
162
Milliards
de spams envoyés chaque jour
46%
des e-mails dans le monde
ont été identifiés comme spam
Comment une solution de filtrage des e-mails classe-t-elle les e-mails ?
Le filtrage des e-mails repose sur une combinaison d'algorithmes et de règles pour déterminer si un e-mail doit être livré à la boîte de réception ou envoyé à son destinataire. Voici quelques techniques utilisées pour le filtrage.
Analyse des en-têtes
Les en-têtes des e-mails contiennent des informations intéressantes qui peuvent être utilisées pour déterminer la nature de l'e-mail.
Les informations sur l'expéditeur, comme son adresse e-mail et son domaine d'envoi, sont analysées et peuvent être vérifiées par rapport à des listes noires ou grises s'ils ont été précédemment détectés comme potentiellement dangereux.
Analyse du contenu
Les mots-clés dans le sujet et le corps de l'e-mail peuvent déclencher des filtres.
Par exemple, les récentes attaques utilisant des codes QR exploitent souvent un prétexte lié à l'activation de l'authentification multifactorielle. Des mots-clés comme MFA ou 2FA peuvent déclencher une inspection plus approfondie de l'e-mail.
Les liens et les URL dans l'e-mail sont également analysés à l'aide d'outils dédiés combinant analyse de la réputation et analyse de contenu.
Les pièces jointes sont également scannées à l'aide de logiciels anti-malware pour déterminer leur nature et, dans des cas spécifiques, comme les extensions, être bloquées complètement.
Examen des métadonnées
Les métadonnées, telles que les adresses IP d'origine ou les heures d'envoi inhabituelles, peuvent être utilisées pour bloquer ou mettre en quarantaine les e-mails suspects.
Par exemple, un e-mail envoyé en dehors des heures de travail ou depuis un autre emplacement peut être signalé comme suspect.
Filtrage basé sur l'apprentissage automatique
Grâce à l'apprentissage automatique, les filtres peuvent reconnaître des modèles et des comportements, et tout e-mail déviant des modèles établis et des comportements des utilisateurs sera signalé comme suspect.
Filtrage bayésien
En utilisant une analyse statistique des mots-clés dans le contenu et en les comparant à des spams connus, les filtres peuvent classer les e-mails entrants ou sortants comme spam ou légitimes.
Filtrage heuristique
Le filtrage heuristique des e-mails utilise un filtrage basé sur des règles. Par exemple, un e-mail contenant une chaîne spécifique de caractères comme "!!!" peut être automatiquement marqué comme spam.
Filtrage collaboratif
Certains systèmes de filtrage des e-mails utilisent les données de signalement d'autres utilisateurs pour identifier les e-mails suspects. Les grands fournisseurs d'e-mails bénéficient d'un effet de réseau pour mieux protéger leurs utilisateurs.
Si plusieurs utilisateurs signalent un e-mail comme suspect, il sera inspecté et ses propriétés seront utilisées pour l'identifier et le bloquer auprès d'autres clients.
Analyse comportementale
La réputation de l'expéditeur et l'engagement des destinataires sont deux indicateurs comportementaux qui peuvent être utilisés pour classer les e-mails.
La réputation de l'expéditeur, basée sur les schémas d'envoi et les retours précédents des destinataires, aide à catégoriser la nature de l'e-mail.
L'engagement des destinataires, allant du signalement comme suspect à la suppression, aide à comprendre la qualité et la nature des e-mails. Certaines solutions de filtrage des e-mails peuvent utiliser cela pour améliorer leur processus de classification.
Filtrage basé sur des défis
Comme les captcha sur les pages web, certains filtres nécessitent qu'un défi soit résolu, soit par un logiciel soit par un humain, pour classifier la nature de l'e-mail.
Règles définies par l'utilisateur
En plus de ces techniques, les filtres peuvent se combiner avec des règles personnalisées définies par l'utilisateur pour modifier leur comportement.
Par exemple, les utilisateurs peuvent "whitelister" des adresses IP spécifiques ou des en-têtes d'e-mails pour permettre à des simulations de phishing de contourner leurs filtres et d'être livrées à leurs utilisateurs.
Comment un filtre de messagerie accède-t-il aux e-mails ?
Les filtres de messagerie, selon leur déploiement, accèdent généralement aux e-mails de deux manières.
Ils peuvent être utilisés comme une passerelle de messagerie, en étant généralement configurés directement dans les enregistrements MX : cela signifie qu'ils recevront directement les e-mails entrants et décideront de les distribuer, les mettre en quarantaine ou les bloquer en fonction de leur diagnostic.
Comme les e-mails n'atterriront pas dans la boîte de réception des utilisateurs avant le processus de filtrage, cela est souvent considéré comme le déploiement le plus sécurisé, mais c'est aussi plus complexe à déployer et peut créer des problèmes de livraison et de sécurité pendant le déploiement en raison de la propagation et des modifications DNS.
La seconde méthode consiste à utiliser des règles de flux de messagerie ou une connexion API avec le fournisseur de messagerie, de sorte que tout e-mail entrant sera inspecté par le filtre.
En raison de leur mise en œuvre, les connexions API peuvent parfois permettre aux e-mails d'atteindre la boîte de réception des utilisateurs pendant une courte période, et si un bug survient pendant ce temps, des e-mails potentiellement dangereux pourraient rester dans la boîte de réception et créer un risque de sécurité.
Cependant, le déploiement est beaucoup plus simple et génère moins de problèmes de délivrabilité.
Comment les utilisateurs utilisent-ils les filtres de messagerie ?
Les utilisateurs réguliers n'interagissent pas beaucoup avec les filtres de messagerie.
Ils ont généralement accès à un bouton de rapport qui leur permet de signaler les e-mails suspects pour une analyse plus approfondie, et parfois, ils peuvent accéder à un dossier "Indésirable" dans leur boîte de réception où le filtre place les e-mails suspects.
Les administrateurs ont un accès plus élevé et peuvent configurer des règles. Selon les capacités du filtre, ils peuvent accéder à une quarantaine où ils peuvent examiner manuellement les e-mails considérés comme suspects par le filtre.
Quels sont les types d'appliances de filtrage des e-mails ?
Il existe trois principaux types d'appliances de filtrage des e-mails : sur site, dans le cloud ou hybrides.
Les appliances sur site sont parfois nécessaires pour des raisons de réglementation ou pour conserver toutes les données de messagerie en interne à l'entreprise. Cela implique d'avoir un matériel spécifique qui traitera localement les e-mails entrants et sortants pour les analyser et les classer.
Cela offre une plus grande confidentialité car tous les e-mails — qui peuvent contenir des informations potentiellement sensibles — sont traités dans les locaux de l'organisation. En revanche, cela nécessite une maintenance et est plus difficile à faire évoluer si le volume d'e-mails et le nombre de comptes à sécuriser augmentent.
Les appliances cloud sont de plus en plus courantes et permettent à l'entreprise de s'appuyer sur un service cloud pour filtrer leurs e-mails. Les e-mails sont acheminés via l'appliance cloud qui se chargera du filtrage des e-mails.
Cela offre aux utilisateurs une infrastructure plus évolutive avec des coûts de maintenance réduits, mais implique que des données potentiellement sensibles passent par le cloud.
Enfin, certaines organisations peuvent avoir des appliances hybrides, en raison de migrations et d'opérations héritées, ou de comptes spécifiques, à criticité élevée ou réglementés, gérés par une appliance sur site, tandis que le reste est filtré par une appliance cloud.
Quelles sont les limites du filtrage des e-mails ?
Comme tous les systèmes de sécurité, le filtrage des e-mails n'est pas parfait.
Les deux principaux problèmes que le filtrage des e-mails peut créer sont les faux positifs et les faux négatifs.
- Les faux positifs auront tendance à bloquer des e-mails potentiellement importants en les détectant comme suspects, retardant ou annulant ainsi des communications importantes. Un filtre trop sensible peut nuire à la productivité et à la fiabilité des e-mails.
- Les faux négatifs laisseront passer des e-mails dangereux. Les attaquants innovent constamment pour contourner les filtres et peuvent réussir à envoyer des e-mails de phishing potentiellement dangereux ou des pièces jointes malveillantes à leurs victimes en contournant les systèmes de détection