Votre entreprise envoie-t’elle des spams ? En cas de doute … 10 mai 2011
Posted by frnetworker in Diagnostic Réseau, OmniPeek.Tags: Contrôle, Filtre, Mail, OmniPeek, SMTP
add a comment
Une des grandes problématiques pour les administrateurs réseau est de pouvoir contrôler et vérifier le fonctionnement du réseau et la bonne application de la politique de sécurité de l’entreprise.
Votre serveur de mails vous fournit probablement des outils permettant d’empêcher ou de limiter l’envoi de spams depuis votre entreprise … mais avez vous vérifié que d’autres ordinateurs n’envoient pas, volontairement ou non, des mails directement ?
OmniPeek fournit aux ingénieurs la possibilité de capturer et d’analyser le trafic. Voyons comment la mise en place d’un filtre permet d’automatiser le contrôle.
Ce filtre va vous permettre de détecter simplement les adresses IP des postes qui envoient des emails via SMTP hors de votre entreprise.
Dans un premier temps, il vous faut positionner l’analyseur au niveau de votre routeur internet (sur votre LAN). Plusieurs techniques existent entre la mise en place d’un TAP* et le port mirroring**.
Puis, il vous suffira de créer un filtre nommé “Contrôle SMTP***”.
Ce filtre doit comporter 2 instructions :
- Tous les paquets SMTP
- Sauf les paquets adressés ou reçus par votre serveur de mail.
Il suffit alors soit :
- De lancer une capture avec le filtre actif,
- D’appliquer le filtre à une capture déjà réalisée,
- D’utiliser ce filtre comme trigger (déclancheur) de capture en laissant l’analyseur ‘à l’affût’
Voyons par le détail la mise en place du filtre :
Cliquer sur le bouton Insert
Cliquer alors sur le bouton Protocole… pour aller sélectionner SMTP
Sélectionner le protocole SMTP
Indiquer ensuite l’adresse IP (ou le nom) de votre serveur de Mails
Indiquer l'adresse ou le nom du serveur de Mail
En l’état, le filtre ne capturera que les paquets SMTP du serveur de mail, ce qui n’est pas le but recherché, il faut donc switcher en mode ‘Filtres avancés’ afin d’indiquer à OmniPeek ‘Sauf cette adresse’.
Sélectionner les filtres Avancés : Passer de Simple à Advanced
Cliquer droit sur la case qui représente l’adresse IP (ou le nom) du serveur de mails et ajouter NOT
Ajouter NOT pour ignorer les trames du serveur de mails
Bravo, votre filtre est prêt !
Le filtre est prêt à l'usage, il suffit alors de lancer une capture
Une fois la capture lancée, il suffit de se rendre dans l’onglet Nodes … Tout ordinateur qui apparaitra sera ‘fautif’ puisqu’il enverra des mails hors de l’entreprise sans que vous en soyez informé.
A vous de terminer l’enquête …
OmniPeek est un puissant outil d’analyse et de diagnostic de réseau dont NetWalker assure la distribution en France.
* Tap : dispositif de réplication passif du signal réseau. ** les avantages et inconvénients des deux solutions sont présentés ici : Port Mirroring ou Taps *** SMTP : Simple Mail Transfert Protocole
