Configuration par défaut du scanner de messagerie MimeSweeper 4.x trop permissive

Date :12 Juillet 2005

Publication: Article

MimeSweeper est un scanner de messagerie permettant de filtrer les e-mails en fonction de leur contenu (recherche de mots-clés, de virus, de scripts HTML, d’attachements spécifiques,….).

Le fonctionnement de MimeSweeper est basé sur la notion de scénarios qui sont associés à des événements particuliers.

L’un de ces scénarios correspond à la recherche de virus dans les e-mails (Virus Manager + Sophos SAVI). Dans la configuration de ce dernier, on peut lui indiquer les types de fichiers qu’il devra analyser :

  • Tous les fichiers qui sont contenus dans une liste prédéfinie
  • Tous les fichiers autres que ceux qui sont contenus dans une liste prédéfinie
  • Tous les fichiers sans exception

Par défaut, ce type de scénario est configuré pour analyser " tous les fichiers autres que ceux qui sont contenus dans une liste prédéfinie ". Cependant, une erreur s’est glissée dans cette liste au niveau des choix des fichiers qui ne seront pas analysés. En effet, elle définit que les fichiers de type HTML ne doivent pas être pris en compte par l’anti-virus.

Ainsi des virus HTLM comme Kak (CERT-IST/AV-2000.006) peuvent traverser aisément le scanner de messagerie et venir infecter les postes des utilisateurs.

Il est alors recommandé de décocher la " non-analyse " des fichiers de type HTML dans les scénarios relatifs aux virus.

Néanmoins, le CERT-IST a estimé que l’utilisation de ce type de produit sensible devrait répondre à une configuration très fine et que par conséquent que les administrateurs ne devraient pas se satisfaire de la configuration par défaut proposée.

Source : Support MimeSweeper : http://www.mimesweeper.com/support/technotes/technote.asp?technote=/support/threatlab/bulletin050101.asp