L’onglet «Général »

L’activation de l’antispam s’effectue en déterminant quelles seront les analyses activées. Deux choix sont disponibles sur le firewall :

Activer l'analyse par réputation (listes noires DNS –RBL)

Cette option permet de valider l’émetteur auprès d’une liste publique de Spams reconnue (DNSBL).

Activer l'analyse heuristique

Cette option permet d’étudier le contenu du mail pour en déterminer la portée.

Paramètres SMTP

Le serveur de confiance concerne le serveur SMTP. En renseignant ce champ, qui est facultatif, les e-mails seront analysés de manière plus fine par le module Antispam.

Nom du serveur SMTP (FQDN)

Cette information facultative permet de définir un domaine dit « de confiance ».

Les mails relayés par un serveur appartenant au domaine indiqué évitent ainsi l’analyse de domaine. Cela peut être défini pour les mails relayés par les serveurs internes, par exemple.

Le protocole SMTP permet aux serveurs relayant les mails, de renseigner un champ indiquant leur identité. Si un mail passe par un serveur appartenant au domaine de confiance, les serveurs précédents sont considérés comme légitimes et l’analyse ne s’appliquera qu’aux suivants.

Action

Il existe 4 actions possibles qui permettent au proxy SMTP de répondre au serveur SMTP distant en indiquant un rejet pour cause de spam.

  • Marquer comme spam : les mails ne sont pas bloqués mais sont marqués comme spams.
  • Bloquer tous les spams : le mail est rejeté quel que soit le seuil de confiance.
  • Bloquer les spams de niveau 2 ou supérieur : cette option permet de définir qu’à partir du seuil de confiance de niveau 2, un mail sera rejeté. Les seuils sont : « 1 – Bas», « 2 – Moyen», « 3 – Haut».
  • Bloquer uniquement les spams de niveau 3 : cette option permet de définir qu’à partir du seuil de confiance 3 (Haut), le mail sera rejeté.

Pour exemple : si vous configurez au niveau de l’analyse heuristique un seuil de 100, les mails seront considérés comme spam à partir de 100. De 100 à 200, le niveau de confiance sera faible, de 200 à 300, il sera modéré, au dessus de 300, il sera élevé. Si vous avez indiqué au niveau de cette option un seuil de confiance modéré, tous les mails de niveau modéré et élevé (donc au dessus de 200) seront rejetés alors que ceux au dessus de 100 à 200 seront gardés.

REMARQUE

Lorsque plusieurs méthodes d'analyses sont utilisées simultanément, le plus haut niveau de score est attribué.

Configuration avancée

Les messages identifiés comme spam ne sont pas supprimés par le module Antispam du boîtier UTM Stormshield Network. Cependant il effectue des actions de modifications du message détecté comme spam de façon à permettre un traitement futur par le client de messagerie Web par exemple. Deux actions de marquage sont disponibles :

 

Insérer les en-têtes X-Spam

En cochant cette option, le module Antispam ajoute au message identifié comme spam, un en-tête synthétisant le résultat de son analyse pour ce message. Cet en-tête antispam, au format "spam assassin" peut ensuite être utilisé par le client de messagerie Web pour effectuer les traitements adéquats sur le message marqué.

Analyse par réputation

L’analyse par liste noire DNS (RBL) (Real time Blackhole List) permet la qualification d’un message en spam par l’intermédiaire de serveurs RBL. Les menus suivants permettent de configurer la liste des serveurs RBL qui seront utilisés pour cette analyse ainsi que le niveau de confiance accordé à chacun des serveurs.

Liste des serveurs de listes noires DNS (RBL)

Une grille affiche une liste des serveurs RBL auxquels le boîtier UTM envoie ses requêtes pour vérifier qu’un e-mail n’est pas un spam. Cette liste est actualisée par l’« Active Update ». Elle n’est pas modifiable mais vous pouvez toutefois désactiver certains serveurs en cliquant sur la case présente au début de chaque ligne (dans la colonne Activé).

Le niveau spécifié dans les colonnes de la grille indique le niveau de confiance accordé à ce serveur.

Vous pouvez aussi configurer vos propres serveurs RBL auxquels vous souhaitez que l’Appliance se connecte. Pour ajouter un serveur, cliquez sur le bouton Ajouter. Une nouvelle ligne est ajoutée. Il est possible de définir jusqu'à 50 serveurs RBL.

Spécifiez un nom pour ce serveur (unique pour la liste des serveurs RBL), une cible DNS (Champ : Nom de domaine uniquement. Cela doit être un nom de domaine valide), un niveau de confiance (Bas, Moyen, Haut) et enfin un commentaire. L'indication du commentaire est facultative. Puis cliquez sur Appliquer.

Pour supprimer un serveur configuré, sélectionnez-le dans la liste puis cliquez sur le bouton Supprimer.

NOTE

La différenciation entre les serveurs RBL nativement configurés par Stormshield Network et les serveurs configurés de manière personnalisée s’effectue grâce au cadenas ug4 qui indique les serveurs RBL nativement configurés par Stormshield Network.

rappel Rappel : seule la liste de ces serveurs est mise à jour par Active Update.

Analyse heuristique

L’analyse heuristique est basée sur le moteur antispam Vade Retro. Cet antispam délivre, par un algorithme particulier, un degré de légitimité aux messages.

L’antispam effectue le calcul et attribue un score définissant le caractère « non sollicité » d’un message. Les e-mails obtenant une valeur supérieure ou égale au seuil fixé seront considérés comme Publicité ou Spam.

L'analyse heuristique propose alors d’ajouter un préfixe au sujet de ces mails, ce qui permet par exemple leur isolement dans un dossier dédié du Client Mail.

Publicité

Pour détecter les e-mails publicitaires, activer l’option Détecter les e-mails correspondant à des publicités.

Marquage du sujet des publicités (préfixe)

Le sujet des messages identifiés comme publicité sont préfixés par la chaîne de caractères définie. Par défaut cette chaîne est  (ADS *) où * représente le niveau de confiance accordé. Ce score peut varier de 1 à 3. Plus ce score est élevé, plus il est probable que le courrier soit de caractère publicitaire. Quelle que soit la chaîne de caractères utilisée, il est indispensable de prévoir l’insertion du niveau de confiance dans cette chaîne en utilisant *. Cet * sera ensuite remplacé par le score. La longueur maximale du préfixe peut être de 128 caractères. Les courriers identifiés comme publicité sont acheminés et non supprimés.

AVERTISSEMENT

Les caractères guillemets double ne sont pas autorisés.

Spams

Marquage du sujet des spams (préfixe)

Le sujet des messages identifiés comme spam sont préfixés par la chaîne de caractères définie. Par défaut cette chaîne est  (SPAM *) où * représente le niveau de confiance accordé. Ce score peut varier de 1 à 3. Plus ce score est élevé, plus il est probable que le courrier soit du pourriel. Quelle que soit la chaîne de caractères utilisée, il est indispensable de prévoir l’insertion du niveau de confiance dans cette chaîne en utilisant *. Cet * sera ensuite remplacé par le score. La longueur maximale du préfixe peut être de 128 caractères. Les courriers identifiés comme spam sont acheminés et non supprimés.

AVERTISSEMENT

Les caractères guillemets double ne sont pas autorisés.

Score minimal de définition d’un spam [1-5000]

L’analyse heuristique réalisée par le module Antispam effectue le calcul d’une valeur définissant le caractère "non-sollicité" d’un message. Les e-mails obtenant une valeur supérieure ou égale au seuil fixé seront considérés comme spams. Cette section permet de définir le seuil à appliquer, par défaut Stormshield Network choisit "200".

En modifiant le score, la valeur minimale des 3 seuils de confiance est modifiée.

De plus, plus cette valeur calculée est élevée plus le niveau de confiance accordé par l’antispam à l’analyse sera élevé. Les seuils de franchissement des niveaux de confiance ne sont pas configurables dans l’interface d’administration Web.