POP3

Le protocole POP3 a pour objectif de détecter les connexions entre un client et un serveur e-mail utilisant le protocole POP3.

Onglet « IPS - PROXY »

Ces deux fonctionnalités ont été réunies en un seul onglet par souci d’ergonomie.

IPS

Détecter et inspecter automatiquement le protocole

Si le protocole est activé, l'inspection sera automatiquement appliquée à la découverte d'un trafic correspondant, autorisé par le filtrage.

Proxy

Le trafic Mail n’est pas seulement basé sur le protocole SMTP mais aussi sur POP3. Ce protocole va permettre à l’utilisateur d’un logiciel de messagerie, de récupérer sur son poste des mails stockés sur un serveur distant. Ce serveur de mail distant pouvant être situé à l’extérieur du réseau local ou sur une interface distincte, le flux POP3 transite au travers du firewall lui permettant de réaliser son analyse.

Filtrer la bannière d’accueil envoyée par le serveur

Lorsque cette option est cochée, la bannière de votre serveur de messagerie n'est plus envoyée lors d'une connexion POP3. En effet, cette bannière contient des informations qui peuvent être exploitées par certains pirates (type de serveur, version logicielle ...).

Connexion

Conserver l’adresse IP source originale

Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.

Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Support

Désactiver la prévention d’intrusion

En cochant cette option, l'analyse du protocole POP3 sera désactivée et le trafic sera autorisé si la politique de filtrage le permet.

Tracer chaque requête POP3

Active ou désactive les logs permettant de tracer les requêtes HTTP.

Onglet « Commandes POP3»

Proxy

Commandes principales

Ce menu vous permet d'autoriser ou de rejeter les commandes POP3 définies dans les RFC. Vous pouvez laisser passer une commande, la bloquer ou analyser la syntaxe et vérifier que la commande est conforme aux RFC en vigueur.

Bouton Modifier toutes les commandes : Permet d’autoriser, de rejeter ou de vérifier toutes les commandes.

Commande

Indication du nom de la commande

Action

Cela permet de définir le comportement attribué à la commande.3 possibilités sont disponibles. Il faut cliquer sur l’action de la commande pour pouvoir la modifier :

 

  • Analyser : les données liées à la commande sont analysées en conformité avec les RFC, et bloquées si nécessaire.
  • Exemple : Si le nom de la commande USER n’est pas conforme aux RFC, le paquet ne sera pas transmis au serveur.

  • Passer sans analyser : la commande est autorisée, sans vérification.
  • Bloquer : la commande est bloquée d’office, une alarme sera remontée pour le stipuler.
  • Javascript (fichiers avec extension ".js")

Autres commandes autorisées

Commande

Ce champ permet d’ajouter des commandes personnelles supplémentaires.

Onglet « Analyse des fichiers»

Taille max. pour l'analyse antivirale et sandboxing (Ko)

Cette option correspond à la taille maximale qu’un fichier peut atteindre afin qu’il soit analysé.

 

La taille positionnée par défaut dépend du modèle de firewall :

  • Firewalls modèle S (SN160(W), SN210(W) et SN310) : 4000 Ko.
  • Firewalls modèle M (SN510, SN710 et SNi40) : 4000 Ko.
  • Firewalls modèle L (SN910) : 8000 Ko.
  • Firewalls modèle XL (EVA1, EVA2, EVA3,EVA4, EVAU, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100) : 16000 Ko.

AVERTISSEMENT

Lorsque vous définissez une taille limite de données analysées manuellement, veillez à conserver un ensemble de valeurs cohérentes. En effet, l’espace mémoire total correspond à l’ensemble des ressources réservées pour le service Antivirus. Si vous définissez que la taille limite des données analysées sur POP3 est de 100% de la taille total, aucun autre fichier ne pourra être analysé en même temps.

Action sur les messages

Cette zone décrit le comportement de l’antivirus face à certains événements.

Lorsqu’un virus est détecté

Ce champ contient 2 options. En sélectionnant « Bloquer », le fichier analysé n’est pas transmis. En sélectionnant « Passer », l’antivirus transmet le fichier dans son état.

Lorsque l’antivirus ne peut analyser

Cette option définit le comportement de l’antivirus si l’analyse du fichier qu’il est en train de scanner échoue.

 

Exemple

Il ne réussit pas à analyser le fichier parce qu’il est verrouillé.

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier est transmis sans vérification.

Lorsque la collecte de données échoue

Cette option décrit le comportement de l’antivirus face à certains événements. Il est possible de Bloquer le trafic en cas d’échec de la récupération des informations, ou de le laisser passer sans analyser.

Onglet « Analyse sandboxing»

Sandboxing

Etat

Cette colonne affiche l’état (Activé/Désactivé) de l'analyse sandboxing pour le type de fichier correspondant. Double-cliquez dessus pour changer l’état.

Type de fichiers

L'option sandboxing propose l'analyse de quatre types de fichiers attachés en pièce-jointe:

  • Archive : sont inclus les principaux types d'archives (zip, arj, lha, rar, cab…)
  • Document bureautique (logiciels Office): tous les types de documents pouvant être ouverts avec la suite MS Office.
  • Exécutable: fichiers exécutables sous windows (fichiers avec extension ".exe",".bat",".cmd",".scr", …).
  • PDF: fichiers au format Portable Document Format (Adobe).
  • Flash (fichiers avec extension ".swf").
  • Java (fichiers compilé java. Exemple : fichiers avec extension ".jar").
Taille max. d'un e-mail soumis à l'analyse sandboxing (Ko) Ce champ permet de définir la taille maximale d'un e-mail devant être soumis à l'analyse sandboxing. Par défaut, cette valeur est égale à celle du champ Taille max. pour l'analyse antivirale et sandboxing (Ko) présent dans l'onglet Analyse des fichiers. Elle ne peut l'excéder.

Action sur les fichiers

Lorsqu’un malware connu est identifié Ce champ contient 2 options. En sélectionnant Bloquer, le fichier analysé n’est pas transmis. En sélectionnant Passer, le fichier est transmis dans son état.
Lorsque sandboxing ne peut analyser

Cette option définit le comportement de l’option sandboxing si l’analyse du fichier échoue.

 

Si Bloquer est spécifié, le fichier en cours d’analyse n’est pas transmis.

Si Passer sans analyser est spécifié, le fichier en cours d’analyse est transmis.