Antispam et protections des emails

Amster antispam

 

Le rôle principal de la passerelle mail est de détecter les virus et les spams afin de protéger le réseau et ses utilisateurs. Voici une description de ce que fait le logiciel MailScanner comme traitement sur vos messages et sur la façon d’interpréter ses résultats.

 

Lorsqu’un message arrive, il est analysé aiutomatiquement par le logiciel de filtrage afin de respecter la politique de sécurité mise en place. Les différents types de filtrages sont :

 

  • anti-virus
  • notation anti-spam
  • prévention d’autres contenus dangereux : types des fichiers attachés, contenu des messages HTML, phishing

Anti-virus:

Tous les messages sont traités par l’anti-virus de base CLAMAV et d’autres payants possibles afin d’avoir une sécurité maximale. Par exemple, les nouveaux virus ne sont pas détectés aussi rapidement par tous les anti-virus : en cumulant plusieurs anti-virus, on obtient le plus "réactif" de tous pour la mise à jour de ses signatures.

  • Lorsqu’un message "suspect" est découvert, son contenu est placé en quarantaine sur le serveur.
  • Il est remplacé par une pièce jointe qui contient des tests. En ouvrant ce fichier inoffensif, on voit le nom du virus trouvé, ainsi que le nom affecté pour la quarantaine.
  • Le sujet du message est modifié pour faire apparaître {Virus ?}

Anti-spam:

Au contraire des virus, les spams (messages publicitaires ou autres, non sollicités) sont analysés par la passerelle de messagerie et indiqués comme spams potentiels.

mailscanner

Plusieurs systèmes différents sont utilisés pour donner la note finale : des listes noires, une analyse du texte, etc. Cette notation n’est pas facile à établir, car elle dépend de beaucoup de facteurs : le type de message que vous recevez : si vous êtes un chercheur dans le domaine médical, recevoir un message contenant le terme "viagra" sera normal, alors qu’il s’agit souvent de publicités ... Mais cette notation se révèle quand même fiable, avec très peu de messages notés indûment comme des spams, même si certains ne sont pas détectés.

Lorsqu’un spam est découvert, plusieurs actions peuvent être appliquées :

  • Le sujet est modifié pour faire apparaître {Spam ?}
  • Un en-tête est rajouté au message, contenant la note sous forme de "s" : par exemple X-XX-MailScanner-SpamScore : sssssss signifie que la note donnée est de 7 (il y a 7 "s")
  • Un en-tête est rajouté, X-Spam-Status, commençant par Yes, pour savoir quels tests ont donné cette note
  • les messages ayant une note > 50 sont mis en quarantaine sur le serveur et ne sont pas remis au destinataire
  • les messages peuvent être forwardés dans une boîte commune
  • les messages peuvent être mis en quarantaine sans avertissement.
  • ...

Autres filtrages

Fichiers attachés dangereux :

La passerelle détecte les fichiers attachés potentiellement dangereux : par exemple la transmission d’exécutables Windows est interdite (un simple clic, même involontaire, l’exécuterait sur votre PC).

  • lorsqu’un fichier attaché potentiellement dangereux est détecté, il est bloqué et mis en quarantaine sur le serveur
  • il est remplacé par une pièce jointe

En ouvrant ce fichier inoffensif, vous verrez le nom de la pièce jointe bloquée et la raison de son blocage. Vous voyez aussi le nom de la quarantaine si vous voulez contacter le Support interne pour la récupérer

  • le sujet est modifié pour faire apparaître {Filename ?}

Contenu HTML dangereux :

Certains messages au format HTML peuvent être dangereux. Vous pourrez alors voir dans le sujet {Dangerous Content ?} ou {Disarmed}. Dans le deuxième cas, le code HTML dangereux a été neutralisé.

Tentatives d’hameçonnage ou phishing

Cette sorte d’attaque consiste à attirer l’utilisateur sur un site web qui contrefait un autre site : typiquement, celui d’une banque. Le site demande à l’utilisateur des informations confidentielles (son numéro de carte bancaire par exemple) sous un faux prétexte ; si la personne est un peu naïve, elle sera rassurée parce qu’elle se croit chez sa banque.

  • L’alerte apparaît quand un lien web pointe sur un site A alors que le message fait croire qu’il s’agit d’un autre site B
  • Le sujet du message n’est pas modifié
  • Un message est inséré en rouge avant le lien suspect : MailScanner suspecte le lien suivant d’être une tentative de fraude

Une console Web permet l’accès aux données en quarantaine si nécessaire

Vous souhaitez plus d'informations sur les solutions antispam d'Alunys ? Contactez-nous !