|
Vérification inverse |
  
|
En utilisant les options de cette boîte de dialogue, MDaemon peut être configuré pour effectuer une vérification inverse sur le domaine passé dans les commandes HELO/EHLO et/ou MAIL. Lors de ces vérifications, MDaemon essaie dobtenir toutes les adresses IP des enregistrements MX et A pour le domaine donné. Ensuite, lIP de lordinateur qui se connecte est comparée à cette liste afin de déterminer si lexpéditeur a falsifié ou non son identité.
Souvent, ladresse IP du serveur qui envoie du courrier ne correspond à aucun enregistrement MX ou A connu pour le domaine donné mais distribue le courrier légitimement. La vérification inverse na donc pas pour objectif dexclure du courrier mais dinclure autant dinformations que possible dans les fichiers journaux, et de fournir les moyens par lesquels le postmaster peut agir en fonction de ses propres règles locales concernant les messages suspects. Dans ce but, une option existe et permet dinsérer un en-tête spécial dans tous les messages qui ne réussissent pas à franchir létape de la vérification inverse. Le système de filtre de contenu peut alors être utilisé pour déterminer le sort des messages contenant cet en-tête.
Vous pouvez également effectuer une vérification inverse sur des enregistrements PTR dadresses IP entrantes. Lorsque vous utilisez cette option, la connexion peut être annulée ou un en-tête davertissement peut être inséré dans le courrier, si ladresse IP entrante ne correspond à aucun enregistrement PTR.
Enfin, il est généralement admis que le fait daccepter du courrier de sources qui sidentifient en utilisant un domaine qui nexiste pas devrait être optionnel. Par conséquent, il existe un paramètre qui vous permet de refuser des messages pour lesquels la vérification inverse a retourné un message "domaine introuvable" depuis le serveur DNS. Dans ce genre de cas, MDaemon retourne le code derreur 451, refuse le message, puis autorise la progression de la session SMTP en cours.
Toutefois, il est possible denvoyer le code derreur 501, de fermer la connexion, ou deffectuer les deux opérations à la fois. Pour cela, utilisez les paramètres correspondants.
Les adresses IP autorisées et l'adresse localhost (127.0.0.1) sont toujours dispensées de la vérification inverse.
Vérifier lenregistrement PTR des connexions SMTP entrantes
Activez cette option si vous voulez que MDaemon effectue une vérification inverse sur lenregistrement PTR de toutes les connexions SMTP entrantes.
Envoyer le code 501 puis fermer la connexion si aucune correspondance PTR n'est trouvée
Activez cette option pour que MDaemon envoie un code derreur 501 (erreur de syntaxe dans des paramètres ou arguments) et ferme la connexion si aucun enregistrement PTR nest trouvé pour le domaine. Option à utiliser avec précaution.
Envoyer le code 501 puis fermer la connexion si lenregistrement PTR n'est pas correct
Activez cette option pour que MDaemon envoie un code erreur 501 (erreur de syntaxe dans des paramètres ou arguments) et ferme la connexion si le résultat de la vérification dun enregistrement PTR ne correspond pas.
Ne pas appliquer aux sessions authentifiées (la vérification seffectuera après la commande MAIL)
Lorsque cette option est activée, la vérification PTR des connexions SMTP entrantes ne seffectue quaprès la commande MAIL, afin de déterminer si la session est authentifiée.
Vérifier le domaine HELO/EHLO
Activez cette option si vous voulez quune vérification soit effectuée sur le nom de domaine communiqué lors du dialogue HELO/EHLO de la session. La commande HELO/EHLO est utilisée par le client (lordinateur qui envoie) pour sidentifier sur le serveur. Le nom de domaine, envoyé par le client dans cette commande, est utilisé par le serveur pour remplir le champ from de len-tête Received.
Vérifier la valeur incluse dans la commande MAIL
En activant ce paramètre, une vérification est effectuée sur le nom de domaine communiqué durant lenvoi de la commande MAIL pour la transaction de courrier. Ladresse incluse dans la commande MAIL correspond au chemin inverse du message : il sagit en principe de la boîte aux lettres denvoi.Cependant, il peut parfois sagir de ladresse à laquelle envoyer les messages derreur.
Envoyer le code derreur 501 puis fermer la connexion en cas dusurpation didentifiant (attention)
Cochez cette case si vous voulez que le code derreur 501 soit envoyé et que la connexion soit ensuite fermée lorsque la vérification permet de déceler une usurpation didentification.
|
Lorsque le résultat dune vérification indique que le serveur utilise des informations didentification usurpées, il est possible que ce résultat soit en réalité erroné. Il est fréquent pour les serveurs de messagerie de sidentifier à laide de valeurs qui ne correspondent pas à leur adresse IP. Cela peut être dû aux limitations et restrictions imposées par les FAI ou à dautres raisons tout à fait légitimes. Pour cela, vous devez faire attention lorsque vous activez cette option. Il est probable que son utilisation entraîne le refus de messages légitimes de la part de votre serveur. |
Refuser le courrier si le résultat de la vérification est "domaine introuvable"
Lorsquune vérification retourne le message "domaine introuvable", en activant cette option, le message sera refusé et le code derreur 451 (Action arrêtée : erreur de traitement) sera envoyé et la session sera alors autorisée à fonctionner normalement jusquà ce quelle soit terminée.
. . . envoyer le code d'erreur 501 (451 par défaut)
Activez cette option si vous voulez que le code derreur 501 (erreur de syntaxe dans des paramètres ou arguments) soit envoyé en réponse à un résultat "domaine introuvable", à la place du code 451.
. . . puis fermer la connexion
Activez cette option si vous voulez que la connexion soit fermée immédiatement, au lieu de continuer normalement, lorsque le résultat de la vérification inverse correspond à "domaine introuvable".
Insérer des en-têtes d'avertissement dans les mssages suspects
Activez cette option si vous voulez quun en-tête soit inséré dans les messages considérés comme suspects en raison des résultats de la vérification inverse. Vous pouvez changer le nom et le contenu de cet en-tête en modifiant le fichier MDaemon.ini comme suit :
[Special]
LookupWarningHeader=X-Lookup-Warning: text
Si vous modifiez cette valeur, MDaemon vous autorisera à remplacer la section "X-LookupWarning: text" par le texte de votre choix. Veillez cependant à ce que vos modifications soient conformes aux réglementations RFC relatives aux en-têtes de messages.
Liste des exceptions
Cliquez sur ce bouton pour définir la liste des adresses IP dispensées de vérification inverse.