Vérification inverse

MDaemon Email Server

previous page next page

Navigation:  Menu Sécurité > Paramètres de sécurité > Paramètres de sécurité >

Vérification inverse

 Print this Topic Previous pageReturn to chapter overviewNext page

En utilisant les options de cette boîte de dialogue, MDaemon peut être configuré pour effectuer une vérification inverse sur le domaine passé dans les commandes HELO/EHLO et/ou MAIL. Lors de ces vérifications, MDaemon essaie d’obtenir toutes les adresses IP des enregistrements MX et A pour le domaine donné. Ensuite, l’IP de l’ordinateur qui se connecte est comparée à cette liste afin de déterminer si l’expéditeur a falsifié ou non son identité.

Souvent, l’adresse IP du serveur qui envoie du courrier ne correspond à aucun enregistrement MX ou A connu pour le domaine donné mais distribue le courrier légitimement. La vérification inverse n’a donc pas pour objectif d’exclure du courrier mais d’inclure autant d’informations que possible dans les fichiers journaux, et de fournir les moyens par lesquels le postmaster peut agir en fonction de ses propres règles locales concernant les messages suspects. Dans ce but, une option existe et permet d’insérer un en-tête spécial dans tous les messages qui ne réussissent pas à franchir l’étape de la vérification inverse. Le système de filtre de contenu peut alors être utilisé pour déterminer le sort des messages contenant cet en-tête.

Vous pouvez également effectuer une vérification inverse sur des enregistrements PTR d’adresses IP entrantes. Lorsque vous utilisez cette option, la connexion peut être annulée ou un en-tête d’avertissement peut être inséré dans le courrier, si l’adresse IP entrante ne correspond à aucun enregistrement PTR.

Enfin, il est généralement admis que le fait d’accepter du courrier de sources qui s’identifient en utilisant un domaine qui n’existe pas devrait être optionnel. Par conséquent, il existe un paramètre qui vous permet de refuser des messages pour lesquels la vérification inverse a retourné un message "domaine introuvable" depuis le serveur DNS. Dans ce genre de cas, MDaemon retourne le code d’erreur 451, refuse le message, puis autorise la progression de la session SMTP en cours.

Toutefois, il est possible d’envoyer le code d’erreur 501, de fermer la connexion, ou d’effectuer les deux opérations à la fois. Pour cela, utilisez les paramètres correspondants.

Les adresses IP autorisées et l'adresse localhost (127.0.0.1) sont toujours dispensées de la vérification inverse.

Vérifier l’enregistrement PTR des connexions SMTP entrantes

Activez cette option si vous voulez que MDaemon effectue une vérification inverse sur l’enregistrement PTR de toutes les connexions SMTP entrantes.

Envoyer le code 501 puis fermer la connexion si aucune correspondance PTR n'est trouvée

Activez cette option pour que MDaemon envoie un code d’erreur 501 (erreur de syntaxe dans des paramètres ou arguments) et ferme la connexion si aucun enregistrement PTR n’est trouvé pour le domaine. Option à utiliser avec précaution.

Envoyer le code 501 puis fermer la connexion si l’enregistrement PTR n'est pas correct

Activez cette option pour que MDaemon envoie un code erreur 501 (erreur de syntaxe dans des paramètres ou arguments) et ferme la connexion si le résultat de la vérification d’un enregistrement PTR ne correspond pas.

Ne pas appliquer aux sessions authentifiées (la vérification s’effectuera après la commande MAIL)

Lorsque cette option est activée, la vérification PTR des connexions SMTP entrantes ne s’effectue qu’après la commande MAIL, afin de déterminer si la session est authentifiée.

Vérifier le domaine HELO/EHLO

Activez cette option si vous voulez qu’une vérification soit effectuée sur le nom de domaine communiqué lors du dialogue HELO/EHLO de la session. La commande HELO/EHLO est utilisée par le client (l’ordinateur qui envoie) pour s’identifier sur le serveur. Le nom de domaine, envoyé par le client dans cette commande, est utilisé par le serveur pour remplir le champ from de l’en-tête Received.

Vérifier la valeur incluse dans la commande MAIL

En activant ce paramètre, une vérification est effectuée sur le nom de domaine communiqué durant l’envoi de la commande MAIL pour la transaction de courrier. L’adresse incluse dans la commande MAIL correspond au chemin inverse du message : il s’agit en principe de la boîte aux lettres d’envoi.Cependant, il peut parfois s’agir de l’adresse à laquelle envoyer les messages d’erreur.

Envoyer le code d’erreur 501 puis fermer la connexion en cas d’usurpation d’identifiant (attention)

Cochez cette case si vous voulez que le code d’erreur 501 soit envoyé et que la connexion soit ensuite fermée lorsque la vérification permet de déceler une usurpation d’identification.

Lorsque le résultat d’une vérification indique que le serveur utilise des informations d’identification usurpées, il est possible que ce résultat soit en réalité erroné. Il est fréquent pour les serveurs de messagerie de s’identifier à l’aide de valeurs qui ne correspondent pas à leur adresse IP. Cela peut être dû aux limitations et restrictions imposées par les FAI ou à d’autres raisons tout à fait légitimes. Pour cela, vous devez faire attention lorsque vous activez cette option. Il est probable que son utilisation entraîne le refus de messages légitimes de la part de votre serveur.

Refuser le courrier si le résultat de la vérification est "domaine introuvable"

Lorsqu’une vérification retourne le message "domaine introuvable", en activant cette option, le message sera refusé et le code d’erreur 451 (Action arrêtée : erreur de traitement) sera envoyé et la session sera alors autorisée à fonctionner normalement jusqu’à ce qu’elle soit terminée.

. . . envoyer le code d'erreur 501 (451 par défaut)

Activez cette option si vous voulez que le code d’erreur 501 (erreur de syntaxe dans des paramètres ou arguments) soit envoyé en réponse à un résultat "domaine introuvable", à la place du code 451.

. . . puis fermer la connexion

Activez cette option si vous voulez que la connexion soit fermée immédiatement, au lieu de continuer normalement, lorsque le résultat de la vérification inverse correspond à "domaine introuvable".

Insérer des en-têtes d'avertissement dans les mssages suspects

Activez cette option si vous voulez qu’un en-tête soit inséré dans les messages considérés comme suspects en raison des résultats de la vérification inverse. Vous pouvez changer le nom et le contenu de cet en-tête en modifiant le fichier MDaemon.ini comme suit :

[Special]

LookupWarningHeader=X-Lookup-Warning: text

Si vous modifiez cette valeur, MDaemon vous autorisera à remplacer la section "X-LookupWarning: text" par le texte de votre choix. Veillez cependant à ce que vos modifications soient conformes aux réglementations RFC relatives aux en-têtes de messages.

Liste des exceptions

Cliquez sur ce bouton pour définir la liste des adresses IP dispensées de vérification inverse.

 

previous page start next page