Protection instantanée

MDaemon Email Server

Navigation:  Menu Sécurité >

Protection instantanée

Print this Topic Previous pageReturn to chapter overviewNext page

La protection instantanée est une technologie révolutionnaire de lutte contre les spams, les virus et les phishings capable de protéger l'infrastructure de MDaemon de façon proactive et automatique dès les premières minutes d'une attaque. Cette fonctionnalité est incluse dans SecurityPlus for MDaemon, et requiert au moins la version 3.0 de SecurityPlus for MDaemon et MDaemon Pro 9.5. Elle se trouve dans le menu Sécurité de MDaemon (Sécurité » Protection instantanée..., ou Ctrl+Shift+1).

La PI ne s’appuie en aucune façon sur le contenu des messages. Par conséquent, ce système ne requiert pas de règles heuristiques, ni de filtre de contenu ou de mises à jour de signatures. Ainsi, les techniques destinées à tromper les systèmes de protection (ajout de caractères, modifications orthographiques, différences de langue, ou de techniques de codage) n'ont aucun effet sur la détection des attaques. Ce système fonctionne grâce à une analyse mathématique de la structure des messages et des caractéristiques de distribution par SMTP. La PI analyse des "modèles" associés à l'envoi d'e-mails et les compare aux millions de messages collectés chaque jour dans le monde entier.

Les modèles provenant en temps réel du monde entier, la protection est efficace dès les premières minutes (et souvent les premières secondes) d’une nouvelle attaque. Une telle protection contre les virus est capitale. En effet, lors de l'apparition de nouveaux virus, les systèmes traditionnels nécessitent plusieurs heures pour créer et mettre en production les mises à jour des signatures. Durant cet intervalle, les utilisateurs n'étant pas protégés par SecurityPlus sont vulnérables. De même, les systèmes heuristiques traditionnels requièrent du temps pour analyser les spams et créer des règles de filtrage sécurisées.

Veuillez toutefois noter que la Protection instantanée de SecurityPlus ne remplace pas les solutions antivirus, anti-spam et anti-phishing traditionnelles. La PI constitue un niveau de sécurité supplémentaire venant s’ajouter aux outils d’analyse heuristique, d’analyse de contenu et basés sur des signatures également présents dans SecurityPlus et MDaemon. La PI est conçue pour détecter les nouvelles attaques déployées à grande échelle, plutôt que les spams et virus anciens ou spécifiques, facilement bloqués par les outils traditionnels.

La Protection instantanée est basée sur les technologies RPD et Zero-Hour de CommTouch. Elle extrait des "modèles" associés à l'envoi d'e-mails et les compare aux millions de messages collectés chaque jour dans le monde entier. Le contenu des messages n’est jamais transmis, et ne peut pas être déduit à partir des modèles.

 

Protection instantanée

Activer la protection instantanée

Active la protection instantanée sur votre serveur. Les messages entrants sont analysés afin de détecter les nouvelles attaques de virus, spams, ou phishing. Les autres options permettent de déterminer les actions à effectuer et de configurer des exclusions.

Lorsqu’un virus est détecté…

…bloquer en temps réel

Lorsque la PI détecte un virus dans un message, celui-ci est rejeté au cours de la session SMTP. Dans ce cas, les messages ne sont pas mis en quarantaine, ni remis aux destinataires mais directement refusés par le serveur.

…mettre en quarantaine

Sélectionnez cette option si vous souhaitez mettre en quarantaine les virus détectés par la PI.

Lorsqu’un spam est détecté…

…bloquer en temps réel

une nouvelle attaque, le message est refusé. Il n’est pas marqué comme spam, ni distribué au destinataire, mais refusé par le serveur. Les messages simplement "suspects" sont acceptés mais le score de spam est modifié en fonction de l’option ci-dessous. Les messages provenant d’envois "en masse" ne sont pas bloqués par cette option, sauf si vous activez l’option Lorsque les spams sont bloqués, refuser également les messages provenant d’envois en masse. En effet ces messages peuvent faire partie de listes de diffusion ou lettres d’information adressées à un grand nombre de destinataires. Ainsi, il est généralement recommandé de ne pas refuser de type de messages.

…accepter (filtrage ultérieur)

Sélectionnez cette option si vous souhaitez que les spams soient acceptés par la PI. Ils seront alors soumis aux vérifications du Filtre anti-spam et du Filtre de contenu. De plus, leur score sera modifié en fonction de la valeur indiquée dans le champ Score.

Si vous utilisez l’option …accepter (filtrage ultérieur), le message n’est pas bloqué par la Protection instantanée, mais il risque d’être rejeté par le Filtre anti-spam en fonction du score de spam obtenu (voir l'onglet Heuristique du Filter anti-spam).

Score

Valeur ajoutée au score de spam lorsque l’option ci-dessus est activée et que la Protection instantanée détecte que le message fait partie d’une attaque.

Internet Watch Foundation (IWF)

Les options ci-dessous s’appliquent aux messages référant à des sites désignés comme pédophiles ou illégaux par l’IWF. La Protection instantanée utilise une liste d’URL fournie par l’IWF pour détecter ces messages. L'IWF est un organisme possédant une « hotline » indépendante destinée à repérer les sites dont le contenu est potentiellement illégal n'importe où dans le monde. Cet organisme travaille en association avec les services de police, les gouvernements, l'industrie du web et le public afin de lutter contre la diffusion des sites au contenu illégal. La liste des URL est mise à jour quotidiennement.

De nombreuses entreprises ont des règles internes concernant le contenu des messages envoyés et reçus par leurs employés, en particulier les éléments illégaux ou pornographiques. De plus, dans de nombreux pays l'envoi ou la réception de tels messages est interdit par la loi.

Plus d’informations sur l’IWF sont disponibles à l’adresse :

http://www.iwf.org.uk/

Lorsqu’un contenu de l’IWF est détecté...

...bloquer en temps réel

Choisissez cette option si vous souhaitez rejeter au cours de la session SMTP les messages liés à des sites signalés par l’IWF.

...accepter (filtrage ultérieur)

Sélectionnez cette option si vous souhaitez que les messages liés à des sites signalés par l’IWF soient acceptés par la PI. Ils seront alors soumis aux vérifications du Filtre anti-spam et du Filtre de contenu. De plus, leur score sera modifié en fonction de la valeur indiquée dans le champ Score.

Score

Valeur ajoutée au score de spam lorsque l’option ci-dessus est activée et que la Protection instantanée détecte que le message est lié à un site signalé par l’IWF.

Lorsque les spams sont bloqués, refuser également les messages provenant d’envois en masse

Certains messages légitimes comme les listes de diffusion ou les lettres d’information sont parfois envoyés à de très nombreux destinataires et considérés par la PI comme des envois "en masse" (bulk), par opposition aux spams "confirmés". Activez cette option si vous souhaitez que l’option Lorsque qu’un spam/phishing est détecté…bloquer en temps réel ci-dessus s’applique également à ce type de messages. Si cette option est désactivée, seuls les spams confirmés sont bloqués. Cette option peut s’avérer utile si vous recevez des lettres d’informations ou messages de liste de diffusion mais que vous ne pouvez pas mettre l’expéditeur en liste blanche.

Enregistrer l’activité dans le fichier journal des modules

Cochez cette case si vous souhaitez enregistrer l’activité de la PI dans le fichier journal des modules de MDaemon.

Exceptions

Ne pas appliquer la Protection instantanée aux sessions SMTP authentifiées

Lorsque cette option est activée, les messages envoyés au cours d’une session SMTP authentifiée ne sont pas soumis à la PI.

Ne pas appliquer la Protection instantanée aux sessions SMTP d’IP connues

Activez cette option si vous souhaitez que les messages provenant d’IP connues ne soient pas soumis à la Protection instantanée.

Ne pas appliquer aux messages approuvés par SPF/Sender-ID/DK/DKIM

Activez cette option si vous souhaitez que les messages considérés comme valides par SPF, Sender-ID, DK, ou DKIM et dont le domaine figure sur la liste des Domaines approuvés ne soient pas soumis à la Protection instantanée.

Ne pas appliquer aux entrées de la Liste des exceptions et de la Liste blanche (exp.) du Filtre anti-spam

La Liste des exceptions du Filtre anti-spam est basée sur le destinataire ou la valeur RCPT transmise lors de la session SMTP. La Liste blanche (exp.) est basée sur l’expéditeur ou la valeur MAIL transmise lors de la session SMTP. Ces outils n’utilisent pas les en-têtes des messages.

Faux positifs et faux négatifs

Les faux positifs (messages légitimes considérés comme du spam) sont généralement très rares. Toutefois, si cela venait à se produire, vous pouvez envoyer ces messages à l’adresse [email protected] pour les spams ou [email protected] pour les virus. Cela permet d’améliorer les procédés de détection et de classification.

Les faux négatifs (spams considérés comme des messages positifs) se produisent plus souvent que les faux positifs. En effet, la PI n’est pas conçue pour bloquer tous les types de spams et de virus. Il s’agit d’une protection supplémentaire destinée à bloquer les nouvelles attaques lancées à grande échelle. Les messages anciens, ayant une cible spécifique, etc., peuvent être acceptés par la PI. Ils sont bloqués par les autres outils de sécurité de SecurityPlus et de MDaemon lors du traitement du message. Toutefois, vous pouvez envoyer les faux négatifs à [email protected] pour les spam/phishings ou [email protected] pour les virus.

Les messages doivent être envoyés en tant que pièces jointes MIME. Ne les transférez pas directement car des informations importantes pour la classification seraient perdues.