|
Protection instantanée |
  
|
La protection instantanée est une technologie révolutionnaire de lutte contre les spams, les virus et les phishings capable de protéger l'infrastructure de MDaemon de façon proactive et automatique dès les premières minutes d'une attaque. Cette fonctionnalité est incluse dans SecurityPlus for MDaemon, et requiert au moins la version 3.0 de SecurityPlus for MDaemon et MDaemon Pro 9.5. Elle se trouve dans le menu Sécurité de MDaemon (, ou ).
La PI ne sappuie en aucune façon sur le contenu des messages. Par conséquent, ce système ne requiert pas de règles heuristiques, ni de filtre de contenu ou de mises à jour de signatures. Ainsi, les techniques destinées à tromper les systèmes de protection (ajout de caractères, modifications orthographiques, différences de langue, ou de techniques de codage) n'ont aucun effet sur la détection des attaques. Ce système fonctionne grâce à une analyse mathématique de la structure des messages et des caractéristiques de distribution par SMTP. La PI analyse des "modèles" associés à l'envoi d'e-mails et les compare aux millions de messages collectés chaque jour dans le monde entier.
Les modèles provenant en temps réel du monde entier, la protection est efficace dès les premières minutes (et souvent les premières secondes) dune nouvelle attaque. Une telle protection contre les virus est capitale. En effet, lors de l'apparition de nouveaux virus, les systèmes traditionnels nécessitent plusieurs heures pour créer et mettre en production les mises à jour des signatures. Durant cet intervalle, les utilisateurs n'étant pas protégés par SecurityPlus sont vulnérables. De même, les systèmes heuristiques traditionnels requièrent du temps pour analyser les spams et créer des règles de filtrage sécurisées.
Veuillez toutefois noter que la Protection instantanée de SecurityPlus ne remplace pas les solutions antivirus, anti-spam et anti-phishing traditionnelles. La PI constitue un niveau de sécurité supplémentaire venant sajouter aux outils danalyse heuristique, danalyse de contenu et basés sur des signatures également présents dans SecurityPlus et MDaemon. La PI est conçue pour détecter les nouvelles attaques déployées à grande échelle, plutôt que les spams et virus anciens ou spécifiques, facilement bloqués par les outils traditionnels.
|
La Protection instantanée est basée sur les technologies RPD et Zero-Hour de CommTouch. Elle extrait des "modèles" associés à l'envoi d'e-mails et les compare aux millions de messages collectés chaque jour dans le monde entier. Le contenu des messages nest jamais transmis, et ne peut pas être déduit à partir des modèles. |
Protection instantanée
Activer la protection instantanée
Active la protection instantanée sur votre serveur. Les messages entrants sont analysés afin de détecter les nouvelles attaques de virus, spams, ou phishing. Les autres options permettent de déterminer les actions à effectuer et de configurer des exclusions.
Lorsquun virus est détecté
bloquer en temps réel
Lorsque la PI détecte un virus dans un message, celui-ci est rejeté au cours de la session SMTP. Dans ce cas, les messages ne sont pas mis en quarantaine, ni remis aux destinataires mais directement refusés par le serveur.
mettre en quarantaine
Sélectionnez cette option si vous souhaitez mettre en quarantaine les virus détectés par la PI.
Lorsquun spam est détecté
bloquer en temps réel
une nouvelle attaque, le message est refusé. Il nest pas marqué comme spam, ni distribué au destinataire, mais refusé par le serveur. Les messages simplement "suspects" sont acceptés mais le score de spam est modifié en fonction de loption ci-dessous. Les messages provenant denvois "en masse" ne sont pas bloqués par cette option, sauf si vous activez loption Lorsque les spams sont bloqués, refuser également les messages provenant denvois en masse. En effet ces messages peuvent faire partie de listes de diffusion ou lettres dinformation adressées à un grand nombre de destinataires. Ainsi, il est généralement recommandé de ne pas refuser de type de messages.
accepter (filtrage ultérieur)
Sélectionnez cette option si vous souhaitez que les spams soient acceptés par la PI. Ils seront alors soumis aux vérifications du Filtre anti-spam et du Filtre de contenu. De plus, leur score sera modifié en fonction de la valeur indiquée dans le champ Score.
|
Si vous utilisez loption accepter (filtrage ultérieur), le message nest pas bloqué par la Protection instantanée, mais il risque dêtre rejeté par le Filtre anti-spam en fonction du score de spam obtenu (voir l'onglet Heuristique du Filter anti-spam). |
Score
Valeur ajoutée au score de spam lorsque loption ci-dessus est activée et que la Protection instantanée détecte que le message fait partie dune attaque.
Internet Watch Foundation (IWF)
Les options ci-dessous sappliquent aux messages référant à des sites désignés comme pédophiles ou illégaux par lIWF. La Protection instantanée utilise une liste dURL fournie par lIWF pour détecter ces messages. L'IWF est un organisme possédant une « hotline » indépendante destinée à repérer les sites dont le contenu est potentiellement illégal n'importe où dans le monde. Cet organisme travaille en association avec les services de police, les gouvernements, l'industrie du web et le public afin de lutter contre la diffusion des sites au contenu illégal. La liste des URL est mise à jour quotidiennement.
De nombreuses entreprises ont des règles internes concernant le contenu des messages envoyés et reçus par leurs employés, en particulier les éléments illégaux ou pornographiques. De plus, dans de nombreux pays l'envoi ou la réception de tels messages est interdit par la loi.
Plus dinformations sur lIWF sont disponibles à ladresse :
Lorsquun contenu de lIWF est détecté...
...bloquer en temps réel
Choisissez cette option si vous souhaitez rejeter au cours de la session SMTP les messages liés à des sites signalés par lIWF.
...accepter (filtrage ultérieur)
Sélectionnez cette option si vous souhaitez que les messages liés à des sites signalés par lIWF soient acceptés par la PI. Ils seront alors soumis aux vérifications du Filtre anti-spam et du Filtre de contenu. De plus, leur score sera modifié en fonction de la valeur indiquée dans le champ Score.
Score
Valeur ajoutée au score de spam lorsque loption ci-dessus est activée et que la Protection instantanée détecte que le message est lié à un site signalé par lIWF.
Lorsque les spams sont bloqués, refuser également les messages provenant denvois en masse
Certains messages légitimes comme les listes de diffusion ou les lettres dinformation sont parfois envoyés à de très nombreux destinataires et considérés par la PI comme des envois "en masse" (bulk), par opposition aux spams "confirmés". Activez cette option si vous souhaitez que loption Lorsque quun spam/phishing est détecté bloquer en temps réel ci-dessus sapplique également à ce type de messages. Si cette option est désactivée, seuls les spams confirmés sont bloqués. Cette option peut savérer utile si vous recevez des lettres dinformations ou messages de liste de diffusion mais que vous ne pouvez pas mettre lexpéditeur en liste blanche.
Enregistrer lactivité dans le fichier journal des modules
Cochez cette case si vous souhaitez enregistrer lactivité de la PI dans le fichier journal des modules de MDaemon.
Exceptions
Ne pas appliquer la Protection instantanée aux sessions SMTP authentifiées
Lorsque cette option est activée, les messages envoyés au cours dune session SMTP authentifiée ne sont pas soumis à la PI.
Ne pas appliquer la Protection instantanée aux sessions SMTP dIP connues
Activez cette option si vous souhaitez que les messages provenant dIP connues ne soient pas soumis à la Protection instantanée.
Ne pas appliquer aux messages approuvés par SPF/Sender-ID/DK/DKIM
Activez cette option si vous souhaitez que les messages considérés comme valides par SPF, Sender-ID, DK, ou DKIM et dont le domaine figure sur la liste des Domaines approuvés ne soient pas soumis à la Protection instantanée.
Ne pas appliquer aux entrées de la Liste des exceptions et de la Liste blanche (exp.) du Filtre anti-spam
La Liste des exceptions du Filtre anti-spam est basée sur le destinataire ou la valeur RCPT transmise lors de la session SMTP. La Liste blanche (exp.) est basée sur lexpéditeur ou la valeur MAIL transmise lors de la session SMTP. Ces outils nutilisent pas les en-têtes des messages.
Faux positifs et faux négatifs
Les faux positifs (messages légitimes considérés comme du spam) sont généralement très rares. Toutefois, si cela venait à se produire, vous pouvez envoyer ces messages à ladresse [email protected] pour les spams ou [email protected] pour les virus. Cela permet daméliorer les procédés de détection et de classification.
Les faux négatifs (spams considérés comme des messages positifs) se produisent plus souvent que les faux positifs. En effet, la PI nest pas conçue pour bloquer tous les types de spams et de virus. Il sagit dune protection supplémentaire destinée à bloquer les nouvelles attaques lancées à grande échelle. Les messages anciens, ayant une cible spécifique, etc., peuvent être acceptés par la PI. Ils sont bloqués par les autres outils de sécurité de SecurityPlus et de MDaemon lors du traitement du message. Toutefois, vous pouvez envoyer les faux négatifs à [email protected] pour les spam/phishings ou [email protected] pour les virus.
Les messages doivent être envoyés en tant que pièces jointes MIME. Ne les transférez pas directement car des informations importantes pour la classification seraient perdues.