MDaemon Email Server 24.5

 

La Protection instantanée (OP) est accessible à partir du menuSécuritéde MDaemon (Sécurité " Protection instantanée..., ou Ctrl+Shift+1). Il s'agit d'une technologie révolutionnaire d'anti-spam, d'anti-virus et d'anti-phishing en temps réel, capable de protéger de manière proactive une infrastructure de messagerie MDaemon, automatiquement et dans les minutes qui suivent l'apparition d'une épidémie.

La Protection instantanée est totalement agnostique en termes de contenu, ce qui signifie qu'elle ne repose pas sur une analyse lexicale stricte du contenu des messages. Il ne nécessite donc pas de règles heuristiques, de filtrage du contenu ou de mise à jour des signatures. Dans ce cas, il ne se laisse pas tromper par l'ajout d'un texte de départ, par des changements orthographiques astucieux, par des tactiques d'ingénierie sociale, par des barrières linguistiques ou par des différences dans les techniques d'encodage. Au contraire, l'OP est basé sur la détection de motifs récurrents et les technologies "zéro heure". Dans ce cas, il analyse les "schémas" associés à la transmission d'un message électronique et les compare à des schémas similaires collectés à partir de millions de messages électroniques dans le monde entier, qui sont échantillonnés et comparés en temps réel. Remarque : OP ne transmet jamais le contenu réel des messages, et le contenu des messages ne peut pas être déduit des modèles extraits.

Les messages étant analysés en temps réel dans le monde entier, la protection est assurée dans les minutes, voire les secondes, qui suivent l'apparition d'un nouveau foyer. Pour les virus, ce niveau de protection est essentiel car il faut souvent des heures après une épidémie avant qu'un fournisseur d'antivirus traditionnel puisse vérifier et soumettre une mise à jour de la signature du virus, et il peut ensuite s'écouler encore plus de temps avant que cette mise à jour ne soit utilisée en production. Pendant cet intervalle, les serveurs dépourvus de Protection Instantanée sont vulnérables à l'épidémie en question. De même, pour les messages de spam, il faut souvent du temps et des efforts pour analyser le spam et créer une règle de filtrage sûre avant qu'il ne soit reconnu par les systèmes heuristiques traditionnels et les systèmes basés sur le contenu.

Il est toutefois important de noter que la fonction de Protection instantanée ne remplace pas les techniques traditionnelles d'antivirus, d'antispam et d'antiphishing. Dans les faits, OP fournit une autre couche de protection spécialisée en plus des outils heuristiques, des signatures et des outils basés sur le contenu que l'on trouve dans MDaemon. Plus précisément, OP est conçu pour traiter les épidémies à grande échelle plutôt que les messages anciens, uniques ou spécifiquement ciblés qui peuvent être plus facilement détectés par les outils traditionnels.

 

Protection instantanée

Activer la protection instantanée

Cochez cette case pour activer la Protection instantanée sur votre serveur. Les messages entrants seront analysés pour déterminer s'ils font partie d'une épidémie de virus, de spam ou de phishing. Les options restantes de cette boîte de dialogue permettent de déterminer ce qui sera fait des messages faisant partie d'une épidémie et de désigner les expéditeurs qui seront exemptés du traitement OP.

Lorsqu'un virus est détecté...

bloquer en temps réel

Sélectionnez cette option si vous souhaitez bloquer les messages pendant le processus SMTP lorsqu'il est établi qu'ils font partie d'une épidémie de virus. Ces messages ne seront pas mis en quarantaine ni remis à leurs destinataires, ils seront rejetés par le serveur.

en quarantaine

Sélectionnez cette option si vous souhaitez accepter les messages qui, selon OP, font partie d'une épidémie de virus. Bien que ces messages ne soient pas rejetés par le serveur, ils seront mis en quarantaine au lieu d'être livrés à leurs destinataires. Les messages mis en quarantaine sont placés dans le dossier de quarantaine.

Lorsqu'il est détecté, le spam est...

bloquer en temps réel

Sélectionnez cette option si vous souhaitez bloquer les messages au cours du processus SMTP lorsqu'OP confirme qu'ils font partie d'une épidémie de spam. Ces messages ne seront pas marqués comme étant du spam et ne seront pas remis à leurs destinataires, ils seront rejetés par le serveur. Les messages classés par OP comme "en masse" ne seront pas bloqués par cette option, sauf si vous activez l' optionLorsque les spams sont bloqués, bloquer également les messages classés comme "en masse". Les messages classés comme "en vrac" par le PO pourraient simplement faire partie de certaines très grandes listes de diffusion ou d'autres contenus similaires largement diffusés, de sorte que vous pouvez ou non considérer ces types de messages comme du spam. C'est pourquoi ces types de messages ne doivent généralement pas être évalués négativement ou bloqués par le PO.

accepté pour le filtrage

Sélectionnez cette option si vous souhaitez accepter les messages dont l'OP confirme qu'ils font partie d'une épidémie de spam, afin qu'ils puissent ensuite être soumis au filtrage anti-spam et au traitement du filtre de contenu. Ces messages ne seront pas bloqués par OP, mais leur score au Filtre anti-spam sera ajusté en fonction de l' optionScore ci-dessous.

Score

Lorsque vous utilisez l' optionacceptée pour filtrage ci-dessus, ce montant sera ajouté au score du Filtre anti-spam lorsque OP confirmera que le message fait partie d'une épidémie de spam.

Contenu IWF

L'option suivante s'applique au contenu identifié par l'Internet Watch Foundation (IWF) comme renvoyant à des sites d'images d'abus d'enfants (c'est-à-dire des sites de pornographie enfantine). Elle permet au PO d'utiliser une liste intégrée d'URL fournie par l'IWF pour détecter et marquer les messages qui renvoient à ce contenu. Dans le cadre de l'IWF, un service d'assistance téléphonique indépendant permet de signaler les contenus en ligne potentiellement illégaux, y compris les contenus pédopornographiques hébergés n'importe où dans le monde. Elle travaille en partenariat avec la police, les gouvernements, l'industrie en ligne au sens large et le public pour lutter contre la disponibilité de contenus illégaux en ligne. La liste d'URL de la Fondation est mise à jour quotidiennement avec de nouveaux sites hébergeant des images d'abus d'enfants.

De nombreuses organisations disposent de règles de conformité internes régissant le contenu des courriels envoyés ou reçus par leurs employés, notamment en ce qui concerne les contenus obscènes ou illégaux. Dans de nombreux pays, l'envoi ou la réception de tels contenus sont interdits. Cette fonction peut vous aider dans vos efforts de mise en conformité.

Pour en savoir plus sur l'IWF, voir :

http://www.iwf.org.uk/

Lorsqu'un contenu de l'IWF est détecté...

bloquer en temps réel

Choisissez cette option si vous souhaitez rejeter les messages entrants pendant le processus SMTP lorsqu'ils ont un contenu limité par l'IWF.

acceptés pour le filtrage

Choisissez cette option si vous souhaitez augmenter le score du Filtre anti-spam d'un message au lieu de le rejeter lorsqu'il a un contenu restreint par l'IWF. Le score du Filtre anti-spam sera augmenté du montant spécifié  dans l'optionScore ci-dessous.

Score

Lorsque l'optionacceptée pour le filtrage ci-dessus est sélectionnée, il s'agit du montant qui sera ajouté au score du Filtre anti-spam d'un message lorsqu'il contient des restrictions IWF.

Lorsque les spams sont bloqués, refusez également les provenant d'envois d'en masse.

Il arrive qu'OP identifie certains messages qui pourraient être considérés comme du spam mais qui ne sont pas envoyés par un spammeur connu ou un réseau de zombies, comme c'est parfois le cas pour les envois en nombre et les lettres d'information légitimes. OP classe ces types de messages dans la catégorie "Spam (en vrac)" plutôt que dans la catégorie "Spam (confirmé)". Cochez cette case si vous souhaitez appliquer les fonctions de blocage du spam d'OP aux courriers"Spam (en vrac)" également. Si cette option est désactivée, seuls les messages classés comme "Spam (confirmé)" seront affectés par les fonctions de blocage du spam d'OP ci-dessus. Accepter ce type de messages en vue d'un traitement ultérieur peut s'avérer nécessaire pour les sites qui souhaitent recevoir des envois en masse mais qui, pour une raison ou une autre, ne peuvent pas exempter la source ou le destinataire.

Enregistrer l'activité dans ficher journal des modules deMDaemon

Cochez cette case si vous souhaitez enregistrer toutes les activités de traitement des OP dans le fichier journal du plugin deMDaemon.

Exceptions

Ne pas appliquer la Protection Instantanée aux sessions SMTP authentifiées

Lorsque cette option est activée, les sessions SMTP authentifiées sont exemptées du traitement OP. Cela signifie que les messages envoyés au cours de cette session ne seront pas soumis aux contrôles de la Protection instantanée.

Ne pas appliquer la Protection instantanée aux sessions SMTP provenant d'IP autorisées

Activez cette option si vous souhaitez exempter les adresses IP autorisées de la Protection Activer instantanée : les messages arrivant d'un serveur situé à une adresse IP autorisée ne seront pas soumis aux contrôles de protection contre les épidémies.

Le courrier approuvé par SPF/DKIM n'est pas traité par la protection instantanée

Cochez cette case si vous souhaitez exempter un message du traitement OP lorsque le domaine d'envoi figure sur la Domaines approuvés et qu'il est validé par SPF ou DKIM.

Les adresses autorisées par le Filtrage anti-spam et les adresses autorisées par le Filtre anti-spam sont exemptées du traitement OP

Cliquez sur cette option si vous souhaitez exempter  les listes d'autorisation du Filtreanti-spam et desHoneypots de la Protection instantanée. La Liste d'autorisation s'applique au destinataire ou à la valeur RCPT indiquée lors de la session SMTP. La Liste d'autorisation (expéditeurs) s'applique à l'expéditeur, ou à la valeur MAIL indiquée au cours de la session SMTP. Ces opérations ne sont pas basées sur les valeurs de l'en-tête du message.

Faux positifs et faux négatifs

Les faux positifs, c'est-à-dire le fait de classer à tort un message légitime comme faisant partie d'un foyer, ne devraient que rarement, voire jamais, se produire. Lorsqu'un Faux positif est détecté, vous pouvez nous envoyer ce message à l'adresse spamfp@mdaemon.com pour les faux positifs de spam/phishing ou à l'adresse virusfp@mdaemon.com pour les faux positifs de virus, afin que nous puissions l'utiliser pour affiner et améliorer nos processus de détection et de classification.

Les Faux positifs et les faux négatifs, c'est-à-dire le fait de classer un message comme ne faisant pas partie d'une épidémie alors qu'il s'agit toujours de spam ou d'une attaque, se produiront plus souvent que les faux positifs. Toutefois, il convient de noter que l'OP n'est pas conçu pour attraper tous les spams, attaques virales et autres ; il s'agit simplement d'une couche de protection qui cible spécifiquement les épidémies. Les anciens messages, les messages spécifiquement ciblés et autres, qui ne font pas partie d'une épidémie en cours, peuvent passer le contrôle OP. Ces types de messages devraient alors être détectés par les autres fonctions d'AntiVirus et de MDaemon en aval de la chaîne de traitement. Lorsqu'un Faux négatifs est détecté, vous pouvez nous envoyer ce message à spamfn@mdaemon.com pour les faux négatifs de spam/phishing ou à virusfn@mdaemon.com pour les faux négatifs de virus, afin que nous puissions l'utiliser pour affiner et améliorer nos processus de détection et de classification.

Lorsque vous nous envoyez des messages mal classés, l'e-mail original doit être envoyé en tant que pièce jointe MIME plutôt que d'être Transféré. Dans le cas contraire, les en-têtes et autres informations essentielles au processus de classification seront perdus.