IcoAdmin : Activer et désactiver les filtres antispam

Généralités :

Icone_antispamLes hébergements mutualisés Icodia sont équipés de filtres antispam synchronisés sur les bases RBL/RSS/OPS . Ils disposent d’un module d’intelligence artificielle ‘apprenant’ (système de filtres Bayésiens) afin de supprimer la plus grande partie des SPAMS (SPAM = message email non sollicités) sur vos boîtes emails, alias et redirection email. Un autre module fait de l’OCR (reconnaissance de caractères) temps réel sur les emails entrants. En tout, 15 filtres travaillent aux filtrages des emails de la plateforme. Ces antispams sont, de base, automatiques, mais vous pouvez rajouter vos propres règles sur ceux-ci, désactiver une partie des filtres, ou totalement les désactiver.

Aucun message n’est effacé sans information.

L’activation et la désactivation des filtres se font depuis votre IcoAdmin :

  • Connectez-vous sur votre interface d’administration IcoAdmin à l’adresse indiquée sur votre feuille de paramètres. Pour vous identifier, utiliser l’identifiant et le mot de passe indiqués.
  • Cliquez ensuite sur l’icône du menu “Gestion de vos paramètres et outils » : Icone_Gestion des paramètres et outils
  • Cliquez sur le bouton « [réglages IcoAdmin] »

IcoAdmin_ Activer et désactiver les filtres antispam : Ecran 1

Pour activer ou désactiver une fonction il suffit de cocher ou décocher la case qui lui correspond puis de cliquer sur le bouton « valider » correspondant pour l’enregistrer.

Détails :

  • MAPS RBL : Ce filtre analyse les entêtes de chaque email entrant et compare les adresses IP et domaines de l’expéditeur à des bases de données temps réel (RBL) disponibles sur le réseau Internet. Ces bases de données rassemblent l’intégralité des plaintes des différents FAI et utilisateurs. Si l’adresse IP expéditeur, ou le domaine expéditeur, est contenu dans au moins 50% de ces bases, le message est rejeté comme SPAM.
  • SURBL : Ce filtre analyse les entêtes et le contenu de chaque email entrant et compare les noms de domaines trouvés à des bases de données temps réel d’url (SURBL) disponibles sur le réseau Internet. Si le, ou les domaines, sont contenus dans au moins 50% de ces bases, le message est rejeté comme SPAM.
  • Bayesien V3 : Ce filtre statistique se base sur l’ensemble de l’activité email de notre plateforme pour créer des filtres actifs différents et créer dynamiquement de nouvelles règles de filtrage.
    Il tient compte de l’ensemble du message, entête, corps et pièce(s) jointe(s), et calcule en permanence des probabilités sur la possibilité qu’un email soit un spam.
    Suivant les différents protocoles d’apprentissage, des bases statistiques sont mises à jour afin de créer un score plus ou moins important.
    Ce score permet ensuite, suivant votre réglage, de passer le message en SPAM ou pas. Plus le score est important, plus le message est considéré comme SPAM par les différentes règles.
    Il existe 7 niveaux de filtrage :
    plus le niveau est bas, plus le filtre est agressif, car il passe en spam plus facilement des email avec un faible score. Le niveau par défaut est 7.5, il correspond à un réglage moyen de filtrage statistique, équilibré pour limiter les faux positifs.
    Chaque email contient une entête spéciale, nommé « X-Ico-Bay », qui permet de vérifier le score total du filtrage, et d’affiner votre réglage au besoin.
    La nouvelle version dispose de plus de 500 algorithmes différents de calcul, afin d’affiner le plus possible le résultat. Plus le filtre apprend, plus il est efficace.
    Ce filtre est l’un des plus complexes, mais également l’un des plus performants.
  • Mots clés : Ce filtre analyse le contenu des entêtes et du corps de chaque email et le compare à une base de mots clés actifs et complexes (RegEx). Cette base de mots clés est en permanence mise à jour par la plateforme technique, suivant les comportements, les spams envoyés sur des emails espions, etc. Si le contenu de l’email est reconnu par ces mots clés, le message est rejeté comme SPAM.
  • SPF : Le filtre SPF (Sender Policy Framework) permet, pour les FAI et Opérateurs supportant la norme, de paramétrer la zone DNS d’un nom de domaine avec des clés de certification SPF permettant d’authentifier l’expéditeur d’un email (que l’expéditeur est bien celui annoncé, ce qui évite le spoof email). Cette technologie commence à faire son apparition mais n’est pas encore supportée par énormément d’opérateurs.
  • Pot de miel : Nous avons des emails cachés et des relais particuliers qui sont inscrits sur la plupart des listes de spammers. Cette technologie permet d’enregistrer les adresses IP de ces spammers, et de les refuser temporairement si un envoi en masse est effectué vers nos serveurs de messagerie.
  • OCR / Checksum image : Ce filtre effectue un OCR (reconnaissance de caractères à partir d’une image bitmap) et un checksum temps réel sur les images contenues dans le code d’un email html. Si le résultat du checksum, ou le résultat de l’OCR, donne un contenu texte comportant des mots clés reconnus, le message est rejeté comme SPAM et mis en quarantaine.
  • Reverse DNS : Ce filtre met en quarantaine tout email envoyé par une adresse ip ne disposant pas d’un reverse DNS. Il faut savoir que dans la norme SMTP (RFC 821, RFC1912, etc) tout expéditeur doit avoir une adresse ip nommée (exemple : 46.31.192.4 dispose d’un reverse DNS nommé « robots.icodia.com »). Le reverse DNS permet donc d’identifier une adresse ip et des serveurs DNS délégataires. Attention : Certains FAI (fournisseurs d’accès) ont fréquemment des problèmes de serveurs DNS; à cause de ces plantages, certains emails, qui ne sont pas des spams, peuvent être considérés comme tels.
  • Invalide MX : Ce filtre met en quarantaine tout email envoyé par une adresse ip du relai SMTP de l’expéditeur ne disposant pas de serveur MX. Un (ou plusieurs) serveur MX est utilisé pour acheminer les emails. Si l’adresse ip du relai SMTP de l’expéditeur n’a pas de serveur MX, c’est qu’il est impossible de lui répondre. Certains expéditeurs ne disposent pas d’entrée dns « MX », mais directement d’une entrée dns « A », ce qui n’est pas valide dans la norme, mais fonctionnel.
  • Checksum email : Un checksum sur 160 bits est calculé sur chaque email entrant, et stocké en mémoire. Ce filtre met en quarantaine tout email identique (même entête, même contenu de message) envoyé au même moment à des dizaines de destinataires de notre plateforme.
  • Blacklist IP : L’adresse IP de chaque email entrant est répertoriée dans une base de données, lorsque cet email est manuellement détecté comme spam. Cette base est partagée avec de nombreux organismes officiels d’Internet. Ce filtre met en quarantaine tout email ayant un même contenu et une même adresse IP d’origine, répertoriée dans cette base.
  • Entêtes / Mots clés cyrilliques : Tout email entrant disposant d’un entête de message et/ou d’un contenu comprenant des caractères cyrilliques (alphabet Russe, Asiatique, url, etc.) sera détecté comme spam et mis en quarantaine.
  • Expéditeur non renseigné : Tout email entrant n’ayant pas d’expéditeur sera refusé et mis en quarantaine.
  • Même expéditeur et destinataire : Tout email entrant ayant le même expéditeur et le même destinataire sera refusé et mis en quarantaine.
  • Plainte IP : Un service d’analyse d’Icodia reçoit des plaintes de différents destinataires de spams. Ces spams sont analysés puis retracés. Enfin, après prise de décision, liée au nombre de plaintes, type de spams, etc. le, ou les adresses IP sources incriminées sont blacklistées. Tout email dont l’adresse IP source figure dans cette liste est mis en quarantaine. Note : dans certains cas, certaines adresses IP peuvent être supprimées de cette liste si le souci de spam source est réglé.

Aucun email détecté comme SPAM par nos filtres n’est rejeté silencieusement : Un message est envoyé à l’expéditeur (si l’expéditeur est valide et que l’administrateur n’a pas désactivé cette fonctionnalité), l’invitant à valider son adresse email manuellement par un processus sécurisé via site Web (les spams sont envoyés majoritairement par des robots qui ne valident pas automatiquement les emails).
De plus, aucune adresse email n’est blacklistée sur toute la plateforme. C’est le contenu ou l’adresse ip/domaine expéditeur (bases RBL / SURBL) qui peut être blacklisté.