Archives par mot-clé : antispam icodia

Pour aller plus loin : fonctionnement du système antispam ICODIA

 

Présentation de l’antispam Icodia

 

Le système antispam des services emails ICODIA est un système efficace, de conception complexe, alliant de nombreux filtres qui peuvent être communs à la plateforme entière, mais personnalisés pour votre pack.

Vous pouvez effectivement Activer ou désactiver un à un tous les filtres antispams que nous vous proposons, et donc affiner votre filtrage en fonction de vos besoins.

Vous disposez également de filtres Blackliste et Whiteliste que vous pouvez paramétrer selon vos besoins, dont les règles viennent s’ajouter à notre système de filtrage.

Les filtres de l’antispam Icodia

 

Note préliminaire :
le numéro entre parenthèse correspond au numéro d’identification du filtre (il ne correspond pas à un ordre d’application l’ordre dans lequel il s’applique).
Si l’analyse du l’e-mail renvoie un résultat positif sur un des filtres, le numéro de ce dernier sera ajouté dans l’entête de l’e-mail reçu (exemple : header « X-IcodiaSpamFilter:12 »).

MAPS RBL (12) :

Ce filtre analyse les entêtes de chaque email entrant et compare les adresses IP et domaines de l’expéditeur à des bases de données temps réel (RBL) disponibles sur le réseau Internet. Ces bases de données rassemblent l’intégralité des plaintes des différents FAI et utilisateurs. Si l’adresse IP expéditeur, ou le domaine expéditeur, est contenu dans au moins 50% de ces bases, le message est rejeté comme SPAM et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 12 – IP found in MAPS search avec le détail du test.

SURBL (19) :

Ce filtre analyse les entêtes et le contenu de chaque email entrant et compare les noms de domaines trouvés à des bases de données temps réel d’url (SURBL) disponibles sur le réseau Internet. Si le, ou les domaines, sont contenus dans au moins 50% de ces bases, le message est rejeté comme SPAM et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 19 – URL SURBL avec le détail du test.

Bayesien V3 (14) :

Ce filtre statistique se base sur l’ensemble de l’activité email de notre plateforme pour créer des filtres actifs différents et créer dynamiquement de nouvelles règles de filtrage. Il tient compte de l’ensemble du message, entête, corps et pièce(s) jointe(s), et calcule en permanence des probabilités sur la possibilité qu’un email soit un spam. Suivant les différents protocoles d’apprentissage, des bases statistiques sont mises à jour afin de créer un score plus ou moins important. Ce score permet ensuite, suivant votre réglage, de passer le message en SPAM ou pas. Plus le score est important, plus le message est considéré comme SPAM par les différentes règles. Il existe 7 niveaux de filtrage: plus le niveau est bas, plus le filtre est agressif, car il passe en indésirable plus rapidement les messages ayant un faible score. Le niveau par défaut est 7.5, il correspond à un réglage moyen de filtrage statistique, équilibré pour limiter les faux positifs. Chaque email contient une ligne d’entête spéciale, nommée « X-Ico-Bay », qui permet de vérifier le score total du filtrage Bayesien, afin d’affiner votre réglage. La nouvelle version dispose de plus de 500 algorithmes différents de calcul, afin d’affiner le plus possible le résultat. Plus le filtre apprend, plus il est efficace. Ce filtre est l’un des plus complexes, mais également l’un des plus performants.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : 14 – matches IcoBayesianV3 rejected as spam.
A noter également que le score Bayesien est toujours présent dans l’email via l’entête : X-Ico-Bay: (sauf si expéditeur en whiteliste).

Mots clés (13) :

Ce filtre analyse le contenu des entêtes et du corps de chaque email et le compare à une base de mots clés actifs et complexes (RegEx). Cette base de mots clés est en permanence mise à jour par la plateforme technique, suivant les comportements, les spams envoyés sur des emails espions, etc. Si le contenu de l’email est reconnu par ces mots clés, le message est rejeté comme SPAM et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 13 – Keywords found in content

De plus, vous pouvez décider d’ajouter vous-même des mots clés ou des RegEx à votre filtrage antispam, pour cela, consultez notre documentation « Personnalisation du filtre antispam Mots clés »

SPF (15) :

Le filtre SPF (Sender Policy Framework) permet, pour les FAI et Opérateurs supportant la norme, de paramétrer la zone DNS d’un nom de domaine avec des clés de certification SPF permettant d’authentifier l’expéditeur d’un email (que l’expéditeur est bien celui annoncé, ce qui évite le spoof email). Cette technologie commence à faire son apparition mais n’est pas encore supportée par énormément d’opérateurs.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 15 – SPF Sender Policy Framework match

Pot de miel (18) :

Nous avons des emails cachés et des relais particuliers qui sont inscrits sur la plupart des listes de spammers. Cette technologie permet d’enregistrer les adresses IP de ces spammers, et de les refuser temporairement si un envoi en masse est effectué vers nos serveurs de messagerie.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 18 – IP blocked by honeypot entry

OCR / Stéganographique (20) :

Ce filtre effectue différents algorithmes dont un OCR (reconnaissance de caractères à partir d’une image matricielle) et des tests stéganographique (dissimulation de données dans un autre type de fichier) temps réel sur les images contenues dans le code d’un email. Si le résultat des tests ou de l’OCR valide un contenu texte comportant des mots clés reconnus, le message est rejeté comme SPAM et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 20 – OCR_STEG

Reverse DNS (3) :

Ce filtre met en quarantaine tout email envoyé par une adresse ip ne disposant pas d’un reverse DNS. Il faut savoir que dans la norme SMTP (RFC 821, RFC1912, etc) tout expéditeur doit avoir une adresse ip nommée (exemple : 46.31.192.31 dispose d’un reverse DNS nommé « robots.icodia.com »). Le reverse DNS permet donc d’identifier une adresse ip et des serveurs DNS délégataires.
Attention : Certains FAI (fournisseurs d’accès) ont fréquemment des problèmes de serveurs DNS; à cause de ces plantages, certains emails, qui ne sont pas des spams, peuvent être considérés comme tels.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 3 – Reverse DNS not found

Invalide MX (16) :

Ce filtre met en quarantaine tout email envoyé par une adresse ip du relai SMTP de l’expéditeur ne disposant pas de serveur MX. Un (ou plusieurs) serveur MX est utilisé pour acheminer les emails. Si l’adresse ip du relai SMTP de l’expéditeur n’a pas de serveur MX, c’est qu’il est impossible de lui répondre. Certains expéditeurs ne disposent pas d’entrée dns « MX », mais directement d’une entrée dns « A », ce qui n’est pas valide dans la norme, mais fonctionnel.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 16 – Invalid sender domain MX record

Checksum email (26) :

Un hash (empreinte) est calculé sur chaque email entrant, est stocké dans nos bases et partagé via un protocole avec d’autres serveurs de messagerie. Ce filtre met en quarantaine tout email identique (même entête, même contenu de message) envoyé au même moment à des dizaines de destinataires. De plus, nous effectuons ce test sur des bases communes avec plusieurs autres serveurs de messagerie d’Internet, afin d’effectuer cette comparaison au niveau mondial. C’est un filtre puissant et efficace, car il fonctionne sur le contenu, et sur une statistique de tout message non sollicité : le nombre.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 26 – database filter match

Blacklist IP (21) :

L’adresse IP de chaque email entrant est répertoriée dans une base de données, lorsque cet email est manuellement détecté comme spam. Cette base est partagée avec de nombreux organismes officiels d’Internet. Ce filtre met en quarantaine tout email ayant un même contenu et une même adresse IP d’origine, répertoriée dans cette base.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 21 – IP in blacklist

Filtre cyrillique (131) :

Tout email contenant des caractères cyrilliques (alphabet Russe, url, etc.) sera détecté comme spam et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 131 – Cyrillic

Expéditeur non renseigné (4) :

Tout email entrant n’ayant pas d’expéditeur sera refusé et mis en quarantaine (pas de champ « MAIL FROM » – « Return-Path » lors de la connexion smtp).
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 4 – Empty Mail From ou 4 – … (antispam F)

Filtre sinogrammes (72) :

Tout email contenant des sinogrammes (caractères asiatiques) sera détecté comme spam et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 72 – Sinogramme

Plainte IP (28) :

Un service d’analyse d’Icodia reçoit des plaintes de différents destinataires de spams. Ces spams sont analysés puis retracés. Enfin, après prise de décision, liée au nombre de plaintes, type de spams, etc. le, ou les adresses IP sources incriminées sont blacklistées. Tout email dont l’adresse IP source figure dans cette liste est mis en quarantaine. Note : dans certains cas, certaines adresses IP peuvent être supprimées de cette liste si le souci de spam source est réglé.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 28 – IP complaint

Filtre Helo/reverse (70) :

Ce filtre vérifie la conformité de la commande email « helo » et du reverse annoncé par l’adresse IP du serveur de l’émetteur, conformément à la RFC-2505 section 1.4, RFC1034, RFC1035 (normes concernant la messagerie électronique).
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 70 – Helo

Filtre antispam (et antivirus) via hachage des pièces jointes (71) :

Ce filtre analyse toutes les pièces jointes de la plateforme de messagerie, afin de compiler des statistiques et de créer des empreintes d’apprentissage. Ces empreintes sont gérées dans une base de données complexe, permettant notamment de bloquer des spams (et certains virus) de manière préemptive. /!\ En cas de désactivation, il faut une politique de sécurité optimale sur vos logiciels (mises à jour, utilisateur non administrateur de la machine), et logiciels de messagerie afin de limiter tout risque.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 71 – Heuristic (hash)

Même expéditeur et destinataire (5) :

Tout email entrant ayant le même expéditeur et le même destinataire sera refusé et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 5 – Mail From and Mail To are equal

Filtre whois (723) :

Ce filtre effectue une recherche « whois » sur le nom de domaine de l’expéditeur, c’est à dire une vérification de la « carte d’identité » du nom de domaine de l’expéditeur.
Différents tests sont effectués ensuite, comme l’âge du nom de domaine, le registrar (bureau d’enregistrement) du domaine, etc. Des critères avancés, le fait qu’un domaine vient juste d’être déposé, ou un registrar (bureau d’enregistrement) connu comme étant peu scrupuleux, permet ensuite de traiter le domaine expéditeur comme douteux, et de mettre le message en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 723 – Whois

Filtre callout, vérifier l’expéditeur (724) :

Ce filtre va tenter d’envoyer un email à l’expéditeur (sans aller au bout de la procédure, votre expéditeur ne recevra rien de nos serveurs au final), afin de vérifier auprès du serveur de l’expéditeur qu’il existe. Tout email expéditeur déclaré comme inexistant sera considéré comme spam, et mis en quarantaine.
NOTE : si ce filtre s’active, l’entête de l’email contiendra : X-IcodiaSpamFilter: 724 – Callout

Les outils de l’antispam Icodia

 

Taguer le sujet « SPAM: » et délivrer les emails au destinataire : 

Par défaut, tous les emails traités comme SPAM sont stockés en quarantaine (cette quarantaine peut être gérée depuis le menu ‘statistiques globales des boîtes etc.’). Ce module permet de ne plus stocker les messages en quarantaine, et des les envoyer directement au destinataire, en y ajoutant le mot « SPAM: » au début du sujet de chaque email, permettant ensuite de construire des règles de tri de messages dans votre client de messagerie.

Stocker les messages indésirables dans le dossier « Junk » (spam) du destinataire :

Tous les emails traités comme SPAM seront stockés dans un sous dossier de chaque boîte, nommé « Junk » (« Poubelle »), vous permettant de facilement faire du tri dans ces messages.
Ce dossier est ensuite consultable et gérable depuis le Webmel (https://www.webmel.com) et depuis un client de messagerie, si la boîte est configurée en IMAP.
Cette option rend donc autonome chaque boîte de votre hébergement sur la consultation et la gestion de ces messages indésirables.
Par contre, l’espace libre de stockage de chaque boîte pourra être saturé, si de nombreux spams existent sans nettoyage.
Note : cette fonctionnalité ne s’activera pas vers les replications, afin d’éviter que nos serveurs de messagerie soient listés comme des serveurs de spams sur certaines bases RBL (par exemple) : en effet, si nous relayons de nombreux spams, ce sont nos serveurs qui risquent le blacklistage.

Nettoyer les messages du dossier « Junk » (spam) ayant plus de XX jours :

Cette option permet, comme son nom l’indique, de nettoyer automatiquement tous les messages contenus dans le dossier « Junk » (spam) datés de plus de XX jours.

Recevoir un message sur sa boîte lorsque le quota >XX% : 

Lorsque le stockage d’une boite arrive au pourcentage configuré, un message est envoyé sur cette boite (depuis support@icodia.com) lui indiquant que sa boite est bientôt pleine, et lui donnant des pistes de nettoyage de sa boite.
Il n’est envoyé qu’un message unique par tranche de 24h.

Option IcoSMTP : ajouter automatiquement chaque destinataire à la whiteliste :

Si vous disposez d’un IcoPack avec option SMTP, ou d’une option IcoSMTP à part, cocher cette option permet d’ajouter automatiquement dans votre whiteliste tous les destinataires à qui vous envoyez des messages via l’option SMTP d’Icodia. Seuls les destinataires sans NDR (notification de rejet) seront ajoutés.

Les destinataires en « @votredomaine.fr » ne seront jamais ajoutés, afin d’éviter de faciliter la réception de spams en provenance du même domaine expéditeur/destinataire. Cette pratique de spams est courante, et un champ expéditeur peut être falsifié simplement.

Informer l’expéditeur lorsque son message est mis en quarantaine :

Par défaut, lorsque les messages sont stockés dans la quarantaine, notre plateforme envoi un message à chaque expéditeur dont les emails sont traités comme SPAM (et stockés en quarantaine). Ce message permet à chaque expéditeur de valider automatiquement les messages en quarantaine, et de s’ajouter en whisteliste. Vous pouvez décocher cette option si vous ne souhaitez pas que vos expéditeurs soient informés.
Attention : Dans le cas du filtrage SPF, il n’y aura pas d’email envoyé, puisque le système considère que la zone DNS SPF est conforme.

Ne pas ajouter l’expéditeur en « whiteliste » lorsqu’il se valide (via code html) :

Lorsqu’un email d’un expéditeur est mis en quarantaine SPAM, cet expéditeur reçoit un email du système antispam, contenant un lien html vers une page sécurisée. Cette page permet à l’expéditeur de valider un code (captcha), prouvant qu’il est bien l’auteur de l’email. Lorsque l’expéditeur valide ce code, son message est automatiquement délivré dans la boite du destinataire, et l’expéditeur est automatiquement ajouté en « whisteliste » du nom de domaine destinataire. Cochez cette option si vous ne voulez pas ajouter automatiquement l’expéditeur en « whisteliste ».

Pas de notification si l’expéditeur est @votredomaine.fr : 

Lorsqu’un email d’un expéditeur est mis en quarantaine SPAM, cet expéditeur reçoit un email du système antispam, contenant un lien html vers une page sécurisée. Cette page permet à l’expéditeur de valider un code (captcha), prouvant qu’il est bien l’auteur de l’email. Cochez cette option si vous ne souhaitez pas envoyer de notification lorsque l’expéditeur fait partie du nom de domaine destinataire (votredomaine.fr) .

Traiter le champ « From » du contenu de l’email avec la whiteliste : 

Dans le protocole d’envoi d’email, il existe plusieurs étapes lorsqu’un serveur de messagerie relaie un email vers un autre serveur. Le contenu complet de l’email est envoyé après une série de commandes, notamment la commande « MAIL FROM », indiquant au serveur destinataire l’expéditeur du message, et la commande « RCPT TO », indiquant le destinataire de ce message.
Parfois, l’expéditeur « MAIL FROM » est différent du champ « From » du contenu complet de l’email (pour diverses raisons : emaileur, configuration serveur défaillante, fonctionnement d’un applicatif d’envoi, etc.).
Cette option permet d’utiliser votre whiteliste également pour ce champ « From », en analysant les entêtes de l’email complet. Cette option est cochée par défaut.
Note : Dans l’entête d’un email reçu sur notre plateforme, l’entête « X-Error-Return-Path » indique la valeur de la commande « MAIL FROM ».
En cas de whiteliste par le champ « From », la raison du whiteliste est indiqué par l’entête : « Whitelisted EMail Address From (NRP) »

Il est important de noter qu’aucun email détecté comme SPAM par nos filtres n’est rejeté silencieusement :
– En mode « dossier Junk », les messages détectés comme spam sont automatiquement classés dans le dossier « Junk », accessible en IMAP, ou via Webmel.

– En mode « tag spam », tous les messages détectés comme spam sont taggés « SPAM: » au niveau du sujet de l’email, et arrivent ensuite dans la boite de reception.

– Avec le dernier mode (si « Junk » ou « tagspam » n’est pas actif) un message est envoyé à l’expéditeur (si l’expéditeur est valide), l’invitant à valider son adresse email manuellement par un processus sécurisé via site Web (les spams sont envoyés majoritairement par des robots qui ne valident pas automatiquement les emails). Tout email rejeté comme SPAM est stocké en quarantaine et automatiquement supprimé au bout de 30 jours. Vous pouvez consulter cette quarantaine devant chaque adresse email, depuis la rubrique « statistiques globales des boîtes, etc. » de l’IcoAdmin.

Filtre plainte expéditeur « Plainte(s) Exp. » ou « plainte Exp EG Mel » :

Ce filtre n’est pas désactivable, sauf en cas de désactivation complète du système antispam.
En cas de faux positif, par exemple, il est possible de mettre l’expéditeur (ou le domaine) en « whiteliste », qui sera prioritaire sur ce filtre.
Ce filtre utilise une liste d’expéditeurs et de domaines reconnus, via plainte ou liste provenant d’organismes officiels, comme relayant du spam ou des messages frauduleux. Cette liste est commune à toute la plateforme.

Ordre dans lequel le filtrage est effectué

Lorsqu’un email arrive sur nos serveurs :

  • Antivirus 3 bases
  • Filtre blackliste IP – IP blacklistées en cache temporaire
  • Greylisting (option non disponible pour le moment)
    ⇒ IP whitelistées (de l’utilisateur)
  • Filtre SPF (*)
    ⇒ Adresses email expéditeurs en whiteliste (de l’utilisateur)
    ⇒ Adresses email en auto whiteliste (pondération liées aux validations manuelles)
  • Adresses IP blacklistées (de l’utilisateur)
  • Adresses email blacklistées (de l’utilisateur)
  • Filtre blackliste Mots clés/Regex (de l’utilisateur)
  • Filtre Reverse DNS (*)
  • Filtre Expéditeur non renseigné (*)
  • Filtre Même expéditeur et destinataire (*)
  • Filtre Pot de miel (*)
  • Filtre Plainte IP (*)
  • Filtre Invalide MX (*)
  • Filtre MAPSRBL (*)
  • Filtre email vide (*)
    ⇒ Filtrage exception mots clés et logique (réservé Icodia)
  • Filtre mots clés global (*)
  • Filtres logique algo (*)
  • Filtre OCR / Stéganographique (*)
  • Filtre Checksum email (*)
  • Filtre SURBL (*)
  • Antivirus 2 bases
  • Antivirus hypercube ICODIA
  • Filtre de sécurité via hachage des pièces jointes (*)
  • Filtre Bayesien V3 (*)
  • Filtre Cyrillique (*)
  • Filtre Sinogrammes (*)
  • Filtre Helo (*)
  • Filtre Whois (*)
  • Filtre Callout (*)
  • Tag différents scores de filtrage
  • Analyse des entêtes malformées
  • Aiguillage sur le bon mode (boite, alias, redirection, etc)
  • Stockage sur cluster email local ou serveur(s) distant(s).

(*) si le filtre est activé