Accueil   >  Anti-spam   >  Les pré-requis techniques pour bénéficier du service
Dimanche 18 Fév. 2018 - 9:53

Les pré-requis techniques pour bénéficier du service

 

Une fois la demande d’activation du service anti-spam validée administrativement, des paramètres de configuration sont demandés aux contacts techniques de l’établissement qui désire bénéficier du service. Assurez-vous que vous êtes en mesure de fournir les éléments suivants avant toute demande d’activation du service.


Pour chaque domaine, de nombreux paramètres doivent être renseignés par l’établissement demandeur. Ces paramètres pourront ensuite être modifiés à volonté :

- Le(s) serveur(s) SMTP du domaine
- Le(s) annuaire(s) LDAP pour la validation de l’existence des adresses emails au sein des domaines
- Les tags spécifiques pouvant être utilisés pour marquer un message
- Des listes blanches et listes noires
- Des seuils de marquage et de rejet
- La taille maximale des messages et les types de pièces jointes refusées
- L’activation ou non de l’anti-virus (uniquement si cette option a été prise dans la lettre d’engagement)

Lors de la configuration, RENATER fournit également plusieurs paramètres :

- Les noms DNS du MTA RENATER
- Les adresses IP susceptibles d’interroger le serveur LDAP de l’établissement et de livrer des messages à son serveur SMTP
- Un identifiant et un mot de passe pour récupérer les journaux d’événements

A réception de ces paramètres l’établissement doit effectuer les configurations suivantes :

- Accepter les connexions SMTP entrantes depuis les MTA de RENATER (s’assurer que l’anti-spam local ne filtre pas les MTA de RENATER à cause d’un trop grand nombre de connexions). Il est également prudent de filtrer toutes les sessions SMTP entrantes qui ne proviendraient pas des MTA de RENATER.
- Désactivation du grey-listing éventuellement configuré au sein de l’architecture de messagerie de l’établissement (celle-ci entrerait en conflit avec le service anti-spam fourni par RENATER)
- Accepter les connexions au serveur LDAP depuis les MTA de RENATER
- Changer la valeur du MX record en indiquant le MTA de RENATER (ajouter le nom du MTA)

La suite de cette page décrit dans le détail les paramètres qui doivent être fournis par l’établissement lors de l’activation du service anti-spam.


Paramètres définissant les domaines relayés

Afin d’éviter que la plateforme anti-spam mutualisée ne se comporte comme un relai ouvert, les domaines autorisés comme destinataires de messages doivent être préalablement déclarés.

Chaque site doit fournir la liste complète des domaines et sous-domaines gérés par sa messagerie, sous la forme FQDN. Les domaines doivent être déclarés dans la lettre d’engagement anti-spam. Seuls les sous-domaines dérivés de domaines déclarés dans la lettre d’engagement anti-spam peuvent être configurés.

Pour chaque domaine déclaré, de nombreuses configurations sont possibles (voir ci-dessous)

Paramètres de routage SMTP

Un établissement se raccordant au service anti-spam mutualisé de RENATER doit indiquer vers quel(s) serveur(s) SMTP ses messages lui sont transmis, selon le domaine destinataire :
Les paramètres nécessaires sont :
- Le nom DNS ou l’adresse IP du serveur
- Le port d’écoute SMTP utilisé
- La priorité (poids) de ce serveur à utiliser en cas de partage de charge entre plusieurs serveurs

Paramètres d’annuaire LDAP

Le contrôle de la validité de l’adresse des destinataires est un élément crucial d’un filtrage anti-spam efficace. Les établissements doivent fournir un annuaire LDAP qui permet d’effectuer cette vérification. Dans le cas où un message serait émis à partir d’un domaine raccordé au service anti-spam, ce contrôle sera effectué également sur l’adresse de l’émetteur du message. Ce contrôle se fait dès que l’annuaire LDAP est renseigné au niveau des MTA de RENATER, avant même que la valeur du MX ait été changée.
Les paramètres nécessaires sont :
- Le nom DNS ou l’adresse IP du serveur d’annuaire
- Le port d’écoute LDAP utilisé
- La priorité (poids) de ce serveur à utiliser pour le partage de charge entre les serveurs physiques
- Le mode d’authentification de la connexion à l’annuaire (None/Plain/SSL/TLS)
- Si l’annuaire nécessite une connexion authentifiée, le BindDN et le mot de passe permettant de s’authentifier. Un BindDN anonyme avec un droit limité sur l’annuaire est recommandé, avec contrôle de l’adresse IP (n’autoriser que les adresses IP des MTA de RENATER)
- Le BaseDN de la racine de l’arborescence LDAP contenant les adresses valides
- La requête (au format ldapsearch) permettant de retrouver une adresse email dans l’annuaire, contenant la chaine AAAAA pour indiquer l’adresse en cours de vérification (par exemple, mail=AAAAA recherchera l’adresse du message dans l’attribut mail de tous les objets LDAP situés sous le BaseDN)

Les MTA de RENATER cachent localement les informations recueillies afin de limiter la charge des annuaires LDAP des établissements qui utilisent le service.

Paramètres de définition des listes blanches et noires

Des exceptions aux règles de filtrage doivent pouvoir être appliquées dans certains cas, que ce soit pour laisser passer des messages normalement rejetés (liste blanche), ou pour bloquer des messages indésirables non détectés (liste noire). Afin de conserver des performances acceptables, le niveau de granularité le plus fin qui est supporté par ces exceptions est le domaine.
Les paramètres nécessaires sont :
- La liste des domaines (FQDN) de la liste
- Une liste de paires header-valeur qui définissent les critères spécifiant l’exception :
— Le nom du header considéré (Helo, From, RcptTo, Subject)
— Une expression régulière définissant les valeurs recherchées

Paramètres de définition des tags apposés à certains types de messages (identifiés comme spam)

Lorsqu’un message est reconnu comme spam par les règles de filtrage, il doit généralement être transmis avec un marquage spécifique réalisé en ajoutant un ou plusieurs « tags ».
Les paramètres nécessaires sont :
- Le nom du header à modifier ou ajouter (le seul header pré-existant qu’il soit possible de modifier est le Subject)
- La valeur à associer au header ajouté ou modifié(ou le préfixe quand le header concerné est le Subject)

Paramètres de définition des seuils de filtrage

Le support de différentes politiques de filtrage implique de pouvoir spécifier les seuils de rejet et de marquage d’un message en fonction de la note qu’il aura obtenu à l’analyse effectuée par le moteur de filtrage de contenu.

A l’activation du service, des paramètres de filtrage par défaut seront configurés. Ils peuvent être ajustés par la suite afin d’affiner le filtrage.
Les paramètres nécessaires, basés sur la note obtenue à l’analyse par le moteur de contenu, sont :
- Le seuil de rejet des messages (par défaut : 300)
- Le seuil de marquage des messages (par défaut : 100)

Paramètres relatifs aux pièces jointes à rejeter

La taille maximale d’un message et la liste des types de pièces jointes acceptables est également un élément nécessaire à la détermination de cette politique.
Les paramètres nécessaires sont :
- La taille maximale d’un message, exprimée en kilo-octects (par défaut 20480 KO, soit 20 MO)
- La liste des extensions de noms de fichiers refusés en tant que pièce jointe (par défaut : com, exe, pif, bat, scr, cpl, cmd, dll, lnk, inf, msi, sct, vbs, vb, vbe)