|
Protection instantanée |
Faire défiler Précédente Haut de page Suivante Plus |
|
La Protection instantanée fait partie de la fonctionnalité MDaemon AntiVirus. La première activation de MDaemon AntiVirus déclenche une version d'essai de 30 jours. Si vous souhaitez acheter cette fonctionnalité, contactez votre revendeur MDaemon agréé ou visitez le site www.mdaemon.com. |
La Protection instantanée est accessible depuis le menu Sécurité de MDaemon (Sécurité » Protection instantanée ... ou Ctrl + Maj + 1).
Cette technologie novatrice de lutte en temps réel contre les spams, virus et phishings est conçue pour protéger l'infrastructure de MDaemon de façon proactive et automatique, dès l'apparition d'une nouvelle attaque.
La Protection instantanée ne repose pas sur le contenu des messages, autrement dit sur une analyse lexicale stricte des e-mails. Elle n'a donc pas besoin de règles heuristiques, de filtrage de contenu ni de mises à jour de signatures. Par ailleurs, les ajouts de texte, modifications orthographiques, techniques d'ingénierie sociale, barrières de la langue ou différences d'encodage n'ont aucune incidence sur elle. La Protection instantanée repose sur l'analyse mathématique de la structure du message et de ses caractéristiques de distribution SMTP. Elle examine des "modèles" associés à une transmission d'e-mail et les compare en temps réel à des exemples similaires extraits de millions de messages du monde entier. Remarque : la Protection instantanée ne transmet jamais le contenu réel des messages, et le contenu des messages ne peut pas être déduit des modèles extraits.
Comme les messages sont analysés en temps réel dans le monde entier, la protection est fournie dès les premières minutes (voire les premières secondes) suivant l'apparition d’une nouvelle attaque. Un tel niveau de protection est essentiel. Lorsqu'un nouveau programme malveillant est propagé, les systèmes traditionnels ont besoin de plusieurs heures pour créer et diffuser les mises à jour de signatures. Durant cet intervalle, les serveurs non équipés d'une protection instantanée sont vulnérables. De la même manière, les systèmes heuristiques traditionnels ont besoin de temps pour analyser les spams et créer des règles de filtrage sécurisées.
Il est important de noter que la Protection instantanée ne remplace pas les techniques antivirus, anti-spam et anti-phishing traditionnelles. Elle s'utilise comme une couche de sécurité supplémentaire, afin de renforcer les outils d’analyse heuristique, de signatures et d’analyse de contenu déjà présents dans MDaemon. La Protection instantanée est davantage conçue pour détecter les attaques nouvelles, diffusées massivement, plutôt que les spams et virus connus ou spécifiques, facilement filtrés par les outils traditionnels.
Protection instantanée
Activer la Protection instantanée
Cochez cette case pour activer la Protection instantanée sur votre serveur. Les messages entrants seront analysés afin de détecter les nouveaux virus, spams ou phishings. Les options ci-dessous vous permettent de définir les actions à mener lorsque des courriers malveillants sont détectés, mais aussi de configurer les expéditeurs à exclure de l'analyse exécutée par la Protection instantanée.
Lorsqu’un virus est détecté…
…bloquer en temps réel
En activant cette option, les messages détectés comme nouveaux virus par la Protection instantanée sont bloqués pendant la session SMTP. Autrement dit, ils sont directement rejetés par le serveur (sans être mis en quarantaine ni distribués aux destinataires).
…mettre en quarantaine
En activant cette option, les messages détectés comme nouveaux virus par la Protection instantanée sont acceptés, mais au lieu d'être transmis à leurs destinataires, ils sont enregistrés dans un dossier de quarantaine.
Lorsqu’un spam est détecté…
…bloquer en temps réel
En activant cette option, les messages sont bloqués pendant la session SMTP si la Protection instantanée considère qu'il s'agit de nouveaux spams. Ils ne sont pas marqués comme courriers indésirables puis distribués à leurs destinataires, mais simplement rejetés par le serveur. Les courriers répertoriés comme "envois en masse" par la Protection instantanée ne sont pas bloqués par cette option, sauf si la case "Lorsque les spams sont bloqués, refuser également les messages provenant d’envois en masse" est cochée. Les courriers classés comme "envois en masse" correspondent parfois à des messages de liste de diffusion ou à du contenu identique envoyé à plusieurs destinataires. Vous pouvez donc estimer qu'il ne s'agit pas de spams. Pour cette raison, ces messages ne devraient pas recevoir de score négatif ni être bloqués par la Protection instantanée.
…accepter (filtrage ultérieur)
En activant cette option, les messages considérés comme "nouveaux spams" par la Protection instantanée sont acceptés afin d'être traités par le Filtre anti-spam et le Filtre de contenu. Ils ne sont pas bloqués par la Protection instantanée, mais leur score de spam est ajusté en fonction de la valeur définie dans "Score".
|
Si l'option "…accepter (filtrage ultérieur)" est activée, un message détecté comme spam n'est pas directement bloqué par la Protection instantanée. Cependant, il peut toujours l'être par MDaemon au cours de la session SMTP si l'option "Le traitement SMTP refuse les messages dont le score est supérieur ou égal à [xx]" est configurée dans l'écran Filtre anti-spam. Par exemple, si l'option "Score" contient la valeur "15", le message est rejeté si le Filtre anti-spam est configuré pour refuser les messages dont le score est supérieur ou égal à 15. |
Score
Valeur ajoutée au score de spam lorsque l’option "…accepter (filtrage ultérieur)" est activée, et que la Protection instantanée considère le message comme une nouvelle attaque de spam.
Contenu IWF (Internet Watch Foundation)
Les options suivantes s’appliquent au contenu à caractère pédophile (sites d'images mettant en scène des abus sexuels sur mineurs) répertorié par l'IWF. La Protection instantanée utilise une liste d’URL fournie par l’IWF afin de détecter et de marquer ce type de contenu. L'IWF fonctionne comme une hotline indépendante, permettant de signaler du contenu potentiellement illégal (abus sexuels sur mineurs inclus) n'importe où dans le monde. Cet organisme travaille en collaboration avec les services de police, les gouvernements, l'industrie du web et le grand public afin de lutter contre la diffusion de sites au contenu illégal. La liste des URL fournie par l'IWF est mise à jour quotidiennement.
De nombreuses organisations mettent en place des règles internes afin de régir le contenu des messages envoyés et reçus par leurs employés, notamment le contenu à caractère illégal ou pornographique. Dans de nombreux pays, l'envoi ou la réception de tels messages est interdit par la loi.
Plus d’informations sur l’IWF sont disponibles à l’adresse :
Lorsqu’un contenu de l’IWF est détecté...
...bloquer en temps réel
En activant cette option, les messages dont le contenu est interdit par l'IWF sont rejetés au cours de la session SMTP.
...accepter (filtrage ultérieur)
Sélectionnez cette option pour augmenter le score de spam des messages dont le contenu est interdit par l'IWF, plutôt que de les rejeter. Le score est modifié en fonction de la valeur indiquée dans "Score" ci-après.
Score
Valeur ajoutée au score de spam lorsque l’option ci-dessus est activée et qu'un message contient des éléments interdits par l’IWF.
Lorsque les spams sont bloqués, refuser également les messages provenant d’envois en masse
La Protection instantanée détecte parfois des messages qui peuvent être considérés comme du spam alors qu'ils ne proviennent pas d'un spammeur ni d'un botnet connu. C'est le cas notamment avec des listes de diffusion ou des lettres d'information légitimes. La Protection instantanée répertorie ces messages comme "Spams (envois en masse)" par opposition aux "Spams (confirmés)". Cochez cette case si vous souhaitez que les "Spams (envois en masse)" soient bloqués. Veuillez noter qu'il peut être utile d'accepter ce type de spams pour un traitement ultérieur si vous souhaitez recevoir des envois en masse mais que, pour une raison inconnue, vous ne parvenez pas à mettre l'expéditeur sur liste blanche.
Enregistrer l’activité dans le fichier journal des modules
Cochez cette case pour que l’activité de la Protection instantanée soit enregistrée dans le journal de MDaemon.
Exceptions
Ne pas appliquer la Protection instantanée aux sessions SMTP authentifiées
Lorsque cette option est activée, les messages envoyés au cours d’une session SMTP authentifiée ne sont pas analysés par la Protection instantanée.
Ne pas appliquer la Protection instantanée aux sessions SMTP provenant d’IP autorisées
Lorsque cette option est activée, les messages provenant d’IP autorisées ne sont pas analysés par la Protection instantanée.
Ne pas appliquer aux messages approuvés par SPF/DKIM
En activant cette option, les messages considérés comme valides par SPF ou DKIM et dont le domaine figure sur la liste des Domaines approuvés ne sont pas analysés par la Protection instantanée.
Ne pas appliquer aux adresses sur liste blanche des pièges à spam et du Filtre anti-spam
En activant cette option, les listes blanches des pièges à spam et du Filtre anti-spam sont exclues de la Protection instantanée. La "Liste blanche" s'applique au destinataire, ou valeur RCPT transmise pendant la session SMTP. La "Liste blanche (expéditeurs)" s'applique à l’expéditeur, ou valeur MAIL transmise lors de la session SMTP. Ces opérations ne font pas appel aux en-têtes de messages.
Faux positifs et faux négatifs
Les faux positifs (messages légitimes considérés comme des spams ou des virus) sont très rares. Néanmoins, si vous obtenez un faux positif, vous pouvez nous l'envoyer à spamfp@mdaemon.com pour les spams ou à virusfp@mdaemon.com pour les virus, afin de nous aider à améliorer nos procédés de détection et de classification.
Les faux négatifs (messages non détectés comme de nouvelles menaces alors qu'ils sont des spams ou des virus) sont plus fréquents que les faux positifs. Il convient cependant de noter que la Protection instantanée n’est pas conçue pour bloquer tous les types de spams et de virus. Il s’agit d’une couche de protection supplémentaire prévue pour détecter l'apparition de nouvelles attaques. Les anciens messages, ciblés à l'aide de critères spécifiques et ne faisant pas partie de la propagation en cours, peuvent être acceptés par la Protection instantanée. Ils seront ensuite bloqués par les autres fonctionnalités de l'antivirus ou de MDaemon lors des différentes étapes de traitement. Si vous obtenez un faux négatif, vous pouvez nous l'envoyer à virusfn@mdaemon.com pour les spams/phishings ou à spamfn@mdaemon.com pour les virus, afin de nous aider à améliorer nos procédés de détection et de classification.
Les messages doivent être envoyés en tant que pièces jointes MIME et non transférés, et ce afin d'éviter de perdre des informations importantes à la classification.
