Paramètres généraux de protection

Kaspersky Secure Mail Gateway assure la protection des messages électroniques entrants et sortants de l'organisation. Vous pouvez configurer les paramètres généraux de protection suivants :

• Protection antivirus.
• Analyse des liens.
• Protection contre le courrier indésirable.
• Protection des messages contre les tentatives de phishing.
• Filtrage du contenu des messages.
• Authentification des expéditeurs de messages.

Les paramètres généraux de protection s'appliquent lors de l'analyse de tous les messages. Vous pouvez configurer les actions appliquées aux messages en fonction des résultats de l'analyse ainsi que des paramètres supplémentaires à l'aide des règles de traitement des messages.

Protection antivirus

Kaspersky Secure Mail Gateway assure la protection antivirus des messages : il recherche la présence éventuelle de virus et autres programmes dangereux dans les messages électroniques et répare les objets infectés à l'aide des informations de la version actuelle (la plus récente) des bases antivirus.

Le module Antivirus recherche d'éventuels virus et d'autres programmes présentant une menace dans des messages. Le module Antivirus analyse le corps du message et les fichiers joints de tous les formats (pièces jointes) à l'aide des bases antivirus. Il permet également d'identifier et de bloquer les pièces jointes destinées à un nombre restreint de destinataires et qui font partie d'attaques ciblées contre une vulnérabilité dans une application.

Vous pouvez configurer les paramètres suivants du module Antivirus :

• l'utilisation de l'analyse heuristique ;

  Technologie d'identification des menaces impossibles à reconnaître à l'aide de la version actuelle des bases des applications de Kaspersky. Elle permet de trouver les fichiers qui peuvent contenir des virus inconnus ou une nouvelle modification d'un virus connu.

• la durée maximale d'analyse des messages ;
• le niveau maximal d'analyse des archives ;
• les exclusions de l'analyse de certaines applications légitimes qui pourraient être exploitées par des individus malintentionnés.

En fonction des résultats de l'analyse, le module Antivirus attribue au message l'un des états suivants :

• Non détecté : le message n'est pas infecté.
• Infecté : le message est infecté, irréparable ou la réparation n'a pas été effectuée.
• Désinfecté : le message est désinfecté.
• Chiffré : l'analyse est impossible, car l'objet est chiffré.
• Erreur : une erreur s'est produite lors de l'analyse du message.
• Erreur dans les bases : impossible d'analyser le message en raison d'une erreur d'application des bases de l'application.
• Menace d'invasion : l'objet peut être utilisé par des individus malintentionnés pour s'introduire dans le réseau local.
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.
• Potentiellement infecté : l'objet contient des signes de code malveillant.

Le module Antivirus est activé par défaut. Si nécessaire, vous pouvez désactiver le module Anti-Virus ou l'analyse antivirus des messages pour n'importe quelle règle.

Analyse des liens

Kaspersky Secure Mail Gateway vérifie si les liens du texte du message sont malveillants, sont des liens publicitaires ou renvoient à des applications légales potentiellement nuisibles à l'ordinateur.

Vous pouvez configurer les paramètres suivants d'analyse des liens :

• Durée maximale d'analyse d'un message.
• Exclusions de l'analyse.

  Vous pouvez désactiver la détection des liens publicitaires et des liens associés à certaines applications légitimes.

D'après les résultats de l'analyse des liens, l'application attribue au message l'un des états suivants :

• Erreur dans les bases : impossible d'analyser le message en raison d'une erreur dans les bases de l'application.
• Non détecté : le message ne contient pas de liens dont la détection est activée selon les paramètres de l'application.
• Erreur : l'analyse du message s'est terminée par une erreur.
• Détecté : le message contient des liens malveillants, publicitaires ou associés à des applications légales.
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.

Protection contre le courrier indésirable

Kaspersky Secure Mail Gateway filtre le courrier indésirable (spam) dans le flux des messages électroniques transmis par le serveur de messagerie.

L'analyse contre le courrier indésirable des messages est effectuée par le module Anti-Spam. Le module Anti-Spam recherche des éléments de courrier indésirable dans chacun des messages analysés. Pour ce faire, le module Anti-Spam analyse avant tout les attributs du message tels que les adresses de l'expéditeur et du destinataire, la taille du message et les en-têtes (y compris en-têtes From et To). Ensuite le module Anti-Spam analyse le contenu du message (y compris l'en-tête Objet) et des fichiers joints.

L'application attribue aux messages indésirables ou potentiellement indésirables les états appropriés en fonction du classement du courrier indésirable. Le classement de courrier indésirable est un nombre entier compris entre 0 et 100 obtenu par addition de points attribués au message à chaque déclenchement du module Anti-Spam. Les résultats de la vérification SPF et du filtrage des messages de réputation sont également pris en compte dans la détermination du classement de spam.

Lors de l'activation du module Anti-Spam, la protection contre les attaques BEC est automatiquement activée. Cela vous permet de reconnaître des fausses lettres des individus malintentionnés visant à compromettre la correspondance commerciale.

Vous pouvez configurer les paramètres suivants du module Anti-Spam :

• Utilisation du service Moebius.

  Service de mise à jour rapide des bases de données Anti-Spam qui vous permet d'installer des mises à jour critiques en temps réel.

  Le service Moebius détermine la différence entre la base de données Anti-Spam actuelle utilisée dans l'application et la base de données sur le serveur Moebius. Ensuite, les entrées manquantes sont transmises au Nœud primaire par le protocole HTTPS. Pour que le volume de données transmises ne devienne pas important et que le service Moebius fonctionne correctement, les bases de données Anti-Spam de l'application doivent être régulièrement mises à jour.

• Protection contre l'usurpation Active Directory.

  Type d'attaque qui repose sur la falsification des données transmises. Le spoofing peut viser à obtenir des privilèges étendus et repose sur le contournement du mécanisme de vérification en générant une requête similaire à la requête réelle. Une des versions de cette substitution consiste à forger une en-tête HTTP pour obtenir l'accès au contenu masqué.

  L'objectif d'une attaque de spoofing peut également être de tromper l'utilisateur. L'exemple classique de ce type d'attaque est la substitution de l'adresse de l'expéditeur dans les emails.

  Le module Anti-Spam permet d'empêcher les attaques d'usurpation dans lesquelles les individus malintentionnés utilisent un faux nom (Display Name) dans l'en-tête des messages From. Avec cela, le domaine à partir duquel le message a été envoyé ne correspond pas au domaine de votre entreprise. Vous pouvez spécifier dans l'application un groupe Active Directory pas plus de 10 000 utilisateurs, qui sera protégé contre l'usurpation.

• Vérification de la réputation des adresses IP et des domaines.

  Cette option vous permet de vérifier les données de session SMTP en fonction des enregistrements d'adresses IP et de domaines interdits dans les bases de données du module Anti-Spam.

• Utilisation de la quarantaine de l'Anti-Spam.

  La Sauvegarde où les messages électroniques sont temporairement placés si le module Anti-Spam n'a pas pu leur attribuer l'état final en fonction des résultats de l'analyse.

  L'utilisation de la quarantaine de l'Anti-Spam n'est possible que dans le cadre de la participation à KSN.

  Après avoir placé le message dans la quarantaine de l'Anti-Spam, l'application fait appel aux serveurs KSN pour analyser le message. L'utilisation du service dans le Cloud KSN améliore la précision de la détection du spam, car les bases de données de KSN contiennent des informations plus récentes que les bases de données de l'Anti-Spam utilisées dans l'application.

• Durée maximale d'analyse des messages.
• Durée maximale de stockage des messages dans la quarantaine de l'Anti-Spam
• Nombre maximum de messages dans la quarantaine de l'Anti-Spam.
• Taille maximale de la quarantaine de l'Anti-Spam.

En fonction des résultats de l'analyse, le module Anti-Spam attribue au message l'un des états suivants :

• Non détecté : le message n'est pas classé comme courrier indésirable.
• Spam : l'application a classé le message comme courrier indésirable confirmé.
• Spam présumé : il se peut que le message soit du spam.
• Envoi de masse : le message a été reçu dans le cadre d'une diffusion massive.
• Erreur : l'analyse du message s'est terminée par une erreur.
• Erreur dans les bases : impossible d'analyser le message en raison d'une erreur dans les bases de l'application.
• Message formel : l'application considère le message comme un avis formel généré automatiquement (par exemple, les réponses automatiques des utilisateurs ou les notifications concernant le dépassement de la taille de la boîte aux lettres).
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.
• Source fiable – le message a été reçu d'un expéditeur dont le domaine figure dans la liste des domaines autorisés dans les bases de données du module anti-spam et a passé l'authentification DMARC de l'expéditeur.

D'après les résultats de l'analyse, l'application ajoute au message l'en-tête X X-MS-Exchange-Organization-SCL qui contient l'estimation SCL.

Le module Anti-Spam est activé par défaut. Le cas échéant, il est possible de désactiver le module Anti-Spam ou de désactiver l'analyse contre les spams des messages pour n'importe quelle règle.

Protection des messages contre les tentatives de phishing

Kaspersky Secure Mail Gateway filtre le phishing dans le flux des messages transmis par le serveur de messagerie.

Le module Anti-Phishing analyse les messages à la recherche de phishing. Le module Anti-Phishing analyse le contenu du message (y compris l'en-tête Objet) et les pièces jointes.

Vous pouvez configurer la durée maximale de l'analyse des messages par le module Anti-Phishing.

En fonction des résultats de l'analyse, le module Anti-Phishing attribue au message l'un des états suivants :

• Non détecté : le message ne comporte aucun lien vers des URL de phishing (images ou texte) incitant l'utilisateur à transmettre des données confidentielles à des individus malintentionnés. Il ne contient pas non plus de lien vers des ressources Internet comportant des applications malveillantes.
• Phishing : l'application a détecté dans le message une image ou un texte invitant l'utilisateur à transmettre des données confidentielles à des individus malintentionnés.
• Lien de phishing : dans le message, l'application a détecté un lien vers une ressource Internet comportant des applications malveillantes.
• Erreur : l'analyse du message s'est terminée par une erreur.
• Erreur dans les bases : impossible d'analyser le message en raison d'une erreur dans les bases de l'application.
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.

Le module Anti-Phishing est activé par défaut. Le cas échéant, vous pouvez désactiver le module Anti-Phishing ou désactiver l'analyse anti-phishing des messages pour n'importe quelle règle.

Filtrage du contenu des messages

Kaspersky Secure Mail Gateway peut effectuer le filtrage des messages transmis par le serveur de messagerie. Vous pouvez limiter le transfert par le serveur de messagerie pour les messages qui répondent à certains paramètres.

Vous pouvez configurer les paramètres suivants du filtrage du contenu :

• la durée maximale d'analyse des messages ;
• le niveau maximal d'analyse des archives.

En fonction des résultats du filtrage du contenu, le module de gestion de l'analyse des messages Scan Logic attribue au message l'un des états suivants :

• Non détecté : le message ne franchit aucune des limites définies dans les paramètres du filtrage du contenu.
• Nom de pièce jointe interdit : le message contient une pièce jointe dont le nom est interdit.
• Format de pièce jointe interdit : le message contient une pièce jointe dont le format est interdit.
• Taille autorisée dépassée : la taille maximale autorisée du message est dépassée.
• Erreur dans les bases : impossible d'analyser le message en raison d'une erreur dans les bases de l'application.
• Erreur : l'analyse du message s'est terminée par une erreur.
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.

Par défaut, le filtrage du contenu des messages est activé. Si nécessaire, vous pouvez désactiver le filtrage de contenu dans les paramètres de sécurité généraux ou pour n'importe quelle règle.

Authentification des expéditeurs des messages

L'authentification des expéditeurs de messages vise à offrir une protection supplémentaire de l'infrastructure de messagerie de votre organisation contre le courrier indésirable et le phishing.

Kaspersky Secure Mail Gateway exploite les technologies suivantes pour authentifier les expéditeurs :

• Authentification SPF (Sender Policy Framework).
• Authentification DKIM (DomainKeys Identified Mail).
• Authentification DMARC (Domain-based Message Authentication, Reporting and Conformance).

L'authentification SPF des expéditeurs de messages désigne la technique selon laquelle les adresses IP des expéditeurs sont comparées avec la liste des sources de messages potentielles créée par l'administrateur du serveur de messagerie.

Kaspersky Secure Mail Gateway reçoit la liste des sources de messages potentielles depuis le serveur DNS.

Activez l'authentification SPF si Kaspersky Secure Mail Gateway reçoit les messages directement d'Internet. Désactivez l'authentification SPF si Kaspersky Secure Mail Gateway reçoit les messages depuis un serveur intermédiaire interne.

L'authentification DKIM des expéditeurs des messages désigne la vérification de la signature numérique des messages.

Chaque message reçoit une signature numérique associée au nom de domaine de l'organisation. Kaspersky Secure Mail Gateway analyse cette signature numérique.

L'authentification DMARC des expéditeurs des messages est une vérification qui définit la stratégie et les actions à exécuter sur les messages à l'issue des authentifications SPF et DKIM des expéditeurs.

La vérification DMARC requiert l'activation des vérifications SPF et DKIM. Si les vérifications SPF ou DKIM sont désactivées, la vérification DMARC sera également désactivée.

Une fois que le message a subi l'authentification SPF et DKIM, le système vérifie si le domaine contenant l'adresse de l'expéditeur dans le champ De de l'en-tête du message correspond aux identifiants SPF et DKIM.

Pour réaliser l'authentification SPF, DKIM et DMARC des expéditeurs de messages, il faut autoriser la connexion de Kaspersky Secure Mail Gateway au serveur DNS. Si la connexion au serveur DNS est interdite, les authentifications SPF, DKIM et DMARC des expéditeurs de messages seront désactivées.

D'après les résultats de l'authentification des expéditeurs, l'application attribue au message l'un des états suivants :

• Non détecté : aucune violation d'authentification n'a été trouvée dans le message.
• Erreur : une erreur s'est produite lors de l'authentification.
• Échec de l'authentification : échec de l'authentification.
• Non analysé : le message n'a pas été analysé selon les paramètres définis dans l'application.
• Violation détectée : au moins une violation d'authentification a été détectée.
• Aucune violation détectée : aucune violation d'authentification n'a été détectée.

Par défaut, l'authentification de tous les expéditeurs est activée. Si nécessaire, vous pouvez désactiver n'importe quelle analyse dans les paramètres de sécurité généraux ou pour n'importe quelle règle.

Pour que le serveur de messagerie distant puisse authentifier l'expéditeur des messages sortants (si cet expéditeur est Kaspersky Secure Mail Gateway), il faut au préalable ajouter les signatures SPF et DMARC dans les paramètres de votre serveur DNS.