Protection contre le courrier indésirable et le phishing
Une des principales tâches de Kaspersky Security consiste à filtrer le courrier indésirable dans le flux de messagerie qui transite via le serveur Microsoft Exchange. Le module Anti-Spam filtre le courrier entrant avant qu'il n'arrive dans les boîtes aux lettres des utilisateurs.
L'Anti-Spam analyse les types de données suivants :
- Le flux de messagerie interne et externe via le protocole SMTP avec vérification anonyme de l'authenticité sur le serveur.
- Les messages qui arrivent sur le serveur via des connexions externes anonymes (serveur edge).
- E-mails sortants.
L'Anti-Spam n'analyse pas les types de données suivants :
- Le flux de messagerie interne de l'organisation.
- Le flux de messagerie externe qui arrive sur le serveur via une session d'authentification. L'analyse d'un flux de messagerie de ce type peut être activée manuellement à l'aide du paramètre Analyser les messages de spam reçus via des connexions de confiance.
- Les messages arrivant d'autres serveurs de l'infrastructure de messagerie Microsoft Exchange, car la connexion entre les serveurs d'une même infrastructure Microsoft Exchange est considérée comme de confiance. Ainsi, si un message arrive sur l'infrastructure via un serveur sur lequel aucun Anti-Spam n'est installé ou activé, il ne sera pas analysé par le filtre anti-spam ni par aucun des serveurs suivants de l'infrastructure empruntés par le message. L'analyse de ce type de message peut être activée manuellement à l'aide du paramètre Analyser les messages de spam reçus via des connexions de confiance.
L'Anti-Spam analyse les en-têtes et le contenu des messages, les fichiers joints, les éléments de composition et d'autres attributs du message. L'analyse de l'Anti-Spam repose sur l'utilisation d'algorithmes linguistiques et heuristiques à partir de la comparaison du message avec des exemples de messages ainsi que sur l'utilisation de services dans le cloud supplémentaires comme le Kaspersky Security Network.
Sur la base des résultats du filtrage, l'Anti-Spam attribue un des états suivants aux messages :
- Courrier indésirable. Le message affiche des éléments caractéristiques du courrier indésirable.
- Courrier indésirable potentiel. Le message présente des caractéristiques du courrier indésirable, mais le classement de courrier indésirable ne permet pas de le classer comme tel.
- Envoi massif. Le message appartient à la catégorie des envois massifs (généralement des newsletters ou de la publicité) mais ne présente pas suffisamment de caractéristiques permettant de le considérer comme un spam.
- Notification formelle. Message technique, par exemple sur la remise d'un message au destinataire.
- Normal. Le message n'affiche aucun élément caractéristique du courrier indésirable.
- Ajouté à la liste des adresses refusées. L'adresse IP de l'expéditeur du message ou son adresse de messagerie figure dans la liste des adresses refusées.
Lors du contrôle du flux de messagerie interne qui fonctionne selon le protocole SMTP, et lors de l'activation de l'analyse des messages de spam reçus via des connexions de confiance, l'Anti-Spam attribue l'état Sain aux messages suivants : messages de diffusion, messages techniques et messages dont le classement de spam ne permet pas de les classer comme du spam.
Vous pouvez sélectionner les actions que l'application va exécuter sur les messages d'un certain statut. Vous avez le choix entre les actions suivantes :
- Autoriser. Le message sera remis au destinataire sans aucune modification.
- Rejeter. Le serveur expéditeur reçoit un message d'erreur lors de l'envoi du message (code d'erreur 500) et le message n'est pas remis au destinataire.
- Supprimer. Le serveur expéditeur du message reçoit une notification sur l'envoi du message (code 250), mais ce message n'est pas remis au destinataire.
- Ajouter la note SCL. Les messages recevront une évaluation sur la probabilité de courrier indésirable (SCL). L'évaluation SCL se présente sous la forme d'un nombre qui peut être compris entre 1 et 9. Un résultat SCL élevé indique une probabilité élevée que le message soit non sollicité. L'évaluation SCL s'obtient en divisant le classement de courrier indésirable du message par 10. Si à la fin du calcul la valeur est supérieure à 9, l'évaluation SCL est égale à 9. L'évaluation SCL attribuée aux messages est prise en compte lors du traitement ultérieur des messages par l'infrastructure Microsoft Exchange.
- Ajouter une note à l'objet du message. Les messages qui reçoivent l'état Courrier indésirable, Courrier indésirable potentiel, Envois massifs ou Ajouté à la liste des adresses refusées sont signalés respectivement par les notes spéciales
[!!SPAM], [!!Probable Spam]
, [!!Mass Mail]
ou [!!Blacklisted]
dans le champ Objet du message. Vous pouvez modifier le texte de ces notes.
L'application prend en charge quatre niveaux de sensibilité de la recherche de courrier indésirable :
- Maximal. Ce niveau de sensibilité doit être utilisé si vous recevez très souvent des messages non sollicités. Si vous sélectionnez ce niveau de sensibilité, la fréquence d'identification d'un courrier normal en tant que courrier indésirable peut augmenter.
- Elevée. Si vous choisissez ce niveau de sensibilité, la fréquence de faux positifs diminue (par rapport au niveau Maximal) et la vitesse d'analyse augmente. Le niveau de sensibilité Élevé doit être utilisé si vous recevez souvent du courrier indésirable.
- Faible. Si vous choisissez ce niveau de sensibilité, la fréquence de faux positifs diminue (par rapport au niveau Élevé) et la vitesse d'analyse augmente. Le niveau de sensibilité Faible offre la combinaison optimale de rapidité et de qualité de l'analyse.
- Minimal. Ce niveau de sensibilité doit être utilisé si vous recevez rarement des messages non sollicités.
Par défaut, la protection contre le courrier indésirable s'opère selon les paramètres du niveau de sensibilité Faible. Vous pouvez augmenter ou réduire le niveau de sensibilité. En fonction du niveau de sensibilité et du classement obtenu suite à l'analyse, le message peut recevoir l'état Courrier indésirable ou Courrier indésirable potentiel (cf. tableau ci-dessous).
Seuils de classement du courrier indésirable en fonction du niveau de sensibilité de l'analyse anti-spam
Niveau de sensibilité
|
Courrier indésirable potentiel
|
Courrier indésirable
|
Maximal
|
60
|
75
|
Élevé
|
70
|
80
|
Faible
|
80
|
90
|
Minimum
|
90
|
100
|
Dans de rares cas de dysfonctionnement du noyau Anti-Spam, la durée d'analyse des messages pour détecter les spams peut augmenter considérablement. Pour éviter les retards de messages, l'Anti-Spam passe alors temporairement en mode de fonctionnement restreint. Avec ce mode, certains messages peuvent être ignorés et ne pas faire l'objet d'une analyse contre les spams.
Au début