GFI
English Deutsch Français Italiano Nederlands Español
Table of ContentsPreviousNextIndex

Sender Policy Framework (SPF).

GFI MailEssentials est compatible avec le Sender Policy Framework (SPF). Il vous permet de vérifier si un email particulier provient d'un expéditeur forgé ou non.  La plupart des spammeurs aujourd'hui utilisent des adresses email forgées.

SPF est un effort communautaire qui gagne rapidement du terrain. SPF requière que l'entreprise de l'expéditeur ait publié son serveur de messagerie dans un enregistrement SPF. Par exemple, si un email est envoyé à partir de xyz@sociétéABC.com alors sociétéABC.com doit publier un enregistrement SPF afin que SPF puisse déterminer si le message était réellement envoyé à partir du réseau sociétéABC.com ou si il a été forgé. Si un enregistrement SPF n'est pas publié par sociétéABC.com, le résultat SPF sera « inconnu ».

Fonctionnement de SPF

Les domaines utilisent des enregistrements publics (DNS) pour diriger les requêtes vers les machines qui offrent des services (Web, email, etc.) . Tous domaines publient déjà un enregistrement email (MX) pour indiquer publiquement quelles machines reçoivent les emails pour ce domaine.

SPF fonctionne par domaine publiant un enregistrement texte dans le DNS de ces domaines afin d'indiquer publiquement quelles machines envoient le message à partir du domaine. Quand vous recevez un message à partir d'un domaine, GFI MailEssentials peut vérifier ces enregistrements afin de s'assurer que les messages proviennent de la source qu'ils utilisent.

GFI MailEssentials ne vous oblige pas à publier un enregistrement SPF. Si vous désirez le faire, vous pouvez utiliser l'assistant SPF sur : http://spf.pobox.com/wizard.html.

Un exemple

Supposons qu'un spammeur forge sociétéABC.com et essaye de vous envoyer un spam.

Il se connecte à partir d'un endroit autre que SociétéABC.

Une fois le message envoyé, vous voyez MAIL FROM: <adresse_forgée@SociétéABC.com>, mais vous n'êtes pas obligé de le croire. Vous pouvez demander à SociétéABC si l'adresse IP provient de leur réseau.

Dans cet exemple, SociétéABC publie un enregistrement SPF. Cet enregistrement indique à GFI MailEssentials comment déterminer si la machine expéditrice est autorisée à envoyer des emails au nom de SociétéABC.

Si SociétéABC indique que la machine expéditrice est reconnue, le message passe, et vous pouvez penser que l'expéditeur est qui il prétend être. Si le message ne passe pas les tests SPF, c'est un message forgé. C'est que l'on peut déterminer un spammeur.

Pour plus d'informations sur SPF et son fonctionnement, veuillez visiter le site Internet du Sender Policy Framework sur http://spf.pobox.com.

SPF sur un serveur SMTP (passerelle) de périmètre

Le serveur SMTP périmètre est la machine qui reçoit les emails directement à partir d'Internet. Si vous avez installé GFI MailEssentials sur un serveur SMTP périmètre vous ne devez pas configurer les paramètres sur GFI MailEssentials (par ex., vous n'avez pas besoin de configurer les options de serveur SMTP [passerelle] périmètre dans l'onglet des Serveurs SMTP Périmètre des propriétés anti-spam).

SPF sur un serveur SMTP (passerelle) non périmètre

Si GFI MailEssentials N'EST PAS installé sur un serveur SMTP périmètre vous devez configurer l'option « Perimeter SMTP Servers » dans le nœud des propriétés anti-spam. Pour ce faire, cliquez droit sur le noeud anti-spam > Properties et cliquez sur l'onglet Perimeter SMTP Servers.

Si vous n'êtes pas sûr d'avoir installé GFI MailEssentials sur votre serveur SMTP de périmètre, vous pouvez utiliser le bouton Auto Discovery dans les options d'installation du SMTP Périmètre pour effectuer une recherche DNS MX et automatiquement déterminer l'adresse IP de votre serveur SMTP périmètre.

Pour une configuration plus détaillée des options du serveur SMTP périmètre, consultez le paragraphe « Déterminer les paramètres de votre serveur SMTP (passerelle) périmètre » de ce chapitre.

Configuration de la fonctionnalité SPF

La configuration de SPF est effectuée à partir du nœud Anti Spam > Sender Policy Framework. Cliquez droit sur le noeud pour ouvrir les propriétés SPF.

Niveau de blocage SPF

Capture d'écran 27 - Configuration du niveau de blocage SPF

Le niveau de rejet vous permet de paramétrer la sensibilité du test SPF. Vous pouvez choisir parmi 4 niveaux :

Never : Ne jamais rejeter aucun message. Avec cette option sélectionnée, aucun test SFP n'est effectué sur les messages entrants.

Low : Bloquer seulement les messages dont la provenance a été déterminée comme erronée (Echec SPF). Cette option traitera tout message avec un expéditeur forgé comme du spam.

Medium : Bloque les messages qui pourraient provenir d'un expéditeur fabriqué. Cette option traitera tout message avec un expéditeur qui apparaît forgé comme du spam. Cette option est l'option par défaut, et le paramètre recommandé.

High : Bloque tout message qui ne provient pas de l'expéditeur. Cette option traitera tout message comme du spam, à moins que leur provenance soit garantie comme non forgée. Puisque la majorité des serveurs de messagerie n'ont pas encore d'enregistrement SPF, cette option n'est pas recommandée.

Capture d'écran 28 - Installation actuelle du Serveur SMTP de Périmètre

Après avoir défini la sensibilité de vos tests SPF, cliquez sur Apply pour enregistrer cette configuration. Si, dans GFI MailEssentials vous avez déjà précisé que cet ordinateur ne se trouve pas sur le serveur SMTP périmètre (voir « Déterminer votre serveur SMTP (passerelle) périmètre » dans ce chapitre), une boîte de dialogue identique à celle ci-dessus apparaît. Elle affiche les paramètres du serveur SMTP périmètre que vous avez configuré dans GFI MailEssentials (par ex. les adresses IP spécifiques pour votre serveur SMTP périmètre).

Si GFI MailEssentials est installé sur le serveur SMTP périmètre ou si vous n'avez pas encore précisé  que le serveur de messagerie sur lequel GFI MailEssentials est installé n'est pas le serveur SMTP périmètre (voir « Déterminer votre serveur SMTP (passerelle) périmètre » dans ce chapitre) la boîte de dialogue ci-dessous apparaîtra.

Capture d'écran 29 - Rappel : SPF doit être installé sur le serveur SMTP périmètre.

Cette fenêtre vous rappellera que si cet ordinateur n'est pas un serveur périmètre, vous devez configurer l'option Perimeter SMTP Servers située dans le noeud des propriétés anti-spam (cliquez droit sur le nœud Anti Spam > Properties et cliquez sur l'onglet Perimeter SMTP server ). Pour une configuration plus détaillée du serveur SMTP périmètre, consultez le paragraphe « Déterminer les paramètres de votre serveur SMTP (passerelle) périmètre » de ce chapitre. Cliquez sur OK pour fermer la boîte des propriétés. Si vous désirez évaluer vos paramètres/services DNS, cliquez sur le bouton Test situé au-dessus du bouton Apply.

Configuration des Exceptions

Capture d'écran 30 - Configuration des exceptions SPF

Cette page vous permet de configurer les adresses IP et les destinataires qui doivent être exclus des vérifications SPF.

Liste d'exception d'IP : Les adresses IP dans cette liste passeront automatiquement les vérifications SPF. Cliquez sur Add... pour ajouter une nouvelle adresse IP. Pour retirer une adresse IP, sélectionnez la dans la liste et cliquez sur Remove. Pour désactiver la liste d'exception par IP, décochez la boîte IP Exception list.

Liste d'exception de destinataires : Cette option permet à certains destinataires de toujours recevoir leurs emails, même si le message doit être rejeté. Une exception de destinataire peut être entrée par une des trois méthodes suivantes :

  • Partie locale - « abuse » (se trouve dans « abuse@abc.com, « abuse@xyz.com », etc...)
  • Domaine - `@abc.com » (se trouve dans john@abc.com, « jill@abc.com, etc...)
  • Complet - « joe@abc.com" (se trouve uniquement dans « joe@abc.com »)

Pour désactiver la liste d'exception par destinataire, décochez la boîte Recipient Exception list.

Liste blanche globale Trusted Forwarder : La liste blanche globale Trusted Forwarder (www.trusted-forwarder.org) offre une liste blanche globale pour les utilisateurs SPF. Elle propose une méthode qui permet aux messages légitimes qui passent par des relais de messagerie connus et de confiance de ne pas être bloqués car les relayeurs n'utilisent aucun système de réécriture d'enveloppe. Par défaut, ce paramètre est activé. Il est recommandé de toujours laisser cette option activée.

Onglet Actions

Après avoir configuré la fonction SPF, cliquez sur l'onglet Actions et précisez ce que vous désirez faire des messages balisés en tant que spam par le filtre SPF. Pour de plus amples informations sur les éventuelles actions, veuillez vous référer au paragraphe « Actions - que faire du spam » de ce chapitre.

Autre onglet

Veuillez vous référer au paragraphe « Autres options » de ce chapitre.

Définissez votre serveur SMTP périmètre (passerelle)

Le serveur SMTP périmètre est la passerelle du serveur de messagerie qui traite des emails reçus directement à partir d'Internet.

Image 2 - installation type de serveur relais SMTP périmètre

De tels serveurs SMTP passerelle sont en général spécifiés et configurés dans les enregistrements DNS MX d'un domaine et sont souvent installés dans une zone Démilitarisée (DMZ). La DMZ (voir image ci-dessus) est un réseau interne public utilisé exclusivement pour des serveurs auxquels on a accès par des clients externes sur Internet, tels que le Web, FTP et serveurs de messagerie.

Si les emails entrant sur le serveur sur lequel GFI MailEssentials est installé sont relayés à partir d'un autre serveur passerelle, vous devez alors préciser les coordonnées du serveur SMTP passerelle en utilisant l'onglet des serveurs SMTP Périmètre des propriétés anti-spam de façon à ce que le filtre SPF fonctionne correctement. (Par ex., une société en Angleterre reçoit tous ses emails sur un serveur SMTP situé aux Etats-Unis. Puisque le serveur SMTP aux Etats-Unis relaiera tous les emails après leur réception sur le serveur SMTP local en Angleterre, alors le serveur SMTP aux Etats-Unis est le serveur passerelle périmètre pour la société en Angleterre. Par ex., lorsque la société en Angleterre installe GFI MailEssentials sur ses serveurs SMTP locaux, il faudra activer l'option de la page des serveurs SMTP périmètres et spécifier les coordonnées du serveur SMTP aux Etats-Unis pour que le filtre SPF fonctionne correctement).

Capture d'écran 31 - Installation du Serveur SMTP de Périmètre

Si GFI MailEssentials n'est pas installé sur le serveur SMTP périmètre, vous devez :

1. Cliquer droit sur le nœud Anti-spam et choisir les propriétés.

2. Cliquer sur l'onglet « Perimeter SMTP Servers » et activer l'option « This machine is not a perimeter SMTP server ».

3. Cliquer sur Ajouter et préciser l'adresse IP de votre serveur SMTP (passerelle) périmètre. Ce procédé doit être répété si vous désirez spécifier des serveurs SMTP périmètres alternatifs qui sont à disposition. Assurez-vous de préciser les serveurs SMTP périmètres dans un ordre de préférence, en commençant par le serveur périmètre actuel situé en haut de votre liste, suivi des alternatives.

REMARQUE Vous pouvez cliquer sur « Automatic discovery » pour effectuer une recherche DNS MX qui recherchera et récupèrera automatiquement les adresses IP des serveurs SMTP périmètres configurés sur vos domaines locaux.

Table of ContentsPreviousNextIndex


   © 2008. Tous droits réservés. GFI Software Accueil Produits Télécharger les Trials Assistance Commandes Plan du site A propos de GFI Software Contactez-nous