Les pré-requis techniques pour bénéficier du service
Si l'établissement demandeur est éligible, il devra effectuer la configuration de ses domaines raccordés via le portail d'administration du service. Assurez-vous que vous êtes en mesure de fournir les éléments suivants avant toute demande d'activation du service.
Configuration et raccordement
Paramètres configurables par domaine
Pour chaque domaine, de nombreux paramètres doivent être renseignés par l'établissement demandeur. Ces paramètres pourront ensuite être modifiés à volonté :
- le(s) serveur(s) SMTP relais pour les domaines ;
- le(s) annuaire(s) LDAP pour la validation des adresses emails au sein des domaines (sauf si vous utilisez la validation des adresses via le protocole SMTP) ;
- les seuils de marquage et de rejet des spams et les tags de marquage des champs Subject,
- les listes blanches et listes noires ;
- la taille maximale des messages et les types de pièces jointes refusées ;
- l'activation ou non de l'anti-virus.
Paramètres fournis par RENATER
Lors de la configuration, RENATER fournit également plusieurs paramètres :
- les noms DNS des MTA anti-spam RENATER ;
- les plages d'adresses IP des serveurs qui livreront les messages aux relais SMTP et éventuellement les interrogations LDAP ;
- un compte (identifiant / mot de passe) pour récupérer les journaux d'événements et ayant accès à une boîte IMAP pour la boucle de rétroaction.
Configuration côté établissement
À réception de ces paramètres l'établissement doit effectuer les configurations suivantes :
- accepter toutes les connexions SMTP entrantes depuis les MTA de l'anti-spam RENATER, et plus particulièrement s'assurer que l'établissement ne filtre pas les MTA de RENATER (filtrage IP, liste grise/blanche/noire, limitation de cadence, etc.) ;
- il est en revanche prudent de bien filtrer toutes les sessions SMTP entrantes qui ne proviendraient pas des MTA de l'anti-spam RENATER ;
- accepter les connexions au(x) serveur(s) LDAP depuis les MTA de l'anti-spam RENATER.
Lorsque les test sont validés, il convient, pour procéder au raccordement, de :
- modifier le TTL des enregistrements MX ;
- changer la valeur du “MX record” en indiquant les MTA de l'anti-spam RENATER.
La suite de cette page décrit dans le détail les paramètres qui doivent être fournis par l'établissement lors de l'activation du service anti-spam.
Détails des paramètres
Afin d'éviter que l'anti-spam mutualisé ne se comporte comme un relai ouvert, les domaines autorisés comme destinataires de messages doivent être préalablement déclarés.
Chaque site doit fournir la liste des suffixes DNS des domaines et sous-domaines gérés par sa messagerie qu'il souhaite protéger.
Paramètres de routage SMTP
Un établissement se raccordant à l'anti-spam mutualisé RENATER doit indiquer vers quel(s) serveur(s) SMTP ses messages lui seront transmis, pour chaque domaine de destination.
Paramètres d'annuaire LDAP
Le contrôle de la validité de l'adresse des destinataires est un élément crucial d'un filtrage anti-spam efficace. Deux moyens sont à votre disposition :
- Vous disposez d'un serveur LDAP correctement renseigné : vous pouvez lui déléguer la vérification par l'anti-spam. Dans le cas où un message serait émis à partir d'un domaine raccordé au service anti-spam, ce contrôle sera effectué également sur l'adresse de l'émetteur du message (NB. ce contrôle se fait dès que le domaine est configuré au niveau des MTA antispam RENATER, dès la phase de test, même si le MX n'a pas encore été changé).
- Si vous ne disposez pas d'un annuaire LDAP ou ne souhaitez pas l'utilisez dans ce but, RENATER vous propose un autre mode de validation des adresse email destinataires basée sur le protocole SMTP.
Les MTA de RENATER disposent d'un cache local afin de limiter la charge des annuaires LDAP des établissements qui utilisent le service.
Définition des listes blanches et noires
Des exceptions aux règles de filtrage doivent pouvoir être appliquées dans certains cas, que ce soit pour laisser passer des messages normalement rejetés (liste blanche) ou pour bloquer des messages indésirables non détectés (liste noire). Afin de conserver des performances acceptables, le niveau de granularité le plus fin qui est supporté par ces exceptions est le domaine.
La valeur de l'exception peut être une expression régulière.
Paramètres de filtrage
Seuils du filtre de contenu
Le support de différentes politiques de filtrage implique de pouvoir spécifier le comportement des serveurs de filtrage en fonction de la note qu'un mail a obtenu lors de l'analyse effectuée par le moteur de filtrage de contenu.
Les mails sont classés en plusieurs catégories :
- les ham (note inférieure à 100) ;
- les spams faibles (note entre 100 et 299) ;
- les spam moyens (note entre 300 et 499) ;
- les spams hauts (note au-delà de 499) ;
- les publicités/réseaux sociaux ;
- qualité des signatures DKIM et SPF, si présentes ;
- réputation du domaine émetteur ;
- les virus.
Vous pourrez configurer le comportement des serveurs de filtrage pour chaque catégorie, et indiquer si vous souhaitez marquer et livrer le message ou le supprimer avant qu'il atteigne sa destination.
Taille maximale des messages acceptés
Vous pouvez spécifier la taille maximale d'un message en kilo-octets (par défaut 20480 Ko, soit 20 Mo).
Type des pièces-jointes
Il est également possible de filtrer les messages selon leurs types (extension du nom de fichier) des pièces jointes qu'ils comportent. Par défaut il s'agit de : com, exe, pif, bat, scr, cpl, cmd, dll, lnk, inf, msi, sct, vbs, vb, vbe.
Marquage des messages livrés
Lorsqu'un message est reconnu comme spam par les règles de filtrage, il doit recommandé de le transmettre avec un marquage spécifique réalisé en ajoutant un ou plusieurs « tags ».
Il est possible de préfixer le Subject: par une chaîne de caractère et/ou d'ajouter des en-têtes personnalisés par domaine.