Documentation du portail d'administration du service anti-spam de RENATER

Cette documentation s'adresse aux administrateurs de messagerie des organismes raccordés au service anti-spam RENATER.

Le portail d'administration est accessible à cette adresse : https://antispam.renater.fr/

L'accès au portail d'administration nécessite une authentification via la Fédération Education-Recherche ; à défaut l'administrateur pourra utiliser un Compte CRU.

Seuls les utilisateurs dont l'identifiant (eduPersonPrincipalName) a été validé peuvent gérer leurs domaines de messagerie via l'interface d'administration. La granularité la plus fine pour gérer les droits d'accès est celle d'un site : on ne peut pas donner des droits spécifiques à l'administrateur d'un domaine de messagerie.

Une fois authentifié, si vous avez des droits d'administration sur plusieurs site, le bandeau supérieur vous permet de sélectionner le site sur lequel vous voulez intervenir, voir cette copie d'écran :

Si vous ne parvenez pas à accéder à l'interface d'administration, contactez les administrateurs du service antispam.

La gestion des droits d'administration sur les sites raccordés est effectuée via le guichet du service antispam.

Un nouvel administrateur peut être ajouté :

  • par un administrateur déjà déclaré pour le site ;
  • par RENATER si aucun administrateur n'est encore déclaré pour le site, contactez-nous.

Si l'identifiant (attribut eduPersonPrincipalName) du nouvel administrateur n'est pas connu, il recevra un mail de notification destiné à le recueillir.

Actuellement chaque nouvel ajout d'un administrateur doit être validé par les administrateurs du service chez RENATER.

Vous pouvez demander le raccordement de nouveaux domaines en vous connectant sur le guichet anti-spam en tant qu'administrateur d'un site déjà raccordé, voir la copie d'écran ci-dessous.

La demande sera validée par les administrateurs du service ; vous serez notifié lorsque le domaine aura été activé sur la plateforme anti-spam.

Le guichet anti-spam vous propose une fonctionnalité d'envoi d'un mail de test vers une adresse de votre domaine, via l'un des serveurs de filtrage de RENATER. Ce test vous permet de valider la bonne configuration de votre domaine, en particulier :

  • les accès à vos serveurs LDAP et leur bonne alimentation LDAP ;
  • les accès à votre relai SMTP.
IMPORTANT : il n'est pas nécessaire de modifier votre MX pour effectuer cette opération. Vous pourrez modifier vos MX une fois ce test validé.

La fonctionnalité de test est accessible via l'icone depuis la liste de vos domaines raccordés dans le guichet antispam :

Vous pourrez choisir l'adresse destinatrice dans le domaine :

Avant d'accepter un mail entrant pour votre domaine, les serveurs de filtrage de RENATER doivent valider l'existence de l'adresse destinataire dans votre référentiel de messagerie. La plateforme anti-spam de RENATER vous propose deux options pour effectuer cette validation :

  1. par interrogation d'un annuaire LDAP : une recherche avec un filtre contenant l'adresse mail est effectuée dans un annuaire LDAP, dans votre établissement ;
  2. par initiation d'une session SMTP pour le destinataire auprès de vos relais SMTP, voir ce chapitre pour activer ce mode de fonctionnement.

Le(s) annuaire(s) LDAP renseigné(s) sur la plate-forme anti-spam permettent de valider une adresse email destinataire d'un mail, avant même d'accepter ce mail sur la plate-forme. Plusieurs annuaires peuvent être renseignés pour chaque site ; dans ce cas l'un d'entre eux est interrogé en priorité.

La configuration des annuaires est accessible via l'onglet Réglages, puis le menu Annuaires :

Le protocole LDAPS peut être précisé pour un annuaire en :

  • préfixant le nom ou l'adresse IP du serveur par ldaps://,
  • précisant le port (636)

Le filtre de recherche devra utiliser l'une et/ou l'autre de ces variables :

  • %s : l'adresse email complète du destinataire,
  • %u : la partie locale du destinataire.

Le paramètre “Attribut de recherche” devra lister tous les attributs sur lesquels s'applique le filtre, séparés par une virgule (','). Exemple :

  • Filtre de recherche : (|(mail=%s)(mailEquivalentAddress=%s)(mailAlternateAddress=%s))
  • Attribut de recherche : mail,mailEquivalentAddress,mailAlternateAddress
Par défaut, les domaines du sites utilisent tous les annuaires déclarés pour le site. Si vos domaines n'utilisent pas tous les mêmes annuaires : les annuaires doivent tous être déclarés au niveau du site ; mais vous devez alors spécifier, pour chaque domaine, les annuaires utilisés dans l'onglet Domaines, menu Réglages, paragraphe Annuaires.
Prêtez attention à la valeur de « identifiant de connexion » si vous choisissez d'être interrogé en anonyme, car par défaut le champ contient “ ”, un espace. C'est une contremesure pour éviter d'interroger le LDAP dans le cas d'une configuration qui ne serait pas terminée.
Priorité si deux annuaires de même poids : si deux LDAP ont le même poids, c’est l’ordre de déclaration qui prime
L'annuaire avec le poids le plus élevé est prioritaire (c'est l'inverse du fonctionnement des MX).

Cache des requêtes LDAP

Pour des raisons de performances, les annuaires LDAP ne sont pas interrogés à chaque mail traité ; un cache des réponses LDAP est géré :

  • réponses positives maintenues en cache pendant 24h,
  • réponses négatives maintenues en cache pendant 1h.
Si la plateforme anti-spam ne parvient pas à contacter votre annuaire LDAP :
  • l'utilisation des données en cache est prolongée, jusqu'à ce que votre LDAP puisse être contacté à nouveau ;
  • les mail à destination d'adresses non référencées dans le cache font l'objet d'un rejet temporaire, voir cette documentation.

Il s'agit des relais SMTP auxquels la plate-forme anti-spam transmet les mails après filtrage. Ces serveurs relais sont configurables depuis l'onglet Domaines, menu Relais

Le paramétrage du filtrage peut être fait a deux niveaux :

  1. niveau du site (onglet Réglages)
  2. niveau de chaque domaine (onglet Domaines, menu Réglages)
Certains paramétrages ne sont proposés qu'au niveau site, pas au niveau domaine. Par exemple : traitement des publicités, restriction de la taille des messages, liste des extensions de fichiers interdites.

Vous pouvez définir une liste d'extensions de fichier interdites ; les mails comprenant une pièce jointe dont l'extension correspond seront rejetés.

Ce filtrage est uniquement basé sur les extensions de fichier. Une évolution de la solution VadeRetro est prévue pour analyser le type MIME des pièces jointes.

Les mails sont classés en plusieurs catégories, en fonction du spam score des mails :

  • 0 à 99 : ham ;
  • 100 à 299 : spam faible ;
  • 300 à 499 : spam moyen ;
  • 500 et plus : spam haut.

Vous pouvez par ailleurs définir le comportement pour les :

  • publicités : il s'agit de mails considérés comme publicitaire ;
  • notifications : il s'agit des rapports de non-remise SMTP (bounces) ;
  • virus.

Vous pouvez configurer le comportement de la plate-forme, pour vos domaines, pour chacune de ces catégories de messages :

  • Rejeter : le message est rejeté par la plate-forme,
  • Marquer : le message est routé, avec marquage du champ Subject,
  • Router : le message est routé vers vos relais. S'il s'agit d'un spam, des champs d'entêtes SMTP sont ajoutés au message.
Attention : le terme Marquer est ambigüe. L'action n'implique que le marquage du champ d'entête Subject des messages. L'ajout des autres champs d'entête (notamment en cas de détection d'un spam) est effectué également lorsque l'action sélectionnée est Router.

Des champs d'entête SMTP sont ajoutés aux messages transitant par la plate-forme :

  • les spams :
    • X-Renater-Spam-Status: Yes
  • les publicités :
    • X-UCE-Status: YES
    • X-UCE-Type: PCE (professionnels) ou MCE (Divers) ou DCE (dirty=ne respectant pas les bonnes pratiques)
  • virus (si les virus ne sont pas rejetés) :
    • X-Renater-AvState
  • tous les mails :
    • X-Renater-ServerName: mxN.relay.renater.fr
    • X-Original-Source-IP: adresse IP du serveur ayant transmis le mail à la plate-forme antispam
    • X-Renater-SpamScore: valeur numérique indiquant le spam score
    • X-Renater-SpamCause: chaîne chiffrée donnant, une fois déchiffrée, des éléments sur le filtrage du mail. Vous pouvez déchiffrer les SpamCauses via notre portail de déchiffrement des SpamCauses.

Pour les sites ayant migré depuis la précédente plateforme antispam, des champs d'entête personnalisés pour vos domaines ont pu être importés dans la plate-forme (onglet Réglages, menu Avancés, sous-menu Règles).

Si vous devez définir des champs d'entête SMTP supplémentaires pour vos domaines de messagerie, deux possibilités s'offrent à vous :

  1. via le menu “Domaines/Gestion des entêtes” : la fonctionnalité est limité car :
    1. les variables utilisables sont limitées aux variables positionnées par la plateforme (${context.as.state}, ${context.as.score}, ${context.as.cause}).
    2. l'ajout des champs d'entête n'est pas conditionnel ; le champ d'entête est ajouté à tous les mails routés pour le domaine concerné.
  2. via les règles avancées (menu “Réglages/Avancés/Règles” : vous pouvez ajouter de nouvelles variables, de nouvelles règles pour l'ajout de champs d'entête de manière conditionnelle.
Dans la version 1.2.12 de la plateforme, le paramétrage des règles avancées est complexe. Adressez-vous à RENATER si vous souhaitez en modifier le paramétrage.

Il s'agit d'une alternative à l'interrogation d'un annuaire LDAP.

Pour activer ce mode de fonctionnement, configurez l'option “Choix du mode d’apprentissage” à “Vrai”. Par la suite, les paramétrages LDAP seront ignorés. Ce mode de fonctionnement n'est cependant pas activable sur un sous-ensemble de vos domaines raccordés ; s'il est activé il s'applique à tous les domaines de votre site raccordés au service antispam de RENATER.

Dans ce mode de fonctionnement, lorsqu'un mail arrive pour un destinataire non encore validé, un rejet temporaire 4.1.1 est émis, le temps de vérifier l'adresse cible. La réponse de votre serveur SMTP est gardée en cache : elle est revérifiée toutes les 24h et expire au bout de 31 jours.

Si vous activez ce mode de contrôle des adresses destinataires, vous devez vous assurer que votre relai SMTP a connaissance de tous les utilisateurs valides pour votre domaine. Dans le cas contraire, les serveurs de filtrage de RENATER pourraient rejeter des mails pour des destinataires non reconnus.
Le cache des adresses valides n'est pas partagé entre les serveurs de filtrage RENATER. Il est donc possible d'avoir jusqu'à quatre erreurs 4.1.1 le temps que chacun des quatre serveurs de filtrage initialisent leur cache.

Cette fonctionnalité n'est pas activée sur les serveurs de filtrage de RENATER. Il est donc inutile d'activer cette fonctionnalité depuis le portail d'administration.

Dans une prochaine version du portail d'administration l'option ne sera plus proposée.

Nous ne recommandons pas l'activation de cette fonctionnalité.

Le plus gros effet de bord du filtrage SPF est le possible rejet de mails envoyés par l'intermédiaire de relais mail non déclarés dans les DNS du domaine du sender. Petit exemple :

  1. Un société sert de passerelle mail à un utilisateur (service qui par exemple regroupe toutes les adresses mail en une seule interface de gestion) ;
  2. cette société transfert ensuite les mails collectés sur les serveurs POP à l'utilisateur en conservant le sender intact ;
  3. lors de l'arrivée sur la plateforme antispam RENATER, le filtre va vérifier que l'adresse IP du sender fait partie de la plage IP définie dans l'enregistrement SPF du DNS du domaine (par exemple free.fr) ;
  4. le filtre va constater que l'adresse IP du sender n'est pas déclaré au niveau SPF et va donc rejeter le mail entrant.

La page d'accueil, après authentification, est un tableau de bord des évènements de filtrage pour votre site, concernant la journée courante. La page est rafraichie automatiquement toutes les 30 secondes.

Quelques précisions sur les données affichées :

  • étapes protocolaires : permet de visualiser à quel niveau les messages sont rejetés (avant ou après réception du contenu du mail),
  • rejets par filtre : donne la répartition des causes de rejet. Vous devriez constater une majorité de rejet via RBL. Remarque : SPF et DKIM sont par défaut désactivés sur tous les domaines.
    • SPF : il s’agit du nombre de rejets SPF sur la totalité des champs SPF rencontré. (Et non sur le nombre de connexions totales).
    • RBL : il s’agit du nombre de rejets RBL sur le nombre de connections effectués pour chaque RCPTTO. (Ici sur l’ensemble du flux car à chaque connexion il y a une IP émetrices). Le refus RBL se faire pour chaque destinataire pour la connexion , on peut donc avoir plus de refus RBL que de connexions
  • actions sur le contenu : l'action “Marqués” correspond au marquage du sujet des mails, donc si vous n'avez pas défini de marquage des champs Subject, aucun message ne devrait être mentionné comme marqué.
  • classification des messages :
    • publicités : correspond aux mails commerciaux (identifiés par le champ d'entête SMTP X-UCE-Status),
    • spams : la catégorie de spam correspond au SpamScore calculé
      • 100-299 : Spam faible,
      • 300-499 : Spam moyen,
      • à partir de 500 : Spam haut
    • notifications : correspond à des rapports de non-remise SMTP (bounces).
RBL : les pages de statistiques ne prennent pas en compte les rejets de mails utilisant un RBL (Realtime Blackhole List). Or ces rejets en moyenne filtrent 56% des messages entrants et permettent de filtrer la majeure partie du flux de spams.

Des rapports statistiques sur des périodes plus larges peuvent être générés depuis l'onglet Statistiques.

Vous disposez de deux modes d'accès aux journaux de filtrage pour vos domaines raccordés :

  1. un moteur de recherche depuis le portail d'administration,
  2. un accès FTP aux logs ; voir cette documentation

La fonction de recherche dans les journaux est accessible depuis le menu Journaux/Filtrage.

Vous devez définir au moins 4 critères (par exemple : destinataire + date début + période + flux entrant) puis cliquez sur le bouton pour lancer la recherche.

L'opérateur de recherche est de type contient. Vous pouvez donc effectuer une recherche sur une sous-chaîne. Exemples : loic.smith@univ-x.fr ou loic.smith

Les trois dernières colonnes donnent des précisions sur :

  1. l'action effectuée sur le message (routé, bloqué)
  2. la cause du filtrage (ham, spam, publicité, liste blanche)
  3. un accès à l'entrée de log correspondante
Recherche sur un domaine : le moteur de recherche effectue des recherches sur tous les domaines associés à votre site. Si vous souhaitez faire une recherche sur un domaine en particulier, vous pouvez spécifier @mon.domaine dans le champ Destinataire.

Les journaux d'évènements (connexions sur le portail d'administration, modification des paramétrages) sont gardés 3 ans.

Les journaux de filtrage sont gardés 90 jours.

Les journaux syslog accessibles via le compte FTP qui vous a été alloué sont eux conservés 30 jours.

En tant qu'administrateur d'un site raccordé sur le service antispam, vous pouvez gérer de manière autonome les listes blanches et noires pour vos domaines.

Bonne pratique: l'usurpation d'un nom de domaine est très répandue. Il est donc important de ne pas mettre son propre domaine en liste blanche

La fonction de gestion des listes blanches et noires est accessible depuis l'onglet Réglages puis le menu Règles d'exceptions :

En revanche, la page de gestion des règles avancées n'est pas destinée à être modifiée :

Les règles d'exceptions de l'ancienne plate-forme antispam ont été intégrées ; elles font référence à des groupes de règles (voir le sous-menu Groupes) : l'opérateur est “Est dans groupe' et la colonne Règle fait référence à un identifiant de groupe de règles. Pour définir de nouvelles règles d'exception, vous pouvez : soit modifier le groupe concerné, s'il existe ; soit vous passer des groupes de règles en ajoutant une entrée.

Edition d'une règle : lorsque vous cliquez sur l'icône descendez à la ligne d'édition courante, en bas de page pour modifier les données, voir l'exemple ci-dessous :

Une règle d'exception peut s'appliquer sur :

  • l'adresse IP du serveur soumettant le mail : il s'agit d'une adresse IP (IPV4/IPV6). Vous ne pouvez pas saisir un nom DNS.
  • des éléments protocolaires (MAILFROM, RCPT TO),
    • le MAILFROM correspond au contenu du champ d'entête Return-Path d'un mail
  • des éléments du mail (From, To, Subject)

Une règle peut vérifier :

  • une valeur exacte,
  • une expression régulière (préfixée par pcre:), voir documentation ci-dessous.
Les règles d'exceptions ne s'appliquent pas pour les vérifications SPF et DKIM, si la vérification de ces tests est activée et que cela échoue, le message sera rejetté avant d'être passé au travers des règles de filtrage.
Impact des listes blanches : la mise en liste blanche implique la non application des autres règles de filtrage, sauf l'anti-virus.

Une règle d'exception porte sur l'ensemble des domaines du site par défaut, mais il également possible de restreindre la portée à un domaine du site.

Les expressions régulières utilisables dans les règles de listes blanches/noires (et à d'autres endroits dans l'interface d'administration) suivent le format PCRE (Perl Compatible Regular Expressions). Ce format d'expressions régulières est largement utilisé dans de nombreux logiciels et languages de programmation (Perl, PhP, Java, Apache, grep).

Sites de référence sur les PCRE :

Nous vous donnons ci-dessous quelques exemples d'expressions régulières utilisables dans le cadre de listes blanches/noires :

  • Exemple1: pcre:^support-.*@renater.fr$

Expression régulière prendra en compte ces exemples: “support-toto@renater.fr” ou “support-peu-importe@renater.fr”

  • Exemple2: pcre:.*@testdom\.fr$

Expression régulière prendra en compte ces exemples: “petitpapanoel@testdom.fr” ou “per_lin_pin_pin@testdom.fr”

  • Exemple3: pcre:.*@.*\.autredom.fr$

Expression régulière prendra en compte ces exemples: “coucou@cava.autredom.fr” ou “super@et.toi.autredom.fr”

  • Exemple4: pcre:^Increase your .*size$

Expression régulière prendra en compte ces exemples: “Increase your car size” ou “Increase your regexp size ”

Vous pouvez lancer une procédure de diagnostic de vos relais SMTP. Cette fonction vérifie :

  • que les champs MX de votre DNS référencent les bons serveurs de filtrage RENATER,
  • que vos serveurs relais acceptent les sessions SMTP en provenance des serveurs de filtrage RENATER,
  • que vos serveurs relais n'acceptent pas les sessions SMTP en provenance d'autres serveurs SMTP,

La fonction de diagnostics SMTP est accessible via l'onglet Domaines, menu Diagnostic.

Certaines modifications de la configuration font l'objet d'une gestion des conflits des accès et d'un processus de validation des modifications. Dans ce cas, un encart intitulé “Configuration en cours” apparait en haut à droite de l'interface web, voir cette copie d'écran :

Vous pouvez cliquer sur le lien “appliquer la configuration” pour valider vos modifications.

Pour prévenir des inconsistances, lors d'accès concurrents, une copie du contexte est copiée lors de l'édition par un utilisateur.

Rollback configuration : le retour à une version antérieure de la configuration ne vous est pas proposée sur le portail d'administration. Mais toutes les versions sont historisées et VadeRetro a la possibilité d'effectuer un retour à une version antérieure, à votre demande.
  • antispam/refdocs/interface_vrc.txt
  • Dernière modification : 2024/02/13 15:32
  • de damien.mascre@renater.fr