Vous êtes iciUNIL > Centre informatique > Documentation > Exchange > Français > Mailcleaner

Mailcleaner : le filtre anti-virus et anti-spam

Qu'est-ce que Mailcleaner?

Mailcleaner, produit de la société Fastnet, est un système par lequel passent tous les messages électroniques à destination d'une boîte aux lettres de l'UNIL. Chaque message est analysé dans le but de déterminer s'il contient un virus, un contenu dangereux ou s'il s'agit d'un message indésirable (spam).

En cas de résultat positif de cette analyse, le message subit des modifications dont le marquage du sujet qui permet alors à chacun de le classer ou de le détruire aisément (avec un filtre automatique par exemple). Les messages reconnus comme spam peuvent de plus être mis en quarantaine, ne polluant ainsi plus du tout la boîte aux lettres personnelle.

Le filtre Mailcleaner ajoute un délai de 1 à 3 minutes dans l'acheminement d'un message. Ceci ne reflète pas la durée du processus de filtrage; c'est plutôt une conséquence d'un choix technique dans l'architecture du système, permettant de mieux absorber des bourrages momentanés.

Que fait le filtre anti-virus?

Lorsqu'un message arrive dans Mailcleaner, l'anti-virus effectue son analyse en trois étapes:

  1. Le nom des documents attachés est examiné. Si l'extension du nom indique un fichier potentiellement dangereux (.exe, .com, …etc), alors le document est supprimé du message et remplacé par une notice informant le destinataire de cette suppression. Les fichiers à doubles extensions (par exemple .exe.doc) sont également effacés du message.
  2. Le système analyse les documents attachés pour déterminer s'ils contiennent un virus. Si oui, les documents infectés sont effacés du message.
  3. MailCleaner analyse le contenu du corps du message pour s'assurer qu'il ne contient aucun élément potentiellement dangereux (par exemple du code html exploitant une faille de sécurité).

Si l'un des tests est positif, le système nettoie le message, indique ce nettoyage par une notice dans le corps du message et ajoute la marque {virus?} dans le sujet du message.

Que fait le filtre anti-spam?

Après son passage dans le filtre anti-virus, le message est envoyé au filtre anti-spam. Il est alors soumis à une batterie de tests heuristiques détectant des phrases ou des tournures souvent utilisées par les spammeurs. Le système examine par exemple:

  • la proportion de lettres majuscules;
  • la proportion de code HTML;
  • la présence de nombreuses adresses internet;
  • la présence d'adresse internet du domaine .com, .biz;
  • la fréquence de certains mots caractéristiques;
  • l'adresse de l'expéditeur (mailing list ou non).

Chaque test attribue une note au message. A la sortie, le message est considéré comme du spam si la somme des notes dépasse un certain seuil (≥ 5). Des lignes indiquant les résultats de ces tests sont ajoutées dans l'entête du message. Ces lignes sont reconnaissables par leur libellé "X-MailCleaner". Si le seuil est dépassé, il y trois options:

  1. La marque {spam?} est insérée dans le sujet. Ceci permet à chacun de détruire plus facilement ce type de message (éventuellement par un filtre automatique).
  2. Le système MailCleaner conserve le spam dans l'espace de quarantaine du destinataire; ce dernier pourra ensuite consulter cet espace.
  3. Le système détruit immédiatement ce qu'il considère comme du spam.

L'installation de Maiclleaner à l'UNIL propose par défaut la deuxième option ci-dessus; elle peut être changée via l'interface web https://mailc.unil.ch.

La mise en quarantaine

Plutôt que recevoir dans sa boîte aux lettres les messages marqués comme spam, il est possible d'indiquer au système qu'il doit les conserver en quarantaine. Seul un rapport de mise en quarantaine est envoyé. Les messages sont conservés 30 jours dans la quarantaine puis éliminés. Cette pratique est fortement recommandée.

Les messages mis en quarantaine peuvent être à tout moment consultés et éventuellement retirés de la quarantaine via l'interface web accessible à l'adresse https://mailc.unil.ch. Cette page est accessible depuis le réseau de l'UNIL ou à travers crypto.unil.ch depuis l'extérieur. Pour y accéder, il faut s'authentifier avec son nom d'utilisateur et mot de passe habituels (les mêmes que pour la messagerie). Dans la liste affichée des messages mis en quarantaine, le bouton  permet de "forcer le message", c'est-à-dire de demander à Mailcleaner de déposer tout de même le message dans sa boîte aux lettres. Il est également possible de demander l’analyse d’un message filtré par erreur ou simplement de consulter les raisons du filtrage .

Le filtre anti-spam peut-il se tromper?

Si les tests qu'effectue le filtre anti-spam étaient systématiquement efficaces, le problème du spam serait définitivement réglé. Dans la réalité, bien que le taux de succès soit élevé (plus de 95 %), il faut prendre des dispositions pour traiter les erreurs possibles du système qui sont de deux types:

Les "faux positifs"

C'est le cas où un message légitime est marqué à tort comme spam. Dans le cas où la quarantaine n'est pas activée, un tel message se trouve dans l'outil de messagerie, éventuellement dans un dossier où il a été déplacé avec les autres spams. Il ne faut donc pas oublier de consulter régulièrement le dossier dans lequel les spams sont automatiquement déplacés afin d'y déceler les éventuels faux positifs. De la même manière, si la quarantaine est activée, il faut consulter les rapports de quarantaine pour y détecter d'éventuels faux positifs et demander leur retrait de la quarantaine (voir ci-dessus).

Les "faux négatifs"

C'est le cas où un spam déjoue les filtres de Mailcleaner et parvient dans votre boîte aux lettres sans être marqué.

Afin d'améliorer l'efficacité de MailCleaner, il est utile de signaler ces erreurs en renvoyant ces messages aux adresses suivantes:

  • pour les faux positifs : error@mailcleaner.net (si le faux positif est en quarantaine, on peut simplement utiliser le bouton ).
  • pour les faux négatifs : spam@mailcleaner.net

Pour que l'analyse des erreurs puisse se faire correctement, il faut prendre garde à ce que les en-têtes des messages mal filtrés soient également envoyés. Un simple copier/coller ou un forward risque en effet de reformatter le message, le rendant inutilisable par l'équipe d'analyse de MailCleaner. Voici comment procéder avec divers outils de messagerie:

Webmail
Quand le message est affiché, sélectionner "Afficher: brut" en haut à droite de l'écran. Une nouvelle fenêtre s'ouvre alors avec les en-tête affichées.

Thunderbird
Quand le message est affiché, aller dans le menu Affichage --> En-têtes --> Complets, puis cliquer sur le bouton Transfert de la barre d'outils.

AppleMail
Quand le message est affiché, aller dans le menu Mail --> Préférences --> icône Présentation, puis dans la rubrique "Afficher le détail des en-têtes" choisir Tous.
Réexpédier le message, et ensuite rétablir les préférences d'affichage des en-têtes sur la valeur Par défaut.

Eudora
Ouvrir le message, cliquer sur le bouton "blahblahblah", puis cliquer sur le bouton Forward.

Outlook Express
Sélectionner le message et choisir dans le menu Message l'entrée Forward as Attachment (rediriger comme pièce jointe).

Outlook
Ouvrir le message puis, dans le menu Actions, choisir l'entrée Resend This Message ; acquiescer à l'avertissement apparaissant ensuite (comme quoi vous ne serez pas l'expéditeur apparent du message que vous allez envoyer) et modifier le champ de destinataire To: avec la bonne adresse.

Recherche:
 Go
 
rss/atom
Amphimax  -  CH-1015 Lausanne  -  Suisse  -  Tél. +41 21 692 22 11  -  Fax +41 21 692 22 05
Swiss University