Sécurité
Sur la page Sécurité, vous pouvez activer des filtres antispam, l'analyse antivirus ou les listes noire et blanche pour protéger votre Synology MailPlus Server et ses clients.
Antispam
Configurez des filtres antispam et configurez l'apprentissage automatique pour une détection précise et flexible des courriers indésirables.
Pour activer le moteur antispam :
Modifiez les paramètres antispam généraux pour un contrôle flexible des courriers indésirables.
- Accédez à Antispam et cochez la case Activer le moteur antispam.
- Cliquez sur Paramètres de mise à jour pour définir un programme quotidien de téléchargement des dernières règles antispam. Vous pouvez également cliquer sur Mise à jour manuelle pour effectuer une mise à jour immédiate.
- Dans Contrôle des spams, vous trouverez les options suivantes :
- Ajouter ce qui suit aux objets de spam : ajoute un texte personnalisé à l'objet des messages indésirables pour en faciliter l'identification.
- Liste blanche automatique : si un utilisateur MailPlus a déjà répondu à une adresse e-mail externe, les scores des spams provenant de cette adresse diminuent de quatre points.
- Incorporer le spam dans une pièce jointe : signale le spam sous forme de pièce jointe incorporée dans un nouveau message. Vous pouvez choisir de signaler le spam En texte brut seulement pour éviter les bogues Web et les scripts malveillants.
- Spécifiez la durée de conservation des messages indésirables dans le champ Délai de suppression des spams (jours). Les messages indésirables sont automatiquement supprimés après le nombre de jours spécifié.
- Enregistrez les paramètres pour terminer la configuration de base. Reportez-vous à la section suivante pour créer des règles et des filtres personnalisés.
Pour configurer des paramètres antispam avancés :
Créez des filtres et définissez des règles pour personnaliser votre moteur antispam.
- Accédez à Antispam.
- Dans Contrôle des spams, cliquez sur Filtre antispam personnalisé pour configurer les deux types de filtres suivants :
- Filtre d'adresse : cliquez sur Créer pour ajouter des filtres spam ou non spam en fonction de l'adresse de l'expéditeur et du destinataire. Pour importer ou exporter les règles correspondantes à utiliser, cliquez sur Outils.
- Filtre de pièces jointes : cliquez sur Créer pour ajouter des filtres antispam en fonction du type de fichier en pièce jointe.
- Dans Contrôle des spams, cliquez sur Avancé pour modifier les paramètres suivants :
- Marquer en tant que spam si le score est supérieur à : sélectionnez un seuil de score de spam. Un message qui excède le seuil est considéré comme un spam.
- Règles de SpamAssassin : les règles de SpamAssassin sont des règles open source qui permettent de cibler des types spécifiques de spams. Cliquez sur le bouton pour importer ou exporter un fichier .cf contenant les règles de SpamAssassin.
- Filtre par mot-clé :
- cliquez sur Créer pour déterminer des mots-clés et des scores de spams correspondants (un score positif pour la probabilité d'un spam, négatif pour la non-probabilité d'un spam).
- Cochez la case dans la colonne Activer pour activer ou désactiver un filtre.
- Cliquez sur Paramètres de groupe pour regrouper plusieurs filtres par mots-clés afin d'activer ou de désactiver rapidement un groupe de filtres dans son ensemble.
- Sélectionnez le groupe dans le menu déroulant Groupe pour passer d'un groupe à l'autre.
- N'oubliez pas de cliquer sur le bouton Enregistrer chaque fois que vous apportez des modifications à un filtre ou à un groupe.
- Enregistrez les paramètres.
Pour activer l'apprentissage automatique des spams :
entraînez votre MailPlus Server à mieux détecter les spams grâce à des algorithmes spécialisés.
- Accédez à Antispam.
- Dans Contrôle des spams, cliquez sur Avancé > Apprentissage automatique.
- Activez l'option Apprentissage automatique.
- Spécifiez les paramètres de score suivants :
- Marquer en tant que spam si le score est supérieur à : le seuil de spam configuré dans Général s'affiche ici.
- Apprendre en tant que spam si le score est supérieur à : configurez le seuil de spam pour l'apprentissage automatique.
- Apprendre comme « non spam » si le score est inférieur à : configurez le seuil de non spam pour l'apprentissage automatique.
- Cochez la case Activer la signalisation des spams pour autoriser les utilisateurs clients à signaler les spams et les faux spams à partir de Synology MailPlus ou d'un client de messagerie tiers (par exemple, Microsoft Outlook).
- Transférer les spams vers : saisissez l'adresse e-mail à laquelle le spam signalé doit être envoyé.
- Transférer les faux spams vers : saisissez l'adresse e-mail à laquelle le faux spam signalé doit être envoyé.
- Cliquez sur Spam signalé pour vérifier tous les spams et les faux spams signalés et les gérer de la manière suivante :
- Afficher : cliquez pour afficher un message signalé en texte brut.
- Apprendre et Tout apprendre : cliquez pour entraîner le système à mieux détecter les spams.
- Supprimer : cliquez pour supprimer un message signalé incorrectement identifié par un utilisateur client.
- Message original : cliquez pour afficher un message signalé en texte brut ainsi que les en-têtes de message correspondantes.
- Cochez la case Configurer la planification quotidienne pour l'apprentissage des spams signalés afin de planifier les activités d'apprentissage.
- Enregistrez les paramètres.
Remarque :
- Pour détecter les spams de manière précise, activez la Liste blanche automatique une fois que vous avez activé l'option Apprentissage automatique depuis un certain temps.
- Vous pouvez télécharger les règles de SpamAssassin depuis ce site Web.
- Pour créer des règles SpamAssassin personnalisées, procédez comme suit :
- Reportez-vous à ce site Web pour créer des règles.
- Enregistrez les règles sous la forme d'un fichier .cf pour l'importation.
- Dans le champ Filtre antispam personnalisé, vous pouvez définir des règles à l'aide des modèles suivants :
Modèles |
Cibles |
admin@domain |
Tous les messages provenant de l'adresse e-mail [admin@domain] |
admin@* |
Tous les messages provenant du compte [admin] |
domain |
Tous les messages provenant du domaine [domain] |
*.com |
Tous les messages provenant du domaine qui se termine par [.com] |
ad*@* |
Tous les messages provenant du compte qui commence par [ad] |
- Saisissez les types de fichiers en utilisant des expressions régulières simples. Par exemple, si vous saisissez vb[es], les e-mails qui contiennent les types de fichiers vbe et vbs sont rejetés.
- Pour aider les utilisateurs clients à signaler des spams et des faux spams provenant d'un client de messagerie tiers (par exemple, Microsoft Outlook), procédez comme suit :
- Fournissez-leur les adresses e-mail spécifiées dans Transférer les spams vers et Transférer les faux spams vers.
- Demandez-leur d'utiliser la fonctionnalité intégrée du client pour transférer ces messages sous forme de pièce jointe aux adresses fournies. S'ils ne sont pas transférés sous forme de pièces jointes, les messages ne peuvent pas atteindre MailPlus Server.
- MailPlus Server a besoin de recevoir au moins 200 spams et non spams signalés pour appliquer les résultats de l'apprentissage automatique à la détection des spams.
Pour activer DNSBL :
DNSBL (DNS-based Blackhole List) permet de filtrer les spams publiés via le DNS (Domain Name Service) Internet en fonction des adresses IP d'ordinateurs et de réseaux.
- Accédez à Antispam.
- Dans DNSBL, cochez la case Activer la protection postscreen contre les spams.
- Cliquez sur Paramètres DNSBL pour gérer la liste des serveurs.
- Cliquez sur Créer. Saisissez un serveur DNSBL et le score correspondant.
- Cliquez sur Paramètres. Saisissez le Seuil du score DNSBL pour rejeter les services lorsque le score total d'un client de messagerie dépasse la valeur indiquée ici.
- Enregistrez les paramètres.
Pour activer la fonction de liste grise :
Lorsqu'un nouveau message est reçu, le système vérifie si la même adresse IP, le même expéditeur ou destinataire ont précédemment été enregistrés. Si aucun enregistrement n'est trouvé, le message sera considéré comme suspect et un message d'erreur sera envoyé à son expéditeur, demandant à l'expéditeur de renvoyer le message ultérieurement. Généralement, les expéditeurs normaux essaieront d'envoyer à nouveau les messages ultérieurement, tandis que la plupart des expéditeurs de spams renonceront tout simplement à les envoyer. La fonction Liste grise bloque les spams en fonction de la réaction des deux types d'expéditeurs.
- Accédez à Antispam.
- Dans Liste grise, cochez la case Activer la liste grise pour améliorer la détection des spams en rejetant temporairement les messages entrants suspects.
- Cliquez sur Paramètres de la liste grise pour appliquer différentes actions aux messages provenant d'adresses IP ou de domaines différents.
- Cliquez sur Créer.
- Spécifiez les critères de la règle :
- Source : saisissez une plage IP, par exemple « 192.168.0.0/24 ».
- Domaine : saisissez un nom de domaine, par exemple « exemple.com ». Le système vérifie les informations DNS de l'expéditeur et s'assure qu'elles correspondent au nom de domaine répertorié dans la liste grise.
- Sélectionnez une action :
- Liste noire : met immédiatement fin à la connexion.
- Liste grise : renvoie une erreur temporaire. Lorsque le client de messagerie renvoie le message après la période définie par la liste grise, celui-ci est accepté et le client de messagerie est ajouté à la liste blanche afin d'être reconnu à l'avenir.
- Liste blanche : accepte immédiatement le message.
- Cliquez sur Paramètres pour modifier l'action par défaut et la période définie par la liste grise.
- Enregistrez les paramètres.
Remarque :
- La fonction Liste grise peut provoquer un retard de livraison de certains e-mails.
- Une fois que le client de messagerie a réussi le test de la liste grise, tous les messages correspondants sont immédiatement livrés.
Antivirus
Exécutez un moteur antivirus pour détecter les virus dans tous les messages entrants ou sortants. Lorsqu'un message est infecté, le système le supprime ou le met en quarantaine et envoie des notifications aux destinataires concernés.
Pour activer le moteur antivirus :
- Accédez à Antivirus.
- Cochez la case Activer le moteur antivirus.
- Sélectionnez l'un des moteurs antivirus suivants :
- ClamAV : un moteur antivirus gratuit et open source
- McAfee : un moteur antivirus payant qui nécessite que le paquet Antivirus by McAfee (que vous pouvez acheter dans le Centre de paquets) soit exécuté sur le Synology NAS
- Cliquez sur Paramètres de mise à jour pour définir un programme quotidien de mise à jour des définitions de virus. Vous pouvez également cliquer sur Mise à jour manuelle pour effectuer une mise à jour immédiate.
- Si vous sélectionnez ClamAV comme moteur antivirus, envisagez les options supplémentaires suivantes :
- Utiliser la base de données Google Safe Browsing pour détecter des liens malveillants dans des e-mails
- Utiliser des bases de données tierces pour télécharger les définitions de virus correspondantes
- Enregistrez les paramètres.
Remarque :
- Pour garantir le bon fonctionnement des moteurs de sécurité, nous vous recommandons d'utiliser des modèles de Synology NAS équipés d'au moins 2 Go de RAM.
- L'exécution de l'analyse antivirus consomme environ 300 Mo de RAM.
- L'utilisation de la base de données Google Safe Browsing ou de bases de données tierces pour ClamAV peut consommer davantage de mémoire système.
- Si vous avez besoin d'ajuster la configuration du moteur McAfee, lancez Antivirus by McAfee pour modifier les paramètres correspondants.
Pour gérer des messages infectés :
Lorsque des messages infectés sont détectés, le système réagit en fonction des stratégies définies par l'utilisateur.
- Accédez à Antivirus.
- Déterminez comment traiter un message infecté dans le menu Action antivirus :
- Supprimer le message : supprime le message. Le message ne sera pas envoyé au destinataire prévu.
- Enregistrer en quarantaine : met le message en quarantaine. Le message ne sera pas envoyé au destinataire prévu. Cliquez sur Liste des quarantaines en bas de la page pour afficher et gérer les messages mis en quarantaine.
- Remettre quand même : permet au message d'atteindre le destinataire prévu.
- Pour marquer des messages infectés, cochez la case Ajouter un préfixe d'objet au message infecté et spécifiez le texte à afficher dans l'objet du message.
- Pour avertir le destinataire d'un message infecté lorsqu'il est supprimé ou mis en quarantaine, sélectionnez Envoyer des notifications aux destinataires après une suppression ou une mise en quarantaine de virus. Cliquez sur Paramètres du modèle pour définir le contenu de la notification.
- Enregistrez les paramètres.
Authentification
Appliquez des mécanismes d'authentification pour valider les e-mails entrants et réduire le nombre de spams. Lorsque l'authentification est activée, un e-mail entrant doit passer par tous les processus de vérification. Lorsque l'utilisateur ouvre un e-mail dont la vérification échoue, un message d'avertissement s'affiche pour rappeler à l'utilisateur que l'e-mail est suspect.
Pour activer la vérification SPF :
- Accédez à Authentification.
- Cochez la case Activer la vérification SPF pour vérifier l'identité de l'expéditeur et détecter les adresses d'expéditeur contrefaites.
- Cochez la case Rejeter les pannes souples SPF pour rejeter les e-mails dont le résultat de vérification indique une panne souple.
- Enregistrez les paramètres.
Pour activer la vérification DKIM :
- Accédez à Authentification.
- Cochez la case Activer la vérification DKIM sur les messages entrants pour vérifier la présence d'une signature DKIM valide sur les e-mails entrants. Les e-mails rejetés par DKIM sont déplacés vers le dossier Spam du client MailPlus et un message d'avertissement s'affiche lorsque les utilisateurs ouvrent ces e-mails.
- Sous Longueur minimale de la clé pour la vérification DKIM, sélectionnez une valeur dans le menu déroulant. Les e-mails dont les clés DKIM sont plus courtes que la valeur définie seront rejetés. Lorsque cette valeur est réduite, les e-mails avec des clés plus courtes sont en mesure de réussir l'étape de vérification. Ainsi, nous vous recommandons de définir une longueur de clé plus importante afin que les e-mails provenant de domaines moins sécurisés avec des clés plus courtes ne puissent pas réussir l'étape de vérification.
- Enregistrez les paramètres.
Pour activer la signature DKIM et créer une liste blanche DKIM :
- Accédez à Domaine et double-cliquez sur le domaine utilisé.
- Dans l'onglet Général, cliquez sur Avancé.
- Cochez la case Activer la signature DKIM sur les messages sortants, de sorte que tous les e-mails du domaine portent une signature DKIM.
- Accédez à Sécurité > Authentification > DKIM et cliquez sur Liste blanche pour ajouter un sous-réseau ou un hôte interne à la liste blanche. Les e-mails sortants envoyés depuis la source spécifiée via Synology MailPlus, un client de messagerie tiers ou le terminal porteront tous une signature DKIM.
- Enregistrez les paramètres.
Pour activer DMARC :
- Accédez à Authentification.
- Cochez la case Activer DMARC pour valider les domaines d'e-mail des expéditeurs. Les e-mails mis en quarantaine par DMARC sont déplacés vers le dossier Spam du client MailPlus et un message d'avertissement s'affiche lorsque les utilisateurs ouvrent ces e-mails.
- Mettez vos enregistrements DNS à jour à l'aide d'un enregistrement TXT afin que vos e-mails sortants puissent réussir l'étape d'authentification DMARC d'autres serveurs de messagerie. L'enregistrement TXT doit être ajouté de la manière suivante :
- Nom de l'enregistrement TXT : _dmarc.[votre domaine]
vous devez remplacer [votre domaine] par le nom de votre domaine. Exemple : _dmarc.exemple.com
- Valeur de l'enregistrement TXT : v=DMARC1; p=[Stratégie du domaine]; pct=[% de messages sujets au filtrage]; rua=[Rapport d'URI de rapports d'agrégats]
Exemple : v=DMARC1; p=quarantine; pct=20; rua=mailto:aggrep@exemple.com
Analyse de contenu
Configurez le système afin qu'il analyse les messages pour identifier tout contenu potentiellement dangereux.
Pour analyser les e-mails afin d'identifier le contenu dangereux :
- Accédez à Analyse de contenu.
- Cochez la case Activer l'analyse de contenu dangereux.
- Activez les options de votre choix ci-dessous :
- Rejeter les messages partiels : puisque ces messages ne peuvent pas être analysés correctement en raison des virus et du contenu inapproprié, ils seront rejetés pour éviter une infection potentielle par virus.
- Rejeter les corps des messages externes : les messages dont les corps sont stockés ailleurs sur Internet seront rejetés pour éviter tout virus lors du téléchargement des corps des messages.
- Mettre en évidence la fraude d'hameçonnage : les sections qui comprennent du contenu potentiel d'hameçonnage seront mises en surbrillance pour rappeler les risques aux utilisateurs.
- Convertir le HTML en texte brut : si les messages HTML contiennent des balises dangereuses, ils seront convertis en texte brut pour rendre les messages inoffensifs tout en vous permettant aux destinataires de lire le contenu du texte.
- Choisissez l'une des actions suivantes pour chaque balise :
- Rejeter : rejette les messages contenant la balise correspondante.
- Autoriser : délivre les messages contenant la balise correspondante.
- Rendre les balises inefficaces : délivre les messages contenant la balise correspondante après avoir rendu la balise inefficace pour que les destinataires puissent toujours voir le contenu.
- Enregistrez les paramètres.