SpamWars Épisode 4.0. Édition Entreprise Multi-domaines. Version Wraptor Laboratories

Transcription

1 Épisode 4.0 Édition Entreprise Multi-domaines Version

2 Copyright 1998, 2009,. Tous droits réservés. Les Programmes (qui incluent le logiciel ainsi que la documentation) contiennent des informations propriétés de ; elles sont fournies aux termes d'un accord de licence contenant des restrictions sur l'utilisation et la divulgation et sont aussi protégées par copyright, brevet et autre lois sur la propriété intellectuelle et industrielle. L'ingénierie inverse, le désassemblage ou la décompilation des programmes, excepté jusqu'au degré requis pour obtenir une interopérabilité avec d'autres logiciels créés indépendamment ou comme spécifié par la loi, sont interdits. Les informations contenues dans ce document sont susceptibles d'être modifiées sans préavis. Si vous trouvez une quelconque erreur dans les Programmes, merci de nous avertir en nous écrivant. ne garantit pas que cette documentation est sans erreur. Sauf si expressément permis dans votre accord de licence pour ces Programmes, aucune partie de ces Programmes ne peut être reproduite ou transmise sous n'importe quelle forme ou par n'importe quel moyen, électronique ou mécanique, dans tout but, sans la permission écrite de Wraptor Laboratories. Les programmes ne sont pas prévus pour une utilisation dans des applications dangereuse en soi. Il est de la responsabilité du concessionnaire de prendre toutes les mesures appropriées, sauvegarde, redondance, et toute autre mesure pour assurer une utilisation sûre de chaque application. Si les Programmes sont utilisés dans de tels buts, se dégage de toute responsabilité pour tout dommage causés par une telle utilisation des programmes. Wraptor est une marque déposée. Jeebop et Apilink sont des marques également déposées ou enregistrées de. D'autres noms dans ce document peuvent être des marques déposées par leurs propriétaires respectifs.

3 Envoyez-nous vos commentaires Version 4.0 attend vos commentaires et suggestions sur la qualité et l'utilité de ce document. Votre contribution est une part importante de l'information qui sera utilisée pour sa prochaine révision. Avez-vous trouvé des erreurs? L'information est-elle clairement présentée? Souhaitez-vous plus d'informations? Si oui, à quel endroit? Les exemples sont-ils corrects? Souhaitez-vous plus d'exemples? Quels aspects préférez-vous? Si vous trouvez des erreurs ou si vous avez des suggestions pour améliorer ce document, merci d'indiquer le titre et le chapitre, la section et le numéro de page. Vous pouvez nous envoyer vos commentaires via les supports suivants : Courrier électronique : support@spamwars.eu Fax : , à l'attention de : Groupe Plate-forme, Directeur du Développement Courrier postal : Groupe Plate-forme, Directeur du développement 251, Av. des Paluds ZI Les Paluds Aubagne Cedex FRANCE Si vous souhaitez une réponse, merci de nous préciser vos nom, adresse, numéro de téléphone et votre adresse de courrier électronique (facultatif). Si vous avez des problèmes avec le logiciel, merci d'envoyer un mail à support@spamwars.eu

4 Table des matières...2 Envoyez-nous vos commentaires...3 Préface...7 I. Présentation...8 I.1. Principe...8 I.2. Fonctionnement...8 I.3. Concepts et fonctionnalités...10 I.3.1. Règles...10 A. L'expéditeur...10 B. Le destinataire...11 C. L'état...11 I.3.2. L'utilisateur appartient à une liste de diffusion / Alias...11 A. Liste de diffusion...12 B. Alias...12 C. Groupe de diffusion indiquant un destinataire alias (type To:)...12 I.3.3. Des messages provenant des systèmes anti-spam utilisant la technique de l'authentification...12 I.3.4. Réponse automatique...12 I.3.5. L'expéditeur est un robot...13 A. Le robot utilise une adresse mail d'expéditeur qui existe...13 B. L'adresse d'expéditeur du robot n'existe pas...13 I.4. Serveur...13 I.4.1. Multi-domaines...14 I.4.2. Types de fonctionnement...15 I.4.3. Grey-listing SMTP...16 I.4.4. Service d'administration...16 I.4.5. Service POP...16 I.4.6. Service SMTP...17 I.4.7. Acheminement du courrier vers un serveur de messagerie (mode «proxy»)...17 I.4.8. Mode «autonome» (passerelle / local)...17 I.4.9. Utilisation d'un anti-virus...18 I Utilisation de SpamAssassin...18 I Services de maintenance...18 I Services de journalisation...19 I Répertoires...19 I.5. Méthodes d'enregistrement dans...20 I.5.1. Lien vers l'application d'enregistrement...20 I.5.2. Retour du mail d'enregistrement...21 I.6. Plugins...22 II. Installation...22 III. Administration de...24 III.1. Création d'un domaine...24 III.1.1. Paramètres généraux...26

5 III.1.2. Paramètres de réception du serveur SMTP...27 III.1.3. Paramètres du serveur mail de destination...28 III.1.4. Paramètres de l'annuaire LDAP...29 III.2. Création d'un utilisateur...31 III.3. Connexion à l'administration...35 III.3.1. Connexion en mode utilisateur...35 III.3.2. Mode administrateur...36 III.4. Règles...38 III.4.1. Filtres...39 A. Expéditeur...39 B. État...39 C. Période ou date...40 III.4.2. Liste des règles...40 III.4.3. Actions...41 A. Ajouter...41 B. Supprimer...42 C. Black-lister...43 D. White-lister...43 E. Importer...43 F. Exporter...44 III.5. Filtres spéciaux...44 III.6. Courrier en attente...46 III.7. Réponses automatiques...49 III.7.1. Notification d'absence...49 A. Édition...49 B. Test du message...51 III.7.2. Messages d'enregistrement...51 III.8. Préférences...54 III.9. Configuration du domaine...58 III.9.1. A propos de...58 III.9.2. Licence...58 III.9.3. Vérification de compte / serveur SMTP...58 III.9.4. Fichiers journaux...58 III.9.5. Test de règle...59 III.9.6. Mails en attente d'envoi (SMTP)...60 III.9.7. Mails en erreur en «quarantaine»...60 III.9.8. Mail de rapport...60 III.9.9. Configuration du domaine...60 III.10. Configuration du serveur...61 III Mises à jour...61 III Liste grise SMTP...61 III Gestion des tâches automatiques...62 III Configuration du serveur...63 III Sauvegarde de la base de données...66 III Configurer le relevé des s par POP...66 III.11. Déconnexion...67 IV. Utilisation...67 IV.1. Mode «passerelle SMTP»...67 IV.1.1. Mode «proxy SMTP» (Exchange)...67 IV.1.2. Mode «standalone»...69

6 IV.2. Paramétrage du client mail (mode «local» seulement)...69 IV.3. Mail d'enregistrement...73 IV.4. Utilisation du serveur SMTP...73 IV.5. Administration par mail...74 IV.6. Plugins...75

7 Préface est une protection anti-spam efficace à 100%, sans aucune perte de messages, grâce à une méthode de vérification de la relation entre vous et vos contacts de courrier électronique. Cette technique s'applique aussi bien aux expéditeurs normaux qu'aux envois automatiques de types newsletter ou listes de diffusion auxquelles vous êtes abonnés Pour contrer les «spammeurs», utilise la technologie d'authentification de l'expéditeur. Celui-ci doit être connu du système, pour que son message soit acheminé au destinataire. La première fois qu'un expéditeur envoie un mail à une adresse électronique protégée par, il lui est demandé de confirmer son envoi par une réponse très simple : très simple pour un utilisateur humain, mais impossible à réaliser pour un robot «spammeur»! Chaque expéditeur confirmé est ainsi rajouté à la liste blanche des expéditeurs autorisés. s'installe sur un ordinateur du réseau local pour la protection de comptes mail d'une entreprise ou sur l'ordinateur individuel pour une utilisation personnelle. nécessite un accès internet pour communiquer avec les serveurs de messagerie sur lesquels se trouvent les comptes à protéger mais ne nécessite pas d'être visible sur internet (pas de modification/paramétrage du firewall). Avantages/ Atouts Comparé aux solutions classiques anti-spam basées sur l'analyse du contenu des messages, assure une protection 100% efficace et surtout garantit de n'éliminer aucun courrier utile en le considérant, de façon erronée, comme indésirable. Par rapport aux solutions utilisant une technologie similaire d'authentification de l'expéditeur, se distingue par le fait d'être autonome : il ne nécessite pas d'être hébergé extérieurement ou d'être installé sur un serveur web accessible par internet, ce qui lui permet de ne pas mettre en péril la confidentialité des courriers. peut gérer un très grand nombre d'utilisateurs, et chaque utilisateur peut protéger une ou plusieurs adresses de messagerie électronique. Le module d'administration de permet à chaque utilisateur de gérer de façon simple, à partir d'un navigateur, ses listes d'expéditeurs et ses comptes mail protégés par ainsi que l'accès aux messages bloqués. Un niveau supérieur d'administration, réservé aux administrateurs système, permet une gestion globale de tous les utilisateurs. propose aussi d'autres fonctionnalités utiles, comme l'envoi des messages d'absence ou la duplication du courrier filtré vers des adresses mail supplémentaires ne nécessite aucune maintenance, est totalement personnalisable et permet une surveillance facile de l'activité, par des envois périodiques, à chaque utilisateur, des statistiques de fonctionnement de ses comptes mail. Le module s'exécute au dessus du moteur d'intégration et de supervision Jeebop, qui permet l'accès à une large palette d'utilisations diverses de la gestion des flux et des données en général. Entreprise 4.0 est particulièrement adapté aux petites et moyennes entreprises disposant d'un réseau local et de plusieurs boîtes aux lettres, ainsi qu'aux fournisseurs désirant gérer un grand nombre de clients.

8 4.0 I. Présentation I.1. Principe Le principe de repose sur l'authentification de l'expéditeur : lorsqu'un expéditeur envoi pour la première fois un mail à un utilisateur, demande à l'expéditeur de s'authentifier en envoyant un contenant un code sous forme d'une image illisible par un robot, ou en se connectant sur le serveur en utilisant le protocole HTTP (si le serveur est accessible). De cette manière, seuls les expéditeurs humains peuvent s'authentifier. Une fois cette procédure effectuée, tous les messages de l'expéditeur sont acheminés vers l'utilisateur. Un utilisateur est défini par un compte mail local sur le serveur, auquel est associé un (ou plusieurs) compte(s) mail distant à traiter, qui sont les adresses mails publiques utilisées pour le courrier de l'utilisateur. Ce compte distant est périodiquement lu, les mails s'y trouvant sont acheminés vers le serveur, puis effacés du serveur POP distant, et enfin traités par pour être finalement soit bloqués, soit délivrés sur le serveur mail embarqué dans ou redirigés vers une adresse mail distante. I.2. Fonctionnement Le système garde trois listes d'expéditeurs et de règles qui servent à décider du sort des messages mails entrants : La liste blanche : elle contient les expéditeurs autorisés. Cette liste est constituée et enrichie par les confirmations d'envoi des correspondants. L'utilisateur peut la modifier en ajoutant ou retranchant manuellement des adresses et en important le contenu du carnet d'adresse de son client de courrier électronique. En option, la liste blanche peut également être enrichie avec les destinataires des messages qu'il envoie. La liste grise : elle contient les expéditeurs dont le système attend la confirmation d'envoi. Les entrées de cette liste seront placés soit dans la liste blanche (si le correspondant renvoi le code de confirmation, ou si l'utilisateur modifie la règle manuellement) soit dans la liste noire, la liste des expéditeurs indésirables (si le correspondant n'a pas répondu, ou si l'utilisateur modifie la règle manuellement), La liste noire : elle contient la liste des expéditeurs indésirables. Elle est enrichie automatiquement avec les expéditeurs qui ne confirment pas leurs premier envoi, ou bien dont l'adresse est fausse, ou encore manuellement par l'utilisateur. 8 / 77

9 4.0 : schéma fonctionnel Au premier mail reçu d'un expéditeur inconnu, une notification d'enregistrement dans lui est envoyé, contenant un code à retourner par mail. L'expéditeur est alors passé en liste grise, ses mails sont sauvés temporairement, et ainsi ne sont pas acheminés vers l'utilisateur, sans toutefois être perdus pour autant. A réception du code (CAPTCHA, pour «Completely Automated Public Turing test to Tell Computers and Humans Apart» : code envoyé sous forme d'une image illisible par un robot), l'expéditeur est passé en liste blanche, les mails en attente sont acheminés vers l'utilisateur (le compte local), tous ses futurs mails seront acheminés vers l'utilisateur, et l'expéditeur reçoit une notification d'enregistrement dans. Si, au bout d'un certain temps, l'expéditeur n'a pas retourné le code (délai paramétrable, par défaut de 15 jours) il est automatiquement passé en liste noire, ses futurs mails seront bloqués par. Si le code retourné n'est pas bon, un autre code lui est envoyé. Au bout d'un certain nombre d'envois de codes (valeur paramétrable, par défaut 7 tentatives) n'essaye plus de contacter l'expéditeur, et le passe automatiquement en liste noire. Notez que si toutefois l'expéditeur renvoie le bon code même après le délai imparti, sa réponse sera prise en compte, et il sera passé en liste blanche. Si l'adresse mail de l'expéditeur est manquante, mauvaise (n'est pas une adresse mail de type utilisateur@domaine) ou fausse (l'envoi du courrier contenant le code d'enregistrement à l'expéditeur génère une erreur par le serveur SMTP concerné indiquant que l'adresse n'existe pas - ce qui est le cas le plus courant pour un spam), il est automatiquement passé en liste noire. Il existe donc trois types de listes : les listes blanches (mails transférés), les listes noires (mails bloqués) et les listes grises (en attente de retour du code : mails bloqués mais conservés dans une base de données). Mis à part les erreurs de type «SMTP» (mauvaise adresse) qui concernent tout le monde, chaque utilisateur possède sa propre liste de règles. 9 / 77

10 4.0 Notez que tous les mails des expéditeurs en liste noire sont néanmoins conservés, mais durant un temps beaucoup plus court (paramétrable, 24 heures par défaut). Les définitions des utilisateurs, et les règles sont stockées dans la base de données du serveur ; par défaut, il s'agit d'une base de données HsqlDB, base 100 % pure Java embarquée dans le serveur. Toutefois, il est possible d'utiliser une autre base de données. I.3. Concepts et fonctionnalités Un mail est constitué d'une enveloppe, d'un texte de message, et éventuellement de pièces jointes. L'enveloppe est la partie contenant toutes les informations nécessaires à la délivrance du courrier : les adresses des expéditeurs, destinataires, mais aussi le sujet etc. Chaque entrée de cette enveloppe est appelée une en-tête (header en anglais). C'est sur l'analyse des en-têtes de l'enveloppe que s'appuie pour déterminer si le mail est un spam ou non. Lorsqu'un mail entrant est analysé par, celui-ci tente de trouver dans le dictionnaire du serveur une règle se rapportant au couple expéditeur / destinataire. Si une règle est trouvée pour ce couple, Il utilise alors l'état de cette règle pour décider que faire du mail. Si aucune règle n'est trouvée, une nouvelle règle est créée (expéditeur en liste grise pour ce destinataire) et un mail d'enregistrement est émis vers l'expéditeur. Cette technologie est aussi appelée challengeresponse, car elle consiste à attendre la réponse à un «challenge» posé à l'expéditeur («êtesvous humain?»). I.3.1. Règles Une règle est donc définie par un expéditeur, un destinataire, et un état. A. L'expéditeur L'expéditeur peut être une adresse mail (cas le plus général - par exemple jules.cesar@mon_domaine.com), un nom de domaine (par exemple mon_domaine.com), auquel cas tous les mails de ce nom de domaine sont régis par cette règle, ou une parties d'adresse (début ou fin), définie par le caractère «*» : par exemple, albert.poireaux* pour toutes les adresses mail commençants par albert.poireaux. Notez que recherche en priorité une règle s'appliquant à l'adresse mail complète, avant de chercher celle s'appliquant au domaine. Ceci permet par exemple d'autoriser un domaine (wraptor.fr par exemple) tout en excluant certaines adresses mail (hector.lefacheux@wraptor.fr par exemple), ou à l'inverse d'autoriser une adresse mon.compte@spam.com et d'exclure toutes les autres adresses du domaine spam.com. 10 / 77

11 4.0 B. Le destinataire Le destinataire peut être une adresse mail, ou «*» pour une adresse générale, qui indique tous les destinataires de. Par exemple, lorsqu'un mail est reçu d'un expéditeur faux (utilisation d'une adresse inexistante : un envoi du mail d'enregistrement à cette adresse a provoqué un retour «mailer-daemon» indiquant que l'adresse n'existe pas, ce qui est le cas le plus fréquent chez les spammeurs) l'expéditeur est passé en liste noire pour tout le monde. Notez que seuls un administrateur ou un superviseur sont autorisés à ajouter par l'administration une règle générale. C. L'état Il existe trois états pour une règle : accepté, refusé ou en attente. Ces états sont signalés dans l'administration par une ou plusieurs icônes : L'icône signifie que l'expéditeur est accepté (liste blanche). Dans ce cas l'icône peut être suivie de : qui indique que l'état est du à un retour du code qui indique que l'état est du à l'envoi d'un mail à cet expéditeur en utilisant le SMTP local (voir plus bas) qui indique que l'état est du à l'importation de l'adresse de l'expéditeur depuis un carnet d'adresses qui indique que la règle est de type «To:» (s'appuie sur l'en-tête To: et non From: du mail - voir plus bas) pas d'icône : la règle a été ajouté / modifiée par l'administration. L'icône signifie que l'expéditeur est en liste grise : ses mails sont stockés et est en attente d'un retour de code. L'icône signifie que l'expéditeur est refusé (liste noire) car il n'a pas répondu en renvoyant le code au bout du temps imparti. L'icône signifie que l'expéditeur est refusé car il a été ajouté / modifiée dans la liste des règles par l'administration. L'icône signifie que l'expéditeur est refusé car son adresse est fausse (l'adresse n'existe pas). De plus, si l'icône est suivie d'une étoile d'adresse mail., cela indique que la règle porte sur une partie I.3.2. Filtres Spéciaux Il est possible de définir des filtres spéciaux, notés, qui sont des règles s'appuyant sur n'importe quelle en-tête du mail (voir plus bas). Dans ce cas, les seuls statuts possibles sont (autorisé) ou (refusé). Notez que seuls un administrateur ou un superviseur sont autorisés à ajouter par l'administration un filtre spécial. I.3.3. Plugin Il est possible d'utiliser des plugins, notés, qui sont des règles définies programmatiquement par un module Java, et qui peuvent s'appuyer sur un ensemble complexe de relation entre 11 / 77

12 4.0 différentes en-têtes. Un plugin fourni permet par exemple de vérifier si le correspondant est présent dans un annuaire d'entreprise (LDAP). Le statut du mai lest défini par le plugin lui-même, qui peut placer en fonction de sa programmation un expéditeur dans une liste (noire ou blanche), ou pas. Si le plugin renvoi un état indeterminé, les règles classiques s'appliquent alors. Notez que seuls un administrateur ou un superviseur sont autorisés à ajouter par l'administration un filtre de type plugin. I.3.4. Durée de vie des mails Les mails reçus d'expéditeurs en liste noire sont conservés un certain temps (par défaut 24 heures, délai paramétrable par l'utilisateur) avant d'être effacés. Ceci permet comme on le verra plus bas de ne pas perdre d'éventuels mails envoyés par des robots (achat en ligne, billets d'avion etc). Par conséquent, la base de données contient par défaut les mails en liste noire de moins de 24 heures, ainsi que les mails en liste grise de moins de 15 jours. Les mails en attentes sont stockés sur le disque du serveur, dans des fichiers se trouvant dans le répertoire MAIL/quarantine. La base de données contient, outre les règles et définitions des utilisateurs, les en-têtes des mails en attente, ceci pour accélérer l'administration. Par conséquent, plus la durée de vie des mails en liste noire est importante, plus ceux-ci occuperont de l'espace disque sur le serveur. I.3.5. L'utilisateur appartient à une liste de diffusion / Alias Si un mail est reçu sans que le destinataire n'apparaisse dans les champs «To:» ou «Cc:» du mail, c'est qu'il s'agit d'une réception due à une appartenance à une liste de diffusion ou a un alias. Par exemple, l'adresse mail sales@wraptor.fr est une liste de diffusion qui distribue le courrier à tous les commerciaux de. A. Liste de diffusion Pour éviter que l'expéditeur ne reçoive autant de demande d'enregistrement qu'il n'y a de membres dans cette liste de diffusion, une seule demande est envoyée lorsque l'expéditeur est passé en liste grise. Lorsqu'il répond en renvoyant le code, il est passé en liste blanche pour tous les utilisateurs ayant reçu un courrier de sa part. B. Alias Certains serveurs mails du commerce permettent de définir des alias personnels. Par exemple, il est possible de définir un alias gil.francoeurdacier@wraptor.fr pour l'adresse jules.petibidon@wraptor.fr Pour spécifier à que les deux adresses sont strictement équivalentes (particulièrement pour les réponses automatiques, voir plus bas), il existe un champ «Alias» dans la page de définition des utilisateurs permettant de spécifier une ou plusieurs adresses mail alias (séparées par des virgules). 12 / 77

13 4.0 C. Groupe de diffusion indiquant un destinataire alias (type To:) Dans certains groupes de diffusion, le nom de l'expéditeur est indiqué dans l'en-tête «From», et les en-têtes «To» ou «ReplyTo:» contiennent une adresse mail relative au groupe de diffusion. Pour ne pas avoir à créer autant de règles qu'il existe d'utilisateurs dans ce groupe de diffusion, il est possible de créer une règle qui examine le champ du destinataire du courrier. Par exemple, lorsque le membre du groupe de diffusion openjfx.dev.java.net émet des mails à tous les membres de la liste de diffusion, le nom du destinataire sera ; il nous faut alors créer une règle de type «To:» en spécifiant dans le champ expéditeur. Cette règle permettra d'accepter n'importe quel expéditeur envoyant du courrier à cet alias. Attention : ce type de règle est à utiliser avec prudence, après avoir analysé les en-têtes de la liste de diffusion. I.3.6. Des messages provenant des systèmes anti-spam utilisant la technique de l'authentification Des messages générés automatiquement par des systèmes, qui comme demandent une confirmation d'envoi, peuvent produire un effet de ping-pong d'envoi de demandes d'authentification. Pour éviter ces situations, sait reconnaître les demandes de confirmation provenant d'autres serveurs et permet aussi de rajouter des signatures de reconnaissance pour des produit tiers, à travers la vérification du contenu de n'importe quelle en-tête des courriers. Une liste supplémentaire de règles générales permet de spécifier des signatures à vérifier dans les diverses entêtes du message, et en cas de succès, d'acheminer directement ce type de courrier. est pré-configuré avec les signatures des produits anti-spam les plus répandus. I.3.7. Réponse automatique propose une fonctionnalité de réponse automatique, en cas d'absence du destinataire par exemple, aux expéditeurs de la liste blanche uniquement. Cette fonctionnalité peut être activée ou désactivée par l'utilisateur, et l'administrateur de peut autoriser ou non l'édition de message personnalisé pour l'utilisateur. Si le mail reçu est adressé à une liste de diffusion à laquelle appartient l'utilisateur, la réponse automatique ne sera pas envoyée. S'il est adressé à un alias du destinataire, alors il sera envoyé. Rappelons qu'un utilisateur peut définir des alias dans la définition de son compte. Dans tous les cas il ne sera jamais envoyé plus d'une notification automatique d'absence par jour à un même expéditeur. I.3.8. L'expéditeur est un robot Il peut arriver qu'un utilisateur reçoive du courrier venant d'un robot (programme) qui n'est cependant pas un spam, comme lors d'un achat en ligne, une inscription à une liste de diffusion, etc. Dans ce cas, l'expéditeur ne répondra bien évidemment jamais à la demande d'enregistrement qui lui est envoyée. Dans tous les cas, le seul moyen de lire du courrier venant de cet expéditeur est 13 / 77

14 4.0 de créer / modifier la règle le concernant pour le placer en liste blanche. Deux cas de figure peuvent se présenter : A. Le robot utilise une adresse mail d'expéditeur qui existe Le mail sera conservé le temps pour la règle de passer en liste noire (par défaut deux semaines) plus le temps d'effacer les mails des expéditeurs en liste noire (par défaut 24 heures). Si l'envoi d'un mail à cette adresse provoque l'envoi d'un nouveau courrier (du genre «n'utilisez pas cette adresse pour envoyer du mail») ne contenant bien évidemment pas le code attendu, un autre code sera envoyé, et ce jusqu'à ce que le nombre d' d'enregistrement envoyés atteigne la propriété RETRY_SEND_CAPTCHA (7 par défaut) soit atteint (pour éviter de boucler indéfiniment). Aucune autre tentative d'enregistrement n'aura plus lieu alors. B. L'adresse d'expéditeur du robot n'existe pas La règle est passée en liste noire pour tout le monde ( ), les mails reçus depuis cette adresse sont conservés pendant la période définie par la propriété BLACK_MAIL_TTL (par défaut 24 heures). Il est donc possible de lire les mails stockés pendant ce délai dans la base de données en créant une nouvelle règle pour l'utilisateur, ayant cet expéditeur dans la liste blanche. I.4. Serveur Le serveur s'appuie sur un serveur Jeebop qui embarque un serveur mail complet (POP et SMTP) pour la gestion des mails, une base de données pour le dictionnaire des règles et des utilisateurs, un serveur HTTP pour l'administration (et éventuellement l'enregistrement, si celui-ci est accessible de l'extérieur), un planificateur de tâches pour le lancement de tâches à intervalles réguliers (pour passer les règles de la liste grise à la liste noire au bout d'un certain temps, par exemple), et une application Jeebop qui réalise les traitements : lecture des mails, analyse des entêtes (expéditeur / destinataire) et acheminement. Le serveur Jeebop est 100 % pur Java, et nécessite l'utilisation de Java Runtime Environment (JRE) version 6 (livrée avec la distribution ). Par conséquent, peut fonctionner sur tout type de plateforme matérielle supportant une JVM 6 (Windows, Mac OS X, Unix, Linux). peut nécessiter également (suivant le mode d'installation voir plus bas) l'utilisation d'un compte mail pour l'administration et l'enregistrement des expéditeurs. Le serveur peut être installé derrière un firewall, dans une zone réseau qui n'est pas nécessairement dans une DMZ. La seule condition est que le serveur puisse lire et envoyer des mails (sic). I.4.1. Multi-domaines La grande nouveauté de la version 4.0 de est la gestion du multi-domaines. En effet, il est possible maintenant de gérer plusieurs domaines différents, appelés domaines. Définir plusieurs domaines équivaut à utiliser plusieurs serveurs 2.0 dans la même machine virtuelle. Ceci permet par exemple à un hébergeur de n'installer qu'une seule instance de sur un seul serveur pour gérer plusieurs clients. Chaque domaine a son propre mode de fonctionnement (voir plus bas), ses propres paramètres, ses propres utilisateurs et règles. 14 / 77

15 4.0 Quatre niveaux d'authentification sont donc définis pour un serveur : 1. Utilisateur simple : il ne peut que gérer ses propres règles, sans intervenir sur les règles générales. La couleur du fond dans l'administration est bleue. 2. Superviseur : C'est un utilisateur, qui a la capacité d'administrer les règles générales, en plus des siennes. Dans ce mode, la couleur du fond dans l'administration est rose. 3. Administrateur : C'est un utilisateur comme le superviseur, mais il peut également modifier les paramètres de son domaine. C'est l'équivalent de l'administrateur des versions précédentes. Il n'a pas l'autorisation de modifier les paramètres généraux du serveur, ni bien sûr ceux des autres domaines. Dans ce mode, la couleur du fond dans l'administration est rouge. 4. Root : c'est le super-administrateur, il a tous les droits. Il n'est pas défini comme un utilisateur. C'est par exemple le seul qui puisse créer des domaines, modifier les paramètres généraux du serveur (n de port SMTP et POP par exemple). Dans ce mode, la couleur du fond dans l'administration est noire. Pour créer un nouveau domaine, il est nécessaire de disposer d'un identifiant de domaine, qui vous est attribué par votre fournisseur. Chaque identifiant de domaine dispose de sa propre licence. I.4.2. Types de fonctionnement dispose de plusieurs types de fonctionnement, tant pour la lecture des mails que pour leurs acheminement, pour s'adapter parfaitement à votre configuration. Si vous hébergez votre serveur de mail, il peut être utilisé en frontal SMTP, et dans ce cas les mails traités sont reçus directement par le serveur SMTP de (mode «passerelle» SMTP), ou relever des mails sur des boîtes aux lettres distantes hébergées chez un tiers (mode «distant»), à la manière de votre client mail, en utilisant les protocoles POP ou IMAP (les deux modes «passerelle» et «distant» peuvent cohabiter sur le même serveur). Si vous possédez un serveur de courrier, comme Exchange par exemple, achemine les mails «sains» vers ce serveur (mode «proxy»). Sinon, les mails sont stockés localement sur le serveur, et sont accessibles à travers le protocole POP par n'importe quel client mail (mode «local»). 15 / 77

16 4.0 Les différents modes de 16 / 77

17 4.0 I.4.3. Grey-listing SMTP Si est utilisé en frontal SMTP, il est possible de mettre en place la fonctionnalité de grey-listing SMTP : cette méthode consiste à refuser de façon temporaire (en émettant un code retour SMTP d'erreur temporaire 4xx au niveau du protocole SMTP), pendant 5 mn par exemple, les envois de mail d'un triplet adresse-ip / expéditeur / destinataire inconnu dans la base de données. Un serveur SMTP normal (pas un programme de spamming donc) ré-émettra le mail qui sera accepté une fois le délai écoulé. Ensuite, et ensuite seulement, le processus traditionnel de est lancé (recherche dans la base SW, émission d'une demande d'enregistrement etc...). Une exception cependant : les expéditeurs sont recherchés en priorité dans la liste blanche, si bien qu'un correspondant inscrit dans la liste blanche de ne sera pas pénalisé par cette barrière, car son mail parviendra immédiatement. Cette fonctionnalité de grey-listing ne s'applique bien évidemment qu'aux utilisateurs. Les mails destinés à des adresses non-protégées par ne seront pas impactés par ce mécanisme. I.4.4. Service d'administration L'administration de nécessite que le navigateur de l'utilisateur ai accès au serveur par le protocole HTTP. Si l'administration du serveur n'est pas accessible (l'utilisateur est localisé en dehors du réseau interne de l'entreprise), il est possible d'accéder à un minimum de commandes d'administration en envoyant des mails à l'adresse utilisée par pour enregistrer les expéditeurs. Ces commandes permettent par exemple de mettre en pause le filtrage pendant un certain temps, et donc TOUS les mails sont acheminés sans utiliser les mécanismes de filtrage, de demander un rapport des derniers mails arrivés, ainsi que de passer une adresse en liste blanche. Voir plus bas la liste des commandes et leurs syntaxe respectives. I.4.5. Service POP L'utilisation des services d'envoi et réception du courrier nécessite bien évidemment l'accès réseau du poste client de l'utilisateur vers le serveur. Suivant le mode choisi, les mails en liste blanche sont soit envoyés au serveur de messagerie (Exchange par exemple), soit stockés sur le serveur POP local embarqué dans, et / ou éventuellement transférés vers une adresse mail définie par l'utilisateur. Par exemple, si le serveur n'est pas accessible pour tous les utilisateurs, il est conseillé d'utiliser le transfert de mail (les mails «sains» peuvent être automatiquement transférés vers une autre adresse quelconque, définie par l'utilisateur voir plus bas). 17 / 77

18 4.0 I.4.6. Service SMTP Le serveur embarque un serveur SMTP. Suivant de mode d'installation, celui-ci reçoit les mails de l'extérieur (si vous hébergez votre serveur de messagerie). Dans tous les cas, il permet également d'envoyer les mails, en s'appuyant éventuellement sur un serveur SMTP externe, défini au moment de l'installation de. L'utilisation du serveur SMTP par les logiciels d'envoi de mail (Exchange, ou les clients mails comme Outlook, Thundirbird...) permet en outre de placer automatiquement en liste blanche les destinataires de mails envoyés par un utilisateur, ainsi que de rappeler à un utilisateur qu'il a son mode réponse automatique enclenché, en lui envoyant un mail. Il est possible de définir plusieurs ports d'écoute pour le serveur SMTP de. Ceci permet par exemple de contourner l'interdiction par certains FAI d'envoyer du mail vers un autre serveur SMTP que le leur (Orange, par exemple). I.4.7. Acheminement du courrier vers un serveur de messagerie (mode «proxy») Si vous possédez déjà un serveur de messagerie (type Exchange par exemple), le courrier «sain» sera acheminé vers ce serveur par le protocole SMTP. Dans ce cas de figure, il est possible d'activer un mécanisme (désactivé par défaut) qui permet de créer dynamiquement les utilisateurs à réception d'un mail les concernant. Dans le cas où la création dynamique d'utilisateur est activée, suivant que vous possédiez ou non un serveur d'authentification (Active Directory, ou autre annuaire LDAP), deux types de fonctionnements sont alors possibles : vous possédez un annuaire LDAP, et à réception d'un mail destiné à votre nom de domaine vérifie que l'adresse du destinataire existe bien dans l'annuaire LDAP. Si ce n'est pas le cas, le mail est rejeté par le serveur SMTP de (avec le code «utilisateur inconnu»). Sinon, un utilisateur dont le nom est la partie de l'adresse mail avant le «@» est créé (par exemple, à réception d'un mail pour jules.petibidon@mycompany.com, l'utilisateur «Jules Armand Petibidon» possédant cette adresse est trouvé dans l'annuaire LDAP, et un utilisateur jules.petibidon est créé. Pour utiliser les services d'administration de, l'utilisateur devra se connecter en utilisant comme nom «jules.petibidon», et comme mot de passe son mot de passe enregistré dans l'annuaire LDAP. vous ne possédez pas d'annuaire, et à réception d'un mail destiné à votre nom de domaine créé un utilisateur dont le nom est la partie de l'adresse mail avant le «@». Un mot de passe est alors généré. Dans tous les cas, un mail est envoyé à cet utilisateur, lui indiquant son nom et mot de passe, ainsi que l'url de connexion à l'administration. Il est également possible de définir des alias au niveau du serveur SMTP : ils s'agit d'adresse s qui diffusent les mails reçus à un ou plusieurs utilisateurs, ou à des adresses distantes (dans ce cas, tous les mails sont transférés, même les spams). I.4.8. Mode «autonome» (passerelle / local) Si vous hébergez votre serveur de messagerie, et que vous ne possédez pas d'autre serveur 18 / 77

19 4.0 (type Exchange), votre serveur fonctionne alors en tant que serveur mail autonome. Dans ce cas de figure, il est nécessaire de créer chaque utilisateur par l'administration web (voir plus bas). I.4.9. Utilisation d'un anti-virus La plupart des anti-virus installés sous les systèmes Windows permettent de façon transparente d'analyser les mails sortant (par le protocole SMTP) et entrant (par le protocole POP ou IMAP). Comme utilise ces protocoles, aucune modification n'est nécessaire pour continuer à être protégé. Si aucun anti-virus n'est installé sur votre système (sur des plate-formes Unix/Linux par exemple, ou sur un serveur Windows 2003), il est possible d'installer ClamAV, un anti-virus Open Source (GPL) très facilement installable, fonctionnant aussi bien sous Windows que sous Linux, et possédant toutes les fonctionnalités usuelles de mise à jour automatiques, ainsi qu'un mode client/ serveur (le programme serveur se nomme clamd). Lors de l'installation, il vous faudra cocher la case «Utiliser l'antivirus ClamAV», et indiquer le nom de la machine sur laquelle tourne le processus clamd («localhost» s'il tourne sur la même machine que ), ainsi que le port TCP d'entrée de clamd. Tous les mails ayant passés l'anti-spam (ceux dont l'expéditeur se trouve dans la liste blanche, donc) seront analysés par ClamAV : s'ils contiennent un virus, ils seront déposés dans le répertoire quarantine/utilisateur/viruses du répertoire MAIL de, et un mail de notification sera envoyé au destinataire. Les mails envoyés par les utilisateurs seront également analysés, et s'ils contiennent un virus, un mail d'avertissement sera retourné à l'utilisateur. Les mails en attente ne sont pas examinés par l'antivirus, car il est inutile de dépenser de la ressource pour des fichiers qui seront soit effacés, soit analysés par la suite. Si vous disposez d'un antivirus sur votre machine, vous devrez peut-être définir une zone d'exclusion pour le répertoire MAIL. Pour plus d'information concernant ClamAV, reportez-vous sur le site I Utilisation de SpamAssassin Il est possible d'utiliser l'anti-spam libre SpamAssassin pour effectuer du scoring sur chaque mail entrant, afin de lui attribuer un score. Ce score permettra par la suite de classer dans le mail de rapport de les mails en attente en fonction de leur score obtenu par SpamAssassin. L'utilisation de SpamAssassin se fait à travers spamd, le daemon livré avec la suite SpamAssassin. Vous devez définir dans les paramètres de configuration du serveur le nom de la machine hébergeant spamd (localhost généralement) ainsi que le port utilisé par spamd (783 par défaut). SpamAssassin doit être installé et configuré sur la machine, et le démon spamd doit être lancé pour pouvoir être utilisé par. Pour plus d'informations concernant SapmAssassin, reportez-vous sur le site I Services de maintenance 19 / 77

20 4.0 Les services de maintenance de sont assurés par le scheduler interne du serveur, qui déclenche périodiquement les tâches suivantes : Passe les mails de liste grise en liste noire à l'expiration du délai spécifié par la propriété GREY_TTL (par défaut 15 jours). Ce service est déclenché toute les heures. Efface de la base de données les mails passés en liste noire depuis plus longtemps que le délai spécifié par la propriété BLACK_MAIL_TTL (par défaut 24 heures). Ce service est déclenché toute les heures. Effectue des opérations de maintenance, notamment efface les fichiers temporaires à 23h00 tous les jours. Émet un rapport journalier à chaque utilisateur (si celui-ci le désire) à 18h00 tous les jours Efface les règles de la liste noire si aucun mail n'est reçu de cette adresse à l'expiration du délai spécifié par la propriété BLACK_TTL (par défaut 45 jours). Il est possible de modifier la fréquence ainsi que la date de déclenchement de chaque tâche de maintenance en utilisant l'administration. I Services de journalisation Le serveur embarque également un service de journalisation, qui permet d'enregistrer l'activité du serveur dans un fichier spamwars.log, situé dans le répertoire MAIL/logs du serveur. Ce fichier est journalisé tous les jours (rotation), ce qui permet de garder toute l'activité du serveur (un fichier par jour). Seuls les 30 derniers jours sont conservés, les plus anciens sont effacés. Les fichiers journaux sont contrôlés par le fichier de configuration log4j.properties qui se trouve lui-même dans le répertoire classes de la distribution. I Répertoires Par défaut, est installé dans le répertoire C:\Program Files\ sur les systèmes Windows, dans le répertoire /opt/spamwars sur les autres systèmes si le compte «root» est utilisé, dans un répertoire spamwars du répertoire $HOME de l'utilisateur sinon. Ce répertoire contient (entre autres) un répertoire MAIL qui contient quatre sous-répertoires : users contient les mails des messageries locales. Il contient autant de sous-répertoires que de domaines définis, chacun contenant autant de sous-répertoires que d'utilisateurs définis dans chaque domaine. quarantine contient les mails en attente de chaque utilisateur. Il contient autant de sousrépertoires que de domaines définis, chacun contenant autant de sousrépertoires que d'utilisateurs définis dans chaque domaine. Si l'anti-virus ClamAV est utilisé, chaque répertoire d'utilisateur contient en outre un répertoire «viruses» où sont déposés les mails contenant des virus. smtp contient les mails en cours d'expédition. C'est un répertoire de travail, qui ne doit pas se remplir anormalement (une fois un mail expédié, il est effacé) logs contient les journaux système Il est possible de déplacer le répertoire MAIL (sur une autre partition disposant de plus de place, par exemple) en modifiant le paramètre Répertoire de travail dans la configuration du serveur (voir plus bas). 20 / 77

21 4.0 I.5. Méthodes d'enregistrement dans L'enregistrement dans peut se faire de deux façons : soit en cliquant sur un lien menant à l'application d'enregistrement, soit en renvoyant le mail d'enregistrement en saisissant au début (ou à la fin) du message le code affiché. I.5.1. Lien vers l'application d'enregistrement On considère en général qu'il est plus ergonomique de saisir un code dans un formulaire que dans une page de texte (un corps de mail par exemple). C'est pourquoi fourni une application accessible par le WEB, à l'instar de l'administration, qui permet à un expéditeur de saisir un code. Si le code est correct, l'application passe en liste blanche la règle correspondante, et les mails sont acheminés. Cette application est accessible sur le serveur Entreprise par le contexte /swregister, son URL est du type où représente la machine sur laquelle est installée, 8080 le port HTTP du serveur WEB embarqué dans (Tomcat). Bien évidemment, cette URL doit être accessible depuis internet (firewall, routeur...) Un cas très fréquent est l'utilisation d'un serveur WEB Apache et du module proxy, qui permet de rediriger une URL vers un autre serveur. Par exemple, dans la configuration d'apache du serveur on trouvera les lignes suivantes : ProxyRequests Off ProxyPass /swregister/ ProxyPassReverse /swregister/ L'URL d'enregistrement sera donc : Pour bénéficier de cette fonctionnalité, il faut spécifier cet URL dans le paramètre URL d'enregistrement des paramètres généraux du domaine (voir plus bas). Notez qu'il vous est possible d'utiliser le service d'enregistrement fourni par nos serveurs. L'URL à spécifier est alors : Bien évidemment, cette page d'enregistrement n'est pas paramétrable, et est aux couleurs de la société. Le mail envoyé doit contenir les balises [reg-url] et [/reg-url] entourant le texte de l'url (par exemple : «Veuillez cliquer ici»). Le message système tient compte du mode d'enregistrement défini, mais si vous voulez personnaliser votre message d'enregistrement, ces balises doivent être présente. Reportez-vous au chapitre Réponses Automatiques. La page d'enregistrement fournie par défaut est la suivante : 21 / 77

22 4.0 L'application se trouve dans repository/apps//webregister. Il est possible de personnaliser cette page en modifiant le code HTML inclus dans les pages JSP. Il est prévu également une page user_registration.nojsp qui peut être copiée en user_registration_mydom_id.jsp et qui sera utilisée en lieu et place de la page par défaut, où MYDOM_ID est la partie située à droite du inclus dans l'identifiant de domaine. I.5.2. Retour du mail d'enregistrement S'il vous est impossible d'accéder à l'application d'enregistrement, ou si vous préférez que vos correspondants s'enregistrent en renvoyant le mail d'enregistrement complété, il vous suffit de ne pas renseigner le paramètre URL d'enregistrement des paramètres généraux du domaine. Le code contenu dans le mail d'enregistrement est formé de cinq caractères séparés par un nombre aléatoire d'espaces. Pour pouvoir être interprété, le mail retourné doit contenir le code sans espaces, c'est pourquoi il faut impérativement saisir le code : renvoyer le mail d'enregistrement sans avoir taper le code ne suffit pas (fort heureusement!). Il est possible de remplacer le code par une image qui sera incluse en pièce jointe dans le mail d'enregistrement en spécifiant la préférence «use-img-captcha» (groupe «*», valeur «true»). Gardez à l'esprit cependant que le mail généré est plus lourd (10 ko, contre 4 ko pour un captcha 22 / 77

23 4.0 «texte»), et donc consommera plus de bande passante réseau. I.6. Plugins Il est possible de définir des plugins qui seront utilisés pour définir si un expéditeur est en liste noire, blanche ou grise. Ces plugins sont des classes Java qui peuvent être utilisées directement par. Si un plugin défini un expéditeur en liste grise, alors la base de règles de la base de données est utilisée. Ce mécanisme permet d'étendre à l'infini les règles de, par exemple en s'appuyant sur un annuaire LDAP de l'entreprise, ou une autre base de données... Reportez-vous au chapitre Plugins et en fin de document pour de plus amples explications. II. Installation s'installe via un assistant de paramétrage graphique : la distribution est contenue dans un seul fichier : spamwars-v40-windows.exe pour les plateformes Windows spamwars-v40-macosx.command pour les plateformes Max OS X spamwars-v40-linux.bin pour les plateformes Linux spamwars-v40-solaris.bin pour les plateformes Solaris spamwars-v40-unix.bin pour toutes les plateformes Unix/Linux. Cette distribution ne contient pas la JRE 6 de Sun, celle-ci doit donc être préalablement installée sur la machine par vos soins. Pour plus d'information, reportez-vous sur le site Apple : date1.html Pour plus de détail, reportez-vous au guide d'installation. Une fois le serveur démarré, un navigateur Web est lancé, pointant sur la page d'accueil de : 23 / 77

24 4.0 et une boîte de dialogue signale la fin de la procédure d'installation. En cliquant sur le premier lien «Administration» on arrive sur la page de l'administration : 24 / 77

25 4.0 Une fois connecté en super-administrateur (par les nom et mot de passe définis à l'installation), vous arrivez sur l'écran : A ce stade, vous ne pouvez que modifier la configuration du serveur, et vous devez définir un premier domaine. III. Administration de L'administration WEB permet d'effectuer toutes les opérations d'administration du serveur ainsi que des domaines. Elle permet en outre à chaque utilisateur de maintenir son compte sans intervention d'un administrateur. III.1. Création d'un domaine La première étape après l'installation du serveur 4.0 est de créer un domaine. Pour cela, cliquez sur l'entrée «Configuration des domaines». 25 / 77

26 4.0 Vous avez alors le choix entre ajouter un nouveau domaine, ou importer un domaine existant depuis une version précédente de : Si vous cliquez sur Importer, vous devez spécifier l'identifiant de domaine tel qu'il vous a été transmis par votre fournisseur, ainsi que le fichier server.xml du serveur à importer et une sauvegarde de la base de données de ce même serveur : 26 / 77

27 4.0 Dans le cas contraire, cliquez sur Ajouter pour créer un nouveau domaine. III.1.1. Paramètres généraux Vous devez alors renseigner impérativement au moins les trois Paramètres généraux suivants : 1. Identifiant de domaine : c'est un identifiant unique qui vous est attribué par votre fournisseur. Pour plus de détail, adressez-vous à votre revendeur. 2. Mode passerelle SMTP : si l'option Non est cochée, seuls les mails relevés depuis des comptes POP distants seront traités. Si l'option Oui est cochée, les mails arrivant sur le port SMTP du serveur seront traités. Dans ce cas, il faut en outre renseigner le champ Nom de domaine (plusieurs noms de domaines équivalents sont acceptés, séparés par des virgules) 3. Adresse d'enregistrement : c'est l'adresse utilisée pour envoyer les mails d'enregistrement. Si le mode passerelle SMTP est activé, il s'agit d'une adresse interne du serveur. Sinon, il doit s'agir d'une adresse existante, dont vous paramétrerez l'accès au serveur POP plus tard. 27 / 77

28 4.0 Les autres paramètres sont : URL d'enregistrement : c'est l'url qui permet d'accéder au service d'enregistrement (voir chapitre I.5) URL d'administration : c'est l'url qui permet d'accéder à l'administration de, et qui est utilisée dans les rapports journaliers. III.1.2. Paramètres de réception du serveur SMTP Vous pouvez modifier les paramètres de réception du serveur SMTP pour ce domaine en cliquant sur Paramètres de réception du serveur SMTP pour faire apparaître les champs correspondants. Signification des paramètres : Taille maximum des messages : permet de limiter la taille maximum des message reçus (0 = pas de limite) n'est utilisé que si le mode «passerelle SMTP» est activé. Comportement sur réception de mail pour utilisateur inconnu : lorsqu'un mail reçu est adressé à un utilisateur inconnu de, celui-ci peut adopter un des trois comportements suivants : Bounce : le mail est accepté par le serveur SMTP, puis un mail de type «mailer-daemon» est renvoyé à l'expéditeur signifiant que le message n'a pu être délivré car l'adresse n'existe pas (comportement par défaut) Black-Hole : le mail est accepté par le serveur SMTP, mais aucun mail n'est renvoyé à l'expéditeur c'est l'option «trou noir», plus agressive envers les spammeurs. L'inconvénient est que les «véritables» expéditeurs ne seront pas avertis s'ils ont fait une erreur de saisie en envoyant le mail. Fast-Fail : le mail n'est pas accepté par le serveur SMTP, une erreur SMTP «550 User does not exist.» est envoyée au client SMTP. Relais SMTP : permet de spécifier une ou plusieurs adresses IP (séparées par des virgules) autorisées à utiliser le serveur SMTP comme relais pour envoyer du courrier vers des adresses mail hors du (des) domaines gérés par la domaine. Adresse(s) autorisée(s) au relais SMTP : il est possible de définir des adresses mail autorisées à utiliser le serveur SMTP comme relais pour envoyer du courrier vers des 28 / 77

29 4.0 adresses mail hors du (des) domaines gérés par la domaine. Attention : cette option est a utiliser avec prudence. Utilisateur / Mot de passe SMTP d'envoi : il est possible de définir un utilisateur et mot de passe SMTP qui permet d'utiliser le serveur SMTP comme relais pour envoyer du courrier vers des adresses mail hors du (des) domaines gérés par la domaine. III.1.3. Paramètres du serveur mail de destination Si vous souhaitez que les mails acceptés soient envoyés vers un autre serveur mail (votre serveur Exchange, par exemple), vous devez renseigner les Paramètres du serveur mail de destination : cliquez sur le nom du paragraphe pour faire apparaître les champs, cochez l'option Mode proxy SMTP à Oui, et renseignez les champs suivants : Signification des paramètres : Nom de domaine du serveur mail de destination : il s'agit des noms de domaines définis sur le serveur mail de destination. Si vous avez renseigné tous les noms de domaines gérés par le domaine, vous pouvez ne pas renseigner ces champs. Nom du serveur mail de destination : nom ou adresse IP de la machine hébergeant votre serveur mail (s'il est sur la même machine que, vous devez spécifier «localhost») Numéro de port du serveur mail de destination : le port SMTP sur lequel écoute votre serveur mail. S'il est sur la même machine, il ne peut utiliser le même port que (25 par défaut) Timeout de communication du serveur mail de destination : si votre serveur est sur une machine distante, la communication risque d'être plus lente en fonction de la qualité de votre connexion internet, et vous devrez augmenter ce timeout. Acheminer les mails d'utilisateurs inconnus : par défaut, les mails adressé à des utilisateurs inconnus sont acheminés vers le serveur mail. Vous pouvez choisir d'ignorer ces mails (auquel cas tous les utilisateurs doivent être définis dans ). Dans ce cas, le paramètre Comportement sur réception de mail pour utilisateur inconnu déterminera le comportement de. 29 / 77

30 4.0 III.1.4. Paramètres de l'annuaire LDAP Si dans ce cas vous souhaitez en plus utiliser votre annuaire LDAP (Active Directory par exemple), remplissez les champs relatifs au paramétrage de la connexion avec votre LDAP en cliquant sur Paramètres de l'annuaire LDAP. 30 / 77

31 4.0 Cliquez sur Ajouter pour valider l'opération. Si vous avez défini un domaine qui n'utilise pas le mode passerelle SMTP, vous devez à ce moment définir les paramètres d'accès au compte défini comme adresse d'enregistrement : Cliquez sur l'adresse pour accéder à l'écran de paramétrage du compte mail d'enregistrement : Une fois les paramètres renseignés, cliquez sur Ajouter pour valider l'opération. 31 / 77

32 4.0 Note : après la création du premier domaine, vous devez vous déconnecter puis vous reconnecter de l'administration pour pouvoir accéder à l'ensemble des fonctionnalités de l'administration. En effet, vous devez choisir à chaque connexion sur quel domaine vous voulez vous connecter. Vous remarquerez au passage que l'écran de connexion affiche désormais la liste des domaines (un seul dans notre cas) : Vous noterez qu'une fois connecté, le nom du domaine apparaît sur toutes les pages de l'administration, en haut à droite de l'écran. Attention : après la création d'un domaine, il est fortement conseillé de tester tous les paramètres. Notamment, de vérifier si l'envoi de mail est correctement défini (serveur SMTP, adresse d'enregistrement etc...). Reportez-vous au chapitre Configuration du serveur pour plus de détail. Par exemple, si l'envoi de mail échoue (à cause d'une erreur de paramétrage par exemple), les demandes d'enregistrement ne pourront être envoyées, et les règles peuvent passer en liste noire automatiquement! III.2. Création d'un utilisateur Si la création dynamique d'utilisateurs est désactivée, ce qui est le cas par défaut (préférence «disable-dynamic-user» mise à «true» - voir plus bas le chapitre sur les préférences), seul l'administrateur peut créer des utilisateurs. A réception d'un courrier concernant une adresse n'appartenant pas à un utilisateur, si le domaine est en mode «proxy», le courrier est transmis au serveur mail de destination sans aucun traitement ; sinon une notification «mailer-daemon» est envoyée à l'expéditeur pour lui signaler que cette adresse n'existe pas. Pour créer un compte, il suffit de définir au minimum un nom d'utilisateur, un mot de passe, et pour le mode «distant» (les mails sont relevés sur un compte distant par POP/IMAP) les paramètres permettant de lire le compte mail distant. Dans ce cas, il est judicieux d'utiliser le même nom d'utilisateur que ceux du mail distant (par exemple, pour une adresse mail distante jules.petibidon@wanadoo.fr, on choisira jules.petibidon comme nom d'utilisateur ). Cliquez sur l'onglet Utilisateurs : 32 / 77

33 4.0 Vous pouvez alors importer des utilisateurs depuis un fichier texte existant (voir plus bas), soit ajouter un utilisateur. Cliquez sur Ajouter pour ajouter un utilisateur : L'utilisateur doit être unique dans le domaine, et représente l'adresse si le domaine est en mode passerelle SMTP. Dans ce cas, si le domaine défini plusieurs noms de domaine (macompagnie.com et macompagnie.fr par exemple), les adresses 33 / 77

34 4.0 et seront équivalentes, et ne consommeront qu'une seule licence. Si vous êtes en mode passerelle SMTP, la case à cocher «est un alias» vous permet de décider si cette adresse est en fait un alias sur un autre utilisateur ou un groupe d'utilisateur. Dans ce cas, cliquez sur suivant directement, car les autres paramètres ne concernent pas les alias. Le contenu du champ «Nom» sera utilisé pour personnaliser les messages d'enregistrement ou de notification automatique d'absence. Vous pouvez également attribuer des privilèges à cet utilisateur (voir plus haut). Le champ «Adresse de redirection» permet de définir une adresse mail extérieure vers laquelle seront transférés tous les mails qui arrivent à l'utilisateur. S'il est renseigné, la case à cocher «Utiliser la boîte locale» permet en outre de stocker les mails sur le serveur POP local. S'il est laissé vide, la boîte locale sera automatiquement utilisée. 34 / 77

35 4.0 En cliquant sur le bouton «Suivant >>>», si fonctionne en mode «passerelle», le nouvel utilisateur est créé. Sinon, en mode «distant», nous arrivons à la page de définition du compte mail à relever : Un fois les paramètres renseignés, nous cliquons sur le bouton «Créer», qui nous amène à la page suivante : 35 / 77

36 4.0 Les paramètres indiqués vont nous permettre de paramétrer notre client mail pour lire notre nouveau compte local (voir plus bas). Une fois le compte créé, un mail de bienvenue est envoyé dans la boîte locale. Cette fonctionnalité peut être désactivée par la préférence «disable-create-account-notification» mise à «true» pour le groupe «*» (voir préférences). Il est possible par la suite d'ajouter d'autres comptes mail distant à un utilisateur, chaque compte mail consommant une licence. Il est possible également de désactiver le traitement pour une adresse , qui donc ne consommera pas de licence (si celle-ci ne reçoit pas beaucoup de spam, par exemple). A tout moment l'utilisateur peut modifier les paramètres de son compte. Note : seul l'administrateur peut modifier les privilèges d'un utilisateur. III.3. Connexion à l'administration Pour toute connexion il est demandé de se signer sur la première page de l'administration de en donnant soit un nom d'utilisateur et son mot de passe, soit le nom et mot de passe du super-administrateur tel qu'il a été défini lors de l'installation. III.3.1. Connexion en mode utilisateur Une fois la phase de login passée, nous arrivons à cet écran : La liste des comptes distants est affichée (un seul dans notre exemple), l'icône indique que le compte est actif, donc que les mails sont relevés pour cette adresse. A partir de maintenant, la navigation dans l'administration se fait par les onglets en haut de page. Une aide en ligne est disponible à travers un lien «Aide» en haut à droite sur chaque page. En cliquant sur l'icône de l'enveloppe, on est dirigé vers la page des courriers en attente. En cliquant sur les icônes des règles de la page d'index, on est dirigé vers la page des règles, et 36 / 77

37 4.0 le filtre est positionné sur l'état choisi. Première lecture : notez qu'à la première lecture d'un compte mail distant, tous les mails présents dans la boîte sont acheminés vers la boîte locale (et donc ensuite effacés de la boîte distante), sans qu'aucune règle ne soit établie (comportement identique au mode «pause»). Ceci permet d'accepter tous les mails restant dans la boîte, sans pour autant définir de règle en liste blanche, si des mails de spam étaient présents à ce moment. Notez que si l'utilisateur est déclaré administrateur, un lien en bas de chaque page «Cliquez ici pour passer en mode administrateur» lui permet de passer en mode administrateur. Astuce : en utilisant la préférence «Se connecter en administrateur automatiquement», l'utilisateur passe automatiquement en mode administrateur dès le début sa connexion (voir plus bas le chapitre sur les préférences). III.3.2. Mode administrateur En utilisant un compte administrateur, on accède à la totalité des paramétrages du domaine : ceux de chaque utilisateur, mais aussi les réglages généraux, comme les paramètres du domaine, les propriétés générales, les règles définies pour tout le monde, les règles de filtrage spéciales, l'édition des messages d'enregistrement etc. L'icône ainsi que le fond rouge indiquent que vous êtes en mode administrateur. En cliquant dessus vous repassez en mode utilisateur. 37 / 77

38 4.0 En cliquant sur l'onglet «Utilisateurs», on accède à l'écran suivant : En cliquant sur le nom de l'utilisateur, on accède à la définition de ses paramètres, et en cliquant sur les autres liens, on accède respectivement aux règles et propriétés définies pour cet utilisateur. Note : si la préférence «display-mails-for-admin» est mise à «true» pour le groupe «*», il est également possible d'accéder au courrier en attente de chaque utilisateur. L'état de chaque utilisateur est notifié par une icône : utilisateur normal, protégé par (consomme une licence) utilisateur en pause : est désactivé pour cet utilisateur, tous les s sont acheminés (ne consomme pas de licence) utilisateur sans licence : le serveur ne dispose plus de licence pour gérer cet utilisateur, vous devriez obtenir plus de licence Un bouton «Importer» permet d'importer des utilisateurs définis dans un fichier texte qu'on télécharge sur le serveur. Ceci permet de créer en une seule manipulation un grand nombre d'utilisateurs. Le format du fichier d'import est de la forme suivante : Pour le mode passerelle / proxy utilisant LDAP : Pour le mode passerelle : user:password:name:[forward[: user:password:host[:port:proto:mbox]]] Pour le mode distant : 38 / 77

39 4.0 user:password:forward: user:password:host[:port[:proto[:mbox]]] Définition des champs : user : nom de l'utilisateur password : mot de passe (en clair) de l'utilisateur name : nom de l'utilisateur forward : adresse(s) de redirection uniquement pour le mode distant : adresse à relever user : utilisateur du compte mail distant password : mot de passe du compte mail distant host : nom du serveur POP / IMAP du compte mail distant port (facultatif) : numéro du port du serveur ; -1 = port par défaut du protocole utilisé (POP3) proto (facultatif) : protocole utilisé pour accéder au compte mail distant (défaut : POP) mbox (facultatif) : nom de la boîte aux lettres utilisée (défaut : INBOX) Pour le mode passerelle SMTP, le fichier peut également contenir des alias : _alias_:alias_name:member[,member2] Définition des champs : _alias_ : indique au fichier que l'entrée est un alias alias_name : nom de l'alias member : le(s) nom(s) de(s) l'utilisateur(s). Plusieurs utilisateurs peuvent être défini pour un même alias (ils sont alors séparés par une virgule), ce qui permet de définir un groupe. Notez enfin que si un nom de membre comporte il est alors considéré comme étant une adresse externe. Les mails reçus à cette alias sont systématiquement envoyés à cette adresse mail externe. Lorsque l'authentification LDAP est activée, un bouton «LDAP import» permet d'importer des utilisateur depuis l'annuaire. III.4. Règles L'administration permet d'effectuer toutes opérations sur ces règles. Dans la partie supérieure de la page se trouvent les filtres que l'on peux appliquer, au milieu de la page la liste des règles (avec éventuellement des liens de pagination), en bas des boutons permettant tout type d'action sur les règles. Des cases à cocher en début de ligne permettent de spécifier les règles qui seront concernées par les boutons en bas de page. Les règles ayant comme destinataire «*» (tout le monde) ne peuvent être sélectionnées (sauf par l'administrateur). Le passage de la souris sur une ligne de la liste provoque un changement de la couleur de fond de la ligne, ainsi que le fait de sélectionner une case à cocher. 39 / 77

40 4.0 III.4.1. Filtres Le filtrage des règles porte sur l'expéditeur, l'état et la date de réception du mail. On peut combiner ces règles pour effectuer une recherche plus précise. Le bouton «Rafraîchir» permet d'effectuer une nouvelle recherche. A. Expéditeur La recherche porte sur une partie du nom (par exemple, «free» renverra tous les expéditeurs qui comportent l'occurrence free dans leur adresse. Il est possible de préciser plusieurs mots. S'ils commencent par &, l'opérateur ET sera utilisé pour la recherche, sinon l'opérateur OU sera utilisé par défaut. B. État Lorsqu'aucune case à cocher n'est sélectionnée, la recherche porte sur tous les états sauf les adresses refusées pour cause de mauvaise adresse ( ), car il est exceptionnel d'avoir à rechercher une telle adresse. Il peut arriver néanmoins de recevoir un mail d'un robot qui n'est pas du spam, comme une mailing-liste par exemple, et qui utilise une adresse inexistante comme adresse d'expéditeur. Pour autoriser la réception de tels mails, il faudra ajouter une règle pour l'utilisateur. Sinon, la recherche porte sur les cases à cocher sélectionnée, en utilisant un opérateur OU si plusieurs cases sont sélectionnées. 40 / 77

41 4.0 Cas particulier : en mode administrateur, si aucune case à cocher n'est sélectionnée, les mauvaises adresse ( ) s'affiche également. C. Période ou date Il est possible de préciser une période de recherche pour les règles : ou une date précise au format jj/mm/aaaa. III.4.2. Liste des règles La liste des règles comporte les colonnes suivante : 1. une case à cocher permet de sélectionner cette règle pour utiliser ensuite un des boutons d'administration en bas de page supprimer / black-lister / white-lister 2. l'état de la règle. En cliquant sur l'icône, on peut modifier l'état de la règle. Notez que seules les règles s'appliquant à un destinataire du compte de l'utilisateur sont modifiables, les règles '*' n'étant modifiables que par l'administrateur. Pour une règle de ce type, il est possible de créer une nouvelle règle pour l'utilisateur en cliquant sur l'icône. Cas particulier : en mode administrateur, il est possible de modifier toutes les règles. 3. L'expéditeur de la règle. Pour des règles en liste grise ( ), en cliquant sur le lien on accède à la liste des mails stockés dans la base envoyés par cet expéditeur à l'utilisateur. 4. Le destinataire de la règle. Ce sera obligatoirement une adresse mail d'un des comptes de l'utilisateur, ou '*' pour les règles générales ( par exemple). Il est possible de cacher cette colonne pour plus de clarté, si l'utilisateur ne possède qu'un seul compte distant par exemple. Pour cela, l'utilisateur devra définir une propriété «displayto» à «false» par l'onglet des propriétés (voir plus bas). 5. La date de création de la règle, qui correspond à la date de lecture du courrier (à quelques secondes près) 6. Le nombre d' s ayant été soumis à cette règle. L'ordonnancement de la liste se fait en cliquant sur le titre de chaque colonne (ordre descendant et ascendant), par défaut le tri se fait par date, des plus récents au plus vieux. Par défaut, 30 lignes par page sont affichées, mais il est possible de paramétrer ce nombre pour chaque utilisateur en spécifiant une préférence «lines» par l'onglet des préférences (voir plus 41 / 77

42 4.0 bas). En bas de liste, des liens «Tout sélectionner», «Inverser la sélection» et «Tout désélectionner» permettent d'agir sur les cases à cocher de la première colonne. III.4.3. Actions La pages des règles comporte en bas de page six boutons permettant les actions suivantes : A. Ajouter Permet de créer une nouvelle règle, ayant pour destinataire le ou les comptes de l'utilisateur, un état accepté ( ) ou refusé ( ), et un expéditeur à définir (adresse mail, partie d'adresse ou nom de domaine). Il est possible d'utiliser dans la reconnaissance de l'adresse de l'expéditeur le nom affiché de celui-ci : c'est le nom qui apparaît dans une adresse mail de la forme «Nom utilisateur <adresse@domaine>» en cochant la case à cocher «Utiliser le nom» et en renseignant le nom de l'expéditeur. Ceci permet entre autre d'exclure les spams qui utilisent votre propre adresse mail. Par exemple, si vous recevez du spam avec votre adresse mail comme expéditeur, vous pouvez créer une règle dans la liste blanche en spécifiant votre nom ; le nom de l'expéditeur apparaitra alors en gras dans la liste des règles. Si plusieurs comptes distants sont définis pour un utilisateur, il est possible de sélectionner le ou les comptes concernés par cette règle. Il est possible également de définir une règle portant sur une partie de l'adresse de l'expéditeur seulement. Dans ce cas on utilise le joker * (étoile). Par exemple, pour refuser tous les mails venant d'une adresse russe, on peut définir «*.ru» pour l'expéditeur. Un icône sera alors ajoutée après l'icône d'état pour signaler qu'il s'agit d'une règle «joker». Cas particulier : en mode superviseur ou administrateur, il est possible de définir librement le destinataire de la règle. Ceci permet de définir '*' comme destinataire, et donc de créer ainsi des règles globales. Le bouton «Règle 'To:'» permet de créer une règle de type destinataire : 42 / 77

43 4.0 Seul l'état «Accepté» est autorisé ici. B. Supprimer Permet de supprimer les règles sélectionnées dans la liste par les cases à cocher. Une demande de confirmation permet de sécuriser l'opération. Car particulier : si aucune règle n'est sélectionnée, l'administration propose de supprimer des règles provenant d'un fichier d'export de règles (voir plus bas exporter) 43 / 77

44 4.0 C. Black-lister Permet de passer en liste noire les règles sélectionnées dans la liste par les cases à cocher. Une demande de confirmation permet de sécuriser l'opération. D. White-lister Permet de passer en liste blanche les règles sélectionnées dans la liste par les cases à cocher. Une demande de confirmation permet de sécuriser l'opération. E. Importer Permet d'importer en liste blanche les correspondants d'un carnet d'adresse, ou les règles d'un autre serveur. L'importation des correspondants d'un carnet d'adresse se fait soit au format LDIF (la plupart des clients mail (Thunderbird, Outlook) permettent de sauver le carnet d'adresse au format LDIF, format d'échange LDAP), soit au format CSV (comma separated values, ou valeurs séparées par une virgule, fichier contenant des données sur chaque ligne séparées par un caractère de séparation), pour lequel il faut définir le séparateur (en général la virgule «,» ou le point-virgule «;») et le numéro de la colonne contenant l'adresse mail. Toutes les adresses mail seront bien évidement passées en liste blanche, et représentées avec l'icône. Il est également possible d'importer les règles provenant d'un autre serveur, sur lequel on aura utilisé l'action «Exporter les règles» (voir plus bas). Notez que seules les règles en liste noire et blanche seront importées, puisque ce serveur ne pourra recevoir de confirmation (expéditeurs en liste grise). Le bouton «Parcourir» permet de choisir le fichier local à importer. 44 / 77

45 4.0 F. Exporter Permet de créer un fichier d'export des règles en liste noire et blanche. Le fichier est généré sur le serveur, et peut être téléchargé sur le poste client du navigateur. Les cases à cocher permettent de définir quelle règles inclure dans l'export. III.5. Filtres spéciaux En mode administrateur, il est possible de créer des filtres spéciaux reposant sur l'analyse de n'importe quel champ de l'enveloppe du message pour déterminer si un message est accepté ou refusé. Lorsqu'on est connecté en administrateur ou en superviseur, un bouton «Filtres spéciaux» apparaît en bas à droite de l'onglet Règles. Cliquez dessus pour arriver à l'écran suivant : Dans l'exemple ci-dessus, on défini un filtrage spécial permettant d'accepter tous les possédant une en-tête «XMYSITE-HEADER» à «OK», ce qui peut être une solution rapide est élégante pour accepter les mails provenant de formulaire de site internet personnel par exemple. 45 / 77