Passer au contenu principal

Antispam à l'UNIL

Le filtre anti-virus et anti-spam de l'UNIL

Nous utilisons Cisco Email Security pour scanner les emails arrivant et quittant le réseau de l'UNIL. Ce service va analyser les mails et mettre les mails détectés comme spam ou phishing dans votre quarantaine, et bloquer les pièces jointes malveillantes.

En cas de résultat positif de cette analyse, le message subit des modifications dont le marquage du sujet qui permet alors à chacun de le classer ou de le détruire aisément (avec un filtre automatique par exemple). Les messages reconnus comme spam seront mis en quarantaine, ne polluant ainsi plus du tout la boîte aux lettres personnelle. Vous recevrez un email hebdomadaire si un ou plusieurs emails qui vous sont destinés ont fini dans votre quarantaine.

Cisco Email Security repose sur plusieurs couches de protection et de détection, parmi lesquels

  • listes noires/blanches
  • de multiples filtres antispam
  • un anti-virus
  • un filtre analysant les pièces jointes pour des menaces connues
  • un filtre "graymail" détectant les mails de marketing, de réseaux sociaux, etc
  • des filtres manuels
  • un filtre basé sur les menaces récentes détectées par Cisco
  • etc.

Que fait le filtre anti-spam?

Dans le filtre anti-spam, le mail est soumis à une batterie de tests détectant des phrases ou des tournures souvent utilisées par les spammeurs, les URLs suspicieuses, ainsi qu'une analyse de la réputation du serveur de messagerie de l’expéditeur.

Chaque test attribue une note au message. A la sortie, le message est considéré comme du spam si la somme des notes dépasse un certain seuil. Des lignes indiquant les résultats de ces tests sont ajoutées dans l'entête du message. Ces lignes sont reconnaissables par leur libellé "IronPort-" ou "X-IronPort-". Si le seuil est dépassé, il y deux options:

  1. Le seuil est dépassé et Cisco Email Security suspecte que le message est un spam: le message [SUSPECTED SPAM] est inséré dans le sujet et le message est distribué normalement.
  2. Le seuil est largement dépassé, indiquant que Cisco est sûr que le message est un spam: le message [SPAM] est inséré dans le sujet et le message est mis dans la quarantaine de l'utilisateur.

Pour voir sa quarantaine, il faut se connecter sur https://spam.unil.ch avec ses identifiants UNIL.

Que fait le filtre anti-virus?

Lorsqu'un message arrive dans Cisco Email Security, l'anti-virus Sophos effectue son analyse et, selon le résultat de l'analyse, va distribuer le courriel, ajouter un avertissement dans le sujet du message ([WARNING: ), ou mettre le message en quarantaine.

La mise en quarantaine

Plutôt que recevoir dans sa boîte aux lettres les messages marqués comme spam, ilCisco est possible d'indiquer au système qu'il doit lesva conserver ences quarantaine.emails Seuldans un rapport de mise enune quarantaine est envoyé. Les messages sont conservéspendant 30 jours dans la quarantaine puis éliminés. CetteVous pratiquerecevrez un email hebdomadaire si un ou plusieurs emails qui vous sont destinés ont fini dans votre quarantaine.

Contrairement à MailCleaner, il n'est fortementpas recommandée.possible de modifier la fréquence d'envoi du rapport de quarantaine, ni de configurer Cisco pour envoyer tous les messages, spam y compris, sur sa boîte plutôt que la quarantaine. Nous estimons que le filtrage amélioré offert par Cisco rend cela superflu.

Les messages mis en quarantaine peuvent être à tout moment consultés et éventuellement retirés de la quarantaine via l'interface web accessible à l'adresse adresse https://mailc.spam.unil.ch. Cette page est accessible depuis le réseau de l'UNIL ou à travers crypto.unil.ch depuis l'extérieur. Pour y accéder, il faut s'authentifier avec son nom d'utilisateur et mot de passe habituels (les mêmes que pour la messagerie). Dans la liste affichée des messages mis en quarantaine, levous boutonpouvez permetlibérer deun "forcermessage lesi message",besoin, c'est-à-dire de demander à Cisco Email Security de déposer tout de même le message dans sa boîte aux lettres. Il est également possible de demandergérer l’analyseses d’unlistes messagesécurisée filtré par erreur ou simplementet de consulterblocage, lesqui raisonssont dudes filtrage.listes blanches et noires personnelles.

Le filtre anti-spam peut-il se tromper?

Si les tests qu'effectue le filtre anti-spam étaient systématiquement efficaces, le problème du spam serait définitivement réglé. Dans la réalité, bien que le taux de succès soit élevé (plus de 95 %), il faut prendre des dispositions pour traiter les erreurs possibles du système qui sont de deux types:

Les "faux positifs"

C'est le cas où un message légitime est marqué à tort comme spam. Dans le cas où la quarantaine n'est pas activée, un tel message se trouve dans l'outil de messagerie, éventuellement dans un dossier où il a été déplacé avec les autres spams. Il ne faut donc pas oublier de consulter régulièrement le dossier dans lequel les spams sont automatiquement déplacés afin d'y déceler les éventuels faux positifs. De la même manière, si la quarantaine est activée, il faut consulter les rapports de quarantaine pour y détecter d'éventuels faux positifs et demander leur retrait de la quarantaine (voir ci-dessus).

Les "faux négatifs"

C'est le cas où un spam déjoue les filtres de Cisco Email Security et parvient dans votre boîte aux lettres sans être marqué.

Afin d'améliorer l'efficacité de Cisco Email Security, il est utile de signaler ces erreurs en renvoyant ces messages aux adresses suivantes:

  • pour les faux positifs : error@mailcleaner.net (si le faux positif est en quarantaine, on peut simplement utiliser le bouton).
  • pour les faux négatifs : spam@mailcleaner.net

Pour que l'analyse des erreurs puisse se faire correctement, il faut prendre garde à ce que les en-têtes des messages mal filtrés soient également envoyés. Un simple copier/coller ou un forward risque en effet de reformatter le message, le rendant inutilisable par l'équipe d'analyse de Cisco Email Security. Voici comment procéder avec divers outils de messagerie:

 

Retour en haut