Passer au contenu principal

Antispam à l'UNIL

Le filtre anti-virus et anti-spam de l'UNIL

Nous utilisons Cisco Email Security pour scanner les emails arrivant et quittant le réseau de l'UNIL. Ce service va analyser les mails et mettre les mails détectés comme spam ou phishing dans votre quarantaine, et bloquer les pièces jointes malveillantes.

En cas de résultat positif de cette analyse, le message subit des modifications dont le marquage du sujet qui permet alors à chacun de le classer ou de le détruire aisément (avec un filtre automatique par exemple). Les messages reconnus comme spam seront mis en quarantaine, ne polluant ainsi plus du tout la boîte aux lettres personnelle. Vous recevrez un email hebdomadaire si un ou plusieurs emails qui vous sont destinés ont fini dans votre quarantaine.

Cisco Email Security repose sur plusieurs couches de protection et de détection, parmi lesquels

  • listes noires/blanches
  • de multiples filtres antispam
  • un anti-virus
  • un filtre analysant les pièces jointes pour des menaces connues
  • un filtre "graymail" détectant les mails de marketing, de réseaux sociaux, etc
  • des filtres manuels
  • un filtre basé sur les menaces récentes détectées par Cisco
  • etc.

Que fait le filtre anti-spam?

Dans le filtre anti-spam, le mail est soumis à une batterie de tests détectant des phrases ou des tournures souvent utilisées par les spammeurs, les URLs suspicieuses, ainsi qu'une analyse de la réputation du serveur de messagerie de l’expéditeur.

Chaque test attribue une note au message. A la sortie, le message est considéré comme du spam si la somme des notes dépasse un certain seuil. Des lignes indiquant les résultats de ces tests sont ajoutées dans l'entête du message. Ces lignes sont reconnaissables par leur libellé "IronPort-" ou "X-IronPort-". Si le seuil est dépassé, il y trois options:

  1. La marque {spam?} est insérée dans le sujet. Le système de messagerie de l'UNIL (Exchange) dépose alors automatiquement le message dans le dossier "Courrier indésirable" de la boîte aux lettres du destinataire.
  2. Le système Cisco Email Security conserve le spam dans l'espace de quarantaine du destinataire; ce dernier pourra ensuite consulter cet espace.
  3. Le système détruit immédiatement ce qu'il considère comme du spam.

L'installation de Maiclleaner à l'UNIL propose par défaut la deuxième option ci-dessus; elle peut être changée via l'interface web https://mailc.unil.ch.

Que fait le filtre anti-virus?

Lorsqu'un message arrive dans Cisco Email Security, l'anti-virus Sophos effectue son analyse et, selon le résultat de l'analyse, va distribuer le courriel, ajouter un avertissement dans le sujet du message ([WARNING: ), ou mettre le message en quarantaine.

La mise en quarantaine

Plutôt que recevoir dans sa boîte aux lettres les messages marqués comme spam, il est possible d'indiquer au système qu'il doit les conserver en quarantaine. Seul un rapport de mise en quarantaine est envoyé. Les messages sont conservés 30 jours dans la quarantaine puis éliminés. Cette pratique est fortement recommandée.

Les messages mis en quarantaine peuvent être à tout moment consultés et éventuellement retirés de la quarantaine via l'interface web accessible à l'adresse https://mailc.unil.ch. Cette page est accessible depuis le réseau de l'UNIL ou à travers crypto.unil.ch depuis l'extérieur. Pour y accéder, il faut s'authentifier avec son nom d'utilisateur et mot de passe habituels (les mêmes que pour la messagerie). Dans la liste affichée des messages mis en quarantaine, le bouton permet de "forcer le message", c'est-à-dire de demander à Cisco Email Security de déposer tout de même le message dans sa boîte aux lettres. Il est également possible de demander l’analyse d’un message filtré par erreur ou simplement de consulter les raisons du filtrage.

Le filtre anti-spam peut-il se tromper?

Si les tests qu'effectue le filtre anti-spam étaient systématiquement efficaces, le problème du spam serait définitivement réglé. Dans la réalité, bien que le taux de succès soit élevé (plus de 95 %), il faut prendre des dispositions pour traiter les erreurs possibles du système qui sont de deux types:

Les "faux positifs"

C'est le cas où un message légitime est marqué à tort comme spam. Dans le cas où la quarantaine n'est pas activée, un tel message se trouve dans l'outil de messagerie, éventuellement dans un dossier où il a été déplacé avec les autres spams. Il ne faut donc pas oublier de consulter régulièrement le dossier dans lequel les spams sont automatiquement déplacés afin d'y déceler les éventuels faux positifs. De la même manière, si la quarantaine est activée, il faut consulter les rapports de quarantaine pour y détecter d'éventuels faux positifs et demander leur retrait de la quarantaine (voir ci-dessus).

Les "faux négatifs"

C'est le cas où un spam déjoue les filtres de Cisco Email Security et parvient dans votre boîte aux lettres sans être marqué.

Afin d'améliorer l'efficacité de Cisco Email Security, il est utile de signaler ces erreurs en renvoyant ces messages aux adresses suivantes:

  • pour les faux positifs : error@mailcleaner.net (si le faux positif est en quarantaine, on peut simplement utiliser le bouton).
  • pour les faux négatifs : spam@mailcleaner.net

Pour que l'analyse des erreurs puisse se faire correctement, il faut prendre garde à ce que les en-têtes des messages mal filtrés soient également envoyés. Un simple copier/coller ou un forward risque en effet de reformatter le message, le rendant inutilisable par l'équipe d'analyse de Cisco Email Security. Voici comment procéder avec divers outils de messagerie:

 

Retour en haut