Sécurité

Sur la page Sécurité, vous pouvez activer des filtres antispam, l'analyse antivirus ou les listes des blocages/autorisations pour protéger votre Synology MailPlus Server et les clients de messagerie associés.

Antispam

Configurez des filtres antispam et configurez l'apprentissage automatique pour une détection précise des courriers indésirables.

Configuration du moteur antispam

Pour activer le moteur antispam :

Modifiez les paramètres antispam généraux pour contrôler les courriers indésirables.

1. Accédez à Antispam et sélectionnez l'option Activer le moteur antispam.
2. Sélectionnez l'un des moteurs antispam suivants :
   • Rspamd : un moteur antispam gratuit et open source
   • Bitdefender : un moteur de sécurité payant qui nécessite d'acheter des licences auprès de Bitdefender for MailPlus
3. Si vous sélectionnez Rspamd comme moteur, cliquez sur Paramètres de mise à jour pour définir un programme quotidien de téléchargement des dernières règles. Vous pouvez également cliquer sur Mise à jour manuelle pour effectuer une mise à jour immédiate.
4. Dans Contrôle des spams, vous trouverez les options suivantes :
   • Ajouter ce qui suit aux objets de spam : ajoute un texte personnalisé à l'objet des messages indésirables pour les alertes.
   • Déplacer vers la boîte aux lettres Spam : déplace automatiquement les messages indésirables identifiés vers la boîte aux lettres Spam. Si cette option n'est pas activée, les messages indésirables resteront dans la boîte de réception.
   • Autoriser les e-mails provenant d'expéditeurs connus (Rspamd uniquement) : si un e-mail est reçu dans les 24 heures en réponse à un e-mail envoyé par MailPlus Server, son score de spam baissera de 4 points.
   • Définir les types de spams (Bitdefender uniquement) : sélectionnez les types d'e-mails que vous souhaitez marquer comme spams. Les e-mails seront classés par le moteur Bitdefender.
   • Niveau de sensibilité aux spams (Bitdefender uniquement) : saisissez une valeur entre 1 et 9. Plus la valeur est élevée, plus l'évaluation du spam est stricte, de sorte que les e-mails sont plus susceptibles d'être marqués comme spam.
   • Incorporer le spam dans une pièce jointe : signale le spam sous forme de pièce jointe incorporée dans un nouveau message. Vous pouvez choisir de signaler le spam En texte brut seulement pour éviter les bogues Web et les scripts malveillants.
5. Spécifiez la durée de conservation des messages indésirables dans le champ Délai de suppression des spams (jours). Les spams sont automatiquement supprimés après le nombre de jours spécifié.
6. Enregistrez les paramètres pour terminer la configuration de base. Reportez-vous à la section suivante pour créer des règles et des filtres personnalisés.

Pour configurer des paramètres antispam avancés :

Créez des filtres et définissez des règles pour personnaliser votre moteur antispam.

1. Accédez à Antispam.
2. Dans Contrôle des spams, cliquez sur Filtre antispam personnalisé pour configurer les deux types de filtres suivants :
   • Filtre d'adresse : cliquez sur Créer pour ajouter des filtres spam ou non spam en fonction de l'adresse de l'expéditeur et du destinataire. Pour importer ou exporter les règles correspondantes à utiliser, cliquez sur Outils.
   • Filtre de pièces jointes : cliquez sur Créer pour ajouter des filtres antispam en fonction du type de fichier en pièce jointe.
3. Dans Contrôle des spams, cliquez sur Avancé pour modifier les paramètres suivants :
   • Marquer en tant que spam si le score est supérieur à : sélectionnez un seuil de score de spam. Un message qui excède le seuil est considéré comme un spam.
   • Règles de SpamAssassin : les règles de SpamAssassin sont des règles open source qui permettent de cibler des types spécifiques de spams. Cliquez sur le bouton pour importer ou exporter un fichier .cf contenant les règles de SpamAssassin.
   • Filtre par mot-clé :
     • cliquez sur Créer pour déterminer des mots-clés et des scores de spams correspondants (un score positif pour la probabilité d'un spam, négatif pour la non-probabilité d'un spam).
     • Cochez la case dans la colonne Activer pour activer ou désactiver un filtre.
     • Cliquez sur Paramètres de groupe pour regrouper plusieurs filtres par mots-clés afin d'activer ou de désactiver rapidement un groupe de filtres dans son ensemble.
     • Sélectionnez un groupe dans le menu déroulant Groupe pour passer d'un groupe à l'autre.

Configuration de l'apprentissage automatique (Rspamd uniquement)

Entraînez votre MailPlus Server à mieux détecter les spams grâce à des algorithmes spécialisés.

1. Accédez à Antispam.
2. Dans Contrôle des spams, cliquez sur Avancé > Apprentissage automatique.
3. Activez l'option Apprentissage automatique.
4. Spécifiez les paramètres de score suivants :
   • Marquer en tant que spam si le score est supérieur à : le seuil de spam configuré dans Général s'affiche ici.
   • Apprendre en tant que spam si le score est supérieur à : configurez le seuil de spam pour l'apprentissage automatique.
   • Apprendre comme « non spam » si le score est inférieur à : configurez le seuil de non spam pour l'apprentissage automatique.
5. Sélectionnez l'option Activer la signalisation des spams pour autoriser les utilisateurs clients à signaler les spams et les faux spams à partir de MailPlus ou d'un client de messagerie tiers (par exemple, Microsoft Outlook).
   • Transférer les spams vers : saisissez l'adresse e-mail à laquelle le spam signalé doit être envoyé.
   • Transférer les faux spams vers : saisissez l'adresse e-mail à laquelle le faux spam signalé doit être envoyé.
6. Cliquez sur Spam signalé pour vérifier tous les spams et les faux spams signalés et les gérer de la manière suivante :
   • Afficher : cliquez pour afficher un message signalé en texte brut.
   • Apprendre et Tout apprendre : cliquez pour entraîner le système à mieux détecter les spams.
   • Supprimer : cliquez pour supprimer un message signalé comme spam par erreur.
   • Message original : cliquez pour afficher un message signalé en texte brut ainsi que l'en-tête de message correspondant.
7. Sélectionnez l'option Configurer la planification quotidienne pour l'apprentissage des spams signalés afin de planifier les activités d'apprentissage.

Filtrage des spams à l'aide de DNSBL et de la liste grise

Pour activer DNSBL :

DNSBL permet de filtrer les spams publiés via le DNS (Domain Name Service) Internet en fonction des adresses IP d'ordinateurs et de réseaux.

1. Accédez à Antispam.
2. Dans DNSBL, sélectionnez l'option Activer la protection postscreen contre les spams.
3. Cliquez sur Paramètres DNSBL pour gérer la liste des serveurs.
   • Cliquez sur Créer. Saisissez un serveur DNSBL et le score correspondant.
   • Cliquez sur Paramètres. Saisissez le Seuil du score DNSBL pour rejeter les services lorsque le score total d'un client de messagerie dépasse la valeur indiquée ici.

Pour activer la liste grise :

Le système vérifie si la même adresse IP, le même expéditeur ou destinataire ont déjà été enregistrés lorsqu'un nouveau message arrive. Si aucun enregistrement n'est trouvé, le message sera signalé comme étant suspect et un message d'erreur sera envoyé à l'expéditeur pour lui demander de renvoyer le message ultérieurement. La plupart des expéditeurs se plient habituellement à cette requête, alors que la plupart des spammeurs renoncent simplement.

1. Accédez à Antispam.
2. Dans Liste grise, sélectionnez l'option Activer la liste grise pour améliorer la détection des spams en rejetant temporairement les messages entrants suspects.
3. Cliquez sur Paramètres de la liste grise pour appliquer différentes actions aux messages provenant de chaque adresse IP ou domaine.
4. Cliquez sur Créer.
5. Spécifiez les critères de la règle :
   • Source : saisissez une plage IP, par exemple « 192.168.0.0/24 ».
   • Domaine : saisissez un nom de domaine, par exemple « exemple.com ». Le système vérifie les informations DNS de l'expéditeur et s'assure qu'elles correspondent à l'un des noms de domaine répertoriés dans la liste grise.
6. Sélectionnez une action :
   • Liste des blocages : met immédiatement fin à la connexion.
   • Liste grise : renvoie une erreur temporaire. Si le client de messagerie renvoie le message une fois que la période définie par la liste grise a expiré, celui-ci est accepté et le client est ajouté à la liste des autorisations afin d'être reconnu à l'avenir.
   • Liste des autorisations : accepte le message.
7. Cliquez sur Paramètres pour modifier l'action par défaut et la période définie par la liste grise.

Antivirus

Exécutez un moteur antivirus pour détecter les virus dans tous les messages entrants ou sortants. Lorsqu'un message est infecté, le système le supprime ou le met en quarantaine et envoie des notifications aux destinataires concernés.

Configuration du moteur antivirus

1. Accédez à Antivirus.
2. Sélectionnez l'option Activer le moteur antivirus.
3. Sélectionnez l'un des moteurs antivirus suivants :
   • ClamAV : un moteur antivirus gratuit et open source
   • McAfee : un moteur antivirus payant qui nécessite d'installer le paquet Antivirus by McAfee sur le Synology NAS
   • Bitdefender : un moteur de sécurité payant qui nécessite d'acheter des licences auprès de Bitdefender for MailPlus
4. Cliquez sur Paramètres de mise à jour pour planifier les mises à jour des définitions de virus. Vous pouvez également cliquer sur Mise à jour manuelle pour effectuer une mise à jour immédiate.
5. Lorsque ClamAV est sélectionné comme moteur, les options suivantes sont disponibles :
   • Utiliser la base de données Google Safe Browsing pour détecter des liens malveillants dans des e-mails
   • Utiliser des bases de données tierces pour télécharger les définitions de virus correspondantes

Gestion des messages infectés

Lorsque des messages infectés sont détectés, le système répond en fonction des stratégies prédéfinies.

1. Accédez à Antivirus.
2. Déterminez comment traiter un message infecté dans le menu Action antivirus :
   • Supprimer le message : supprime le message. Le message ne sera pas envoyé au destinataire prévu.
   • Enregistrer en quarantaine : met le message en quarantaine. Le message ne sera pas envoyé au destinataire prévu. Cliquez sur Liste des quarantaines en bas de la page pour afficher et gérer les messages mis en quarantaine.
   • Remettre quand même : permet de livrer le message au destinataire prévu.
3. Pour marquer des messages infectés, sélectionnez l'option Ajouter un préfixe d'objet au message infecté et spécifiez le texte à afficher dans l'objet du message.
4. Pour avertir des destinataires que des messages sont infectés, sélectionnez l'option Envoyer des notifications destinataires après une suppression ou une mise en quarantaine de virus. Personnalisez le contenu de la notification dans Paramètres du modèle.

Authentification

Activez les mécanismes d'authentification pour valider les e-mails et réduire le nombre de spams. Lorsque l'authentification est activée, les e-mails sont soumis à des processus de vérification rigoureux. Si la vérification d'un e-mail échoue, un message d'avertissement s'affiche pour prévenir l'utilisateur que le contenu est suspect.

SPF

SPF, qui signifie « Sender Policy Framework » (cadre de la politique de l'expéditeur), empêche l'usurpation d'e-mails en spécifiant les serveurs autorisés à envoyer des e-mails au nom d'un domaine.

Pour activer la vérification SPF :

1. Accédez à Authentification.
2. Sélectionnez l'option Activer la vérification SPF pour vérifier l'identité de l'expéditeur et détecter les adresses d'expéditeur contrefaites.
3. Sélectionnez l'option Rejeter les pannes souples SPF pour rejeter les e-mails dont le résultat de vérification indique une panne souple.

DKIM

DKIM, l'acronyme de DomainKeys Identified Email, permet d'ajouter une signature numérique à chaque e-mail sortant. Cette signature permet de valider l'e-mail et de veiller à ce qu'il soit autorisé par le propriétaire du domaine.

Pour activer la vérification DKIM :

1. Accédez à Authentification.
2. Sélectionnez l'option Activer la vérification DKIM sur les messages entrants pour vérifier la présence d'une signature DKIM valide sur les e-mails entrants. Les e-mails rejetés par DKIM sont déplacés vers le dossier Spam sur le client MailPlus et un message d'avertissement s'affiche lorsque les utilisateurs ouvrent ces e-mails.
3. Sous Longueur minimale de la clé pour la vérification DKIM, choisissez une valeur dans le menu déroulant. Les e-mails dont les clés DKIM sont plus courtes que la valeur définie seront rejetés. Si une longueur de clé plus importante est définie, cela permet d'optimiser la sécurité en empêchant les e-mails provenant de domaines moins sécurisés de réussir l'étape de vérification.

Pour activer la signature DKIM :

1. Accédez à Domaine et double-cliquez sur le domaine utilisé.
2. Dans l'onglet Général, cliquez sur Avancé.
3. Sélectionnez l'option Activer la signature DKIM sur les messages sortants pour faire en sorte que tous les e-mails provenant du domaine soient dotés d'une signature DKIM.
4. Accédez à Sécurité > Authentification > DKIM pour ajouter vos hôtes ou sous-réseaux internes fiables à la liste des autorisations. Cela permet de garantir que les e-mails envoyés depuis ces sources, que ce soit via MailPlus, des clients de messagerie tiers ou des terminaux, seront dotés d'une signature DKIM.

DMARC

DMARC, qui signifie « Domain-Based Message Authentication, Reporting, and Conformance » (authentification, génération de rapports et conformité des messages basés sur le domaine), détermine la manière de traiter des e-mails qui échouent aux vérifications SPF et DKIM. Il fournit également des rapports utiles aux propriétaires de domaine pour leur permettre de détecter des attaques par usurpation d'identité.

Pour activer DMARC :

1. Accédez à Authentification.
2. Sélectionnez l'option Activer DMARC pour valider les domaines de messagerie des expéditeurs. Les e-mails mis en quarantaine par DMARC sont déplacés vers le dossier Spam sur le client MailPlus et un message d'avertissement s'affiche lorsque les utilisateurs ouvrent ces e-mails.
3. Ajoutez un enregistrement TXT à votre DNS public de la manière suivante, afin que vos e-mails puissent réussir l'étape d'authentification DMARC d'autres serveurs de messagerie :
   • Nom de l'enregistrement TXT : _dmarc.votre domaine
     vous devez remplacer votre domaine par le nom de votre domaine. Exemple : _dmarc.exemple.com
   • Valeur de l'enregistrement TXT : v=DMARC1; p=stratégie appliquée aux messages non authentifiés; pct=pourcentage de messages soumis à la stratégie spécifiée; rua=rapport d'URI de rapports d'agrégats
     Exemple : v=DMARC1; p=quarantine; pct=20; rua=mailto:aggrep@exemple.com

DANE

DANE, qui signifie DNS-based Authentication of Named Entities (authentification DNS des entités nommées), permet d'authentifier l'identité des serveurs destinataires, établissant ainsi un canal sécurisé entre l'expéditeur et le destinataire.

Pour activer DANE :

Activez DANE pour permettre à MailPlus Server de valider les certificats TLS des autres serveurs lorsque vous commencez à transférer des messages.

1. Accédez à Authentification.
2. Sélectionnez l'option Activer la vérification DANE.
3. Choisissez l'un des niveaux suivants :
   • Vérification opportuniste : la vérification DANE est effectuée uniquement lorsque le serveur de réception prend en charge DANE et que des enregistrements TLSA sont configurés.
   • Vérification obligatoire : une vérification DANE sera systématiquement effectuée.
4. Ajoutez les domaines de vos destinataires de confiance à la Liste des autorisations pour que les e-mails envoyés à ces domaines ignorent la vérification DANE.

Pour déployer des enregistrements TLSA :

Générez et publiez un enregistrement TLSA afin que les autres serveurs de messagerie puissent authentifier MailPlus Server avant de transmettre des e-mails.

1. Cliquez sur Générer un enregistrement TLSA.
2. Configurez les paramètres de votre enregistrement TLSA. Voir RFC 6698 pour connaître la signification de chaque paramètre.
3. Cliquez sur OK pour générer l'enregistrement.
4. Accédez à vos paramètres DNS publics et ajoutez un enregistrement comme suit :
   • Type : réglez ce paramètre sur TLSA.
   • Utilisation, Sélecteur, et Type correspondant : saisissez les paramètres indiqués dans MailPlus Server.
   • Certificat : collez les données d'association de certificat à partir de MailPlus Server.

Pour en savoir plus sur le fonctionnement de DANE, reportez-vous à cet article.

Analyse de contenu

Configurez le système afin qu'il analyse les messages pour identifier tout contenu dangereux.

Pour effectuer une analyse afin d'identifier tout contenu dangereux :

1. Accédez à Analyse de contenu.
2. Sélectionnez l'option Activer l'analyse de contenu dangereux.
3. Choisissez d'activer ou de désactiver les options suivantes :
   • Rejeter les messages partiels : puisque ces messages ne peuvent pas être analysés correctement en raison des virus et du contenu inapproprié, ils seront rejetés pour éviter une infection potentielle par virus.
   • Rejeter les corps des messages externes : les messages dont les corps sont stockés ailleurs sur Internet seront rejetés pour éviter tout virus lors du téléchargement des corps des messages.
   • Mettre en évidence la fraude d'hameçonnage : les sections qui comprennent du contenu potentiel d'hameçonnage seront mises en surbrillance pour rappeler les risques aux utilisateurs.
   • Convertir le HTML en texte brut : les messages HTML comportant des balises dangereuses seront automatiquement convertis en texte brut pour les rendre inoffensifs, tout en préservant la lisibilité du contenu du texte pour les destinataires.
   • Choisissez l'une des actions suivantes pour chaque balise :
     • Rejeter : rejette les messages contenant la balise correspondante.
     • Autoriser : délivre les messages contenant la balise correspondante.
     • Rendre les balises inefficaces : délivre les messages contenant la balise correspondante après avoir rendu la balise inefficace pour que les destinataires puissent toujours afficher le contenu.