Kaspersky ANTI-SPAM 3.0 Le manuel du propriétaire

KASPERSKY LAB

Kaspersky

®

Anti-Spam 3.0

MANUEL DE

L’ADMINISTRATEUR

KASPERSKY

®

ANTI-SPAM 3.0

Manuel de

l’administrateur

©Kaspersky Lab Ltd

http://www.kaspersky.com

Date d’édition : Novembre 2006

Sommaire

CHAPITRE 1. KASPERSKY

®

ANTI-SPAM 3.0............................................................. 6

1.1. Nouveautés de la version 3.0 ............................................................................... 7

1.2. Licence................................................................................................................... 9

1.3. Configuration requise ............................................................................................ 9

1.4. Contenu du pack logiciel ..................................................................................... 10

1.4.1. Contrat de licence......................................................................................... 11

1.4.2. Carte d’enregistrement................................................................................. 11

1.5. Services réservés aux utilisateurs enregistrés ................................................... 11

1.6. Notations conventionnelles ................................................................................. 12

CHAPITRE 2. ARCHITECTURE DE KASPERSKY ANTI-SPAM ET PRINCIPES

DE FILTRAGE DU POURRIEL ................................................................................. 14

2.1. Composition du logiciel ....................................................................................... 14

2.2. Technologies d'identification ............................................................................... 18

2.2.1. Analyse des signes formels.......................................................................... 18

2.2.2. Filtrage du contenu....................................................................................... 18

2.2.3. Vérification à l'aide de services extérieurs................................................... 20

2.2.4. Technologie UDS (Urgent Detection System)............................................. 20

2.3. Résultats de l'identification et actions exécutées sur les messages ................. 21

2.4. Bases de filtrage du contenu............................................................................... 23

2.5. Stratégies de filtrage............................................................................................ 23

2.6. Centre d'administration........................................................................................ 24

2.7. Surveillance ......................................................................................................... 24

CHAPITRE 3. INSTALLATION DE KASPERSKY ANTI-SPAM.................................. 26

3.1. Préparatifs en vue de l'installation....................................................................... 26

3.2. Installation de la distribution de Kaspersky Anti-Spam ...................................... 27

3.3. Configuration de l'accès au Centre d'administration.......................................... 28

3.4. Installation de la clé de licence............................................................................ 29

3.5. Intégration de Kaspersky Anti-Spam au serveur de messagerie ..................... 30

3.6. Configuration de la mise à jour des bases de filtrage du contenu et de

l'utilisation du service UDS ................................................................................ 32

CHAPITRE 4. ADMINISTRATION DU SERVEUR DE FILTRAGE DU COURRIER

INDESIRABLE............................................................................................................ 34

4.1. Lancement et administration des composants de Kaspersky Anti-Spam......... 34

4.2. Centre d'administration de Kaspersky Anti-Spam.............................................. 35

4.3. Administration de la stratégie de filtrage............................................................. 36

4.3.1. Stratégie de filtrage globale.......................................................................... 37

4.3.1.1. Section General..................................................................................... 39

4.3.1.2. Section DNS & SPF Checks................................................................. 41

4.3.1.3. Section Headers Checks....................................................................... 42

4.3.1.4. Section Eastern Encodings................................................................... 44

4 Kaspersky

®

Anti-Spam 3.0

4.3.1.5. Section Obscene Content ..................................................................... 45

4.3.2. Administration des listes "blanche" et "noire" .............................................. 45

4.3.3. Administration des listes des services DNSBL utilisés................................ 47

4.3.4. Administration de la liste des domaines protégés ....................................... 49

4.3.5. Administration des groupes.......................................................................... 50

4.3.6. Administration de la stratégie de filtrage de groupe .................................... 53

4.3.7. Actions à exécuter sur les messages .......................................................... 54

4.4. Mise à jour des bases de filtrage du contenu..................................................... 57

4.4.1. Configuration de la mise à jour..................................................................... 58

4.4.2. Lancement de la mise à jour........................................................................ 60

4.5. Configuration du serveur de filtrage du courrier indésirable .............................. 61

4.5.1. Paramètres généraux du serveur de filtrage ............................................... 62

4.5.2. Paramètres de fonctionnement du processus maître de filtrage ................ 64

4.5.3. Paramètres des processus de filtrage ......................................................... 65

4.5.4. Paramètres d'identification du courrier indésirable...................................... 66

4.5.5. Paramètres des modules clients.................................................................. 68

4.5.6. Notifications de non-réception d'un message.............................................. 69

4.6. Configuration du Centre d'administration ........................................................... 71

4.7. Gestion des clés de licence ................................................................................ 72

4.7.1. Consultation des informations relatives aux licences.................................. 73

4.7.2. Installation d'une nouvelle clé de licence ..................................................... 74

4.7.3. Suppression de la clé de licence.................................................................. 75

4.8. Surveillance du fonctionnement du serveur de filtrage...................................... 75

4.8.1. Messages généraux sur l'état du logiciel..................................................... 75

4.8.1.1. Informations détaillées sur le moteur du serveur de filtrage................. 77

4.8.1.2. Informations détaillées sur le module de mise à jour ........................... 78

4.8.1.3. Informations détaillées sur le module de licence.................................. 80

4.8.2. Messages et rapports du système de surveillance ..................................... 81

4.9. Statistiques de Kaspersky Anti-Spam ................................................................ 82

CHAPITRE 5. SUPPRESSION DE KASPERSKY ANTI-SPAM ................................. 84

CHAPITRE 6. QUESTIONS FREQUEMMENT POSEES........................................... 86

ANNEXE A. INFORMATIONS COMPLEMENTAIRES SUR KASPERSKY ANTI-

SPAM.......................................................................................................................... 90

A.1. Répartition des fichiers du logiciel dans les divers répertoires.......................... 90

A.2. Modules clients des serveurs de messagerie.................................................... 91

A.2.1. Interaction des modules clients avec le serveur de filtration ...................... 92

A.2.2. Paramètres généraux des modules clients................................................. 92

A.2.3. kas-milter : module client pour le serveur de messagerie Sendmail.......... 94

A.2.4. kas-pipe : module client pour les serveurs de messagerie Postfix et

Exim............................................................................................................... 96

A.2.5. kas-exim : module client pour le serveur de messagerie Exim ................ 103

A.2.6. kas-qmail : module client pour le serveur de messagerie Qmail.............. 105

A.2.7. kas-cgpro : module client pour le serveur de messagerie Communigate

Pro ............................................................................................................... 107

A.3. Fichiers de configuration de Kaspersky Anti-Spam......................................... 109

A.3.1. Fichier de configuration principal filter.conf ............................................... 109

Kaspersky

®

Anti-Spam 3.0 5

A.3.2. Fichier de configuration kas.thttpd.conf..................................................... 115

A.4. Utilitaires de Kaspersky Anti-Spam .................................................................. 116

A.4.1. kas-htpasswd ............................................................................................. 116

A.4.2. kas-show-license........................................................................................ 116

A.4.3. install-key.................................................................................................... 117

A.4.4. remove-key................................................................................................. 118

A.4.5. kas-restart................................................................................................... 119

A.4.6. mkprofiles ................................................................................................... 120

A.4.7. sfmonitoring................................................................................................ 121

A.4.8. sfupdates .................................................................................................... 122

A.5. Champs d'en-tête spéciaux du module de filtrage........................................... 123

A.6. Paramètres du service cron.............................................................................. 126

ANNEXE B. ENVOI D'EXEMPLES DE POURRIELS AUX EXPERTS DE

KASPERSKY LAB.................................................................................................... 130

ANNEXE C. KASPERSKY LAB LTD.......................................................................... 132

C.1. Autres produits antivirus ................................................................................... 133

C.2. Commеnt nous contacter ................................................................................. 142

CHAPITRE 1. KASPERSKY

®

ANTI-SPAM 3.0

Kaspersky

®

Anti-Spam 3.0 (par la suite, Kaspersky Anti-Spam ou le logiciel) est

une suite logicielle chargée de filtrer le courrier électronique afin que la boîte aux

lettres de l'utilisateur du système de messagerie ne soit pas inondée par le

pourriel, cet ensemble de messages non sollicités.

Sur la base de règles définies par l'administrateur, Kaspersky Anti-Spam peut

traiter les messages de différentes manières : délivrer le message tel quel au

destinataire, le bloquer, créer un message sur l'impossibilité de recevoir ce

message, ajouter ou modifier les champs de l'en-tête ou d'autres actions.

La présence d'indices caractéristiques des messages non sollicités est

recherchée dans chaque message.

Tout d'abord, l'analyse porte sur divers paramètres du message : adresses de

l'expéditeur et du destinataire (enveloppe), taille du message et les différents

champs de l'en-tête (y compris les champs From et To). De plus, Kaspersky

Anti-Spam en profite pour réaliser les vérifications suivantes :

Recherche de l'adresse de l'expéditeur du message (courrier électronique et/ou

adresse IP) dans les listes "noire" et "blanche" ;

Recherche de l'adresse IP de l'expéditeur dans les listes noires DNS (DNSBL) ;

DNSBL (liste noire DNS) est une base de données

d'adresses IP de serveurs de messagerie connus pour les

envois non contrôlés. Ces serveurs acceptent le courrier de

n'importe où et le transmettent à n'importe qui. Grâce à

l'utilisation des listes DNSBL, il est possible d'interdire

automatiquement la réception de courrier en provenance de ces

serveurs. La politique de composition de ces listes varie en

fonction des services qui les proposent. Il est conseillé d'étudier

attentivement la politique du service avant d'utiliser la liste qu'il

propose pour filtrer le courrier.

• Recherche d'enregistrements DNS sur le serveur d'origine (reverse DNS

lookup) ;

• Recherche de l'adresse IP de l'expéditeur dans la liste des adresses

autorisées pour le domaine grâce à la technologie SPF (Sender Policy

Framework) ;

• Vérification des adresses et des liens repris dans le message à l'aide du

service SURBL (Spam URI Realtime Blocklist).

Kaspersky

®

Anti-Spam 3.0 7

Ensuite, le logiciel exploite le filtrage selon le contenu. Autrement dit, le contenu

du message (y compris le champ Subject de l'en-tête) et les fichiers joints

1

sont

analysés. Cette opération repose sur des algorithmes linguistiques bâtis autour

de la comparaison d'échantillons et sur la recherche d'expressions types (mots

ou groupes de mots).

Kaspersky Anti-Spam analyse également les images et les compare aux

signatures de messages non sollicités connus. Les résultats de cette

comparaison sont pris en compte lorsqu'il s'agit de décider si un message est

indésirable ou non.

Les messages présentant des signes caractéristiques des messages non

sollicités sont soumis aux actions définies par la stratégie de filtrage (cf. point

2.3, p. 21).

C'est l'administrateur qui configure la stratégie de filtrage à l'aide du Centre

d'administration (cf. point 2.6, p. 24).

1.1. Nouveautés de la version 3.0

Kaspersky Anti-Spam 3.0 intègre toutes les fonctions éprouvées des versions

antérieures et propose quelques améliorations :

1. Nouvelle version du moteur de filtrage SpamTest.

Le nouveau moteur de filtrage intégré à Kaspersky

Anti-Spam 3.0 possède les caractéristiques suivantes :

• Performances et stabilité accrues ;

• Très peu gourmand en mémoire vive ;

• Trafic Internet (actualisation des bases de filtrage du contenu)

réduit.

2. Perfectionnement des méthodes de filtrage.

La presque totalité des méthodes d’identification du courrier indésirable

utilisées dans les versions antérieures ont été perfectionnées :

• Améliorations des algorithmes d'interprétation des objets HTML

dans les messages (renforce l'efficacité de la lutte contre les

différentes astuces employées par les spammeurs afin de

déjouer les filtres) ;

1

L'analyse porte sur les fichiers au format Plain text, HTML, Microsoft Word et RTF

(pour de plus amples renseignements, consultez le point 2.2.2 à la page 18).

8 Kaspersky

®

Anti-Spam 3.0

• Elargissement et amélioration du système d'analyse des en-

têtes des messages électroniques ;

• Perfectionnement de l'analyse des pièces jointes graphiques

(GSG) ;

• Ajout des technologies SPF (Sender Policy Framework) et

SURBL (Spam URL Realtime Blocklists).

• Intégration du service Urgent Detection System (UDS)

développé par Kaspersky Lab afin d'obtenir des données en

temps réel sur certains types de pourriels.

3. Interface utilisateur refondue.

Kaspersky Anti-Spam 3.0 utilise le Centre d'administration qui permet de :

• Configurer le logiciel : règles de filtrage, actions à exécuter sur

les messages, paramètres de performance, etc. ;

• Administrer les licences d'utilisation : installation des clés de

licence, consultation des données relatives à la licence

actuelle ;

• Surveiller le fonctionnement du logiciel et consulter les

statistiques.

4. Facilité de la configuration des stratégies de filtrage.

A partir de la version 3.0, la configuration des stratégies de filtrage

s'opère via l'interface intuitive du Centre d'administration, ce qui donne les

avantages suivants :

• Facilité de l'administration : l'interface dépouillée propose

une sélection minimale d'outils indispensables à l'administration

du système et offre de grandes possibilités d'adaptation du

système à des conditions d'exploitation particulières ;

• Configurations différentes en fonction des groupes

d'utilisateurs : il est possible pour chaque groupe distinct

d'activer ou de désactiver certaines méthodes de vérification et

de définir les actions à exécuter sur les messages.

5. Améliorations des outils d'intégration et des infrastructures du

logiciel :

• Les modules d’interaction avec les serveurs de messagerie tels

que Sendmail et Communigate Pro ont été refondus et

améliorés ;

• Mise au point d'un nouveau système de livraison des

actualisations des bases de filtrage du contenu ;

Kaspersky

®

Anti-Spam 3.0 9

• Tous les paramètres sont regroupés au sein d'un fichier de

configuration unique, ce qui contribue à la simplicité de la

configuration et de l'administration du système.

1.2. Licence

La politique de licence applicable à Kaspersky Anti-Spam 3.0 impose des

restrictions d'utilisation en fonction des critères suivants :

• Volume du trafic de messagerie ;

• Nombre d'adresses de courrier électronique protégées.

Les limitations indiquées sont applicables uniquement aux messages adressés

aux utilisateurs des domaines protégés. La liste des domaines protégés dont le

trafic de messagerie est filtré par le logiciel est composée à l'aide du Centre

d'administration (cf. point 4.3.4, p. 49). Le courrier adressé aux utilisateurs de

domaines qui ne figurent pas dans la liste n'est pas filtré.

Composez la liste des domaines à protéger avant de commencer à

utiliser Kaspersky Anti-Spam.

1.3. Configuration requise

Kaspersky Anti-Spam donnera les meilleurs résultats dans les configurations

suivantes :

• Processeur Intel Pentium III, 500 Mhz.

• Au moins 512 Mo de RAM disponible.

• Un des systèmes d’exploitation suivants :

• RedHat Linux 9.0.

• Fedora Core 3.

• RedHat Enterprise Linux Advanced Server 3.

• SuSe Linux Enterprise Server 9.0.

• SuSe Linux Professional 9.2.

• Mandrakelinux version 10.1.

• Debian GNU/Linux 3.1.

• FreeBSD 4.10.

10 Kaspersky

®

Anti-Spam 3.0

• FreeBSD 5.4 .

• Un des serveurs de messagerie suivant :

• Sendmail 8.13.5 avec prise en charge de Milter API.

• Postfix 2.2.2.

• Qmail 1.03.

• Exim 4.50.

• Communigate Pro 4.3.7.

• Les utilitaires bzip2 et which.

• Interprète Perl.

1.4. Contenu du pack logiciel

Vous pouvez acquérir Kaspersky Anti-Spam chez un distributeur ou détaillant, ou

en visitant un de nos magasins en ligne (par exemple, www.kaspersky.com/fr

,

rubrique Boutique en ligne).

• La boîte du logiciel contient :

• Une enveloppe cachetée contenant le CD d'installation où les fichiers du

logiciel sont enregistrés ;

• Le manuel de l’utilisateur ;

• La clé de licence, enregistrée sur une disquette spéciale ;

• La carte d’enregistrement (mentionnant le numéro de série du logiciel) ;

• Le contrat de licence.

Avant de décacheter l’enveloppe contenant le CD (ou les disquettes),

veuillez lire attentivement le contrat de licence.

Si vous achetez Kaspersky Anti-Spam en ligne, le fichier d'installation du logiciel

est téléchargé du site Web de Kaspersky Lab. Ce fichier d'installation inclut ce

guide de l'utilisateur. La clé de licence sera envoyée par courrier électronique

dès la réception du paiement.

Kaspersky

®

Anti-Spam 3.0 11

1.4.1. Contrat de licence

Le contrat de licence est l'accord légal conclu entre vous et Kaspersky Lab qui

précise les conditions d'utilisation du logiciel que vous venez d'acquérir.

Lisez attentivement le contrat de licence !

Si vous n’acceptez pas les termes du contrat de licence, vous pouvez retourner

la boîte contenant le logiciel au distributeur agréé qui vous l’a vendu et être

intégralement remboursé. Dans ce cas, l’enveloppe contenant le CD (ou les

disquettes) ne doit en aucun cas avoir été décachetée.

L'ouverture de l’enveloppe cachetée contenant le CD d’installation (ou les

disquettes) implique que vous acceptez les termes du contrat de licence.

1.4.2. Carte d’enregistrement

Veuillez remplir le talon détachable de la carte d’enregistrement en indiquant de

manière exhaustive vos coordonnées : nom de famille, prénom, numéro de

téléphone, adresse électronique (le cas échéant) et envoyez-le au distributeur

chez qui vous avez acheté ce logiciel.

Veuillez signaler toute modification de vos coordonnées (adresse

postale/électronique et numéro de téléphone) à l’organisation à laquelle vous

aviez envoyé le talon détachable de la carte d’enregistrement.

La carte d’enregistrement est le document attestant votre statut d’utilisateur

enregistré auprès de notre société. Ceci vous donne accès à notre service

d’assistance technique pendant la durée de validité de la licence. De plus, les

utilisateurs enregistrés qui s’abonnent au bulletin d’informations de Kaspersky

Lab Ltd. sont régulièrement informés du lancement de nouveaux logiciels.

1.5. Services réservés aux

utilisateurs enregistrés

Kaspersky Lab Ltd. offre à ses utilisateurs légalement enregistrés une gamme

élargie de prestations leur permettant d’augmenter l’efficacité d’utilisation du

logiciel Kaspersky Anti-Spam.

L’acquisition de la licence vous confère le statut d’utilisateur enregistré et durant

toute la période de validité de cette licence, vous bénéficiez des prestations

suivantes :

• Nouvelles versions de ce logiciel, fournies gratuitement ;

12 Kaspersky

®

Anti-Spam 3.0

• Assistance téléphonique et par voie électronique sur l'installation, la

configuration et l'utilisation de ce logiciel ;

• Avis de lancement des nouveaux logiciels de la société Kaspersky Lab et

informations sur l’apparition de nouvelles menaces sur les données dans

le monde (ne bénéficient de ce dernier service que les utilisateurs ayant

souscrit un abonnement au bulletin de Kaspersky Lab).

Le service d’assistance technique ne répond ni aux questions portant

sur le fonctionnement et l’utilisation des systèmes d’exploitation, ni à

celles sur le fonctionnement des différentes technologies.

1.6. Notations conventionnelles

Le texte de la documentation se distingue par divers éléments de mise en forme

en fonction de son affectation sémantique. Le tableau ci-après illustre les

conventions typographiques utilisées dans ce manuel.

Mise en forme Fonction sémantique

Caractères gras

Nom de menu, des options du menu,

des fenêtres, des éléments des boîtes

de dialogue, etc.

Remarque.

Informations complémentaires,

remarques.

Attention !

Informations auxquelles il est

recommandé d’accorder une attention

particulière.

Pour exécuter une

action,

1. Etape 1.

2. …

Description de la séquence d’étapes

que l’utilisateur doit suivre ou des

actions possibles.

Tâche ou exemple

Formulation du problème ou exemple

d’utilisation du logiciel

Kaspersky

®

Anti-Spam 3.0 13

Mise en forme Fonction sémantique

Solution

Solution du problème exposé

[argument] – valeur de l’argument.

Argument de la ligne de commande.

Texte des messages d'information et

de la ligne de commandes

Texte des fichiers de configuration, des

messages d'information et de la ligne de

commandes.

CHAPITRE 2. ARCHITECTURE

DE KASPERSKY ANTI-SPAM

ET PRINCIPES DE FILTRAGE

DU POURRIEL

Ce chapitre décrit les principaux composants du logiciel ainsi que les principes

de filtrage. Il présente également l'outil principal utilisé pour l'administration de

Kaspersky Anti-Spam, à savoir le Centre d'administration.

2.1. Composition du logiciel

Kaspersky Anti-Spam 3.0 est un système d'identification et de filtrage du pourriel

intégré au serveur de messagerie. Kaspersky Anti-Spam 3.0 n'est pas un

serveur de messagerie à part entière capable de recevoir le courrier, de le

relayer ou d'acheminer les messages électroniques dans les boîtes aux lettres

des utilisateurs finaux. L'architecture interne de Kaspersky Anti-Spam est

présentée dans l'illustration 1.

Illustration 1. Architecture de Kaspersky Anti-Spam

Architecture de Kaspersky Anti-Spam et principes de filtrage du pourriel 15

Kaspersky Anti-Spam contient les composants suivants :

• Modules clients : responsables de l'intégration du logiciel au serveur de

messagerie.

• Serveur de filtrage : composant chargé de l'analyse, du classement et

du traitement des messages. Le serveur de filtrage renferme des modules

auxiliaires qui lui permettent de réaliser son travail et qui assurent

l'intégration aux serveurs de messagerie :

• Module de filtrage : module chargé du filtrage du courrier

indésirable.

• Module de licence : module chargé de l'administration des

licences et de la liste des domaines protégés.

• Bases de filtrage du contenu : données exploitées par le

serveur de filtrage lors du classement des messages ; les mises

à jour des bases de filtrage du contenu sont publiées toutes les

20 minutes sur les serveurs de Kaspersky Lab.

• Module d'actualisation des bases de filtrage du contenu :

système chargé du téléchargement automatique des bases de

filtrage du contenu depuis les serveurs de mise à jour et de leur

installation en vue de l'utilisation par le serveur de filtrage du

pourriel.

• Centre d'administration : interface Web qui permet à

l'administrateur système de configurer le logiciel et d'analyser

son état et ses capacités.

• Système de surveillance : système chargé du contrôle de l'état

de Kaspersky Anti-Spam et de ses composants et qui signale à

l'administrateur les divers incidents qui surviennent lors de

l'utilisation du logiciel.

Les modules clients interviennent au niveau de l'intégration de Kaspersky Anti-

Spam à divers serveurs de messagerie. Chaque module client tient compte des

particularités du serveur de messagerie et du mode d'intégration sélectionné.

Kaspersky Anti-Spam est livré avec des modules clients pour les serveurs de

messagerie Sendmail, Postfix, Exim, Qmail et Communigate Pro.

En règle générale, le module client est installé en guise de filtre et il reçoit du

serveur les messages à filtrer et renvoie les messages modifiés.

C'est le serveur de messagerie qui lance les modules clients. Sendmail constitue

la seule exception en la matière. Le serveur de messagerie peut lancer plusieurs

modules clients afin de pouvoir traiter plusieurs messages en parallèle.

Consultez le point A.2 à la page 91 pour obtenir de plus amples informations sur

les modules clients et les modes d'intégration aux serveurs de messagerie.

16 Kaspersky

®

Anti-Spam 3.0

Quelles que soient les particularités d'un module client ou d'un autre, son

interaction avec le serveur de filtrage s'opère via le socket de réseau ou le

socket local à l'aide du protocole interne d'échange de données.

Le serveur de filtrage répond aux requêtes des clients, reçoit les messages à

vérifier et renvoie les résultats.

Dans le cadre de la procédure d'installation standard, le serveur de messagerie

avec le module client intégré et le serveur de filtrage sont installés sur la même

machine.

Il est possible toutefois d'installer le serveur de filtrage de Kaspersky Anti-Spam

sur un serveur distinct : dans ce cas, les modules clients tournant sur un autre

ordinateur (serveur) échangeront les données avec le serveur de filtrage via le

réseau local en utilisant le protocole TCP.

Lorsqu'il tourne sur un ordinateur dédié, le serveur de filtrage peut surveiller

simultanément plusieurs serveurs de messagerie à condition que la puissance

de l'ordinateur utilisé soit suffisante pour traiter l'ensemble du trafic de

messagerie.

Le serveur de filtrage contient :

• Le module de filtrage chargé de la vérification du courrier.

• Le module de licence, chargé de vérifier l'existence d'une clé de licence

active et le respect des restrictions imposées par la licence acquise.

• Le démon de traitement des requêtes SPF.

• Le script de chargement et de compilation automatique de l'actualisation

des bases de filtrage du contenu.

• Le Centre d'administration.

• Les programmes et les scripts auxiliaires.

Le processus maître de filtrage (ap-process-server) est le composant principal

du module de filtrage. Il remplit les fonctions suivantes :

• Suivi des requêtes de connexion au processus de filtrage émanant des

modules clients ;

• Lancement de nouveaux processus de filtrage lorsque tous les processus

existants sont occupés ;

• Contrôle de l'état des processus exécutés ;

• Arrêt des processus fils suite à la réception du signal correspondant (par

exemple, SIGHUP).

Lorsque le trafic de messagerie est volumineux, le nombre de processus de

filtrage exécutés peut atteindre plusieurs dizaines. Lorsque la charge sur le

Architecture de Kaspersky Anti-Spam et principes de filtrage du pourriel 17

serveur de messagerie diminue, les processus de filtrage libérés s'arrêtent. Les

nombres maximum et minimum de processus de filtrage exécutés sont définis

dans les paramètres du serveur de filtrage (cf. point A.3.1, p. 109).

Le processus de filtrage (ap-mailfilter) charge les stratégies de filtrage utilisées

ainsi que les bases de filtrage de contenu lorsqu'il est lancé. Une fois que la

connexion avec le module client a été établie, le processus de filtrage reçoit de

celui-ci les en-têtes et le corps des messages, les analyse et renvoie au module

les résultats de ces analyses.

Si l'expéditeur du message doit être vérifié conformément à la stratégie SPF, le

processus de filtrage transmet la requête au démon SPF

(ap-sfpd) qui se chargera de sonder le serveur DNS avant de renvoyer les

résultats de l'analyse au processus de filtrage.

L'analyse des messages et l'application des règles définies dans les stratégies

de filtrage sont possibles uniquement lorsqu'il existe une clé de licence en cours

de validité.

Toutes les vérifications liées à la licence incombent au module de licence (kas-

license) sur requête du processus de filtrage.

Lorsqu'il a terminé de traiter un message, le processus de filtrage ne s'arrête pas

pour autant : il attend la requête suivante. Le processus de filtrage s'arrête

uniquement lorsqu'il a traité le nombre maximum de messages pour un

processus (en général, 300) ou lorsqu'il reste trop longtemps en attente.

L'exécution du script de chargement automatique des mises à jour

(sfupdates) est programmée (à l'aide du service cron). Il permet de télécharger

la dernière version des bases de filtrage de contenu depuis les serveurs de mise

à jour, de récolter les versions de la base et de l'installer en vue d'une utilisation

par le serveur de filtrage.

Le Centre d'administration est une interface Web qui permet à l'administrateur

du système de configurer le logiciel et les stratégies de filtrage du pourriel.

Le système de surveillance contrôle l'état des composants de Kaspersky Anti-

Spam et prévient l'administrateur du système chaque fois qu'un incident survient

dans le fonctionnement du serveur de filtrage et des autres composants du

logiciel.

Kaspersky Anti-Spam 3.0 traite le flux de messagerie selon l'algorithme suivant :

1. Le module client du logiciel s'intègre au serveur de messagerie installé.

2. Le serveur de messagerie transmet les messages au module client en

vue d'une analyse par le serveur de filtrage.

3. Le serveur de filtrage recherche la présence d'indices de pourriel dans

les messages et en fonction du résultat obtenu, il modifie les messages

conformément aux règles définies.

18 Kaspersky

®

Anti-Spam 3.0

4. Les messages traités sont renvoyés au serveur de messagerie par le

module client en vue d'être envoyés aux destinataires.

2.2. Technologies d'identification

Kaspersky Anti-Spam est un puissant outil de détection des pourriels dans le flux

de messagerie électronique. Cette rubrique est consacrée au survol des

technologies d'identification du pourriel mise en oeuvre dans le logiciel.

2.2.1. Analyse des signes formels

Cette méthode exploite un ensemble de règles qui reposent sur la vérification de

la présence de champs d’en-tête déterminés dans un message et sur la

comparaison de ceux-ci à une sélection de champs d’en-tête propres aux

messages non sollicités. En plus de l’analyse des en-têtes lors de la découverte

de messages non sollicités, le système tient compte de la structure du message,

de sa taille, de la présence de pièces jointes et d’autres indices similaires.

La méthode permet également d’analyser les données transmises par

l’expéditeur lors d’une séance SMTP. L’analyse porte plus particulièrement sur

les informations suivantes :

• Adresse IP du serveur d’où arrive le message et présence de celle-ci

dans les listes "noire" ou "blanche" d'expéditeurs ;

• Adresse IP des serveurs intermédiaires de transmission tirée du champ

Received de l'en-tête ;

• Adresses électroniques de l’expéditeur et des destinataires transmises

dans les commandes de la séance SMTP ;

• Présence des adresses de l’expéditeur et des destinataires dans les listes

"noire" ou "blanche" d'adresses ;

• Correspondance entre les adresses transmises dans la séance SMTP et

le groupe d’adresses indiquées dans les en-têtes des messages ainsi que

toute une série d’autres vérifications.

2.2.2. Filtrage du contenu

Kaspersky Anti-Virus 3.0 réalise un filtrage au niveau du contenu lors de

l’analyse des messages électroniques. Qui plus est, les technologies

intelligentes permettent d’analyser non seulement le contenu du message (y

compris le champ Subject de l'en-tête), mais également les pièces jointes au

format suivant :

Architecture de Kaspersky Anti-Spam et principes de filtrage du pourriel 19

• Texte : plain text (ASCII, non multioctet) ;

• HTML (2.0, 3.0, 3.2, 4.0, XHTML 1.0) ;

• Microsoft Word (version 6.0, 95/97/2000/XP) ;

• RTF.

Le filtrage du courrier indésirable vise à réduire le nombre de messages

sollicités qui arrivent dans les boîtes aux lettres des utilisateurs. Il est

impossible de garantir une exclusion à 100 pour cent du courrier

indésirable car des critères de filtrage trop stricts entraîneraient le rejet

de messages normaux.

Trois groupes de méthodes sont utilisés pour identifier le courrier indésirable :

• Comparaison du message à des exemples sémantiques de diverses

catégories (sur la base de la recherche de mots clés dans le corps du

texte (mots et expressions) et leur analyse de probabilité ultérieure).

Cette méthode lance une recherche heuristique de phrases et de

tournures typiques dans le texte.

• Comparaison du message analysé à un ensemble d’exemples au

niveau des signatures. Cette méthode permet d’identifier les modifications

de messages non sollicités.

• Analyse des pièces jointes graphiques.

Toutes les données utilisées par Kaspersky Anti-Spam pour le filtrage au niveau

du contenu (répertoire (liste hiérarchisée des catégories), exemples de message,

termes caractéristiques sont sauvegardées dans les bases de filtrage du contenu

L'équipe de spécialistes de l'identification du courrier indésirable de

Kaspersky Lab travaille en permanence à l'enrichissement des bases

de filtrage de contenu. Il est dès lors conseillé d'actualiser ces bases

régulièrement (cf. point 4.4, p. 57).

Kaspersky Lab accepte également les échantillons de pourriels qui

n'ont pas été identifiés par Kaspersky Anti-Spam ainsi que les

messages considérés par erreur comme courrier indésirable. Ces

échantillons nous aideront à améliorer nos bases de filtrage du contenu

et à réagir plus efficacement face aux nouveaux types de courrier

indésirable. Pour obtenir de plus amples informations, consultez le point

0 à la page 130.

20 Kaspersky

®

Anti-Spam 3.0

2.2.3. Vérification à l'aide de services

extérieurs

En plus de l’analyse du texte et des en-têtes de message, Kaspersky Anti-Virus

permet de réaliser les vérifications suivantes à l’aide de services de réseau

externes :

• Recherche de l’adresse IP de l’expéditeur dans le DNS (reverse DNS

lookup) ;

• Recherche de l’adresse IP de l’expéditeur dans un ou plusieurs services

DNSBL (DNS-based black hole list) ;

• Correspondance entre l’adresse de l’expéditeur et la stratégie SPF

(Sender Police Framework) du domaine auquel appartient le serveur de

messagerie qui a envoyé le message ;

• Vérification des liens du message dans la base des adresses de pourriel

grâce au service SURBL (Spam URL Realtime Blocklists, www.surbl.org

).

• Identification des messages électroniques grâce à la technologie UDS

(Urgent Detection System).

Toutes ces vérifications, à l'exception des vérifications UDS, reposent sur

l’utilisation du protocole DNS et ne requièrent aucune configuration

complémentaire du réseau.

2.2.4. Technologie UDS (Urgent Detection

System)

La technologie UDS (Urgent Detection System) est une technologie originale

développée et soutenue par Kaspersky Lab pour l'identification des messages

non sollicités. Cette technologie repose sur les principes suivants :

1. Les indices contribuant à l'identification du courrier sont isolés dans le

message à analyser. Ces indices peuvent regrouper des informations

des en-têtes, des extraits de texte et d'autres renseignements sur le

message traité.

2. Sur la base des indices obtenus, le serveur de filtrage compose une

requête UDS compacte et l'envoie à un des serveurs UDS de

Kaspersky Lab.

La page charge ...

Kaspersky ANTI-SPAM 3.0 Le manuel du propriétaire

Kaspersky ANTI-SPAM 3.0 Le manuel du propriétaire

Documents connexes

Autres documents