Serveur Anti-spam, Solution Anti-spam
Filtez vos courriels efficacement
La solution anti-spam que nous proposons est basée sur le système d'exploitation Linux Debian. Elle est composée de plusieurs modules qui interagissent entre eux afin de donner les meilleures capacités de filtrage possible. Ci-dessous, vous trouverez un schéma de l'interaction des différents modules et plus bas, une explication du rôle de chaque module.
Postfix
Postfix est le serveur SMTP linux le plus répandu sur Internet. Dans la configuration du serveur Anti-Spam, il s'insère à deux endroits dans la suite de processus dans laquelle chaque courriel passe. Il reçoit les courriels de l'Internet, les renvois au processus Amavisd et à la toute fin, les reprends d'Amavisd pour les envoyer au serveur de courriels à l'interne.
Postfix offre certaines capacités de filtrage de base. Il offre la possibilité de faire du "hard white/black listing" à l'entrée du serveur, ce qui évite de faire traiter des messages d'expéditeurs non désirés inutilement (nous reviendrons sur le "soft white/black listing" plus loin). Il peut également faire une vérification de l'existence du destinataire afin de rejeter, dès le départ, les spams destinés à des destinataires inexistants.
Amavisd
Amavisd est un programme qui s'occupe de l'interaction des différents services Anti-Spam disponibles. Dans ce cas-ci, il reçoit les courriels du serveur SMTP Postfix et les relais à ClamAV (anti-virus). ClamAV retourne par la suite le courriel à Amavisd. À ce point, si le courriel est infecté par un virus, il sera envoyé en quarantaine ou simplement supprimé.
Si aucun virus n'est détecté, Amavisd l'envoi à SpamAssassin qui fait passer le courriel dans plusieurs filtres, internes ou externes à SpamAssassin et donne un score au courriel entre -99 et 99. Le courriel est ensuite retourné à Amavisd qui fera le "soft white/black listing". Le "soft white/black listing" consiste à ajouter ou soustraire un certain nombre de points au score du courriel de certains expéditeurs (filtrage au niveau de l'usager ou du domaine d'expédition) afin d'augmenter ou de réduire le niveau spam du message.
Selon le score final du courriel, Amavisd l'envoi au destinataire sans altération (détecté comme non-spam), ajoute un en-tête (par exemple : SPAM->) au sujet du courriel (détecté comme spam potentiel), ou l'envoi directement en quarantaine (détecté comme spam).
ClamAV
ClamAV est un système anti-virus "open-source" fonctionnant sous linux (il existe des versions fonctionnant sous Windows). Bien qu'il puisse filtrer des fichiers normaux sur poste de travail, il est principalement utilisé pour des fins de filtrage de courriels. Il dispose de mises-à-jour fréquentes (et automatisées) et il est possible d'ajouter de nouvelles définitions de virus, afin d'optimiser le filtrage. Dans le Spam-Filter, nous utilisons un fichier de définitions spécialisé dans la détection de courriels d'hameçonnage.
SpamAssassin
SpamAssassin est le plus reconnu des systèmes anti-spam. Il se retrouve dans plusieurs solutions anti-spam commerciales sous Windows. SpamAssassin vient à la base avec plusieurs filtres et il est possible d'en ajouter de nouveaux. Chaque filtre dispose d'un score soit en positif (Spam) ou en négatif (Ham). Une fois tous les filtres passés, le message obtient un score de spam qui est la somme du score de chaque filtre.
Un des filtres est celui de l'analyse Bayesienne. L'analyse Bayesienne s'appuie sur une base de données locale de checksum de spam et de ham. Au tout début de l'intégration du serveur, nous donnons des messages de spam et de ham à apprendre à SpamAssassin afin qu'il puisse les ajouter à sa base de données Bayes. Par la suite, SpamAssassin vérifie l'existence de checksum connus dans la base de données et donne un score au courriel en fonction du pourcentage de probabilités.
Razor, Pyzor et DCC
Razor, Pyzor et DCC sont des systèmes d'indexations publiques de "checksum". Ils sont appelés comme filtres par SpamAssassin. Lorsqu'ils sont appelés, chacun des modules se connecte à son serveur public de "checksum" respectif, compare le courriel traité avec les bases de données publiques et lui assigne un score. Nous utilisons ces trois systèmes simultanément afin de profiter d'un maximum de spam indexés et de plus, si un spam est rapporté dans les trois index, le score du courriel grimpera en flèche, ce qui nous assure qu'il sera filtré comme spam à 100% et non pas comme spam potentiel.
FuzzyOCR
Depuis l'été passé, les spammeurs ont évolué leur technique de spam, afin de mieux passer au travers des filtres anti-spam en insérant leur message dans des images, afin de contourner le filtrage à partir du texte. Afin de contrer cette nouvelle forme de spam, le module FuzzyOCR a vu le jour. FuzzyOCR traite les fichiers d'images attachés au courriel, il reconnait les caractères et les mots insérés dans l'image et attribut également un score en fonction du nombre de mots qui correspondent avec la liste de mots de type spam (liste qui peut être ajustée selon les besoins du client). Le module est également conçu pour lire le texte des images malgré le fait qu'il soit brouillé par les spammeurs pour contourner les programmes OCR mais lisible par un être humain.
Installation et intégration à l'environnement client
Du coté matériel, le serveur peut être sur un serveur physique dédié ou intégré dans une machine virtuelle VMware. Peu importe le serveur, il doit être extrêmement fiable (au minimum un raid disque miroir) étant donné l'importance des services courriels pour l'entreprise. L'implantation se fait en plusieurs étapes divisées en 2 phases principales; la phase de pré-installation et la phase de rodage.
Phase d'installation
La phase d'installation consiste à faire l'installation et la configuration logicielles des composantes décrites ci-dessus, la modification de l'enregistrement MX (si nécessaire), la récolte de messages de spam (et de ham si possible) afin de les faire apprendre par SpamAssassin (base de données Bayes).
Phase de rodage
Une fois que le serveur est en place et qu'il commence à filtrer les courriels, il faut prévoir une période de rodage du serveur afin de faire les ajustements des différents filtres. Durant cette période, un technicien doit revoir quotidiennement les spam en quarantaine afin de rechercher les courriels faussement détectées comme spam (ham), les faire apprendre à SpamAssassin et si nécessaire, ajuster le score des filtres et créer de nouveaux filtres personnalisés. La période de rodage peut s'étendre de deux à trois mois. Cette période peut paraitre longue, mais il faut implémenter les changements au compte goutte et évaluer les conséquences de chacune des modifications, afin d'éviter d'empirer la situation.
Autres considérations
L'installation d'un serveur Anti-Spam n'est pas un projet qui se termine à la fin de la période de rodage. Il faut considérer que les spammeurs changent continuellement de stratégies et que l'implantation de nouveaux modules et filtres peuvent être nécessaire. Donc, il s'agit d'un serveur sur lequel la configuration doit changer de temps à autre.