20 Oct 2018 
Centre d'assistance » Base de connaissances » Filtrer les emails sur le From de l'entête
 Connexion [Mot de passe perdu] 
Courriel:
Mot de passe:
Se souvenir de moi:
 
 Recherche
 Détails des articles
 Filtrer les emails sur le From de l'entête
Solution IceWarp toutes versions -

Il arrive de recevoir des messages frauduleux (contenant des virus ou des liens dangereux) dont l'expéditeur semble être un compte local voir notre propre compte.
Cette méthode pour cacher l'expéditeur est facile à mettre en œuvre par les hackers et a pour objectif de tromper et/ou de rassurer le destinataire du message.

Il faut savoir que dans le mécanisme de transmission des messages (protocole SMTP et RFC822) il y a deux indications pour l'origine du message et deux indications pour le destinataire, voici comment on les distingue :
- Le Mail From (appelé Expéditeur) est l'adresse de l'expéditeur indiquée dans l'échange SMTP (un certain nombre de contrôles sont effectués sur cette adresse mais rien ne prouve que l'expéditeur a réellement le droit d'utiliser cette adresse).
- Le From est adresse de l'expéditeur qui apparaît dans le client de messagerie (c'est une information contenue dans le message et sur laquelle il n'y a aucun contrôle)

- Le RCPT To (appelé Destinataire) qui est envoyé dans l'échange SMTP est le destinataire réel du message (le message sera remis dans l'inbox de l'adresse indiquée par le RCPT To)
- Le To est l'adresse du destinataire qui apparaît dans le client de messagerie
(c'est une information contenue dans le message et sur laquelle il n'y a aucun contrôle)

On peut avoir par exemple :
Un From contenant le domaine local alors que le message vient d'un tout autre domaine
Le To peut être l'adresse du destinataire mais peut être aussi n'importe quelle adresse du domaine ou d'un autre domaine
Le To peut être égal au From, cela permet au spammeur de n'utiliser qu'une seule adresse locale.

Pour ne pas transmettre ces messages aux destinataires, il est possible de créer des filtres.
Il faut toutefois faire attention que les messages utiles ne sont pas toujours aussi conformes au standard que cela ne le paraît (où le From et le To sont identiques à l'expéditeur et au destinataire réel du message)
Beaucoup de messages ont des destinataires multiples ce qui complique les tests sur le To.

From local mais Expéditeur non local
Comme ces manipulations sont surtout gênantes lorsque le From est une adresse locale, on peut mettre une condition pour le tester.

Il faut utiliser une requête SQL pour savoir si le domaine du From appartient à la table des comptes locaux (les comptes doivent être stockés dans une base de données : cf. Système -> Stockage -> onglet Comptes de la console d'administration) :

Select * from domains where (D_Domain='%%From_Domain%%')

%%From_Domain%% contient la partie domaine de la première adresse de l'entête From
Cette requête doit être introduite dans une condition "Si SQL retourne valeur enregistrements" dans laquelle il faut renseigner les paramètres de la base de données Comptes.

Le filtre est alors le suivant :



Il dit que si la session n'est pas authentifiée ou de confiance et que le From est local, il faut supprimer le message.
Le message supprimé est placé dans un compte spécial (spam) de façon à pouvoir être contrôlé.

Attention : les messages qui proviennent d'un compte distant (POP3 ou IMAP) sont considérés comme non authentifiés ni de confiance, ils sont donc arrêtés par ce test. Il faut ajouter un test sur le destinataire du compte distant.

On suppose que l'option suivante : Email -> Sécurité -> onglet Général -> "Rejeter émetteur non autorisé dans domaine local" est cochée ce qui signifie que si l'expéditeur est local, il est forcément authentifié ou de confiance.
Cocher cette option est indispensable à la sécurité du serveur. Si toutefois elle ne l'était pas, il faudrait en plus vérifier que l'Expéditeur n'est pas local.

From différent de l'Expéditeur
En suivant ce lien, vous trouverez des filtres qui testent que le From est différent de l'expéditeur SMTP. Mais en réalité, beaucoup de messages authentiques sont dans ce cas et il est donc difficile de trier les spams des autres :

https://esupport.icewarp.com/index.php?/Knowledgebase/Article/View/413/0/how-to-block-spoofing

From égal à To
Voici un filtre qui supprime les emails dont la première adresse du From est contenue dans le To sauf si la session SMTP est authentifiée ou que le serveur expéditeur a une adresse email de confiance :



Il est possible que certains messages authentiques soient supprimés par ce filtre, par exemple : si l'expéditeur envoie un message à des destinataires en copie cachée (Cci) et qu'il se met en destinataire principal (A).

En ajoutant l'archivage des mails supprimés dans une boîte spécifique pour contrôle par un administrateur, on obtient le filtre suivant :
 



Ces filtres sont téléchargeables ici et sont à dézipper et à importer dans le menu Mail -> Règles -> onglet Filtres de contenu et à adapter à votre besoin.

Il est possible de combiner ces filtres pour arrêter les messages gênants sans bloquer les messages attendus.



Maj 14 décembre 2016




Détails des articles
Code d'identification de l'article: 358
Créé le: 15 Jul 2013 01:37 PM

 Cette réponse m'a été utile  Cette réponse ne m'a pas été utile