Le gardien de courrier SpIDer Mail est inclus par défaut dans le jeu de composants installés. Il réside en permanence en mémoire et démarre de manière automatique au démarrage du système d'exploitation.
En cas de licence relative au package Antivirus+Antispam (conformément au fichier clé), le gardien de courrier peut également effectuer l'analyse antispam du courrier avec Dr.Web Antispam.
La configuration de SpIDer Mail définie par défaut est optimale et assure un maximum de protection avec une intervention minimale de l'utilisateur. Cependant, elle empêche d'utiliser certaines fonctionnalités des clients de messagerie (par exemple, l'envoi d'un message à de multiples adresses peut être classé comme envoi massif, le spam reçu n'est pas classé), l'option permettant d'obtenir des informations utiles des messages supprimés automatiquement (depuis la partie texte non infectée) n'est pas utilisée. Les utilisateurs exérimentés peuvent modifier les options de l'analyse du courrier et la configuration de réaction du gardien de courrier SpIDer Mail en cas d'événements divers.
Traitement des messages
Paramétré par défaut, le gardien de courrier SpIDer Mail intercepte de façon automatique toutes les requêtes envoyées par n'importe quel client de messagerie tournant sur votre ordinateur vers des serveurs de messagerie, exécutées via les ports standard liés aux protocoles correspondants. Les ports standard sont les suivants :
◆pour le protocole POP3 - port 110 ;
◆pour le protocole SMTP - port 25 ;
◆pour le protocole IMAP4 - port 143 ;
◆pour le protocole NNTP - port 119.
Dans certains cas, l'interception automatique des connexions POP3, SMTP, IMAP4 et NNTP n'est pas possible. Dans ce cas, vous pouvez paramétrer l'interception manuelle des connexions.
Le gardien de courrier SpIDer Mail réceptionne chaque message entrant à la place du logiciel de messagerie et le contrôle avec un niveau de détail maximum. Si aucun virus ou objet suspect n'est détecté, le message est transféré au logiciel de messagerie de manière "transparente" comme s'il était reçu directement depuis le serveur. Les messages sortants sont contrôlés de la même façon avant d'être envoyés au serveur.
|
La fonction d'analyse antispam n'est disponible que dans le cas où Dr.Web Agent fonctionne conformément à la licence Antivirus+Antispam. |
Les technologies de filtrage antispam Dr.Web exploitent plusieurs milliers de règles qui peuvent être divisées en différents groupes :
◆analyse heuristique est une technologie très intelligente qui analyse de façon empirique toutes les parties d’un message : en-tête, corps du message, etc. ainsi que les pièces jointes ;
◆filtrage de contre mesure est une technique qui consiste à contrer et à déjouer les techniques utilisées par les spammeurs pour contourner la détection ;
◆analyse basée sur les palettes HTML – les messages contenant des codes HTML sont comparés à une liste de palettes reconnues par la bibliothèque antispam ;
◆analyse sémantique est une analyse au cours de laquelle les mots et phrases d’un message sont comparés aux mots et phrases typiquement utilisés dans le spam. Un dictionnaire spécifique est utilisé afin d’analyser aussi bien les éléments visibles qu'invisibles, comme par exemple des mots, expressions et symboles cachés par des techniques spéciales des spammeurs ;
◆technologie anti-scamming consiste à utiliser un module spécialisé pour filtrer les messages scam (comme les messages pharming – une variante des messages –scam) qui intègrent les « Nigerian » scams, loan scams, lottery et casino scams et les faux messages de banques ou organismes de crédit ;
◆filtrage de spam technique – il s’agit des messages dits Bounce qui peuvent être considérés soit comme une réaction sur des virus, soit comme une activité virale. Un module antispam spécialisé classe de tels messages comme indésirables.
Réactions de SpIDer Mail
Par défaut, la réaction du gardien SpIDer Mail sur des messages entrants infectés ou suspects, ainsi qu'en cas de messages non vérifiés (par exemple les messages ayant une structure très compliquée) est la suivante :
◆les informations malveillantes seront enlevées des messages infectés (cette action est désignée comme désinfection du message), puis ces messages sont délivrés de façon ordinaire ;
◆les messages contenant des objets suspects seront déplacés sous forme de fichiers séparés vers la Quarantaine, une notification sera envoyée vers le client de messagerie (cette action est désignée comme déplacement du message) ;
◆les messages non infectés ainsi que ceux non vérifiés seront délivrés sans modification (ils sont désignés comme laissés passer) ;
◆tous les messages supprimés ou déplacés sont également enlevés depuis les serveurs POP3 ou IMAP4.
Les messages infectés ou suspects ne sont pas transmis au serveur, l'utilisateur sera notifié sur le refus d'envoi du message (en général, le client de messagerie sauvegarde ce type de message).
En cas de virus inconnu pouvant se propager via le courrier électronique, le gardien de courrier SpIDer Mail peut détecter les signes d'un comportement typiquement viral (envois massifs). Cette option est activée par défaut.
Le gardien de courrier SpIDer Mail offre une possibilité de vérifier les messages entrants pour lutter contre le spam avec Antispam Dr.Web. Par défaut l'option est activée.
Analyse des messages par d'autres moyens
Le gardien SpIDer Guard et le Scanner Dr.Web peuvent aussi détecter des virus dans les boîtes aux lettres de certains formats, cependant le gardien SpIDer Mail offre quelques avantages :
◆Tous les formats de BAL ne sont pas supportés par le gardien SpIDer Guard et le Scanner Dr.Web ; en cas d'utilisaton du gardien SpIDer Mail, les messages infectés n'arrivent pas dans les BAL ;
◆Par défaut, SpIDer Guard ne vérifie pas les BAL, l'activation de cette option diminue considérablement les performances du système ;
◆Le Scanner Dr.Web vérifie les BAL soit à la demande de l'utilisateur, soit selon une planification, mais pas au moment de la réception du courrier, de plus cette procédure consomme beaucoup de ressources et prend du temps.
Ainsi, parmi tous les composants de Enterprise Security Suite paramétrés par défaut, le gardien de courrier SpIDer Mail est le premier à détecter des virus et objets suspects propagés via le courrier électronique et les empêche de pénétrer l'ordinateur. Son fonctionnement consomme très peu de ressources système, ainsi l'utilisation des autres compostans pour l'analyse des fichiers email n'est pas indispensable.
Configuration du gardien
La configuration du gardien SpIDer Mail varie en fonction de la version du gardien installée. Il existe deux versions du gardien SpIDer Mail :
Avant l'installation du gardien, la version du système d'exploitation est reconnue de façon automatique, puis une version appropriée de SpIDer Mail est installée (voir Pré-requis système).
Si nécessaire (par exemple en cas d'exécution d'une tâche très sensible à la charge du processeur en temps réel) vous pouvez désactiver temporairement le fonctionnement du gardien.