Base de connaissances / Knowledge base

Guide d'utilisation du service Zspam (08.12.06)
Zspam manuel v1.01

© S y s C o ® // L. Zimmerli // X. Baumgartner // 05/12/2006

Note : cette documentation reprend l’ordre et la nomenclature de la page d’index du front-end web.

1 Mise à jour des listes

Ce lien reconstruit les listes Ztrimailer depuis les fichiers de travail (listes d’accès, listes IMail, etc). Lorsque l’on fait des modifications, ce lien doit être le dernier à être cliqué ; il lancera les processus de prise en compte des modifications.

2 Listes Imail

Ouvre sur un répertoire comprenant les scripts et les fichiers faisant office de pont entre Imail et Zspam. Il n’y a normalement pas de raison de lancer l’un des scripts à la main, le tout étant lancé depuis la machine IMail.

3 Voir la liste d’accès Ztrimailer complète

Permet de voir la liste d’accès complète utilisée par sendmail. Si vous venez de faire des modifications mais n’avez pas fait ’Mettre à jour’, cette liste ne comprend pas vos modifications. De même, si vous avez fait des modifications et fait ’Mettre à jour’ mais il y a moins de 4 minutes, il est possible que la liste présentée ici ne comprenne pas encore vos modifications. En cas de modification récente, attendez au moins 4 minutes après ’Mettre à jour’ afin d’être certain de voir la liste actualisés.

4 Voir la table de relais

Affiche la liste des domaines relayés avec le type et le FQDN du relais vers lequel se fait l’acheminement. En cas de modification récente, attendez au moins 4 minutes après ’Mettre à jour’ afin d’être certain de voir la liste actualisés.

5 Voir la liste de domaines relayés

Affiche la liste des domaines relayés. En cas de modification récente, attendez au moins 4 minutes après ’Mettre à jour’ afin d’être certain de voir la liste actualisés.

6 Infos MX

Affiche les informations de DNS des domaine gérés.
Note : cette fonction n’est disponible que sur l’implémentation SC (script externe).

7 Statistiques

7.1 Synthèse hebdo

Récapitule les statistiques de manière hebdomadaire. C’est ici que l’on trouve le ’Tx spam’. (Note : les colonnes ’Declude’ et ’Mails clients’ ne sont disponibles que s’il y a un second antismap sur IMail - Declude, en l’occurrence -).

7.2 Détail Ztrimailer

Détail hebdomadaire des mails refusés sur les bases de Ztrimailer.

7.3 Détail greylisting

Détail quotidien des nombres d’entrées dans les deux listes du greylisting, et statistique hebdomadaire du greylisting.

8 Listes accès

8.1 Définition

Les listes de cas à ne pas passer dans Ztrimailer, mais à accepter de toute façon (Accept) ou à refuser de toute façon (Reject).

8.2 Accept (Whitelist)

Liste des cas à accepter même si un filtre Ztrimailer refuserait de relayer le mail. Sert par exemple à accepter des serveurs étant noté comme ’spameur’ dans une liste DNSBL (typiquement : une passerelle SMTP de FranceTelecom ayant été utilisée pour relayer un spam).

8.2.1 Ajouter une entrée à la liste

On peut ajouter ici une entrée à la whitelist Ztrimailer. On indiquera la méthode (Connect : agit sur l’IP/FQDN ouvrant la connexion sur le port 25 de la machine Zspam, From : agit sur l’adresse de l’expéditeur et To : agit sur l’adresse du destinataire.). Notez que l’adresse ’From :’ peut être fausse ou inventée ; dans la mesure du possible travaillez plutôt avec Connect et To. Et si vous devez utiliser From tâchez de contraindre à une adresse email plutôt que d’ouvrir à tout un domaine (car n’importe quel spam faisant passer son From pour ce domaine passer outre Zspam et sera accepté).

Le motif pourra être, selon la méthode, tout ou partie d’une adresse IP (Ex : 123.45.67.89 ou 123.45), d’un FQDN (Ex : host.domain.com ou .domain.com) ou d’une adresse email (ex : user@domain.con ou domain.com).

Le commentaire ne sert pas à Zspam mais uniquement à garder un mot sur la raison de l’ajout dans la liste.

’Pas effacer avant’ fait partie du commentaire et n’est pas utilisé par Zspam. C’est juste un reminder pour l’administrateur, pour se souvenir éventuellement d’une date limite au-delà de laquelle il faut effacer l’entrée de la liste (Mais cela ne se fait pas automatiquement! )

8.2.2 Liste

La liste ’accept’ complète. Pour effacer une entrée, il suffit d’en effacer le motif puis de cliquer sur le bouton ’Envoyer’ en bas de page. il est bien entendu aussi possible de modifier une ou plusieurs entrées.

8.3 Reject (Blacklist)

8.3.1 Ajouter une entrée à la liste

On peut ajouter ici une entrée à la blacklist Ztrimailer. On indiquera la méthode (Connect : agit sur l’IP/FQDN ouvrant la connexion sur le port 25 de la machine Zspam, From : agit sur l’adresse de l’expéditeur et To : agit sur l’adresse du destinataire.). Notez que l’adresse ’From :’ peut être fausse ou inventée. Notez que l’adresse ’From :’ peut être fausse ou inventée ; dans la mesure du possible travaillez plutôt avec Connect et To. Et si vous devez utiliser From tâcher de contraindre à une adresse email plutôt que de fermer à tout un domaine (car n’importe quel spam faisant passer son From pour ce domaine passera outre Zspam et sera refusé).

Le motif pourra être, selon la méthode, tout ou partie d’une adresse IP (Ex : 123.45.67.89 ou 123.45), d’un FQDN (Ex : host.domain.com ou .domain.com) ou d’une adresse email (ex : user@domain.con ou domain.com).

Le commentaire ne sert pas à Zspam mais uniquement à garder un mot sur la raison de l’ajout dans la liste.

’Pas effacer avant’ fait partie du commentaire et n’est pas utilisé par Zspam. C’est juste un reminder pour l’administrateur, pour se souvenir éventuellement d’une date limite au-delà de laquelle il faut effacer l’entrée de la liste (Mais cela ne se fait pas automatiquement! )

8.3.2 Liste

La liste ’reject’ complète. Pour effacer une entrée, il suffit d’en effacer le motif puis de cliquer sur le bouton ’Envoyer’ en bas de page. il est bien entendu aussi possible de modifier une ou plusieurs entrées.

9 Trafic redirect

9.1 Définition

Le trafic redirect concerne les domaines (et donc adresses) qui sont géré par Zspam, routés vers IMail mais que IMail relaie encore plus loin, typiquement sur le serveur mail ’intra muros’ de l’entreprise cliente. Ces comptes ne sont donc pas gérés par IMail et doivent être ajoutés à Zspam pour autoriser le relai.

9.2 Ajouter des éléments au trafic redirect

Le premier formulaire permet d’ajouter un domaine au trafic redirect.

9.3 Ajouter une adresse à un domaine existant

Le second formulaire sert à ajouter des adresses email sur un domaine ’trafic redirect’ existant. Notez que l’entrée de l’adresse se fait en deux parties : ce qui est avant le @ dans le champs texte et ce qui est après le @ est à choisir dans le menu déroulant.

10 Greylisting

10.1 Définition

Le greylisting est une technique antispam très simple qui consiste à rejeter temporairement un message, par émission d’un code de refus temporaire au serveur émetteur (MTA). Dans la majorité des cas, les serveurs émetteurs réexpédient le mail après quelques minutes. La plupart des serveurs émettant des spams ne prennent pas cette peine!

Pour chaque mail reçu on crée un triplet identifié par l’adresse IP du serveur émetteur, l’adresse email de l’expéditeur et l’adresse email du destinataire.

Si le triplet apparaît pour la première fois, le serveur de messagerie renvoie un code 4xx (refus temporaire) au serveur SMTP distant et ajoute le triplet dans la liste ’greylist’. Si ce serveur est un véritable serveur SMTP, le mail sera probablement réexpédié ultérieurement. Si le triplet réapparaît après un certain temps (entre 2 minutes et 2 jours) le message est accepté et notre triplet est ajouté dans une liste de confiance (’autowhitelist’) .

Dans le cas où le mail est réexpédié avant ce délai, il est à nouveau temporairement refusé. Après un certain délai (2 jours), les triplets de la ’greylist’ sont supprimés. Après un autre délai sans trafic (32 jours), les triplets de la ’autowhitelist’. À chaque envoi de mail du triplet, le délai de 32 jours est remis à zéro, de sorte que les mails du trafic normal soient le plus souvent autowhitelistés et ne génère donc pas de retard sur les mails.

10.2 Chercher dans les listes courantes du greylisting

Permet de recherche une adresse d’expéditeur, une adresse de destinataire ou une adresse IP parmi les deux listes du greylisting (greylist et autowhitelist).

10.3 Voir listes greylisting COMPLÈTES

Affiche l’intégralité de la liste ’greylist’ suivie de l’intégralité de la liste ’autowhitelist’. (Note : les deux listes sont séparée par le texte ’Auto-whitelisted tuples’).

10.4 Voir liste autowhitelistés classée par from

Affiche toutes les entrées de la liste ’autowhitelist’, classées par adresse d’expéditeur. Utile pour trouver d’éventuelles adresses envoyant beaucoup de spam passant au travers du greylisting (Peut servir pour la liste ’Reject’).

10.5 Voir liste autowhitelistés classée par rcpt

Affiche toutes les entrées de la liste ’autowhitelist’, classées par adresse de destinataire. Utile pour trouver d’éventuelles adresses recevant beaucoup de spam passant au travers du greylisting (Peut servir pour la liste ’Reject’).

10.6 Voir liste greylistés classée par IP

Affiche toutes les entrées de la liste ’greylist’, classées par adresse IP de connexion. Utile pour trouver des adresses IP (ou des ranges d’adresses) envoyant du spam ne passant pas à travers le greylisting (Peut servir pour la liste ’Reject’).

10.7 Voir liste whitelistés manuellement

Affiche toutes les entrées ’whitelist manuelle’ du greylisting.

10.8 Ajouter un whitelist au greylisting

Permet d’ajouter des entrées qui ne seront jamais retenues par le greylisting. Par exemple, si les mails partant de chez domain.com ne sont jamais ré-expédiés (parce que leur serveur mail ne gère pas le renvoi pour le greylisting), on ajoutera l’adresse IP de leur serveur. Ici aussi, les adresses ’From’ sont à éviter dans la mesure du possible (il vaut mieux whitelister sur un autre champs comme l’IP du serveur) car elles peuvent être fausses ou inventées.

Un commentaire est ajouté à l’entrée. Par défaut il contient les date, heure et adresse IP de l’administrateur faisant l’ajout. Il ne sert qu’à titre d’information pour l’administrateur et n’est pas utilisé dans Zspam.

11 Logs

11.1 Définitions

Les logs sont les fichiers de traces du serveur. Le log ’sendmail’ concerne les entrées du log générées par sendmail (MTA) et le log ’greylisting’ concerne les entrées du log générées par le greylisting. (Note : lors de certaines actions, une entrée de log existe dans les deux logs).

11.2 Recherche

On peut chercher dans les logs une adresse d’expéditeur, une adresse de destinataire ou une adresse IP de connexion. Dans le résultat de la recherche se trouvent toutes les lignes du log, pour la période choisie, qui contiennent le motif recherché. Un clic sur l’un des numéros uniques permet de voir le cursus complet d’un mail dans le système (la dernière ligne générée est la premier dans la page).

Cela permet notamment de savoir pourquoi tel mail a été refusé. Par exemple, une ligne finale avec ’Spam filter : Mail from www.xxx.yyy.zzz refused via sbl-xbl.spamhaus.org’ signifie que l’adresse IP du relai (www.xxx.yyy.zzz) est listée chez SpamHaus. Si cela concerne un mail qui aurait dû passer, il faut ajouter www.xxx.yyy.zzz à la liste ’accept’.

Autre exemple, une ligne finale avec ’reject=554 5.1.1 Bad destination mailbox address’ signifie que l’addresse To : de ce mail n’existe pas. Soit elle ne doit pas exister et c’est bien un spam qui a été stoppé, soit elle devrait exister et il faut l’ajouter dans IMail (ou dans le trafic redirect si le domaine est géré comme tel).

Une ligne finale avec ’reject=451 4.7.1 Greylisting in action, please come back in 00 :02 :00’ signifie que le mail est en attente dans le greylist.

Dernier exemple, une ligne finale avec ’relay=nom.machine.IMail. [aaa.bbb.ccc.ddd], dsn=2.0.0, stat=Sent (Message queued)’ signifie que ce mail a correctement été transmis à IMail. S’il n’est pas arrivé à destination, il faut regarder sur IMail car Zspam n’a pas retenu ce mail.

12 Modifications à apporter du côté Imail

Dans IMail, création d’un domaine de référence zzzz.end.

Ce domaine est utile lors de l’analyse de l’extrait de base de registre et ne doit jamais être supprimé.

Création du dossier CMD à la racine de C Création du dossier Ressources à la racine de C

Installation en service du programme MRTGSvc dans C :\Program Files\MRTGSvc

Ce programme lance toutes les 5 minutes, le cmd (C :\cmd\at5minutes.cmd)

Le cmd at5minutes.cmd fait ensuite un appel à exportIMailUsersReg.cmd

12.1 Contenu de exportIMailUsersReg.cmd

@ECHO OFF
REM exporte un extrait de la base de registre correspondant à IMail dans le but de récupérer les users et alias
REGEDIT /E C :\ressources\temp\IMaildomain.reg HKEY_LOCAL_MACHINE\SOFTWARE\Ipswitch\IMail\Domains
REM attendre 10 secondes
PING 127.0.0.1 -n 10 > NUL
REM envoyer en FTP l’extrait de la base de registre vers le serveur linux
FTP -i -s :C :\CMD\exportIMailUsersReg.ftp > NUL
REM attendre 10 secondes
PING 127.0.0.1 -n 10 > NUL
REM Appel du srcipt php sur le serveur linux qui se chargera d’extraire les données du fichier de base de registre

C:\CMD\wget -q --http-user=XXXXXX --http-passwd=XXXXXX --output-document=C :\Logfiles\AutoCheck\ztri_gen_list.html
http://smtp1.domaine.com/Ztrimailer/IMail/generate_list.php

12.2 Divers

wget.exe se trouve dans c :\cmd. Il permet d’appeler la page php et log le résultat du script php dans le fichier C :\Logfiles\AutoCheck\ztri_gen_list.html

L’exécutable wget.exe nécessite les dll libeay32.dll et ssleay32.dll se trouvant dans c :\windows\system32

Le fichier security.php dans http ://smtp1.domaine.com/Ztrimailer/IMail/ a des références sur les adresses IP des machines ayant accès aux scripts php. Toute modification dans l’adressage des machines du client doit se répercuter dans ce fichier security.php

12.3 À ne pas supprimer :

Le domaine zzzz.end dans IMail

le dossier c :\cmd

le dossier c :\ressources et ses sous dossiers

le dossier c :\logfiles et ses sous dossiers