Comment mettre en avant ou en retrait certains emails ?

par Stephane
cadenas email

Trier rapidement les emails sûrs et les publicités

Nous avons intégré en post-traitement de nos filtres des statuts permettant à nos clients et à leurs utilisateurs d’avoir des actions distinctes au niveau des serveurs de messagerie ou des postes en fonction des types des messages reçus. Ces status peuvent avoir plusieurs utilités : la première consistant simplement à mettre en évidence les emails pour lesquels l’expéditeur est certifié (statut : senderok) afin que l’utilisateur puisse les traiter en toute confiance. Il est également possible de se servir de ces tags pour vérifier la conformité SPF et DKIM, ou valider comment un emailing est vu par Altospam, par exemple.

Un autre intérêt de cette action consiste à éviter la perte de temps des utilisateurs en mettant en évidence les emails les plus importants, ceux à forte valeur ajoutée clairement identifiés comme légitimes. Cela permet de gérer de façon simplifiée la problématique de surcharge d’emails dans les boites aux lettres en permettant à l’utilisateur de se concentrer prioritairement sur les emails sûrs et mettre éventuellement les autres de côté pour un traitement ultérieur.

En plus du statut « bulk » dont nous avions déjà parlé dans un précédent article : Dissocier les publicités des autres emails  , nous avons ajouté sept autres autres statuts possibles que nous détaillons ci-dessous. Le statut du mail est renseigné dans le champ d’entête propriétaire : « X-ALTOSPAM-STATUT » :

– bulk : il s’agit des emails envoyés en masse. Soit l’expéditeur a clairement identifié à l’émission son email comme un « bulk », soit il s’agit d’une publicité ou d’une lettre d’information massive. L’identification se fait sur plusieurs critères : envoyé depuis des serveurs de plateforme de routage, expédié depuis des adresses emails spécifiques et comportant des éléments d’identification, fait référence à la CNIL et comporte des liens de désinscription, etc…

– spfok : le SPF est valide. La présence de ce tag permet de contrôler très rapidement la validité des entrées SPF d’un expéditeur.

– dkimok : le DKIM est valide. De même que pour spfok, ce tag permet de vérifier très rapidement la conformité DKIM (signature confirmée et champs TXT de domaine valide) d’un expéditeur donné.

– senderok : le serveur a été authentifié comme autorisé à envoyer des emails au nom de l’expéditeur. Ce statut est levé dans une des 3 conditions suivantes : soit le SPF est valide (spfok), soit le DKIM est valide (dkimok), soit le domaine du reverse DNS du serveur émetteur est identique au domaine de l’expéditeur. Ce statut permet de garantir que l’émetteur est bien celui qu’il prétend être et qu’il ne s’agit pas d’une adresse usurpée. Cela est utile par exemple quand on reçoit des emails de sa banque ou des impôts, souvent très douteux…

– serverok : le serveur de messagerie d’émission est considéré comme sûr et légitime. Son reverse DNS est correct (valide et légitime) et son IP n’est pas blacklistée, ou le serveur est whitelisté.

– mailok : ce statut est actif quand le mail a eu une note très faible. L’antispam l’a laissé passer comme une lettre à la poste et tout semble indiquer qu’il s’agit en aucun cas d’un spam ou d’un email indésirable, il est valorisé. Son contenu, sa configuration, l’architecture d’envoi, le mail dans son ensemble est considéré comme hautement légitime.

– senderwt : l’expéditeur du message fait partie de votre whiteliste. Tous les messages provenant de cette adresse seront acceptés par Altospam.

– bounce : il s’agit des messages de non-délivrance émis par des serveurs de messagerie. Ces emails sont légitimes mais peuvent quelquefois polluer inutilement vos boites aux lettres. S’il s’agit d’usurpation d’identité, dans sa configuration par défaut, Altospam est en mesure de le détecter et de le bloquer. Mais il vous est également possible de tous les laisser passer pour pouvoir les traiter dans un second temps. Vous trouverez des explications détaillées sur les bounces dans notre glossaire.

skip-localhost ou skip-nosmtp : l’email a été transmis directement depuis le serveur Altospam, il n’a pas été filtré.

skip-hostok : l’adresse IP de l’émetteur est présente dans la liste d’hôtes autorisés par Altospam.

skip-destok : le destinataire fait partie d’une liste très spécifique sans filtrage antispam.

skip-senderwht : l’expéditeur est présent dans une liste d’expéditeurs autorisés.

skip-senderuserwht : l’expéditeur a été whitelisté par le destinataire (whiteliste utilisateur).

Ces statuts peuvent s’ajouter les uns aux autres, ils sont alors séparés par un espace. Il est par exemple possible de trouver des emails dont le champ « X-ALTOSPAM-STATUS » est de type :

X-ALTOSPAM-STATUT: senderok mailok spfok
X-ALTOSPAM-STATUT: bulk senderok
X-ALTOSPAM-STATUT: mailok 
X-ALTOSPAM-STATUT: senderok bounce spfok dkimok
X-ALTOSPAM-STATUT: senderok mailok serverok spfok dkimok

Dans le maximum des cas, l’ordre d’affichage de l’ensemble des statuts est le suivant : « bulk senderok mailok serverok bounce senderwt spfok dkimok » . L’ordre a été défini afin d’être le plus efficace possible au niveau des règles de filtrage (Cf. exemples ci-dessous). Il est tout à fait possible que d’autres statuts soient ajoutés à l’avenir, ils seront alors notifiés à la suite afin que les règles existantes restent valables.

Nous allons à présent détailler une procédure prise en exemple pour faire apparaitre en vert tous les emails sûrs, dont l’expéditeur a été confirmé : senderok et mettre en gris les publicités : bulk. L’objectif étant de mettre en avant les messages légitimes afin d’être certain qu’il ne s’agit en aucun cas d’usurpation d’identité. Cette procédure sera détaillée pour Thunderbird et Outlook afin de permettre au plus grand nombre d’entre vous de l’appliquer. Sur ces deux clients de messagerie, la gestion des filtres et notamment l’analyse des entêtes n’est pas gérée de la même manière. Sur Thunderbird, on peut faire une recherche de chaîne dans un champ d’entête, mais le premier reconnu restera l’unique retour. Dans Outlook, la recherche se fait sur la chaîne complète, nom de l’entête et valeur, il faut donc envisager plusieurs combinaisons.

Mise en place sur Thunderbird

La mise en place du système se déroule en deux étapes sous Thunderbird, nous allons dans un premier temps créer de nouvelles « Étiquettes », puis ajouter un filtre qui associera les emails souhaités aux étiquettes voulues.

Aller sur : Options / Affichage / Étiquettes, puis « Ajouter » une nouvelle Étiquette « senderok » en sélectionnant la couleur verte par exemple. Faire de même une étiquette « bulk » en sélectionnant le gris clair.

Thunderbird-etiquette

Thunderbird-nouvelle-étiquette

Dans le menu « Outils » cliquer sur : « Filtres de messages » ; puis créer une règle qui précisant que le champ d’entête « X-ALTSPAM-STATUT » contient la valeur : « senderok » avec comme action d’étiqueter le message comme « senderok ».

Thunderbird-regles-filtrage

Vous pouvez ensuite faire la même chose pour les publicités, en recherchant le mot clef « bulk » dans l’entête X-ALTOSPAM-STATUT et en affectant l’étiquette « bulk ». Attention ensuite à l’ordre des règles car seule la première permettra de faire matcher la requête.

 

Intégration dans Outlook

Dans Outlook nous allons utiliser les « Catégories » pour y classer les emails. Pour cela, cliquer sur : Édition / Classer / Toutes les catégories… Ajouter deux nouvelles Catégories : « senderok » en vert par exemple et « bulk » en gris clair.

Outlook-catégories

Outlook-nouvelle-categorie

Une fois les nouvelles catégories créées, nous allons ajouter des filtres. Pour cela, cliquer dans le menu : Outils / Règles et alertes…

Créer ensuite une première règle : Sélectionner « avec des mots clefs spécifiques dans l’entête du message », préciser comme mot-clef : « X-ALTOSPAM-STATUT: senderok », sélectionner : « l’assigner à la Catégorie spécifiée », puis préciser la catégorie « senderok ». Attribuer un nom à la règle, préciser qu’elle est active et valider.

Outlook-nouelle-regle

En définissant la règle ainsi, étant donné l’ordre d’assignation des statuts par Altospam, si le message est de type bulk et senderok, il ne sera pas assigné à la catégorie. En effet, dans ce cas l’entête serait composée ainsi : « X-ALTOSPAM-STATUT: bulk senderok » et ne matcherait pas avec notre règle. Seuls les emails « senderok », mais également « senderok mailok » ou « senderok bounce » , etc… seront concernés par la règle.

Nous avons de même créé une seconde règle pour les publicités, en affectant les messages de type « bulk » à la catégorie « bulk » et en réduisant la priorité du mail à « importance faible ». Il serait également possible de déplacer les publicités dans un dossier spécifique. Ci-dessous la synthèse de cette règle :

Outlook-regle-Bulk

Si vous deviez créer une règle pour faire apparaître d’une couleur différente tous les emails considérés comme « sûrs » soit au statut : « mailok », pensez aux différentes combinaisons. Voici à titre d’exemple la règle qu’il pourrait être intéressant de créer :

Outlook-regle-mailok

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …