Et si vous testiez les solutions d’Altospam?
Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …
Cet article reprend les différentes opérations à effectuer lors de la mise en place d’Altsopam ou MailOut pour une configuration optimale du flux de messagerie.
Une fois votre compte créé sur nos systèmes, vous recevrez un email de configuration vous demandant d’effectuer quelques modifications sur vos DNS. Vous pourrez également optimiser le paramétrage en configurant correctement le filtrage destinataires et la sécurisation de votre serveur de messagerie :
1) Modification des champs MX de vos DNS
Pour mettre en service Altospam, il suffit de rediriger les champs MX de la zone DNS du nom de domaine à protéger vers les serveurs Altospam qui vous seront affectés. À partir de ce moment-là, le trafic commencera à transiter par nos serveurs, mais il faudra attendre 48 heures maximum (suivant votre TTL), le temps de la propagation des DNS, pour que tout le trafic entrant soit filtré par Altospam. Pendant ce temps, une partie des messages vous arrivera directement par les anciens champs MX, il conviendra donc que ces serveurs restent opérationnels pendant ce délai de 48h. Il n’y a donc aucun risque de perte de messages à la mise en service, car si les messages ne passent pas tout de suite par nos serveurs, ils vous arriveront par vos équipements actuels.
La modification de vos champs MX doit se faire sur les DNS qui gèrent votre domaine. Vous trouverez l’information dans le mail de configuration reçu d’Altospam. Vous trouverez des vidéos d’explication concernant les principaux hébergeurs : ici Surtout ne modifiez que les champs MX (pas les champs CNAME ou A), et ne positionnez que des serveurs Altospam en champ MX, ne laissez pas vos anciens serveurs configurés (vous recevriez du spam en direct).
2) Filtrage destinataires
Afin qu’Altospam soit en mesure de connaitre automatiquement la liste de vos utilisateurs actifs, sans devoir procéder à une mise à jour manuelle ou à la mise en place d’une synchronisation d’annuaire LDAP ou ActiveDirectory il est préférable, mais non obligatoire, de configurer votre serveur afin qu’il gère le « filtrage destinataires ». Le principe consiste en un retour 500 généré par votre serveur juste après le RCPT TO dans le protocole SMTP. Notre article : « Qu’est-ce que le filtrage destinataires ? » détaille les intérêts d’une telle configuration.
Il vous est possible de tester l’activation du filtrage destinataires directement via votre interface de gestion Altospam, partie « Technique » puis « Tester le serveur de messagerie ».
Sur les serveurs PostFix et Exim cela est configuré par défaut, il est donc très rare de devoir y toucher. Sur les serveurs qMail, cela dépend du package utilisé et surtout des plug-ins installés. Sur Exchange 2000 et 2003 le filtrage destinataires est actif par défaut. Sur Microsoft Exchange 2007 et 2010, il s’active très simplement. Par contre, sans serveur Edge la configuration sur Exchange 2013 ou 2016 est un peu plus complexe. Si vous utilisez un autre serveur de messagerie, merci de vous adresser directement à notre support qui vous indiquera la procédure à suivre.
3) Protection de votre serveur de messagerie
Si votre serveur n’est pas mutualisé, il est intéressant, pour sécuriser l’entreprise, de limiter les flux entrants en ajoutant des règles de filtrage réseau pour n’accepter que les courriers entrants en provenance des serveurs Altospam. Ceci permet d’éviter que des spams soient envoyés directement à votre serveur, et cela protège ce dernier de toute intrusion.
Il vous suffit d’identifier les IP des serveurs Altospam qui vous sont affectés (un simple ‘ping’ sur les serveurs configurés en MX), puis de modifier la règle présente au niveau de votre firewall autorisant ANY à envoyer du flux TCP/25 SMTP vers votre serveur de messagerie. Il vous suffira de remplacer ANY par les IPs des deux serveurs Altospam.
Notre équipe support se tient à votre disposition pour vous aider dans cette démarche.
Après installation du service sur nos plateformes, vous recevrez un email de notre part vous indiquant que vous pouvez nous transmettre votre flux de messagerie sortant. Pour rappel, l’emailing est strictement interdit via MailOut, nous pourrons vous conseiller des sociétés spécialisées pour cela.
1) Mise en place de l’hôte actif ou relayhost
Concernant le service MailOut, la configuration est encore plus simple que pour Altospam étant donné qu’il vous suffit de configurer votre serveur (ou vos serveurs) de messagerie pour transmettre tous les emails sortants vers nos serveurs MailOut. Des procédures de configuration sont à votre disposition auprès de notre support pour vous détailler comment effectuer cette configuration selon le serveur de messagerie que vous utilisez, n’hésitez pas à nous contacter.
De manière générale, sur Microsoft Exchange le principe consiste à créer un « hôte actif » pour renvoyer votre flux de messagerie vers nos serveurs MailOut. Cela se trouve dans les propriétés du Connecteur SMTP dans l’onglet « Général ». À partir d’Exchange 2010, il faut créer un connecteur d’envoi, via « Nouveau connecteur d’envoi » sur le « Transport Hub ».
Sur Microsoft 365, il est nécessaire de créer un connecteur sortant dédié vers une « organisation partenaire ». Un pas à pas détaillé est disponible dans notre documentation, accessible par le bouton « Aide » en haut à droite de l’interface d’administration, section Mailout / Installation / Office 365.
Sur Postfix, le paramètre à configurer se nomme : « relayhost » et se met en place généralement dans le fichier : /etc/postfix/main.cf.
Sur qMail, le principe consiste à ajouter une « smtproute » et sur Lotus, il suffit de configurer un « Relay host for messages leaving the local interne domain » dans les configurations « Basics » de l’onglet « Router/SMTP ».
Sur EXIM, il faut créer une nouvelle route dans « router » avec une « route_list » spécifique. Comme cela dépend de votre fichier « configure », contactez directement notre support qui vous aidera.
Pour IceWarp, la configuration est dans MailService / General/ Delivery/ Use relay server » et sur Mdeamon, vous trouverez cela dans « Domaine Manager / domain.tld / SmartHost/ Configure smart host for this domain » ou « Server Setting / Devlivery » pour les versions 12 et supérieures.
Il peut arriver que certains opérateurs bloquent ou filtrent le flux sortant TCP/25, il peut alors être intéressant ou nécessaire de faire transiter le flux SMTP sortant via un autre port. Nos serveurs sont également en écoute sur le port TCP/2525 pour cela. Il suffit donc de configurer le relay host pour renvoyer le trafic sur le port TCP/2525 plutôt que TCP/25.
2) Configuration SPF et DKIM
La configuration de SPF et DKIM est devenue incontournable aujourd’hui si on veut s’assurer un minimum de qualité sur la délivrabilité de ses emails. Le principe consiste à ajouter deux champs TXT au niveau des serveurs DNS de votre domaine. Toutes les informations nécessaires et les tests de validité sont accessibles directement sur votre interface d’administration Altospam dans la partie « Paramètres » puis « MailOut ». Une fois les champs TXT ajoutés et après propagation de ceux-ci, il vous faudra revenir sur l’interface afin d’activer la signature DKIM des emails sortants.
Si vous souhaitez également configurer vos champs DMARC, notre support pourra vous aider dans sa configuration en fonction de votre objectif.
En suivant l’ensemble de ces préconisations, votre messagerie électronique sera pleinement optimisée aussi bien pour le flux entrant que sortant. L’ensemble du trafic sera alors automatiquement traité par Altospam et MailOut pour assurer un service efficace de sécurisation et de délivrabilité de vos emails professionnels.
Et si vous testiez les solutions d’Altospam?
Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …