configuration SMTP - Base de connaissances

SMTP configuration dans cPanel

Dans cPanel : « chercher sur Gestionnaire de configuration Exim »

Apache SpamAssassin :

Apache SpamAssassin est un système de filtrage du spam pour les courriels. Il utilise des règles et des algorithmes pour identifier les messages indésirables et les marquer comme spam. Le **seuil de score de rejet** dans SpamAssassin détermine à quel point un message doit être suspecté de spam pour être rejeté ou marqué comme spam. Chaque message analysé par SpamAssassin reçoit un score basé sur divers tests (comme la présence de certains mots, l'utilisation de certaines structures de message, etc.). ### Fonctionnement du Seuil de Score de Rejet 1. **Scorage des Messages** : Chaque message se voit attribuer un score en fonction des tests qu'il passe. Par exemple, un message avec des caractéristiques typiques du spam pourrait recevoir un score élevé.

Apache SpamAssassin™ reject spam score threshold

Protection contre les attaques par dictionnaire :

La protection contre les attaques par dictionnaire est une mesure de sécurité utilisée pour contrer les tentatives d'accès non autorisées aux systèmes informatiques, généralement par le biais de tentatives de connexion automatisées utilisant des mots de passe communs ou prédictifs

Dictionary attack protection

Rejeter le courrier distant envoyé au nom d'hôte du serveur :

La politique de "rejeter le courrier distant envoyé au nom d'hôte du serveur" fait référence à une mesure de sécurité dans le filtrage des courriels pour empêcher les messages envoyés par des sources non autorisées ou suspectes de se faire passer pour des messages envoyés depuis un serveur de messagerie légitime

Reject remote mail sent to the server's hostname

Apache SpamAssassin™ pour les domaines secondaires MX :

Activer Apache SpamAssassin™ pour les domaines secondaires MX implique d'utiliser le système de filtrage du spam SpamAssassin pour les courriels destinés à des domaines configurés en tant que serveurs de messagerie secondaires (ou secondaires MX) dans votre infrastructure de messagerie

Enable Apache SpamAssassin™ for secondary MX domains

Le débit des serveurs SMTP

Limiter le débit des serveurs SMTP suspects est une technique utilisée pour protéger les systèmes de messagerie contre les abus et les attaques

Ratelimit suspicious SMTP servers

Apache SpamAssassin™ :

Apache SpamAssassin™ est utilisé pour filtrer le spam des courriels en évaluant chaque message et en lui attribuant un score basé sur la probabilité qu'il soit du spam. Le seuil de score de spam et la fonctionnalité de ratelimit sont des concepts importants dans la configuration de SpamAssassin pour mieux gérer le spam

Apache SpamAssassin™: ratelimit spam score threshold

Limiter le débit des connexions entrantes :

Limiter le débit des connexions entrantes en se basant uniquement sur les destinataires ayant échoué est une stratégie visant à gérer la charge des serveurs de messagerie en cas de tentatives de livraison de messages vers des adresses qui ne sont pas valides ou ne peuvent pas être livrées. Voici une explication détaillée de cette approche

Ratelimit incoming connections with only failed recipients

Exiger que la commande HELO :

Exiger que la commande HELO (ou EHLO) soit envoyée avant la commande MAIL est une mesure de sécurité dans le protocole SMTP (Simple Mail Transfer Protocol) qui aide à assurer que les communications entre serveurs sont correctement établies et authentifiées avant le début de la transmission des e-mails. Voici une explication détaillée de cette pratique

Require HELO before MAIL

Introduire un délai dans la transaction SMTP pour les hôtes inconnus :

Introduire un délai dans la transaction SMTP pour les hôtes inconnus et les messages détectés comme spam est une stratégie de sécurité et de gestion du trafic qui aide à protéger les serveurs de messagerie contre les abus, les attaques et les volumes élevés de spam

Introduce a delay into the SMTP transaction for unknown hosts and messages detected as spam

Greylisting :

Le concept de "greylisting" et les listes de "hôtes de confiance" sont des techniques utilisées pour gérer le spam et optimiser le traitement des courriels

Do not delay the SMTP connections for hosts in the Greylisting “Trusted Hosts” list

les connexions SMTP pour les hôtes figurant sur la liste grise :

Ne pas retarder les connexions SMTP pour les hôtes figurant sur la liste grise des « fournisseurs de messagerie courants » est une pratique essentielle pour garantir une communication efficace et fluide avec les services de messagerie largement utilisés. Voici une explication détaillée de cette pratique

Do not delay the SMTP connections for hosts in the Greylisting “Common Mail Providers” list

La commande HELO : Nécessite une connexion distante

Dans le contexte des serveurs de messagerie SMTP, la commande HELO (ou EHLO pour les extensions SMTP) est cruciale pour établir une communication correcte entre les serveurs de messagerie.

Nécessite un HELO distant (domaine) :

La commande HELO est utilisée dans le protocole SMTP pour initier une connexion entre deux serveurs de messagerie. Lorsqu'un serveur de messagerie (le serveur expéditeur) se connecte à un autre serveur de messagerie (le serveur récepteur), il envoie la commande HELO suivie de son nom d'hôte ou de son adresse IP pour s'identifier

Require remote (domain) HELO

Exiger un HELO conforme à la RFC :

Exiger un HELO conforme à la RFC dans le contexte des serveurs de messagerie SMTP est une pratique importante pour assurer la conformité aux normes du protocole et garantir une communication correcte et sécurisée entre les serveurs de messagerie.

Require RFC-compliant HELO

DKIM (DomainKeys Identified Mail) :

La vérification DKIM (DomainKeys Identified Mail) pour les messages entrants est un processus de validation qui aide à assurer l'authenticité et l'intégrité des e-mails reçus. Voici une explication détaillée de ce processus et de son importance

Allow DKIM verification for incoming messages

Le nombre maximal de destinataires de messages :

Le nombre maximal de destinataires de messages (limite souple) est une configuration dans les serveurs de messagerie qui détermine combien de destinataires un e-mail peut avoir lorsqu'il est envoyé

Maximum message recipients (soft limit) (Minimum: 1; Maximum: 100)

Limite stricte du nombre maximal de destinataires de messages avant déconnexion :

La limite stricte du nombre maximal de destinataires de messages avant déconnexion est une configuration dans les serveurs de messagerie SMTP qui définit le nombre maximum de destinataires qu'un message peut avoir avant que le serveur de messagerie ne ferme la connexion avec le client

Maximum message recipients before disconnect (hard limit) (Minimum: 1; Maximum: 100)

Adresses IP SMTP sur liste noire :

Les adresses IP SMTP sur liste noire font référence aux adresses IP des serveurs de messagerie qui ont été inscrites sur des listes noires en raison d'activités suspectes ou malveillantes

Blacklisted SMTP IP addresses

Contournement de la vérification de l'expéditeur des adresses :

Le contournement de la vérification de l'expéditeur des adresses IP est un sujet complexe qui concerne les méthodes utilisées par certains expéditeurs de courriels pour éviter les contrôles de sécurité mis en place par les serveurs de messagerie

Sender verification bypass IP addresses

Vérification uniquement du destinataire :

La vérification uniquement du destinataire est une pratique courante dans la gestion des serveurs de messagerie qui consiste à vérifier uniquement les adresses e-mail des destinataires des messages entrants, sans effectuer une vérification approfondie de l'expéditeur ou d'autres aspects du message.

Only-verify-recipient

Adresses IP SMTP de confiance

Les adresses IP SMTP de confiance sont des adresses IP que vous configurez ou marquez comme fiables pour envoyer ou recevoir des e-mails au sein de votre infrastructure de messagerie.

Trusted SMTP IP addresses

Hôtes MX de sauvegarde :

Les hôtes MX de sauvegarde (ou serveurs de messagerie de sauvegarde) sont des serveurs de messagerie configurés pour prendre en charge la réception d'e-mails lorsqu'un serveur de messagerie principal est hors service ou indisponible

Backup MX hosts

Utilisateurs de messagerie de confiance :

Les utilisateurs de messagerie de confiance sont des utilisateurs ou groupes d'utilisateurs dont vous considérez les e-mails comme fiables et légitimes. En d'autres termes, ils sont généralement exemptés des contrôles de sécurité plus stricts qui peuvent être appliqués aux autres messages entrants, comme le filtrage de spam ou les vérifications de sécurité renforcées.

Trusted mail users

Domaines bloqués :

Les domaines bloqués sont des domaines dont les e-mails sont spécifiquement rejetés ou filtrés par un serveur de messagerie

Blocked Domains

Pays bloqués :

Les pays bloqués dans le contexte de la gestion des e-mails et de la sécurité des serveurs de messagerie font référence à une pratique où les connexions provenant de certains pays sont rejetées

Blocked Countries

Envoyer un courrier depuis l'adresse IP :

Envoyer un courrier depuis l'adresse IP du compte fait référence à la pratique où un serveur de messagerie ou une application utilise une adresse IP spécifique pour envoyer des e-mails, souvent en relation avec l'identité ou la localisation de l'expéditeur

Send mail from the account’s IP address

Utilisez l'entrée DNS inversée pour le courrier HELO/EHLO si disponible

Use the reverse DNS entry for the mail HELO/EHLO if available

Reconstruction du cache DNS inversé :

Une interface de gestion de serveurs web populaire, les opérations liées à la reconstruction du cache DNS inversé et à la mise à jour du courrier HELO peuvent nécessiter des actions spécifiques

Rebuild Reverse DNS Cache and Update Mail HELO

IP personnalisée sur les connexions SMTP sortantes :

Le fichier /etc/mailips est utilisé principalement dans les environnements d'hébergement de serveurs de messagerie (comme ceux utilisant Exim pour la gestion des e-mails) pour configurer des adresses IP spécifiques qui doivent être utilisées lors de l'envoi d'e-mails.

Reference /etc/mailips for custom IP on outgoing SMTP connections

Fichier de filtre système :

Le fichier de filtre système dans le contexte des serveurs de messagerie, comme ceux utilisant Exim avec cPanel, est un fichier de configuration utilisé pour appliquer des filtres personnalisés aux messages électroniques. Ces filtres peuvent être utilisés pour diverses tâches, telles que la gestion du spam, la redirection des messages, ou la modification du contenu des e-mails

System Filter File

Filtrer les messages contenant des pièces jointes dangereuses :

Filtrer les messages contenant des pièces jointes dangereuses est une étape cruciale dans la gestion de la sécurité des e-mails sur un serveur de messagerie. Les pièces jointes peuvent contenir des virus, des logiciels malveillants, ou d'autres types de menaces qui peuvent compromettre la sécurité des systèmes et des données.

Attachments: Filter messages with dangerous attachments

Apache SpamAssassin™ : réécriture globale du sujet :

Apache SpamAssassin™ est un système de filtrage de spam qui utilise des techniques d'apprentissage automatique et des règles pour détecter les courriels indésirables. Une des fonctionnalités qu'il offre est la possibilité de réécrire le sujet des courriels identifiés comme spam. Cette fonctionnalité peut aider à signaler les e-mails considérés comme spam en modifiant leur sujet, ce qui permet aux utilisateurs ou aux systèmes de filtrage suivants de les identifier plus facilement.

Apache SpamAssassin™: Global Subject Rewrite

Seuil de score de spam de rebond :

Dans Apache SpamAssassin™, le seuil de score de spam de rebond est un paramètre utilisé pour déterminer comment les messages identifiés comme spam doivent être traités lorsqu'ils ne peuvent pas être livrés au destinataire, souvent à cause d'un problème avec le serveur de messagerie ou une adresse invalide.

Apache SpamAssassin™: bounce spam score threshold

Préfixe d’en-tête X-Spam-Subject/Subject pour les courriers indésirables :

Apache SpamAssassin™ permet de gérer les e-mails indésirables en ajoutant des préfixes spécifiques aux sujets des messages marqués comme spam. Ce processus peut aider les utilisateurs à identifier plus facilement les e-mails considérés comme spam dans leur boîte de réception.

Apache SpamAssassin™: X-Spam-Subject/Subject header prefix for spam emails

Enregistrer les taux d'envoi dans le journal principal d'Exim :

Enregistrer les taux d'envoi dans le journal principal d'Exim peut être très utile pour surveiller et diagnostiquer les problèmes liés à l'envoi d'e-mails, ainsi que pour identifier les spammeurs potentiels.

Log sender rates in the exim mainlog. This can be helpful for tracking problems and/or spammers.

Les appels de vérification de l'expéditeur :

Les appels de vérification de l'expéditeur sont des processus utilisés pour confirmer que l'adresse e-mail d'un expéditeur est valide et qu'il est légitime. Ces vérifications sont cruciales pour lutter contre le spam et les abus en s'assurant que les e-mails proviennent de sources authentiques et ne sont pas le fruit d'une usurpation d'identité.

Sender Verification Callouts

La prise en charge de Smarthost :

La prise en charge de Smarthost dans un serveur de messagerie comme Exim vous permet de rediriger les e-mails sortants à travers un autre serveur de messagerie (le Smarthost) avant leur livraison finale. Cela peut être utile pour diverses raisons, telles que l'optimisation des envois, la gestion de la bande passante, ou l'application de politiques de sécurité.

Smarthost support

La découverte automatique SPF :

La découverte automatique SPF (Sender Policy Framework) est une méthode qui permet à un serveur de messagerie d'identifier les hôtes autorisés à envoyer des e-mails pour un domaine donné, afin de lutter contre le spam et les usurpations d'identité. Lorsqu'il est intégré avec un hôte intelligent (Smarthost), cela peut améliorer la gestion et la sécurité des e-mails envoyés

Autodiscovery SPF include hosts from the smarthost route lis

SPF inclut les hôtes pour tous les domaines sur ce système :

Quand on parle de la configuration SPF (Sender Policy Framework) dans un système de messagerie, l'idée de "SPF inclut les hôtes pour tous les domaines sur ce système" fait référence à la possibilité de configurer SPF de manière à ce qu'il vérifie les enregistrements SPF pour tous les domaines qui utilisent ce serveur pour envoyer des e-mails.

SPF include hosts for all domains on this system

Expérimentale qui consiste à réécrire l'en-tête :

La fonctionnalité expérimentale qui consiste à réécrire l'en-tête "De :" pour qu'il corresponde à l'expéditeur réel est une mesure que vous pourriez envisager pour améliorer la précision des informations d'expéditeur dans les e-mails traités par votre serveur de messagerie. Cette fonctionnalité peut être utile pour corriger les en-têtes d'expéditeur erronés ou mal formatés, mais elle doit être utilisée avec précaution pour éviter des problèmes potentiels liés à la falsification ou à la confusion des expéditeurs.

EXPERIMENTAL: Rewrite From: header to match actual sender

Autoriser la distribution du courrier en cas d'échec du scanner de logiciels malveillants :

L'option "Autoriser la distribution du courrier en cas d'échec du scanner de logiciels malveillants" dans un serveur de messagerie comme Exim permet de contrôler le comportement du serveur lorsque le scanner de logiciels malveillants (ou antivirus) échoue à analyser un e-mail. Cette option est importante pour définir la manière dont le serveur doit gérer les messages lorsque le scanner ne parvient pas à déterminer s'ils sont sûrs ou non.

Allow mail delivery if malware scanner fails

Vérification de l'expéditeur :

La vérification de l'expéditeur est une étape essentielle dans la gestion des e-mails pour garantir leur authenticité et leur légitimité. Elle aide à prévenir le spam, le phishing et autres types de fraudes par e-mail en vérifiant que l'adresse de l'expéditeur est valide et qu'il est autorisé à envoyer des e-mails pour le domaine spécifié.

Sender Verification

Définir l'expéditeur SMTP :

Définir l'expéditeur SMTP en termes d'en-têtes est un aspect crucial de la gestion des e-mails. Les en-têtes d'un e-mail, notamment l'en-tête "From:", jouent un rôle essentiel dans la détermination de l'expéditeur et influencent la manière dont les e-mails sont traités, filtrés, et affichés par les serveurs de messagerie et les clients.

Set SMTP Sender: headers

Autoriser la distribution du courrier si le scanner de spam échoue :

Configurer votre serveur de messagerie pour autoriser la distribution du courrier si le scanner de spam échoue est une approche qui permet de garantir que les e-mails ne sont pas bloqués simplement en raison de problèmes avec le logiciel de filtrage de spam. Cela est particulièrement utile pour éviter la perte de messages importants en cas de défaillance ou d'erreur du scanner de spam.

Allow mail delivery if spam scanner fails

Schéma de réécriture de l'expéditeur (SRS) :

Activer la prise en charge du schéma de réécriture de l'expéditeur (SRS) dans un serveur de messagerie comme Exim est important pour garantir que les e-mails qui sont redirigés ou transférés conservent leur légitimité et passent les contrôles de SPF (Sender Policy Framework) correctement. Voici une explication détaillée de ce qu'est SRS, pourquoi il est important, et comment vous pouvez l'activer dans Exim.

Enable Sender Rewriting Scheme (SRS) Support

Interroger l'état du serveur Apache pour déterminer l'expéditeur des e-mails envoyés à partir de processus exécutés en tant que personne :

Interroger l'état du serveur Apache pour déterminer l'expéditeur des e-mails envoyés à partir de processus exécutés en tant que personne n’implique de vérifier les processus du serveur Apache pour identifier quels utilisateurs ou processus sont responsables de l'envoi des e-mails. Cela peut être crucial pour des raisons de sécurité et de diagnostic, surtout si vous devez associer des e-mails envoyés à un utilisateur ou un processus spécifique.

Query Apache server status to determine the sender of email sent from processes running as nobody

Faire confiance aux en-têtes X-PHP-Script pour déterminer l'expéditeur des e-mails envoyés à partir de processus exécutés en tant que personne :

Faire confiance aux en-têtes X-PHP-Script pour déterminer l'expéditeur des e-mails envoyés à partir de processus exécutés en tant que personne n’implique de configurer et d'utiliser des en-têtes personnalisés ajoutés par les scripts PHP pour identifier les e-mails envoyés par des processus PHP spécifiques.

Trust X-PHP-Script headers to determine the sender of email sent from processes running as nobody

SMTP DSN (Delivery Status Notification):

L'option SMTP DSN (Delivery Status Notification) permet aux serveurs de messagerie de demander des notifications sur l'état de livraison des e-mails. Cette fonctionnalité est particulièrement utile pour suivre les e-mails, détecter les erreurs de livraison, et garantir que les messages sont reçus par les destinataires.

Hosts to which to advertise the SMTP DSN option

SMTPUTF8 :

L'option SMTPUTF8 permet de prendre en charge l'encodage UTF-8 dans les adresses e-mail, les sujets et les corps de message au niveau du protocole SMTP. Cette fonctionnalité améliore la prise en charge des caractères non latins et des caractères spéciaux dans les adresses e-mail et les messages.

Hosts to which to advertise the SMTPUTF8 SMTP option

Le comportement de livraison pour les comptes suspendus

Lorsque des comptes cPanel sont suspendus, il est crucial de comprendre comment le serveur de messagerie gère la livraison des e-mails destinés à ces comptes. Le comportement de livraison pour les comptes suspendus peut varier en fonction des paramètres de configuration du serveur de messagerie et des politiques de gestion des comptes.

Delivery behavior for suspended cPanel accounts

Longueur de ligne maximale pour les transports SMTP :

La longueur de ligne maximale pour les transports SMTP fait référence à la longueur maximale qu'une ligne de données (comme les en-têtes ou les corps des messages) peut avoir lorsqu'elle est transmise via SMTP. Cette configuration est importante pour garantir que les messages sont correctement transmis sans être tronqués ou mal interprétés.

Maximum line length for SMTP transports (Minimum: 1; Maximum: 1,000,000)

Pipelining SMTP :

Le pipelining SMTP est une technique qui permet d'envoyer plusieurs commandes SMTP sans attendre les réponses des commandes précédentes. Cette fonctionnalité peut améliorer l'efficacité en réduisant le temps d'attente et en augmentant la vitesse de communication entre les serveurs de messagerie.

Disable pipelining

Délai d'expiration de la requête de quota de boîte aux lettres :

Le délai d'expiration de la requête de quota de boîte aux lettres fait référence au temps que le serveur de messagerie attend avant de considérer qu'une demande de vérification ou de gestion du quota de boîte aux lettres a échoué ou a pris trop de temps. Cela peut inclure des requêtes pour vérifier l'utilisation de l'espace de stockage de la boîte aux lettres, gérer les quotas ou effectuer des opérations liées aux quotas.

Mailbox quota query timeout

RBL (Real-time Blackhole Lists):

Les RBL (Real-time Blackhole Lists) personnalisées sont des listes noires qui permettent de bloquer les adresses IP de serveurs de messagerie connus pour envoyer du spam ou des courriers indésirables. La gestion des RBL personnalisées implique l'intégration et la configuration de ces listes pour améliorer la sécurité de votre serveur de messagerie.

Manage Custom RBLs

Rbl.spamcop.net :

Rbl.spamcop.net est une liste noire (RBL) utilisée pour détecter et bloquer les adresses IP connues pour envoyer du spam. Elle est maintenue par SpamCop, un service qui recueille et analyse les rapports de spam pour identifier les sources de courrier indésirable.

RBL: bl.spamcop.net

zen.spamhaus.org :

zen.spamhaus.org est une liste noire de type RBL (Real-time Blackhole List) maintenue par Spamhaus, une organisation reconnue pour ses efforts dans la lutte contre le spam. Cette liste noire est utilisée pour identifier et bloquer les adresses IP associées à des comportements de spam, des réseaux de botnets, et d'autres sources de courrier indésirable.

RBL: zen.spamhaus.org

Exempter les serveurs dans le même bloc réseau des contrôles

Exempter les serveurs dans le même bloc réseau des contrôles RBL (Real-time Blackhole List) peut être une stratégie utile pour éviter de bloquer des serveurs internes ou des partenaires légitimes dans le même réseau. Cette approche est particulièrement pertinente lorsque vous avez plusieurs serveurs de messagerie ou d'autres serveurs de service dans une même infrastructure réseau et que vous souhaitez éviter des faux positifs.

Exempt servers in the same netblock as this one from RBL checks

Serveurs de la liste Greylisting des fournisseurs de messagerie courants des contrôles RBL :

Exempter les serveurs de la liste Greylisting des fournisseurs de messagerie courants des contrôles RBL est une stratégie qui permet de réduire les faux positifs et de maintenir une communication fluide avec des services de messagerie connus et largement utilisés. Cela signifie que vous ne souhaitez pas appliquer les vérifications RBL à ces serveurs pour éviter des interruptions de service pour des sources légitimes.

Exempt servers in the Greylisting “Common Mail Providers” list from RBL checks

Exempter les serveurs de la liste Greylisting "Hôtes de confiance" des contrôles RBL :

Exempter les serveurs de la liste Greylisting "Hôtes de confiance" des contrôles RBL est une configuration qui permet de garantir que les serveurs identifiés comme de confiance ne sont pas bloqués ou ralentis par les listes noires en temps réel, même s'ils sont temporairement répertoriés dans ces listes. Cela est particulièrement important pour éviter des interruptions de service pour des serveurs de messagerie ou des partenaires fiables

Exempt servers in the Greylisting “Trusted Hosts” list from RBL checks

Configurer une liste blanche d'adresses IP qui ne doivent pas être vérifiées par rapport aux RBL (Real-time Blackhole Lists) :

Configurer une liste blanche d'adresses IP qui ne doivent pas être vérifiées par rapport aux RBL (Real-time Blackhole Lists) est une pratique courante pour s'assurer que les adresses IP spécifiées ne sont pas bloquées ou filtrées par des listes noires, même si elles apparaissent sur ces listes. Cela est particulièrement utile pour éviter des interruptions de service pour des serveurs ou des partenaires de confiance.

Whitelist: IP addresses that should not be checked against RBLs

Autoriser les chiffrements SSL/TLS faibles :

Autoriser les chiffrements SSL/TLS faibles sur un serveur de messagerie, ou tout autre serveur utilisant SSL/TLS, signifie permettre des algorithmes de chiffrement et des configurations de sécurité qui sont considérés comme obsolètes ou moins sûrs par les standards actuels.

Allow weak SSL/TLS ciphers

Exiger que les clients se connectent avec SSL/TLS ou utilisent STARTTLS avant d'être autorisés à s'authentifier auprès du serveur :

Exiger que les clients se connectent avec SSL/TLS ou utilisent STARTTLS avant d'être autorisés à s'authentifier auprès du serveur est une pratique de sécurité importante pour protéger les informations sensibles, telles que les identifiants et les mots de passe, lors des connexions à un serveur de messagerie. Cela assure que les communications entre le client et le serveur sont cryptées, ce qui réduit le risque de capture des données sensibles par des attaquants

Require clients to connect with SSL or issue the STARTTLS command before they are allowed to authenticate with the server.

OpenSSL :

OpenSSL est une boîte à outils robuste pour la gestion des connexions sécurisées utilisant SSL/TLS. Les options pour OpenSSL permettent de configurer les paramètres de sécurité, les protocoles, les chiffrements, et bien plus encore. Voici une vue d'ensemble des principales options que vous pouvez configurer avec OpenSSL pour un serveur de messagerie ou un serveur web, ainsi que quelques conseils pratiques.

Options for OpenSSL

Les suites de chiffrement SSL/TLS :

Les suites de chiffrement SSL/TLS (également appelées ciphersuites) définissent les algorithmes et protocoles utilisés pour établir une connexion sécurisée entre un client et un serveur. Elles incluent des algorithmes pour le chiffrement des données, l'échange de clés, et l'authentification.

Voici une liste des suites de chiffrement courantes utilisées dans SSL/TLS, classées par famille de chiffrements :

Suites de Chiffrement Basées sur AES (Advanced Encryption Standard)

AES avec RSA pour l'échange de clés et la signature :

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

AES avec DH (Diffie-Hellman) pour l'échange de clés :

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

Suites de Chiffrement Basées sur ChaCha20

ChaCha20 avec Poly1305 pour l'intégrité :

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

Suites de Chiffrement Basées sur 3DES (Triple DES)

3DES avec RSA pour l'échange de clés et la signature :

TLS_RSA_WITH_3DES_EDE_CBC_SHA

3DES avec DH pour l'échange de clés :

TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA

Suites de Chiffrement Basées sur RC4

RC4 avec RSA pour l'échange de clés et la signature :

TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5

RC4 avec DH pour l'échange de clés :

TLS_DHE_RSA_WITH_RC4_128_SHA

Suites de Chiffrement Basées sur DES (Data Encryption Standard)

DES avec RSA pour l'échange de clés et la signature :

TLS_RSA_WITH_DES_CBC_SHA

DES avec DH pour l'échange de clés :

TLS_DHE_RSA_WITH_DES_CBC_SHA

Suites de Chiffrement Basées sur Camellia

Camellia avec RSA pour l'échange de clés et la signature :

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA

Camellia avec DH pour l'échange de clés :

TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA

Suites de Chiffrement Basées sur GCM (Galois/Counter Mode)

GCM avec RSA pour l'échange de clés et la signature :

TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384

GCM avec DH pour l'échange de clés :

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Suites de Chiffrement Basées sur ECDHE (Elliptic Curve Diffie-Hellman Ephemeral)

ECDHE avec RSA pour l'échange de clés et la signature :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDHE avec ECDSA (Elliptic Curve Digital Signature Algorithm) pour l'échange de clés et la signature :

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

SSL/TLS Cipher Suite List

Apache SpamAssassin™ :

Apache SpamAssassin™ est un outil de filtrage de spam largement utilisé pour identifier et gérer les courriels indésirables. La "activation globale forcée" dans SpamAssassin se réfère à une configuration où le filtrage des spams est systématiquement appliqué à tous les courriels entrants, indépendamment de leurs caractéristiques individuelles ou des préférences utilisateur.

Apache Spam Assassin™ : Forced Global ON

Seuil de taille de message à analyser :

Le seuil de taille de message à analyser dans Apache SpamAssassin™ est une configuration qui détermine la taille maximale d'un message e-mail à traiter pour le filtrage anti-spam. Si un message dépasse cette taille, il peut être exclu de l'analyse, ce qui peut aider à économiser des ressources et à éviter des faux positifs dans les grands messages.

Apache SpamAssassin™: message size threshold to scan

l’analyse des messages sortants pour détecter et rejeter le spam via Apache SpamAssassin™ :

Gestion de l’analyse des messages sortants pour détecter et rejeter le spam via Apache SpamAssassin™

Scan outgoing messages for spam and reject based on the Apache SpamAssassin™ internal spam_score setting

Les messages sortants à la recherche de spam et les rejeter en fonction du score Apache SpamAssassin :

Analyser les messages sortants à la recherche de spam et les rejeter en fonction du score Apache SpamAssassin™ défini (minimum : 0,1 ; maximum : 99,9)

Ne transférez pas le courrier à des destinataires externes :

Cette option nécessite que chaque utilisateur active Apache SpamAssassin™ ou que « Apache SpamAssassin™ : Forced Global ON » soit activé.

Do not forward mail to external recipients if it matches the Apache SpamAssassin™ internal spam_score setting

Ne transférez pas de courrier à des destinataires externes en fonction du Score Apache SpanAssassin :

Cette option nécessite que chaque utilisateur active Apache SpamAssassin™ ou que « Apache SpamAssassin™ : Forced Global ON » soit activé.

Do not forward mail to external recipients based on the defined Apache SpamAssassin™ score (Minimum: 0.1; Maximum: 99.9)

BAYES_POISON_DEFENSE :

Augmentez les seuils de notation nécessaires pour que Bayes apprenne HAM et SPAM afin de réduire l'efficacité de l'empoisonnement bayésien utilisé par les spammeurs