ESET Mail Security for Microsoft Exchange Server

Transcription

ESET MAIL SECURITY
POUR MICROSOFT EXCHANGE SERVER
Manuel d'installation et Guide de l'utilisateur
Microsoft® Windows® Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
Veuillez cliquer ici pour obtenir la version la plus récente de ce document.
ESET MAIL SECURITY
Copyright ©2014 ESET, spol. s r.o.
ESET Mail Security a été développé par ESET, spol. s r.o.
Pour plus de détails, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être
reproduite, stockée dans un système d'archivage ou transmise sous
quelque forme ou par quelque moyen que ce soit, y compris sous forme
électronique, mécanique, photocopie, enregistrement, numérisation ou
autre sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de changer les applications décrites
sans préavis.
Assistance à la clientèle : www.eset.com/support
RÉV. 5/2/2014
Contenu
3.3.2.1
1. Introduction
..................................................5
1.1
Nouveautés
........................................................................5
de la version 4.5
1.2 Configuration
........................................................................5
minimale requise
1.3
Méthodes
........................................................................6
utilisées
1.3.1
1.3.2
Analyse
.........................................................................6
des boîtes aux lettres par VSAPI
Filtrage
.........................................................................6
de message STMP au niveau du serveur
1.4 Types........................................................................6
de protection
1.4.1
1.4.2
1.4.3
Protection
.........................................................................6
antivirus
Protection
.........................................................................6
antipourriel
Application
.........................................................................7
des règles définies par l'utilisateur
1.5 Interface
........................................................................7
utilisateur
2. Installation
..................................................8
2.1
Installation
........................................................................9
standard
2.2 Installation
........................................................................10
personnalisée
2.3 Serveur
........................................................................12
de terminal
2.4 Mise........................................................................12
à niveau vers une version plus récente
2.5 Rôles........................................................................13
du serveur Exchange - Edge et Hub
2.6 Rôles........................................................................13
Exchange Server 2013
2.7 Installation
........................................................................14
dans un environnement avec grappes
2.8 Licence
........................................................................15
2.9 Configuration
........................................................................17
post-installation
3. ESET Mail Security - Protection de
Microsoft
Exchange Server
..................................................19
3.1
Paramètres
........................................................................19
généraux
3.1.1
3.1.1.1
3.1.1.2
3.1.2
3.1.2.1
3.1.2.2
3.1.3
3.1.4
3.1.4.1
3.1.5
Microsoft
.........................................................................19
Exchange Server
VSAPI
........................................................................19
Agent
........................................................................20
de transport
Règles
.........................................................................21
Ajouter
........................................................................22
une nouvelle règle
Actions
........................................................................23
prises au moment d'appliquer les règles
Fichiers
.........................................................................24
journaux
Quarantaine
.........................................................................26
des messages
Ajout
........................................................................27
d'une nouvelle règle de mise en quarantaine
Performance
.........................................................................28
3.2 Paramètres
........................................................................28
antivirus et antispyware
3.4
3.2.1
Microsoft
.........................................................................29
Exchange Server
3.2.1.1
VSAPI
........................................................................29 4.
3.2.1.1.1
Microsoft
..........................................................................29
Exchange Server 5.5 (VSAPI 1.0)
3.2.1.1.1.1 Actions
.........................................................................30
3.2.1.1.1.2 Performance
.........................................................................30
4.1
3.2.1.1.2
Microsoft
..........................................................................30
Exchange Server 2000 (VSAPI 2,0)
3.2.1.1.2.1 Actions
.........................................................................31
.........................................................................31
3.2.1.1.3
Microsoft
..........................................................................32
Exchange Server 2003 (VSAPI 2,5)
3.2.1.1.3.1 Actions
.........................................................................32
.........................................................................33
3.2.1.1.4
Microsoft
..........................................................................33
Exchange Server 2007/2010 (VSAPI 2.6)
3.2.1.1.4.1 Actions
.........................................................................34
.........................................................................34
3.2.1.1.5
Agent
..........................................................................35
de transport
3.2.2
Actions
.........................................................................36
3.2.3
Alertes
.........................................................................36
et notifications
3.2.4
Exclusions
.........................................................................37
automatiques
3.3 Protection
........................................................................38
antipourriel
3.3.1
3.3.1.1
3.3.1.2
3.3.2
Microsoft
.........................................................................39
Exchange Server
Agent
........................................................................39
de transport
Connecteur
........................................................................40
POP3 et protection antipourriel
Moteur
.........................................................................41
antipourriel
3.3.2.1.1
3.3.2.1.1.1
3.3.2.1.1.2
3.3.2.1.1.1
3.3.2.1.2
3.3.2.1.3
3.3.2.1.3.1
3.3.2.1.3.1
3.3.2.1.3.2
3.3.2.1.3.3
3.3.2.1.3.1
3.3.2.1.3.4
3.3.2.1.4
3.3.2.1.4.1
3.3.2.1.4.2
3.3.2.1.4.3
3.3.2.1.4.4
3.3.2.1.4.5
3.3.2.1.4.6
3.3.2.1.4.7
3.3.2.1.4.8
3.3.2.1.4.9
3.3.2.1.5
3.3.2.1.5.1
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.1
3.3.2.1.5.2
3.3.2.1.5.3
3.3.2.1.5.1
3.3.2.1.6
3.3.2.1.7
3.3.2.1.8
3.3.2.1.8.1
3.3.2.1.8.2
3.3.2.1.9
3.3.2.1.10
3.3.2.1.11
3.3.2.1.11.1
3.3.2.1.11.2
3.3.2.1.11.3
3.3.2.1.11.4
3.3.2.1.12
3.3.2.1.13
3.3.2.1.14
3.3.3
Configuration des paramètres du moteur
antipourriel
........................................................................41
Analyse
..........................................................................41
Échantillons
.........................................................................42
SpamCompiler
.........................................................................42
Liste
.........................................................................42
des fichiers de mémoire cache
Apprentissage
..........................................................................43
Règles
..........................................................................43
Pondération
.........................................................................44
des règles
Ajout
.........................................................................44
d'une pondération de règle
Liste
.........................................................................44
des fichiers de règles téléchargés
Pondération
.........................................................................44
de catégories
Ajout
.........................................................................44
d'une pondération de catégorie
Liste
.........................................................................45
des règles personnalisées
Filtrage
..........................................................................45
Expéditeurs
.........................................................................45
autorisés
Expéditeurs
.........................................................................45
bloqués
Adresses
.........................................................................45
IP autorisées
Adresses
.........................................................................46
IP ignorées
Adresses
.........................................................................46
IP bloquées
Domaines
.........................................................................46
autorisés
Domaines
.........................................................................46
ignorés
Domaines
.........................................................................46
bloqués
Faux
.........................................................................46
expéditeurs
Vérification
..........................................................................46
RBL
.........................................................................47
(Liste noire en temps réel)
Liste
.........................................................................47
de serveurs RBL
LBL
.........................................................................47
(Liste noire des dernières IP)
Liste
.........................................................................47
des serveurs LBL
Liste
.........................................................................47
des adresses IP sautées
DNSBL
.........................................................................47
(Liste de blocage DNS)
Liste
.........................................................................48
de serveurs DNSBL
DNS
..........................................................................48
Note
..........................................................................48
Appâts
..........................................................................49
pour le pourriel
Adresses
.........................................................................49
appâts pour le pourriel
Adresses
.........................................................................49
considérées comme inexistantes
Communication
..........................................................................49
Performance
..........................................................................49
Paramètres
..........................................................................50
régionaux
Liste
.........................................................................50
des langues d'origine
Liste
.........................................................................51
des pays d'origine
Liste
.........................................................................56
des adresses bloquées
Liste
.........................................................................56
des jeux de caractères bloqués
Fichiers
..........................................................................56
journaux
Statistiques
..........................................................................56
Options
..........................................................................56
Alertes
.........................................................................57
et notifications
FAQ........................................................................57
ESET Mail Security - Protection du
serveur
..................................................61
Protection
........................................................................61
antivirus et antispyware
4.1.1
Protection
.........................................................................61
en temps réel du système de fichiers
4.1.1.1
Configuration
........................................................................61
du contrôle
4.1.1.1.1
Supports
..........................................................................62
à analyser
4.1.1.1.2
Date de l'analyse (analyse déclenchée par un
événement)
..........................................................................62
4.1.1.1.3
Options
..........................................................................62
d'analyse avancée
4.1.1.2
Niveaux
........................................................................63
de nettoyage
4.1.1.3
Quand faut-il modifier la configuration la
protection
........................................................................63
en temps réel
4.1.1.4
Vérification
........................................................................64
de la protection en temps réel
4.1.1.5
Que faire si la protection en temps réel ne
fonctionne
........................................................................64
pas
4.1.2
Protection
.........................................................................65
du client de messagerie
4.1.2.1
Contrôle
........................................................................65
POP3
4.1.2.1.1
Compatibilité
..........................................................................66
4.1.2.2
Intégration
........................................................................66
aux clients de messagerie
4.1.2.2.1
Ajout
..........................................................................67
d'une étiquette au corps d'un message
4.1.2.3
Suppression
........................................................................67
d'infiltrations
4.1.3
4.1.3.1
4.1.3.1.1
4.1.3.1.2
4.1.4
4.1.4.1
4.1.4.1.1
4.1.4.1.2
4.1.4.2
4.1.4.3
4.1.4.4
4.1.5
4.1.6
4.1.6.1
4.1.6.1.1
4.1.6.1.2
4.1.7
4.1.7.1
4.1.7.2
4.1.7.3
4.1.7.4
4.1.7.5
4.1.7.6
4.1.8
Protection
.........................................................................68
de l'accès Web
HTTP,
........................................................................68
HTTPS
Gestion
..........................................................................69
d'adresse
Mode
..........................................................................70
actif
Analyse
.........................................................................71
de l'ordinateur à la demande
Type
........................................................................72
d'analyse
Analyse
..........................................................................72
intelligente
Analyse
..........................................................................72
personnalisée
Cibles
........................................................................73
à analyser
Profils
........................................................................73
d'analyse
Ligne
........................................................................74
de commande
Performance
.........................................................................76
Filtrage
.........................................................................76
des protocoles
SSL........................................................................76
Certificats
..........................................................................77
approuvés
Certificats
..........................................................................77
exclus
Configuration
.........................................................................77
du moteur ThreatSense
Configuration
........................................................................78
des objets
Options
........................................................................78
Nettoyage
........................................................................80
Extensions
........................................................................81
Limites
........................................................................81
Autre
........................................................................82
Une
.........................................................................82
infiltration est détectée
4.2 Mise........................................................................83
à jour du programme
4.2.1
4.2.1.1
4.2.1.2
4.2.1.2.1
4.2.1.2.2
4.2.1.2.3
4.2.1.2.4
4.2.1.2.4.1
4.2.1.2.4.2
4.2.2
Configuration
.........................................................................85
des mises à jour
Profils
........................................................................86
de mise à jour
Configuration
........................................................................86
avancée des mises à jour
Mode
..........................................................................86
de mise à jour
Serveur
..........................................................................87
mandataire
Connexion
..........................................................................89
au réseau local
Création
..........................................................................90
de copies de mises à jour - miroir
Mise
.........................................................................91
à jour à partir du miroir
Résolution
.........................................................................92
des problèmes de miroir de mise à jour
Comment
.........................................................................92
créer des tâches de mise à jour
4.3 Planificateur
........................................................................93
4.3.1
Pourquoi
.........................................................................94
planifier des tâches
4.3.2
Création
.........................................................................94
de nouvelles tâches
4.4 Quarantaine
........................................................................95
4.4.1
Mise
.........................................................................95
de fichiers en quarantaine
4.4.2
Restaurer
.........................................................................96
depuis la quarantaine
4.4.3
Soumission
.........................................................................96
de fichiers de quarantaine
4.5 Fichiers
........................................................................97
journaux
4.5.1
4.5.2
4.5.3
Filtrage
.........................................................................101
des journaux
Trouver
.........................................................................102
dans le journal
Maintenance
.........................................................................104
des journaux
4.6 ESET
........................................................................105
SysInspector
4.6.1
4.6.1.1
4.6.2
4.6.2.1
4.6.2.2
4.6.2.2.1
4.6.2.3
4.6.3
4.6.4
4.6.4.1
4.6.4.2
4.6.4.3
4.6.5
4.6.6
Introduction
.........................................................................105
à ESET SysInspector
Lancement
........................................................................105
de ESET SysInspector
Interface
.........................................................................106
utilisateur et utilisation de l'application
Contrôles
........................................................................106
du programme
Naviguer
........................................................................107
dans ESET SysInspector
Raccourcis
..........................................................................108
clavier
Comparer
........................................................................110
Paramètres
.........................................................................111
de la ligne de commande
Script
.........................................................................111
de service
Génération
........................................................................112
d'un script de service
Structure
........................................................................112
du script de service
Exécution
........................................................................114
des scripts de service
FAQ
.........................................................................114
ESET
.........................................................................116
SysInspector dans ESET Mail Security
4.7 ESET
........................................................................116
SysRescue
4.7.1
4.7.2
4.7.3
4.7.4
4.7.4.1
4.7.4.2
Configuration
.........................................................................116
requise
Comment
.........................................................................117
créer un CD de sauvetage
Sélection
.........................................................................117
de cible
Paramètres
.........................................................................117
Dossiers
........................................................................117
Antivirus
........................................................................118
ESET
4.7.4.3
4.7.4.4
4.7.4.5
4.7.4.6
4.7.5
4.7.5.1
Paramètres
........................................................................118
avancés
Protocole
........................................................................118
Internet
Périphérique
........................................................................119
USB d'amorçage
Graver
........................................................................119
Utilisation
.........................................................................119
de ESET SysRescue
Utilisation
........................................................................119
de ESET SysRescue
4.8 Options
........................................................................120
de l'interface utilisateur
4.8.1
4.8.2
Alertes
.........................................................................121
et notifications
Désactiver l'interface graphique sur le serveur de
terminal
.........................................................................122
4.9 eShell
........................................................................123
4.9.1
4.9.2
Utilisation
.........................................................................124
Commandes
.........................................................................127
4.10 Importer
........................................................................129
et exporter les paramètres
4.11 ThreatSense.Net
........................................................................129
4.11.1
4.11.2
4.11.3
Fichiers
.........................................................................131
suspects
Statistiques
.........................................................................132
Soumission
.........................................................................133
4.12 Administration
........................................................................134
à distance
4.13 Licences
........................................................................135
5. Glossaire
..................................................136
5.1
Types
........................................................................136
d'infiltrations
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
5.1.8
Virus
.........................................................................136
Vers
.........................................................................136
Chevaux
.........................................................................137
de Troie
Rootkits
.........................................................................137
Logiciels
.........................................................................137
publicitaires
Logiciel
.........................................................................138
espion
Applications
.........................................................................138
potentiellement dangereuses
Applications
.........................................................................138
potentiellement indésirables
5.2 Courriel
........................................................................139
5.2.1
5.2.2
5.2.3
5.2.4
5.2.4.1
5.2.4.2
5.2.4.3
5.2.4.4
5.2.4.5
Publicités
.........................................................................139
Canulars
.........................................................................139
Hameçonnage
.........................................................................140
Reconnaissance
.........................................................................140
des pourriels
Règles
........................................................................140
Filtre
........................................................................141
bayésien
Liste
........................................................................141
blanche
Liste
........................................................................141
noire
Contrôle
........................................................................141
côté serveur
1. Introduction
ESET Mail Security 4 pour Microsoft Exchange Server est une solution intégrée qui protège les boîtes aux lettres
contre différents types de contenu malveillant, y compris les pièces jointes infectées par des vers ou des chevaux de
Trois, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET Mail Security comprend
trois types de protection : antivirus, antipourriel et l'application de règles définies par l'utilisateur. ESET Mail
Security filtre le contenu malveillant au niveau du serveur de messagerie, avant qu'il n'entre dans la boîte de
réception du client de messagerie.
ESET Mail Security prend en charge les versions 2000 et ultérieures de Microsoft Exchange Server, ainsi qu'un
serveur Microsoft Exchange dans un environnement avec grappes. Les rôles particuliers (boîte aux lettres, Hub,
Edge) sont également pris en charge dans les versions plus récentes du logiciel (Microsoft Exchange Server 2007 et
versions ultérieures). Vous pouvez utiliser ESET Remote Administrator pour gérer également ESET Mail Security à
distance.
En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security comprend également tous les outils
pour assurer la protection du serveur lui-même (protection résidence, protection de l'accès Web, protection du
client de messagerie et antipourriel).
1.1 Nouveautés de la version 4.5
Comparé à la version 4.3 de ESET Mail Security, les nouveautés et améliorations suivantes ont été introduites dans
la version 4.5 :
Paramètres antipourriel - facilement accessibles à partir de l'interface utilisateur graphique, ce qui permet aux
administrateurs d'effectuer beaucoup plus simplement les modifications requises
Prise en charge de Microsoft Exchange Server 2013
Prise en charge de Microsoft Windows Server 2012 / 2012 R2
1.2 Configuration minimale requise
Systèmes d'exploitation pris en charge :
Microsoft Windows 2000 Server
Microsoft Windows Server 2003 (x86 et x64)
Microsoft Windows Server 2008 (x86 et x64)
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Small Business Server 2003 (x86)
Microsoft Windows Small Business Server 2003 R2 (x86)
Versions de Microsoft Exchange Server prises en charge :
Microsoft Exchange Server 2000 SP1, SP2, SP3
Microsoft Exchange Server 2003 SP1, SP2
Microsoft Exchange Server 2013
La configuration matérielle requise dépend des versions du système d'exploitation et de Microsoft Exchange Server
utilisées. Veuillez lire la documentation de produit de Microsoft Exchange Server pour obtenir plus de détails sur la
configuration matérielle requise.
5
1.3 Méthodes utilisées
Deux méthodes indépendantes sont utilisées pour analyser les courriels :
Analyse des boîtes aux lettres par VSAPI 6
Filtrage de message STMP au niveau du serveur
6
1.3.1 Analyse des boîtes aux lettres par VSAPI
Le processus d'analyse des boîtes aux lettres est déclenché et contrôlé par le serveur Microsoft Exchange. Les
messages conservés dans la base de données du magasin Microsoft Exchange Server sont continuellement
analysés. Le processus d'analyse peut être déclenché par l'une des situations suivantes, en fonction de la version de
Microsoft Exchange Server et de l'interface VSAPI utilisées et des paramètres définis par l'utilisateur :
lorsque l'utilisateur accède à sa messagerie, par exemple, dans un client de messagerie (le courriel est toujours
analysé en fonction de la base de données des signatures de virus la plus récente).
En arrière-plan, lorsque le taux d'utilisation de Microsoft Exchange Server est bas.
De façon proactive (en fonction de l'algorithme interne de Microsoft Exchange Server).
L'interface VSAPI est actuellement utilisée pour l'analyse antivirus et la protection basée sur les règles.
1.3.2 Filtrage de message STMP au niveau du serveur
Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans Microsoft Exchange Server 2000 et
2003, le plugiciel en question (Récepteur d'événement) est enregistré sur le serveur SMTP dans le cadre des services
Internet IIS. Dans Microsoft Exchange Server 2007/2010, le plugiciel est plutôt enregistré comme un agent de
transport selon le rôle Edge ou Hub attribué à Microsoft Exchange Server.
Le filtrage SMTP au niveau du serveur effectué par un agent de transport offre une protection antivirus, antipourriel
et en fonction des règles définies par l'utilisateur. Contrairement au filtrage par VSAPI, le filtrage par SMTP au
niveau du serveur est effectué avant que les messages analysés ne soient remis dans la boîte aux lettres du serveur
Microsoft Exchange.
1.4 Types de protection
Il existe trois types de protection :
1.4.1 Protection antivirus
La protection antivirus est l'une des fonctions de base du produit ESET Mail Security. La protection antivirus protège
le système des attaques malveillantes en contrôlant les échanges de fichiers et de courrier, ainsi que les
communications Internet. Si une menace comportant du code malveillant est détectée, le module Antivirus peut
alors l'éliminer en la bloquant, avant de nettoyer, de supprimer ou de déplacer le fichier dans la Quarantaine 95 .
1.4.2 Protection antipourriel
La protection antipourriel intègre plusieurs technologies (RBL, DNSBL, empreintes, vérification de la réputation,
analyse du contenu, filtre bayésien, règles, ajout manuel à la liste blanche et à la liste noire, etc.) pour détecter le
plus grand nombre possible de menaces par courriel. Le débit du moteur antipourriel est la valeur de probabilité de
pourriel d'un message donné, exprimée en pourcentage (0 à 100).
Un autre composant du module de protection antipourriel est la technique d'ajout à la liste grise (désactivée par
défaut). Cette technique s'appuie sur la spécification RFC 821 qui énonce que puisque SMTP est un protocole de
communication non fiable, tout agent de transfert de messages (MTA) devrait tenter, à plusieurs reprises, de
remettre un message après un échec temporaire de remise. Une caractéristique importante du pourriel consiste
dans des livraisons uniques (grâce à des outils spécialisés) vers une liste globale d'adresses courriel générée
automatiquement. Un serveur qui utilise les listes grises calcule une valeur de contrôle (code de hachage) pour
l'adresse de l'expéditeur de l'enveloppe, l'adresse du destinataire de l'enveloppe et l'adresse IP du MTA de
l'expéditeur. Si le serveur ne peut trouver de valeur de contrôle pour ce triplet dans sa propre base de données, il
refusera alors le message et enverra un code d'échec temporaire (échec temporaire, 451, par ex.). Un serveur
légitime essayera de nouveau de livrer le message après un certain temps. La valeur de contrôle du triplet sera alors
6
ajoutée à la base de données des connexions vérifiées lors de la deuxième tentative, ce qui permettra aux messages
présentant les caractéristiques appropriées de pouvoir être ensuite remis au destinataire.
1.4.3 Application des règles définies par l'utilisateur
La protection basée sur des règles définies par l'utilisateur est disponible pour l'analyse effectuée tant par VSAPI que
par l'agent de transport. Vous pouvez utiliser l'interface utilisateur de ESET Mail Security pour créer des règles
individuelles pouvant aussi être combinées. Si une règle utilise plusieurs conditions, ces conditions seront liées à
l'aide de l'opérateur logique ET. Par conséquent, la règle ne sera exécutée que si toutes les conditions sont remplies.
Si plusieurs règles sont crées, l'opérateur logique OU sera appliqué, ce qui signifie que le programme exécutera la
première règle auxquelles satisfont les conditions.
Dans la séquence d'analyse, la première technique utilisée est l'ajout à la liste grise - si elle est activée. Les
procédures suivantes exécuteront toujours les techniques suivantes : protection basée sur des règles définies par
l'utilisateur, suivie d'une analyse antivirus et, en dernier lieu, de l'analyse antipourriel.
1.5 Interface utilisateur
ESET Mail Security possède une interface utilisateur graphique (IUG) conçue pour être aussi intuitive que possible.
Elle offre aux utilisateurs un accès rapide et facile aux principales fonctions du programme.
En plus de l'IUG principale, le logiciel comprend également une arborescence de configuration avancée à laquelle
l'utilisateur peut accéder où qu'il se trouve dans le programme en appuyant sur la touche F5.
Dès que vous appuyez sur la touche F5, la fenêtre de l'arborescence de configuration avancée s'ouvre et affiche une
liste des fonctions du logiciel pouvant être configurées. Vous pourrez alors configurer les paramètres et options
selon vos besoins. La section de l'arborescence est divisée en deux sections : Protection du serveur et Protection
de l'ordinateur. La section Protection du serveur contient des éléments liés aux paramètres de ESET Mail Security,
des paramètres particuliers axés sur la protection du serveur Microsoft Exchange. La section Protection de
l'ordinateur contient les éléments configurables de la protection du serveur.
7
2. Installation
Après l'achat, le programme d'installation de ESET Mail Security, peut être téléchargé du site web d'ESET (www.
eset.com) comme paquet .msi.
Veuillez noter que vous devez exécuter le fichier d'installation à partir du compte Administrateur intégré Tout
autre utilisateur, malgré le fait qu'il soit membre du groupe Administrateurs, n'aura pas des droits d'accès
suffisants. Vous devez donc utiliser le compte Administrateur intégré, car vous ne pourrez pas terminer
l'installation si vous utilisez un compte autre que Administrateur.
Il y a deux façons d'exécuter le fichier d'installation :
Vous pouvez ouvrir localement une session en utilisant les identifiants du compte Administrateur, puis exécuter
le fichier d'installation.
Vous pouvez avoir ouvert une session avec les identifiants d'un autre utilisateur, mais vous devez ouvrir l'invite de
commandes avec Exécuter comme... et entrer les identifiants du compte Administrateur pour que cmd
fonctionne en mode Administrateur. Vous devez ensuite entrer la commande pour exécuter le fichier
d'installation (soit msiexec /i emsx_nt64_ENU.msi , mais vous devez remplacer emsx_nt64_ENU.msi par le nom de
fichier exact du fichier d'installation msi que vous avez téléchargé)
Une fois le programme d'installation lancé, l'Assistant Installation vous guidera dans les opérations de
configuration de base à effectuer. Deux types d'installation sont disponibles, avec différents niveaux de détails de
configuration :
1. Installation standard
2. Installation personnalisée
REMARQUE : Il est fortement recommandé que vous installiez ESET Mail Security sur un système d'exploitation
nouvellement configuré et installé, si possible. Cependant, si vous devez l'installer sur un système existant, le mieux
à faire consiste à désinstaller la version antérieure de ESET Mail Security, à redémarrer le serveur et à installer par la
suite la nouvelle version de ESET Mail Security.
8
2.1 Installation standard
Le mode d'installation standard installe rapidement la configuration minimale de ESET Mail Security lors de
l'installation. L'installation standard est le mode d'installation par défaut, donc l'option recommandée si vous n'avez
encore aucune exigence particulière quant aux paramètres. Une fois que ESET Mail Security a été installé sur votre
système, vous pouvez modifier en tout temps les options et paramètres de configuration. Ce guide d'utilisateur
décrit ces paramètres et fonctionnalités en détail. Les paramètres du mode d'installation standard garantissent un
excellent niveau de sécurité combiné à une simplicité d'installation et à une performance élevée du système.
Après avoir sélectionné le mode d'installation et avoir cliqué sur suivant, vous serez invité à entrer votre nom
d'utilisateur et votre mot de passe. Ces deux éléments jouent un rôle important dans la protection continue de
votre système puisque tant le nom d'utilisateur que le mot de passe permettent d'effectuer la mise à niveau 83
automatique de la base de données des signatures de virus.
Entrez le nom d'utilisateur et le mot passe que vous avez reçus, après l'achat ou l'enregistrement du produit, dans
les champs correspondants. Si vos nom d'utilisateur et mot de passe ne sont pas disponibles, vous pourrez les
entrer directement dans le programme, plus tard.
Dans la prochaine étape - Gestionnaire de licences - Ajoutez le fichier de licence que vous avez reçu par courriel,
une fois le produit acheté.
La prochaine étape permettra de configurer le système d'avertissement anticipé de ThreatSense.Net. Le système
d'avertissement anticipé ThreatSense.Net contribue à garantir qu'ESET est immédiatement et continuellement
informé des nouvelles infiltrations dans le but de protéger ses clients. Le système permet de soumettre de nouvelles
menaces au laboratoire d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de données des
signatures de virus. Par défaut, la case Activer le système d'avertissement anticipé de ThreatSense.Net est
cochée. Cliquez sur Configuration avancée pour modifier les paramètres détaillés de soumission de fichiers
suspects.
La prochaine étape du processus d'installation consiste à configurer la Détection des applications
potentiellement indésirables. Les applications potentiellement indésirables ne sont pas nécessairement
malveillantes, mais peuvent souvent affecter le comportement du système d'exploitation. Veuillez consulter la
section Applications potentiellement indésirables 138 pour plus de détails.
Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de
l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles
peuvent facilement s'installer sans votre consentement.
Cochez l'option Activer la détection d'applications potentiellement indésirables pour permettre à ESET Mail
Security de détecter ce type d'application. Si vous ne voulez pas utiliser cette fonctionnalité, cochez plutôt la case
Désactiver la détection des applications potentiellement indésirables.
La dernière étape de l'installation standard consiste à confirmer l'installation en cliquant sur le bouton Installer.
9
2.2 Installation personnalisée
L'installation personnalisée est conçue pour les personnes qui voudraient configurer ESET Mail Security pendant le
processus d'installation.
Après avoir choisi le mode d'installation et avoir cliqué sur Suivant, vous serez invité à sélectionner une destination
pour l'installation. Le programme s'installe, par défaut, dans C:\Program Files\ESET\ESET Mail Security. Cliquez sur
Parcourir… pour changer la destination (cette option n'est pas recommandée).
Entrez ensuite votre nom d'utilisateur et votre mot de passe. Cette étape est la même que dans le mode
d'installation standard (voir la rubrique Installation standard 9 ).
À l'étape suivante, celle du Gestionnaire de licences, ajoutez le fichier de licence que vous avez reçu par courriel
après avoir acheté le produit.
Après avoir entrés vos nom d'utilisateur et mot de passe, cliquez sur Suivant pour configurer votre connexion
Internet.
Si vous utilisez un serveur mandataire, assurez-vous qu'il soit correctement configuré pour que les mises à jour du
programme fonctionnent correctement. Si vous souhaitez que le serveur mandataire soit automatiquement
configuré, sélectionnez le paramètre par défaut J'ignore si ma connexion Internet utilise un serveur mandataire.
Utiliser les mêmes paramètres qu'Internet Explorer (option recommandée) et cliquez sur Suivant. Si vous
n'utilisez pas de serveur mandataire, sélectionnez l'option Je n'utilise pas de serveur mandataire.
10
Vous pouvez configurer manuellement les détails du serveur mandataire, si vous préférez le faire vous-même. Pour
configurer les paramètres de votre serveur mandataire, sélectionnez J'utilise un serveur mandataire, puis cliquez
sur Suivant. Entrez l'adresse IP ou l'adresse URL de votre serveur mandataire dans le champ Adresse. Dans le
champ Port, précisez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Si votre
serveur mandataire exige une authentification, entrez un nom d'utilisateur et un mot de passe valides donnant
accès à ce serveur. Les paramètres du serveur mandataire peuvent être copiés depuis Internet Explorer. Une fois les
détails du serveur mandataire entrés, cliquez sur Appliquer et confirmez la sélection.
Cliquez sur Suivant pour passer à Configurer les paramètres de mise à jour automatique. Cette étape vous
permet de choisir de quelle façon les mises à jour automatiques des composants du programme seront effectuées
sur votre système. Cliquez sur Changer... pour accéder aux paramètres avancés.
Si vous ne voulez pas que les composants du programme soient mis à jour, sélectionnez Ne jamais mettre à jour
les composants du programme. Sélectionnez l'option Demander avant de télécharger les composants du
programme pour qu'une fenêtre de confirmation s'affiche avant que les composants du programme ne soient
téléchargés. Pour télécharger automatiquement les mises à niveau des composants du programme, sélectionnez
l'option Toujours mettre à jour les composants du programme.
REMARQUE : Le redémarrage du système est généralement nécessaire après la mise à jour des composants du
programme. Il est recommandé de cocher l'option Ne jamais redémarrer l'ordinateur. Les plus récentes mises à
jour des composants n'entreront en vigueur qu'après le prochain redémarrage du serveur (qu'il soit planifié 93 ,
manuel ou autrement). Vous pouvez choisir Proposer le redémarrage de l'ordinateur si nécessaire si vous voulez
recevoir un rappel vous invitant à redémarrer le serveur, une fois les composants mis à jour. Ce paramètre vous
permet de redémarrer immédiatement le serveur ou de retarder le redémarrage pour l'effectuer à un autre
moment.
La fenêtre d'installation suivante comprend l'option vous permettant de définir un mot de passe pour protéger les
paramètres de votre programme. Cochez l'option Protéger la configuration par mot de passe et choisissez un
mot de passe que vous entrerez dans les champs Nouveau mot de passe et Confirmez le mot de passe.
Les deux prochaines étapes de l'installation, Système d'avertissement anticipé ThreatSense.Netet Détection
des applications potentiellement indésirables sont les mêmes que dans l'installation standard (voir la rubrique
Installation standard 9 ).
Cliquez sur Installer dans la fenêtre Prêt pour l'installation pour terminer l'installation.
11
2.3 Serveur de terminal
Si vous avez installé ESET Mail Security sur Windows Server utilisé comme serveur de terminal, vous pourriez
vouloir désactiver l'interface graphique de ESET Mail Security pour l'empêcher de démarrer chaque fois qu'un
utilisateur ouvre une session. Se reporter à la section Désactiver l'interface graphique sur le serveur de terminal 122
pour connaître les étapes précises à effectuer pour la désactiver.
2.4 Mise à niveau vers une version plus récente
Des versions plus récentes de ESET Mail Security sont émises afin d'améliorer le logiciel ou de corriger des problèmes
qui ne peuvent être résolus par les mises à niveau automatiques du module du programme. Vous pouvez utiliser les
méthodes suivantes pour effectuer la mise à niveau vers la version la plus récente d'ESET Mail Security :
1. mise à niveau automatique par l'entremise de la mise à jour de composants du programme (PCU)
Puisque les mises à jour de composants du programme sont envoyées à tous les utilisateurs et qu'elles peuvent
avoir certaines répercussions sur les configurations système, elles ne sont émises qu'après une longue période de
test pour assurer une mise à niveau sans heurts pour toutes les configurations système possibles.
2. Manuellement, par exemple lorsque vous devez effectuer une mise à niveau vers une nouvelle version
immédiatement après l'émission de celle-ci ou si vous voulez passer à la prochaine génération de ESET Mail
Security (en passant, par exemple, de la version 4.2 ou 4.3 à la version 4.5).
Il existe deux façons d'effectuer une mise à niveau manuelle vers une nouvelle version, soit par remplacement (la
version la plus récente sera installée par-dessus la version actuelle) ou effectuant une nouvelle installation (la
version antérieure sera d'abord désinstallée avant que la nouvelle version ne soit installée).
Pour effectuer une mise à niveau manuelle :
1. Mise à niveau par remplacement : Installez la plus récente version sur la version actuelle de ESET Mail Security en
suivant les étapes présentées dans le chapitre Installation 8 . Tous les paramètres actuels (y compris les
paramètres antipourriel) seront automatiquement importés dans la nouvelle version lors de l'installation de cette
dernière.
2. Nouvelle installation :
a) Utilisez la fonctionnalité Importation et exportation des paramètres 129 pour exporter votre configuration/
vos paramètres dans un fichier xml.
b) Ouvrez ce fichier xml dans un éditeur xml ou dans un éditeur de texte prenant xml en charge (par exemple,
WordPad, Nodepad++, etc.) avant de modifier le numéro SECTION ID "1000404" afin qu'il corresponde à
ceci :
<SECTION ID="1000404">
c) Consultez cet article de la base de connaissances d'où vous pourrez télécharger l'outil EMSX
AntispamSettingsExport. Enregistrer EMSX_AntispamSettingsExport.exe sur le serveur Exchange sur lequel
vous effectuez la mise à niveau à la plus récente version de ESET Mail Security.
d) Exécutez l'outil EMSX_AntispamSettingsExport.exe , ce qui créera un fichier.cfg.xml contenant les paramètres
antipourriel configurés dans votre version actuelle de ESET Mail Security.
e) Téléchargez ensuite le fichier d'installation msi pour obtenir la plus récente version de ESET Mail Security.
f) Copiez le fichier cfg.xml créé par l'outil EMSX AntispamSettingsExport dans le dossier où vous avez
enregistré le fichier d'installation msi pour ESET Mail Security (par ex., emsx_nt64_ENU.msi).
g) Désinstallez ensuite votre version actuelle de ESET Mail Security.
h) Exécutez le fichier d'installation msi pour ESET Mail Security 4.5. Les paramètres de la protection
antipourriel exportés dans le fichier cfg.xml seront alors automatiquement importés dans la nouvelle
version.
i) Une fois l'installation terminée, utilisez la fonctionnalité Importation et exportation des paramètres 129
pour importer la configuration/les paramètres que vous avez modifiés et enregistrés aux étapes a) et b).
Modifiez ensuite les paramètres avec l'éditeur xml pour pouvoir les utiliser dans la nouvelle version de ESET
Mail Security.
12
Une fois effectuées les différentes étapes indiquées ci-dessus, la nouvelle version d'ESET Mail Security sera installée
sur votre système, avec vos paramètres de configuration personnalisés antérieurs.
Pour plus de détails sur le processus de mise à niveau, consultez cet article de la base de connaissances.
REMARQUE : les deux processus de mise à niveau manuelle (remplacement et nouvelle installation) ne
s'appliquent qu'à la mise à niveau de la version 4.2 ou 4.3 de ESET Mail Security à la version 4.5 de ESET Mail
Security.
2.5 Rôles du serveur Exchange - Edge et Hub
Par défaut, les fonctionnalités antipourriel sont activées sur le serveur de Transport Edge, alors qu'elles sont
désactivées sur le serveur de Transport Hub. Dans une organisation Exchange comprenant un serveur de Transport
Edge, cette configuration est la plus appropriée. Il est recommandé que le serveur de Transport Edge exécutant la
protection antipourriel de ESET Mail Security soit configuré afin de filtrer les messages avant qu'ils ne soient
acheminés vers l'organisation Exchange.
Le rôle Edge, cependant, est l'endroit de choix pour l'analyse antipourriel, parce qu'il permet à ESET Mail Security de
rejeter le pourriel tôt dans le processus sans charger inutilement les couches du réseau. Grâce à cette configuration,
les messages entrants seront filtrés par ESET Mail Security sur le serveur Transport Edge pour qu'ainsi, ils puissent
être déplacés vers le serveur Transport Hub sans devoir être filtrés de nouveau.
Cependant, si votre organisation n'utilise pas de serveur de Transport Edge et ne possède qu'un serveur de
Transport Hub, nous vous recommandons d'activer les fonctionnalités antipourriel du serveur de Transport Hub qui
reçoit les messages entrants de l'Internet par SMTP.
2.6 Rôles Exchange Server 2013
L'architecture de Exchange Server 2013 est différente de celle des versions antérieures de Microsoft Exchange.
Exchange 2013 ne comprend que deux rôles pour le serveur, soit serveur d'accès au client et serveur de boîte aux
lettres. Si vous comptez protéger Microsoft Exchange 2013 avec ESET Mail Security, assurez-vous de l'installer sur
un système exécutant Microsoft Exchange 2013 avec le rôle serveur de boîtes aux lettres. Le rôle serveur d'accès au
client n'est pas pris en charge par ESET Mail Security.
Il existe une exception si vous comptez installer ESET Mail Security sur Windows SBS (Small Business Server). Dans
le cas de Windows SBS, tous les rôles Exchange s'exécutent sur le même serveur. ESET Mail Security fonctionnera
donc correctement et fournira tous ses types de protection, y compris celles du serveur de messagerie.
Cependant, si vous installez ESET Mail Security sur un système exécutant uniquement le rôle serveur d'accès au
client (serveur d'accès au client dédié), les fonctionnalités les plus importantes de ESET Mail Security ne
fonctionneront pas, en particulier celles du serveur de messagerie. Dans ce cas, seule la protection en temps réel du
système de fichiers fonctionnera et certains composants qui appartiennent à la Protection de l'ordinateur/ 61 . Il n'y
aura alors aucune protection du serveur de messagerie. C'est pour cette raison qu'il n'est pas recommandé
d'installer ESET Mail Security sur un serveur avec le rôle serveur d'accès au client. Comme indiqué ci-dessus, cela ne
s'applique pas à Windows SBS (Small Business Server).
REMARQUE: En raison de certaines restrictions techniques de Microsoft Exchange 2013, ESET Mail Security ne
prend pas en charge le rôle serveur d'accès au client (CAS).
13
2.7 Installation dans un environnement avec grappes
Une grappe est un groupe de serveurs (un serveur relié à une grappe est appelé un « nœud ») qui fonctionne comme
un seul serveur. Ce type d'environnement offre accessibilité élevé et fiabilité des services disponibles. Si un des
nœuds de la grappe tombe en panne ou devient inaccessible, son fonctionnement est automatiquement couvert
par un autre nœud de la grappe. ESET Mail Security prend complètement en charge les serveurs Microsoft Exchange
connectés en grappe. Afin que ESET Mail Security fonctionne correctement, il est important que chaque nœud de la
grappe contienne la même configuration. Pour ce faire, on peut appliquer une politique à l'aide de ESET Remote
Administrator (ERA). Nous décrirons, dans les sections suivantes, la façon d'installer et de configurer ESET Mail
Security afin qu'il utilise ERA sur des serveurs dans un environnement avec grappes.
Installation
Cette section explique la méthode d'installation poussée. Cette méthode n'est cependant pas la seule permettant
d'installer un produit sur l'ordinateur cible. Pour plus d'information sur les autres méthodes d'installation, se
reporter au guide d'utilisateur de ESET Remote Administrator.
1) Téléchargez le module d'installation msi ESET Mail Security du site Web d'ESET sur l'ordinateur où ERA est installé.
Dans ERA > Installation à distance (Remote Install) tab > Ordinateurs, cliquez à droite sur tout ordinateur dans
la liste avant de sélectionner Gestion des modules dans le menu contextuel. Dans le menu déroulant Type,
sélectionnez Modules des produits de sécurité ESET et cliquez sur Ajouter... Dans Source, trouvez le module
d'installation de ESET Mail Security que vous avez téléchargé et cliquez sur Créer.
2) Dans Modifier/sélectionner la configuration associée à ce module, cliquez sur Modifier et configurez les
paramètres de ESET Mail Security selon vos besoins. Les paramètres de ESET Mail Security se trouvent dans les
branches suivantes : ESET Smart Security, ESET NOD32 Antivirus > Protection du serveur de messagerie et
Protection du serveur de messagerie pour Microsoft Exchange Server. Vous pouvez aussi configurer les
paramètres des autres modules inclus dans ESET Mail Security (module de mise à jour, analyse de l'ordinateur, etc.).
Il est recommandé d'exporter les paramètres configurés dans un fichier xml que vous pourrez utiliser par la suite,
par exemple, au moment de créer un module d'installation, d'appliquer une tâche ou stratégie de configuration.
3) Cliquez sur Fermer. Dans la boîte de dialogue suivante (Voulez-vous enregistrer le module sur le serveur?),
sélectionnez Oui et entrez le nom du module d'installation. Le module d'installation complet (y compris le nom et la
configuration) sera alors enregistré sur le serveur. Ce module sera plus souvent utilisé dans les installations
poussées, mais il est également possible de l'enregistrer comme module d'installation msi standard dans une
installation directe, sur le serveur (dans Éditeur du module d'installation > Enregistrer sous...).
4) Maintenant que le module d'installation est prêt, vous pouvez lancer l'installation à distance sur les nœuds d'une
grappe. Dans l'onglet ERA > Installation à distance (Remote Install) > Ordinateurs, sélectionnez les nœuds sur
lesquels installer ESET Mail Security (Ctrl + Clic gauche ou Maj + clic gauche). Cliquez à droite sur l'un des
ordinateurs sélectionnés puis choisissez Installation poussée dans le menu contextuel. Utilisez les boutons Définir
/ Définir tout pour inscrire le nom d'utilisateur et le mot de passe d'un utilisateur sur l'ordinateur cible (cet
utilisateur doit avoir les droits administrateur). Cliquez ensuite sur Suivant pour choisir le module d'installation
voulu et lancez l'installation à distance en cliquant sur Terminer. Le module d'installation contenant ESET Mail
Security et des paramètres de configuration personnalisés sera alors installé sur les ordinateurs ou nœuds cibles
visés. Après quelques minutes, les clients utilisant ESET Mail Security s'afficheront dans l'onglet ERA > Clients. Vous
pourrez alors gérer ces clients à distance.
REMARQUE: pour que l'installation à distance puisse être transparente, tant les ordinateurs cibles que le serveur
ERA doivent satisfaire certaines conditions. Pour plus de détails à cet égard, se reporter au guide d'utilisateur de
ESET Remote Administrator.
Configuration
Pour que ESET Mail Security fonctionne de façon appropriée sur les nœuds d'une grappe, ces derniers doivent
toujours avoir la même configuration. Cette condition sera satisfaite si vous suivez la méthode d'installation
poussée présentée ci-dessus. Il y a cependant toujours une possibilité que la configuration soit modifiée par erreur,
ce qui entraînera des incohérences entre les produits ESET Mail Security dans une grappe. Vous pouvez éviter cela
en utilisant une stratégie dans ERA. Une stratégie ressemble beaucoup à une tâche de configuration standard - sauf
qu'elle envoie la configuration définie dans l'éditeur de configuration aux différents clients. Une stratégie diffère
cependant d'une tâche de configuration du fait qu'elle est continuellement appliquée aux clients. La stratégie peut
donc être définie comme une configuration envoyée de force à un client ou groupe de clients.
14
ERA > Outils > Gestionnaire de stratégies... comprend un certain nombre d'options à configurer pour utiliser une
stratégie. L'option la plus simple consiste à utiliser la Stratégie parent par défaut qui sert également
généralement de Stratégie principale de clients par défaut. Une stratégie de ce type sera automatiquement
appliquée à tous les clients connectés (dans ce cas, à tous les produits ESET Mail Security dans une grappe). Vous
pouvez configurer la stratégie en cliquant sur Modifier... ou en utilisant la configuration actuelle enregistrée dans
le fichier xml, si vous en avez déjà créé un.
La deuxième option consiste à créer une nouvelle stratégie (Ajouter une nouvelle stratégie enfant) et à utiliser
l'option Ajouter clients... pour ajouter tous les produits ESET Mail Security à cette stratégie.
Cette configuration permet de s'assurer qu'une seule stratégie utilisant les mêmes paramètres sera alors appliquée
à tous les clients. Pour modifier les paramètres existants d'un serveur ESET Mail Security dans une grappe, il suffit
de modifier la stratégie actuelle. Les modifications seront alors appliquées à tous les clients régis par cette
stratégie.
REMARQUE : se reporter au guide d'utilisateur de ESET Remote Administrator pour plus d'information sur les
stratégies.
2.8 Licence
La saisie du fichier de licence de ESET Mail Security pour Microsoft Exchange Server est une étape très importante.
Sans ce fichier, la protection de la messagerie ne fonctionnera pas correctement sur Microsoft Exchange Server. Si
vous n'ajoutez pas le fichier de licence durant l'installation, vous pouvez toutefois le faire par la suite, dans les
paramètres avancés, sous Divers > Licences.
ESET Mail Security vous permet d'utiliser simultanément plusieurs licences en les fusionnant, comme décrit cidessous :
1) deux ou plusieurs licences appartenant à un client (par exemple, des licences portant le nom du même client)
seront fusionnées, ce qui permettra d'augmenter le nombre de boîtes aux lettres analysées. Le gestionnaire de
licences continuera à afficher les deux licences.
2) Deux ou plusieurs licences appartenant à différents clients sont fusionnées. Cette fusion sera effectuée comme
dans le premier scénario (point 1 ci-dessus), à la différence qu'au moins une de ces licences doit comporter un
attribut spécial, soit l'attribut requis pour fusionner les licences de clients différents. Si vous aimeriez utiliser une
telle licence, demandez à votre distributeur local d'en générer une pour vous.
REMARQUE : la période de validité de la nouvelle licence est déterminée par la date d'expiration la plus rapprochée
de ses composants.
ESET Mail Security pour Microsoft Exchange Server (EMSX) compare le nombre de boîtes aux lettres d'Active
Directory au nombre de licences. Chaque Active Directory du serveur Exchange sera ensuite vérifié pour déterminer
le nombre total de boîtes aux lettres. Les boîtes aux lettres système, désactivées et les alias de messagerie ne sont
15
pas inclus dans le nombre de boîtes aux lettres. Dans un environnement avec grappe, les nœuds qui jouent le rôle
de boîtes aux lettres en grappe ne seront pas non plus inclus dans le nombre de boîtes aux lettres.
Pour déterminer le nombre de boîtes aux lettres activées pour Exchange que vous utilisez, ouvrez Utilisateurs et
ordinateurs Active Directory sur le serveur. Cliquez à droite sur le domaine puis sur Trouver.... Du menu
déroulant Trouver, sélectionnez l'option Recherche personnalisée puis cliquez sur l'onglet Avancé. Copiez-y la
requête LDAP suivante avant de cliquer sur Trouver maintenant :
(&(objectClass=user)(objectCategory=person)(mailNickname=*)(|(homeMDB=*)(msExchHomeServerName=*))(!
(name=SystemMailbox{*))(!(name=CAS_{*))(msExchUserAccountControl=0)(!
userAccountControl:1.2.840.113556.1.4.803:=2))
Si le nombre de boîtes aux lettres dans votre Active Directory dépasse le nombre de boîtes accepté par votre licence,
le message « Protection status changed due to exceeded number of mailboxes (count) covered by your license
(count) » sera alors ajouté à votre journal Microsoft Exchange Server pour indiquer que l'état de la protection a été
modifié puisque le nombre de boîtes aux lettres (nombre) dépasse le nombre de boîtes aux lettres couvert par votre
licence (nombre). ESET Mail Security vous avisera également de cet état de fait en changeant l'État de la
protection qui sera désormais orange et en affichant un message pour vous aviser qu'il vous reste 42 jours avant
que votre protection ne soit désactivée. Si vous voyez cette notification, veuillez communiquer avec votre
représentant des ventes pour acheter des licences supplémentaires.
Si la période de 42 jours est terminée et que vous n'avez pas ajouté les licences requises pour couvrir les boîtes aux
lettres supplémentaires, l'État de la protection passera alors au rouge. Un message vous avisera que votre
protection a été désactivée. Si vous voyez cette notification, veuillez communiquer immédiatement avec votre
représentant des ventes pour acheter des licences supplémentaires.
16
2.9 Configuration post-installation
Plusieurs options doivent être configurées après l'installation du produit.
Configuration de la protection antipourriel
Cette section décrit les paramètres, les méthodes et les techniques que vous pouvez utiliser pour protéger votre
réseau du pourriel. Il est recommandé de lire attentivement les instructions suivantes avant de choisir la
combinaison la plus appropriée de paramètres pour votre réseau.
Gestion du pourriel
Pour garantir un niveau élevé de protection antipourriel, vous devez définir les actions qui seront effectuées sur les
messages déjà marqués comme POURRIEL.
Trois options sont disponibles:
1. Suppression du pourriel
Les critères pour que ESET Mail Security marque un message comme POURRIEL sont assez élevés pour réduire la
possibilité que des courriels légitimes ne soient supprimés. Plus vos paramètres antipourriel sont précis, moins il
est probable que du courriel légitime soit supprimé. Les avantages de cette méthode incluent une très faible
consommation de ressources system et moins d'administration. Le désavantage de cette méthode est que si un
courriel légitime est supprimé, il ne pourra être être restauré localement.
2. Quarantaine
Cette option exclut tout risque de suppression des courriels légitimes. Les messages peuvent également être
restaurés et renvoyés immédiatement aux destinataires orignaux. Les désavantages de cette méthode sont une
consommation plus élevée de ressources système et plus de temps requis pour la maintenance de la
quarantaine. Vous pouvez utiliser deux méthodes pour mettre des messages en quarantaine :
A. quarantaine interne de Microsoft Exchange Server (ne s'applique qu'à Microsoft Exchange Server
2007/2010) :
- si vous voulez utiliser la quarantaine interne du serveur, vous devez vous assurer que le champ Message
commun de mise en quarantaine dans le volet de droite du menu des paramètres avancés (sous
Protection du serveur > Quarantaine) est vide. Assurez-vous également que l'option Mettre le message
en quarantaine dans la quarantaine système du serveur de messagerie est cochée, dans le menu
déroulant du bas. Cette méthode ne peut être utilisée que lorsqu'une quarantaine interne a été créée pour
Exchange. Par défaut, cette quarantaine interne n'est pas activée dans Exchange. Si vous voulez l'activer,
vous devez ouvrir l'environnement de ligne de commande Exchange Management Shell et saisir la
commande suivante :
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(remplacer [email protected] par la boîte aux lettres que Microsoft Exchange devra utiliser comme
quarantaine interne, par exemple exchangequarantine@société.com
B. Boîte aux lettres de mise en quarantaine perosnnalisée :
- Si vous entrez le nom de la boîte aux lettres voulue dans le champ Message commun de mise en
quarantaine, ESET Mail Security déplacera alors tout nouveau message avec pourriel dans cette boîte
personnalisée.
Pour plus de détails sur la mise en quarantaine et les différentes méthodes permettant de l'activer, se
reporter à la section Mise en quarantaine des messages 26 .
3. Réacheminement du pourriel
Le pourriel sera réacheminé à son destinataire. Cependant, ESET Mail Security ajoutera la valeur SCL dans l'entête MIME de chacun des messages. La fonctionnalité IMF du serveur Exchange exécutera une action appropriée,
en fonction de la valeur SCL du message.
Filtrage du pourriel
17
Ajout à la liste grise
L'ajout à la liste grise est une méthode qui protège les utilisateurs du pourriel à l'aide de la technique suivante :
l'agent de transport envoie une valeur de retour SMTP de rejet temporaire (la valeur par défaut étant 451/4.7.1) pour
tout message reçu, provenant d'un expéditeur non reconnu. Un serveur légitime enverra de nouveau le message.
De façon générale, les expéditeurs de pourriel ne tentent pas de renvoyer le message puisqu'ils utilisent des milliers
d'adresses courriel et n'ont donc pas de temps à perdre à essayer de renvoyer un message.
Lorsque le module doit évaluer la source du message, il utilise, pour ce faire, une méthode qui tient compte de la
configuration des listes suivantes, soit Adresses IP approuvées, Adresses IP ignorées, Expéditeurs sûrs et IP
autorisé pour le serveur Exchange et les paramètres de contournement de la protection antipourriel de la boîte aux
lettres du destinataire. L'ajout à la liste grise doit être configurée de façon approfondie sinon cela pourrait entraîner
des problèmes de fonctionnement (par exemple, des retards dans la livraison de messages légitimes, etc.). Ces
conséquences négatives seront de moins en moins courantes puisque cette méthode inscrit les connexions fiables
dans la liste blanche interne. Si vous ne connaissez pas bien cette méthode ou si ses répercussions négatives vous
semblent inacceptables, il est recommandé que vous désactiviez cette méthode dans le menu Paramètres avancés
sous Protection antipourriel> Microsoft Exchange Server > Agent de transport > Activer l'ajout à la liste grise.
Il est recommandé de désactiver l'ajout à la liste grise si vous voulez tester les fonctionnalités de base du produit et
ne voulez pas configurer les fonctionnalités avancées du programme.
REMARQUE: L'ajout à la liste grise est une autre couche de protection antipourriel, mais elle n'a aucun effet sur les
capacités d'évaluation du pourriel du module antipourriel.
Configuration de la protection antivirus
Quarantaine
Selon le type de nettoyage que vous utilisez, il est recommandé de configurer l'exécution d'une action sur les
messages infectés (non nettoyés). Cette option peut être définie dans la fenêtre des Paramètres avancés
Protection du serveur > Antivirus et antispyware > Microsoft Exchange Server > Agent de transport.
Si l'option de déplacer les messages dans la quarantaine du courriel est activée, vous devrez configurer la mise en
quarantaine sous Protection du serveur> Quarantaine des messages dans la fenêtre des Paramètres avancés.
Performance
S'il n'y a aucune autre restriction, il est recommandé que vous augmentiez le nombre de ThreatSense moteurs
d'analyse dans la fenêtre Paramètres avancés (touche F5) dans Protection de l'ordinateur > Antivirus et
antispyware > Performance, selon la formule indiquée cid-essous : ThreatSensenombre de fils d'analyse = (nombre
d'unités centrales x 2) + 1. Le nombre de fils d'analyse devrait également être égal au nombre de moteurs d'analyse
ThreatSense. Vous pouvez également configurer le nombre de moteurs d'analyse dans Protection de l'ordinateur >
Antivirus et antispyware > Microsoft Exchange Server > VSAPI >Performance. Voici un exmeple :
Disons que vous avez un serveur comportant 4 unités centrales. Pour obtenir la meilleure performance, selon la
formule ci-dessus, vous devriez utiliser 9 fils d'analyse et 9 moteurs d'analyse.
REMARQUE : La valeur acceptable se situe entre 1 et 20, de sorte que le nombre maximum de moteurs d'analyse
ThreatSense que vous pouvez utiliser est de 20. La modification ne sera appliquée qu'après le redémarrage.
REMARQUE : Il est recommandé que le nombre de moteurs d'analyse ThreatSense soit égal au nombre de fils
d'analyse utilisé. Le fait d'utiliser un plus grand nombre de fils d'analyse que de moteur d'analyse n'aura cependant
aucun effet sur la performance.
REMARQUE : Si vous utilisez ESET Mail Security sur un Windows Server utilisé comme serveur de terminal et que
vous ne voulez pas que l'interface graphique de ESET Mail Security démarre chaque fois qu'un utilisateur ouvre une
session, se reporter à la section Désactiver l'interface graphique sur le server de terminal 122 pour connaître les
étapes précises à effectuer pour la désactiver.
18
3. ESET Mail Security - Protection de Microsoft Exchange Server
ESET Mail Security fournit une protection importante au Microsoft Exchange Server. Il existe trois types essentiels
de protection : antivirus, antipourriel et applications de règles définies par l'utilisateur. ESET Mail Security protège
les boîtes de réception contre différents types de contenu malveillant, y compris les pièces jointes infectées par des
vers ou des chevaux de Troie, les documents contenant des scripts nuisibles, le hameçonnage et le pourriel. ESET
Mail Security filtre le contenu malveillant au niveau du serveur de messagerie, avant qu'il n'entre dans la boîte de
réception du client de messagerie. Les sections suivantes décrites chacune des options et chacun des paramètres
que vous pouvez utiliser pour affiner la protection du serveur Microsoft Exchange.
3.1 Paramètres généraux
Cette section décrit la façon d'administrer les règles, les fichiers journaux, la mise en quarantaine des messages et
les paramètres de performance.
3.1.1 Microsoft Exchange Server
3.1.1.1 VSAPI
Microsoft Exchange Server offre un mécanisme permettant de s'assurer que chaque composant de message est
analysé en fonction de la base de données actuelle des signatures des virus. Si un composant de message n'est pas
analysé, ses composants correspondants seront soumis à l'analyse avant que le message ne soit remis au client.
Toutes les versions prises en charge de Microsoft Exchange Server (2000/2003/2007/2010) comprennent une
version différente de VSAPI.
Cochez ou décochez la case pour activer ou désactiver le lancement automatique de la version VSAPI utilisée par
votre serveur Exchange.
19
3.1.1.2 Agent de transport
Dans cette section, vous pouvez configurer l'agent de transport pour qu'il démarre automatiquement ainsi que
définir sa priorité de chargement. Pour Microsoft Exchange Server 2007 et les versions ultérieures, vous ne pourrez
installer d'agent de transport que si le serveur a été configuré pour jouer l'un des deux rôles suivants : Transport Edge
ou Transport Hub.
REMARQUE : l'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5 (VSAPI 1.0).
Le menu Configuration de la priorité de l'agent vous permet de définir la priorité des agents de ESET Mail Security.
La plage de numéro de priorité des agents dépend de la version utilisée de Microsoft Exchange Server (plus le chiffre
est bas, plus la priorité est élevée).
Écrire le seuil de probabilité du pourriel dans les messages analysés en fonction de la note attribuée au
pourriel - SCL est une valeur normalisée attribuée à un message. Elle indique la possibilité que le message soit un
pourriel (selon les caractéristiques de l'en-tête du message, du sujet, du contenu, etc.). Une note de 0 indique qu'il
est fort probable que le message ne soit pas du pourriel alors qu'une note de 9 indique que le message est très
probablement du pourriel. Les valeurs SCL peuvent être traitées de façon plus approfondie par le filtre IMF de
Microsoft Exchange Server (ou l'agent de filtrage du contenu). Pour de l'information supplémentaire, veuillez
consulter la documentation de Microsoft Exchange Server.
20
Option Lors de la suppression des messages, envoyer une réponse de rejet SMTP :
Si elle est décochée, le serveur enverra une réponse SMTP OK au MTA de l'expéditeur dans le format « 250 2.5.0 Requested mail action okay » indiquant que l'action demandée pour le message a été acceptée, avant d'effectuer
une suppression automatique.
Si l'option est cochée, une réponse de rejet SMTP sera alors envoyée au MTA de l'expéditeur. Vous pouvez entrer
un message de réponse au format suivant :
Code de réponse principal Code d'état complémentaire
250
2.5.0
Description
Action demandée pour le message acceptée, terminée
451
4.5.1
Action demandée abandonnée : erreur locale de
traitement
550
5.5.0
Action demandée non prise : boîte aux lettres non
disponible
Avertissement: Une syntaxe incorrecte pour les codes de réponse SMTP peut entraîner un mauvais fonctionnement
des composants du programme et en réduire l'efficacité.
REMARQUE : Vous pouvez aussi utiliser les variables système au moment de configurer les réponses de rejet SMTP.
3.1.2 Règles
L'élément de menu Règles permet aux administrateurs de définir manuellement les conditions de filtrage des
messages et les actions à effectuer sur les messages filtrés. Les règles sont appliquées en fonction d'un ensemble de
conditions combinées. De multiples conditions sont combinée avec l'opérateur logique AND, ce qui n'appliquera
que la règle que si toutes les conditions sont satisfaites. La colonne Nombre (à côté du nom de chacune des règles)
indique le nombre de fois que la règle a été appliquée avec succès.
Un message est vérifié en fonction des règles lorsqu'il est traité par l'agent de transport ou VSAPI. Lorsque l'agent de
transport et VSAPI sont activés et que le message satisfait aux conditions d'une règle, le compteur de règles
pourrait indiquer une augmentation de deux ou plus. Cela découle du fait que VSAPI accède aux éléments
individuels du message (corps, pièce jointe), ce que signifie que les règles sont appliquées individuellement, à
chacune des parties du message. Les règles peuvent également être appliquées pendant une analyse en arrière-plan
(par exemple, plusieurs analyses du magasin-boîte aux lettres après la mise à jour de la base de données des
signatures de virus), ce qui peut faire augmenter le nombre indiqué par le compteur de règles.
21
Ajouter... - ajoute nouvelle règle.
Modifier... : modifie une règle existante
Supprimer - supprime la règle sélectionnée.
Effacer - efface le compteur de règles (colonne Résultats).
Monter - déplace la règle sélectionnée vers le haut de la liste.
Descendre - déplace la règle sélectionnée vers le bas de la liste.
Décocher une case (à gauche de chaque nom de règle) désactive la règle actuelle. Cela permet de réactiver la règle à
nouveau au besoin.
REMARQUE: vous pouvez également utiliser des variables système (par exemple, %PATHEXT%) au moment de
configurer les règles.
REMARQUE : si une nouvelle règle a été ajoutée ou qu'une règle existante a été modifiée, une nouvelle analyse du
message sera automatiquement lancée à l'aide des nouvelles règles ou des règles modifiées.
3.1.2.1 Ajouter une nouvelle règle
Cet assistant vous aider à ajouter les règles définies par l'utilisateur comportant une combinaison de conditions.
REMARQUE: Seules certaines conditions pourront s'appliquer lorsque le message est analysés par l'agent de
transport.
Par boîte aux lettres cible S'applique au nom de la boîte aux lettres (VSAPI).
Par destinataire du message S'applique à un message envoyé à un destinataire particulier (VSAPI + agent de
transport)
Par expéditeur du message S'applique à un message reçu d'un destinataire particulier (VSAPI + agent de
transport)
Par objet du message S'applique à un message comportant un objet particulier (VSAPI + agent de transport)
Par corps du message S'applique à un message comportant du texte particulier dans le corps du message
(VSAPI)
Par nom de pièce jointe s'applique à un message comportant un nom de pièce jointe particulier (VSAPI dans
Exchange 2000 et 2003, VSAPI + agent de transport dans Exchange 2007 et 2010)
Par taille de pièce jointe s'applique à un message comportant une pièce jointe dont la taille dépasse une limite
définie (VSAPI dans Exchange 2000 et 2003, VSAPI + agent de transport dans Exchange 2007 et 2010)
Par fréquence d'occurrence S'applique aux objets (corps du courriel ou pièce jointe) pour lesquels le nombre
d'occurrences dans l'intervalle précisé dépasse le nombre précisé (VSAPI). Cela est particulièrement utile si vous
recevez constamment des pourriels ayant le même corps ou comprend la même pièce jointe.
Par type de pièce jointe s'applique à un message dont le type de pièce jointe est spécifique (le type de fichier est
détecté en fonction de son contenu, pas de l'extension du fichier) (VSAPI).
22
Au moment de préciser les conditions indiquées ci-dessus (à l'exception de Par taille de la pièce jointe), il suffit de
n'indiquer qu'une partie de la phrase, tant que l'option Mots entiers est sélectionnée. Les valeurs ne sont pas
sensibles à la casse, à moins que l'option Sensible à la casse ne soit sélectionnée. Utilisez des parenthèses et des
guillemets lorsque vous utilisez des caractères autres qu'alphanumériques. Vous pouvez aussi créer des conditions
avec les opérateurs logiques AND, OR et NOT.
REMARQUE : La liste des règles disponibles dépend de la version installée de Microsoft Exchange Server.
REMARQUE : Microsoft Exchange Server 2000 (VSAPI 2.0) n'évalue que le nom du destinataire ou expéditeur
affiché, non l'adresse courriel. Les adresses courriel ne sont évaluées que si vous utilisez Microsoft Exchange Server
2003 (VSAPI 2.5) et les versions ultérieures.
Exemple d'entrée de conditions :
Par boîte aux lettres cible :smith
Par expéditeur du
message :
[email protected]
Par destinataire du
message :
« J.Smith » ou « [email protected] »
Par objet du message :
""
Par nom de la pièce
jointe :
« .com » OU « .exe »
Par le corps (contenu) du (« gratuit » ou « loterie ») ET (« gagner » ou « acheter »)
message :
3.1.2.2 Actions prises au moment d'appliquer les règles
Cette section vous permet de sélectionner les actions à effectuer sur les messages ou pièces jointes qui satisfont les
conditions définies dans les règles. Vous pouvez n'effectuer aucune action, marquer les messages comme s'ils
contenaient une menace ou du pourriel ou supprimer l'ensemble du message. Lorsqu'un message ou sa pièce jointe
satisfait aux conditions d'une règle, il n'est alors pas analysé, par défaut, par les modules antivirus ou antipourriel, à
moins que l'analyse ne soit activée explicitement en cochant les cases respectives dans le bas (l'action prise dépend
alors des paramètres antivirus et antipourriel).
23
Aucune action - Aucune action ne sera effectuée sur le message.
Prendre une action à l'égard de la menace non nettoyée - Le message sera marqué comme s'il contenait une
menace non nettoyée (qu'il contienne ou non la menace).
Prendre une action à l'égard des courriels non sollicités - Le message sera marqué comme si c'était un pourriel
(qu'il en soit un ou non). Cette option ne pourra être utilisée que si la protection antipourriel 38 est activée et que
l'action est effectuée au niveau de l'agent de transport. Dans le cas contraire, l'action ne sera pas effectuée.
Supprimer le message - supprime l'intégralité du message dont le contenu répond aux conditions. Cette action
ne fonctionne toutefois qu'avec VSAPI 2.5 et les versions plus récentes (VSAPI 2.0 et les versions antérieures ne
peuvent exécuter cette action).
Mettre le fichier en quarantaine - le ou les fichiers qui répondent aux critères de la règle seront mis en
quarantaine dans ESET Mail Security, à ne pas confondre avec la mise en quarantaine des courriels (pour plus
d'information sur la mise en quarantaine des courriels, reportez-vous au chapitre Quarantaine de messages 26 ).
Soumettre le fichier pour analyse - Envoie les pièces jointes suspectes au laboratoire d'ESET pour analyse.
Envoyer des notifications d'événement - Envoie une notification à l'administrateur (en fonction des paramètres
définis dans Outils > Alertes et notifications)
Consigner - Écrit de l'information sur la règle appliquée dans le journal du programme.
Évaluer d'autres règles - Permet d'évaluer en fonction d'autres règles, ce qui permet à l'utilisateur de définir de
multiples ensembles de conditions et d'actions à prendre, en fonction des conditions.
Analyser avec la protection antivirus et antispyware - Analyse le massage et ses pièces jointes pour y déceler
des menaces.
Analyser avec la protection antipourriel - Analyse le message pour voir si c'est un pourriel.
REMARQUE : Cette option n'est disponible que pour Microsoft Exchange Server 2000 et versions ultérieures dans
lesquelles l'agent de transport est activé.
La dernière étape de l'assistant de création d'une nouvelle règle consiste à nommer la règle créée. Vous pouvez
également ajouter un Commentaires sur la règle. Cette information sera stockée dans le journal de Microsoft
Exchange Server.
3.1.3 Fichiers journaux
Les paramètres des fichiers journaux vous permettent de choisir la façon dont le fichier journal sera créé. Un
protocole plus détaillé pourra contenir un plus grand nombre de détails, mais cela pourrait également réduire la
performance du serveur.
24
Si l'option Écriture synchronisée n'utilisant pas le cache est activée, toutes les entrées du journal seront
immédiatement écrites dans le fichier journal, sans être d'abord mises dans le cache du journal. Par défaut, les
composants de ESET Mail Security qui s'intègrent dans Microsoft Exchange Server stockent les messages journaux
dans leur cache interne avant de les envoyer dans le journal de l'application à des intervalles périodiques pour ainsi
préserver la performance de l'ordinateur. Dans ce cas, cependant, les entrées de diagnostic indiquées dans le
journal pourraient ne pas être dans l'ordre approprié. Nous vous recommandons de laisser ce paramètre désactivé à
moins qu'il ne soit nécessaire à des fins de diagnostic. Le menu Contenu permet de préciser le type d'information
stockée dans les fichiers journaux.
Consigner les règles de l'application - lorsque cette option est activée, ESET Mail Security écrit le nom de toutes
les règles activées dans le fichier journal.
Consigner la note attribuée au pourriel - utilisez cette option pour que les activités liées au pourriel soient
ajoutées au Journal antipourriel 97 . Lorsque le serveur de messagerie reçoit un pourriel, l'information à cet égard
est ajoutée au journal, y compris des détails comme l'heure/la date, l'expéditeur, le destinataire, l'objet, la notre
attribuée au pourriel, la raison et l'action. Cela peut être utile lorsque vous devez retracer quels pourriels ont été
reçus, à quel moment et la mesure prise.
Consigner l'activité d'ajout à la liste grise- activez cette option si vous voulez que les activités connexes à l'ajout
à la liste grise soient ajoutées au Journal d'ajout à la liste grise 97 . L'information telle l'heure/la date, le domaine
HELO, l'adresse IP, l'expéditeur, le destinataire, l'action prise, etc. y sera ajoutée.
REMARQUE: cette option ne peut être utilisée que lorsque l'ajout à la liste grise est activé dans les options de l'
agent de transport 39 sousProtection du serveur > Protection antipourriel > Microsoft Exchange Server >
Agent de transport dans l'arborescence de la configuration avancée complète (F5).
Consigner la performance - consigne l'information sur l'intervalle d'exécution d'une tâche, la taille de l'objet
analysé, le taux de transfert (kbit/s) et l'évaluation de la performance.
Consigner l'information de diagnostic - consigne l'information de diagnostic requise pour affiner le programme
en fonction du protocole. Cette option est particulièrement utilisée dans le débogage et l'identification des
problèmes. Nous ne recommandons pas d'activer cette option. Pour voir l'information de diagnostic fournie par
cette fonction, vous devrez régler le Niveau de détails minimum dans les journaux à Entrées de diagnostic dans
les paramètres Outils > Fichiers journaux> Niveau de détails minimum dans les journaux.
25
3.1.4 Quarantaine des messages
La Quarantaine des messages est une boîte aux lettres spéciale, définie par l'administrateur système, dans
laquelle stocker les messages potentiellement infectés et le POURRIEL. Les messages mis en quarantaine peuvent
être analysés ou nettoyés par la suite à l'aide d'une nouvelle base de données des signatures de virus.
Deux types de systèmes de mise en quarantaine des messages peuvent être utilisés.
Une option consiste à utiliser le système de quarantaine de Microsoft Exchange (ne s'applique qu'à Microsoft
Exchange Server 2007/2010). Dans ce cas, le mécanisme interne d'Exchange sera utilisé pour stocker les messages
potentiellement infectés et les POURRIELS. Au besoin, vous pouvez également ajouter une boîte aux lettres de
quarantaine distincte (ou un certain nombre de boîtes aux lettres) pour différents destinataires. Ainsi les messages
potentiellement infectés qui, à l'origine, étaient envoyés à un destinataire particulier, seraient remis dabs une boîte
aux lettres de quarantaine distincte plutôt que d'être remis dans la boîte aux lettres de quarantaine interne
d'Exchange. Cela peut être utile dans certains cas pour que les messages potentiellement infectés et le POURIEL
soient mieux classifiés.
L'autre option consiste à utiliser la quarantaine commune pour les messages. Si vous utilisez une version
antérieure de Microsoft Exchange Server (5.5, 2000 ou 2003), il suffit de préciser la quarantaine commune pour
les messages, la boîte aux lettres utilisée pour stocker les messages potentiellement infectés. Dans ce cas, le
système interne de mise en quarantaine d'Exchange ne sera pas utilisé. Une boîte aux lettres particulière, précisée
par l'administrateur système, sera plutôt utilisée à cette fin. Au besoin, comme dans la première option, vous
pouvez également ajouter une boîte aux lettres de quarantaine distincte (ou un certain nombre de boîtes aux
lettres) pour différents destinataires. Ainsi, les messages potentiellement infectés seront remis dans une boîte aux
lettres de quarantaine distincte plutôt que d'être remis dans la boîte aux lettres de quarantaine commune.
26
Message commun de mise en quarantaine - vous pouvez préciser ici l'adresse de la quarantaine commune pour
les messages (par exemple, main_quarantaine@société.com) ou utiliser la quarantaine système interne de
Microsoft Exchange Server 2007/2010 plutôt que de laisser ce champ vide et choisir Mettre le message en
quarantaine dans la quarantaine système du serveur de messagerie (à la condition que la quarantaine
d'Exchange existe, dans votre environnement) dans le menu déroulant, au bas. Les messages seront alors remis
dans le dossier de quarantaine par le mécanisme interne d'Exchange conformément à ses paramètres propres.
REMARQUE: Par défaut, cette quarantaine interne n'est pas activée dans Exchange. Si vous voulez l'activer, vous
devez ouvrir l'environnement de ligne de commande Exchange Management Shell et saisir la commande
suivante :
Set-ContentFilterConfig -QuarantineMailbox [email protected]
(remplacer [email protected] par la boîte aux lettres que Microsoft Exchange devra utiliser comme
quarantaine interne, par exemple exchangequarantine@société.com
Message mis en quarantaine par destinataire - cette option permet de définir les boîtes aux lettres de
quarantaine des messages pour plusieurs destinataires. Chacune des règles de mise en quarantaine peut être
activée ou désactivée en cochant ou en décochant la case dans la rangée correspondante.
Ajouter... - vous pouvez ajouter une nouvelle règle de mise en quarantaine en entrant l'adresse du
destinataire et l'adresse courriel de la quarantaine vers laquelle les messages seront transférés.
Modifier... - modifier une règle de mise en quarantaine particulière
Supprimer - supprimer une règle de mise en quarantaine particulière
Préférer le message commun de mise en quarantaine - lorsque cette option est activée, le message
sera envoyé dans la quarantaine commune pour les messages indiquée si plus d'une règle de mise en
quarantaine est satisfaite (par exemple, si un message comprend plusieurs destinataires et que certains
sont définis dans plusieurs règles de mise en quarantaine)
Message destiné à la quarantaine des messages inexistante (si vous n'avez pas précisé de quarantaine
commune pour les messages, vous aurez accès aux options suivantes à savoir quelle action sera effectuée sur les
messages possiblement infectés et le POURRIEL)
Aucune action - le message sera traité de la façon habituelle - remis au destinataire (non recommandé)
Supprimer le message - un message sera supprimé s'il est adressé à un destinataire pour lequel il n'existe aucune
règle de mise en quarantaine et pour lequel quarantaine commune n'est précisée, ce qui signifie que tous les
messages potentiellement infectés et POURRIELS seront automatiquement supprimés, sans être enregistrés
quelque part
Mettre le message en quarantaine dans la quarantaine système du serveur de messagerie- un message sera
remis dans la quarantaine système interne d'Exchange et y sera conservé (non disponible dans Microsoft
Exchange Server 2003 et les versions antérieures)
REMARQUE : vous pouvez également utiliser des variables système (par exemple, %USERNAME%) au moment de
configurer les paramètres de mise en quarantaine des messages.
3.1.4.1 Ajout d'une nouvelle règle de mise en quarantaine
Entrez l'adresse courriel du destinataire ainsi que l'adresse courriel du dossier Quarantaine dans les champs
appropriés.
Si vous voulez supprimer un courriel adressé à un destinataire auquel la règle de mise en quarantaine ne s'applique
pas, vous pouvez sélectionner l'option Supprimer le message dans le menu déroulant Message destiné à la
quarantaine des messages inexistante.
27
3.1.5 Performance
Dans cette section, vous pouvez définir un dossier dans lequel stocker temporairement les fichiers pour améliorer la
performance du programme. Si aucun dossier n'est précisé, ESET Mail Security créera des fichiers temporaires dans
le dossier temporaire du système.
REMARQUE : Pour réduire les entrées sorties potentielles et les répercussions de la fragmentation, il est
recommandé de mettre le dossier temporaire sur un disque distinct que celui sur lequel est installé le serveur
Microsoft Exchange. Il est fortement recommandé d'éviter de choisir un dossier temporaire situé sur un support
amovible comme une disquette, clé USB, DVD, etc.
REMARQUE : vous pouvez utiliser des variables système (par exemple, %SystemRoot%\TEMP) au moment de
configurer les paramètres de performance.
3.2 Paramètres antivirus et antispyware
Vous pouvez activer la Protection antivirus et antispyware de votre serveur de messagerie en cochant la case
Activer la protection antivirus et antispyware du serveur. À noter que la protection antivirus et antispyware est
activée automatiquement après tout redémarrage du service ou de l'ordinateur. Vous pouvez accéder à la
configuration des paramètres du moteur ThreatSense en cliquant sur le bouton Configuration….
28
En ce qui concerne la protection antivirus et anti-pourriel, ESET Mail Security pour Microsoft Exchange Server utilise
deux types d'analyse. L'une analyse les messages par VSAPI alors que l'autre utilise plutôt l'agent de transport.
La protection utilisant VSAPI
29
analyse les messages directement, dans le magasin du serveur Exchange server.
La protection par agent de transport 35 analyse, quant à elle, le trafic SMTP plutôt que le magasin du serveur
Exchange lui-même. Si ce type de protection est activée, cela signifie que tous les messages et leurs composants
seront analysés lors du transport, avant même qu'ils n'atteignent le magasin du serveur Exchange ou avant qu'ils
ne soient envoyés par SMTP. Le filtrage STMP de niveau serveur est effectué par un plugiciel spécialisé. Dans
Microsoft Exchange Server 2000 et 2003, le plugiciel en question (Récepteur d'événement) est enregistré sur le
serveur SMTP dans le cadre des services Internet IIS. Dans Microsoft Exchange Server 2007/2010, le plugiciel est
plutôt enregistré comme un agent de transport selon le rôle Edge ou Hub attribué à Microsoft Exchange Server.
REMARQUE: L'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5 (VSAPI 1.0), mais est
cependant disponible dans toutes les versions ultérieures de Microsoft Exchange Server (version 2000 et
ultérieures).
Les protections antivirus et antispyware par VSAPI et l'agent de transport peuvent fonctionner être utilisées en
même temps (la configuration recommandée et par défaut). Vous pourriez également choisir de n'utiliser qu'un des
deux types de protection (par VSAPI ou par agent de transport). Elles peuvent être activées ou désactivées
indépendamment l'une de l'autre. Il est recommandé d'utiliser les deux pour ainsi assurer une protection antivirus
et antispyware maximale. Il n'est pas recommandé que les deux soient désactivées.
3.2.1.1 VSAPI
Microsoft Exchange Server offre un mécanisme permettant de s'assurer que chaque composant de message est
analysé en fonction de la base de données actuelle des signatures des virus. Si un message n'a encore jamais été
analysé, ses composants correspondants seront alors soumis à l'analyse avant que le message ne puisse être remis
au client. Toutes les versions prises en charge de Microsoft Exchange Server (5.5/2000/2003/2007/2010)
comprennent une version différente de VSAPI.
3.2.1.1.1 Microsoft Exchange Server 5.5 (VSAPI 1.0)
Cette version de Microsoft Exchange Server comprend VSAPI version 1.0.
Si l'option Analyse en arrière-plan est cochée, cela permet l'analyse de tous les messages dans le système, en
arrière-plan. Microsoft Exchange Server décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de
différents facteurs comme la charge actuelle du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange
Server garde un journal des messages analysés et de la version de la base de données des signatures de virus
utilisée. Si vous ouvrez un message qui n'a pas été analysé par la base de données des signatures de virus la plus
actuelle, Microsoft Exchange Server enverra le message à ESET Mail Security qui l'analysera avant que celui-ci ne
soit ouvert dans votre client de messagerie.
Puisque l'analyse en arrière-plan peut avoir des répercussions sur la charge du système (l'analyse est effectuée après
chaque mise à jour de la base de données des signatures de virus), nous vous recommandons d'utiliser l'analyse
planifiée en dehors des heures de travail. L'analyse planifiée ou en arrière-plan peut être configurée par une tâche
spéciale dans le planificateur. Lorsque vous planifiez une tâche d'analyse en arrière-plan, vous pouvez définir l'heure
de début, le nombre de répétitions ainsi que d'autres paramètres disponibles dans le Planificateur. Une fois la tâche
planifiée, elle s'affichera dans la liste des tâches planifiées et, tout comme les autres tâches, vous pourrez en
modifier les paramètres, la supprimer ou la désactiver temporairement.
29
3.2.1.1.1.1 Actions
Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est vu
comme étant infecté.
Le champ Action à exécuter si le nettoyage est impossible vous permet de Bloquer le contenu infecté, de
Supprimer le message ou de n'effectuer Aucune action sur le contenu infecté du message. Cette action ne sera
appliquée que si le nettoyage automatique (défini dans Paramètres du moteur ThreatSense> Nettoyage 80 ) n'a pu
nettoyer le message.
Le champ Suppression vous permet toujours de configurer le Mode de suppression des messages selon l'une des
deux options suivantes :
Tronquer le fichier à une longueur de zéro - ESET Mail Security Tronque la pièce jointe à une taille de zéro, tout
en permettant au destinataire de voir le nom et le type de fichier
Remplacer la pièce jointe par l'information sur l'action - ESET Mail Security Remplace le fichier infecté par une
description de la règle ou du protocole utilisé pour ce virus.
Cliquer sur le bouton Analyser à nouveau permettra d'effectuer une autre analyse des messages et fichiers ayant
déjà été analysés.
Pendant une analyse, Microsoft Exchange Server vous permet de limiter la durée d'ouverture des pièces jointes aux
messages. Cette durée, définie dans le champ Délai de réponse (en ms), représente le délai après lequel le client
essaiera de nouveau d'accéder au fichier auparavant inaccessible en raison de l'analyse.
3.2.1.1.2 Microsoft Exchange Server 2000 (VSAPI 2,0)
Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2,0, le plugiciel de ESET Mail
Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft Exchange. Il ne fera que
passer à travers les messages sans les analyser à la recherche de virus. Les messages seront cependant analysés
pour y détecter du pourriel 39 et les règles 21 seront appliquées.
Si l'option Analyse proactive est cochée, les nouveaux messages entrants seront analysés dans l'ordre de
réception. Si cette option est activée et qu'un utilisateur ouvre un message qui n'a pas encore été analysé, ce
message sera analysé avant les autres messages de la file d'attente.
L'option Analyse en arrière-plan permet d'analyser tous les messages en arrière-plan. Microsoft Exchange Server
décide si l'analyse en arrière-plan sera ou non effectuée, en fonction de différents facteurs comme la charge actuelle
du système, le nombre d'utilisateurs actifs, etc. Microsoft Exchange Server garde un journal des messages analysés
et de la version de la base de données des signatures de virus utilisée. Si vous ouvrez un message qui n'a pas été
analysé par la base de données des signatures de virus la plus actuelle, Microsoft Exchange Server enverra le
message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie.
Si vous voulez analyser les messages en texte brut, cochez l'option Analyser les corps des messages en texte brut
.
Cocher l'option Analyser les corps des messages en RTF active l'analyse des corps des messages en RTF. Les corps
des messages en RTF peuvent contenir des virus intégrés dans des macros.
30
3.2.1.1.2.1 Actions
Dans cette section, vous pouvez préciser les actions à effectuer lorsqu'un message ou une pièce jointe est jugé
infecté.
Supprimer le message ou de n'effectuer Aucune action sur le contenu infecté du message. Cette action ne sera
appliquée que si le nettoyage automatique (défini dans Paramètres du moteur ThreatSense > Nettoyage 80 ) n'a
pas nettoyé le message.
L'option Suppression vous permet toujours de choisir le Mode de suppression des messages et le Mode de
suppression de la pièce jointe.
Vous pouvez configurer les options suivantes, dans le Mode de suppression de la pièce Mode de suppression des
messages :
Supprimer le corps du message - Supprime le corps du message infecté; le destinataire recevra alors un message
vide et toute pièce jointe non infectée
Récrire le corps du message avec l'information sur l'action - Réécrit le corps du message en y ajoutant de
l'information sur les actions effectuées.
Vous pouvez configurer les options suivantes dans Mode de suppression de la pièce jointe :
description de la règle ou du protocole utilisé pour ce virus.
Dans cette section, vous pouvez définir le nombre de fils d'analyse indépendants utilisés en même temps. Un plus
grand nombre de fils d'analyse sur des machines multiprocesseurs peut faire augmenter le taux d'analyse.
Cependant, pour vous assurer d'obtenir la meilleure performance, il est conseillé d'utiliser un nombre égal de
moteurs d'analyse ThreatSense et de fils d'analyse.
L'option Délai de réponse (en secondes) vous permet de définir le temps maximal qu'un fil attendra avant que ne
se termine l'analyse d'un message. Si l'analyse n'est pas terminée dans ce délai, Microsoft Exchange Server refusera
l'accès du client au courriel. L'analyse ne sera pas interrompue, mais il sera possible d'accéder au fichier dès qu'elle
sera terminée.
CONSEIL : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange
Server, utilisez la formule suivante : [nombre de processeurs physiques] x 2 + 1.
REMARQUE: La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense
est supérieur au nombre de fils d'analyse.
31
3.2.1.1.3 Microsoft Exchange Server 2003 (VSAPI 2,5)
Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2.5, le plugiciel de ESET Mail
message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie.
L'option Analyser les messages transportés permet l'analyse des messages qui ne sont pas stockés sur le serveur
Microsoft Exchange local et qui sont envoyés vers d'autres serveurs de messagerie par l'entremise du serveur
Microsoft Exchange local. Le serveur Microsoft Exchange peut être configuré comme passerelle, ce qui fait qu'il ne
fait que transmettre les messages à d'autres serveurs de messagerie. Si l'analyse des messages transportés est
activée, ESET Mail Security analysera également ces messages. Cette option n'est disponible que lorsque l'agent de
transport est désactivé.
REMARQUE: Les corps des messages en texte brut ne seront pas analysés par VSAPI.
3.2.1.1.3.1 Actions
infecté.
Supprimer le contenu infecté du message, de Supprimer le message entier, y compris le contenu infecté, ou de
n'effectuer Aucune action. Cette action ne sera appliquée que si le nettoyage automatique (défini dans
Paramètres du moteur ThreatSense > Nettoyage 80 ) n'a pas nettoyé le message.
Vous pouvez configurer les options suivantes, dans le Mode de suppression de la pièce Mode de suppression des
messages :
vide et toute pièce jointe non infectée.
l'information sur les actions effectuées
Supprimer le message entier - Supprime tout le message, y compris les pièces jointes; vous pouvez configurer
l'action à effectuer au moment de supprimer les pièces jointes.
32
en permettant au destinataire de voir le nom et le type de fichier.
description de la règle ou du protocole utilisé pour ce virus
L'option Délai de réponse (en secondes) vous permet de définir le temps maximal qu'un fil attendra avant que ne
se termine l'analyse d'un message. Si l'analyse n'est pas terminée dans ce délai, Microsoft Exchange Server refusera
l'accès du client au courriel. L'analyse ne sera pas interrompue, mais il sera possible d'accéder au fichier dès qu'elle
sera terminée.
Conseil : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange
REMARQUE : La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense
3.2.1.1.4 Microsoft Exchange Server 2007/2010 (VSAPI 2.6)
Cette version de Microsoft Exchange Server comprend VSAPI version 2,6.
Si vous décochez l'option Activer la protection antivirus et antispyware de VSAPI 2.6, le plugiciel de ESET Mail
message à ESET Mail Security qui l'analysera avant que celui-ci ne soit ouvert dans votre client de messagerie. Vous
pouvez choisir d'analyser seulement les messages avec pièces jointes et de les filtrer en fonction de l'heure de
réception, en utilisant les options du niveau d'analyse suivantes :
Tous les messages
Messages reçus au cours de la dernière année
Messages reçus au cours des six derniers mois
Messages reçus au cours des trois derniers mois
Messages reçus au cours du dernier mois
Messages reçus au cours de la dernière semaine
33
REMARQUE : Les corps des messages en texte brut ne seront pas analysés par VSAPI.
3.2.1.1.4.1 Actions
infecté.
Supprimer l'objet, soit le contenu infecté du message, de Supprimer le message entier ou de n'effectuer Aucune
action. Cette action ne sera appliquée sur le le nettoyage automatique (défini dans Paramètres du moteur
ThreatSense>Nettoyage 80 ) n'a pas nettoyé le message.
Comme cela est décrit ci-haut, vous pouvez sélectionner l'Action à exécuter si le nettoyage est impossible :
Aucune action - aucune action n'est effectuée sur le contenu infecté du message
Bloquer - bloque le message avant qu'il n'entre dans l'espace de stockage de Microsoft Exchange
Supprimer l'objet - supprime le contenu infecté du message
Supprimer le message entier - supprime l'ensemble du message, y compris le contenu infecté
Vous pouvez sélectionner les options suivantes dans le Mode de suppression du corps du message :
vide et toute pièce jointe non infectée
l'information sur les actions effectuées
description de la règle ou du protocole utilisé pour ce virus
Supprimer le message entier - Supprime la pièce jointe.
Si l'option Utiliser la quarantaine de VSAPI est cochée, les messages infectés seront conservés dans le dossier de
quarantaine, sur le serveur de messagerie. Veuillez noter que nous faisons ici référence au dossier de quarantaine
de VASPI géré par le serveur et non au dossier de quarantaine du client ou à celui de la boîte aux lettres. Les
messages infectés, stockés dans le dossier de quarantaine du serveur de messagerie, seront inaccessibles, tant
qu'ils n'auront pas été nettoyés par la plus récente base de données des signatures de virus.
Conseil : Pour déterminer le nombre de fils d'analyse recommandé par le fournisseur de Microsoft Exchange
REMARQUE : La performance n'augmentera de façon importante si le nombre de moteurs d'analyse ThreatSense
34
3.2.1.1.5 Agent de transport
Dans cette section, vous pouvez activer ou désactiver la protection antivirus et antispyware assurée par l'agent de
transport. Pour Microsoft Exchange Server 2007 et les versions ultérieures, vous ne pourrez installer d'agent de
transport que si le serveur a été configuré pour jouer l'un des deux rôles suivants : Transport Edge ou Transport Hub.
Si un message ne peut être nettoyé, il sera alors traité conformément aux paramètres de la section Agent de
transport. Le message peut être supprimé, envoyé dans la boîte aux lettres de la mise en quarantaine ou conservé.
Si vous décochez l'option Activer la protection antivirus et antispyware par l'entremise de l'agent de transport,
le plugiciel de ESET Mail Security pour le serveur Exchange ne sera pas déchargé des processus du serveur Microsoft
Exchange. Il ne fera que passer à travers les messages sans les analyser à la recherche de virus. Les messages seront
cependant analysés pour y détecter du pourriel 39 et les règles 21 seront appliquées.
Lorsque l'option Activer la protection antivirus et antispyware par l'entremise de l'agent de transport est
activée, vous pouvez définir les actions à exécuter si le nettoyage est impossible :
Conserver le message - Conserve le message infecté qui ne peut pas être effacé
Mettre en quarantaine - Envoie un message infecté dans la boîte aux lettres de la mise en quarantaine
Supprimer message - Supprime un message infecté.
Lorsqu'une menace est trouvée, écrire la note attribuée au pourriel dans l'en-tête des messages analysés (%)
- Attribue une valeur de pourriel (la possibilité que le message soit un pourriel) particulière, exprimée en
pourcentage.
Ainsi, si une menace est trouvée, la note attribuée au pourriel (précisé en %) sera indiquée dans le message analysé.
Puisque des réseaux de zombies sont chargés d'envoyer la majorité des messages infectés, les messages remis de
cette façon seront catégorisés comme des pourriels. Pour que cette fonctionnalité soit utilisée de façon efficace,
l'option Écrire le seuil de probabilité du pourriel dans les messages analysés en fonction de la note attribuée
au pourriel de Protection du serveur> Microsoft Exchange Server > Agent de transport 20 doit être activée.
Si l'option Analyser également les messages reçus des connexions authentifiées ou internes est aussi activée,
ESET Mail Security analysera également les messages reçus de sources ou de serveurs locaux authentifiés. L'analyse
de ces messages est recommandée puisqu'elle augmente encore la protection, mais cette option est toutefois
facultative.
35
3.2.2 Actions
Dans cette section, vous pouvez choisir d'ajouter une ID de tâche d'analyse ou l'information sur le résultat de
l'analyse dans l'en-tête des messages analysés.
3.2.3 Alertes et notifications
ESET Mail Security permet également d'ajouter du texte à l'objet ou au corps original des messages infectés.
36
Ajouter au corps des messages analysés : trois options sont offertes :
Ne pas ajouter aux messages
Ajouter aux messages infectés seulement
Ajouter à tous les messages analysés (ne s'applique pas aux messages internes)
Lorsque l'option Ajouter aux messages infectés seulement est activée,ESET Mail Security ajoutera une étiquette
de notification à l'objet du message contenant la valeur définie dans le champ de texte Texte ajouté à l'objet des
messages infectés (par défaut [virus %VIRUSNAME%]). Ces modifications peuvent automatiser le filtrage des
messages infectés en filtrant les messages comportant un sujet particulier (si le client de messagerie prend en
charge cette fonctionnalité) pour les envoyer dans un dossier distinct.
REMARQUE : Vous pouvez également utiliser les variables système au moment d'ajouter un modèle à l'objet du
message.
3.2.4 Exclusions automatiques
Les développeurs d'applications serveur et de systèmes d'exploitation recommandent d'exclure de l'analyse
antivirus les ensembles de fichiers et de dossiers de travail critiques de bon nombre de leurs produits. Les analyses
antivirus peuvent avoir des répercussions négatives sur la performance d'un serveur, ce qui générera des conflits et
pourrait même empêcher certaines applications d'être exécutées sur le serveur. Les exclusions aident à minimiser le
risque de conflits potentiels et augmentent la performance globale du serveur sur lequel s'exécute un logiciel
antivirus.
ESET Mail Security identifie les applications serveur critiques et les fichiers du système d'exploitation du serveur et
les ajoute automatiquement à la liste d'exclusions. Une fois ajouté à la liste, le processus serveur ou l'application
peut alors être activé (par défaut) en cochant la case appropriée ou désactivé en décochant la case, ce qui aura
l'effet suivant :
1) Si une exclusion pour l'application ou le système d'exploitation reste activée, n'importe lequel de ses fichiers ou
dossiers critiques sera alors ajouté à la liste de fichiers exclus de l'analyse (Configuration avancée > Protection
de l'ordinateur > Antivirus et antispyware > Exclusions). Chaque fois que le serveur est redémarré, le système
vérifie automatiquement les exclusions et restaure toute exclusion pouvant avoir été supprimée de la liste. Ce
paramètre constitue le réglage recommandé si vous voulez vous assurer que les extensions automatiques
recommandées sont toujours appliquées.
2) Si l'utilisateur désactive une exclusion pour une application ou un système d'exploitation, ses fichiers et dossiers
critiques resteront dans la liste des fichiers exclus de l'analyse (Configuration avancée > Protection de
l'ordinateur > Antivirus et antispyware > Exclusions). Cependant, ils ne seront désormais plus vérifiés
automatiquement ni ajoutés automatiquement à la liste des exclusions chaque fois que le serveur est redémarré
(voir le point 1 ci-dessus). Seuls les utilisateurs avancés qui veulent retirer ou modifier certaines des exclusions
standards devraient utiliser ce paramètre. Si vous voulez retirer des exclusions de la liste sans redémarrer le
serveur, vous devrez les retirer manuellement de la liste (Configuration avancée > Protection de l'ordinateur >
Antivirus et antispyware > Exclusions).
Toute exclusion définie par l'utilisateur et entrée manuellement dans Configuration avancée > Protection de
l'ordinateur > Antivirus et antispyware > Exclusions ne sera pas modifiée par les paramètres décrits ci-dessus.
Les exclusions automatiques pour les applications serveur et le système d'exploitation du serveur seront définies en
fonction des recommandations de Microsoft. Pour plus de détails à ce sujet, veuillez consulter les liens suivants :
http://support.microsoft.com/kb/822158
http://technet.microsoft.com/fr-fr/library/bb332342(EXCHG.80).aspx
http://technet.microsoft.com/fr-fr/library/bb332342.aspx
37
3.3 Protection antipourriel
Dans la section Protection antipourriel, vous pouvez activer ou désactiver la protection antipourriel pour le
serveur de messagerie installé, configurer les paramètres du moteur antipourriel et définir d'autres niveaux de
protection.
REMARQUE: Il est nécessaire que la base de données antipourriel mise à jour régulièrement pour que le module
antipourriel puisse fournir la meilleure protection possible. Pour permettre les mises à jour régulières correctes de la
base de données antipourriel, vous devrez vous assurer queESET Mail Security a accès à certaines adresses IP sur
des ports particuliers. Pour plus d'informations les IP et les ports à activer sur votre pare-feu de tierce partie, lisez
cet article de la base de connaissances.
REMARQUE: De plus, les miroirs 90 ne peuvent pas être utilisés pour mettre à jour les bases de données
antipourriel. Pour que les mises à jour de bases de données antipourriel fonctionnent correctement, ESET Mail
Security doit avoir accès aux adresses IP répertoriées dans l'article mentionné ci-dessus. S'il ne peut pas accèder à
ces IP, le module antipourriel ne sera pas en mesure de fournir des résultats plus précis, et donc la meilleure
protection possible.
38
3.3.1.1 Agent de transport
Dans cette section, vous pouvez configurer les options de la protection antipourriel utilisant l'agent de transport.
REMARQUE : L'agent de transport n'est pas disponible dans Microsoft Exchange Server 5.5.
Lorsque vous choisissez d'Activer la protection antipourriel par l'agent de transport, vous devez sélectionner
l'une des options suivantes comme Action à exécuter sur les pourriels :
Conserver le message - Conserve le message, même s'il est marqué comme pourriel
Mettre en quarantaine - Envoie un message marqué comme pourriel dans la boîte aux lettres de la mise en
quarantaine
Supprimer le message - Supprime un message marqué comme pourriel.
Si vous voulez inclure de l'information sur la note attribuée au pourriel dans l'en-tête du message, sélectionnez
l'option Écrire la note attribuée au pourriel dans l'en-tête des messages analysés.
La fonction Utiliser les listes blanches Exchange Server pour contourner la protection antipourriel permet à
ESET Mail Security d'utiliser les « listes blanches » Exchange particulières. Lorsqu'elle est activée, les points suivants
sont pris en compte :
L'envoi de l'adresse IP du serveur est sur la liste des adresses IP autorisées du serveur Exchange
L'indicateur de contournement antipourriel est configuré sur la boîte aux lettres du destinataire du message
L'adresse de l'expéditeur figure sur la liste des expéditeurs approuvés du destinataire du message (assurez-vous
que vous avez configuré la synchronisation de la liste des expéditeurs fiables au sein de votre environnement de
serveur Exchange, y compris l'agrégation de listes fiables)
Si l'un de ces cas s'applique à un message entrant, la vérification antipourriel ne sera pas effectuée sur ce message,
et il ne sera pas évalué comme POURRIEL et sera livré dans la boîte aux lettres du destinataire.
L'indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP est utile lorsque vous
avez des sessions SMTP authentifiées entre les serveurs Exchange avec configuration du contournement
antipourriel. Par exemple, lorsque vous avez un serveur Edge et un serveur Hub, il n'est pas nécessaire pour
l'analyser le trafic entre ces deux serveurs à la recherche de pourriel. L'indicateur d'acceptation du
contournement antipourriel configuré sur la session SMTP est activé par défaut et il s'applique quand iindicateur
de contournement antipourriel est configuré pour la session SMTP sur le serveur Exchange. Si vous désactivez l'
indicateur d'acceptation du contournement antipourriel configuré sur la session SMTP en décochant la case,
39
ESET Mail Security analysera la session SMTP à la recherche de pourriel sans tenir compte de la configuration du
contournement antipourriel du serveur Exchange.
La fonction Activer l'ajout à la liste grise active une fonctionnalité qui protège les utilisateurs de la façon suivante
contre les pourriels : l'agent de transport envoie une valeur de retour SMTP de « rejet temporaire » (la valeur par
défaut étant 451/4.7.1) pour tout message reçu, ne provenant pas d'un expéditeur reconnu. Après un certain temps,
un serveur légitime tentera de renvoyer le message. De façon générale, les serveurs de pourriel ne tentent pas de
renvoyer le message puisqu'ils utilisent des milliers d'adresses courriel et ne perdront donc pas de temps à essayer
de renvoyer un message. L'ajout à la liste grise est une autre couche de protection antipourriel, mais elle n'a aucun
effet sur les capacités d'évaluation du pourriel du module antipourriel.
Lorsque le module doit évaluer la source du message, il utilise, pour ce faire, une méthode qui tient compte de la
configuration des listes suivantes, soit Adresses IP approuvées, Adresses IP ignorées, Expéditeurs sûrs et IP
autorisé pour le serveur Exchange et les paramètres de contournement de la protection antipourriel de la boîte aux
lettres du destinataire. Les messages provenant de ces listes d'adresses IP ou d'expéditeurs ou les courriels remis
dans une boîte aux lettres pour laquelle l'option de contournement de la protection antipourriel a été activée, ne
seront pas évalués par la méthode de détection par ajout à la liste grise.
Le champ Réponse SMTP pour les connexions temporairement refusées définit la réponse de déni temporaire de
SMTP envoyée au serveur SMTP lorsqu'un message est rejeté.
Exemple d'un message de réponse SMTP :
Code de réponse principal Code d'état complémentaire
451
4.7.1
Description
Action demandée abandonnée : erreur locale de
traitement
Avertissement: Une syntaxe incorrecte des codes de réponse SMTP pourrait entraîner un mauvais fonctionnement
de la protection par ajout à la liste grise. Ainsi, les pourriels pourraient être remis aux clients alors que d'autres
messages pourraient ne jamais être remis à leurs destinataires.
Délai pour le refus de la connexion initiale (min) - Lors de la première tentative de livraison d'un message
temporairement refusé, ce paramètre définit la durée pendant laquelle le message sera toujours refusé (calculé à
partir du premier refus). Une fois le délai écoulé, le message sera accepté. La valeur minimale que vous pouvez
entrer est 1 minute.
Délai d'expiration pour les connexions non vérifiées (heures) - Ce paramètre définit la durée minimale pendant
laquelle le triplet de données sera conservé. Un serveur valide doit renvoyer tout message voulu avant l'expiration
de cette période. Cette valeur doit être supérieure à la valeur du Délai pour le refus de la connexion initiale.
Délai d'expiration pour les connexions vérifiées (jours) - le nombre minimal de jours pendant lequel le triplet de
données sera conservé, soit le délai pendant lequel les messages envoyés par un expéditeur particulier seront
immédiatement acceptés. Cette valeur doit être supérieure à la valeur du Délai d'expiration pour les connexions
non vérifiées.
REMARQUE : Vous pouvez également utiliser les variables système au moment de définir la réponse de refus
SMTP.
3.3.1.2 Connecteur POP3 et protection antipourriel
Les versions de Microsoft Windows Small Business Server (SBS) comprennent un connecteur POP3 qui permet au
serveur d'aller chercher le courriel se trouvant sur des serveurs POP3 externes. La mise en œuvre de ce connecteur
POP3 standard varie entre les différentes versions de SBS.
ESET Mail Security prend en charge le connecteur POP3 pour Microsoft SBS sur SBS 2008 et les messages
téléchargés par l'entremise de ce connecteur POP3 sont analysés afin de détecter le pourriel. Cela fonctionne parce
que les messages sont transportés par SMTP dans Microsoft Exchange. ESET Mail Security ne prend cependant pas
en charge le connecteur POP3 de Microsoft SBS 2003, ce qui veut dire que les messages ne seront pas analysés pour
y détecter la présence de pourriel, simplement parce qu'ils contournent la file SMTP.
Il existe également un certain nombre d'autres connecteurs POP3 tiers. Que les messages recueillis par l'entremise
de certains connecteurs POP3 soient analysés ou non dépend de la méthode qu'utilise le connecteur POP pour aller
chercher les messages. Par exemple, GFI POP2Exchange utilise le répertoire de collecte pour transporter les
messages, ce qui fait qu'ils ne sont pas analysés pour y déceler la présence de pourriel. Des problèmes semblables
peuvent apparaître avec les produits qui utilisent les sessions authentifiées pour transporter les messages (comme
40
IGetMail), notamment quand Microsoft Exchange marque ces messages comme des messages internes qui
contournent, par défaut, la détection du pourriel. Ce paramètre peut être modifié dans le fichier de configuration.
Exportez la configuration en xml, remplacez la valeur du paramètre AgentASScanSecureZone par "1" et réimportez la
configuration (pour plus de détails sur la façon d'importer et d'exporter le fichier de configuration, consultez le
chapitre Importation et exportation des paramètres 129 ). Vous pouvez également essayer de désactiver l'option
Accepter l'indicateur de contournement de l'antipourriel réglé pour la session SMTP dans l'arborescence de la
configuration avancée (touche F5) sous Protection du serveur > Protection antipourriel > Microsoft Exchange
Server > Agent de transport. De ce fait, ESET Mail Security analysera la session SMTP pour y déceler la présence de
pourriel, sans tenir compte du paramètre de contournement du pourriel configuré sur le serveur Exchange.
3.3.2 Moteur antipourriel
Ici, vous pouvez configurer les paramètres du moteur antipourriel. Vous pouvez le faire en cliquant sur le bouton
Configurer.... Une fenêtre dans laquelle vous pourrez configurer les paramètres du moteur antipourriel s'ouvrira
alors.
Catégorisation des messages
Le moteur antipourriel de ESET Mail Security donne une note attribuée au pourriel variant entre 0 et 100 à tous les
messages analysés. Modifier les limites des notes attribuées aux pourriels dans cette section aura les effets
suivants :
1) déterminera si un message sera classé ou non comme POURRIEL ou n'étant PAS du pourriel. Tous les messages
dont la note de pourriel est supérieur ou égal à la valeur Note attribuée au message pour qu'il soit traité
comme pourriel sont considérés comme du pourriel. De ce fait, les actions définies dans l'agent de transport 39
s'appliqueront à ces messages.
2) Si un message est inscrit dans le journal antipourriel 97 (Outils > Fichiers journaux > Antipourriel). Tous les
messages dont la note de pourriel est égale ou supérieure au Seuil à partir duquel un message sera traité
comme pourriel ou message propre probable : seront inscrits dans le journal.
3) la section de statistiques de blocage du pourriel dans laquelle sera inscrit le message visé (État de la protection >
Statistiques > Protection antipourriel du serveur de messagerie) :
Message considéré comme n'étant PAS DU POURRIEL - la note attribuée au pourriel de ce message est égale ou
supérieure à la valeur de la Note attribuée au message pour qu'il ne soit pas traité comme pourriel
Message considéré comme POURRIEL probable : - la note attribuée au pourriel est égale ou supérieure à la valeur
du Seuil à partir duquel un message sera traité comme pourriel ou message propre probable
Message considéré comme n'étant probablement PAS DU POURRIEL - la note attribuée au pourriel de ce
message est inférieure à la valeur du Seuil à partir duquel un message sera traité comme pourriel ou message
propre probable
Message considéré comme n'étant PAS DU POURRIEL - la note attribuée au pourriel de ce message est égale ou
inférieure à la valeur de la Note attribuée au message pour qu'il ne soit pas traité comme pourriel
3.3.2.1 Configuration des paramètres du moteur antipourriel
3.3.2.1.1 Analyse
Dans cette section, vous pouvez configurer la manière dont les messages sont analysés et traités pour le
POURRIEL.
Analyser les pièces jointes au message - Cette option vous permet de choisir si le moteur antipourriel analysera et
examinera les pièces jointes lors du calcul de la note de pourriel.
Utiliser les deux sections MIME - Le moteur antipourriel analysera les sections MIME texte/brut et texte/html du
message. Si vous désirez davantage de performance, il est possible d'analyser seulement une section. Si cette
option est décochée (désactivée), seule une section sera anlysée.
Taille de la mémoire pour le calcul de la note (en octets) : - Cette option indique au moteur antipourriel de ne
pas lire plus d'un nombre configurable d'octets du tampon d'un message lors du traitement des règles.
Taille de la mémoire pour le calcul de l'échantillon (en octets) : - Cette option indique au moteur antipourriel de
ne pas lire plus que les octets définis lors du calcul de l'empreinte du message. Elle permet d'obtenir des empreintes
41
cohérentes.
Utiliser la mémoire cache LegitRepute - Cette fonction permet d'utiliser un cache LegitRepute pour réduire les
faux positifs, en particulier pour les bulletins.
Convertir en UNICODE - Cette fonction améliore la précision et le débit pour les corps de courriels en unicode, en
particulier pour les langues codées sur deux octets, en convertissant le message en code sur un seul octet.
Utiliser la mémoire cache du domaine - Cette fonction permet d'utiliser un cache de la réputation des domaines.
Si elle est activée, les domaines sont extraits des messages et comparés par rapport au cache de réputation des
domaines.
3.3.2.1.1.1 Échantillons
Utiliser la mémoire cache - Cette fonction permet d'utiliser un cache d'empreintes (activé par défaut).
Activer MSF - Cette fonction permet l'utilisation d'un autre algorithme de génération d'empreintes connu sous le
nom de MSF. Lorsqu'elle est activée, vous pouvez configurer les limites et seuils suivants :
Nombre de messages désignant un message en vrac : - Cette option précise combien de messages similaires
sont nécessaires afin de considérer une message comme un envoi en vrac.
Fréquence de vidage de la mémoire cache : - Cette option permet de préciser une variable interne qui
détermine la fréquence à laquelle le cache MSF en mémoire est effacé.
Sensibilité de correspondance de deux échantillons : - Cette option précise le seuil de pourcentage de
correspondance entre deux empreintes. Si le pourcentage de correspondance est supérieur à ce seuil, les
messages sont considérés comme étant identiques.
Nombre d'échantillons enregistrés en mémoire : - Cette option précise le nombre d'empreintes MSF à garder
en mémoire. Plus le nombre est élevé, plus la mémoire est utilisée, mais également plus élevée est l'exactitude.
3.3.2.1.1.2 SpamCompiler
Activer SpamCompiler - Cette fonction permet d'accélérer le traitement des règles mais nécessite davantage de
mémoire.
Version préférée : - Cette fonction permet de préciser quelle version de SpamCompiler utiliser. Lorsqu'elle est
configurée à Automatique, le moteur antipourriel choisira la meilleure version à utiliser.
Utiliser la mémoire cache - Si cette option est activée, SpamCompiler stockera les données compilées sur le disque
plutôt qu'en mémoire afin de réduire l'utilisation de mémoire.
Liste des fichiers de mémoire cache : - Cette option permet de préciser les fichiers de règles sont compilés sur le
disque plutôt qu'en mémoire.
Configurez les indices des fichiers de règles qui seront stockés dans la mémoire cache du disque. Pour gérer les
indices des fichiers de règles, vous pouvez :
Ajouter...
Modifier...
Retirer
REMARQUE: Les seuls caractères acceptés sont des chiffres.
42
3.3.2.1.2 Apprentissage
Utiliser l'apprentissage pour la note d'empreinte des messages - Cette fonction active l'apprentissage pour la
compensation de la note d'empreinte.
Utiliser les mots d'apprentissage - Cette option détermine si l'analyse bayésienne des mots est utilisée. La
précision peut en être considérablement améliorée, mais la quantité de mémoire utilisée est supérieure et l'analyse
légèrement plus lente.
Nombre de mots en mémoire cache : - Cette option précise le nombre de mots du cache à tout moment. Plus le
nombre est élevé, plus la mémoire est utilisée, mais également plus élevée est l'exactitude. Pour saisir le nombre,
activez l'option d'abord Utiliser les mots d'apprentissage.
Utiliser la base de données d'apprentissage seulement pour la lecture : - Cette option détermine si le mot, les
règles et les bases de données d'apprentissage des empreintes peuvent être modifiées ou sont en lecture seule
après le chargement initial. Une base de données en lecture seule est plus rapide.
Sensibilité d'apprentissage automatique : - Cette fonction permet de configurer un seuil pour l'autoapprentissage. Si un message a une note supérieure ou égale au seuil supérieur, ce message est considéré comme
un pourriel défini et est ensuite utilisé pour former tous les modules bayésiens activés (règles ou mot), mais pas
l'expéditeur ou l'empreinte. Si un message a une note inférieure ou égale au seuil inférieur, ce message est
considéré comme un message légitime défini et est ensuite utilisé pour former tous les modules bayésiens activés
(règles ou mot), mais pas l'expéditeur ou l'empreinte. Pour saisir les seuils supérieur et inférieur, activez d'abord
l'option Utiliser la base de données d'apprentissage seulement pour la lecture.
Quantités minimales de données d'apprentissage : - Initialement, seuls les pondérations de règles sont utilisées
pour calculer la note de courriel. Une fois qu'un ensemble minimum de données d'apprentissage est constitué, les
données d'apprentissage des règles/mots remplacent les pondérations de règles. Le minimum est de 100 par défaut
ce qui signifie que la base doit être formée d'au moins 100 messages équivalents reconnus légitimes et 100
messages de pourriel équivalents (soit un total de 200 messages) avant que les données d'apprentissage ne
remplacent les pondérations de règles. Si le nombre est trop faible, la précision sera médiocre en raison de données
insuffisantes. Si le nombre est trop élevé, les données d'apprentissage ne seront pas pleinement mises à profit. Une
valeur de 0 entrainera l'ignorance systèmatique des pondérations de règles.
Utiliser seulement les données d'apprentissage - Cette fonction permet de choisir s'il faut accorder la préséance
complète aux données d'apprentissage. Si elle est activée, la note sera basée uniquement sur les données
d'apprentissage. Si elle est désactivée (non cochée), les règles et les données d'apprentissage seront utilisées en
même temps.
Nombre de messages analysés avant de les écrire sur le disque : - Pendant l'apprentissage, le moteur
antipourriel traitera un nombre configurable de messages avant d'écrire la base de données d'apprentissage sur le
disque. Cette option détermine le nombre de messages à traiter avant d'écrire sur le disque. Pour des performances
optimales, ce nombre doit être aussi élevé que possible. Dans un cas inhabituel, quand un programme est
interrompu de manière inattendue avant que le tampon soit écrit sur le disque, l'apprentissage acquis depuis la
dernière écriture sur le disque sera perdu. Le tampon est écrit sur le disque lors de la fermeture normale.
Utiliser les données des pays pour l'apprentissage - Cette fonction détermine si les informations
d'acheminement du pays doivent être considérés lors de l'apprentissage et de la notation des messages.
3.3.2.1.3 Règles
Utiliser les règles - Cette option permet de choisir d'utiliser les régles d'heuristique plus lente ou non. La précision
peut en être considérablement améliorée, mais la quantité de mémoire utilisée est supérieure et l'analyse beaucoup
plus lente.
Utiliser l'extension de l'ensemble de règles - Cette fonction permet d'activer l'ensemble de règles étendu.
Utiliser la seconde extension de l'ensemble de règles - Cette fonction permet d'activer le second ensemble de
règles étendu.
Pondération des règles : - Cette option permet de contourner les pondérations liées aux règles individuelles.
Liste des fichiers de règles téléchargés : - Cette option précise quels sont les fichiers de règles téléchargés.
Pondération de catégories : - Cette fonction permet à l'utilisateur de régler les pondérations des catégories
utilisées dans SC18 et dans les fichiers utilisés dans la liste des règles personnalisées. Catégorie : Les noms des
catégories sont actuellement limités à SPAM, PHISH, BOUNCE, ADULT, FRAUD, BLANK, FORWARD et REPLY. Le
champ est sensible à la casse. Note : Tout entier ou BLOQUER ou APPROUVER. La pondération des règles
43
correspondant à la catégorie est multipliée par le facteur d'échelle afin de produire une nouvelle pondération
efficace.
Liste des règles personnalisées : - Cette fonction permet à l'utilisateur de préciser une liste de règles
personnalisées (pourriel, légitime ou mots/phrases d'hameçonnage). Les fichiers de règles contiennent des
expressions au format suivant sur des lignes distinctes : expression, type, confiance, caseSensitivity. Les
expressions peuvent comprendre n'importe quel texte sauf des virgules. Toutes les virgules de l'expression doivent
être supprimées. Le type peut être SPAM, PHISH, BOUNCE, ADULT, ou FRAUD. Si rien d'autre n'est précisé, le type
est automatiquement considéré comme SPAM (pourriel). La confiance peut être un nombre de 1 à 100. Si le type est
SPAM, 100 indique le degré le plus élevé de confiance en sa nature de pourriel. Si le type est PHISH, 100 indique le
degré le plus élevé de confiance en sa nature d'hameçonnage. Si le type est BOUNCE, 100 indique le degré le plus
élevé de confiance dans le fait que l'expression est liée à des renvois. Un plus haut degré de confiance est susceptible
d'affecter davantage la note finale. Une valeur de 100 est un cas spécial. Si le type est SPAM, 100 donnera la note
100 au message. Si le type est PHISH, 100 donnera la note 100 au message. Si le type est BOUNCE, 100 donnera la
note 100 au message. Comme toujours, toute liste blanche contourne toute liste noire. Une valeur de 1 pour
CaseSensitivity signifie que l'analyse des expressions sera sensible à la casse, 0 signifie qu'elle ne le sera pas.
Exemples :
j'aime les pourriels, SPAM, 100,0
j'aime l'hameçonnage, PHISH, 90,1
retour à l'expéditeur, BOUNCE, 80,0
La première ligne signifie que toutes les variantes de « j'aime les pourriels » sont considérées comme pourriel avec
une confiance de 100. L'expression est insensible à la casse. La deuxième ligne signifie que toutes les variantes de
« j'aime l'hameçonnage » sont considérées comme hameçonnage avec une confiance de 90. L'expression est
sensible à la casse. La troisième ligne signifie que toutes les variantes de « retour à l'expéditeur » sont considérées
comme renvoi avec une confiance de 80. L'expression est insensible à la casse.
Effacer les anciennes règles après leur mise à jour - Le moteur antipourriel, par défaut, efface les fichiers de
règles les plus anciens du répertoire de configuration lorsqu'un nouveau fichier est récupéré depuis le réseau
SpamCatcher. Cependant, certains utilisateurs du moteur antipourriel voudront archiver les fichiers de règles plus
anciens. Pour ce faire, il suffit de désactiver cette fonction d'effacement.
Afficher la notification après mise à jour réussie des règles 3.3.2.1.3.1 Pondération des règles
Configurez les indices de fichiers de règles et leur pondération. Pour ajouter une pondération de règle, cliquez sur le
bouton Ajouter.... Pour la modifier, cliquez sur le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer
.
Précisez les valeurs Indice et Pondération.
3.3.2.1.3.2 Liste des fichiers de règles téléchargés
Configurez les indice sde fichiers de règles qui doivent être téléchargés sur le disque. Utilisez les boutons Ajouter,
Modifier et Retirer pour gérer les indices de fichiers de règles.
3.3.2.1.3.3 Pondération de catégories
Configurez les catégories de règles et leur pondération. Utilisez les boutons Ajouter..., Modifier... et Retirer pour
gérer les catégories et leur pondération.
Pour ajouter une pondération de catégorie, sélectionnez une Catégorie : dans la liste. Les catégories suivantes sont
disponibles :
POURRIEL
Hameçonnage
Rapport de non-livraison
Messages avec un contenu adulte
Messages frauduleux
Messages vides
Messages réacheminés
Messages de réponse
44
Puis sélectionnez une action :
Autoriser
Bloquer
Pondération :
3.3.2.1.3.4 Liste des règles personnalisées
Vous pouvez utiliser des fichiers de règles personnalisées contenant certaines phrases. Ce sont, en fait, des fichiers .
txt files. Pour plus de détails et pour connaître les formats des phrases, consultez la rubrique Règles 43 (section
Liste des règles personnalisées).
Pour utiliser des fichiers contenant les règles personnalisées qui seront utilisés pour analyser les messages, vous
devez les déposer dans l'emplacement suivant :
si vous utilisez Windows Server 2008 ou une version ultérieure, le chemin est le suivant :
C:\ProgramData\ESET\ESET Mail Security\ServerAntispam
si vous utilisez Windows Server 2003 ou une version précédente, le chemin est le suivant :
C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam
Pour charger les fichiers, appuyez sur le bouton ... (parcourir), rendez-vous jusqu'à l'emplacement indiqué cidessus, et sélectionnez le fichier texte (*.txt). Utilisez les boutons Ajouter, Modifier et Retirer pour gérer la liste
des règles personnalisées.
REMARQUE : Le fichier .txt contenant les règles personnalisées doit être placé dans le dossier ServerAntispam sinon
ce fichier ne pourra être chargé.
3.3.2.1.4 Filtrage
Dans cette section, vous pouvez configurer les listes d'expéditeurs autorisés, bloqués et ignorés en précisant des
critères tels que l'adresse IP ou la plage d'adresses IP, le nom de domaine, l'adresse de courriel, etc. Pour ajouter,
modifier ou supprimer des critères, il suffit d'accéder à la liste que vous voulez gérer et de cliquer sur le bouton
approprié.
3.3.2.1.4.1 Expéditeurs autorisés
La liste blanche des expéditeurs et des domaines peut contenir une adresse courriel ou un domaine. Les adresses
sont saisies au format « boite@domaine » et les domaines simplement au format « domaine ».
REMARQUE: Les espaces blancs en tête et en fin de ligne sont ignorés, les expressions régulières ne sont pas prises
en charge et l'astérisque (*) est également ignoré.
3.3.2.1.4.2 Expéditeurs bloqués
La liste noire des expéditeurs et des domaines peut contenir une adresse courriel ou un domaine. Les adresses sont
saisies au format « boite@domaine » et les domaines simplement au format « domaine ».
REMARQUE: Les espaces blancs en tête et en fin de ligne sont ignorés, les expressions régulières ne sont pas prises
en charge et l'astérisque (*) est également ignoré.
3.3.2.1.4.3 Adresses IP autorisées
Cette option vous permet de préciser les adresses IP qui doivent être autorisées. Les plages peuvent être précisées
de trois façons :
a) IP de début - IP de fin
b) Adresse IP et masque de réseau
c) Adresse IP
Si la première des adresses IP non ignorées des en-têtes Reçu correspond à l'un des éléments de cette liste, le
message est marqué d'un 0 et aucune autre vérification n'est effectuée.
45
3.3.2.1.4.4 Adresses IP ignorées
Cette option vous permet de préciser les IP qui doivent être ignorées lors des vérifications RBL. Les adresses IP
suivantes sont toujours implicitement ignorées :
10.0.0.0/8, 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0
Les plages peuvent être précisées de trois façons :
c) Adresse IP
3.3.2.1.4.5 Adresses IP bloquées
Cette option vous permet de préciser les adresses IP qui doivent être bloquées. Les plages peuvent être précisées de
trois façons :
c) Adresse IP
Si l'une des adresses IP des en-têtes Reçu correspond à l'un des éléments de cette liste, le message est alors marqué
d'un 100 et aucune autre vérification n'est effectuée.
3.3.2.1.4.6 Domaines autorisés
Cette option vous permet de préciser les domaines et les adresses IP du corps qui doivent toujours être approuvés.
3.3.2.1.4.7 Domaines ignorés
Cette option vous permet de préciser les domaines du corps qui doivent toujours être exclus des vérifications
DNSBL et ignorés.
3.3.2.1.4.8 Domaines bloqués
Cette option vous permet de préciser les domaines et les adresses IP du corps qui doivent toujours être bloqués.
3.3.2.1.4.9 Faux expéditeurs
Cette fonction permet de bloquer les polluposteurs qui usurpent votre nom de domaine et d'autres noms de
domaine. Par exemple, les polluposteurs utilisent souvent le nom de domaine du destinataire dans le champ du
nom de domaine expéditeur. Cette liste vous permet de préciser quels serveurs de messagerie sont autorisés à
utiliser quels noms de domaine dans le champ De.
3.3.2.1.5 Vérification
La vérification est une fonction supplémentaire de la protection antipourriel. Elle permet de vérifier les messages au
moyen de serveurs externes selon des critères définis. Choisissez une liste dans l'arborescence de configuration pour
configurer ses critères. Les listes sont les suivantes :
RBL (Liste noire en temps réel)
LBL (Liste noire des dernières IP)
DNSBL (Liste noire de serveurs DNS)
46
3.3.2.1.5.1 RBL (Liste noire en temps réel)
Serveurs RBL : - Cette fonction permet de préciser une liste noire en temps réel (RBL) pour interroger les serveurs
lors de l'analyse des messages. Veuillez consulter la section RBL dans le présent document pour plus d'informations.
Sensibilité de vérification RBL : - Comme les vérifications RBL peuvent entrainer des temps de latence et une
diminution des performances, cette option permet de lancer des vérifications RBL conditionnelles en fonction de la
note avant d'effectuer les vérifications RBL. Si la note est supérieure à la valeur « supérieure » alors seuls les serveurs
RBL qui ont une note inférieure à la valeur « supérieure » sont interrogés. Si la note est inférieure à la valeur
« inférieure » alors seuls les serveurs RBL qui ont une note supérieure à la valeur « inférieure » sont interrogés. Si la
note se situe entre les valeurs supérieure et inférieure, tous les serveurs RBL sont interrogés.
Limite d'exécution de la requête RBL (en secondes) : - Cette option permet de définir un délai d'attente maximal
pour terminer toutes les requêtes RBL. Les réponses RBL ne sont utilisées que si elles proviennent de serveurs RBL
qui ont répondu à temps. Si la valeur est 0, il n'y a pas de délai d'attente maximal.
Nombre maximum de domaines vérifiés par rapport à la liste RBL : - Cette option permet de limiter le nombre
d'adresses IP interrogées par rapport au serveur RBL. Veuillez noter que le nombre total de requêtes RBL sera le
nombre d'adresses IP dans les en-têtes Reçu (jusqu'à un maximum d'adresses IP vérifiées par rapport à la liste RBL)
multiplié par le nombre de serveurs RBL précisés dans la liste RBL. Si la valeur est 0, un nombre illimité d'en-têtes
sera vérifié. Veuillez noter que les adresses IP qui correspondent à la liste d'adresses IP ignorées ne comptent pas
dans la limite des adresses IP RBL.
Pour gérer la liste, utilisez les boutons Ajouter..., Modifier... ou Retirer.
La liste comprend trois colonnes :
Adresse
Réponse
Note
3.3.2.1.5.2 LBL (Liste noire des dernières IP)
Serveurs LBL : - La fonctionne compare la dernière IP en cours de connexion à la liste des serveurs LBL. Vous pouvez
préciser une recherche DNS différente pour la dernière adresse IP en cours de connexion. La dernière adresse IP en
cours de connexion est comparée à la liste LBL plutôt qu'à la liste RBL. Par ailleurs, les options de la liste RBL comme
le seuil RBL sont également appliqués à la liste LBL.
Adresses IP qui ne seront pas vérifiées par rapport à la liste LBL : - Si la dernière IP en cours de connexion
correspond à une adresse IP de la liste, elle est alors comparée aux serveurs RBL plutôt que LBL.
Adresse
Réponse
Note
Vous pouvez préciser ici les adresses IP qui ne seront pas vérifiées par rapport à la liste LBL. Pour gérer la liste,
utilisez les boutons Ajouter..., Modifier... ou Retirer.
3.3.2.1.5.3 DNSBL (Liste de blocage DNS)
Serveurs DNSBL : - Cette fonction permet de préciser une liste de serveurs DNS bloqués (DNSBL) à comparer avec
les domaines et IP extraits du corps du message.
Sensibilité de vérification DNSBL : - Si la note est supérieure à la valeur « supérieure » alors seuls les serveurs
DNSBL qui ont une note inférieure à la valeur « supérieure » sont interrogés. Si la note est inférieure à la valeur
« inférieure » alors seuls les serveurs DNSBL qui ont une note supérieure à la valeur « inférieure » sont interrogés. Si
la note se situe entre les valeurs supérieure et inférieure, tous les serveurs DNSBL sont interrogés.
Limite d'exécution de la requête DNSBL (en secondes) : - Permet de définir un délai d'attente maximal pour
terminer toutes les requêtes DNSBL.
Nombre maximum de domaines vérifiés par rapport à la liste DNSBL : - Permet de limiter le nombre de
47
domaines et d'adresses IP interrogés par rapport à la liste noire de serveurs DNS.
Adresse
Réponse
Note
3.3.2.1.6 DNS
Utiliser la mémoire cache - Cette fonction permet d'activer la mise en cache interne des requêtes DNS.
Nombre de requêtes DNS enregistrées en mémoire : - Limite le nombre d'entrées du cache DNS interne.
Enregistrer la mémoire cache sur le disque - Si cette fonction est activée, le cache DNS enregistre les entrées sur
le disque lors de l'arrêt et les relit depuis le disque lors de l'initialisation.
Adresse de serveur DNS : - Les serveurs DNS peuvent maintenant être explitement précisés pour contourner les
valeurs par défaut.
Accès DNS direct : - Lorsque cette option est réglée sur oui et que le serveur DNS n'est pas précisé, alors le moteur
antipourriel enverra les requêtes LiveFeed directement aux serveurs LiveFeed. Cette option est ignorée si le serveur
DNS est précisé, car celui-ci a la priorité. Cette option doit être réglée sur Oui lorsque les requêtes directes sont plus
efficaces que les serveurs DNS par défaut.
Durée de vie des requêtes DNS (en secondes) : - Cette option permet de définir un TTL minimum pour les entrées
du cache DNS interne du moteur antipourriel. Cette option doit être précisée en seconde. Pour les réponses DNS
dont la valeur TTL est inférieure au TTL minimum précisé, le cache interne du moteur antipourriel utilisera le TTL
précisé à la place de la valeur TTL de la réponse DNS.
3.3.2.1.7 Note
Activer l'historique des notes - Cette fonction permet de suivre l'historique des notes pour les expéditeurs
réguliers.
Arrêter l'analyse lorsque le seuil de la note de POURRIEL a été atteint - cette option permet d'indiquer au
moteur de blocage du pourriel d'arrêter l'analyse du message lorsque cette note a été atteinte. Ce procédé peut
réduire le nombre de règles et d'autres vérifications et, par conséquent, améliore le résultat.
Utiliser l'analyse accélérée avant d'atteindre le seuil d'un message propre - Cette option vous permet de dire au
moteur antipourriel d'ignorer les vérifications de règles lentes si le message est susceptible d'être légitime.
Catégorisation des messages
Note à partir de laquelle un message est considéré comme POURRIEL : - Le moteur antipourriel attribue au
message analysé une note de 0 à 100. Régler des valeurs limites permet de déterminer quels messages sont
considérés comme pourriel et quels messages ne le sont pas. Si vous définissez des valeurs incorrectes, la qualité
des résultats de détection du moteur antipourriel peut en être affectée.
Note qui représente la limite pour considérer un message comme possible pourriel ou probablement
légitime : - Le moteur antipourriel attribue au message analysé une note de 0 à 100. Régler des valeurs limites
permet de déterminer quels messages sont considérés comme pourriel et quels messages ne le sont pas. Si vous
définissez des valeurs incorrectes, la qualité des résultats de détection du moteur antipourriel peut en être
affectée.
Note jusqu'à laquelle un message est considéré comme certainement légitime : - Le moteur antipourriel
attribue au message analysé une note de 0 à 100. Régler des valeurs limites permet de déterminer quels
messages sont considérés comme pourriel et quels messages ne le sont pas. Si vous définissez des valeurs
incorrectes, la qualité des résultats de détection du moteur antipourriel peut en être affectée.
48
3.3.2.1.8 Appâts pour le pourriel
Adresses de pourriel : - Si l'adresse RCPT TO de l'enveloppe SMTP correspond à une adresse courriel de cette liste,
le fichier de statistiques enregistre les données du courriel comme envoyées à une adresse appât de pourriel. Les
adresses doivent correspondre exactement (sauf la casse), les caractères génériques ne sont pas pris en charge.
Adresses considérées comme inexistantes : - Si l'adresse RCPT TO de l'enveloppe SMTP correspond à une adresse
courriel de cette liste, le fichier de statistiques enregistre les données du courriel comme envoyées à une adresse
inexistante. Les adresses doivent correspondre exactement (sauf la casse), les caractères génériques ne sont pas
pris en charge.
3.3.2.1.8.1 Adresses appâts pour le pourriel
Vous pouvez définir des adresses courriels qui ne reçoivent que du POURRIEL. Pour ajouter une adresse de courriel,
saisissez-la au format standard et cliquez sur le bouton Ajouter. Pour modifier une adresse de courriel existante,
utilisez le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer.
3.3.2.1.8.2 Adresses considérées comme inexistantes
Vous pouvez définir des adresses courriels qui apparaîtront comme inexistantes pour l'extérieur. Pour ajouter une
adresse de courriel, saisissez-la au format standard et cliquez sur le bouton Ajouter. Pour modifier une adresse de
courriel existante, utilisez le bouton Modifier. Pour la supprimer, cliquez sur le bouton Retirer.
3.3.2.1.9 Communication
Durée de la requête SpamLabs unique (en secondes) : - Cette fonction permet de limiter la durée de la requête
unique auprès de la protection antipourriel que SpamLabs peut prendre. La valeur doit être précisée en secondes
entières. La valeur 0 désactive la fonction et aucune limite n'est alors imposée.
Utiliser le protocole v.4x : - Cette fonction permet de communiquer avec les SpamLabs de protection antipourriel
pour déterminer la note à l'aide de l'ancien protocole v4.x, plus lent. Lorsque vous configurez cette option à
Automatiquement, elle permet au moteur antipourriel pour utiliser automatiquement la fonction NetCheck
comme solution de repli aux requêtes LiveFeed.
Plage d'usage du protocole v4.x : - Comme les réseaux peuvent subir des temps de latence et une diminution
des performances, cette option permet de lancer des vérifications de réseau conditionnelles en fonction de la
note. Le réseau n'est interrogé que si la note se situe entre les valeurs inférieure et supérieure de la plage précisée
au moyen de cette option.
Adresse du serveur LiveFeed : - Cette fonction permet de préciser quel serveur interroger pour les requêtes
LiveFeed.
Durée de vie des requêtes LiveFeed (en secondes) : - Cette option permet de définir un TTL minimum pour les
entrées du cache LiveFeed interne du moteur antipourriel. Cette option doit être précisée en seconde. Pour les
réponses LiveFeed dont la valeur TTL est inférieure au TTL minimum précisé, le cache interne du moteur antipourriel
utilisera le TTL précisé à la place de la valeur TTL de la réponse LiveFeed.
Type d'authentification du serveur mandataire : - Cette option permet de préciser le type d'authentification du
serveur mandataire HTTP à utiliser.
3.3.2.1.10 Performance
Taille maximum de la pile de fils utilisée : - Cette fonction définit la taille maximale de la pile de fils à utiliser. Si la
taille de la pile des fils est fixée à 64 Ko, cette variable devrait être fixée à 100 ou moins. Si la taille de la pile des fils
est supérieure à 1 Mo, cette variable devrait être fixée à 10 000 ou moins. Si cette variable est configurée en
dessous de 200, la précision peut être réduite par quelques pourcentages.
Débit requis (en messages par seconde) : - Cette option vous permet de préciser le débit souhaité en messages
par seconde. Le moteur antipourriel tentera d'atteindre ce niveau en optimisant les règles exécutées. Cette
précision peut être réduite. La valeur 0 désactive l'option.
Fusionner les fichiers incrémentiels en un seul - Le moteur antipourriel, par défaut, fusionne plusieurs fichiers
incrémentiels et un fichier complet dans un seul fichier complet à jour. Cette fusion permet de réduire
l'encombrement de fichiers dans le répertoire de configuration.
49
Télécharger seulement les fichiers incrémentiels - Le moteur antipourriel, par défaut, tentera de télécharger la
combinaison la plus efficace de fichiers complets et incrémentiels. Il est possible d'obliger le moteur antipourriel à
ne télécharger que les fichiers incrémentiels en configurant cette option à Oui.
Taille maximale des fichiers incrémentiels : - Afin de réduire l'utilisation du processeur pendant que les fichiers de
règles sont mis à jour, les fichiers du cache sur disque (sc*.tmp) ne sont plus générés à nouveau à chaque mise à
jour de règle unique. Au contraire, ils sont générés à nouveau lorsqu'un nouveau fichier sc*.bin.full ou lorsque la
somme des fichiers sc*.bin.incr augmente au-delà du nombre d'octets précisé dans la taille maximale des fichiers
incrémentiels.
Emplacement des fichiers temporaires : - Ce paramètre contrôle l'l'emplacement où le moteur antipourriel crée
les fichiers temporaires.
3.3.2.1.11 Paramètres régionaux
Liste des langues d'origine : - Cette option vous permet de régler vos langues préférées pour vos courriels. Les
codes de pays sont les codes de langues à deux caractères de la liste ISO-639.
Liste des pays d'origine : - Cette option vous permet de configurer une liste de pays qui sont considérés comme
pays « d'origine ». Messages acheminés par un pays qui n'est pas sur cette liste seront notés de façon plus agressive.
Si cette option est vide, aucune pénalité n'est mise en œuvre.
Liste des pays bloqués : - Cette fonction permet de bloquer les messages par pays. Si une adresse IP de l'en-tête
reçu correspond à un pays de la liste, le courriel sera considéré comme POURRIEL. Les codes de pays ne s'appliquent
pas aux adresses des expéditeurs. Veuillez noter qu'il est possible pour un message d'avoir voyagé à travers
différents pays avant d'atteindre la destination finale. Cette option n'atteint que 98 % de précision, le blocage de
pays pouvant entraîner de faux positifs.
Liste des jeux de caractères bloqués : - Cette fonction permet de bloquer les messages par jeu de caractères. La
note de POURRIEL par défaut est fixée à 100, mais vous pouvez la régler séparément pour chaque jeu de caractère
bloqué. Veuillez noter que la correspondance entre la langue et le jeu de cractère n'est pas précise à 100 % et que le
blocage jeux de caractères peut entraîner des faux positifs.
3.3.2.1.11.1 Liste des langues d'origine
Configurez les langues que vous considérez comme langues d'origine et dans lesquelles vous préférez recevoir des
messages. Pour ajouter une langue d'origine sélectionnez-la dans la colonne Codes de langue : et cliquez sur le
bouton Ajouter, afin de la déplacer dans la colonne des Langues d'origine. Pour supprimer la langue de la liste des
Langues d'origine, sélectionnez son code et cliquez sur le bouton Retirer.
Bloquer les langues autres que celles d'origine : - Cette option permet de choisir si les langues qui ne figurent pas
parmi les langues d'origine seront bloquées ou non. Trois options sont offertes :
Oui
Non
Automatiquement
Liste des codes de langues (fondée sur la liste ISO 639) :
Afrikaans
Amharique
Arabe
Biélorusse
Bulgare
Catalan
Tchèque
Gallois
Danois
Allemand
Grec
Anglais
Esperanto
Espagnol
Estonien
Basque
50
af
am
ar
be
bg
ca
cs
cy
da
de
el
en
eo
es
et
eu
Perse
Finois
Français
Frison
Irlandais
Gaëlique
Hébreux
Hindi
Croate
Hongrois
Arménien
Indonésien
Islandais
Italien
Japonais
Géorgien
Coréen
Latin
Lituanien
Letton
Marathi
Malais
Népalais
Néerlandais
Norvégien
Polonais
Portugais
Quechua
Rhéto-roman
Roumain
Russe
Sanskrit
Écossais
Slovaque
Slovène
Albanais
Serbe
Suédois
Swahili
Tamoul
Thaï
Tagalog
Turque
Ukrainien
Vietnamien
Yiddish
Chinois
fa
fi
fr
fy
ga
gd
he
hi
hr
hu
hy
id
is
it
ja
ka
ko
la
lt
lv
mr
ms
ne
nl
no
pl
pt
qu
rm
ro
ru
sa
sco
sk
sl
sq
sr
sv
sw
ta
th
tl
tr
uk
vi
yi
zh
3.3.2.1.11.2 Liste des pays d'origine
Configurez les pays que vous considérez comme pays d'origine et à partir desquels vous préférez recevoir des
messages. Pour ajouter un pays d'origine sélectionnez-le dans la colonne Code de pays : et cliquez sur le bouton
Ajouter, afin de le déplacer dans la colonne des Pays d'origine. Pour supprimer le pays de la liste des Pays d'origine
, sélectionnez le code de pays et cliquez sur le bouton Retirer.
Liste des codes de pays (fondée sur la liste ISO 3166) :
AFGHANISTAN
ÅLAND
ALBANIE
ALGÉRIE
SAMOA AMÉRICAINES
ANDORRE
ANGOLA
AF
AX
AL
DZ
AS
AD
AO
51
ANGUILLA
ANTARTIQUE
ANTIGUA ET BARBUDA
ARGENTINE
ARMÉNIE
ARUBA
AUSTRALIE
AUTRICHE
AZERBAÏDJAN
BAHAMAS
BAHREÏN
BANGLADESH
BARBADE
BIÉLORUSSIE
BELGIQUE
BÉLIZE
BÉNIN
BERMUDES
BHOUTAN
BOLIVIE
BOSNIE-HERZÉGOVINE
BOTSWANA
ÎLE BOUVET
BRÉSIL
TERRITOIRE BRITANNIQUE DE L'OCÉAN
INDIEN
BRUNÉI DARUSSALAM
BULGARIE
BURKINA FASO
BURUNDI
CAMBODGE
CAMEROUN
CANADA
CAP VERT
ÎLES CAYMAN
RÉPUBLIQUE DE CENTRAFRIQUE
TCHAD
CHILI
CHINE
ÎLE CHRISTMAS
ÎLES COCOS (KEELING)
COLOMBIE
COMORES
CONGO
CONGO, RÉPUBLIQUE DÉMOCRATIQUE
ÎLES COOK
COSTA RICA
CÔTE D'IVOIRE
CROATIA
CUBA
CHYPRE
RÉPUBLIQUE TCHÈQUE
DANEMARK
DJIBOUTI
DOMINIQUE
RÉPUBLIQUE DOMINICAINE
ÉQUATEUR
ÉGYPTE
SALVADOR
GUINÉE ÉQUATORIALE
ÉRYTHRÉE
ESTONIE
52
AI
AQ
AG
AR
AM
AW
AU
AT
AZ
BS
BH
BD
BB
BY
BE
BZ
BJ
BM
BT
BO
BA
BW
BV
BR
IO
BN
BG
BF
BI
KH
CM
CA
CV
KY
CF
TD
CL
CN
CX
CC
CO
KM
CG
CD
CK
CR
CI
HR
CU
CY
CZ
DK
DJ
DM
DO
EC
EG
SV
GQ
ER
EE
ÉTHIOPIE
ÎLES MALOUINES
ÎLES FÉROÉ
FIDJI
FINLANDE
FRANCE
GUYANE FRANÇAISE
POLYNÉSIE FRANÇAISE
TERRES AUSTRALES FRANÇAISES
GABON
GAMBIE
GÉORGIE
ALLEMAGNE
GHANA
GIBRALTAR
GRÈCE
GROENLAND
GRENADE
GUADELOUPE
GUAM
GUATÉMALA
GUINÉE
GUINÉE-BISSAU
GUYANE
HAÏTI
ÎLES HEARD-ET-MACDONALD
SAINT-SIÈGE (ÉTAT DE LA CITÉ DU
VATICAN)
HONDURAS
HONG KONG
HONGRIE
ISLANDE
INDE
INDONÉSIE
IRAN, RÉPUBLIQUE ISLAMIQUE
IRAQ
IRLANDE
ISRAËL
ITALIE
JAMAÏQUE
JAPON
JORDANIE
KAZAKHSTAN
KÉNYA
KIRIBATI
CORÉE, RÉPUBLIQUE POPULAIRE
DÉMOCRATIQUE
CORÉE, RÉPUBLIQUE
KOWEÏT
KIRGHIZISTAN
RÉPUBLIQUE DÉMOCRATIQUE POPULAIRE
DU LAOS
LETTONIE
LIBAN
LESOTHO
LIBÉRIA
JAMAHIRIYA ARABE LIBYENNE
LIECHTENSTEIN
LITUANIE
LUXEMBOURG
MACAO
ET
FK
FO
FJ
FI
FR
GF
PF
TF
GA
GM
GE
DE
GH
GI
GR
GL
GD
GP
GU
GT
GN
GW
GY
HT
HM
VA
HN
HK
HU
IS
IN
ID
IR
IQ
IE
IL
IT
JM
JP
JO
KZ
KE
KI
KP
KR
KW
KG
LA
LV
LB
LS
LR
LY
LI
LT
LU
MO
53
MACÉDOINE, ANCIENNE RÉPUBLIQUE
YOUGOSLAVE
MADAGASCAR
MALAWI
MALAYSIE
MALDIVES
MALI
MALTE
ÎLES MARSHALL
MARTINIQUE
MAURITANIE
MAURICE
MAYOTTE
MEXIQUE
MICRONÉSIE, ÉTATS FÉDÉRÉS
MOLDAVIE, RÉPUBLIQUE
MONACO
MONGOLIE
MONTSERRAT
MAROC
MOZAMBIQUE
MYANMAR (BIRMANIE)
NAMIBIE
NAURU
NÉPAL
PAYS-BAS
ANTILLES NÉERLANDAISES
NOUVELLE CALÉDONIE
NOUVELLE ZÉLANDE
NICARAGUA
NIGER
NIGÉRIA
NIUE
ÎLE NORFOLK
ÎLES MARIANNES DU NORD
NORVÈGE
OMAN
PAKISTAN
PALAU
TERRITOIRES PALESTINIENS, OCCUPÉS
PANAMA
PAPOUASIE NOUVELLE GUINÉE
PARAGUAY
PÉROU
PHILIPPINES
PITCAIRN
POLOGNE
PORTUGAL
PUERTO RICO
QATAR
RÉUNION
ROUMANIE
FÉDÉRATION RUSSE
RWANDA
SAINTE-HÉLÈNE
SAINT-CHRISTOPHE-ET-NIÉVÈS
SAINTE LUCIE
SAINT PIERRE ET MIQUELON
SAINT VINCENT ET GRENADINES
SAMOA
SAINT-MARIN
SAO TOMÉ-ET-PRINCIPE
54
MK
MG
MW
MY
MV
ML
MT
MH
MQ
MR
MU
YT
MX
FM
MD
MC
MN
MS
MA
MZ
MM
NA
NR
NP
NL
AN
NC
NZ
NI
NE
NG
NU
NF
MP
NO
OM
PK
PW
PS
PA
PG
PY
PE
PH
PN
PL
PT
PR
QA
RE
RO
RU
RW
SH
KN
LC
PM
VC
WS
SM
ST
ARABIE SAOUDITE
SÉNÉGAL
SERBIE ET MONTÉNÉGRO
SEYCHELLES
SIERRA LEONE
SINGAPOUR
SLOVAQUIE
SLOVÉNIE
ÎLES SALOMON
SOMALIE
AFRIQUE DU SUD
GÉORGIE DU SUD-ET-LES ÎLES SANDWICH
DU SUD
ESPAGNE
SRI LANKA
SOUDAN
SURINAM
SVALBARD ET JAN MAYEN
SWAZILAND
SUÈDE
SUISSE
RÉPUBLIQUE ARABE SYRIENNE
TAÏWAN, PROVINCE DE CHINE
TADJIKISTAN
TANZANIE, RÉPUBLIQUE UNIE
THAÏLANDE
TIMOR ORIENTAL
TOGO
TOKELAU
TONGA
TRINIDAD ET TOBAGO
TUNISIE
TURQUIE
TURKMÉNISTAN
ÎLES TURQUES-ET-CAÏQUES
TUVALU
OUGANDA
UKRAINE
ÉMIRATS ARABES UNIS
ROYAUME-UNI
ÉTATS-UNIS
ÎLES MINEURES ÉLOIGNÉES DES ÉTATSUNIS
URUGUAY
OUZBEKISTAN
VANUATU
ÉTAT DE LA CITÉ DU VATICAN (SAINTSIÈGE)
VÉNÉZUÉLA
VIET-NAM
ÎLES VIERGES BRITANNIQUES
ÎLES VIERGES AMÉRICAINES
WALLIS ET FUTUNA
SAHARA ORIENTAL
YÉMEN
ZAÏRE (CONGO, RÉPUBLIQUE
DÉMOCRATIQUE)
ZAMBIE
ZIMBABWE
SA
SN
CS
SC
SL
SG
SK
SI
SB
SO
ZA
GS
ES
LK
SD
SR
SJ
SZ
SE
CH
SY
TW
TJ
TZ
TH
TL
TG
TK
TO
TT
TN
TR
TM
TC
TV
UG
UA
AE
GB
US
UM
UY
UZ
VU
VA
VE
VN
VG
VI
WF
EH
YE
CD
ZM
ZW
55
3.3.2.1.11.3 Liste des adresses bloquées
Choisissez les pays que vous souhaitez bloquer et à partir desquels vous ne voulez pas recevoir de messages. Pour
ajouter un pays à la liste des Pays bloqués :, sélectionnez-le dans la colonne Code de pays : et cliquez sur le
bouton Ajouter. Pour supprimer le pays de la liste des Pays bloqués :, sélectionnez le code de pays et cliquez sur le
bouton Retirer.
Pour consulter la liste des codes de pays particuliers, voyez la section Liste des pays d'origine
51
.
3.3.2.1.11.4 Liste des jeux de caractères bloqués
Configurez les jeux de caractères que vous souhaitez bloquer. Les messages rédigés à l'aide de ce jeu de caractères
ne seront pas reçus. Pour ajouter un jeu de caractère, sélectionnez-le dans la colonne Jeux de caractères : et
cliquez sur le bouton Ajouter afin de le déplacer dans la colonne des Jeux de caractères bloqués :. Pour supprimer
le jeu de caractères de la colonne Jeux de caractères bloqués :, sélectionnez le jeu de caractères et cliquez sur le
bouton Retirer.
Lorsque vous ajoutez un jeu de caractères aux jeux de caractères bloqués, vous pouvez préciser votre propre valeur
pour la note de POURRIEL particulière de ce jeu de caractère. Par défaut, il est de 100, mais vous pouvez définir une
note pour chaque jeu de caractères.
3.3.2.1.12 Fichiers journaux
Activer la journalisation détaillée - Cette fonction permet d'obtenir une journalisation plus détaillée.
Fichiers de réacheminement des sorties : - Cette fonction redirige le fichier journal vers le répertoire précisé dans
ce domaine. Appuyez sur le bouton ... pour parcourir les répertoires au lieu de taper le chemin manuellement.
3.3.2.1.13 Statistiques
Activer la journalisation des données statistiques - Cette fonction permet d'enregistrer un journal des IP,
domaines, URL, mots suspects, etc. sur le système de fichiers de configuration. Les journaux peuvent être
automatiquement chargés vers les serveurs d'analyse du moteur antipourriel. Ils peuvent également être convertis
au format texte simple pour être visualisés.
Envoyer les données statistiques pour l'analyse - Cette option lance un fil pour charger automatiquement les
fichiers de statistiques vers les serveurs d'analyse du moteur antipourriel.
Adresse du serveur d'analyse : - URL vers laquelle les fichiers de statistiques seront chargés.
3.3.2.1.14 Options
Configuration automatique : - Cette fonction permet de configurer les options en fonction des exigences de
système, de performance et de ressources saisies par l'utilisateur.
Créer le fichier de configuration - Cette fonction crée un fichier antispam.cfg qui contient la configuration du
moteur antipourriel. Il se trouve dans C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (Windows Server
2008) ou C:\Documents and Settings\All Users\Application Data\ESET\ESET Mail Security\ServerAntispam (Windows
Server 2000 et 2003).
56
Chaque courriel analysé par ESET Mail Security et marqué comme pourriel peut ensuite être identifié comme tel en
ajoutant une étiquette de notification dans l'objet du courriel. L'étiquette par défaut est [SPAM], bien que
l'utilisateur puisse choisir sa propre chaîne de caractères.
REMARQUE : Vous pouvez également utiliser les variables système au moment d'ajouter un modèle à l'objet du
message.
3.4 FAQ
Q : Après avoir installé EMSX avec le module Antipourriel, aucun message n'entrait dans mes boîtes aux lettres.
R : Si la fonction Ajout à la liste grise est activée, c'est normal. Dans les premières heures de fonctionnement, il est
possible que vous receviez les messages avec plusieurs heures de retard. Si vous continuez à éprouvez ce problème
par la suite, il est recommandé de désactiver (ou de reconfigurer) la fonctionnalité d'Ajout à la liste grise.
Q : Lorsque VSAPI analyse les pièces jointes, analyse-t-il également le corps du courriel?
R : Dans Microsoft Exchange Server 2000 SP2 et dans ses versions ultérieures, VSAPI analyse également le corps
des messages.
Q : Pourquoi l'analyse des messages continue-t-elle une fois l'option VSAPI désactivée?
R : Les modifications apportées aux paramètres de VSAPI s'exécutent de façon asynchrone, ce qui signifie que les
paramètres de VSAPI doivent être appelés par Microsoft Exchange Server pour être en vigueur. Ce processus
cyclique s'exécute à des intervalles d'environ une minute. C'est la même chose pour tous les autres paramètres de
VSAPI.
Q : VSAPI peut-il supprimer un message entier si celui-ci contient une pièce jointe infectée?
R : Oui, VSAPI peut supprimer un message entier. Cependant, vous devez, pour cela, cocher d'abord l'option
Supprimer le message entier dans la section Actions des paramètres de VSAPI. Cette option n'est disponible que
pour Microsoft Exchange Server 2003 et ses versions ultérieures. Les versions antérieures de Microsoft Exchange
Server ne prennent pas en charge la suppression de messages entiers.
57
Q : Les messages sortants sont-ils aussi analysés par VSAPI pour y détecter la présence de virus?
R : Oui, VSAPI analyse les messages sortants à moins que le serveur SMTP configuré dans votre client de messagerie
diffère de celui qu'utilise Microsoft Exchange Server. Cette option n'est disponible que pour Microsoft Exchange
Server 2000 Service Pack 3 et versions ultérieures.
Q : Est-il possible d'ajouter du texte avec une étiquette de notification par l'entremise de VSAPI à chacun des
messages, comme le fait l'agent de transport?
R : L'ajout de texte aux messages analysés par VSAPI n'est pas une fonctionnalité prise en charge par Microsoft
Exchange Server.
Q : J'ai remarqué qu'il m'était parfois impossible d'ouvrir un message particulier dans Microsoft Outlook. Pouvezvous me dire pourquoi?
R : L' Action à exécuter si le nettoyage est impossible dans vos paramètres VSAPI (section Actions) est
probablement définie à Bloquer ou vous avez créé une règle qui inclut l'action Bloquer. L'un ou l'autre de ces
paramètres marquera et bloquera tant les messages infectés que ceux qui satisfont la règle susmentionnée.
Q : Que signifie l'élément Délai de réponse dans la section Performance?
R : Si vous utilisez Microsoft Exchange Server 2000 SP2 ou une version ultérieure, la valeur Délai de réponse
représente le délai maximal en secondes requis pour finir le traitement d'un fil par VSAPI. Si l'analyse n'est pas
terminée dans ce délai, Microsoft Exchange Server refusera l'accès du client au courriel. L'analyse ne sera pas
interrompue, mais il sera possible d'accéder au fichier dès qu'elle sera terminée. Si vous utilisez Microsoft Exchange
Server 5.5 SP3 ou SP4, la valeur sera exprimée en millisecondes et représente la période après laquelle le client
réessayera d'accéder au fichier qui était auparavant inaccessible en raison de l'analyse.
Q : Quelle longueur peut avoir la liste de types de fichiers dans une règle?
R : Une règle dans la liste des extensions de fichiers peut contenir un maximum de 255 caractères.
Q : J'ai activé l'option Analyse en arrière-plan dans VSAPI. Jusqu'à maintenant, les messages provenant de
Microsoft Exchange Server étaient analysés après chacune des mises à jour de la base de données de signatures de
virus. Mais depuis la dernière mise à jour, ce n'est plus le cas. Quel est le problème?
R : La décision d'analyser immédiatement les messages ou lorsqu'un utilisateur tente d'accéder à un message
dépend de plusieurs facteurs, y compris la charge du serveur, le temps que l'unité centrale doit passer à analyser
tous les messages en vrac et le nombre total de messages. Microsoft Exchange Server analysera chacun des
messages avant qu'il ne soit remis dans la boîte de réception du client.
Q : Pour quelle raison est-ce que le compteur de règles augmente d'un nombre supérieur à un après la réception
d'un seul message?
R :Un message est vérifié en fonction des règles lorsqu'il est traité par l'agent de transport ou VSAPI. Lorsque l'agent
de transport et VSAPI sont activés et que le message satisfait aux conditions d'une règle, le compteur de règles
pourra indiquer une augmentation de deux ou plus. VSAPI accède aux éléments individuels du message (corps,
pièce jointe), ce que signifie que les règles sont appliquées individuellement, à chacune des parties du message. En
outre, les règles peuvent être appliquées pendant une analyse en arrière-plan (par exemple, plusieurs analyses du
magasin-boîte aux lettres après la mise à jour de la base de données des signatures de virus), ce qui peut faire
augmenter le nombre indiqué par le compteur de règles.
Q : ESET Mail Security 4 pour Microsoft Exchange Server est-il compatible avec le IMF?
R : Oui, ESET Mail Security 4 pour Microsoft Exchange Server est compatible avec le IMF. Les courriels sont traités
de la façon suivante, lorsque les messages sont évalués comme des pourriels :
- Si l'option Supprimer le message (ou Mettre le message en quarantaine) est activée dans le module
Antipourriel de ESET Mail Security, l'action sera effectuée, quelle que soit l'action configurée dans Microsoft
Exchange IMF.
- Si l'option Aucune action est activée dans le module Antipourriel de ESET Mail Security, les paramètres IMF de
Microsoft Exchange seront utilisés et l'action appropriée exécutée (par exemple, Supprimer, Refuser, Archiver,
etc.). Pour que cette fonctionnalité soit utilisée de façon efficace, l'option Écrire le seuil de probabilité du
pourriel dans les messages analysés en fonction de la note attribuée au pourriel (Protection du serveur >
Microsoft Exchange Server > Agent de transport) doit être activée.
58
Q : Comment puis-je configurer ESET Mail Security pour que les messages non sollicités soient déplacés dans le
dossier Courrier indésirable de Microsoft Outlook configuré par l'utilisateur?
R : Les paramètres par défaut de ESET Mail Security forcent Microsoft Outlook à conserver les courriels non
sollicités dans le dossier Courrier indésirable. Pour que cette fonction puisse être utilisée, désélectionnez l'option
Écrire la note attribuée au pourriel dans l'en-tête du message analysé (touche F5 > Protection du serveur >
Protection antipourriel > Microsoft Exchange Server > Agent de transport). Si vous voulez que le courriel non
sollicité soit conservé dans un dossier différent, veuillez lire les instructions suivantes :
1) Dans ESET Mail Security :
- ouvrez l'arborescence de configuration avancée touche F5,
- allez jusqu'à Protection du serveur > Protection antipourriel > Microsoft Exchange Server > Agent de
transport
- sélectionnez Conserver le message dans le menu déroulant Action à exécuter sur les pourriels
- décochez la case Écrire la note attribuée au pourriel dans l'en-tête des messages analysés
- rendez-vous jusqu'à Alertes et notifications sous Protection antipourriel
- définissez le texte de l'étiquette qui sera ajoutée au champ objet du message indésirable, par exemple
« [SPAM] », dans le champ Modèle ajouté à l'objet des pourriels
2) Dans Microsoft Outlook :
- configurer une règle pour s'assurer que les messages contenant du texte particulier dans l'objet
(« [SPAM] ») seront déplacés dans le dossier souhaité.
Pour des instructions plus détaillées, consultez cet article de la base de connaissances.
Q : Selon les statistiques de la protection antipourriel, bon nombre de messages entrent dans la catégorie Non
analysé. Parmi les différents messages, lesquels ne seront pas analysés par la protection antipourriel?
R : La catégorie Non analysé comprend ce qui suit :
Général :
tous les messages qui ont été analysés même si la protection antipourriel avait été désactivée sur l'une des
couches (serveur de messagerie, agent de transport).
Microsoft Exchange Server 2003 :
tous les messages en provenance d'une adresse IP inscrite dans l'IMF, sur la liste d'acceptation globale
Messages en provenance d'expéditeurs authentifiés
Microsoft Exchange Server 2007 :
Tous les messages envoyés dans l'organisation (ils seront tous analysés par la protection antivirus)
Messages en provenance d'expéditeurs authentifiés
Messages en provenance d'utilisateurs configurés pour contourner la protection antipourriel
Tous les messages envoyés dans la boîte aux lettres et pour lesquels l'option de contournement de la
protection antipourriel a été activée.
Tous les messages provenant d'expéditeurs inscrits sur la liste des expéditeurs sûrs.
REMARQUE : les adresses inscrites dans la liste blanche et les paramètres du moteur antipourriel n'entrent pas
dans la catégorie non analysé puisque ce groupe ne comprend que des messages qui n'ont jamais été traités par la
protection antipourriel.
59
Q : Les utilisateurs téléchargent des messages dans leurs clients de messagerie par le protocole POP3 (contournant
ainsi le serveur Microsoft Exchange), mais les boîtes aux lettres sont sur le serveur Microsoft Exchange. Ces
messages feront-ils l'objet de l'analyse antivirus et antipourriel de ESET Mail Security?
R : Dans ce type de configuration, ESET Mail Security n'analysera les messages stockés sur le serveur Microsoft
Exchange que pour y détecter la présence de virus (par VSAPI). L'analyse antipourriel ne sera pas effectuée puisque
cela exige un serveur SMTP.
Q : Puis-je définir la note attribuée au pourriel que doit obtenir un message pour être classé comme POURRIEL?
R : Oui, vous pouvez fixer cette limite dans ESET Mail Security version 4.3 et ultérieures (se reporter à la section
Moteur antipourriel 41 ).
Q : Le module de protection antipourriel de ESET Mail Security analyse-t-il aussi les messages téléchargés par
l'entremise du connecteur POP3?
R : ESET Mail Security prend en charge le connecteur POP3 standard pour Microsoft SBS sur SBS 2008. Les messages
téléchargés par l'entremise de ce connecteur POP3 seront donc analysés afin de détecter la présence de pourriels. Le
connecteur POP3 de Microsoft SBS 2003 n'est cependant pas pris en charge. Cela existe également avec des
connecteurs POP3 tiers. Que les messages recueillis par l'entremise de ces connecteurs POP3 tiers soient analysés
ou non pour y déceler la présence de pourriels dépend de la façon dont ce connecteur POP3 est conçu et de la façon
dont il va chercher les messages. Pour plus de détails, veuillez consulter la rubrique Connecteur POP3 et protection
antipourriel 40 .
60
4. ESET Mail Security - Protection du serveur
En plus d'offrir une protection à Microsoft Exchange Server, ESET Mail Security comprend également tous les outils
nécessaires pour assurer la protection du serveur lui-même (bouclier résident, protection de l'accès Web, protection
du client de messagerie et antipourriel).
4.1 Protection antivirus et antispyware
La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de
courrier, ainsi que les communications Internet. Si une menace comportant du code malveillant est détectée, le
module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en nettoyant, en supprimant ou en
mettant en quarantaine l'objet infecté.
4.1.1 Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système.
Elle analyse tous les fichiers à la recherche de code malveillant au moment où ces fichiers sont ouverts, créés ou
exécutés sur votre ordinateur. La protection en temps réel du système de fichiers est lancée au démarrage du
système.
4.1.1.1 Configuration du contrôle
La protection en temps réel du système de fichiers vérifie tous les types de supports et le contrôle est déclenché par
différents événements. À l'aide des méthodes de détection de la technologie ThreatSense, (décrites dans la
rubrique configuration du moteur ThreatSense 77 ), la protection en temps réel du système de fichiers peut différer
pour les fichiers nouvellement créés et les fichiers existants. Ainsi, pour les fichiers nouvellement créés, il est
possible d'appliquer un niveau de contrôle plus approfondi.
Pour ne laisser que le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers
ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront
cependant immédiatement réanalysés après chaque mise à jour de la base de données des signatures de virus. Ce
comportement est configuré à l'aide de l'optimisation Smart. Si cette fonction est désactivée, tous les fichiers
seront analysés chaque fois que l'ordinateur y accédera. Pour modifier cette option, ouvrez la fenêtre Configuration
avancée et cliquez sur Antivirus et antispyware > Protection en temps réel du système de fichiers
l'arborescence de la configuration avancée complète. Cliquez ensuite sur le bouton Configuration... à côté de
Configuration du moteur ThreatSense, cliquez sur Autre et sélectionnez ou désélectionnez l'option Activer
l'optimisation Smart.
Par défaut, la protection en temps réel est lancée au démarrage du système d'exploitation et assure une analyse
ininterrompue. Dans certains cas (par ex., en cas de conflit avec un autre analyseur en temps réel), il est possible
d'arrêter la protection en temps réel du système de fichiers en désactivant l'option Lancer automatiquement la
protection en temps réel du système de fichiers.
61
4.1.1.1.1 Supports à analyser
Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces.
Disques locaux - Contrôle tous les disques durs du système.
Supports amovibles - Disquettes, périphériques de stockage USB, etc.
Lecteurs réseau - Tous les disques mappés.
Il est recommandé de ne modifier ces paramètres par défaut que dans des cas particuliers, par exemple lorsque
l'analyse de certains supports ralentit de manière significative les transferts de données.
4.1.1.1.2 Date de l'analyse (analyse déclenchée par un événement)
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver
les paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur.
L'option Accès disquette contrôle le secteur d'amorçage des disquettes lors de l'accès au lecteur. L'option Arrêt de
l'ordinateur contrôle les secteurs d'amorçage du disque dur lors de l'arrêt de l'ordinateur. Bien que les virus
d'amorçage soient rares de nos jours, il est recommandé de laisser ces options activées, car le risque d'une infection
par un virus d'amorçage provenant d'autres sources est toujours réel.
4.1.1.1.3 Options d'analyse avancée
Vous pourrez obtenir plus de détails sur les options de configuration dans Protection de l'ordinateur > Antivirus
et antispyware > Protection en temps réel du système de fichiers > Configuration avancée.
Autres paramètres ThreatSense pour les fichiers nouveaux et modifiés - Les fichiers nouvellement créés ou les
fichiers modifiés ont une probabilité d'infection supérieure à celle des fichiers existants. C'est pour cette raison que
le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. Outre les méthodes
d'analyse basées sur les signatures, l'heuristique avancée est aussi utilisée, ce qui améliore sensiblement les taux de
détection. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les fichiers à extraction
automatique (.sfx) et les fichiers exécutables compressés par un compresseur d'exécutables (interne). Par défaut,
les archives sont analysées jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle.
Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse d'archive.
Autres paramètres ThreatSense pour les fichiers nouveaux et modifiés - Par défaut, l'heuristique avancée n'est
pas utilisée lors de l'exécution de fichiers. Toutefois, dans certains cas, il peut être utile d'activer cette option (en
62
cochant l'option Heuristique avancée à l'exécution du fichier). Notez que l'heuristique avancée peut ralentir
l'exécution de certains programmes en raison de la plus grande utilisation des ressources système.
4.1.1.2 Niveaux de nettoyage
La protection en temps réel comprend trois niveaux de nettoyage. Pour sélectionner un niveau de nettoyage,
cliquez sur le bouton Configuration... dans la section Protection en temps réel du système de fichiers puis sur la
branche Nettoyage.
Le premier niveau, Pas de nettoyage, affiche une fenêtre d'avertissement qui propose des options pour chacune
des infiltrations détectées. Vous devez choisir une action pour chacune. Ce niveau est conçu pour les utilisateurs
expérimentés qui savent quoi faire avec chaque type d'infiltration.
Le niveau par défaut choisit et exécute automatiquement une action prédéfinie (selon le type d'infiltration). La
détection et la suppression d'un fichier infecté sont signalées par un message affiché dans le coin inférieur droit de
l'écran. Les actions automatiques ne seront cependant pas exécutées si l'infiltration se trouve dans une archive
(qui contient aussi des fichiers sains) ou s'il n'y a pas d'action prédéfinie pour l'objet infecté.
Le troisième niveau, Nettoyage strict, est le plus « agressif » : tous les fichiers infectés sont nettoyés. Ce niveau
pouvant éventuellement entraîner la perte de fichiers valides, il n'est recommandé que dans des situations
particulières.
4.1.1.3 Quand faut-il modifier la configuration la protection en temps réel
La protection en temps réel est le composant le plus essentiel de la sécurisation du système. Il faut donc être très
attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce
module que dans des cas précis. Par exemple, lorsqu'il y a conflit avec une autre application ou avec l'analyseur en
temps réel d'un autre logiciel antivirus.
Après l'installation de ESET Mail Security, tous les paramètres sont optimisés pour garantir le niveau maximal de
sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur le bouton Défaut dans
le coin inférieur droit de la fenêtre Protection en temps réel du système de fichiers (Configuration avancée >
Antivirus et antispyware > Protection en temps réel du système de fichiers).
63
4.1.1.4 Vérification de la protection en temps réel
Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar.
com, soit un fichier de test spécial et inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé
par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des
programmes antivirus. Vous pouvez le télécharger du site http://www.eicar.org/download/eicar.com
REMARQUE : Avant d'effectuer une vérification de la protection en temps réel, il faut désactiver le pare-feu. S'il est
activé, il détectera le fichier et empêchera le téléchargement des fichiers de test.
4.1.1.5 Que faire si la protection en temps réel ne fonctionne pas
Dans le chapitre suivant, nous décrivons des problèmes qui peuvent survenir lors de l'utilisation de la protection en
temps réel et la façon de les résoudre.
Protection en temps réel est désactivée
Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver
la protection en temps réel, naviguez jusqu'à Configuration > Antivirus et antispyware et cliquez sur Activer la
protection en temps réel du système de fichiers de la fenêtre principale du programme.
Si la protection en temps réel n'est pas lancée au démarrage du système, c'est probablement dû au fait que l'option
Démarrage de la protection automatique en temps réel du système de fichiers est désactivée. Pour activer
cette option, ouvrez la Configuration avancée (F5) et cliquez sur Protection en temps réel du système de fichiers
dans l'arborescence de la Configuration avancée. Dans la section Configuration avancée au bas de la fenêtre,
assurez-vous que la case Lancer automatiquement la protection en temps réel du système de fichiers est
cochée.
Si la protection en temps réel ne détecte ni ne nettoie les infiltrations
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de
protection en temps réel sont activés en même temps, il peut y avoir un conflit entre les deux. Nous
recommandons de désinstaller tout autre antivirus de votre système.
La protection en temps réel ne démarre pas
Si la protection en temps réel n'est pas lancée au démarrage du système (et si l'option Lancer automatiquement la
protection en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres
programmes. Dans ce cas, consultez les spécialistes de l'assistance à la clientèle d'ESET.
64
4.1.2 Protection du client de messagerie
La protection de la messagerie offre le contrôle de la communication par courriel par l'entremise du protocole POP3.
À l'aide du plugiciel pour Microsoft Outlook, ESET Mail Security assure le contrôle de toutes les communications
utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP).
Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées offertes par
le moteur d'analyse ThreatSense . Autrement dit, la détection des programmes malveillants a lieu avant même que
s'effectue la comparaison avec la base de données des signatures de virus. L'analyse des communications par le
biais du protocole POP3 est indépendante du client de messagerie utilisé.
4.1.2.1 Contrôle POP3
Le protocole POP3 est le protocole le plus répandu pour la réception de messages dans un client de messagerie.
ESET Mail Security assure la protection de ce protocole, quel que soit le client de messagerie utilisé.
Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste
ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé – le contrôle
POP3 s'effectue automatiquement sans qu'il faille reconfigurer le client de messagerie. Par défaut, toute
communication sur le port 110 est soumise à une analyse, mais d'autres ports de communication peuvent être
ajoutés au besoin. Les numéros de ports doivent être séparés par des virgules.
Les communications cryptées ne sont pas contrôlées.
Pour pouvoir utiliser le filtrage POP3/POP3S, vous devez tout d'abord activer lefiltrage des protocoles. Si les options
POP3/POP3S sont grisées, naviguez jusqu'à Protection de l'ordinateur > Antivirus et antispyware > Filtrage des
protocoles à partir de l'arborescence de la configuration avancée complète et cochez Activer le filtrage du
contenu des protocoles d'application. Se reporter à la rubrique Filtrage des protocoles pour plus de détails sur le
filtrage et la configuration.
65
4.1.2.1.1 Compatibilité
Le filtrage POP3 peut engendrer des problèmes dans certains programmes de messagerie (p. ex. si vous recevez des
messages sur une connexion Internet lente, la vérification peut entraîner des dépassements de délai). Dans ce cas,
essayez de modifier la façon dont le contrôle est effectué. Réduire le niveau de contrôle peut augmenter la rapidité
du processus de nettoyage. Pour régler le niveau de contrôle du filtrage POP3, de l'arborescence de la configuration
avancée, naviguez jusqu'à Antivirus et antispyware > Protection de la messagerie > POP3, POP3S >
Compatibilité.
Si vous activez l'option Efficacité maximale, les infiltrations sont supprimées des messages infectés et
l'information concernant l'infiltration sera insérée au début de l'objet initial du message (les options Supprimer ou
Nettoyer doivent être activées, tout comme le niveau de nettoyage Strict ou Par défaut doit être activé).
Une compatibilité moyenne modifie la façon dont les messages sont reçus. Les messages sont progressivement
envoyés au client de messagerie -- une fois le message transféré, il sera alors analysé à la recherche d'infiltrations.
Cependant, avec ce niveau de contrôle, le risque d'infection est accru. Le niveau de nettoyage et la gestion des «
étiquettes » (notes d'alerte ajoutées à l'objet et au corps des messages) sont identiques à ceux utilisés avec le
paramètre d'efficacité maximale.
Avec la Compatibilité maximale, vous serez averti par l'affichage d'une fenêtre qui signale la réception d'un
message infecté. Aucune information concernant les fichiers infectés n'est ajoutée à l'objet ou au corps des
messages livrés et les infiltrations ne sont pas automatiquement supprimées - vous devez supprimer les
infiltrations à partir du client de messagerie.
4.1.2.2 Intégration aux clients de messagerie
L'intégration de ESET Mail Security dans les clients de messagerie augmente le niveau de protection active contre le
code malveillant dans les courriels. Si votre client de messagerie est pris en charge, cette intégration peut être
activée dans ESET Mail Security. Si l'intégration est activée, la barre d'outils de ESET Mail Security est insérée
directement dans le client de messagerie pour offrir une protection plus efficace pour le courriel. Les paramètres
d'intégration se trouvent dans Configuration > Accéder à la configuration avancée complète > Divers >
Intégration au client de messagerie. L'intégration au client de messagerie permet d'activer l'intégration avec les
clients de messagerie pris en charge. Les clients de messagerie actuellement pris en charge sont Microsoft Outlook,
Outlook Express, Windows Mail, Windows Live Mail et Mozilla Thunderbird.
Activez l'option Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez
un ralentissement du système lors de l'utilisation du client de messagerie. Une telle situation peut se produire lors
du téléchargement de messages à partir de Kerio Outlook Connector.
66
La protection de la messagerie est activée en cliquant sur Configuration >Accéder à l'arborescence de la
configuration avancée complète... > Antivirus et antispyware > Protection du client de messagerie et en
sélectionnant l'option Activer la protection antivirus et antispyware du client de messagerie.
4.1.2.2.1 Ajout d'une étiquette au corps d'un message
Chaque message analysé par ESET Mail Security peut être marqué en ajoutant une étiquette dans le sujet ou le
corps du message. Cette fonction augmente le niveau de crédibilité des messages et, en cas de détection d'une
infiltration, fournit de précieuses données sur le niveau de menace du message.
Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée > Antivirus et
antispyware > Protection du client de messagerie. Vous pouvez également choisir d'Ajouter une note aux
messages reçus et lus, ainsi que d'Ajouter une note aux messages envoyés. Vous pouvez également décider si
les étiquettes de messages seront ajoutées à tous les messages analysés, seulement aux messages infectés ou à
aucun message.
ESET Mail Security permet également d'ajouter des messages à l'objet initial des messages infectés. Pour ce faire,
sélectionnez tant les options Ajouter une note à l'objet des messages infectés reçus et lus que Ajouter une note
à l'objet des messages infectés envoyés.
Vous pouvez modifier le contenu des notifications dans le champ Texte ajouté à l'objet des messages infectés.
Ces modifications permettent d'automatiser le filtrage des messages infectés puisqu'ils vous permettent de filtrer
les messages comportant un sujet particulier (si le client de messagerie prend en charge cette fonctionnalité) pour
les envoyer dans un dossier distinct.
4.1.2.3 Suppression d'infiltrations
En cas de réception d'un message infecté, une fenêtre d'alerte s'affiche. Cette fenêtre indique le nom de l'expéditeur,
son adresse courriel et le nom de l'infiltration. La partie inférieure de la fenêtre présente les options disponibles pour
l'objet détecté, soit Nettoyer, Supprimer ou Laisser. Dans la plupart des cas, il est recommandé de sélectionner
Nettoyer ou Supprimer. Dans certaines situations, si vous voulez recevoir le fichier infecté, sélectionnez Laisser.
Si l'option Nettoyage strict est activée, une fenêtre d'information sans option s'affichera.
67
4.1.3 Protection de l'accès Web
La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu
le principal moyen de transférer et disséminer du code malveillant. C'est pourquoi il est essentiel que vous évaluiez
attentivement la protection de votre accès Web. Nous vous recommandons fortement de sélectionner l'option
Activer la protection antivirus et antispyware pour l'accès Web. Cette option se trouve dans la Configuration
avancée (F5) > Antivirus et antispyware > Protection de l'accès Web.
4.1.3.1 HTTP, HTTPS
La protection de l'accès Web utilise la surveillance des communications entre les navigateurs Internet et des
serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). Par défaut,
ESET Mail Security est configuré pour utiliser les normes de la plupart des navigateurs Internet. Vous pouvez
toutefois modifier les options de configuration de l'analyseur HTTP dans Configuration avancée (F5) > Antivirus et
antispyware > Protection de l'accès Web > HTTP, HTTPS. Dans la fenêtre principale du filtre HTTP, vous pouvez
activer ou désactiver l'option Activer le contrôle HTTP. Vous pouvez également définir les numéros de port utilisés
pour la communication HTTP. Par défaut, les numéros de ports 80, 8080 et 3128 sont prédéfinis. La vérification
HTTPS peut être effectuée dans les modes suivants :
Ne pas utiliser de contrôle de protocole HTTPS - Les communications chiffrées ne seront pas vérifiées.
Utiliser le contrôle de protocole HTTPS pour les ports sélectionnés - La vérification HTTPS ne visera que les ports
définis dans Ports utilisés par le protocole HTTP.
68
4.1.3.1.1 Gestion d'adresse
Cette section permet de préciser des listes d'adresses HTTP qui seront bloquées, autorisées ou exclues de la
vérification. Les boutons Ajouter..., Modifier..., Supprimer et Exporter... sont utilisés pour gérer les listes
d'adresses. Les sites Web figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web
figurant dans la liste des adresses exclues sont accessibles sans aucune analyse de code malveillant. Si vous
sélectionnez l'option N'autoriser l'accès qu'aux adresses HTTP figurant dans la liste des adresses autorisées,
seules les adresses figurant dans la liste des adresses autorisées sont accessibles, tandis que toutes les autres
adresses HTTP sont bloquées.
Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation).
L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe
quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues car la liste ne
doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ?
dans cette liste. Pour activer une liste, sélectionnez l'option Liste active. Pour être informé lors de l'entrée d'une
adresse à partir de la liste actuelle, activez l'option Aviser lors de l'application d'une adresse de la liste.
69
4.1.3.1.2 Mode actif
ESET Mail Security contient également une fonction Navigateurs Web qui permet de définir si une application
donnée est un navigateur ou non. Si une application est marquée par l'utilisateur comme étant un navigateur,
toutes les communications provenant de cette application sont contrôlées, quels que soient les numéros de ports
utilisés dans la communication.
La fonction Navigateurs Web complète la fonction de contrôle HTTP, laquelle ne s'applique qu'à des ports
prédéfinis. Or, de nombreux services Internet utilisent des numéros de ports qui changent de manière dynamique
ou sont inconnus. C'est pour s'adapter à cette réalité que la fonction Navigateurs Web peut contrôler les
communications sur les ports, et ce, quels que soient les paramètres de connexion.
La liste des applications désignées comme navigateurs est accessible directement à partir du sous-menu
70
Navigateurs Web de la branche HTTP, HTTPS. Cette section contient également le sous-menu Mode actif qui
définit le mode de contrôle des navigateurs Internet.
L'intérêt du Mode actif est que les données transférées sont examinées dans leur ensemble. Si l'option n'est pas
activée, la communication des applications est contrôlée progressivement, par lots. La vérification des données est
alors moins efficace, mais la compatibilité avec les applications répertoriées est meilleure. Si le Mode actif ne pose
pas de problèmes, il est recommandé d'activer ce mode de vérification en cochant la case à côté de l'application
voulue.
4.1.4 Analyse de l'ordinateur à la demande
Si vous pensez que votre ordinateur peut être infecté (en raison d'un comportement anormal), exécutez une
analyse à la demande pour rechercher d'éventuelles infiltrations. Pour votre sécurité, il est essentiel que l'ordinateur
soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures
de sécurité routinières. Une analyse régulière pourra détecter des infiltrations n'ayant pas été détectées par
l'analyseur en temps réel lors de leur enregistrement sur le disque. Cela peut se produire si l'analyseur en temps réel
est désactivé au moment de l'infection ou si la base de données des signatures de virus est obsolète.
Il est recommandé d'exécuter une analyse à la demande au moins une fois par mois. Cette analyse peut être
configurée comme tâche planifiée dans Outils > Planificateur.
71
4.1.4.1 Type d'analyse
Deux types d'analyse de l'ordinateur à la demande sont disponibles. L'analyse intelligente analyse rapidement le
système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de
sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse.
4.1.4.1.1 Analyse intelligente
L'analyse intelligente vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers
infectés sans intervention de l'utilisateur. Ses principaux avantages incluent sa facilité d'utilisation et l'absence
d'une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et
nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement
réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage 80 .
4.1.4.1.2 Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez préciser des paramètres d'analyse tels que les
cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les
paramètres de manière détaillée. Les configurations peuvent être enregistrées comme profils d'analyse définis par
l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres.
Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée puis
sélectionnez une option à partir du menu déroulant Cibles à analyser ou de certaines cibles particulières dans la
structure de l'arborescence. Une cible d'analyse peut aussi être indiquée plus précisément en entrant le chemin du
dossier ou des fichiers à inclure. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage
supplémentaire, sélectionnez l'option Analyser sans nettoyer. Vous pouvez aussi choisir parmi trois niveaux de
nettoyage en cliquant sur Configuration... > Nettoyage.
72
4.1.4.2 Cibles à analyser
Le menu déroulant Cibles à analyser vous permet de sélectionner les fichiers, dossiers et périphériques (disques) à
analyser pour y détecter la présence de virus.
Par paramètres du profil - Sélectionne les cibles dans le profil d'analyse sélectionné
Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD.
Disques locaux - Sélectionne tous les disques durs du système
Lecteurs réseau - Sélectionne tous les lecteurs mappés
Aucune sélection - Annule toutes les sélections
Une cible d'analyse peut aussi être précisée de façon spécifique en entrant le chemin du dossier ou des fichiers à
inclure dans l'analyse. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de
l'ordinateur qui sont disponibles.
4.1.4.3 Profils d'analyse
Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de
créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune
des analyses utilisées régulièrement.
Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Analyse de l'ordinateur à
la demande > Profils... La fenêtre Profils de configuration comprend un menu déroulant affichant les profils
d'analyse existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse
répondant à vos besoins, consultez la rubrique Configuration des paramètres du moteur ThreatSense 77 pour une
description de chacun des paramètres de configuration de l'analyse.
EXEMPLE: Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil
Smart Scan vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par
un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également
utiliser un nettoyage strict. De la fenêtre Profils de configuration, cliquez sur le bouton Ajouter.... Entrez le nom
du nouveau profil dans le champ Nom du profil et sélectionnez Smart scan dans le menu déroulant Copier les
paramètres depuis le profil. Adaptez ensuite les autres paramètres à vos besoins.
73
4.1.4.4 Ligne de commande
Il est possible de lancer le module antivirus de ESET Mail Security à partir de la ligne de commande, donc
manuellement (avec la commande « ecls ») ou à partir d'un fichier de traitement par lots (« bat »).
Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à
partir de la ligne de commande :
Options générales :
- help
afficher l'aide et quitter
- version
afficher l'information sur la version et quitter
- base-dir = FOLDER
charger les modules du DOSSIER
- quar-dir = FOLDER
DOSSIER de quarantaine
- aind
afficher l'indicateur d'activité
Cibles :
- files
analyser les fichiers (valeur par défaut)
- no-files
ne pas analyser les fichiers
- boots
analyser les secteurs d'amorçage (valeur par défaut)
- no-boots
ne pas analyser les secteurs d'amorçage
- arch
analyser les archives (valeur par défaut)
- no-arch
ne pas analyser les archives
- max-archive-level = LEVEL
NIVEAU d'imbrication maximal des archives
- scan-timeout = LIMIT
analyser les archives pendant un maximum de LIMITE
secondes. Si la durée de l'analyse atteint cette limite, elle
sera alors arrêtée et l'analyse passera au fichier suivant.
- max-arch-size=SIZE
analyser uniquement les TAILLE premiers octets des
archives (valeur par défaut 0 = illimité)
- mail
analyser les fichiers courriel
- no-mail
ne pas analyser les fichiers courriel
- sfx
analyser les archives à extraction automatique
- no-sfx
ne pas analyser les archives à extraction automatique
- rtp
analyser les fichiers exécutables compressés
- no-rtp
ne pas analyser les fichiers exécutables compressés
- exclude = FOLDER
exclure le DOSSIER de l'analyse
- subdir
analyser les sous-dossiers (valeur par défaut)
- no-subdir
ne pas analyser les sous-dossiers
- max-subdir-level = LEVEL
NIVEAU d'imbrication maximum de sous-dossiers (valeur
par défaut 0 = illimité)
- symlink
suivre les liens symboliques (valeur par défaut)
- no-symlink
ignorer les liens symboliques
- ext-remove = EXTENSIONS
- ext-exclude = EXTENSIONS
74
exclure de l'analyse les EXTENSIONS délimitées par un
deux-points
Méthodes :
- adware
rechercher les logiciels espions/publicitaires/à risque
- no-adware
ne pas rechercher les antispyware/publicitaires/à risque
- unsafe
rechercher les applications potentiellement dangereuses
- no-unsafe
ne pas rechercher les applications potentiellement
dangereuses
- unwanted
rechercher les applications potentiellement indésirables
- no-unwanted
ne pas rechercher les applications potentiellement
indésirables
- pattern
utiliser les signatures
- no-pattern
ne pas utiliser les signatures
- heur
activer l'heuristique
- no-heur
désactiver l'heuristique
- adv-heur
activer l'heuristique avancée
- no-adv-heur
désactiver l'heuristique avancée
Nettoyage :
- action = ACTION
appliquer l'ACTION aux objets infectés. Actions
disponibles : aucune, nettoyer, demander
- quarantine
copier les fichiers infectés vers Quarantaine (complète
ACTION)
- no-quarantine
ne pas copier les fichiers infectés dans la quarantaine
Journaux :
- log-file=FILE
consigner les résultats dans le FICHIER
- log-rewrite
écraser le fichier de résultats (ajouter - valeur par défaut)
- log-all
consigner également les fichiers nettoyés
- no-log-all
ne pas consigner les fichiers nettoyés (valeur par défaut)
Codes de sortie d'analyse possibles :
0
- aucune menace détectée
1
- menace détectée, mais non nettoyée
10
- il reste quelques fichiers infectés
101
- erreur liée à l'archive
102
- erreur d'accès
103
- erreur interne
REMARQUE : Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc être infecté.
75
4.1.5 Performance
Dans cette section, vous pourrez définir le nombre de moteurs d'analyse ThreatSense qui seront utilisés dans
l'analyse antivirus. Un plus grand nombre de moteurs d'analyse ThreatSense sur des machines multiprocesseurs
pourra augmenter le taux d'analyse. La valeur acceptable va de 1 à 20.
S'il n'y a aucune autre restriction, il est recommandé que vous augmentiez le nombre de ThreatSense moteurs
d'analyse dans la fenêtre Paramètres avancés (touche F5) dans Protection de l'ordinateur > Antivirus et
antispyware > Performance, selon la formule indiquée cid-essous : ThreatSensenombre de fils d'analyse = (nombre
d'unités centrales x 2) + 1. Le nombre de fils d'analyse devrait également être égal au nombre de moteurs d'analyse
ThreatSense. Vous pouvez également configurer le nombre de moteurs d'analyse dans Protection de l'ordinateur >
Antivirus et antispyware > Microsoft Exchange Server > VSAPI >Performance. Voici un exmeple :
Disons que vous avez un serveur comportant 4 unités centrales. Pour obtenir la meilleure performance, selon la
formule ci-dessus, vous devriez utiliser9 fils d'analyse et 9 moteurs d'analyse.
REMARQUE : Il est recommandé que le nombre de moteurs d'analyse ThreatSense soit égal au nombre de fils
d'analyse utilisé. Le fait d'utiliser un plus grand nombre de fils d'analyse que de moteur d'analyse n'aura cependant
aucun effet sur la performance.
REMARQUE : Les modifications apportées ici ne seront appliquées qu'après le redémarrage du système.
4.1.6 Filtrage des protocoles
La protection antivirus, pour les protocoles d'application POP3 et HTTP, est fournie par le moteur d'analyse
ThreatSense qui intègre toutes les techniques d'analyse avancées des logiciels malveillants. Le contrôle fonctionne
automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Les options
suivantes sont disponibles pour le filtrage des protocoles (lorsque l'option Activer le filtrage du contenu des
protocoles d'application est sélectionnée) :
Ports HTTP et POP3 - Limite l'analyse des communications aux ports HTTP et POP3 connus.
Applications marquées comme navigateurs Internet et clients de messagerie - Activer cette option pour ne
filtrer que la communication des applications indiquées comme navigateurs (Protection de l'accès Web > HTTP,
HTTPS > Navigateurs Web) et clients de messagerie (Protection du client de messagerie > POP3, POP3S >
Clients de messagerie).
Ports et applications marquées comme navigateurs Internet et clients de messagerie - Tant les ports que les
navigateurs feront l'objet d'une vérification visant à détecter la présence de logiciels malveillants.
REMARQUE : Depuis Windows Vista Service Pack 1 et Windows Server 2008, une nouvelle méthode de filtrage des
communications est utilisée. C'est pour cette raison que la section du filtrage des protocoles n'est pas disponible.
4.1.6.1 SSL
ESET Mail Security vous permet de vérifier les protocoles encapsulés dans le protocole SSL. Vous pouvez utiliser
différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats exclus, des certificats
inconnus ou des certificats exclus de la vérification des communications protégées par SSL.
Toujours analyser le protocole SSL - Sélectionnez cette option pour analyser toutes les communications
protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé,
mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque
vous accédez à un serveur en utilisant un certificat non fiable que vous avez marqué comme étant fiable (ajouté à la
liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication
est filtré.
Interroger sur les sites non visités (possibilité de définir des exclusions) - Si vous accédez à un nouveau site
protégé par SSL (dont le certificat est inconnu), une boîte de dialogue de sélection s'affichera. Ce mode vous permet
de créer une liste de certificats SSL qui seront exclus de l'analyse.
Ne pas analyser le protocole SSL - Si cette option est sélectionnée, le programme n'analysera pas les
communications SSL.
76
S'il est impossible de vérifier le certificat à l'aide du magasin d'Autorités de certification de racine de confiance (
Filtrage des protocoles > SSL > Certificats) :
Interroger sur la validité du certificat - Vous invite à choisir une action à exécuter.
Bloquer toute communication utilisant le certificat Met fin à la connexion au site utilisant le certificat.
Si le certificat est non valide ou endommagé (Filtrage des protocoles > SSL > Certificats) :
Interroger sur la validité du certificat - Vous invite à choisir une action à exécuter.
Bloquer toute communication utilisant le certificat Met fin à la connexion au site utilisant le certificat.
4.1.6.1.1 Certificats approuvés
En plus du magasin d'Autorités de certification de racine de confiance (TRCA) où ESET Mail Security conserve les
certificats approuvés, vous pouvez créer une liste personnalisée de certificats approuvés qui pourra être affichée
dans Configuration avancée (F5) > Filtrage des protocoles > SSL > Certificats > Certificats approuvés.
4.1.6.1.2 Certificats exclus
La section Certificats exclus contient des certificats jugés sûrs. Le contenu des communications cryptées utilisant
les certificats inscrits sur cette liste ne feront pas l'objet d'une vérification visant à détecter les menaces. Il est
recommandé de n'exclure que les certificats Web dont la sécurité est garantie et dont les communications utilisant
ces certificats n'ont pas à être vérifiées.
4.1.7 Configuration du moteur ThreatSense
La technologie ThreatSense combine des méthodes de détection de menaces complexes. Cette technologie
proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace.
Elle utilise une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques,
signatures de virus) qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est
capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection.
La technologie ThreatSense élimine également les rootkits.
Les options de configuration de la technologie ThreatSense vous permettent également de préciser plusieurs
paramètres d'analyse :
les types de fichiers et extensions à analyser;
la combinaison de plusieurs méthodes de détection;
les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur le bouton Configuration... situé dans toute fenêtre de
configuration de module qui utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut
exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les
modules de protection suivants :
Protection en temps réel du système de fichiers
Contrôle des fichiers de démarrage du système
Protection du courrier 65
Protection de l'accès Web 68
Analyse de l'ordinateur à la demande 71
61
Les paramètres ThreatSense sont hautement optimisés pour chaque module et leur modification peut grandement
affecter le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser
compacteurs exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de
fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés
sont analysés par ces méthodes). Il est donc recommandé de laisser inchangés les paramètres par défaut de
ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur à la demande.
77
4.1.7.1 Configuration des objets
La section Objets vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés pour y détecter
les infiltrations.
Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système.
Secteurs d'amorçage - Activez cette option pour analyser les secteurs d'amorçage pour détecter la présence de
virus dans l'enregistrement de démarrage principal.
Fichiers - Activez cette option pour analyser tous les types de fichiers courants (programmes, images, musiques,
vidéos, bases de données, etc.).
Fichiers courriel - Activez cette option pour analyser les fichiers spéciaux contenant les messages.
Archives - Activez cette option pour analyser les fichiers compressés dans des archives (.rar, .zip, .arj, .tar, etc.).
Archives à extraction automatique - Activez cette option pour analyser les fichiers contenus dans des fichiers
d'archive à extraction automatique comportant généralement l'extension .exe
Fichiers exécutables compressés par un compresseur d'exécutables - À la différence des types d'archives
standard, ces fichiers se décompriment en mémoire, tout comme les compacteurs statiques standard (UPX, yoda,
ASPack, FGS, etc.).
REMARQUE: Lorsqu'un point bleu se trouve à côté d'un paramètre, cela signifie que le réglage actuel pour ce
paramètre diffère du réglage indiqué dans d'autres modules utilisant aussi ThreatSense. Puisque vous pouvez
configurer le même paramètre différemment dans chacun des modules, ce point bleu vise seulement à vous
indiquer que ce même paramètre est configuré différemment dans d'autres modules. Si vous ne voyez aucun point
bleu, cela signifie que ce réglage est ainsi configuré dans tous les modules.
4.1.7.2 Options
Dans la section Options, vous pouvez choisir les méthodes utilisées lors de l'analyse du système pour y détecter des
infiltrations. Les options suivantes sont disponibles :
Heuristique - L'heuristique utilise un algorithme qui analyse l'activité (malveillante) des programmes. Le principal
avantage de la détection heuristique est la possibilité de détecter de nouveaux logiciels malveillants qui n'existaient
pas précédemment ou ne figuraient pas sur la liste des virus connus (base de données des signatures de virus).
Heuristique avancée - L'heuristique avancée désigne un algorithme heuristique unique développé par ESET et
optimisé pour la détection de vers informatiques et de chevaux de Troie écrits dans des langages de programmation
de haut niveau. Grâce à l'heuristique avancée, les capacités de détection intelligente du programme sont beaucoup
plus élevées.
Applications potentiellement indésirables- Les applications potentiellement indésirables ne sont pas conçues
78
pour être malveillantes mais peuvent avoir des répercussions négatives sur la performance de l'ordinateur. Ces
applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes
sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les
changements les plus significatifs concernent les fenêtres contextuelles, l'activation et l'exécution de processus
cachés, l'utilisation accrue des ressources système, des changements dans les résultats de recherche et des
applications communiquant avec des serveurs distants.
Applications potentiellement dangereuses - Cette catégorie inclut les logiciels commerciaux légitimes. Elle inclut
également des programmes tels que des outils d'accès à distance, raison pour laquelle cette option est désactivée
par défaut.
Pièces jointes potentiellement dangereuses
L'option Pièces jointes potentiellement dangereuses fournit une protection contre les menaces malveillantes qui se
propagent généralement sous la forme d'une pièce jointe à un courriel, comme les chevaux de Troie rançongiciels.
Une telle menace peut se présenter comme un fichier exécutable ressemblant à un fichier de document standard
(ex : PDF) qui, à son ouverture par l'utilisateur, permet à la menace de s'infiltrer dans le système. La menace tentera
alors d'accomplir ses desseins malveillants.
79
4.1.7.3 Nettoyage
Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés.
Trois niveaux de nettoyage sont possibles :
Ne pas nettoyer - Les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche alors une
fenêtre d'avertissement et vous laisse choisir une action.
Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté. S'il
n'est pas possible de sélectionner automatiquement l'action correcte, le programme propose différentes actions de
suivi. Cette sélection s'affiche également si une action prédéfinie ne peut être menée à bien.
Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules
exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre d'avertissement s'affiche avec
une proposition d'action.
Avertissement : En mode de nettoyage par défaut, le fichier d'archive n'est supprimé que si tous les fichiers qu'il
contient sont infectés. Si l'archive contient aussi des fichiers légitimes, elle n'est pas supprimée. Si un fichier
d'archive infecté est détecté en mode Nettoyage strict, le fichier entier est supprimé, même s'il contient également
des fichiers intacts.
80
4.1.7.4 Extensions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette
section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser.
Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. N'importe quelle extension peut être
ajoutée à la liste des fichiers exclus de l'analyse. Si l'option Analyser tous les fichiers est désélectionnée, la liste
change pour afficher les extensions de tous les fichiers actuellement analysés. Les boutons Ajouter et Supprimer
permettent d'activer ou d'empêcher l'analyse des fichiers portant certaines extensions.
Pour activer l'analyse de fichiers sans extension, activez l'option Analyser les fichiers sans extension.
L'exclusion de fichiers de l'analyse peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le
fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les
extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange.
4.1.7.5 Limites
La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à
analyser :
Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera
alors que les objets d'une taille inférieure à celle indiquée. Il n'est pas recommandé de modifier la valeur par défaut
et il n'y a généralement aucune raison de le faire. Cette option ne devrait être modifiée que par des utilisateurs
expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille.
Durée d'analyse maximale pour l'objet (en secondes) - Précise la valeur de temps maximale pour l'analyse d'un
objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois
ce temps écoulé, que l'analyse soit finie ou non.
Niveau d'imbrication des archives - Précise la profondeur maximale d'analyse des archives. Il n'est pas
recommandé de modifier la valeur par défaut (10). Dans des circonstances normales, il n'y a aucune raison de le
faire. Si l'analyse prend fin prématurément en raison du nombre d'archives imbriquées, l'archive restera non vérifiée.
Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers contenus
dans les archives qui doivent être analysés (après extraction). Si l'analyse prend fin prématurément en raison du
nombre d'archives imbriquées, l'archive restera non vérifiée.
81
4.1.7.6 Autre
Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de
fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent
pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de
données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une
certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources
système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos
applications.
Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés,
même ceux qui ne sont pas infectés.
Activer l'optimisation Smart - Sélectionnez cette option afin que les fichiers qui ont déjà été analysés ne soient pas
analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés
après chaque mise à jour de la base de données des signatures de virus.
Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès
d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de
données).
Faire défiler le journal - Cette option permet d'autoriser ou d'interdire le défilement du journal. Si cette option est
sélectionnée, l'information défile vers le haut dans la fenêtre d'affichage.
Afficher la notification de fin d'analyse dans une fenêtre séparée - Ouvre une fenêtre indépendante contenant
l'information sur les résultats d'analyse.
4.1.8 Une infiltration est détectée
Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, y compris les pages Web,
dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.).
Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages
fréquents, etc.), il est recommandé d'effectuer les opérations suivantes :
Ouvrez ESET Mail Security et cliquez sur Analyse de l'ordinateur.
Cliquez sur Smart scan (pour plus d'information, se reporter à la rubriqueAnalyse intelligente 72 )
Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et
nettoyés.
Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et
sélectionnez les cibles à analyser.
À titre d'exemple général de la façon dont les infiltrations sont traitées dans ESET Mail Security, supposons qu'une
infiltration est détectée par la protection en temps réel du système de fichiers qui utilise le niveau de nettoyage par
défaut. Le programme tentera alors de nettoyer ou de supprimer le fichier. Si aucune action n'est prédéfinie pour le
module de protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement.
Les options Nettoyer, Supprimer et Laisser sont généralement offertes. Il n'est pas recommandé de sélectionner
Laisser puisque le ou les fichiers infectés seraient laissés tels quels. La seule exception concerne les situations où
vous êtes sûr que le fichier est inoffensif et a été détecté par erreur.
Nettoyage et suppression - Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code
82
malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le
fichier se compose uniquement de code malveillant, il sera alors supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé
qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système).
Suppression de fichiers dans des archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que
si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées
si elles contiennent aussi des fichiers sains. Cependant, soyez prudent si vous choisissez un nettoyage strict : dans
ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers
qu'elle contient.
4.2 Mise à jour du programme
La mise à jour régulière de ESET Mail Security constitue la prémisse de base pour obtenir le maximum de sécurité. Le
module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la base de
données des signatures de virus et celle des composants système.
En cliquant sur Mettre à jour dans le menu principal, vous pourrez obtenir l'état actuel des mises à jour, y compris
la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. La fenêtre principale
contient également la version de la base de données des signatures de virus. Cet indicateur numérique est un lien
actif vers le site Web d'ESET qui permet de voir toutes les signatures ajoutées pendant cette mise à jour.
De plus, l'option permettant de lancer manuellement le processus de mise à jour - Mettre à jour la base des
signatures de virus est aussi disponible, tout comme les options de configuration de base de la mise à jour comme
le nom d'utilisateur et le mot de passe pour accéder aux serveurs de mise à jour d'ESET.
Cliquez sur le lien Activation de produit pour ouvrir un formulaire d'inscription qui activera votre produit de
sécurité ESET et générera l'envoi d'un message contenant vos données d'authentification (nom d'utilisateur et mot
de passe).
83
REMARQUE : le nom d'utilisateur et le mot de passe vous seront fournis par ESET après l'achat de ESET Mail
Security.
84
4.2.1 Configuration des mises à jour
La section de la configuration des mises à jour permet de préciser l'information sur les sources des mises à jour,
comme les serveurs de mise à jour et les données d'authentification donnant accès à ces serveurs. Par défaut, le
menu déroulant Serveur de mise à jour est défini à Choisir automatiquement pour s'assurer que tous les fichiers
de mise à jour sont automatiquement téléchargés du serveur ESET ayant le plus faible trafic réseau. Vous pouvez
accéder aux options de configuration des mises à jour à partir de l'arborescence de configuration avancée (touche
F5), sous Mettre à jour.
La liste des serveurs de mise à jour disponibles est accessible par l'entremise du menu déroulant Serveurs de mise à
jour. Pour ajouter un nouveau serveur de mise à jour, cliquez sur Modifier... dans la section Mettre à jour les
paramètres du profil sélectionné puis cliquez sur le bouton Ajouter. L'authentification d'accès aux serveurs de
mise à jour est fondée sur le nom d'utilisateur et le mot de passe qui ont été générés et envoyés à l'utilisateur
après l'achat.
85
4.2.1.1 Profils de mise à jour
Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les propriétés
des connexions Internet étant variables, la création de profils de mise à jour devient particulièrement utile pour les
utilisateurs mobiles.
Le menu déroulant Profil sélectionné affiche le profil actuellement sélectionné, soit Mon profil, par défaut. Pour
créer un nouveau profil, cliquez sur le bouton Profils... puis sur le bouton Ajouter... et entrez votre propre nom de
profil. Lors de création d'un nouveau profil, il est possible de Copier les paramètres depuis le profil.
Dans la fenêtre de configuration du profil, vous pouvez préciser le serveur de mise à jour dans une liste de serveurs
disponibles ou ajouter un nouveau serveur. La liste des serveurs de mise à jour existants est accessible par
l'entremise du menu déroulant Serveurs de mise à jour. Pour ajouter un nouveau serveur de mise à jour, cliquez
sur Modifier... dans la section Mettre à jour les paramètres du profil sélectionné, puis cliquez sur le bouton
Ajouter.
4.2.1.2 Configuration avancée des mises à jour
Pour afficher la Configuration avancée des mises à jour, cliquez sur le bouton Configuration.... Les options de
configuration avancée des mises à jour comprennent la configuration du mode de mise à jour Proxy HTTP,
Réseau local et Miroir.
4.2.1.2.1 Mode de mise à jour
L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme.
Dans la section Mise à jour des composants du programme, trois options sont disponibles :
Ne jamais mettre à jour les composants du programme Les nouvelles mises à jour des composants du
programme ne seront pas téléchargées.
Toujours mettre à jour les composants du programme : Les nouvelles mises à jour des composants du
programme seront effectuées automatiquement.
Demander avant de télécharger les composants de programme : L'option par défaut. Vous serez invité à
confirmer ou à refuser les mises à jour des composants du programme lorsqu'elles sont disponibles.
86
Après la mise à jour des composants du programme, il peut être nécessaire de redémarrer votre ordinateur pour
ainsi assurer le fonctionnement complet de tous les modules. La section Redémarrage de l'ordinateur après une
mise à jour des composants du programme vous permet de sélectionner l'une des options suivantes :
Ne jamais redémarrer l'ordinateur
Proposer le redémarrage de l'ordinateur si nécessaire
Si nécessaire, redémarrer l'ordinateur sans avertissement
L'option par défaut est Proposer le redémarrage de l'ordinateur si nécessaire La sélection des options les plus
appropriées dépend des stations de travail sur lesquelles les paramètres seront appliqués. Notez qu'il existe des
différences entre les postes de travail et les serveurs. P. ex., le redémarrage d'un serveur automatiquement après
une mise à jour du programme peut causer de sérieux dommages.
4.2.1.2.2 Serveur mandataire
Dans ESET Mail Security, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence
de la configuration avancée.
Les paramètres du serveur mandataire peuvent tout d'abord être configurés sous Divers > Serveur mandataire. La
sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble
de ESET Mail Security. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion
Internet.
Pour préciser des paramètres de serveur mandataire à ce niveau, cochez la case Utiliser un serveur mandataire,
puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, en y ajoutant le numéro de port
du serveur mandataire.
87
Si la communication avec le serveur mandataire exige une authentification, cochez la case Le serveur mandataire
exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs
correspondants. Cliquez sur le bouton Détecter le serveur mandataire pour détecter automatiquement les
paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés.
REMARQUE : Cette fonctionnalité ne permet pas de récupérer les données d'authentification (nom d'utilisateur et
mot de passe) que vous devez entrer.
Les paramètres du serveur mandataire peuvent aussi être définis dans la Configuration avancée des mises à jour. Ce
paramètre s'applique au profil de mise à jour donné. Vous pouvez accéder aux options de configuration du serveur
mandataire pour un profil donné en cliquant sur l'onglet Proxy HTTP dans Configuration avancée des mises à
jour. Vous aurez accès à l'une des trois options suivantes :
Utiliser les paramètres globaux de serveur mandataire
Ne pas utiliser de serveur mandataire
Connexion via un serveur mandataire (connexion définie par les propriétés de la connexion)
Sélectionner l'option Utiliser les paramètres globaux de serveur mandataire utilisera les options de
configuration du serveur mandataire déjà configurées dans la branche Divers > Serveur mandataire de
l'arborescence de la configuration avancée (comme elle décrite ci-haut, dans cet article).
Sélectionnez l'option Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera
utilisé pour mettre ESET Mail Security à jour.
L'option Connexion via un serveur mandataire devrait être sélectionnée si un serveur mandataire devrait être
88
utilisé pour mettre ESET Mail Security à jour et que ce serveur diffère du serveur indiqué dans les paramètres
globaux (Divers > Serveur mandataire). Dans un tel cas, les paramètres devraient être indiqués ici : adresse du
serveur mandataire, port de communication et nom d'utilisateur et mot de passe utilisés par le serveur
mandataire, au besoin.
Cette option devrait également être sélectionnée si les paramètres du serveur mandataire n'ont pas été configurés
globalement, mais que ESET Mail Security se connectera à un serveur mandataire pour obtenir les mises à jour.
Le paramètre par défaut pour le serveur mandataire est Utiliser les paramètres globaux de serveur mandataire.
4.2.1.2.3 Connexion au réseau local
Lors de la mise à jour depuis un serveur local sous le système d'exploitation NT, une authentification est exigée par
défaut pour chaque connexion réseau. Dans la plupart des cas, un compte système local n'a pas suffisamment de
droits pour accéder au dossier miroir (contenant des copies des fichiers de mise à jour). Dans ce cas, entrez un nom
d'utilisateur et un mot de passe dans la section de configuration des mises à jour ou précisez le compte avec lequel
le programme peut accéder au serveur de mise à jour - miroir.
Pour configurer un tel compte, cliquez sur l'onglet Réseau local. La Se connecter au réseau local comme offre les
options Compte système (par défaut), Utilisateur actuel et Utilisateur spécifié.
Sélectionnez l'option Compte système (par défaut) pour utiliser le compte système pour l'authentification.
Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites
dans la section de configuration des mises à jour.
Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté,
sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de
se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté.
Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour
l'authentification.
Avertissement : Si l'une des options Utilisateur actuel ou Utilisateur spécifié est activée, une erreur peut se
produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données
d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données
d'authentification doivent être entrées comme suit : nom_de_domaine\utilisateur (dans le cas d'un groupe de
travail, entrez nom_de_groupe_de_travail\utilisateur) et le mot de passe de l'utilisateur. La mise à jour de la version
HTTP du serveur local n'exige aucune authentification.
89
4.2.1.2.4 Création de copies de mises à jour - miroir
ESET Mail Security vous permet de créer des copies des fichiers de mise à jour qui peuvent être utilisées pour mettre
à jour les autres stations de travail se trouvant sur le réseau. La mise à jour des postes de travail à partir d'un miroir
optimise l'équilibre de la charge réseau et libère les bandes passantes des connexions Internet.
Les options de configuration du serveur miroir local sont accessibles dans la section (après avoir ajouté une clé de
licence valide dans le gestionnaire de licences qui se trouve dans la section Configuration avancée des mises à jour
ESET Mail Security) dans la section Configuration avancée des mises à jour. Pour accéder à cette section, appuyez
sur la touche F5 et cliquez sur Mettre à jour dans l'arborescence de la configuration avancée, puis cliquez sur le
bouton Configuration... à côté de Configuration avancée des mises à jour et sélectionnez l'onglet Miroir).
La première étape de la configuration du miroir consiste à sélectionner l'option Créer un miroir de mise à jour.
Cocher cette option active d'autres options de configuration du miroir, telles que la manière d'accéder aux fichiers
de mise à jour et le chemin des fichiers miroir.
Les méthodes d'activation du miroir sont décrites en détail dans la section Mise à jour à partir du miroir 91 . Veuillez
noter qu'il existe deux méthodes de base pour configurer le miroir - le dossier miroir des fichiers de mise à jour qui
peut se présenter comme un fichier réseau partagé ou comme un serveur HTTP.
Le dossier réservé au stockage des fichiers de mise à jour du miroir est défini dans la section Dossier de stockage
des fichiers miroir. Cliquez sur Dossier... pour naviguer jusqu'au dossier souhaité sur un ordinateur local ou un
dossier réseau partagé. Si une autorisation pour le dossier indiqué est requise, les données d'authentification
doivent être entrées dans les champs Nom d'utilisateur et Mot de passe. Le nom d'utilisateur et le mot de passe
doivent être entrés dans le format Domaine/Utilisateur ou Workgroup/Utilisateur. N'oubliez pas de fournir les mots de
passe correspondants.
Lors de la configuration du miroir, vous pouvez également préciser les différentes langues des copies de mises à jour
à télécharger. La configuration de la langue de version est accessible dans la section Fichiers - Versions disponibles
.
REMARQUE : Il n'est pas possible de mettre à jour la base antipourriel à partir du miroir. Pour plus de détails sur la
façon de permettre des mises à jour appropriées de la base de données antipourriel, cliquez ici 38 .
90
4.2.1.2.4.1 Mise à jour à partir du miroir
Il existe deux méthodes de base pour configurer le miroir puisque le dossier miroir des fichiers de mise à jour peut se
présenter comme un fichier réseau partagé ou comme un serveur HTTP.
Accès au miroir au moyen d'un serveur HTTP interne
La configuration par défaut, indiquée dans la configuration prédéfinie du programme. Pour accéder au miroir à
l'aide du serveur HTTP, naviguez jusqu'à Configuration avancée des mises à jour (l'onglet Miroir) et sélectionnez
l'option Créer un miroir de mise à jour.
Dans la section Configuration avancée de l'onglet Miroir, vous pouvez préciser le port du serveur où le serveur
HTTP écoutera, ainsi que le type d'authentification utilisé par le serveur HTTP. Ce port est configuré, par défaut, à
2221. L'option d'authentification définit la méthode d'authentification utilisée pour accéder aux fichiers de mise à
jour. Les options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez Basic pour utiliser le codage
base64 avec l'authentification de base du nom d'utilisateur et mot de passe. L'option NTLM fournit un codage
utilisant une méthode de codage fiable. L'utilisateur créé sur le poste de travail partageant les fichiers de mise à jour
sera utilisé pour l'authentification. L'option par défaut est NONE. Elle autorise l'accès aux fichiers des mises à jour
sans exiger d'authentification.
Avertissement : L'accès aux fichiers de mise à jour à l'aide du serveur HTTP exige que le dossier miroir soit sur le
même ordinateur que l'instance de ESET Mail Security qui l'a créé.
Une fois la configuration du miroir terminée, ouvrez les stations de travail et ajoutez un nouveau serveur de mise à
jour au format http://adresse_IP_de votre_serveur:2221. Pour ce faire, suivez les étapes indiquées ci-dessous :
Ouvrez Configuration avancée dans ESET Mail Security et cliquez sur la branche Mettre à jour.
Cliquez sur Modifier… à la droite du menu déroulant Serveurs de mise à jour et ajoutez un nouveau serveur, au
format suivant : http://adresse_IP_de_votre_serveur:2221
Sélectionnez, dans la liste Serveur de mise à jour, le serveur nouvellement ajouté.
Accès au miroir par le partage des systèmes
Un dossier partagé doit d'abord être créé sur un lecteur local ou réseau. Lors de la création du dossier pour le miroir,
il est nécessaire d'octroyer le droit d'« écriture » à l'utilisateur qui va sauvegarder les fichiers dans le dossier et le droit
de « lecture » aux utilisateurs qui vont utiliser le dossier miroir pour la mise à jour d'ESET Mail Security.
Configurez ensuite l'accès au miroir dans la section Configuration avancée des mises à jour (onglet Miroir) en
désactivant l'option Fournir les fichiers de mise à jour par le biais d'un serveur HTTP interne. Cette option est
activée par défaut lors de l'installation du programme.
91
Si le dossier partagé se trouve sur un autre ordinateur du réseau, vous devez préciser les données d'authentification
pour accéder à l'autre ordinateur. Pour préciser les données d'authentification, ouvrez la branche de Configuration
avancée de ESET Mail Security et cliquez sur Mettre à jour. Cliquez sur le bouton Configuration... puis sur l'onglet
Réseau local. Ce paramètre est le même que celui de la mise à jour, comme décrit dans la section Se connecter au
réseau local 89 .
Une fois la configuration du miroir terminée, continuez avec les postes de travail en précisant \\UNC\CHEMIN
comme serveur de mise à jour. Cette opération peut être effectuée à l'aide des opérations suivantes :
Ouvrez Configuration avancée dans ESET Mail Security puis cliquez sur Mettre à jour
Cliquez sur Modifier… à côté de Serveur de mise à jour et ajoutez un nouveau serveur au format \\UNC\PATH.
Sélectionnez, dans la liste Serveurs de mise à jour, le serveur nouvellement ajouté
REMARQUE : Pour un fonctionnement correct, le chemin du dossier miroir doit être précisé comme chemin UNC.
Les mises à jour à partir de lecteurs mappés pourraient ne pas fonctionner.
4.2.1.2.4.2 Résolution des problèmes de miroir de mise à jour
Dans la plupart des cas, les problèmes lors d'une mise à jour depuis un serveur miroir découlent d'une ou de
plusieurs des causes suivantes : une mauvaise spécification des options du dossier miroir, des données
d'authentification incorrectes pour l'accès au dossier miroir, une mauvaise configuration des postes de travail qui
cherchent à télécharger des fichiers de mise à jour du miroir ou une combinaison de ces raisons. Nous donnons cidessous un aperçu des problèmes les plus fréquents qui peuvent se produire lors d'une mise à jour depuis le miroir :
ESET Mail Security signale une erreur de connexion au serveur miroir - probablement causée par un serveur de
mise à jour incorrect (chemin réseau du dossier miroir) à partir duquel les postes de travail locaux téléchargent les
mises à jour. Pour vérifier le dossier, cliquez sur Démarrer puis sur Exécuter avant d'entrer le nom du dossier et de
cliquer sur OK. Le contenu du dossier doit s'afficher.
ESET Mail Security exige un nom d'utilisateur et un mot de passe - probablement causée par l'entrée, dans la
section mise à jour, de données d'authentification incorrectes (Nom d'utilisateur et Mot de passe). Le nom
d'utilisateur et le mot de passe donnent accès au serveur de mise à jour, à partir duquel le programme se
télécharge. Assurez-vous que les données d'authentification sont correctes et entrées dans le bon format. Par
exemple, Domaine/Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots de passe correspondants. Si le
serveur miroir est accessible à « Tous », cela ne veut pas dire que tout utilisateur est autorisé à y accéder. « Tous » ne
veut pas dire tout utilisateur non autorisé, cela veut tout simplement dire que le dossier est accessible à tous les
utilisateurs du domaine. Par conséquent, si le dossier est accessible à « Tous », un nom d'utilisateur du domaine et
un mot de passe sont toujours nécessaires et doivent être entrés dans la configuration des mises à jour.
ESET Mail Security signale une erreur de connexion au serveur miroir - le port de communication défini pour
l'accès au miroir par l'entremise de HTTP est bloqué.
4.2.2 Comment créer des tâches de mise à jour
Les mises à jour peuvent être déclenchées manuellement en cliquant sur Mettre à jour la base de signature de
virus dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mettre à jour, dans le menu
principal.
Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée,
cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Mail Security :
Mise à jour automatique régulière
Mise à jour automatique après une connexion commutée
Mise à jour automatique après ouverture de session utilisateur
Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par
défaut, vous pouvez en créer de nouvelles avec vos propres paramètres. Pour plus d'information sur la création et la
configuration des tâches de mise à jour, se reporter à la section Planificateur 93 .
92
4.3 Planificateur
Le Planificateur est disponible si le mode Avancé est activé dans ESET Mail Security. Le Planificateur se trouve dans
le menu principal de ESET Mail Security, sous Outils. Le Planificateur contient une liste de toutes les tâches
planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé.
Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur :
Mise à jour automatique régulière
Mise à jour automatique après une connexion commutée
Mise à jour automatique après ouverture de session utilisateur
Vérification automatique des fichiers de démarrage (après la connexion de l'utilisateur)
Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base des signatures
de virus)
Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez
avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche à modifier, puis cliquez sur le bouton
Modifier....
93
4.3.1 Pourquoi planifier des tâches
Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La
configuration et les propriétés de ces tâches comprennent des informations telles que la date et l'heure ainsi que
des profils particuliers à utiliser pendant l'exécution de ces tâches.
4.3.2 Création de nouvelles tâches
Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le bouton Ajouter... ou cliquez à droite et
sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles :
Exécuter une application externe
Contrôle des fichiers de démarrage du système
Créer un instantané de l'état de l'ordinateur
Analyse de l'ordinateur à la demande
Mettre à jour
Puisque la mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons comment ajouter
une nouvelle tâche de mise à jour.
Du menu déroulant Tâches planifiées, sélectionnez Mettre à jour. Cliquez sur Suivant et entrez le nom de la tâche
dans le champ Nom de la tâche. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une
fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Selon la fréquence
sélectionnée, vous serez invité à choisir différents paramètres de mise à jour. On peut ensuite définir l'action à
entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les trois options suivantes sont
disponibles :
Attendre le prochain moment planifié
Exécuter la tâche dès que possible
Exécuter immédiatement la tâche si le temps écoulé depuis la dernière exécution excède l'intervalle
précisé (l'intervalle peut être défini à l'aide de la zone de liste déroulante d'intervalle de la tâche)
Dans l'étape suivante, une fenêtre sommaire avec l'information sur la tâche planifiée actuelle est affichée. L'option
Exécuter la tâche avec des paramètres spécifiques devrait être automatiquement activée. Cliquez sur le bouton
Terminer.
Une boîte de dialogue s'ouvre pour permettre de choisir le profil à utiliser avec la tâche planifiée. Vous pouvez
préciser ici un profil primaire et un profil secondaire qui sera utilisé si la tâche ne peut s'exécuter à l'aide du profil
primaire. Confirmez en cliquant sur OK dans la fenêtre Profils de mise à jour. La nouvelle tâche planifiée sera
ajoutée à la liste des tâches planifiées.
94
4.4 Quarantaine
La quarantaine vise principalement à stocker en toute sécurité les fichiers infectés. Ces fichiers doivent être mis en
quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés
par erreur par ESET Mail Security.
Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se
comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent
ensuite être soumis pour analyse au laboratoire d'ESET.
Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et
l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (
ajoutée par l'utilisateur…) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations, par
ex.).
4.4.1 Mise de fichiers en quarantaine
ESET Mail Security envoie automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas annulé
cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier
suspect en cliquant sur le bouton Quarantaine.... Dans ce cas, le fichier d'origine n'est pas supprimé de son
emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin. Il suffit de cliquer avec le
bouton droit dans la fenêtre Quarantaine et de sélectionner Ajouter....
95
4.4.2 Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent être restaurés dans leur emplacement d'origine. Utilisez la fonction
Restaurer pour ce faire. La fonctionnalité Restaurer est disponible dans le menu contextuel en cliquant sur le
fichier donné, dans la fenêtre Quarantaine. Le menu contextuel offre également l'option Restaurer vers qui permet
de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés.
REMARQUE: Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de
l'exclure de l'analyse et de l'envoyer au service à la clientèle d'ESET.
4.4.3 Soumission de fichiers de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté
par erreur (par l'analyse heuristique du code, par ex.) et mis en quarantaine, envoyez ce fichier au laboratoire
d'ESET. Pour soumettre un fichier à la quarantaine, cliquez à droite sur le fichier et sélectionnez Soumettre pour
analyse à partir du menu contextuel.
96
4.5 Fichiers journaux
Les journaux stockent les données connexes à des événements importants : les infiltrations détectées, les journaux
des analyseurs à la demande et résidents et les informations système.
Les journaux antipourriel et d'ajout à la liste grise (qui se trouvent sous d'autres journaux, dans Outils > Fichiers
journaux) contiennent de l'information détaillée sur les messages ayant été analysés et les actions qui ont ensuite
été effectuées sur ces messages. Les journaux peuvent très utiles lorsque vous cherchez des messages non livrés,
lorsque vous tentez de savoir pour quelle raison un message a été indiqué comme pourriel, etc.
97
Antipourriel
Tous les messages catégorisés par ESET Mail Security comme pourriels ou pourriels probables sont indiqués ici.
Description des colonnes :
Heure - Heure d'entrée dans le journal antipourriel.
Expéditeur - Adresse de l'expéditeur.
Destinataire - Adresse du destinataire.
Objet - Objet du message.
Note - Note de pourriel attribuée au message (entre 0 et 100).
Motif - Indicateur qui fait que le message a été classifié comme pourriel. L'indicateur affiché est le plus élevé. Si vous
voulez voir les autres indicateurs, double-cliquez sur l'entrée. La fenêtre Motif s'ouvrira et affichera tous les autres
indicateurs, triés par ordre descendant d'importance.
URL réputée celle d'un polluposteur
Les URL dans des messages peuvent souvent indiquer qu'il s'agit d'un
pourriel.
Formatage HTML (polices de
caractères, couleurs, etc.)
Le formatage des éléments dans la partie HTML du message montre des
signes caractéristiques du pourriel (types et taille des polices de
caractères, couleur, etc.)
Astuces de courrier indésirable :
obscurcissement
Les mots que l'on retrouve généralement dans le pourriel tendent à être
masqués en utilisant d'autres caractères. Un exemple type est le mot
« Viagra » souvent écrit « V1agra » pour éviter la détection antipourriel.
Pourriel avec type d'image HTML
Les pourriels sont souvent envoyés sous forme d'image puisqu'il s'agit là
d'une autre stratégie de dissimulation visant à contourner les méthodes
de détection antipourriel. Ces images contiennent généralement des
liens interactifs vers des pages Web.
Formatage de l'URL avec domaine du
service d'hébergement
Les adresses URL contiennent le domaine du service d'hébergement.
Mot-clé dans les pourriels...
Le message contient des mots que l'on retrouve généralement dans les
pourriels.
Incohérence dans l'en-tête du courriel L'information indiquée dans l'en-tête a été modifiée pour pouvoir passer
pour une source autre que celle de l'expéditeur original.
98
Virus
Le message contient une pièce jointe suspecte.
Hameçonner
Le message contient du texte que l'on retrouve généralement dans les
messages à des fins de hameçonnage.
Réplique
Le message contient du texte que l'on retrouve généralement dans les
pourriels visant généralement à offrir des copies de produits.
Indice de pourriel générique
Le message contient des mots ou des caractères que l'on retrouve
généralement dans les pourriels, par exemple « Cher ami », « Cher
gagnant », « !!! », etc.
Indice de courriel légitime
Un indicateur ayant un effet contraire aux autres indicateurs mentionnés
ici. Il analyse les caractéristiques afin d'y trouver des messages réguliers,
sollicités. Il abaisse la note globale attribuée au pourriel.
Indice de pourriel non spécifique
Le message contient d'autres éléments de pourriel, comme du codage
base64.
Phrases communes dans les pourriels
D'autres phrases types que l'on retrouve dans les pourriels.
Cette URL est inscrite sur la liste noire L'URL indiquée dans le message est indiquée sur la liste noire.
Cette adresse IP %s est inscrite sur la
liste rouge en temps réel (%d%%)
L'adresse IP ... est indiquée sur une liste RBL.
URL %s est inscrite sur la liste noire des L'adresse URL ... est indiquée sur la liste noire des DNS.
DNS
URL %s est inscrite sur la liste rouge en L'adresse URL ... est inscrite sur la liste rouge en temps réel ou le serveur
temps réel ou le serveur n'a pas
n'a pas l'autorisation requise pour expédier des messages. Les adresses
l'autorisation d'expédier le message
faisant partie du chemin que prend le message sont vérifiées en fonction
de la liste rouge en temps réel (RBL). La vérification de la dernière adresse
visera les droits de connectivité aux serveurs de messagerie publics. S'il
est impossible de détecter des droits de connectivité valides, l'adresse
sera alors ajoutée à la liste LBL. Le texte suivant sera indiqué dans le
champ Motif des messages marqués comme pourriel, en raison d'un
indicateur LBL : « server is not entitled to send mail » (le serveur n'a pas le
droit d'expédier du courriel).
Action - Action effectuée sur le message. Actions possibles :
Conservé
Aucune action n'a été effectuée sur le message.
Mis en quarantaine
Le message a été mis en quarantaine.
Nettoyé et mis en
quarantaine
Le virus a été supprimé du message et le message a été mis en quarantaine.
Refusé
Le message a été refusé et la réponse de refus SMTP
l'expéditeur.
Supprimé
Le message a été supprimé par suppression automatique
20
a été envoyée à
20
.
Reçu - Heure à laquelle le serveur a reçu le message.
REMARQUE : Si les messages ont été reçus par l'entremise d'un serveur de messagerie, les heures indiqués dans les
champs Heure et Reçu seront pratiquement identiques.
99
Ajout à la liste grise
Tous les messages évalués à l'aide de la méthode d'ajout à la liste grise sont inscrits dans ce journal.
Description des colonnes :
Heure - Heure d'entrée dans le journal antipourriel.
Domaine HELO - Nom de domaine utilisé par le serveur d'expédition pour s'identifier par rapport au serveur de
réception.
Adresse IP - Adresse IP de l'expéditeur.
Expéditeur - Adresse de l'expéditeur.
Destinataire - Adresse du destinataire.
Action - Peut contenir les états suivants :
Refusé
Le message entrant a été refusé conformément aux caractéristiques de base de
l'ajout à la liste grise (première tentative de livraison).
Refusé (pas encore vérifié)
Le message entrant a été livré de nouveau par le serveur d'envoi, mais le délai de
rejet de la connexion n'est pas encore écoulé (Délai pour le refus de la connexion
initiale (min)).
Vérifié
Le message entrant a été livré à plusieurs reprises par le serveur d'envoi, le Délai
pour le refus de la connexion initiale (min) est écoulé et le message a donc été
vérifié et livré. Se reporter aussi à la rubriqueAgent de transport 39 .
Temps restant - Délai restant avant que le Délai pour le refus de la connexion initiale ne soit écoulé.
Menaces détectées
Le journal des menaces contient de l'information sur les infiltrations détectées par les modules de ESET Mail
Security. Cela inclut l'heure de détection, le type d'analyseur, le type d'objet, le nom de l'objet, le nom de
l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été
détectée. Utilisez le menu contextuel (cliquez avec le bouton droit sur l'élément) pour copier ou supprimer une ou
plusieurs lignes du journal (ou supprimer tout le journal).
Événements
Le journal d'événements contient de l'information sur les événements qui se sont produits dans le programme. Cela
peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme.
100
Analyse de l'ordinateur à la demande
Le journal d'analyses stocke l'information sur les résultats des analyses manuelles et planifiées. Chaque ligne
correspond à un seul contrôle d'ordinateur. Il comprend les détails suivants : date et heure d'analyse, nombre total
de fichiers analysés, infectés et nettoyés ainsi que l'état actuel de l'analyse.
Dans les Journaux d'analyses à la demande, double-cliquez sur une entrée du journal pour afficher son contenu
détaillé dans une fenêtre séparée.
Utilisez le menu contextuel (cliquez avec le bouton droit) pour copier une ou plusieurs entrées marquées (dans tous
les types de journaux).
4.5.1 Filtrage des journaux
Le filtrage des journaux est cette fonctionnalité utile qui vous permet de trouver des enregistrements dans les
fichiers journaux, tout particulièrement lorsqu'il y a un très grand nombre d'enregistrements et qu'il est difficile de
trouver l'information particulière dont vous avez besoin.
Pour utiliser le filtrage, vous pouvez saisir une chaîne de caractères indiquant les données à filtrer, préciser les
colonnes dans lesquelles chercher, sélectionner les types d'enregistrements et définir la période pour limiter le
nombre d'enregistrements. Lorsque vous précisez certaines options de filtrage, seuls les enregistrements
pertinents (selon ces critères de recherche) seront affichés dans la fenêtre Fichiers journaux pour vous permettre
d'y accéder rapidement et facilement.
Pour ouvrir la fenêtre Filtrage des journaux, appuyez une fois sur le bouton Filtrer... dans Outils > Fichiers
journaux ou utilisez le raccourci Ctrl + Maj + F.
REMARQUE : Pour trouver un enregistrement particulier, vous pouvez utiliser la fonctionnalité Trouver dans le
journal 102 seule ou la combiner avec le filtrage des journaux.
Lorsque vous précisez certaines options de filtrage, seuls les enregistrements pertinents (selon ces critères de
recherche) seront affichés dans la fenêtre des fichiers journaux. Cela permettra de filtrer et de limiter les
enregistrements affichés, ce qui vous permettra de trouver plus facilement ce que vous cherchez. Plus les options
de filtrage utilisées sont précises, moins vous obtiendrez de résultats.
Quoi : - Saisissez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette
chaîne de caractères seront affichés. Le reste des enregistrements sera masqué pour une meilleure lisibilité.
Rechercher dans les colonnes : - Sélectionnez les colonnes dans lesquelles le filtrage sera effectué. Vous pouvez
cocher une ou plusieurs colonnes à utiliser dans le filtrage. Par défaut, toutes les colonnes seront cochées :
Heure
Module
Événement
Utilisateur
101
Types d'enregistrement : - Vous permet de choisir le type d'enregistrement à afficher. Vous pouvez choisir un type
d'enregistrement particulier, plusieurs types d'enregistrements à filtrer en même temps ou tous les types
d'enregistrements (valeur par défaut) :
Diagnostic
Informations
Avertissement
Erreur
Critique
Période : - Utilisez cette option pour que les enregistrements soient filtrés par période. Vous pouvez choisir l'une
des options suivantes :
Journal entier (valeur par défaut) - Ne limite pas le filtrage à la période et affiche plutôt l'ensemble du journal.
Dernier jour
Dernière semaine
Dernier mois
Intervalle - Lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et
heure) de création des enregistrements à afficher.
En plus des paramètres de filtrage indiqués ci-dessus, vous avez aussi accès à d'autres options :
Mots entiers seulement - N'affiche que les enregistrements qui comprennent la chaîne complète de caractères
indiquée dans la boîte de texte Quoi.
Sensible à la casse - N'affiche que les enregistrements qui correspondent parfaitement à la chaîne de caractères
indiquée dans la boîte de texte Quoi (majuscules et minuscules incluses).
Activer le filtrage intelligent - Utilisez cette option pour laisser ESET Mail Security effectuer le filtrage en utilisant
ses propres méthodes.
Une fois toutes les options de filtrage configurées, appuyez sur le bouton OK pour appliquer le filtre. La fenêtre
Fichiers journaux n'affichera que les enregistrements qui correspondent aux options de filtrage.
4.5.2 Trouver dans le journal
En plus du filtrage des journaux 101 , vous pouvez également utiliser la fonctionnalité de recherche dans les fichiers
journaux, ainsi que l'utiliser indépendamment du filtrage des journaux. Cela est utile lorsque vous cherchez des
enregistrements particuliers dans les journaux. Tout comme le filtrage des journaux, cette fonctionnalité de
recherche vous aidera à trouver l'information que vous cherchez, tout particulièrement lorsqu'il y a un très grand
nombre d'enregistrements.
Lorsque vous utilisez la fonction Trouver dans le journal, vous pouvez saisir une chaîne de caractères indiquant quoi
trouver, préciser les colonnes dans lesquelles chercher, sélectionner les types d'enregistrement à chercher ainsi
que définir la période dans laquelle effectuer une recherche pour trouver les enregistrements correspondant à
différents événements. Lorsque vous précisez certaines options de recherche, seuls les enregistrements pertinents
(selon ces critères de recherche) feront l'objet d'une recherche dans la fenêtre des fichiers journaux.
Pour effectuer une recherche dans les journaux, ouvrez la fenêtre Trouver dans le journal en appuyant sur les
touches CTRL et F.
REMARQUE : Vous pouvez aussi utiliser conjointement la fonctionnalité Trouver dans le journal avec le filtrage des
journaux 101 . Vous pouvez d'abord limiter le nombre d'enregistrements à l'aide de la fonction de filtrage des
journaux puis effectuer une recherche dans les enregistrements filtrés.
102
Quoi : - Saisissez une chaîne de caractères (mot ou partie d'un mot). Seuls les enregistrements contenant cette
chaîne de caractères seront affichés. Le reste des enregistrements sera omis.
Rechercher dans les colonnes : - Sélectionnez les colonnes dans lesquelles la recherche sera effectuée. Vous
pouvez cocher une ou plusieurs colonnes à utiliser dans la recherche. Par défaut, toutes les colonnes seront
cochées :
Heure
Module
Événement
Utilisateur
Types d'enregistrement : - Vous permet de choisir le type d'enregistrement à chercher. Vous pouvez choisir un
type d'enregistrement particulier, plusieurs types d'enregistrements parmi lesquels effectuer la recherche en même
temps ou tous les types d'enregistrements (valeur par défaut) :
Diagnostic
Informations
Avertissement
Erreur
Critique
Période : - Utilisez cette option pour trouver des enregistrements créés uniquement pendant cette période précise.
Vous pouvez choisir l'une des options suivantes :
Journal entier (valeur par défaut) - ne limite pas la recherche à la période, cherche plutôt dans l'ensemble du
journal
Dernier jour
Dernière semaine
Dernier mois
Intervalle - lorsque vous sélectionnez cette option, vous pouvez également préciser la période exacte (date et
heure) pendant laquelle les enregistrements ont été créés.
En plus des paramètres de recherche indiqués ci-dessus, vous avez aussi accès à d'autres options :
Mots entiers seulement - Ne trouve que les enregistrements qui comprennent la chaîne complète de caractères
indiquée dans la boîte de texte Quoi.
Sensible à la casse - Ne trouve que les enregistrements qui correspondent parfaitement à la chaîne de caractères
indiquée dans la boîte de texte Quoi (majuscules et minuscules inclus).
Rechercher vers le haut - Effectue la recherche, de la position actuelle du curseur vers le haut.
Une fois que vous aurez configuré les options de recherche, cliquez sur le bouton Trouver pour lancer la recherche.
La recherche s'arrête lorsqu'elle trouve le premier enregistrement correspondant. Cliquez de nouveau sur le bouton
Trouver pour poursuivre la recherche. La recherche dans les fichiers journaux s'effectue du haut vers le bas, à partir
de la position actuelle du curseur (l'enregistrement surligné).
103
4.5.3 Maintenance des journaux
Vous pouvez accéder à la configuration de journalisation de ESET Mail Security à partir de la fenêtre principale du
programme. Cliquez sur Configuration > Accéder à l'arborescence de la configuration avancée complète... >
Outils > Fichiers journaux. Vous pouvez préciser les options suivantes pour les fichiers journaux :
Supprimer automatiquement les entrées - Les entrées de journal plus anciennes que le nombre de jours précisé
sont automatiquement supprimées.
Optimiser automatiquement les fichiers journaux Active la défragmentation automatique des fichiers
journaux en cas de dépassement du pourcentage indiqué d'entrées non utilisées.
Niveau de détails minimum dans les journaux Précise le niveau de verbosité de la journalisation. Options
disponibles :
- Entrées de diagnostic - Consigne l'information requise pour affiner le programme et toutes les entrées préalables.
- Entrées informatives - Enregistre des messages informatifs, y compris les messages de mise à jour réussie ainsi
que toutes les entrées préalables.
- Avertissements - Enregistre les erreurs critiques et les messages d'avertissement.
- Erreurs - Seuls les messages tels que « Erreur de téléchargement de fichier » et erreurs critiques sont enregistrés.
- Avertissements critiques - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus,
etc.).
104
4.6 ESET SysInspector
4.6.1 Introduction à ESET SysInspector
ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de
façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées
de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une
incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant.
Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée de la solution ESET Security ou en
téléchargeant la version autonome (SysInspector.exe) du site Web d'ESET. Les deux versions offrent les mêmes
fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont
gérées. Tant la version téléchargée que la version intégrée permettent d'exporter des instantanés du système vers
un fichier .xml pour ensuite enregistrer le tout sur le disque. Cependant, la version intégrée vous permet de stocker
vos instantanés directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Pour plus de
détails, consultez la section ESET SysInspector dans ESET Mail Security 116 .
Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à
quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre
d'applications installées.
4.6.1.1 Lancement de ESET SysInspector
Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé
du site Web d'ESET. Si vous avez déjà installé une des solutions ESET Security, vous pouvez exécuter ESET
SysInspector directement du menu Démarrer (Programmes > ESET > ESET Mail Security).
Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes selon
le matériel et les données qui doivent être colligées.
105
4.6.2 Interface utilisateur et utilisation de l'application
À des fins de clarté, la fenêtre principale est divisée en quatre sections principales, soit les Contrôles du programme
(1) situés dans le haut de la fenêtre principale, la fenêtre Navigation (3) à la gauche, la fenêtre Description (2) à
droite, au centre, et la fenêtre Détails (4) qui se trouve à droite, dans le bas de la fenêtre principale. La section État
du journal énumère les paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une
comparaison, etc.).
4.6.2.1 Contrôles du programme
Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector.
Fichier
En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure
ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal
approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur
actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.).
REMARQUE : Vous pouvez ouvrir des rapports de ESET SysInspector précédemment stockés en les glissantdéplaçant vers la fenêtre principale.
Arborescence
Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service.
Liste
Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la
recherche de données en ligne.
Aide
Contient des données sur l'application et ses fonctions.
106
Détail
Ce paramètre influence l'information affichée dans la fenêtre principale pour rendre l'information plus facile à
utiliser. En mode « de base », vous avez accès aux données utilisées pour trouver des solutions à des problèmes
courants de votre système. En mode « Moyen », le programme affiche des détails moins utilisés, tandis qu'en mode
Complet, ESET SysInspector affiche toutes les données nécessaires pour résoudre des problèmes très précis.
Filtrage des éléments
Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans
votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le
curseur est positionné à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la
droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche
que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné à droite, le programme
n'affiche que les éléments nuisibles connus.
Tous les éléments dans la plage de risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez
pas une solution de sécurité d'ESET, il est recommandé que vous analysiez votre système avec ESET Online Scanner
si ESET SysInspector a trouvé un tel élément. ESET Online Scanner est un service gratuit.
REMARQUE : Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à
celle du curseur Niveau de risque.
Rechercher
La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de
celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description.
Retour
En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la
fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur
Précédent et Suivant.
Section d'état
Affiche le nœud actuel dans la fenêtre Navigation.
Important : Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque
comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous
pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou
inutiles.
4.6.2.2 Naviguer dans ESET SysInspector
ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails
supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour
ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez à côté de son nom. Tandis que vous parcourez
l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour
chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il
se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails.
Les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les
fenêtres Description et Détails sont présentées ci-dessous.
Processus en cours
Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du
rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que
les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application,
le niveau de risque du fichier, etc.
La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description,
telles que la taille du fichier ou son hachage.
REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants fonctionnant 24
heures sur 24 et 7 jours sur 7 et assurant des fonctions de base et vitales pour d'autres applications utilisateur. Dans
107
certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier
commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour
le système.
Connexions réseau
La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du
protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application
est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS.
La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description,
telles que la taille du fichier ou son hachage.
Entrées de registre importantes
Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système,
telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur
(BHO), etc.
Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails
peut également présenter des détails supplémentaires.
Services
La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez
contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre
Détails.
Pilotes
Liste des pilotes installés dans le système.
Fichiers critiques
La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows.
Tâches du planificateur système
Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure
spécifié.
Informations système
Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les
droits de l'utilisateur définis et les journaux d'événements système.
Détails du fichier
Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les
fichiers s'affichent dans les fenêtres Description et Détails.
À propos de
Information sur la version de ESET SysInspector et la liste des modules du programme.
4.6.2.2.1 Raccourcis clavier
Raccourcis clavier utilisables dans ESET SysInspector :
Fichier
Ctrl + O
Ctrl + S
Ouvre le journal existant
Enregistre les journaux créés
Générer
Ctrl + G
Ctrl + H
108
crée un instantané de l'état de l'ordinateur
crée un instantané de l'état de l'ordinateur qui peut également contenir des renseignements sensibles
Filtrage des éléments
1, O
2
3
4, U
5
6
7, B
8
9
+
Ctrl + 9
Ctrl + 0
Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent
Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent
Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent
Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent
Risqué, les éléments présentant un niveau de risque de 9 s'affichent
Abaisse le niveau de risque
Augmente le niveau de risque
Mode de filtrage, niveau équivalent ou supérieur
Mode de filtrage, niveau équivalent uniquement
Affichage
Ctrl + 5
Ctrl + 6
Ctrl + 7
Ctrl + 3
Ctrl + 2
Ctrl + 1
Retour
arrière
Barre
d'espace
Ctrl + W
Ctrl + Q
Affichage par fournisseur, tous les fournisseurs
Affichage par fournisseur, uniquement Microsoft
Affichage par fournisseur, tous les autres fournisseurs
Affiche tous les détails
Affiche un niveau de détail moyen
Affichage de base
Revient un pas en arrière
Avance d'un pas
Développe l'arborescence
Réduit l'arborescence
Autres contrôles
Ctrl + T
Ctrl + P
Ctrl+A
Ctrl + C
Ctrl + X
Ctrl + B
Ctrl + L
Ctrl + R
Ctrl + Z
Ctrl + F
Ctrl + D
Ctrl + E
Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la
recherche
Affiche des données de base sur un élément
Affiche les données complètes sur un élément
Copie l'arborescence des éléments actuelle
Copie des éléments
Recherche des données concernant les fichiers sélectionnés sur Internet
Ouvre le dossier dans lequel se trouve le fichier sélectionné
Ouvre l'entrée correspondante dans l'Éditeur du registre
Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier)
Bascule vers le champ de recherche
Ferme les résultats de la recherche
Exécute le script de service
Comparaison
Ctrl + Alt + O
Ctrl + Alt + R
Ctrl + Alt + 1
Ctrl + Alt + 2
Ctrl + Alt + 3
Ctrl + Alt + 4
Ctrl + Alt + 5
Ctrl + Alt + C
Ctrl + Alt + N
Ctrl + Alt + P
Ouvre le journal d'origine/comparatif
Annule la comparaison
Affiche tous les éléments
N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel
N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal
précédent
N'affiche que les éléments remplacés (fichiers inclus)
N'affiche que les différences entre journaux
Affiche la comparaison
Affiche le journal actuel
Affiche le journal précédent
Divers
F1
Affiche l'aide
109
Alt + F4
Alt + Maj + F4
Ctrl + I
Ferme le programme
Ferme le programme sans demander de confirmation
Consigne les statistiques
4.6.2.3 Comparer
La fonctionnalité Comparer permet de comparer deux journaux existants. Elle génère un ensemble d'éléments non
communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au
système. Elle peut, par exemple, être utilisée pour détecter l'activité d'un code malveillant.
Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Accédez à Fichier > Enregistrer
le journal pour enregistrer le journal dans un fichier. Vous pourrez ensuite ouvrir et afficher ces fichiers journaux.
Pour ouvrir un journal existant, utilisez Fichier > Ouvrir le journal. Dans la fenêtre principale du programme, ESET
SysInspector affiche toujours un seul journal à la fois.
L'avantage de comparer deux journaux est que vous pouvez voir un journal courant actif ainsi qu'un journal
enregistré dans un fichier. Pour comparer des journaux, utilisez l'option Fichier > Comparer les journaux, puis
cliquez sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres
principales du programme. Le journal comparatif n'affichera que les différences entre les deux journaux.
REMARQUE : Si vous comparez deux fichiers journaux, sélectionnez Fichier > Enregistrer le journal, puis
enregistrez le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ensuite ce fichier, les
journaux qu'il contient seront alors automatiquement comparés.
À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux
comparés.
Les éléments marqués du signe
Les éléments marqués du signe
ne figurent que dans le journal actif et sont absents du journal comparatif ouvert.
ne figurent que dans le journal actif et sont absents du journal comparatif ouvert.
Description de tous les symboles qui peuvent s'afficher à côté des éléments :
Nouvelle valeur, absente du journal précédent.
La section de l'arborescence contient de nouvelles valeurs.
Valeur supprimée, présente uniquement dans le journal précédent.
La section de l'arborescence contient des valeurs supprimées.
La valeur ou le fichier a été modifié.
La section de l'arborescence contient des valeurs ou fichiers modifiés.
Le niveau de risque a augmenté; il était inférieur dans le journal précédent.
Le niveau de risque a augmenté; il était inférieur dans le journal précédent.
La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux
comparés.
Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement.
Exemple :
générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé
précédent.xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et laissez-le générer un
nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml.
Pour suivre les différences entre ces deux journaux, accédez à Fichier > Comparer les journaux. Le programme crée
alors un journal comparatif montrant les différences entre les journaux.
Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante :
110
SysIsnpector.exe actuel.xml précédent.xml
4.6.3 Paramètres de la ligne de commande
ESET SysInspector permet de générer des rapports à partir de la ligne de commande, à l'aide des paramètres
suivants :
/gen
/privacy
/zip
/silent
/help, /?
Génère un rapport directement à partir de la ligne de commande sans lancer la GUI.
Génère un rapport excluant les renseignements sensibles.
Enregistre le rapport obtenu directement sur le disque, dans un fichier compressé.
Supprime l'affichage de la barre de progression de génération du journal.
Affiche des données sur les paramètres de ligne de commande.
Exemples
Pour charger un journal particulier directement dans le navigateur, utilisez la commande suivante : SysInspector.exe
"c:\clientlog.xml"
Pour générer un rapport dans l'emplacement actuel, utilisez la commande suivante : SysInspector.exe /gen
Pour générer un rapport dans un dossier particulier, utilisez la commande suivante : SysInspector.exe /gen="c:\folder\"
Pour générer un rapport dans un fichier/emplacement particulier, utilisez la commande suivante : SysInspector.exe /
gen="c:\folder\mynewlog.xml"
Pour générer un rapport excluant des renseignements sensibles directement dans un fichier compressé, utilisez la
commande suivante : SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip
Pour comparer deux journaux, utilisez la commande suivante : SysInspector.exe "current.xml" "original.xml"
REMARQUE : Si le nom du fichier ou du dossier contient une espace, il convient de le mettre entre guillemets.
4.6.4 Script de service
Un script de service est un outil permettant de fournir de l'aide aux clients qui utilisent ESET SysInspector en
retirant facilement les objets indésirables du système.
Un script de service permet à l'utilisateur d'exporter le journal de ESET SysInspector ou des parties de celui-ci. Après
l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le
journal modifié pour supprimer les objets marqués.
Un script de service convient pour des utilisateurs chevronnés disposant d'une expérience dans le domaine du
diagnostic des incidents système. Des modifications non qualifiées peuvent entraîner des dommages au système
d'exploitation.
Exemple :
si vous soupçonnez une infection de votre ordinateur par un virus non détecté par votre programme antivirus,
suivez les instructions pas à pas ci-dessous :
Exécutez ESET SysInspector pour générer un nouvel instantané système.
Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur Ctrl, puis sélectionnez
le dernier élément pour les marquer tous.
Cliquez à droite sur les objets sélectionnés et sélectionnez l'option de menu contextuel Exporter les sections
sélectionnées dans un script de service.
Les objets sélectionnés sont exportés dans un nouveau journal.
Voici l'étape la plus importante de la procédure : ouvrez le nouveau journal, puis modifiez l'attribut en + pour tous
les objets à supprimer. Faites bien attention de ne pas marquer d'objets ou de fichiers importants pour le
fonctionnement du système d'exploitation.
Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script et entrez le chemin vers votre script.
Cliquez sur OK pour exécuter le script.
111
4.6.4.1 Génération d'un script de service
Pour générer un script, cliquez à droite sur tout élément de l'arborescence de menu (dans le volet de gauche) de la
fenêtre principale de ESET SysInspector . Du menu contextuel, sélectionnez soit l'option Exporter toutes les
sections dans un script de service ou Exporter les sections sélectionnées dans un script de service.
REMARQUE : Il n'est pas possible d'exporter un script de service lorsque deux journaux sont comparés.
4.6.4.2 Structure du script de service
Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de
l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués
dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne
devrait pas être modifiée.
Le reste du fichier est divisé en sections dans lesquelles certains éléments peuvent être modifiés (en remplacement
de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le
caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de
l'autre par une ligne vide. Chaque section comporte un numéro et un titre.
01) Processus en cours
Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est
identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*).
Exemple :
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus
s'arrêtera à l'exécution du script.
02) Modules chargés
Cette section dresse la liste des modules système actuellement utilisés.
Exemple :
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra
les processus utilisant ce module particulier et les arrêtera.
03) Connexions TCP
Cette section contient de l'information sur les connexions TCP existantes.
Exemple :
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System
[...]
Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP
marquées et fermera alors l'interface, ce qui libérera des ressources système.
04) Points d'extrémité UDP
Cette section contient de l'information sur les points d'extrémité UDP.
112
Exemple :
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP
marqués et fermera l'interface.
05) Entrées de serveur DNS
Cette section contient de l'information sur la configuration actuelle du serveur DNS.
Exemple :
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script.
06) Entrées de registre importantes
Cette section contient de l'information sur les entrées de registre importantes.
Exemple :
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors
de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie
d'entrée et la valeur clé, dans le registre particulier.
07) Services
Cette section dresse la liste des services enregistrés dans le système.
Exemple :
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup:
Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup:
Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup:
Manual
[...]
Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script.
08) Pilotes
Cette section dresse la liste des pilotes installés.
Exemple :
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne
s'autorisent pas à être arrêtés.
113
09) Fichiers critiques
Cette section contient de l'information sur les fichiers critiques au système d'exploitation.
Exemple :
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine.
4.6.4.3 Exécution des scripts de service
Marquez tous les éléments voulus avant d'enregistrer et de fermer le script. Exécutez le script modifié directement à
partir de la fenêtre principale de ESET SysInspector en sélectionnant l'option Exécuter le script de service du menu
Fichier. Lorsque vous ouvrez un script, le programme affiche l'invite suivante : Voulez-vous vraiment exécuter le
script de service « %Scriptname% »? Une fois la sélection confirmée, un autre avertissement peut s'afficher pour
vous indiquer que le script de service que vous tentez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer
le script.
Une boîte de dialogue confirmera que le script a bien été exécuté.
Si le script ne peut être que partiellement traité, une fenêtre de dialogue comportant le message suivant
s'affichera : Le script de service n'a été exécuté que partiellement. Voulez-vous voir le rapport d'erreur?
Sélectionnez Oui pour afficher un rapport d'erreurs indiquant les opérations n'ayant pas été exécutées.
Si le script n'a pas été reconnu, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de
service sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager
gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et en effectuer les
actions? Cela peut découler des incohérences dans le script (en-tête endommagé, titre de section endommagé,
ligne vide manquante entre les sections, etc.). Vous pourrez soit rouvrir le fichier de script et corriger les erreurs du
script ou créer un nouveau script de service.
4.6.5 FAQ
L'exécution de ESET SysInspector exige-t-elle des privilèges d'administrateur?
Si l'exécution de ESET SysInspector n'exige pas de privilèges d'administrateur, certaines données recueillies ne sont
accessibles qu'à partir d'un compte Administrateur. À noter que si vous l'exécutez en tant qu'utilisateur standard ou
utilisateur avec accès restreint, il colligera moins de données sur l'environnement d'exploitation.
ESET SysInspector crée-t-il un fichier journal?
ESET SysInspector peut créer un fichier journal de la configuration de votre ordinateur. Pour en enregistrer un,
sélectionnez Fichier > Enregistrer le journal, à partir du menu principal. Les journaux sont enregistrés en format
XML. Par défaut, les fichiers sont enregistrés dans le dossier %USERPROFILE%\Mes documents\, conformément à la
convention de dénomination de fichier « SysInpsector-%COMPUTERNAME%-AAMMJJ-HHMM.XML ». Vous pouvez
modifier l'emplacement et le nom du fichier journal avant de l'enregistrer.
Comment afficher le fichier journal de ESET SysInspector?
Pour afficher un fichier journal créé par ESET SysInspector, exécutez le programme, puis, dans le menu principal,
sélectionnez Fichier > Ouvrir le journal. Vous pouvez également glisser et déplacer des fichiers journaux vers
l'application ESET SysInspector . Si vous devez consulter souvent les fichiers journaux de ESET SysInspector, il est
recommandé de créer un raccourci vers l'exécutable SYSINSPECTOR.EXE sur le Bureau; vous pourrez ensuite glisser
et déplacer des fichiers journaux sur le raccourci pour les afficher. Pour des raisons de sécurité, Windows Vista/7
114
peut ne pas permettre le glisser-déplacer entre des fenêtres qui ont des autorisations de sécurité différentes.
Existe-t-il une spécification pour le format du fichier journal? Existe-t-il un kit de développement logiciel
(SDK)?
À l'heure actuelle, il n'existe ni spécification pour le fichier journal ni SDK, car le développement du programme se
poursuit. Après la publication du programme, il est possible que nous proposions ces éléments en fonction des
commentaires et de la demande de la clientèle.
Comment ESET SysInspector évalue-t-il le risque lié à un objet particulier?
Le plus souvent, ESET SysInspector affecte des niveaux de risque aux objets (fichiers, processus, clés de registre,
etc.) à l'aide d'une série de règles heuristiques qui tiennent compte des caractéristiques de chaque objet, puis
pondèrent son potentiel d'activité nuisible. Un niveau de risque variant entre 1 - Bon (vert) et 9 - Risqué (rouge) sera
ensuite attribué aux objets, en fonction de cette heuristique. Les sections du volet de navigation de gauche portent
des couleurs indiquant le niveau de risque le plus élevé des objets qu'elles contiennent.
Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il qu'un objet est dangereux?
Les appréciations de ESET SysInspector ne garantissent pas qu'un objet est malveillant puisqu'une telle
détermination relève plutôt de la compétence d'un expert en sécurité. ESET SysInspector est conçu pour fournir une
appréciation rapide destinée aux experts en sécurité, afin de leur indiquer les objets au comportement inhabituel
qui nécessitent un examen plus approfondi.
Pourquoi ESET SysInspector se connecte-t-il à Internet lors de son exécution?
Comme de nombreuses applications, ESET SysInspector est porteur d'une signature numérique, appelée
« certificat », garantissant que ce logiciel a été publié par ESET et n'a fait l'objet d'aucune modification. Pour vérifier
la validité du certificat, le système d'exploitation contacte une autorité de certification pour vérifier l'identité de
l'éditeur du logiciel. Ce comportement est normal pour tous les programmes porteurs d'une signature numérique
sous Microsoft Windows.
Qu'est-ce que la technologie Anti-Stealth?
La technologie Anti-Stealth permet une détection efficace des rootkits.
Si le système est attaqué par un code malveillant se comportant comme un rootkit, l'utilisateur peut être exposé à
la perte ou au vol de données. À défaut d'outil approprié, il est quasiment impossible de détecter les rootkits.
Pourquoi des fichiers marqués comme « Signé par MS » ont-ils parfois aussi une entrée « CompanyName »
différente?
Lors d'une tentative d'identification de la signature numérique d'un fichier exécutable, ESET SysInspector vérifie
d'abord si le fichier contient une signature numérique. Si une signature numérique est détectée, cette information
sera utilisée pour valider le fichier. Si aucune signature numérique n'est trouvée, ESI commence à rechercher le
fichier CAT correspondant (Security Catalog - %systemroot%\system32\catroot) qui contient l'information sur le fichier
exécutable traité. Si le fichier CAT approprié est détecté, sa signature numérique est appliquée dans le processus de
validation de l'exécutable.
C'est pourquoi des fichiers marqués comme « Signé par MS » ont parfois une entrée « CompanyName » différente.
Exemple :
Windows 2000 comprend l'application HyperTerminal située dans C:\Program Files\Windows NT. Le principal fichier
exécutable de l'application n'inclut aucune signature numérique, mais ESET SysInspector le marque comme un
fichier signé par Microsoft. La raison en est la présence d'une référence dans C:\WINNT\system32\CatRoot\{F750E6C338EE-11D1-85E5-00C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le principal fichier
exécutable de l'application HyperTerminal) et sp4.cat est signé numériquement par Microsoft.
115
4.6.6 ESET SysInspector dans ESET Mail Security
Pour ouvrir la section ESET SysInspector dans ESET Mail Security, cliquez sur Outils > ESET SysInspector . Le
système de gestion qui s'affiche dans la fenêtre ESET SysInspector est semblable à celui des journaux d'analyse de
l'ordinateur ou des tâches planifiées. Toutes les opérations relatives aux instantanés (créer, afficher, comparer,
supprimer et exporter) sont accessibles en un ou deux clics.
La fenêtre de ESET SysInspector contient des données de base sur les instantanés créés, telles que l'heure de
création, un bref commentaire, le nom de leur auteur et leur état.
Pour comparer, Créer ou Retirer des instantanés, utilisez les boutons correspondants situés sous la liste des
instantanés dans la fenêtre de ESET SysInspector . Ces options sont également offertes dans le menu contextuel.
Pour afficher l'instantané système sélectionné, utilisez l'option Afficher du menu contextuel. Pour exporter
l'instantané sélectionné dans un fichier, cliquez dessus avec le bouton droit, puis sélectionnez Exporter....
Une description détaillée des options disponibles est présentée ci-dessous :
Comparer - Compare deux journaux existants. Cette option est appropriée si vous voulez suivre les différences
entre le journal actuel et un journal plus ancien. Pour qu'elle fonctionne, vous devez sélectionner deux
instantanés à comparer.
Créer...- Crée un enregistrement. Au préalable, vous devez entrer un bref commentaire sur l'enregistrement.
Pour suivre la progression de la création de l'instantané (en cours de génération) exprimée en pourcentage,
consultez la colonne État. Tous les instantanés générés présentent l'état Créé.
Supprimer/supprimer tout - Supprime les entrées de la liste.
Exporter... - Enregistre l'entrée sélectionnée dans un fichier XML (ainsi que dans une version compressée).
4.7 ESET SysRescue
ESET SysRescue est un utilitaire qui permet de créer un disque d'amorçage contenant l'une des solutions ESET
Security - ce peut être ESET NOD32 Antivirus, ESET Smart Security ou même un autre produit pour serveur. Le
principal avantage de ESET SysRescue est le fait que la solution ESET Security s'exécute indépendamment du
système d'exploitation hôte, tout en ayant un accès direct au disque et au système complet de fichiers. Cela permet
de supprimer des infiltrations qui, dans des circonstances normales, ne pourraient pas être détruites, par exemple
lorsque le système d'exploitation est en cours d'exécution, etc.
4.7.1 Configuration requise
ESET SysRescue opère dans l'Environnement de préinstallation Microsoft Windows (Windows PE) version 2.x, qui
est basé sur Windows Vista.
Windows PE faisant partie des ensembles gratuits, soit le Kit d’installation automatisée (Windows AIK) gratuit ou le
Windows Assessment and Deployment Kit (Windows ADK), Windows AIK ou ADK doit être installé avant de créer le
CD de ESET SysRescue (<%http://go.eset.eu/AIK%>) ou (<%http://go.eset.eu/ADK%>). L'ensemble à installer sur
votre système dépend du système d'exploitation utilisé. En raison de la prise en charge de la version 32 bit de
Windows PE, il est nécessaire d'utiliser le module d'installation 32 bit de ESET Security au moment de créer ESET
SysRescue sur les systèmes 64 bit. ESET SysRescue prend en charge Windows AIK 1.1 et ses versions ultérieures ainsi
que Windows ADK.
REMARQUE : Puisque Windows AIK fait plus de 1 Go, une connexion Internet à haut débit est requise pour pouvoir
le télécharger sans problème.
ESET SysRescue est offert dans les solutions ESET Security 4.0 et ses versions ultérieures..
ESET SysRescue prend en charge les systèmes d'exploitation suivants :
Windows Server 2003 Service Pack 1 avec KB926044
Windows Server 2003 Service Pack 2
Windows Server 2008
Windows Server 2012
Windows AIK prend en charge :
Windows Server 2003
Windows Server 2008
116
Windows ADK prend en charge :
Windows Server 2012
4.7.2 Comment créer un CD de sauvetage
Pour lancer l'Assistant ESET SysRescue, cliquez sur Démarrer > Programmes > ESET > ESET Mail Security > ESET
SysRescue.
Tout d'abord, l'Assistant vérifie la présence de Windows AIK ou Windows ADK et d'un périphérique adapté pour la
création d'un support d'amorçage. Si Windows AIK ou Windows ADK n'est pas installé sur l'ordinateur (ou s'il est
endommagé ou mal installé), l'assistant offre l'option de l'installer ou d'entrer le chemin d'accès du dossier de
Windows AIK (<%http://go.eset.eu/AIK%>) ou Windows ADK (<%http://go.eset.eu/ADK%>).
REMARQUE : Puisque Windows AIK fait plus de 1 Go, une connexion Internet à haut débit est requise pour pouvoir
le télécharger sans problème.
À l'étape suivante 117 , sélectionnez le support cible pour ESET SysRescue.
4.7.3 Sélection de cible
Outre les supports CD/DVD/USB, vous pouvez enregistrer ESET SysRescue dans un fichier ISO. Ensuite, vous pouvez
graver l'image ISO sur un CD/DVD, ou l'utiliser d'une autre manière (par ex., dans un environnement virtuel tel que
VmWare ou Virtualbox).
Si vous sélectionnez USB comme support cible, il se peut que le démarrage ne fonctionne pas sur certains
ordinateurs. Certaines versions du BIOS peuvent signaler des problèmes de BIOS, y compris en ce qui concerne la
communication avec le gestionnaire de démarrage (par ex., sous Windows Vista) et l'interruption du démarrage
avec le message d'erreur suivant :
fichier : \boot\bcd
état : 0xc000000e
info : une erreur s’est produite lors de la lecture des données de configuration de démarrage
Si ce message s'affiche, il est recommandé de sélectionner le CD au lieu du support USB.
4.7.4 Paramètres
Avant de lancer la création de ESET SysRescue, l'Assistant d'installation affiche les paramètres de compilation dans
la dernière étape de l'assistant ESET SysRescue. Ils peuvent être modifiés en cliquant sur le bouton Modifier.... Les
options disponibles sont les suivantes :
Dossiers 117
Antivirus ESET 118
Avancé 118
Protocole Internet 118
Périphérique USB d'amorçage 119 (lorsque le périphérique USB cible est sélectionné)
Gravure 119 (lorsque le lecteur CD/DVD est sélectionné)
Le bouton Créer est inactif si aucune trousse d'installation de MSI n'est précisée ou si aucune solution ESET Security
n'est installée sur l'ordinateur. Pour sélectionner une trousse d'installation, cliquez sur le bouton Changer, puis sur
l'onglet Antivirus ESET. Si vous n'entrez pas un nom d'utilisateur et un mot de passe (Changer > Antivirus ESET),
le bouton Créer est grisé.
4.7.4.1 Dossiers
Le dossier temporaire est un répertoire de travail pour les fichiers requis durant la compilation de ESET SysRescue .
Un dossier ISO est un dossier dans lequel le fichier ISO obtenu est enregistré une fois la compilation terminée.
La liste présentée dans cet onglet affiche tous les lecteurs réseau locaux et mappés ainsi que l'espace libre
disponible. Si certains de ces dossiers se trouvent sur un lecteur dont l'espace libre est insuffisant, il est
recommandé de sélectionner un autre lecteur disposant de davantage d'espace libre disponible. Sinon, la
compilation pourra prendre fin prématurément en raison de l'insuffisance d'espace disque libre.
Applications externes - Permet de préciser plusieurs programmes supplémentaires qui seront exécutés ou
installés après le réamorçage à partir d'un support contenant ESET SysRescue.
117
Inclure les applications externes - Permet d'ajouter des programmes externes à la compilation ESET SysRescue.
Dossier sélectionné - Dossier dans lequel les programmes seront ajoutés sur le disque où se trouve ESET
SysRescue.
4.7.4.2 Antivirus ESET
Pour créer un CD de ESET SysRescue, vous pouvez sélectionner deux sources de fichiers ESET que le compilateur
doit utiliser.
Dossier ESS/EAV - Fichiers figurant déjà dans le dossier dans lequel le produit ESET Security est installé sur
l'ordinateur.
Fichier MSI - Les fichiers du programme d'installation de MSI sont utilisés.
Vous pouvez ensuite choisir l'emplacement des fichiers (.nup). En temps normal, l'option par défaut, ESS/dossier
EAV/fichier MSI, devrait être utilisée. Dans certains cas, un Dossier de mise à jour peut être choisi, par exemple,
pour utiliser une version de la base de données des signatures de virus plus ancienne ou plus nouvelle.
Vous pouvez utiliser l'une des deux sources suivantes de nom d'utilisateur et de mot de passe :
ESS/EAV installé - Le nom d'utilisateur et le mot de passe sont copiés à partir de la version installée de la solution
ESET Security.
De l'utilisateur - Le nom d'utilisateur et le mot de passe entrés dans les zones de texte correspondantes sont
utilisés.
REMARQUE : ESET Security présent sur le CD de ESET SysRescue est mis à jour à partir d'Internet ou de la solution
de sécurité ESET Security installée sur l'ordinateur sur lequel le CD de ESET SysRescue est exécuté.
4.7.4.3 Paramètres avancés
L'onglet Avancé permet d'optimiser le CD de ESET SysRescue selon la taille de la mémoire de votre ordinateur.
Sélectionnez 576 Mo et plus pour écrire le contenu du CD dans la mémoire vive (RAM). Si vous sélectionnez Moins
de 576 Mo, le CD de récupération fera l'objet d'un accès permanent lors de l'exécution de WinPE.
Dans la section Pilotes externes, vous pouvez insérer des pilotes pour votre matériel précis (généralement une
carte réseau). Bien que WinPE soit basé sur Windows Vista SP1, qui prend en charge un vaste éventail de
composants matériels, il arrive que certains composants ne soient pas reconnus et que vous deviez ajouter le pilote
manuellement. Il y a deux manières d'introduire le pilote dans la compilationESET SysRescue : manuellement
(bouton Ajouter) et automatiquement (bouton Aut. recherche). En cas d'inclusion manuelle, vous devez
sélectionner le chemin d'accès du fichier .inf correspondant (le fichier *.sys applicable doit également être présent
dans ce dossier). En cas d'introduction automatique, le pilote sera automatiquement trouvé dans le système
d'exploitation de l'ordinateur. Il est recommandé de n'utiliser l'inclusion automatique que si ESET SysRescue est
utilisé sur un ordinateur disposant de la même carte réseau que l'ordinateur sur lequel le CD de ESET SysRescue a
été créé. Durant la création de ESET SysRescue, le pilote est introduit dans la compilation, de façon à ce que
l'utilisateur ne doive pas le rechercher ensuite.
4.7.4.4 Protocole Internet
Cette section permet de configurer l'information de base sur le réseau et de configurer les connexions prédéfinies
après ESET SysRescue.
Sélectionnez Adresse IP privée automatique pour obtenir automatiquement l'adresse IP du serveur DHCP
(Dynamic Host Configuration Protocol).
La connexion réseau peut aussi utiliser une adresse IP spécifiée (aussi appelée adresse IP statique). Sélectionnez
Personnalisé pour configurer les paramètres IP appropriés. Si vous sélectionnez cette option, vous devez préciser
une Adresse IP et, pour les connexions par réseau local et connexions Internet à haut débit, un masque de sousréseau. Dans les champs Serveur DNS préféré et Autre serveur DNS, entrez les adresses de serveur DNS primaire
et secondaire.
118
4.7.4.5 Périphérique USB d'amorçage
Si vous avez sélectionné un périphérique USB comme support cible, vous pouvez sélectionner l'un des périphériques
USB disponibles dans l'onglet Périphérique USB d'amorçage (s'il y a d'autres périphériques USB).
Sélectionnez la cible appropriée, soit le Périphérique dans lequel ESET SysRescue sera installé.
Avertissement: Le périphérique USB sélectionné sera formaté pendant la création de ESET SysRescue. Toute autre
donnée se trouvant sur le périphérique sera effacée.
Si vous sélectionnez l'option Formatage rapide, le formatage supprime tous les fichiers de la partition, mais
n'analyse pas le disque pour y déceler les secteurs endommagés. Utilisez cette option si votre périphérique USB a
déjà été formaté et que vous êtes certain qu'il n'est pas endommagé.
4.7.4.6 Graver
Si vous avez sélectionné CD/DVD comme support cible, vous pouvez préciser des paramètres de gravure
supplémentaires dans l'onglet Graver.
Supprimer fichier ISO - Activez cette option pour supprimer les fichiers ISO après la création du CD de ESET
SysRescue.
Suppression activée - Permet de sélectionner un effacement rapide et un effacement complet.
Graveur - Sélectionnez le lecteur à utiliser pour la gravure.
Avertissement : Il s'agit de l'option par défaut. En cas d'utilisation d'un CD/DVD réinscriptible, toutes les données qu'il
contient sont effacées.
La section Support contient des données sur le support inséré dans le périphérique CD/DVD.
Vitesse de gravure - Sélectionnez la vitesse souhaitée dans le menu déroulant. Pour sélectionner la vitesse de
gravure, vous devez tenir compte des capacités du graveur et du type de CD/DVD utilisé.
4.7.5 Utilisation de ESET SysRescue
Pour utiliser efficacement les supports de sauvetage CD/DVD/USB, vous devez vous assurer que l'ordinateur
démarrera à partir des supports d'amorçage de ESET SysRescue. Vous pouvez modifier la priorité d'amorçage dans
le BIOS. Vous pouvez également utiliser le menu d'amorçage au démarrage de l'ordinateur (généralement à l'aide de
l'une des touches F9 à F12) en fonction de la version de la carte mère ou du BIOS.
Une fois l'amorçage à partir du support amovible terminé, la solution ESET Security démarrera. Comme ESET
SysRescue n'est utilisé que dans certaines situations particulières, certains modules de protection et
fonctionnalités de programme présents d'ordinaire dans ESET Security ne sont pas nécessaires; leur liste est limitée
à l'analyse de l'ordinateur, à la mise à jour et à certaines sections de la configuration. La capacité de mettre à jour
la base de données des signatures de virus est la fonctionnalité la plus importante de ESET SysRescue. Il est
recommandé que vous mettiez le programme à jour avant de lancer l'analyse de l'ordinateur.
4.7.5.1 Utilisation de ESET SysRescue
Si l'on présuppose que les ordinateurs d'un réseau ont été infectés par un virus qui modifie les fichiers exécutables (.
exe). La solution ESET Security est capable de nettoyer tous les fichiers infectés à l'exception d'explorer.exe qu'il est
impossible de nettoyer, même en mode sans échec. Cela est dû au fait que explorer.exe, processus Windows
essentiel, est également lancé en mode sans échec. La solution ESET Security ne serait donc pas capable d'effectuer
une action sur ce fichier et il resterait infecté.
Dans ce type de scénario, vous pourriez utiliser ESET SysRescue pour résoudre le problème. ESET SysRescue ne
requiert pas de composant du système d'exploitation hôte et est donc capable de traiter (nettoyer, supprimer) tout
fichier enregistré sur le disque.
119
4.8 Options de l'interface utilisateur
Les options de configuration de l'interface utilisateur incluses dans ESET Mail Security vous permettent d'ajuster
l'environnement de travail selon vos besoins. Vous pouvez accéder à ces configurations à partir de la branche
Interface utilisateur de l'arborescence de configuration avancée de ESET Mail Security.
Dans la section Éléments de l'interface utilisateur, l'option Mode Avancé permet à l'utilisateur de basculer en
mode avancé. Le mode Avancé affiche des paramètres plus détaillés et des commandes supplémentaires pour ESET
Mail Security.
L'option Interface utilisateur graphique devrait être désactivée si les éléments graphiques diminuent la
performance de votre ordinateur ou causent d'autres problèmes. De même, il est possible que l'interface utilisateur
graphique doive être désactivée pour les utilisateurs malvoyants, car elle peut entrer en conflit avec des
applications spéciales utilisées pour la lecture de textes affichés à l'écran.
Si vous voulez désactiver l'écran de démarrage de ESET Mail Security, décochez la case Afficher l'écran de
démarrage.
En haut de la fenêtre principale de ESET Mail Security figure un menu standard qui peut être activé ou désactivé en
fonction de l'option Utiliser le menu standard.
Si l'option Afficher les infobulles est activée, une brève description de toute option s'affiche si le curseur est placé
sur celle-ci. L'option Sélectionner l'élément de contrôle actif forcera le système à surligner tout élément se
trouvant dans la zone active du pointeur de la souris. L'élément surligné sera activé dès que vous cliquerez sur celuici, avec votre souris.
Pour augmenter ou réduire la vitesse des effets animés, sélectionnez l'option Utiliser les commandes animées et
faites glisser la barre du curseur Vitesse vers la gauche ou la droite.
Pour pouvoir afficher les différentes opérations à l'aide des icônes animées, sélectionnez l'option Utiliser les icônes
animées pour indiquer la progression. Si vous voulez que le programme émette un son pour vous avertir qu'un
événement important se produit, sélectionnez l'option Émettre un signal sonore.
L'interface utilisateur offre également l'option de protéger les paramètres de configuration de ESET Mail Security à
l'aide d'un mot de passe. Cette option se trouve dans le sous-menu Protection des paramètres sous Interface
utilisateur. Il est essentiel que le programme soit correctement configuré pour garantir la sécurité maximale du
système. Tout changement non autorisé peut faire perdre des données importantes. Pour définir un mot de passe
visant à protéger les paramètres de configuration, cliquez sur Définir le mot de passe…
120
La section Configurer les alertes et notifications de l'interface utilisateur permet de configurer le mode de
traitement des messages d'alerte et des notifications système par ESET Mail Security.
Le premier élément à configurer est l'affichage des alertes. Lorsque cette option est désactivée, aucune fenêtre
d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Il est recommandé à la
majorité des utilisateurs de conserver l'option par défaut (activée).
Pour fermer automatiquement les fenêtres de notification après une certaine période, cochez l'option Fermer
automatiquement la boîte de message après (en secondes). Si les fenêtres d'alerte ne sont pas fermées
manuellement, elles le sont automatiquement, une fois le laps de temps écoulé.
Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune
interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour
activer l'affichage des notifications sur le bureau, sélectionnez l'option Afficher les notifications sur le bureau.
D'autres options détaillées - la durée d'affichage des notifications et la transparence de la fenêtre - peuvent être
modifiées en cliquant sur le bouton Configurer les notifications.
Pour prévisualiser le comportement des notifications, cliquez sur le bouton Aperçu. Pour configurer la durée
d'affichage des infobulles, utilisez l'option Afficher les infobulles dans la barre des tâches (en secondes).
121
Cliquez sur Configuration avancée... pour entrer des options de configuration supplémentaires pour les alertes et
notifications, y compris l'option Afficher seulement les notifications exigeant une intervention de l'utilisateur.
Cette option permet d'activer ou de désactiver l'affichage des alertes et des notifications qui n'exigent aucune
intervention de l'utilisateur. Sélectionnez Afficher seulement les notifications exigeant une intervention de
l'utilisateur lorsque ces applications s'exécutent en mode plein écran pour supprimer toutes les notifications
non interactives. Du menu déroulant Verbosité minimale des événements à afficher, vous pouvez sélectionner le
niveau de gravité de base des alertes et notifications à afficher.
La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un
environnement multi-utilisateurs. Le champ Sur les systèmes multi-utilisateurs, afficher les notifications sur
l'écran de l'utilisateur vous permet de définir qui recevra les notifications importantes envoyées par ESET Mail
Security. Normalement, il doit s'agir de l'administrateur système ou de l'administrateur réseau. Cette option est
particulièrement utile pour les serveurs de terminaux, pourvu que toutes les notifications système soient envoyées
à l'administrateur.
4.8.2 Désactiver l'interface graphique sur le serveur de terminal
Cette section décrit la façon de désactiver l'interface graphique de ESET Mail Security utilisée dans les sessions
utilisateur ouvertes sur les serveurs de terminaux Windows.
En temps normal, l'interface graphique de ESET Mail Security s'affiche chaque fois qu'un utilisateur distant ouvre
une session sur le serveur pour créer une session de terminal, un élément non souhaité sur les serveurs de
terminaux. Si vous voulez désactiver l'interface graphique pour les sessions de terminaux, effectuez les étapes
suivantes :
1. Exécutez regedit.exe
2. Naviguez jusqu'à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. Cliquez à droite sur la valeur egui et sélectionnez Modify...
4. Ajoutez un paramètre /terminal à la fin d'une chaîne existante
Voici un exemple de la façon d'écrire les données Value pour egui :
"C:\Program Files\ESET\ESET Mail Security\egui.exe" /hide /waitservice /terminal
Si vous voulez désactiver ce paramètre et activer le démarrage automatique de l'interface utilisateur de ESET Mail
Security, supprimez le paramètre /terminal . Pour atteindre la Valeur egui dans le registre, répétez les étapes 1 à 3.
122
4.9 eShell
eShell (nom abrégé de ESET Shell) est une interface de ligne de commande pour ESET Mail Security. C'est une
solution de rechange à l'interface utilisateur graphique (IUG). eShell offre toutes les fonctionnalités et options que
l'on trouve généralement dans une IUG. eShell vous permet en outre de configurer et d'administrer l'ensemble du
programme sans devoir utiliser d'IUG.
En plus de toutes les fonctionnalités et fonctions incluses dans l'IUG, elle vous offre également la possibilité
d'automatiser certaines commandes en exécutant des scripts pour configurer, modifier la configuration ou
effectuer une action. eShell peut aussi être utile pour les personnes qui préfère utiliser la ligne de commande plutôt
que l'IUG.
REMARQUE : Un manuel distinct pour eShell est disponible pour téléchargement ici. Il dresse la liste de toutes les
commandes, avec leur syntaxe et une description.
Cette section explique comment naviguer dans eShell et l'utiliser, en plus de dresser la liste de toutes les
commandes, avec une description de l'utilisation de chacune des commandes et de ce qu'elle permet d'effectuer.
eShell peut être exécuté dans deux modes :
Mode interactif - ce mode est utile lorsque vous voulez travailler avec eShell (pas seulement pour exécuter une
commande unique) et effectuer des tâches comme modifier la configuration, afficher les journaux, etc. Vous
pouvez également utiliser le mode interactif si vous ne connaissez pas bien les commandes. Le mode interactif
vous permettra de naviguer plus facilement dans eShell. Il vous montrera également les commandes disponibles
que vous pouvez utiliser dans un contexte particulier.
Commande unique / mode de commandes - vous pouvez utiliser ce mode si vous ne devez exécuter qu'une
commande sans devoir entrer dans le mode interactif de eShell. De l'invite de commande Windows en entrant
eshell avec les paramètres appropriés. Par exemple :
eshell set av document status enabled
REMARQUE : Pour exécuter les commandes eShell à partir de l'invite de commande de Windows ou pour exécuter
des fichiers de commande, vous devez d'abord activer cette fonction (la commande set general access batch doit
toujours être exécutée en mode interactif). Pour plus de détails sur la commande set batch, cliquez ici 127 .
Pour entrer dans le mode interactif de eShell, vous pouvez utiliser l'une des deux méthodes suivantes :
Par le menu Démarrer de Windows : Démarrer > Programmes > ESET > ESET File Security > ESET shell
De l'invite de commande Windows en entrant eshell et en appuyant sur la touche Entrée
La première fois que vous exécutez eShell en mode interactif, un écran de première exécution s'affichera.
123
Il affichera certains exemples de base de la façon d'utiliser eShell avec la syntaxe, les préfixes, le chemin d'accès, les
formes abrégées, les alias, etc. C'est, en fait, un guide rapide pour eShell.
REMARQUE : Si vous voulez afficher l'écran de première exécution par la suite, entrez la commande guide .
REMARQUE : Les commandes ne sont pas sensibles à la casse. La commande s'exécutera, que vous utilisiez des
majuscules ou des minuscules.
4.9.1 Utilisation
Syntaxe
Pour pouvoir être utilisées, les commandes doivent être formatées avec la syntaxe appropriée. Elles peuvent
comprendre un préfixe, un contexte, des arguments, des options, etc. Voici la syntaxe générale utilisée dans
l'ensemble d'eShell :
[<préfixe>] [<chemin de commande>] <commande> [<arguments>]
Exemple (permet d'activer la protection du document) :
SET AV DOCUMENT STATUS ENABLED
SET - un préfixe
AV DOCUMENT - le chemin d'accès vers une commande particulière, le contexte de la commande
STATUS - la commande elle-même
ENABLED - un argument pour la commande
Utiliser HELP ou ? avec une commande affichera la syntaxe de cette commande particulière. Par exemple, le préfixe
CLEANLEVEL HELP affichera la syntaxe pour la commande CLEANLEVEL :
SYNTAXE :
[get] | restore cleanlevel
set cleanlevel none | normal | strict
Vous pouvez remarquer que le préfixe [get] est indiqué entre crochets. Indique que le préfixe get est la valeur par
défaut pour la commande cleanlevel , ce qui signifie que lorsque vous exécutez la commande cleanlevel sans
préciser de préfixe, elle utilisera le préfixe par défaut (dans ce cas, get cleanlevel). Utiliser des commandes sans
préfixe exige moins de temps au moment de l'entrée des données. Le préfixe get est la valeur par défaut
généralement utilisée dans bon nombre de commandes. Il faut cependant vérifier en quoi consiste le préfixe par
défaut pour une commande particulière, puisque c'est précisément cette commande que vous voulez exécuter.
Préfixe / opération
Un préfixe est une opération. Le préfixe GET donnera de l'information à savoir comment est configurée une certaine
fonctionnalité de ESET Mail Security ou affichera l'état (comme GET AV STATUS , par exemple, affichera l'état actuel
de la protection). Le préfixe SET configurera une fonctionnalité ou changera l'état (SET AV STATUS ENABLED qui, par
exemple, activera la protection).
Ce sont les préfixes qu'eShell vous laisse utiliser. Une commande peut ou non prendre en charge l'un des préfixes
suivants :
GET - Renvoie le paramètre ou l'état actuel
SET - Règle la valeur ou l'état
SELECT - Entraîne la sélection d'un élément
ADD - Ajoute un élément
REMOVE - Supprime un élément
CLEAR - Supprime tous les éléments ou fichiers
START - Lance une action
STOP - Arrête une action
PAUSE - Met une action en pause
RESUME - Reprend une action
RESTORE - Restaure les paramètres, l'objet ou le fichier par défaut
SEND - Envoie un objet ou un fichier
IMPORT - Importe à partir d'un fichier
EXPORT - Exporte dans un fichier
Des préfixes comme GET et SET sont utilisés avec bon nombre de commandes, bien que certaines comme EXIT
124
n'utilisent aucun préfixe.
Chemin d'accès / contexte
Les commandes sont placées dans des contextes formant une structure arborescente. La racine est présentée dans
le haut de l'arborescence. Lorsque vous exécutez eShell, vous êtes au niveau de la racine :
eShell>
De là, vous pouvez soit exécuter une commande ou entrer un nom de contexte pour vous déplacer dans
l'arborescence. Par exemple, lorsque vous entrez le contexte TOOLS , vous pourrez alors voir la liste de toutes les
commandes et de tous les sous-contextes auxquels vous pouvez accéder à partir de ce contexte.
Les éléments en jaune sont ceux que vous pouvez exécuter alors que ceux qui sont affichés en gris représentent des
sous-contextes dans lesquels vous pouvez entrer. Un sous-contexte contient d'autres commandes.
Si vous devez retourner à un niveau supérieur, utilisez .. (deux points). Si, par exemple, vous vous trouvez ici :
eShell av options>
type .. et vous remonterez alors d'un niveau, jusqu'à :
eShell av>
Si vous voulez retourner à la racine à partir de eShell av options> (qui deux trouve deux niveaux sous la racine),
entrez simplement .. .. (deux points et deux points séparés par une espace). Vous remonterez de deux niveaux,
soit jusqu'à la racine, dans ce cas-ci. Vous pouvez utiliser cette commande quelle que soit la profondeur où vous
vous trouvez dans le contexte. Utilisez le nombre approprié de .. dont vous avez besoin pour atteindre le niveau
voulu.
Le chemin d'accès varie selon le contexte actuel. Si la commande est contenue dans le contexte actuel, n'entrez pas
de chemin d'accès. Par exemple, pour exécuter GET AV STATUS entrez :
GET AV STATUS - si vous êtes dans le contexte racine (la ligne de commande indique eShell>)
GET STATUS - si vous êtes dans le contexte AV (la ligne de commande indique eShell av>)
.. GET STATUS - si vous êtes dans le contexte AV OPTIONS (la ligne de commande indique eShell av options>)
Argument
Un argument vers une action qui est effectuée pour une commande particulière. Par exemple, la commande
CLEANLEVEL peut être utilisée avec les arguments suivants :
none - Ne pas nettoyer
normal - Nettoyage standard
strict - Nettoyage strict
Un autre exemple comprend les arguments ENABLED ou DISABLED qui sont utilisés pour activer ou désactiver certaines
fonctionnalités ou caractéristiques.
Forme abrégée / commandes raccourcies
eShell vous permet de raccourcir les contextes, commandes et arguments (à la condition que l'argument soit un
commutateur ou une option de rechange). Il n'est pas possible de raccourcir un préfixe ou un argument comportant
des valeurs concrètes comme un numéro, un nom ou un chemin d'accès.
125
Exemples de formes abrégées :
set status enabled
=> set stat en
add av exclusions C:\path\file.ext => add av exc C:\path\file.ext
Dans le cas où deux commandes ou contextes commencent par les mêmes lettres (par exemple ABOUT et AV et que
vous entrez A comme commande abrégée), eShell ne pourra pas décider de la commande à exécuter. Un message
d'erreur sera alors affiché, tout comme la liste des commandes commençant par un « A », parmi lesquelles vous
pourrez faire un choix :
eShell>a
La commande suivante n'est pas unique : a
Les commandes suivantes sont disponibles dans ce contexte :
ABOUT - Affiche l'information sur le programme
AV - Modifications au contexte av
Si vous ajoutez une ou plusieurs lettres (par exemple, AB plutôt que simplement A) eShell exécutera la commande
ABOUT puisqu'elle est maintenant unique.
REMARQUE : Lorsque vous voulez être certain qu'une commande fait l'action que vous voulez qu'elle fasse, nous
vous recommandons de ne pas abréger les commandes, arguments, etc. et d'utiliser plutôt la forme complète. De
cette façon, vous serez certain qu'elle exécutera exactement ce que vous voulez et empêchera les erreurs non
voulues. C'est particulièrement vrai pour les fichiers de commandes et scripts.
Alias
Un alias est un autre nom qui peut être utilisé pour exécuter une commande (à la condition qu'un alias ait été
attribué à la commande). Voici quelques alias par défaut :
(global) help - ?
(global) close - quitter
(global) quit - quitter
(global) bye - quitter
warnlog - événements dans le journal des outils
virlog - détections dans le journal des outils
« (global) » signifie que la commande peut être utilisée n'importe où, quel que soit le contexte actuel. Plusieurs alias
peuvent être attribués à une commande, par exemple, la commande EXIT comprend les alias CLOSE, QUIT et BYE.
Lorsque vous voulez sortir de eShell, vous pouvez utiliser la commande EXIT même ou l'un de ses alias. L'alias VIRLOG
est utilisé pour la commande DETECTIONS qui est située dans le contexte TOOLS LOG . De cette façon, la commande de
détection est disponible à partir du contexte ROOT , ce qui permet d'y accéder plus facilement (vous n'aurez pas à
entrer TOOLS puis le contexte LOG et pourrez l'exécuter directement à partir de ROOT).
eShell vous permet de définir vos propres alias.
Commandes protégées
Certaines commandes sont protégées ne peuvent être exécutées qu'après l'entrée d'un mot de passe.
Guide
Exécuter la commande GUIDE affichera l'écran de « première exécution » expliquant comment utiliser eShell. Cette
commande est disponible à partir du contexte ROOT (eShell>).
Aide
Lorsque la commande HELP est utilisée seule, elle affiche une liste des commandes disponibles avec les préfixes et les
sous-contextes dans le contexte actuel. Elle donne aussi une courte description de chacune des commandes et de
chacun des sous-contextes. Lorsque vous utilisez HELP comme argument avec une commande particulière (par
exemple, CLEANLEVEL HELP), vous verrez les détails pour cette commande. Cela affichera la SYNTAXE, les
OPÉRATIONS, les ARGUMENTS et les ALIAS pour la commande, accompagnés d'une courte description de chacun.
Historique des commandes
eShell conserve l'historique des commandes déjà exécutées. Cela ne s'applique qu'à la session interactive actuelle de
eShell. Lorsque vous quittez eShell, l'historique des commandes est alors effacé. Utilisez les touches flèches Haut et
Bas de votre clavier pour naviguer dans l'historique. Une fois que vous aurez trouvé la commande que vous
cherchiez, vous pourrez l'exécuter de nouveau ou la modifier, sans avoir à répéter entièrement la commande du
début.
126
CLS / effacer l'écran
La commande CLS peut être utilisée pour vider l'écran. Elle fonctionne de la même façon que dans l'invite de
commande de Windows ou dans une autre interface avec ligne de commande semblable.
EXIT / CLOSE / QUIT / BYE
Pour fermer eShell ou en sortir, vous pouvez utiliser n'importe laquelle de ces commandes (EXIT, CLOSE, QUIT ou BYE).
4.9.2 Commandes
Cette section dresse une liste de quelques commandes de base d'eShell avec une description à titre d'exemple. Pour
la liste complète des commandes, consultez le manuel d'eShell qui peut être téléchargé ici.
Commandes contenues dans le contexte ROOT :
ABOUT
Affiche de l'information sur le programme. Affiche le nom du produit installé, le numéro de version, les composants
installés (y compris le numéro de version de chacun des composants) et l'information de base sur le serveur et le
système d'exploitation sur lequel s'exécute ESET Mail Security.
CHEMIN DE CONTEXTE :
root
BATCH
Lance eShell en mode de traitement par lots. Cela peut être très utile lorsque vous exécutez des fichiers ou scripts
de commandes. Il est recommandé de l'utiliser avec des fichiers de commande. Mettez START BATCH comme
première commande dans le fichier ou script de commande pour activer le mode de traitement par lots. Lorsque
vous activez cette fonction, aucune invite interactive ne s'affiche (entrez un mot de passe, par exemple) et les
arguments manquants sont remplacés par les valeurs par défaut. Cela garantit que le fichier de commandes ne
s'arrêtera pas en milieu d'exécution, car eShell s'attend à ce que l'utilisateur fasse quelque chose. De cette façon, le
fichier de commandes devrait s'exécuter sans s'arrêter (à moins qu'il n'y ait une erreur ou que les commandes
incluses dans le fichiers soient incorrectes).
root
SYNTAXE :
[start] batch
OPÉRATIONS :
start - Lance eShell en mode de traitement par lots
root
EXEMPLES :
start batch - Lance le mot de traitement par lots de eShell
GUIDE
Affiche l'écran de première exécution.
root
PASSWORD
En temps normal, pour pouvoir exécuter des commandes protégées par mot de passe, vous serez invité à entrer un
mot de passe, et ce, à des fins de sécurité. Cela s'applique à des commandes comme celles qui désactivent la
protection antivirus et à celles qui peuvent avoir des répercussions sur la fonctionnalité de ESET Mail Security. Vous
127
serez invité à entrer un mot de passe chaque fois que vous exécuterez une telle commande. Vous pouvez définir ce
mot de passe pour ainsi ne pas avoir à l'entrer chaque fois. eShell le gardera en mémoire et l'utilisera
automatiquement, lorsqu'une commande protégée par mot de passe est exécutée. Ainsi, vous n'aurez pas à entrer
le mot de passe chaque fois.
REMARQUE : les mots de passe définis ne peuvent être utilisés que dans la session interactive d'eShell en cours.
Lorsque vous quitterez eShell, ce mot de passe défini sera supprimé. Lorsque vous redémarrerez eShell, vous devrez
définir de nouveau le mot de passe.
Ce mot de passe défini est aussi très utile lorsque vous exécutez des fichiers ou des scripts de commandes. Voici un
exemple d'un tel fichier :
eshell start batch "&" set password plain <votre mot de passe> "&" set status disabled
Cette commande concaténée lancera un mode de commandes, définira un mot de passe qui sera utilisé et
désactivera la protection.
root
SYNTAXE :
[get] | restore password
set password [plain <mot de passe>]
OPÉRATIONS :
get - Afficher le mot de passe
set - Régler ou effacer le mot de passe
restore - Effacer le mot de passe
ARGUMENTS :
plain - Basculer pour entrer le mot de passe comme paramètre
password - Mot de passe
EXEMPLES :
set password plain <votre mot de passe> - Règle un mot de passe qui sera utilisé pour les commandes protégées
par mot de passe
restore password - Efface le mot de passe
EXEMPLES :
get password - Cette commande permet de voir si le mot de passe est configuré ou non (n'affiche que des étoiles
« * », n'indique pas le mot de passe lui-même). Lorsqu'aucune étoile n'est visible, cela signifie qu'aucun mot de passe
n'a été réglé
set password plain <votre mot de passe> - Utilisé pour régler le mot de passe défini
restore password - Cette commande efface le mot de passe défini
STATUS
Affiche l'information sur l'état actuel de la protection de ESET Mail Security (semblable à l'interface graphique
utilisateur).
root
SYNTAXE :
[get] | restore status
set status disabled | enabled
128
OPÉRATIONS :
get - Affiche l'état de la protection antivirus
set - Désactive ou active la protection antivirus
restore - Restaure les paramètres par défaut
ARGUMENTS :
disabled - Désactive la protection antivirus
enabled - Active la protection antivirus
EXEMPLES :
get status - Affiche l'état actuel de la protection
set status disabled - Désactive la protection
restore status - Restaure la protection à la valeur par défaut (activée)
VIRLOG
L'alias de la commande DETECTIONS . Il est utile pour afficher de l'information sur les infiltrations ayant été détectées.
WARNLOG
L'alias de la commande EVENTS . Il est utile pour afficher de l'information sur différents événements.
4.10 Importer et exporter les paramètres
Pour importer et exporter des configurations de ESET Mail Security, cliquez sur Configuration puis sur Importation
et exportation des paramètres.
L'importation et l'exportation utilisent tous deux des fichiers de type .xml. Ces fonctions sont utiles si vous devez
faire une copie de sauvegarde de la configuration actuelle de ESET Mail Security pour pouvoir l'utiliser par la suite.
L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration
préférée de ESET Mail Security sur plusieurs systèmes; ils peuvent alors importer facilement un fichier .xml pour
transférer les paramètres voulus.
4.11 ThreatSense.Net
Le système d'avertissement anticipé ThreatSense.Net s'assure que ESET est continuellement avisé des nouvelles
infiltrations, et ce, dès qu'elles se produisent. Le système d'avertissement anticipé bidirectionnel ThreatSense.Net
n'a qu'un objectif : améliorer la protection que nous vous offrons. Le meilleur moyen d'être sûr de voir les nouvelles
menaces dès qu'elles apparaissent est d'être en contact permanent avec le plus grand nombre de nos clients et de
les utiliser comme des éclaireurs pour les menaces. Deux options sont offertes :
1. Vous pouvez décider de ne pas activer le système d'avertissement anticipé ThreatSense.Net. Vous ne perdrez
aucune fonctionnalité du logiciel et vous continuerez à recevoir la meilleure protection que nous pussions vous
offrir.
2. Vous pouvez configurer le système d'avertissement anticipé ThreatSense.Net pour qu'il envoie des données
129
anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé
à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces.
Le système d'avertissement anticipé ThreatSense.Net recueille sur votre ordinateur des données concernant les
nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la
menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est
apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur.
Bien qu'il soit possible que cela entraîne la divulgation de certaines données connexes à vous ou à votre ordinateur
(nom d'utilisateur dans un chemin de dossiers, etc.) au laboratoire d'ESET, vous devez savoir que ces données ne
seront utilisées à AUCUNE autre fin autre que celle de nous aider à répondre immédiatement aux menaces.
Par défaut, ESET Mail Security est configuré pour demander avant de soumettre les fichiers suspects pour une
analyse détaillée dans le laboratoire d'ESET. Les fichiers portant certaines extensions comme .doc ou .xls sont
toujours exclus. Vous pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre compagnie
souhaitez éviter l'envoi.
Vous pouvez accéder à la configuration de ThreatSense.Net à partir de l'arborescence de configuration avancée,
sous Outils > ThreatSense.Net. Sélectionnez l'option Activer le système d'avertissement anticipé ThreatSense
pour l'activer puis cliquez sur le bouton Configuration avancée.
130
4.11.1 Fichiers suspects
L'onglet Fichiers suspects vous permet de configurer la façon dont les menaces seront soumises aux laboratoires
d'ESET pour analyse.
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. S'il contient une
application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus.
Les soumissions de fichiers peuvent être effectuées automatiquement ou vous pouvez sélectionner l'option
Demander avant de soumettre si vous voulez savoir quels fichiers ont été soumis pour analyse et confirmer la
soumission.
Si vous ne voulez soumettre aucun fichier, sélectionnez l'option Ne pas soumettre pour analyse. Choisir de ne pas
soumettre de fichiers pour analyse n'aura aucune incidence sur la soumission des données statistiques qui sont
configurées de façon distincte (voir la section Statistiques 132 ).
Quand soumettre - Par défaut, l'option Dès que possible est sélectionnée pour que les fichiers suspects soient
envoyés aux laboratoires d'ESET. Ceci est recommandé lorsqu'une connexion Internet permanente est disponible et
que les fichiers suspects peuvent être livrés très rapidement. Sélectionnez l'option Pendant la mise à jour pour que
les fichiers suspects soient téléversés dans ThreatSense.Net au moment de la prochaine mise à jour.
Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Ainsi, il est utile
d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de
calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à
cette liste, au besoin.
Adresse courriel du contact - L'adresse courriel du contact (facultative) peut également être envoyée avec tout
fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour
l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis.
131
4.11.2 Statistiques
Le système d'avertissement anticipé ThreatSense.Net recueille de l'information anonyme sur votre ordinateur, à
propos des menaces nouvellement détectées. Ces données peuvent inclure le nom de l'infiltration, la date et l'heure
de détection, la version du produit de sécurité d'ESET ainsi que des données sur la version du système d'exploitation
de votre ordinateur et ses paramètres régionaux. Les statistiques sont généralement envoyées au serveur d'ESET
une ou deux fois par jour.
Voici un exemple de données statistiques envoyées :
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country="Slovakia"
language="ENGLISH"
osver=5.1.2600 NT
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8NS7\rdgFR1
Quand soumettre - Vous pouvez définir le moment où les données statistiques seront soumises. Si vous choisissez
de les envoyer Dès que possible, les données statistiques seront envoyées dès leur création. Ce choix convient si
une connexion Internet permanente est disponible. Si l'option Pendant la mise à jour est sélectionnée, les données
statistiques seront conservées puis envoyées simultanément pendant la prochaine mise à jour.
132
4.11.3 Soumission
Vous pouvez choisir la façon dont les fichiers et les données statistiques seront soumis à ESET. Sélectionnez
l'option Par le biais de la Console d'administration à distance (RA) ou directement à ESET pour les fichiers et les
statistiques qui doivent être soumis par tous les moyens disponibles. Sélectionnez l'option Par la Console
d'administration à distance (RA) pour soumettre les fichiers et les statistiques au serveur d'administration à
distance, ce qui assurera leur soumission subséquente aux laboratoires d'ESET. Si l'option Directement à ESET est
sélectionnée, tous les fichiers et données statistiques suspects seront envoyés au laboratoire de virus d'ESET à
partir du programme.
Si des fichiers sont en attente de soumission, le bouton Soumettre maintenant sera activé. Cliquez sur ce bouton
pour soumettre immédiatement les fichiers et les données statistiques.
Sélectionnez l'option Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données
statistiques soumis.
133
4.12 Administration à distance
ESET Remote Administrator (ERA) est un puissant outil utilisé pour gérer la politique de sécurité et obtenir un
aperçu de la sécurité globale d'un réseau. Il est particulièrement utile pour les grands réseaux. ERA augmente non
seulement le niveau de sécurité, mais il offre une facilité d'utilisation tout en gérant ESET Mail Security sur les
postes de travail clients.
Les options de configuration de l'administration à distance sont accessibles à partir de la fenêtre principale de ESET
Mail Security. Cliquez sur Configuration > Accéder à l'arborescence de la configuration avancée complète... >
Divers > Administration à distance (Remote Administration).
Activez l'administration à distance en sélectionnant l'option Connecter au serveur d'administration à distance
(Remote Administration). D'autres options sont également disponibles :
Intervalle entre deux connexions au serveur (min.) : Précise la fréquence avec laquelle ESET Mail Security se
connecte au serveur ERA pour envoyer les données. Si la valeur est 0, les données sont envoyées toutes les 5
secondes.
Adresse du serveur : Adresse réseau du serveur où est installé le serveur ERA.
Port : ce champ contient un port de serveur prédéfini utilisé pour la connexion. Il est recommandé de laisser le
paramètre de port 2222, par défaut.
Remote Administrator Server exige une authentification : Vous permet d'entrer un mot de passe pour la
connexion au serveur ERA, si requis.
Cliquez sur OK pour confirmer les modifications et appliquer les paramètres qu'utilise ESET Mail Security pour se
connecter au serveur ERA.
134
4.13 Licences
La branche Licences vous permet de gérer les clés de licence pour ESET Mail Security et d'autres produits d'ESET
comme ESET Mail Security, etc. Après l'achat, vous recevrez les clés de licence, ainsi que votre nom d'utilisateur et
votre mot de passe. Pour Ajouter/Supprimer une clé de licence, cliquez sur le bouton correspondant dans la
fenêtre du gestionnaire de licences. Le gestionnaire de licences est accessible à partir de l'arborescence de
configuration avancée complète sous Divers > Licences.
Une clé de licence est un fichier texte contenant de l'information sur le produit acheté : le propriétaire, le nombre
de licences et la date d'expiration.
La fenêtre du gestionnaire de licences permet à l'utilisateur de charger et de voir le contenu de la clé de licence à
l'aide du bouton Ajouter…. L'information contenue sera affichée dans la fenêtre du gestionnaire. Pour supprimer
des clés de licence de la liste, sélectionnezRetirer.
Si une clé de licence est expirée et que vous voulez la renouveler, cliquez sur le bouton Commander…; vous serez
dirigé vers le site Web de la boutique en ligne.
135
5. Glossaire
5.1 Types d'infiltrations
Une infiltration est un morceau de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou
de l'endommager.
5.1.1 Virus
Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont
comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à
l'autre.
Les virus informatiques attaquent principalement les fichiers et documents exécutables. Pour proliférer, un virus
attache son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne comme ceci : après
l'exécution du fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute une tâche
prédéfinie. Ce n'est qu'après cela que l'application originale pourra s'exécuter. Un virus ne peut pas infecter un
ordinateur à moins qu'un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément) le programme
malveillant.
L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de
supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages :
ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux logiciels espions) de plus en plus
rares, parce qu'ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants. En
outre, le terme « virus » est souvent utilisé de façon inappropriée pour couvrir tout type d'infiltrations. On tend
aujourd'hui à le remplacer progressivement par le terme plus précis « logiciel malveillant » ou « malware » en
anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés à leur état original,
c'est-à-dire de les nettoyer à l'aide d'un programme antivirus.
Dans la catégorie des virus, on peut citer :: OneHalf, Tenga et Yankee Doodle.
5.1.2 Vers
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un
réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se répliquer et de voyager
par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par
l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de
diverses applications réseau.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se
propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer
indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants.
Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers,
dégrader les performances du système ou même désactiver des programmes. De par sa nature, il est qualifié pour
servir de « moyen de transport » à d'autres types d'infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils
contiennent probablement du code malicieux.
Parmi les vers les plus connus, on peut citer :: Lovsan/Blaster, Stration/Warezov, Bagle et Netsky.
136
5.1.3 Chevaux de Troie
Dans le passé, les chevaux de Troie ont été définis comme une catégorie d'infiltrations ayant comme particularité
de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Il
est cependant important de remarquer que cette définition s'applique aux anciens chevaux de Troie. Aujourd'hui, il
ne leur est plus utile de se déguiser. Ils n'ont qu'un objectif : trouver la manière la plus facile de s'infiltrer pour
accomplir leurs desseins malveillants. « Cheval de Troie » est donc devenu un terme très général qui décrit toute
infiltration qui n'entre pas dans une catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories :
téléchargeur - Programme malveillant qui est en mesure de télécharger d'autres infiltrations sur l'Internet.
injecteur - Type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs
infectés.
porte dérobée - Application qui communique à distance avec les pirates et leur permet d'accéder à un système et
d'en prendre le contrôle.
enregistreur de frappe (« keystroke logger ») - Programme qui enregistre chaque touche sur laquelle l'utilisateur
appuie avant d'envoyer l'information aux pirates.
composeur - Programme destiné à se connecter à des numéros surfacturés. Il est presque impossible qu'un
utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux
utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers exécutables avec l'extension .exe. Si un fichier est
identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer, car il contient sans doute
du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer :: NetBus, Trojandownloader. Small.ZL, Slapper
5.1.4 Rootkits
Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé
au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système
d'exploitation pour se protéger des logiciels antivirus : ils cachent des processus, des fichiers et des données du
registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de
vérification ordinaires.
Il y a deux niveaux de détection permettant d'éviter les rootkits :
1) lorsqu'ils essaient d'accéder au système. Ils ne sont pas encore installés et sont donc inactifs. La plupart des
antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers
comme infectés).
2) lorsqu'ils sont inaccessibles aux tests habituels. Les utilisateurs de ESET Mail Security bénéficient de la
technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité.
5.1.5 Logiciels publicitaires
L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent
des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une
nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de
démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs
de couvrir les frais de développement de leurs applications (souvent utiles).
En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par
l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les
logiciels espions).
Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart
des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent,
vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire.
Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs
137
fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une
manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut
jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le
supprimer, car le risque est grand qu'il contienne du code malveillant.
5.1.6 Logiciel espion
Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des
utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données
statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou
une liste des touches de frappe utilisées.
Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et
intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction
claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les
données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions
peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont
souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du
logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un
programme afin de les inciter à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications
clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une souscatégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en
réalité, ils sont eux-mêmes des logiciels espions.
Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le
risque est grand qu'il contienne du code malveillant.
5.1.7 Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en
réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des
fins malveillantes. ESET Mail Security vous offre l'option de détecter de telles menaces.
La classification « applications potentiellement dangereuses » désigne les logiciels commerciaux légitimes. Elle
inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les
enregistreurs de frappe 137 .
Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur
(sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application.
5.1.8 Applications potentiellement indésirables
Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont
susceptibles d'affecter les performances de votre ordinateur. Ces applications exigent généralement le
consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se
comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont :
l'apparition de nouvelles fenêtres qui n'existaient pas auparavant
des processus cachés qui sont activés et exécutés
une plus grande utilisation des ressources système
la modification des résultats de recherche
le fait que l'application communique avec des serveurs distants
138
5.2 Courriel
Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct
et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990.
Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités
illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels
malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de
tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir
facilement de nouvelles adresses de courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la
règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle
finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention :
Si possible, n'indiquez pas votre adresse de courriel sur Internet.
Ne donnez votre adresse de courriel qu'à des personnes fiables.
N'utilisez pas de pseudonymes communs, si possible. Lorsque les pseudonymes sont compliqués, la probabilité
de les retracer est plus faible.
Ne répondez pas aux pourriels déjà entrés dans votre boîte de réception.
Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à
cocher du type « Oui, je voudrais recevoir des informations concernant... ».
Utilisez des adresses de messagerie « spécialisées », par ex., une pour le travail, une pour communiquer avec vos
amis, etc.
Changez vos adresses courriel de temps en temps.
Utilisez une solution antipourriel.
5.2.1 Publicités
La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande
efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis
presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de
manière efficace avec leurs clients et clients éventuels.
Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur
certains produits. Mais de nombreuses entreprises envoient également en masse des messages commerciaux non
sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel.
La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe
d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de
messages légitimes.
5.2.2 Canulars
Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés
par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague
ou une légende urbaine.
Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à
croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe, ou
d'effectuer une activité nuisible sur leur système.
Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs
contacts, ce qui perpétue le cycle de vie des canulars. On y retrouve notamment des canulars liés aux téléphones
cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc.
Dans la plupart des cas, il est impossible de traquer l'intention du créateur.
En un mot, si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il
s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est
légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant
139
à un message reçu.
5.2.3 Hameçonnage
Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de
piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son
but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc.
La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise
digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et
contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité
à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données
personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données, si elles
sont soumises, peuvent facilement être volées et utilisées à des fins illégales.
Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms
d'utilisateur et mots de passe dans un message non sollicité.
5.2.4 Reconnaissance des pourriels
Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux
lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel.
L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts
On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant.
On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de
vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe.
Le message est écrit dans une langue étrangère.
On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez de l'acheter quand même,
assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit).
Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de
« viagra », etc.
5.2.4.1 Règles
Dans le contexte des solutions antipourriel et des clients de messagerie, les règles sont des outils permettant de
manipuler les fonctions de messagerie. Elles se composent de deux parties logiques :
1) la condition (par exemple, un message entrant provenant d'une certaine adresse)
2) l'action (par exemple, la suppression du message ou son déplacement vers un dossier particulier).
Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de
protection contre les pourriels (messages non sollicités). Exemples caractéristiques :
condition : un message entrant contient des mots habituellement utilisés dans les pourriels 2. action : supprimer
le message
condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. action : supprimer la
pièce jointe et livrer le message dans la boîte aux lettres
condition : un message entrant arrive de votre employeur 2. action : déplacer le message dans le dossier
« Travail ».
Il est recommandé d'utiliser une combinaison de règles dans les programmes antipourriel afin de faciliter
l'administration et mieux filtrer les pourriels.
140
5.2.4.2 Filtre bayésien
Le filtrage bayésien est une méthode efficace de filtrage des messages utilisée par la plupart des produits
antipourriel. Il permet d'identifier les messages non sollicités avec un haut degré de précision et peut s'adapter à
l'utilisateur.
Il fonctionne de la façon suivante : tout commence par une phase d'apprentissage. L'utilisateur doit alors désigner
un nombre suffisant de messages entrants comme messages légitimes ou pourriel (normalement 200/200). Le
filtre analyse les deux catégories et apprend, par exemple, que le pourriel contient généralement les mots « rolex »
ou « viagra » et que les messages légitimes sont envoyés par des membres de la famille ou à partir d'adresses se
trouvant dans la liste de contacts de l'utilisateur. Si un nombre suffisant de messages est traité, le filtre bayésien
peut alors affecter un certain « indice de pourriel » à chaque message pour ainsi déterminer si c'est ou non un
pourriel.
Le principal avantage du filtrage bayésien est sa souplesse. Par exemple, si un utilisateur est biologiste, tous les
messages entrants concernant la biologie ou des champs d'études connexes recevront généralement un indice de
probabilité moindre. Si, par contre, un message contient des mots qui le classeraient normalement comme non
sollicité, mais qu'il a été envoyé par une personne figurant dans la liste de contacts de l'utilisateur, il sera alors
marqué comme légitime dans la mesure où les expéditeurs figurant sur une liste de contacts réduisent la
probabilité générale qu'il s'agisse d'un pourriel.
5.2.4.3 Liste blanche
En général, une liste blanche est une liste d'éléments ou de personnes qui ont été acceptées ou ont obtenu
l'autorisation. Le terme « liste blanche de messagerie » définit une liste de contacts dont l'utilisateur veut recevoir
les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses courriel, des noms de
domaines ou des adresses IP.
Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou
adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais
filtrés d'une autre façon.
Une liste blanche fonctionne sur le principe inverse d'une liste noire 141 . Les listes blanches sont relativement faciles
à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser des listes
blanches et des listes noires.
5.2.4.4 Liste noire
Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits.
Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne
figurent pas sur cette liste.
Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application
antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes spécialisés
que l'on peut trouver sur Internet.
Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de
nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche
141 qu'une liste noire pour filtrer le pourriel de la façon la plus efficace.
5.2.4.5 Contrôle côté serveur
Le contrôle côté serveur est une technique permettant d'identifier le pourriel de masse d'après le nombre de
messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte » numérique
unique en fonction de son contenu. Le numéro d'ID unique ne dit rien à propos du contenu du message. Deux
messages identiques auront une empreinte identique, alors que des messages différents auront une empreinte
différente.
Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs
empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base
d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces
messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des
messages déjà identifiés comme pourriels par d'autres utilisateurs.
141

ESET Mail Security for Microsoft Exchange Server

Transcription

Documents pareils

Quelles adresses et ports doivent être autorisés par mon pare

Accueil et orientation des touristes

Le meilleur Antivirus est il suffisant pour votre protection?

Procédure pour l`installation de l`antivirus - Easy

Huwans Club Aventure

PRIX PUBLIC CONSEILLES EN EUROS (TTC) Tarifs

Untitled