Cet article explique comment vous pouvez envoyer des faux courrier indésirable positifs et des faux courrier indésirable négatifs à Proofpoint pour une analyse plus approfondie.
Les administrateurs et les utilisateurs finaux peuvent signaler les faux positifs et les faux négatifs. Pour les utilisateurs finaux, l' administrateur doit d'abord activer les résumés d'utilisateur final. Les utilisateurs finaux peuvent ensuite signaler les faux positifs et les faux négatifs à partir du résumé. Le signalement de faux négatifs nécessite l'utilisation du dossier Audit dans la Quarantaine.
Cela nécessite également la création d'un groupe de signalement de spam.
Faux négatifs
Les faux négatifs sont des messages considérés comme du courrier indésirable par l'utilisateur final, mais comme ils ont été notés en dessous de 50 par le moteur MLX, ils ont été livrés à l'utilisateur final. En signalant ces messages au Proofpoint Attack Response Center (PARC), vous pouvez contribuer à améliorer l'efficacité du courrier indésirable contre ce type de message spécifique.
Afin d'examiner complètement le message signalé, le PARC a besoin de l'intégralité du message original/non modifié. Étant donné que la meilleure façon de capturer le message d'origine est de le mettre en quarantaine (avant qu'il n'arrive sur votre serveur de messagerie), nous utilisons la fonction "Audit Messages" pour stocker les messages Not Spam dans le dossier Audit.
Deux étapes sont nécessaires pour activer le signalement des faux négatifs :
- Activer l'audit dans toutes les politiques anti-spam
- Activer les messages d'audit pour les utilisateurs
Activer l'audit dans toutes les politiques anti-spam
Cette option mettra en quarantaine (dans le dossier Audit) tout message (<200K) marqué comme Non Spam qui n'est également mis en quarantaine par aucune autre règle.
- Cliquez sur Détection de spam > Stratégies .
- Modifiez la stratégie par défaut .
- Modifiez la règle Pas de spam .
- Cochez la case Inclure dans le dossier d'audit .
- Cliquez sur Enregistrer les modifications .
- Répétez ces étapes pour toutes les autres politiques de courrier indésirable .
Remarque : Les messages " Not Spam " ne seront pas copiés dans le dossier Audit tant que la fonctionnalité " Audit Message " n'est pas réellement activée pour un ou plusieurs utilisateurs (étape suivante).
Activer les messages d'audit pour les utilisateurs
Accédez à Groupes et utilisateurs / Utilisateurs et cochez la case à côté de chaque utilisateur qui utilisera cette fonctionnalité.
- Cliquez sur le bouton Groupes .
- Sous la colonne "Groupes disponibles", cliquez sur Spam Reporting , puis cliquez sur >> pour le déplacer sous la colonne "Ajouter".
- Cliquez sur Enregistrer les modifications .
Une fois ces étapes terminées, les e-mails marqués comme "Pas de spam" commenceront à apparaître dans le dossier Audit de la quarantaine.
Pour des raisons de performances, nous vous déconseillons d'activer les messages d'audit pour tous les utilisateurs. Si vous décidez de l'activer pour tous les utilisateurs, faites-le sur Groupes et utilisateurs / Global.
Faux positifs
Les faux positifs sont des messages marqués comme courrier indésirable mais considérés comme des e-mails valides par l'utilisateur final. Les faux positifs sont très rares et sont traités avec la plus haute priorité par Proofpoint. Les résumés permettent de signaler les faux positifs dans la configuration par défaut. Les utilisateurs cliquent sur le lien Pas de spam à côté d'un message individuel et cet e-mail est ensuite envoyé directement de la quarantaine au Proofpoint Attack Response Center.
Si ce lien n'apparaît pas dans votre résumé, vérifiez les points suivants :
- Cliquez sur Digest / Commands / Display Spam False-Positive Link (on).
- Cliquez sur Digest / Filtres / Modules . Cliquez sur Spam , Options puis Commandes Digest . "Signaler un faux spam positif" devrait se trouver sur le côté droit.
- Digest / Contenu / Libellés. Vérifiez le nom attribué à "Signaler un faux spam positif".
Signaler directement depuis la quarantaine
Un administrateur peut effectuer la même fonction de rapport, mais directement depuis la Quarantaine :
- Accédez à Quarantaine / Messages.
- Rechercher un message par objet, expéditeur, destinataire, etc.
- Cochez la case à côté du message et cliquez sur Options / Rapport .
Si vous ne souhaitez pas que vos utilisateurs puissent signaler les messages directement à partir de leur résumé et que seuls les administrateurs signalent directement à partir de la quarantaine, modifiez les options suivantes :
- Résumé > Commandes. Désactivez "Signaler les faux spams positifs".
- Résumé > Commandes. Désactivez "Signaler les faux spams négatifs".
- Groupes et utilisateurs > Groupes. Cochez la case à côté de Spam Reporting et cliquez sur Attributs . Définissez "Inclure les messages d'audit dans le résumé" sur "Par défaut" et enregistrez.
Ces modifications continueront de stocker à la fois les courrier indésirable et les non- courrier indésirable dans la quarantaine, mais les utilisateurs finaux ne verront plus la section Audit dans leur résumé et ils ne verront plus l'option "Pas de spam" dans la section Quarantaine.
