Whitelisting SpamAssassin

Procédure de configuration pour Apache SpamAssassin

Important : SpamAssassin ne dispose pas d'interface graphique. La configuration se fait en éditant directement le fichier de configuration, généralement situé à /etc/mail/spamassassin/local.cf ou /etc/spamassassin/local.cf. Un accès administrateur (root) au serveur est nécessaire.

Sommaire

  1. Méthode recommandée — Règle personnalisée par IP
  2. Méthode alternative — whitelist_auth (SPF/DKIM)
  3. Redémarrage de SpamAssassin
1.
Méthode recommandée — Règle personnalisée par IP

Cette méthode crée une règle SpamAssassin qui identifie les emails provenant de notre serveur SMTP grâce à son adresse IP dans les en-têtes Received, puis applique un score fortement négatif pour garantir la livraison. C'est la méthode la plus fiable car l'adresse IP dans les en-têtes Received ajoutés par vos serveurs de confiance ne peut pas être falsifiée.

  1. Ouvrez le fichier de configuration SpamAssassin avec un éditeur de texte :
    sudo nano /etc/mail/spamassassin/local.cf
    Note : Selon votre distribution, le fichier peut se situer à /etc/spamassassin/local.cf.
  2. Ajoutez les lignes suivantes à la fin du fichier :
    # ----------------------------------------------- # LePhish – Simulation de phishing # Whitelist par IP du serveur SMTP # ----------------------------------------------- # Détection de l'IP LePhish dans les en-têtes Received header __LEPHISH_IP Received =~ /\[185\.157\.245\.77\]/ # Règle méta : si l'IP correspond, appliquer le score meta LEPHISH_WHITELIST (__LEPHISH_IP) describe LEPHISH_WHITELIST LePhish - Simulation de phishing (whitelist) score LEPHISH_WHITELIST -100
  3. Enregistrez le fichier et fermez l'éditeur.
Explication : La directive header vérifie la présence de l'IP 185.157.245.77 dans les en-têtes Received du message. La directive meta regroupe cette condition sous un nom de règle. Le score -100 compense largement le seuil de spam par défaut (5.0), garantissant que les emails de simulation ne seront jamais marqués comme spam.
2.
Méthode alternative — whitelist_auth (SPF/DKIM)

Si vous préférez une approche basée sur l'authentification des expéditeurs, vous pouvez utiliser la directive whitelist_auth. Cette méthode vérifie que le message a bien été envoyé par un expéditeur autorisé via SPF ou DKIM avant d'appliquer le whitelisting. Tous nos domaines disposent d'enregistrements SPF, DKIM et DMARC valides.

Prérequis : Les plugins SPF (Mail::SpamAssassin::Plugin::SPF) et/ou DKIM (Mail::SpamAssassin::Plugin::DKIM) doivent être activés dans votre installation SpamAssassin pour que cette méthode fonctionne.
  1. Ouvrez le fichier de configuration SpamAssassin :
    sudo nano /etc/mail/spamassassin/local.cf
  2. Ajoutez les lignes suivantes à la fin du fichier :
    # ----------------------------------------------- # LePhish – Simulation de phishing # Whitelist par authentification SPF/DKIM # ----------------------------------------------- whitelist_auth *@lephish.com whitelist_auth *@lephish.fr whitelist_auth *@departement-informatique.fr whitelist_auth *@linkedin.com.hr whitelist_auth *@github.support whitelist_auth *@mircosoft365.fr whitelist_auth *@zendesk-support.fr whitelist_auth *@ta-mutuelle.fr whitelist_auth *@securelink-services.com whitelist_auth *@livraison-laposte.fr whitelist_auth *@quarantaine-notification.com whitelist_auth *@hackers.solutions whitelist_auth *@ressources-humaines-du-groupe.fr whitelist_auth *@espace-client.ovh whitelist_auth *@sage.com.hr whitelist_auth *@docusign-fr.com whitelist_auth *@mon-interessement.fr whitelist_auth *@cegld.com whitelist_auth *@microsofr-teams.com whitelist_auth *@slack-online.com whitelist_auth *@cybermalveillance-qouv.fr whitelist_auth *@login-mircosoft.com whitelist_auth *@qooqle-alert.com whitelist_auth *@qooqle-share.com whitelist_auth *@la-gazette-des-communes.fr whitelist_auth *@chatgpt-validation.com whitelist_auth *@com-session.com whitelist_auth *@cosoluce-security.fr whitelist_auth *@join-conference.com whitelist_auth *@yousiqn.com whitelist_auth *@passoptions.com whitelist_auth *@edenerd.fr whitelist_auth *@organisation-file.com whitelist_auth *@www-amaz-on.com whitelist_auth *@mail-drogbox.com whitelist_auth *@avertissement-rgpd.fr
  3. Enregistrez le fichier et fermez l'éditeur.
Pourquoi whitelist_auth plutôt que whitelist_from ? La directive whitelist_from se base uniquement sur l'adresse d'expédition, qui peut être falsifiée par un spammeur. La directive whitelist_auth vérifie en plus que le message a passé les contrôles SPF ou DKIM, ce qui garantit que l'email provient bien de nos serveurs.
3.
Redémarrage de SpamAssassin

Après avoir modifié le fichier de configuration, vous devez redémarrer le service SpamAssassin pour que les changements prennent effet.

  1. Vérifiez d'abord que la configuration ne contient pas d'erreurs de syntaxe :
    spamassassin --lint
    Si aucune erreur n'est affichée, la configuration est valide.
  2. Redémarrez le service SpamAssassin :
    sudo systemctl restart spamassassin
    Ou, sur les systèmes plus anciens :
    sudo service spamassassin restart
  3. Vérifiez que le service est bien actif :
    sudo systemctl status spamassassin
Vérification

Une fois la configuration terminée et le service redémarré, nous vous recommandons de lancer une campagne de test manuelle depuis votre espace client LePhish pour vérifier que :

  • Les emails de simulation arrivent correctement dans les boîtes de réception
  • Les en-têtes X-Spam-Status contiennent bien la règle LEPHISH_WHITELIST avec un score négatif (si vous avez utilisé la méthode 1)
  • Les emails ne sont pas marqués comme spam ni mis en quarantaine

Vous pouvez également tester manuellement le score d'un email de simulation avec la commande :

spamassassin -t < fichier_email_test.eml
← Retour aux procédures de whitelisting