Vous possédez votre propre site, vos adresses email de domaine, et votre boîte de réception commence à ressembler à une décharge numérique ? Bienvenue dans le monde merveilleux du spam.
Si vous ne souhaitez pas confier toute votre correspondance à un service tiers, et si votre hébergeur propose cPanel, vous pouvez réduire fortement le spam avec Apache SpamAssassin, Spam Box, Auto-Delete et des filtres email globaux.
SpamAssassin analyse chaque message entrant et lui attribue un score. Plus le score est élevé, plus le message ressemble à du spam. cPanel explique que SpamAssassin examine les emails entrants, calcule un score antispam, puis utilise ce score pour classer, déplacer ou supprimer les messages selon votre configuration. Voir la documentation cPanel sur les filtres antispam.
L’idée n’est pas de supprimer aveuglément tout ce qui bouge. La bonne approche consiste à activer SpamAssassin, observer les résultats, déplacer les spams dans un dossier dédié, puis seulement ensuite envisager la suppression automatique des messages les plus évidents.
SpamAssassin, c’est quoi ?
Apache SpamAssassin est une plateforme antispam open source. Elle utilise un système de score, des règles heuristiques, l’analyse du contenu, des listes DNS, du filtrage bayésien et plusieurs bases collaboratives pour classer les emails. Le site officiel du projet le décrit comme une plateforme antispam open source destinée aux administrateurs système, avec un framework de scoring et de nombreux tests sur les en-têtes et le corps des messages. Voir le site officiel Apache SpamAssassin.
Chaque email reçoit donc un score. Exemple simplifié :
| Score | Interprétation | Action possible |
|---|---|---|
2.0 | Probablement légitime | Livrer normalement |
5.0 | Suspect | Marquer comme spam ou déplacer |
8.0 | Très suspect | Déplacer vers Spam Box |
10.0+ | Spam quasi certain | Suppression automatique envisageable |
Un seuil plus bas rend le filtre plus agressif. Un seuil plus haut le rend plus prudent. Donc, si vous baissez le score à 3, vous attraperez plus de spam, mais vous augmentez aussi le risque de faux positifs.
Activer SpamAssassin dans cPanel
Dans cPanel, l’interface s’appelle généralement Spam Filters, ou Filtres antispam selon la langue de votre compte.
Pour l’activer :
- connectez-vous à cPanel ;
- allez dans Email ;
- ouvrez Spam Filters ;
- activez Process New Emails and Mark them as Spam ;
- réglez le score antispam ;
- activez éventuellement Spam Box pour déplacer les spams dans un dossier dédié.
cPanel précise que les fonctions Spam Box et Auto-Delete nécessitent d’abord l’activation d’Apache SpamAssassin. Voir la documentation cPanel.
Pour commencer, je conseille généralement de ne pas activer immédiatement la suppression automatique. Activez d’abord le marquage et Spam Box, puis observez pendant quelques jours. C’est moins spectaculaire, mais beaucoup plus sain.
Choisir le bon score antispam
Le score est le cœur du système. SpamAssassin ajoute des points selon les signaux trouvés dans le message : domaine suspect, URL douteuse, formatage agressif, mots typiques de spam, incohérences d’en-têtes, réputation, tests bayésiens, etc.
Dans cPanel, le score par défaut est souvent autour de 5. C’est un point de départ correct, mais pas toujours idéal.
| Seuil | Niveau | Usage conseillé |
|---|---|---|
3 | Très agressif | Risque de faux positifs important |
5 | Standard | Bon point de départ |
7 | Prudent | Bien si vous recevez des emails clients variés |
10 | Très prudent | Utile pour supprimer seulement les spams évidents |
Si vous utilisez l’adresse email pour du business, des commandes, des demandes clients ou des notifications importantes, ne commencez pas trop bas. Un spam dans un dossier, c’est pénible. Un lead client supprimé automatiquement, c’est une petite tragédie commerciale.
Spam Box ou Auto-Delete : que choisir ?
cPanel propose généralement deux grands comportements : déplacer les messages dans Spam Box, ou les supprimer automatiquement avec Auto-Delete.
Spam Box
Spam Box déplace les messages identifiés comme spam dans un dossier dédié. Vous pouvez ensuite les consulter, les supprimer ou récupérer un faux positif.
Vos mises à jour vous font peur ?
PHP 8.x qui casse un plugin, un thème qui n'est plus maintenu, une mise à jour de WooCommerce qui change tout — je gère les montées de version proprement, avec environnement de staging et rollback prévu.
Mettons votre stack à jour sans risque →C’est la méthode la plus prudente. Elle convient bien au départ, surtout si vous n’avez pas encore calibré le score.
Spam Auto-Delete
Spam Auto-Delete supprime automatiquement les messages qui atteignent ou dépassent le score choisi.
La documentation cPanel Webmail prévient que le seuil Auto-Delete supprime définitivement les messages qui atteignent ce score, et que cela peut inclure des messages non spam si le seuil est mal configuré. Voir l’avertissement cPanel Webmail.
Si vous activez Auto-Delete, réglez-le plutôt haut, par exemple 8, 10 ou plus, afin de supprimer uniquement les spams les plus évidents.
Méthode recommandée : marquer, observer, puis supprimer
La méthode la plus sûre se déroule en trois temps.
- Activez SpamAssassin avec un score raisonnable, par exemple
5. - Activez Spam Box, pas Auto-Delete.
- Surveillez les spams et les faux positifs pendant quelques jours.
Ensuite seulement, si vous recevez beaucoup de spam évident, activez Auto-Delete avec un score plus haut, par exemple 10.
Cette stratégie évite de perdre des emails légitimes pendant la phase de calibration. Elle donne aussi une meilleure idée de la qualité du filtrage sur votre domaine.
Utiliser un filtre global basé sur X-Spam-Status
SpamAssassin ajoute généralement des en-têtes aux messages analysés. L’un des plus utiles est X-Spam-Status.
Un message classé comme spam peut contenir un en-tête proche de ceci :
X-Spam-Status: Yes, score=8.4 required=5.0 tests=BAYES_99,HTML_MESSAGE,SPF_FAIL autolearn=spamLangage du code : HTTP (http)On peut donc créer un filtre global qui agit sur les messages dont X-Spam-Status commence par Yes.
Dans cPanel :
- ouvrez Email ;
- allez dans Global Email Filters ;
- cliquez sur Create a New Filter ;
- donnez un nom clair, par exemple
Discard SpamAssassin spam; - choisissez la règle Spam Status ;
- sélectionnez begins with ;
- saisissez
Yes; - choisissez l’action souhaitée.
cPanel documente les Global Email Filters comme des règles appliquées aux messages entrants au niveau global du compte. L’interface permet de créer, modifier et supprimer des filtres qui effectuent une action lorsqu’un message correspond à une règle. Voir la documentation cPanel sur les filtres globaux.
Quelle action choisir dans le filtre ?
Dans l’ancien article, la règle utilisait :
Rules : Spam Status begins with YES
Actions : Discard message
Cela fonctionne, mais je le réserverais aujourd’hui aux cas où vous êtes certain du calibrage.
Actions possibles selon votre interface cPanel :
| Action | Effet | Recommandation |
|---|---|---|
| Deliver to folder | Déplace le message | Meilleur choix au départ |
| Redirect to email | Transfère vers une adresse dédiée | Utile pour audit |
| Discard message | Supprime silencieusement | À utiliser avec prudence |
| Fail with message | Refuse avec message SMTP | Peut générer du bruit inutile |
Pour commencer, je préfère déplacer les messages dans un dossier Spam ou Junk. Une fois le filtre validé, vous pouvez passer en suppression automatique pour les scores élevés uniquement.
Filtrer uniquement les spams très évidents
Au lieu de supprimer tous les messages dont X-Spam-Status commence par Yes, vous pouvez cibler les scores élevés si cPanel expose le bon champ ou si votre hébergeur permet une règle plus fine.
Exemple logique :
X-Spam-Status contains score=10ou, selon l’interface disponible :
Spam Score is greater than 10Les possibilités exactes dépendent de la version de cPanel, du thème d’interface et de la configuration serveur. La documentation cPanel sur les filtres email précise que les filtres peuvent agir selon différentes règles et actions, mais certains champs ou comportements dépendent de la configuration. Voir la documentation cPanel sur les filtres par compte.
Whitelist et blacklist : à utiliser sobrement
cPanel permet généralement d’ajouter des adresses ou domaines en liste blanche et liste noire.
La whitelist sert à éviter qu’un expéditeur légitime soit classé en spam. La blacklist sert à pénaliser ou bloquer certains expéditeurs récurrents.
Quelques règles simples :
- ajoutez en whitelist uniquement les expéditeurs fiables ;
- évitez de whitelister tout un domaine trop large ;
- ne blacklisttez pas des domaines géants comme Gmail ou Outlook ;
- blacklisttez plutôt des domaines ou adresses vraiment récurrents ;
- surveillez les faux positifs avant de durcir les règles.
Un bon filtre antispam se règle comme un ampli : si vous poussez tous les boutons à fond, ça fait du bruit, pas de la précision.
Comprendre le filtrage bayésien de SpamAssassin
SpamAssassin peut utiliser un filtrage bayésien. Le principe : apprendre à reconnaître les mots, fragments et structures fréquents dans les spams et dans les messages légitimes.
La documentation Apache explique que le classificateur bayésien identifie des tokens, c’est-à-dire des mots ou séquences courtes, fréquemment présents dans les spams ou les messages légitimes. Voir la documentation Apache sur Bayes dans SpamAssassin.
L’outil sa-learn permet d’entraîner SpamAssassin avec des messages spam et non spam. La documentation officielle indique que l’analyse bayésienne peut réduire les faux positifs et faux négatifs, parce qu’elle apprend à partir de votre propre flux email. Voir la documentation sa-learn.
Sur un hébergement mutualisé cPanel, vous n’aurez pas toujours accès à sa-learn. Mais si l’hébergeur expose des fonctions d’apprentissage dans Webmail ou cPanel, utilisez-les : le filtre deviendra plus pertinent avec vos vrais emails.
Ne pas oublier SPF, DKIM et DMARC
SpamAssassin filtre les messages entrants, mais la qualité globale de votre messagerie dépend aussi de l’authentification email.
Assurez-vous que votre domaine possède :
- SPF : indique quels serveurs peuvent envoyer pour votre domaine ;
- DKIM : signe cryptographiquement les emails sortants ;
- DMARC : donne une politique de traitement quand SPF ou DKIM échouent.
Ces réglages ne remplacent pas SpamAssassin, mais ils améliorent la délivrabilité et aident à lutter contre l’usurpation de domaine. Dans cPanel, ils se trouvent souvent dans Email Deliverability.
Cas des catch-all : attention à l’aspirateur à spam
Si votre domaine utilise une adresse catch-all, vous recevez tous les emails envoyés vers n’importe quelle adresse inexistante du domaine.
Exemple :
nimporte-quoi@example.com
test123@example.com
facturation-fausse@example.comLangage du code : CSS (css)C’est pratique pour ne rien rater, mais c’est aussi une autoroute à spam. Si vous recevez trop d’indésirables, vérifiez votre configuration Default Address dans cPanel.
Dans beaucoup de cas, il vaut mieux désactiver le catch-all, créer les vraies adresses nécessaires, puis filtrer proprement. Le catch-all, c’est comme laisser toutes les fenêtres ouvertes et se plaindre des moustiques.
Tester votre configuration antispam
Après activation, envoyez-vous quelques emails de test depuis des comptes externes. Vérifiez ensuite :
- si les messages légitimes arrivent correctement ;
- si les spams sont marqués ;
- si les en-têtes
X-Spam-Statussont présents ; - si Spam Box reçoit bien les messages classés spam ;
- si les filtres globaux s’appliquent ;
- si aucun email important ne disparaît.
Dans un client email, affichez la source complète du message pour inspecter les en-têtes. Cherchez notamment :
X-Spam-Status
X-Spam-Score
X-Spam-Bar
X-Spam-ReportCes en-têtes vous donnent une idée de la décision de SpamAssassin et des règles déclenchées.
Configuration recommandée pour commencer
Pour un domaine classique avec quelques boîtes email, voici une configuration prudente :
- SpamAssassin activé ;
- score de marquage à
5ou6; - Spam Box activée ;
- Auto-Delete désactivé au début ;
- filtres globaux en mode déplacement, pas suppression ;
- vérification des faux positifs pendant une semaine ;
- Auto-Delete activé ensuite uniquement avec un score élevé, par exemple
10.
Si vous recevez énormément de spam, vous pouvez durcir progressivement. Mais faites-le par étapes. Un antispam trop brutal donne une impression de propreté, jusqu’au jour où il a mangé un email client.
Résumé rapide
Pour réduire le spam avec SpamAssassin dans cPanel :
- ouvrez cPanel ;
- allez dans Email > Spam Filters ;
- activez Process New Emails and Mark them as Spam ;
- réglez le score, par exemple
5ou6; - activez Spam Box ;
- observez les résultats ;
- créez un filtre global basé sur
Spam Status begins with Yessi nécessaire ; - n’activez Auto-Delete qu’avec un score élevé, après vérification.
Ancienne règle simple :
Rules : Spam Status begins with Yes
Actions : Discard message
Nouvelle recommandation plus prudente : déplacez d’abord vers Spam Box, puis supprimez automatiquement seulement les spams avec un score très élevé.
Conclusion
SpamAssassin reste une solution efficace pour réduire le spam sur une messagerie gérée par cPanel. Il analyse chaque message, calcule un score, ajoute des en-têtes, puis permet à cPanel de déplacer ou supprimer les messages selon vos réglages.
La clé, c’est le calibrage. Commencez avec Spam Box, surveillez les faux positifs, puis activez la suppression automatique uniquement pour les scores élevés.
En combinant SpamAssassin, filtres globaux, SPF, DKIM, DMARC et un catch-all bien maîtrisé, vous pouvez réduire fortement le volume de spam sans livrer votre messagerie à un service tiers.
Le spam ne disparaîtra jamais complètement. Mais avec une bonne configuration, il peut redevenir ce qu’il devrait toujours être : un bruit de fond, pas votre deuxième boulot.
Sources utiles
- cPanel : Spam Filters
- cPanel : Global Email Filters
- cPanel : Email Filters
- cPanel Webmail : Fight Spam
- Apache SpamAssassin : filtrage bayésien
- Apache SpamAssassin : documentation sa-learn
Besoin d'un coup de main ?
Ce bug qui traîne depuis des semaines, ce plugin qui casse votre mise en page, cette fonctionnalité que personne n'arrive à implémenter proprement — c'est exactement ce que je règle au quotidien depuis 20 ans.
Parlons de votre problème →
