Créer des listes d’expéditeurs bloqués dans EOP

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, EOP offre plusieurs façons de bloquer les e-mails des expéditeurs indésirables. Collectivement, vous pouvez considérer ces options comme des listes d’expéditeurs bloqués.

La liste suivante contient les méthodes disponibles pour bloquer les expéditeurs dans EOP de la plus recommandée à la moins recommandée :

1. Bloquer les entrées pour les domaines et les adresses de messagerie (y compris les expéditeurs usurpés) dans la liste verte/bloquée des locataires.
2. Expéditeurs bloqués Outlook (liste Expéditeurs bloqués dans chaque boîte aux lettres qui affecte uniquement cette boîte aux lettres).
3. Listes d’expéditeurs bloqués ou listes de domaines bloqués (stratégies anti-courrier indésirable).
4. Règles de flux de messagerie Exchange (également appelées règles de transport).
5. Liste d’adresses IP bloquées (filtrage de connexion).

Le reste de cet article contient des détails sur chaque méthode.

Conseil

Envoyez toujours des messages dans vos listes d’expéditeurs bloqués à Microsoft à des fins d’analyse. Pour obtenir des instructions, consultez Signaler des e-mails douteux à Microsoft. Si les messages ou sources de messages sont considérés comme dangereux, Microsoft peut bloquer automatiquement les messages et vous n’aurez pas besoin de conserver manuellement l’entrée dans les listes d’expéditeurs bloqués.

Au lieu de bloquer les e-mails, vous disposez également de plusieurs options pour autoriser les e-mails provenant de sources spécifiques à l’aide de listes d’expéditeurs approuvés. Si vous souhaitez en savoir plus, consultez la page Créer des listes d’expéditeurs approuvés.

Un message électronique SMTP standard peut contenir différentes adresses e-mail de l’expéditeur, comme décrit dans Pourquoi la messagerie Internet a besoin d’une authentification. Souvent, l’adresse MAIL FROM (également appelée 5321.MailFrom adresse, expéditeur P1 ou expéditeur d’enveloppe) et l’adresse de départ (également appelée 5322.From adresse ou expéditeur P2) sont les mêmes. Toutefois, lorsque l’e-mail est envoyé au nom d’une autre personne, les adresses peuvent être différentes. Les listes d’expéditeurs bloqués et les listes de domaines bloqués dans les stratégies anti-courrier indésirable inspectent uniquement l’adresse De. Ce comportement est similaire à celui des expéditeurs bloqués Outlook qui utilisent l’adresse De.

Utiliser des entrées de bloc dans la liste verte/bloquée du locataire

L’option la plus recommandée pour bloquer les messages provenant d’expéditeurs ou de domaines spécifiques est la liste verte/bloquée des locataires. Pour obtenir des instructions, consultez Créer des entrées de bloc pour les domaines et les adresses de messagerie et Créer des entrées de bloc pour les expéditeurs usurpés.

Email messages de ces expéditeurs sont marqués comme courrier indésirable à haut niveau de confiance (SCL = 9). Ce qui arrive aux messages est déterminé par la stratégie anti-courrier indésirable qui a détecté le message pour le destinataire. Dans les stratégies de sécurité prédéfinies Standard et Strict, les messages indésirables à haut niveau de confiance sont mis en quarantaine.

En outre, les utilisateurs du organization ne peuvent pas envoyer d’e-mail à ces domaines et adresses bloqués. Le message est retourné dans le rapport de non-remise suivant (également appelé notification d’échec de remise ou message de rebond) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. le message entier est bloqué pour tous les destinataires internes et externes du message, même si un seul domaine ou adresse e-mail du destinataire est défini dans une entrée de bloc.

Ce n’est que si vous ne pouvez pas utiliser la liste verte/bloquée des locataires pour une raison quelconque que vous devez envisager d’utiliser une méthode différente pour bloquer les expéditeurs.

Utiliser des expéditeurs bloqués Outlook

Lorsque seuls quelques utilisateurs ont reçu des e-mails indésirables, les utilisateurs ou administrateurs peuvent ajouter les adresses e-mail de l’expéditeur à la liste Des expéditeurs bloqués dans la boîte aux lettres. Pour obtenir des instructions, consultez les articles suivants :

• Utilisateurs : bloquer ou débloquer des expéditeurs dans Outlook.
• Administrateurs : configurez les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres dans Microsoft 365.

Lorsque les messages sont correctement bloqués en raison de la liste Des expéditeurs bloqués d’un utilisateur, le champ d’en-tête X-Forefront-Antispam-Report contient la valeur SFV:BLK.

Conseil

Si les messages indésirables sont des bulletins d’informations provenant d’une source fiable et reconnaissable, la désinscrition de l’e-mail est une autre option pour empêcher l’utilisateur de recevoir les messages.

Utiliser des listes d’expéditeurs bloqués ou des listes de domaines bloqués

Lorsque plusieurs utilisateurs sont affectés, l’étendue est plus large. La meilleure option suivante est les listes d’expéditeurs bloqués ou les listes de domaines bloqués dans les stratégies anti-courrier indésirable personnalisées ou la stratégie anti-courrier indésirable par défaut. Les messages des expéditeurs des listes sont marqués comme courrier indésirable à haut niveau de confiance, et l’action que vous avez configurée pour le verdict du filtre courrier indésirable à haute confiance est effectuée sur les messages. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.

La limite maximale pour ces listes est d’environ 1 000 entrées.

Utiliser des règles de flux de messagerie

Les règles de flux de messagerie peuvent également rechercher des mots clés ou d’autres propriétés dans les messages indésirables.

Quelles que soient les conditions ou exceptions que vous utilisez pour identifier les messages, vous configurez l’action pour définir le niveau de confiance du courrier indésirable (SCL) du message sur 9, ce qui marque le message comme courrier indésirable à haut niveau de confiance. Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir la liste SCL dans les messages.

Importante

Il est facile de créer des règles trop agressives. Il est donc important d’identifier uniquement les messages que vous souhaitez bloquer à l’aide de critères très spécifiques. Veillez également à surveiller l’utilisation de la règle pour vous assurer que tout fonctionne comme prévu.

Utiliser la liste d’adresses IP bloquées

Lorsqu’il n’est pas possible d’utiliser l’une des autres options pour bloquer un expéditeur, vous devez utiliser la liste d’adresses IP bloquées dans la stratégie de filtre de connexion. Pour plus d'informations, consultez la rubrique relative à la configuration de la stratégie de filtre de connexion. Il est important de limiter au minimum le nombre d’adresses IP bloquées. Nous vous déconseillons donc de bloquer des plages d’adresses IP entières.

Vous devez en particulier éviter d’ajouter des plages d’adresses IP qui appartiennent à des services grand public (par exemple, outlook.com) ou des infrastructures partagées. Vous devez également consulter la liste des adresses IP bloquées dans le cadre d’une maintenance régulière.