Ordre et priorité de la protection des e-mails

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, le courrier entrant peut être marqué par plusieurs formes de protection. Par exemple, la protection contre l’usurpation d’identité disponible pour tous les clients Microsoft 365 et la protection contre l’emprunt d’identité qui est disponible pour Microsoft Defender pour Office 365 clients uniquement. Les messages passent également par plusieurs analyses de détection des programmes malveillants, du courrier indésirable, du hameçonnage, etc. Compte tenu de toute cette activité, il peut y avoir une certaine confusion quant à la stratégie appliquée.

En général, une stratégie appliquée à un message est identifiée dans l’en-tête X-Forefront-Antispam-Report de la propriété CAT (Category). Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

Deux facteurs principaux déterminent la stratégie appliquée à un message :

• L’ordre de traitement pour le type de protection de messagerie : cette commande n’est pas configurable et est décrite dans le tableau suivant :

  Commande	protection Email	Catégorie	Où gérer
  1	Programme malveillant	CAT:MALW	Configurer des stratégies anti-programme malveillant dans EOP
  2	Hameçonnage à haute fiabilité	CAT:HPHSH	Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
  3	Hameçonnage	CAT:PHSH	Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
  4	Courrier fortement suspecté d’être indésirable	CAT:HSPM	Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
  5	Usurpation	CAT:SPOOF	Insight d’intelligence d’usurpation d’identité dans EOP
  6*	Emprunt d’identité d’utilisateur (utilisateurs protégés)	CAT:UIMP	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
  7*	Emprunt d’identité de domaine (domaines protégés)	CAT:DIMP	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
  8*	Intelligence des boîtes aux lettres (graphe des contacts)	CAT:GIMP	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
  9	Courrier indésirable	CAT:SPM	Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
  10	Courrier en nombre	CAT:BULK	Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection

  ^*Ces fonctionnalités sont disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

• Ordre de priorité des stratégies : L’ordre de priorité de la stratégie est indiqué dans la liste suivante :

  1. Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes^* fiables dans la stratégie de sécurité prédéfinie Strict (lorsqu’elle est activée).

  2. Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes^* fiables dans la stratégie de sécurité prédéfinie Standard (lorsqu’elle est activée).

  3. Stratégies personnalisées anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes fiables (lorsqu’elles sont créées^* ).

     Une valeur de priorité par défaut est affectée aux stratégies personnalisées lorsque vous créez la stratégie (plus récent est supérieur), mais vous pouvez modifier la valeur de priorité à tout moment. Cette valeur de priorité affecte l’ordre dans lequel les stratégies personnalisées de ce type (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.) sont appliquées, mais n’affecte pas où les stratégies personnalisées sont appliquées dans l’ordre global.

  4. Anti-hameçonnage, liens fiables et pièces jointes fiables dans Defender for Office 365 stratégies d’évaluation (lorsqu’elles sont activées).

  5. Valeur égale :

     • Les stratégies liens fiables et pièces jointes fiables dans la stratégie de sécurité ^*prédéfinie de protection intégrée.
     • Les stratégies par défaut pour les logiciels anti-programme malveillant, anti-courrier indésirable et anti-hameçonnage.

     Vous pouvez configurer des exceptions à la stratégie de sécurité prédéfinie de protection intégrée, mais vous ne pouvez pas configurer d’exceptions aux stratégies par défaut (elles s’appliquent à tous les destinataires et vous ne pouvez pas les désactiver).

  ^*Defender for Office 365 uniquement.

  L’ordre de priorité est important si le même destinataire est inclus intentionnellement ou involontairement dans plusieurs stratégies, car seule la première stratégie de ce type (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.) est appliquée à ce destinataire, quel que soit le nombre d’autres stratégies dans lesquelles le destinataire est inclus. Il n’y a jamais de fusion ou de combinaison des paramètres dans plusieurs stratégies pour le destinataire. Le destinataire n’est pas affecté par les paramètres des stratégies restantes de ce type.

Par exemple, le groupe nommé « Contoso Executives » est inclus dans les stratégies suivantes :

• Stratégie de sécurité prédéfinie Strict
• Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 0 (priorité la plus élevée)
• Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 1.

Quels paramètres de stratégie anti-courrier indésirable sont appliqués aux membres des cadres de Contoso ? Stratégie de sécurité prédéfinie Strict. Les paramètres des stratégies anti-courrier indésirable personnalisées sont ignorés pour les membres des cadres de Contoso, car la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier.

Autre exemple, considérez les stratégies anti-hameçonnage personnalisées suivantes dans Microsoft Defender pour Office 365 qui s’appliquent aux mêmes destinataires et un message qui contient à la fois l’usurpation d’identité et l’usurpation d’identité de l’utilisateur :

Nom de la stratégie	Priorité	Emprunt d’identité de l’utilisateur	Anti-usurpation d’identité
Stratégie A	1	Activé	Désactivé
Stratégie B	2	Désactivé	Activé

1. Le message est identifié comme usurpation d’identité, car l’usurpation d’identité (5) est évaluée avant l’emprunt d’identité de l’utilisateur (6) dans l’ordre de traitement du type de protection de courrier électronique.
2. La stratégie A est appliquée en premier, car elle a une priorité plus élevée que la stratégie B.
3. En fonction des paramètres de la stratégie A, aucune action n’est effectuée sur le message, car l’anti-usurpation est désactivée.
4. Comme le traitement des stratégies anti-hameçonnage s’arrête pour tous les destinataires inclus, la stratégie B n’est jamais appliquée aux destinataires qui se trouvent également dans la stratégie A.

Pour vous assurer que les destinataires obtiennent les paramètres de protection souhaités, suivez les instructions suivantes pour les appartenances à la stratégie :

• Affectez un plus petit nombre d’utilisateurs à des stratégies de priorité plus élevée et un plus grand nombre d’utilisateurs à des stratégies de priorité inférieure. N’oubliez pas que les stratégies par défaut sont toujours appliquées en dernier.
• Configurez des stratégies de priorité plus élevée pour avoir des paramètres plus stricts ou plus spécialisés que les stratégies de priorité inférieure. Vous disposez d’un contrôle total sur les paramètres des stratégies personnalisées et les stratégies par défaut, mais aucun contrôle sur la plupart des paramètres des stratégies de sécurité prédéfinies.
• Envisagez d’utiliser moins de stratégies personnalisées (utilisez uniquement des stratégies personnalisées pour les utilisateurs qui ont besoin de paramètres plus spécialisés que les stratégies de sécurité prédéfinies Standard ou Strict, ou les stratégies par défaut).

Annexe

Il est important de comprendre comment l’utilisateur autorise et bloque, le locataire autorise et bloque, et comment filtrer les verdicts de pile dans EOP et Defender for Office 365 se complètent ou se contredisent.

• Pour plus d’informations sur le filtrage des piles et la façon dont elles sont combinées, consultez Protection pas à pas contre les menaces dans Microsoft Defender pour Office 365.
• Une fois que la pile de filtrage a déterminé un verdict, c’est seulement alors que les stratégies de locataire et leurs actions configurées sont évaluées.
• S’il existe la même adresse e-mail ou le même domaine dans la liste des expéditeurs approuvés et dans la liste des expéditeurs bloqués d’un utilisateur, la liste Des expéditeurs approuvés est prioritaire.
• Si la même entité (adresse e-mail, domaine, infrastructure d’envoi usurpée, fichier ou URL) existe dans une entrée d’autorisation et une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée de bloc est prioritaire.

L’utilisateur autorise et bloque

Les entrées de la collection de listes approuvées d’un utilisateur (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués sur chaque boîte aux lettres) peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans le tableau suivant :

Verdict de la pile de filtrage	Liste des expéditeurs/destinataires approuvés de l’utilisateur	Liste des expéditeurs bloqués de l’utilisateur
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier fortement suspecté d’être indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier en nombre	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Pas de courrier indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur

• Dans Exchange Online, l’autorisation de domaine dans la liste de l’expéditeur approuvé peut ne pas fonctionner si le message est mis en quarantaine dans l’une des conditions suivantes :
  • Le message est identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
  • Les actions dans les stratégies anti-courrier indésirable sont configurées pour mettre en quarantaine au lieu de déplacer le courrier vers le dossier Email indésirable.
  • L’adresse e-mail, l’URL ou le fichier dans le message électronique se trouve également dans une entrée de bloc dans la liste verte/bloquée du locataire.

Pour plus d’informations sur la collecte de liste sécurisée et les paramètres anti-courrier indésirable sur les boîtes aux lettres utilisateur, consultez Configurer les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres.

Les locataires autorisent et bloquent

Les blocs et les permis de locataire peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans les tableaux suivants :

• Stratégie de remise avancée (ignorer le filtrage pour les boîtes aux lettres SecOps désignées et les URL de simulation de hameçonnage) :

  Verdict de la pile de filtrage	Autoriser la stratégie de livraison avancée
  Programme malveillant	Le locataire gagne : Email remis aux boîtes aux lettres
  Hameçonnage à haute fiabilité	Le locataire gagne : Email remis aux boîtes aux lettres
  Hameçonnage	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier en nombre	Le locataire gagne : Email remis aux boîtes aux lettres
  Pas de courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres

• Règles de flux de messagerie Exchange (également appelées règles de transport) :

  Verdict de la pile de filtrage	La règle de flux de courrier autorise*	Blocs de règle de flux de courrier
  Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine, sauf dans un routage complexe	Filtre gagnant : Email mis en quarantaine
  Hameçonnage	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Courrier en nombre	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Pas de courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur

  ^* Les organisations qui utilisent un service de sécurité ou un appareil tiers devant Microsoft 365 doivent envisager d’utiliser la chaîne de réception authentifiée (ARC) (contactez le tiers pour connaître la disponibilité) et le filtrage amélioré pour les connecteurs (également appelé skip listing) au lieu d’une règle de flux de courrier SCL=-1. Ces méthodes améliorées réduisent les problèmes d’authentification des e-mails et encouragent la défense en profondeur de la sécurité des e-mails .

• Liste d’adresses IP autorisées et liste d’adresses IP bloquées dans les stratégies de filtre de connexion :

  Verdict de la pile de filtrage	Liste d’adresses IP autorisées	Liste d’adresses IP bloquées
  Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email supprimé en mode silencieux
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email supprimé en mode silencieux
  Courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email supprimé en mode silencieux
  Courrier en nombre	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email supprimé en mode silencieux
  Pas de courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email supprimé en mode silencieux

• Autoriser et bloquer les paramètres dans les stratégies anti-courrier indésirable :

  • Liste des expéditeurs et des domaines autorisés.
  • Liste des expéditeurs et des domaines bloqués.
  • Bloquer les messages provenant de pays/régions spécifiques ou dans des langues spécifiques.
  • Bloquer les messages en fonction des paramètres du filtre anti-courrier indésirable avancé (ASF).

  Verdict de la pile de filtrage	La stratégie anti-courrier indésirable autorise	Blocages de la stratégie anti-courrier indésirable
  Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Courrier en nombre	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  Pas de courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres	Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur

• Autoriser les entrées dans la liste verte/bloquée du locataire : il existe deux types d’entrées autorisées :

  • Les entrées autorisées au niveau du message agissent sur l’ensemble du message, quelles que soient les entités contenues dans le message. Les entrées d’autorisation pour l’adresse e-mail et les domaines sont des entrées autorisées au niveau du message.
  • Les entrées autorisées au niveau de l’entité agissent sur le verdict de filtrage des entités. Autoriser les entrées pour les URL, les expéditeurs usurpés et les fichiers sont des entrées autorisées au niveau de l’entité. Pour remplacer les programmes malveillants et les verdicts de hameçonnage à haut niveau de confiance, vous devez utiliser des entrées d’autorisation au niveau de l’entité, que vous pouvez créer par envoi uniquement en raison de La sécurité par défaut dans Microsoft 365.

  Verdict de la pile de filtrage	adresse/domaine Email
  Programme malveillant	Filtre gagnant : Email mis en quarantaine
  Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine
  Hameçonnage	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres
  Courrier en nombre	Le locataire gagne : Email remis aux boîtes aux lettres
  Pas de courrier indésirable	Le locataire gagne : Email remis aux boîtes aux lettres

• Bloquer les entrées dans la liste verte/bloquée du locataire :

  Verdict de la pile de filtrage	adresse/domaine Email	Parodie	Fichier	URL
  Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
  Hameçonnage à haute fiabilité	Le locataire gagne : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
  Hameçonnage	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
  Courrier fortement suspecté d’être indésirable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
  Courrier indésirable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
  Courrier en nombre	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
  Pas de courrier indésirable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine

Conflit entre les paramètres de l’utilisateur et du locataire

Le tableau suivant décrit comment les conflits sont résolus si un e-mail est affecté à la fois par les paramètres d’autorisation/de blocage de l’utilisateur et par les paramètres d’autorisation/de blocage du locataire :

Type de locataire allow/block	Liste des expéditeurs/destinataires approuvés de l’utilisateur	Liste des expéditeurs bloqués de l’utilisateur
Bloquer les entrées dans la liste verte/bloquée du locataire pour : adresses et domaines Email Fichiers URL	Le locataire gagne : Email mis en quarantaine	Le locataire gagne : Email mis en quarantaine
Bloquer les entrées pour les expéditeurs usurpés dans la liste verte/bloquée des locataires	Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable	Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable
Stratégie de livraison avancée	L’utilisateur gagne : Email remis à la boîte aux lettres	Le locataire gagne : Email remis aux boîtes aux lettres
Bloquer les paramètres dans les stratégies anti-courrier indésirable	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Respecter la stratégie DMARC	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Blocs par règles de flux de courrier	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Autorise par : Règles de flux de messagerie Liste d’adresses IP autorisées (stratégie de filtre de connexion) Liste des expéditeurs et des domaines autorisés (stratégies anti-courrier indésirable) Liste Autoriser/Bloquer du client	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur