Protection anti-courrier indésirable
S’applique à : Exchange Server 2013
Les spammeurs, ou expéditeurs malveillants, utilisent diverses techniques pour envoyer des e-mails indésirables dans votre organisation. Aucun outil ou processus n’est capable d’éliminer la totalité du courrier indésirable. Toutefois, Microsoft Exchange Server 2013 offre une approche multifacteur, multifacteur et multidimensionnelle pour réduire ces messages indésirables. Exchange utilise des agents de transport pour fournir une protection anti-courrier indésirable, et les agents intégrés disponibles dans Exchange 2013 sont relativement inchangés par rapport à Microsoft Exchange Server 2010.
Pour plus de fonctionnalités anti-courrier indésirable et une gestion plus facile, vous pouvez choisir d’acheter Microsoft Exchange Online Protection (EOP). Pour une comparaison des fonctionnalités EOP et Exchange 2013, voir Avantages des fonctionnalités anti-courrier indésirable dans Exchange Online Protection par rapport à Exchange Server 2013. Pour en savoir plus sur la protection anti-courrier indésirable Microsoft 365 ou Office 365, voir Protection anti-courrier indésirable dans EOP.
Pour plus d’informations sur les fonctionnalités anti-programme malveillant intégrées dans Exchange 2013, consultez Protection contre les programmes malveillants.
Agents anti-spam sur les serveurs de boîtes aux lettres
En règle générale, vous activez les agents anti-courrier indésirable sur un serveur de boîtes aux lettres si votre organisation n’a pas de serveur de transport Edge ou n’effectue pas de filtrage anti-courrier indésirable antérieur avant d’accepter les messages entrants. Pour plus d'informations, voir Activer la fonctionnalité de blocage du courrier indésirable sur un serveur de boîtes aux lettres.
Comme tous les agents de transport, chaque agent anti-courrier indésirable se voit attribuer une valeur de priorité. Une valeur inférieure indique une priorité plus élevée. En règle générale, un agent anti-courrier indésirable avec la priorité 1 agit sur un message avant un agent anti-courrier indésirable avec la priorité 9. Toutefois, l’événement SMTP dans lequel l’agent anti-courrier indésirable est inscrit est également très important pour déterminer l’ordre dans lequel les agents anti-courrier indésirable agissent sur les messages. Un agent anti-courrier indésirable de faible priorité inscrit sur un événement SMTP au début du pipeline de transport agit sur un message avant un agent anti-courrier indésirable de haute priorité inscrit sur un événement SMTP plus tard dans le pipeline de transport.
En fonction de la valeur de priorité par défaut de l’agent anti-courrier indésirable et de l’événement SMTP dans le pipeline de transport où l’agent anti-courrier indésirable est inscrit, la liste suivante décrit les agents et l’ordre par défaut dans lequel ils sont appliqués aux messages sur un serveur de boîtes aux lettres :
Agent de filtre de l’expéditeur : le filtrage de l’expéditeur compare l’expéditeur sur la commande MAIL FROM : SMTP à une liste définie par l’administrateur d’expéditeurs ou de domaines d’expéditeur qui ne peuvent pas envoyer des messages à l’organisation pour déterminer l’action à entreprendre, le cas échéant, sur un message entrant. Pour plus d'informations, voir Filtrage des expéditeurs.
Agent d’ID de l’expéditeur : l’ID de l’expéditeur s’appuie sur l’adresse IP du serveur d’envoi et l’adresse prétendument responsable (PRA) de l’expéditeur pour déterminer si l’expéditeur est usurpé ou non. Pour plus d'informations, voir ID de l'expéditeur.
Agent de filtre de contenu : le filtrage de contenu évalue le contenu d’un message. Pour plus d'informations, consultez la rubrique Filtrage du contenu.
La mise en quarantaine du courrier indésirable est une fonctionnalité de l’Agent de filtrage du contenu qui réduit le risque de perte de messages légitimes erronément classifiés comme du courrier indésirable. La mise en quarantaine du courrier indésirable fournit un emplacement de stockage temporaire pour les messages identifiés comme courrier indésirable, qui ne doivent pas être remis à une boîte aux lettres d’utilisateur au sein de l’organisation. Pour plus d'informations, voir Mise en quarantaine du courrier indésirable.
Le filtrage de contenu agit également sur la fonction d’agrégation de listes fiables. L’agrégation safelist collecte des données à partir des listes fiables anti-courrier indésirable que les utilisateurs de Microsoft Outlook et Outlook Web App configurent et met ces données à la disposition de l’agent de filtre de contenu. Pour plus d'informations, consultez la rubrique Agrégation de listes fiables.
Agent d’analyse du protocole : l’agent d’analyse du protocole est l’agent sous-jacent qui implémente la fonctionnalité de réputation de l’expéditeur. La réputation de l’expéditeur s’appuie sur des données conservées sur l’adresse IP du serveur expéditeur pour déterminer l’action éventuelle à appliquer à un message entrant. Un niveau de réputation de l’expéditeur est calculé à partir de diverses caractéristiques de l’expéditeur dérivées de l’analyse du message et de tests externes. Pour plus d'informations, voir Réputation de l'expéditeur et agent d'analyse de protocole.
Agents anti-spam sur les serveurs Edge Transport
Si votre organisation dispose d’un serveur de transport Edge installé dans le réseau de périmètre, tous les agents anti-courrier indésirable disponibles sur un serveur de boîtes aux lettres sont installés et activés par défaut sur le serveur de transport Edge. Toutefois, les agents anti-courrier indésirable suivants ne sont disponibles que sur un serveur de transport Edge :
Agent de filtrage des connexions : le filtrage des connexions inspecte l’adresse IP du serveur distant qui tente d’envoyer des messages pour déterminer l’action à entreprendre, le cas échéant, sur un message entrant. Le filtrage de connexion utilise une liste d’adresses IP bloquée, une liste verte d’adresses IP, des services de fournisseur de listes d’adresses IP bloquées et des services de fournisseur de listes d’adresses IP autorisées pour déterminer si l’adresse IP de connexion doit être bloquée ou autorisée. Pour plus d'informations, voir Filtrage des connexions sur des serveurs de transport Edge.
Agent de filtre de destinataires : le filtrage de destinataires compare les destinataires des messages de la commande RCPT TO : SMTP à une liste de destinataires bloquée définie par l’administrateur. En cas de correspondance, le message ne peut pas pénétrer dans l’organisation. Le filtre des destinataires compare également les destinataires des messages entrants au répertoire des destinataires local pour déterminer le message est adressé à des destinataires valides. Lorsqu’un message n’est pas adressé à des destinataires valides, le message est rejeté. Pour plus d'informations, voir Filtrage des destinataires sur les serveurs de transport Edge.
Remarque
Bien que l'agent de filtrage des destinataires soit disponible sur les serveurs de boîtes aux lettres, vous ne devez pas le configurer. Lorsque le filtrage des destinataires sur un serveur de boîte aux lettres détecte un destinataire non valide ou bloqué dans un message qui contient d'autres destinataires valides, le message est rejeté. Si vous installez les agents de filtrage du courrier indésirable sur un serveur de boîte aux lettres, l'agent de filtrage des destinataires est activé par défaut. Cependant, il n'est configuré pour bloquer aucun destinataire.
Agent de filtrage des pièces jointes : le filtrage des pièces jointes bloque les messages en fonction du nom de fichier joint, de l’extension de nom de fichier ou du type de contenu MIME du fichier. Vous pouvez configurer un filtrage des pièces jointes pour bloquer un message et ses pièces jointes, pour écarter les pièces jointes et autoriser le passage du message ou supprimer silencieusement le message et ses pièces jointes. Pour plus d'informations, voir Filtrage des pièces jointes sur les serveurs Edge Transport.
En fonction de la valeur de priorité par défaut de l’agent anti-courrier indésirable et de l’événement SMTP dans le pipeline de transport où l’agent anti-courrier indésirable est inscrit, il s’agit de l’ordre par défaut dans lequel les agents anti-courrier indésirable sont appliqués sur un serveur de transport Edge :
Agent de filtrage des connexions
Agent de filtrage des expéditeurs
Agent de filtrage des destinataires
Agent d'ID de l'expéditeur
Agent de filtrage du contenu
Agent d'analyse de protocole pour la réputation de l'expéditeur
Agent de filtrage des pièces jointes
Marquages de courrier indésirable
Les marquages de courrier indésirable vous aident à diagnostiquer les problèmes de courrier indésirable en appliquant des métadonnées de diagnostic, ou « marquages », telles que des informations spécifiques à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu’ils sont soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d’Internet. Pour plus d'informations, consultez la rubrique Marquages de courrier indésirable.
Stratégie pour l’approche anti-courrier indésirable
Votre stratégie de configuration des fonctionnalités de blocage du courrier indésirable et d’établissement de l’agressivité de vos paramètres d’agent de blocage du courrier indésirable requiert une planification et un calcul soigneux. Si vous définissez tous les filtres de blocage du courrier indésirable sur les niveaux les plus agressifs et configurez toutes les fonctions de blocage du courrier indésirable afin de rejeter tous les messages suspects, il y a plus de chances que vous rejetiez également des messages qui ne sont pas du courrier indésirable. En revanche, si vous ne définissez pas les filtres de blocage du courrier indésirable sur un niveau suffisamment agressif et que vous ne définissez pas un seuil de probabilité de courrier indésirable (SCL) suffisamment bas, vous n’observerez probablement pas de réduction de la quantité de courrier indésirable entrant dans votre organisation.
Il est recommandé de rejeter un message lorsqu’Exchange détecte un message incorrect par le biais de l’agent de filtrage de connexion, de l’agent de filtre de destinataires ou de l’agent de filtre d’expéditeur. Cette approche est préférable à la mise en quarantaine de tels messages ou à l’affectation de métadonnées, tels des marquages de courrier indésirable, à de tels messages. L’agent de filtrage des connexions et l’agent de filtre de destinataires bloquent automatiquement les messages identifiés par les filtres respectifs. L’agent de filtrage des expéditeurs est configurable.
Cette pratique est recommandée car le seuil de probabilité de courrier indésirable (SCL) en relation avec le filtrage des connexions, le filtrage des destinataires ou le filtrage des expéditeurs, est relativement élevé. Par exemple, avec le filtrage des expéditeurs où l’administrateur a configuré des expéditeurs spécifiques à bloquer, il n’y a aucune raison d’affecter les données de filtrage des expéditeurs à de tels messages et de continuer à les traiter. Dans la plupart des organisations, les messages bloqués doivent être rejetés. (Si vous ne souhaitez pas que les messages soient rejetés, vous ne devez pas les placer dans la liste des expéditeurs bloqués.)
La même logique s’applique aux services de liste rouge en temps réel et au filtrage des destinataires, bien que la confiance sous-jacente ne soit pas aussi élevée que la liste rouge IP. Il faut savoir que plus le message avance dans le chemin du flux des messages, plus la probabilité de faux positifs est élevée du fait que les fonctions de blocage du courrier indésirable évaluent plus de variables. Par conséquent, il se peut que vous constatiez que, lors de la configuration des premières fonctions de blocage du courrier indésirable de façon plus agressive dans la chaîne de blocage du courrier indésirable, vous pouvez réduire le volume de courrier indésirable. Ainsi, vous économiserez les ressources de traitement, de la bande passante et des disques afin de traiter des messages plus ambigus.
En définitive, vous devez prévoir de surveiller l’efficacité globale des fonctions de blocage du courrier indésirable. Moyennant une surveillance étroite, vous pouvez continuer à ajuster les fonctions de blocage du courrier indésirable pour qu’elles fonctionnent bien avec votre environnement. En vertu de cette approche, il est recommandé de commencer par tabler sur une configuration plutôt non agressive des fonctions de blocage du courrier indésirable. Cette approche permet de minimiser le nombre de faux positifs. En surveillant et ajustant les fonctions de blocage du courrier indésirable, vous deviendrez peut-être plus agressif concernant les types de courrier indésirable et d’attaque auxquels votre organisation est confrontée.