Protection anti-programme malveillant dans Exchange Server
La protection contre les logiciels malveillants dans Exchange Server 2016 permet de lutter contre les virus et les logiciels espions dans votre environnement de messagerie. Les virus contaminent d’autres programmes et données, et ils se propagent dans votre ordinateur à la recherche de programmes à infecter. Un programme espion recueille des informations personnelles (par exemple, les informations de connexion et les données personnelles) et les envoie à son auteur.
La protection anti-programme malveillant dans Exchange Server a été introduite dans Exchange 2013 et est fournie par l’agent de transport nommé Agent de programme malveillant. L'agent analyse les messages lors de leur course via le service de transport sur un serveur de boîte aux lettres. Vous configurez le programme de filtrage des programmes malveillants à l'aide des éléments suivants :
Stratégies anti-programme malveillant : spécifiez les options d’analyse et de notification entrantes et sortantes pour le filtrage des programmes malveillants. Il existe une stratégie par défaut qui s'applique à tous les destinataires dans l'organisation Exchange et vous pouvez créer des stratégies supplémentaires qui seront appliquées dans un ordre spécifique.
Paramètres du serveur anti-programme malveillant : spécifiez les actions d’erreur et de nouvelle tentative, ainsi que les paramètres de mise à jour du moteur et de la définition pour le filtrage des programmes malveillants. L’agent anti-programme malveillant utilise l’accès Internet sur le port TCP 80 (HTTP) pour rechercher les mises à jour du moteur et des définitions toutes les heures.
Scripts anti-programme malveillant : activez ou désactivez le filtrage des programmes malveillants sur le serveur, puis téléchargez manuellement les mises à jour du moteur et des définitions.
Pour connaître les procédures relatives au filtrage des programmes malveillants, consultez Procédures de protection contre les logiciels malveillants dans Exchange Server. Pour plus d’informations sur les fonctionnalités antispam dans Exchange Server, consultez Protection contre le courrier indésirable dans Exchange Server.
Stratégies contre les programmes malveillants
Les stratégies contre les programmes malveillants contrôlent les actions et les options de notification pour la détection de programmes malveillants. Les paramètres importants dans les stratégies contre les programmes malveillants sont les suivants :
Action : spécifie ce qu’il faut faire lorsqu’un message contient des programmes malveillants. Les options disponibles sont les suivantes :
Supprimez le message (il s’agit de la valeur par défaut).
Remplacez toutes les pièces jointes par un fichier texte qui contient ce texte par défaut :
Malware was detected in one or more attachments included with this email. All attachments have been deleted.
Remplacez toutes les pièces jointes par un fichier texte qui contient le texte personnalisé que vous spécifiez.
Notifications : lorsqu’une stratégie anti-programme malveillant est configurée pour supprimer des messages, vous pouvez choisir d’envoyer ou non un message de notification à l’expéditeur. Vous pouvez envoyer des messages de notification selon que l'expéditeur soit interne ou externe. Le message de notification par défaut comporte ces propriétés :
De : Postmaster postmaster@ <defaultdomain.com>
Objet: message non remis
Texte dumessage : ce message a été créé automatiquement par le logiciel de remise de courrier. Votre message n'a pas été remis aux destinataires désignés, car un programme malveillant a été détecté.
Vous pouvez personnaliser les propriétés du message pour les notifications internes et externes. Vous pouvez également spécifier d'autres destinataires (administrateurs) devant recevoir des notifications pour les messages non remis provenant d'expéditeurs internes ou externes.
Filtres de destinataires : pour les stratégies anti-programme malveillant personnalisées, vous pouvez spécifier des conditions de destinataire et des exceptions qui déterminent à qui la stratégie s’applique. Vous pouvez utiliser ces propriétés pour les conditions et les exceptions :
Par destinataire
Par domaine accepté
Par appartenance à des groupes
Vous ne pouvez utiliser une condition ou une exception qu'une seule fois, mais la condition ou l'exception peut contenir plusieurs valeurs. Plusieurs valeurs de la même condition ou exception utilisent la logique OU (par exemple, <destinataire1> ou <destinataire2>). Des conditions ou des exceptions différentes utilisent la logique ET (par exemple, <destinataire1> et <membre du groupe 1>).
Priorité : si vous créez plusieurs stratégies anti-programme malveillant personnalisées, vous pouvez spécifier l’ordre dans lequel elles sont appliquées.
Les stratégies contre les programmes malveillants dans le Centre d'administration Exchange par rapport au Environnement de ligne de commande Exchange Management Shell
Les éléments de base d’une stratégie anti-programme malveillant sont les suivants :
Stratégie de filtrage des programmes malveillants : spécifie les options d’action et de notification pour le filtrage des programmes malveillants.
Règle de filtrage des programmes malveillants : spécifie les filtres de priorité et de destinataire (à qui la stratégie s’applique) pour une stratégie de filtre de programmes malveillants.
La différence entre ces deux éléments n'est pas évidente lorsque vous gérez des stratégies contre les programmes malveillants dans le Centre d'administration Exchange (CAE) :
Lorsque vous créez une stratégie contre les programmes malveillants dans le Centre d'administration Exchange, vous créez une règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée en utilisant le même nom pour les deux.
Lorsque vous modifiez une stratégie anti-programme malveillant dans le CENTRE d’administration Exchange, les paramètres liés au nom, à la priorité, activés ou désactivés et aux filtres de destinataires modifient la règle de filtre de programmes malveillants. Les autres paramètres (actions et options de notification) modifient la stratégie de filtrage des programmes malveillants associée.
Lorsque vous supprimez une stratégie contre les programmes malveillants du Centre d'administration Exchange, la règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée sont supprimées.
Dans l'Environnement de ligne de commande Exchange Management Shell, la différence entre les stratégies de filtrage des programmes malveillants et les règles de filtrage des programmes malveillants est visible. Vous gérez les stratégies de filtrage des programmes malveillants à l’aide des applets de commande *-MalwareFilterPolicy , et vous gérez les règles de filtrage des programmes malveillants à l’aide des applets de commande *-MalwareFilterRule .
Dans l'Environnement de ligne de commande Exchange Management Shell, commencez par créer la stratégie de filtrage des programmes malveillants, puis créez la règle de filtrage des programmes malveillants qui détermine la stratégie à laquelle s'applique à la règle.
Dans l'Environnement de ligne de commande Exchange Management Shell, modifiez séparément les paramètres de la stratégie de filtrage des programmes malveillants et la règle de filtrage des programmes malveillants.
Lorsque vous supprimez une stratégie de filtrage des programmes malveillants de Environnement de ligne de commande Exchange Management Shell, la règle de filtrage des programmes malveillants correspondante n'est pas automatiquement supprimée, et inversement.
Stratégie contre les programmes malveillants par défaut
Chaque serveur de boîte aux lettres dispose d’une stratégie intégrée contre les programmes malveillants nommée par défaut et qui contient ces propriétés :
La stratégie de filtrage des programmes malveillants nommée Default est appliquée à tous les destinataires de l’organisation Exchange, même s’il n’existe aucune règle de filtrage des programmes malveillants (filtres de destinataires) associée à la stratégie.
La stratégie nommée Par défaut possède la valeur de priorité personnalisée Plus faible que vous ne pouvez pas modifier (la stratégie est toujours appliquée en dernier). Toutes les stratégies anti-programme malveillant personnalisées que vous créez ont toujours une priorité plus élevée que la stratégie nommée Default.
La stratégie nommée Par défaut est la stratégie par défaut (la propriété IsDefault possède la valeur
True) et vous ne pouvez pas supprimer la stratégie par défaut.
Paramètres du serveur contre les programmes malveillants
Vous pouvez utiliser les cmdlets Get-MalwareFilteringServer et Set-MalwareFilteringServer dans l'Environnement de ligne de commande Exchange Management Shell pour afficher et configurer la mise à jour, le délai d'expiration et les paramètres de téléchargement de l'agent anti-programme malveillant sur le serveur de boîte aux lettres. Pour les procédures qui utilisent ces cmdlets, reportez-vous aux sections Utiliser Environnement de ligne de commande Exchange Management Shell pour contourner le filtrage des programmes malveillants sur des serveurs de boîtes aux lettres et Utiliser Environnement de ligne de commande Exchange Management Shell pour configurer le filtrage des programmes malveillants afin de réanalyser les messages déjà analysés par EOP.
Scripts contre les programmes malveillants
Exchange inclut deux scripts Environnement de ligne de commande Exchange Management Shell que vous pouvez utiliser pour gérer le filtrage des programmes malveillants :
Disable-Antimalwarescanning.ps1désactive l'agent anti-programme malveillant, ainsi que les mises à jour du moteur et de la définition des programmes malveillants sur le serveur de boîte aux lettres.Enable-Antimalwarescanning.ps1active l'agent anti-programme malveillant, active les mises à jour du moteur et de la définition des programmes malveillants, et exécute les mises à jour du moteur et de la définition sur le serveur de boîte aux lettres.Update-MalwareFilteringServer.ps1exécute manuellement les mises à jour du moteur de programmes malveillants et des définitions sur le serveur de boîtes aux lettres.
Pour plus d’informations sur l’utilisation de ces scripts, consultez Utiliser Exchange Management Shell pour activer ou désactiver le filtrage des programmes malveillants sur les serveurs de boîtes aux lettres et Télécharger les mises à jour de définition et de moteur anti-programme malveillant.
Options de protection contre les programmes malveillants dans Exchange Server
Cette liste décrit les options contre les programmes malveillants pour Exchange :
Protection anti-programme malveillant intégrée : vous pouvez utiliser la protection anti-programme malveillant intégrée dans Exchange pour vous aider à combattre les programmes malveillants. Vous pouvez l'utiliser seule ou vous pouvez l'associer à d'autres solutions contre les programmes malveillants pour fournir une protection multicouches anti-programme malveillant.
Exchange Online Protection (EOP) : vous pouvez payer un abonnement à EOP, qui est la solution anti-programme malveillant utilisée dans Microsoft 365 et Office 365. EOP tire parti des partenariats avec plusieurs moteurs contre les programmes malveillants pour fournir une protection anti-programme malveillant multicouches efficace et rentable. Les avantages de l'association de la protection anti-programme malveillant intégrée avec EOP sont les suivants :
EOP utilise plusieurs moteurs anti-programme malveillant, tandis que la protection anti-programme malveillant intégrée utilise un seul moteur.
EOP dispose de capacités de création de rapports, avec notamment des statistiques sur les programmes malveillants.
EOP propose une fonction de suivi des messages pourrésoudre les problèmes liés aux flux de messagerie, notamment concernant la détection des programmes malveillants.
Pour plus d’informations sur EOP, consultez Protection contre les programmes malveillants dans EOP.
Protection contre les logiciels anti-programme malveillant tiers : vous pouvez acheter un programme anti-programme malveillant tiers.
FAQ sur la lutte anti-programme malveillant pour Exchange
Cette section fournit des réponses aux questions fréquemment posées sur les fonctions de filtrage des programmes malveillants et d'analyse intégrées dans Exchange.
Pourquoi les programmes malveillants identifiés par d’autres services anti-programme malveillant ont-ils dépassé le filtrage anti-programme malveillant Exchange ?
Il existe deux raisons possibles :
Le scénario le plus probable est que la pièce jointe du message ne contient pas réellement de code malveillant actif. Certains moteurs contre les programmes malveillants sont plus restrictifs que d'autres et ces moteurs peuvent arrêter des messages simplement parce qu'ils contiennent des données traitées de programmes malveillants tronquées qui n'ont aucune action.
Le programme malveillant que vous avez reçu est une nouvelle variante et notre moteur contre les programmes malveillants n’a pas (encore) publié de fichier de modèle pour cette dernière.
J’ai reçu un message contenant une pièce jointe inhabituelle. S’agit-il d’un programme malveillant ou puis-je ignorer cette pièce jointe ?
Nous vous conseillons vivement de ne pas ouvrir les pièces jointes que vous ne connaissez pas. Si vous souhaitez que nous étudions la pièce jointe, envoyez-la nous comme décrit dans l'élément suivant.
Comment faire envoyer des programmes malveillants connus, des fichiers suspects ou des faux positifs à Microsoft ?
Enregistrez une copie du message et chargez-le sur le site web Renseignement de sécurité Microsoft afin que nous puissions l’examiner.
Si l'échantillon contient un programme malveillant, nous prendrons des mesures correctives pour empêcher le virus de passer inaperçu. Si l’échantillon est propre, nous prendrons des mesures correctives pour empêcher le fichier d’être détecté comme programme malveillant.
Où puis-je récupérer les messages qui ont été supprimés par le filtre anti-programmes malveillants ?
Vous ne pouvez pas. Les messages contenaient du code malveillant actif, ils ont donc été supprimés.
Puis-je utiliser des règles de flux de messagerie pour contourner le filtrage des programmes malveillants ?
Non, vous ne pouvez pas utiliser des règles de flux de messagerie (également connu sous le nom de règles de transport) pour contourner l’agent anti-programme malveillant. À la place, envoyez la pièce jointe dans un fichier .zip protégé par un mot de passe (les fichiers .zip protégés par mot de passe sont ignorés par le filtrage des programmes malveillants).