Protection anti-courrier indésirable dans les organisations cloud

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Remarque

Cet article est destiné aux administrateurs. Pour obtenir des articles sur les utilisateurs finaux, consultez Vue d’ensemble du filtre de Email indésirables et En savoir plus sur le courrier indésirable et l’hameçonnage.

Dans toutes les organisations disposant de boîtes aux lettres cloud, les messages électroniques sont automatiquement protégés contre le courrier indésirable (courrier indésirable).

Pour aider à réduire le courrier indésirable, Microsoft 365 inclut une protection contre le courrier indésirable à l’aide de technologies propriétaires de filtrage du courrier indésirable (également appelé filtrage de contenu) pour identifier et séparer le courrier indésirable du courrier légitime. Le filtrage du courrier indésirable s’apprend à partir des menaces connues de courrier indésirable et d’hameçonnage, ainsi que des commentaires des utilisateurs de notre plateforme grand public, Outlook.com. Les commentaires continus des administrateurs et desutilisateurs permettent de garantir que nos technologies de filtrage sont continuellement formées et améliorées.

Microsoft 365 utilise les verdicts de filtrage du courrier indésirable suivants pour classifier les messages :

• Courrier indésirable : le message a reçu un niveau de confiance du courrier indésirable (SCL) de 5 ou 6.
• Courrier indésirable à haut niveau de confiance : le message a reçu une SCL de 7, 8 ou 9.
• Hameçonnage
• Hameçonnage à haut niveau de confiance : dans le cadre de la sécurisation par défaut, les messages d’hameçonnage à haut niveau de confiance sont toujours mis en quarantaine. Les utilisateurs ne peuvent pas publier leurs propres messages d’hameçonnage à haute confiance en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs.
• En bloc : la source du message a atteint ou dépassé le seuil de niveau de plainte en bloc (BCL) configuré.

Pour plus d’informations sur la protection contre le courrier indésirable, consultez le Forum aux questions : Protection contre le courrier indésirable pour les boîtes aux lettres cloud

Dans la stratégie anti-courrier indésirable par défaut et dans les stratégies anti-courrier indésirable personnalisées, vous pouvez configurer les actions à effectuer en fonction de ces verdicts. Dans les stratégies de sécurité prédéfinies Standard et Strict, les actions sont déjà configurées et non modifiables, comme décrit dans Paramètres de stratégie anti-courrier indésirable.

Pour configurer la stratégie anti-courrier indésirable par défaut et pour créer, modifier et supprimer des stratégies anti-courrier indésirable personnalisées, consultez Configurer des stratégies anti-courrier indésirable.

Conseil

• Si vous n’êtes pas d’accord avec le verdict du filtrage du courrier indésirable, vous pouvez signaler le message à Microsoft en tant que faux positif (bon courrier marqué comme mauvais) ou faux négatif (mauvais e-mail autorisé). Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Comment faire signaler un e-mail ou un fichier suspect à Microsoft ?.
  • Comment gérer les e-mails légitimes bloqués (faux positifs) à l’aide de Microsoft Defender pour Office 365
  • Comment gérer les e-mails malveillants remis aux destinataires (faux négatifs) à l’aide de Microsoft Defender pour Office 365

  Les en-têtes de message anti-courrier indésirable peuvent vous indiquer pourquoi un message a été marqué comme courrier indésirable ou pourquoi il a ignoré le filtrage du courrier indésirable. Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

• Vous ne pouvez pas désactiver complètement le filtrage du courrier indésirable dans Microsoft 365, mais vous pouvez utiliser des règles de flux de messagerie Exchange (également appelées règles de transport) pour contourner la plupart du filtrage du courrier indésirable sur les messages entrants. Par exemple, si vous acheminez le courrier électronique via un appareil ou un service de protection non-Microsoft avant la remise à Microsoft 365. Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir le niveau de probabilité de courrier indésirable (SCL) dans les messages.

  • Les messages d’hameçonnage à haut niveau de confiance sont toujours filtrés. Les autres filtres dans Microsoft 365 ne sont pas affectés (par exemple, les messages sont toujours analysés pour rechercher des programmes malveillants).
  • Si vous devez contourner le filtrage du courrier indésirable pour les boîtes aux lettres SecOps ou les simulations d’hameçonnage, n’utilisez pas de règles de flux de messagerie. Pour plus d’informations, consultez Configurer la remise de simulations d’hameçonnage non-Microsoft aux utilisateurs et des messages non filtrés aux boîtes aux lettres SecOps.

• Dans les environnements hybrides où Exchange Online Protection (EOP) offre une protection cloud des boîtes aux lettres Exchange locales, vous devez configurer des règles de flux de messagerie Exchange (également appelées règles de transport) dans votre organization Exchange local pour reconnaître les verdicts de filtrage du courrier indésirable à partir du cloud. Pour plus d’informations, consultez Remettre du courrier indésirable détecté dans le cloud au dossier Email indésirable dans les boîtes aux lettres locales.

  Une fois que vous avez créé manuellement la règle dans Microsoft 365 pour qu’elle corresponde à la règle dans Exchange local, la règle est répliquée dans les environnements hybrides.

Stratégies anti-courrier indésirable

Les stratégies anti-courrier indésirable contrôlent les paramètres configurables pour le filtrage du courrier indésirable. Les paramètres importants des stratégies anti-courrier indésirable sont décrits dans les sous-sections suivantes.

Conseil

Les paramètres de stratégie anti-courrier indésirable dans la stratégie par défaut et dans les stratégies de sécurité prédéfinies Standard et Strict sont décrits dans Paramètres de stratégie anti-courrier indésirable.

Filtres de destinataires dans les stratégies anti-courrier indésirable

Les filtres de destinataires utilisent des conditions et des exceptions pour identifier les destinataires internes auxquels la stratégie s’applique. Au moins une condition est requise dans les stratégies personnalisées. Les conditions et exceptions ne sont pas disponibles dans la stratégie par défaut (la stratégie par défaut s’applique à tous les destinataires). Vous pouvez utiliser les filtres de destinataires suivants pour les conditions et les exceptions :

• Utilisateurs : une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans le organization.
• Groupes :
  • Membres des groupes de distribution spécifiés ou des groupes de sécurité à extension messagerie (les groupes de distribution dynamiques ne sont pas pris en charge).
  • Groupes Microsoft 365 spécifiée
• Domaines : un ou plusieurs des domaines acceptés configurés dans Microsoft 365. Le adresse e-mail principale du destinataire se trouve dans le domaine spécifié.

Vous ne pouvez utiliser une condition ou une exception qu’une seule fois, mais la condition ou l’exception peut contenir plusieurs valeurs :

• Plusieurs valeurs de la même condition ou exception utilisent la logique OR (par exemple, <recipient1> ou <recipient2>) :

  • Conditions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie leur est appliquée.
  • Exceptions : si le destinataire correspond à l’une des valeurs spécifiées, la stratégie ne leur est pas appliquée.

• Différents types d’exceptions utilisent la logique OR (par exemple, <recipient1> ou <membre de group1> ou <membre de domaine1>). Si le destinataire correspond à l’une des valeurs d’exception spécifiées, la stratégie ne leur est pas appliquée.

• Différents types de conditions utilisent la logique AND. Le destinataire doit correspondre à toutes les conditions spécifiées pour que la stratégie s’applique à lui. Par exemple, vous configurez une condition avec les valeurs suivantes :

  • Utilisateurs: romain@contoso.com
  • Groupes : Cadres

  La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. Sinon, la politique ne lui est pas appliquée.

Seuil de plainte en bloc (BCL) dans les stratégies anti-courrier indésirable

Microsoft 365 attribue une valeur de niveau de plainte en bloc (BCL) aux messages entrants provenant d’expéditeurs en bloc. Les messages provenant d’expéditeurs en bloc sont également appelés courrier en bloc ou courrier gris.

Pour plus d’informations sur BCL, consultez Niveau de plainte en bloc (BCL).

Conseil

Par défaut, le paramètre PowerShell uniquement MarkAsSpamBulkMail se trouve On dans les stratégies anti-courrier indésirable dans Exchange Online PowerShell. Ce paramètre affecte considérablement les résultats d’un verdict de filtrage conforme en bloc (BCL) atteint ou dépassé :

• MarkAsSpamBulkMail est activé : une liste BCL supérieure ou égale à la valeur de seuil est convertie en SCL 6 qui correspond à un verdict de filtrage du courrier indésirable, et l’action pour le verdict de filtrage conforme en bloc (BCL) atteint ou dépassé est effectuée sur le message.
• MarkAsSpamBulkMail est désactivé : le message est marqué avec la liste BCL, mais aucune action n’est effectuée pour un verdict de filtrage conforme en bloc (BCL) atteint ou dépassé . En effet, le seuil BCL et l’action de verdict de filtrage atteint ou dépassé ne sont pas pertinents.

Propriétés de courrier indésirable dans les stratégies anti-courrier indésirable

Les paramètres du mode test , les paramètres Augmenter le score de courrier indésirable et la plupart des paramètres Marquer comme courrier indésirable font partie du filtrage avancé du courrier indésirable (ASF) dans les stratégies anti-courrier indésirable.

Ces paramètres ne sont pas configurés dans la stratégie anti-courrier indésirable par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Pour plus d’informations sur les paramètres ASF, consultez Paramètres du filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable.

Les autres paramètres disponibles dans cette catégorie sont les suivants :

• Contient des langues spécifiques : les messages dans les langues spécifiées sont automatiquement identifiés comme courrier indésirable.
• À partir de ces pays : les messages provenant des pays spécifiés sont automatiquement identifiés comme courrier indésirable.

Ces paramètres ne sont pas configurés dans la stratégie anti-courrier indésirable par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Actions dans les stratégies anti-courrier indésirable

• Dans les stratégies anti-courrier indésirable personnalisées et la stratégie anti-courrier indésirable par défaut, les actions disponibles pour les verdicts de filtrage du courrier indésirable sont décrites dans le tableau suivant.

  • Une marque case activée (✔) indique que l’action est disponible (toutes les actions ne sont pas disponibles pour tous les verdicts).
  • Un astérisque (^*) après la marque case activée indique l’action par défaut pour le verdict de filtrage du courrier indésirable.

  Action	Courrier indésirable	Élevé confiance courrier indésirable	Hameçonnage	Élevé confiance hameçonnage	Courrier en nombre
  Déplacer le message vers le dossier Courrier indésirable Email : le message est remis au dossier Email indésirable dans la boîte aux lettres.¹	✔*	✔*	✔	²	✔*
  Ajouter un en-tête X : ajoute un en-tête X à l’en-tête du message et remet le message dans la boîte aux lettres. Vous entrez le nom du champ X-header (et non la valeur) dans la zone de texte Ajouter cet en-tête X disponible. Pour les verdicts de courrier indésirable et de courrier indésirable à haut niveau de confiance, le message est déplacé vers le dossier Courrier indésirable Email.¹ ³	✔	✔	✔		✔
  Ajouter la ligne d’objet avec le texte: ajoute du texte au début de la ligne d’objet du message. Le message est remis à la boîte aux lettres et déplacé vers le dossier Courrier indésirable.¹ ³ Vous entrez le texte dans la ligne d’objet Préfixe disponible avec cette zone de texte.	✔	✔	✔		✔
  Rediriger le message vers une adresse e-mail: envoie le message à une adresse e-mail spécifiée au lieu des destinataires prévus. Vous spécifiez les destinataires dans la zone Rediriger vers cette adresse e-mail .	✔	✔	✔	✔	✔
  Supprimer le message: supprime le message entier, pièces jointes comprises.	✔	✔	✔		✔
  Mettre en quarantaine le message: Envoie le message en quarantaine au lieu de le remettre à ses destinataires. Vous sélectionnez ou utilisez la stratégie de mise en quarantaine par défaut pour le verdict de filtrage du courrier indésirable dans la zone Sélectionner la stratégie de quarantaine qui s’affiche.⁴ Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine. Vous spécifiez la durée pendant laquelle les messages sont placés en quarantaine dans la zone disponible Conserver le courrier indésirable en quarantaine pendant ce nombre de jours .	✔	✔	✔*	✔* ⁵	✔
  Aucune action					✔

  ¹ Microsoft 365 utilise un agent de remise de flux de courrier pour acheminer les messages vers le dossier Email indésirable. Il n’utilise pas la règle de courrier indésirable dans la boîte aux lettres. Le paramètre Enabled de l’applet de commande Set-MailboxJunkEmailConfiguration dans Exchange Online PowerShell n’a aucun effet sur le flux de courrier dans les boîtes aux lettres cloud. Pour plus d’informations, consultez Configurer les paramètres de courrier indésirable sur les boîtes aux lettres cloud.

  ² Pour l’hameçonnage à haute confiance, l’action Déplacer le message vers le dossier Email indésirable est effectivement déconseillée. Bien que vous puissiez sélectionner l’action Déplacer le message vers le dossier Courrier indésirable Email, les messages d’hameçonnage à haut niveau de confiance sont toujours mis en quarantaine (équivalent à la sélection du message de mise en quarantaine).

  ³ Vous pouvez utiliser cette valeur comme condition dans les règles de flux de messagerie pour filtrer ou router les messages pour les boîtes aux lettres dans des environnements Exchange locaux uniquement (pas dans Exchange Online).

  ⁴ Si le verdict de filtrage du courrier indésirable met en quarantaine les messages par défaut (message de quarantaine est déjà sélectionné lorsque vous accédez à la page), le nom de la stratégie de mise en quarantaine par défaut s’affiche dans la zone Sélectionner la stratégie de mise en quarantaine . Si vous remplacez l’action d’un verdict de filtrage du courrier indésirable par Message de mise en quarantaine, la zone Sélectionner la stratégie de mise en quarantaine est vide par défaut. Une valeur vide signifie que la stratégie de mise en quarantaine par défaut pour ce verdict est utilisée. Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-courrier indésirable, le nom de la stratégie de mise en quarantaine s’affiche. Pour plus d’informations sur les stratégies de quarantaine utilisées par défaut pour les verdicts de filtre anti-courrier indésirable, consultez Paramètres de stratégie anti-courrier indésirable.

  ⁵ Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant qu’hameçonnage à haut niveau de confiance, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie est configurée pour que les utilisateurs libèrent ces messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de ces messages mis en quarantaine.

• Messages intra-organisationnels à utiliser : contrôle si le filtrage du courrier indésirable et les actions de verdict correspondantes sont appliqués aux messages internes (messages envoyés entre les utilisateurs au sein de l’organization). L’action spécifiée pour le verdict du filtre de courrier indésirable est effectuée sur les messages envoyés entre les utilisateurs internes. Les valeurs disponibles sont :

  • Valeur par défaut : valeur par défaut. Cette valeur est identique à la sélection des messages d’hameçonnage à haute confiance.
  • Aucune
  • Messages d’hameçonnage à haute confiance
  • Hameçonnage et messages d’hameçonnage à haute confiance
  • Tous les messages d’hameçonnage et de courrier indésirable à haute confiance
  • Tous les messages d’hameçonnage et de courrier indésirable

  Pour connaître les valeurs par défaut utilisées dans la stratégie anti-courrier indésirable par défaut et dans les stratégies de sécurité prédéfinies Standard et Strict, consultez messages intra-organisationnels pour prendre des mesures lors de l’entrée dans les paramètres de stratégie anti-courrier indésirable.

• Conserver le courrier indésirable en quarantaine pendant ce nombre de jours : indique la durée de la mise en quarantaine du message si vous avez sélectionné Message de quarantaine comme action pour le verdict de filtrage du courrier indésirable. Une fois la période expirée, le message est supprimé et n’est pas récupérable. Une valeur valide est comprise entre 1 et 30 jours.

  Pour connaître les valeurs par défaut utilisées dans la stratégie anti-courrier indésirable par défaut et dans les stratégies de sécurité prédéfinies Standard et Strict, consultez l’entrée Conserver le courrier indésirable en quarantaine pour ce nombre de jours dans les paramètres de stratégie anti-courrier indésirable.

  Conseil

  Ce paramètre contrôle également la durée de rétention des messages mis en quarantaine par les stratégies anti-hameçonnage. Pour plus d’informations, consultez Rétention en quarantaine.

Purge automatique zéro heure (ZAP) dans les stratégies anti-courrier indésirable

ZAP pour le hameçonnage et ZAP pour le courrier indésirable peuvent agir sur les messages une fois qu’ils ont été remis aux boîtes aux lettres Exchange Online. Par défaut, ZAP pour le hameçonnage et ZAP pour le courrier indésirable sont activés, et nous vous recommandons de les laisser activés. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Vidage automatique zéro heure (ZAP) pour le hameçonnage
• Vidage automatique de zéro heure (ZAP) pour le hameçonnage à haute confiance
• Vidage automatique de zéro heure (ZAP) pour le courrier indésirable

Stratégies de mise en quarantaine dans les stratégies anti-courrier indésirable

Pour les verdicts de mise en quarantaine dans les stratégies anti-courrier indésirable, les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire à ces messages mis en quarantaine et indiquent si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Autoriser et bloquer les listes dans les stratégies anti-courrier indésirable

Les stratégies anti-courrier indésirable contiennent les listes suivantes pour autoriser ou bloquer des expéditeurs ou des domaines spécifiques :

• Liste des expéditeurs autorisés
• Liste des domaines autorisés
• Liste des expéditeurs bloqués
• Liste des domaines bloqués

Par défaut, ces listes ne sont pas configurées dans la stratégie anti-courrier indésirable par défaut. Vous ne pouvez pas configurer les listes dans les stratégies de sécurité prédéfinies Standard ou Strict.

Les fonctionnalités suivantes remplacent principalement ces listes :

• Bloquer les entrées pour les domaines et les adresses de messagerie dans créer des entrées de bloc pour les domaines et les adresses de messagerie.

  Conseil

  Pour permettre aux utilisateurs d’envoyer des e-mails aux adresses ou domaines de messagerie bloqués, utilisez les listes d’expéditeurs bloqués ou de domaines bloqués dans les stratégies anti-courrier indésirable. Bloquer les entrées pour les domaines et les adresses de messagerie dans la liste verte/bloquée des locataires empêche également les utilisateurs d’envoyer des e-mails à des adresses e-mail ou des domaines bloqués.

• Signaler un e-mail de qualité à Microsoft à partir de la page Soumissions dans le portail Microsoft Defender (où vous pouvez choisir d’autoriser les e-mails avec des attributs similaires, ce qui crée les entrées temporaires requises dans la liste verte/bloquée du locataire).

  Importante

  Les messages provenant des entrées de la liste des expéditeurs autorisés ou de la liste des domaines autorisés ignorent la plupart des contrôles de protection des e-mails (à l’exception des programmes malveillants et du hameçonnage à haut niveau de confiance) et des vérifications d’authentification par e-mail (SPF, DKIM et DMARC). Les entrées de la liste des expéditeurs autorisés ou de la liste des domaines autorisés créent un risque élevé que des attaquants livrent correctement des e-mails à la boîte de réception qui seraient autrement filtrés. Ces listes sont préférables pour les tests temporaires uniquement.

  N’ajoutez jamais de domaines communs (par exemple, microsoft.com ou office.com) à la liste des domaines autorisés. Les attaquants peuvent facilement envoyer des messages usurpés à partir de ces domaines courants dans votre organization.

  À compter de septembre 2022, les expéditeurs, domaines ou sous-domaines autorisés dans les domaines acceptés de votre organization doivent passer des vérifications d’authentification par e-mail pour ignorer le filtrage du courrier indésirable.

  Si vous envisagez de conserver une entrée de domaine autorisée dans la liste pendant une période prolongée, demandez à l’expéditeur de vérifier que son enregistrement SPF est à jour avec les sources de messagerie de son domaine et que la stratégie dans son enregistrement DMARC est définie sur p=reject.

Priorité des stratégies anti-courrier indésirable

Si des stratégies de sécurité prédéfinies sont activées, les stratégies de sécurité prédéfinies Standard et Strict sont appliquées avant toute stratégie anti-courrier indésirable personnalisée ou la stratégie par défaut. Si vous créez plusieurs stratégies anti-courrier indésirable personnalisées, vous pouvez spécifier l’ordre de l’application de stratégie. Le traitement de la stratégie s’arrête pour les destinataires éligibles après l’application de la première stratégie éligible (la stratégie de priorité la plus élevée pour ce destinataire).

Pour plus d’informations sur l’ordre de précédence et la façon dont plusieurs stratégies sont évaluées, consultez Ordre et priorité de la protection des e-mails et Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies.

Stratégie anti-courrier indésirable par défaut

Chaque organization a une stratégie anti-courrier indésirable intégrée nommée Default qui a les propriétés suivantes :

• La stratégie est la stratégie par défaut (la propriété IsDefault possède la valeurTrue) et vous ne pouvez pas supprimer la stratégie par défaut.
• La stratégie est automatiquement appliquée à tous les destinataires du organization, et vous ne pouvez pas la désactiver.
• La stratégie est toujours appliquée en dernier (la valeur Priorité est La plus basse et vous ne pouvez pas la modifier).