Marquages de courrier indésirable

  • Article

S’applique à : Exchange Server 2013

Les marquages de courrier indésirable vous aident à diagnostiquer les problèmes de courrier indésirable en appliquant des métadonnées de diagnostic, ou « marquages », telles que des informations spécifiques à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu’ils sont soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d’Internet. Il existe trois tampons anti-courrier indésirable : l’empreinte de niveau de confiance par hameçonnage, l’empreinte de niveau de confiance du courrier indésirable et l’empreinte de l’ID de l’expéditeur.

Vous pouvez utiliser des empreintes anti-courrier indésirable comme outils de diagnostic pour déterminer les actions à entreprendre sur les faux positifs et sur les messages de courrier indésirable suspects reçus par les individus dans leurs boîtes aux lettres.

Remarque

Le 1er novembre 2016, Microsoft a cessé de produire des mises à jour des définitions de courrier indésirable pour les filtres SmartScreen dans Exchange et Outlook. Les définitions de courrier indésirable SmartScreen existantes restent en place, mais leur efficacité se dégradera probablement au cours du temps. Pour plus d’informations, voir l’Arrêt de la prise en charge de SmartScreen dans Outlook et Exchange.

Affichage des tampons anti-courrier indésirable

Vous pouvez afficher les tampons anti-courrier indésirable à l’aide de Microsoft Outlook. Pour plus d'informations, consultez la rubrique Afficher des marquages de courrier indésirable dans Outlook.

Présentation du rapport anti-courrier indésirable

Le rapport anti-courrier indésirable est un rapport de synthèse des résultats du filtre anti-courrier indésirable qui ont été appliqués à un message électronique. L’agent de filtre de contenu applique ce tampon à l’enveloppe du message sous la forme d’un en-tête X comme suit.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance

Le tableau suivant décrit les informations de filtre qui peuvent apparaître dans un rapport anti-courrier indésirable.

Remarque

Le rapport anti-courrier indésirable affiche uniquement les informations des filtres qui ont été appliqués au message spécifique. Un rapport anti-courrier indésirable ne contient généralement pas toutes les informations répertoriées dans le tableau suivant. Par exemple, vous pouvez recevoir le rapport anti-courrier indésirable suivant : DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Filtrer les informations d’un rapport anti-courrier indésirable

Marquage Description
SID L’empreinte ID de l’expéditeur (SID) est basée sur l’infrastructure de stratégie de l’expéditeur (SPF) qui autorise l’utilisation de domaines dans les e-mails. Le SPF s’affiche dans l’enveloppe du message sous la forme Received-SPF. Le processus d’évaluation de l’ID de l’expéditeur génère un état d’ID d’expéditeur pour le message. Cet état peut être retourné sous la forme d’une des valeurs suivantes :
  • Réussite : l’adresse IP et l’adresse prétendument responsable (PRA) ont tous deux passé la vérification de l’ID de l’expéditeur.
  • Neutre : les données d’ID d’expéditeur publiées ne sont explicitement pas concluantes.
  • Échec logiciel : l’adresse IP de l’PRA peut se trouver dans l’ensemble non autorisé.
  • Échec : l’adresse IP n’est pas autorisée. aucune PRA n’est trouvée dans le courrier entrant ou le domaine d’envoi n’existe pas.
  • Aucun : aucune donnée SPF publiée n’existe dans le DNS de l’expéditeur.
  • TempError : une défaillance DNS temporaire s’est produite, telle qu’un serveur DNS non disponible.
  • PermError : l’enregistrement DNS n’est pas valide, comme une erreur dans le format d’enregistrement.

L’empreinte de l’ID de l’expéditeur est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : X-MS-Exchange-Organization-SenderIdResult:<status>

Pour plus d’informations sur l’ID de l’expéditeur, consultez ID de l’expéditeur.
DV Le marquage de version DAT (DV) indique la version du fichier de définition du courrier indésirable utilisé lors de l’analyse du message.
SA Le marquage d’action de signature (SA) indique que le message a été soit récupéré, soit supprimé à cause d’une signature trouvée dans le message.
SV Le marquage de version DAT de signature (SV) indique la version du fichier de signature utilisé lors de l’analyse du message.
PCL Le tampon de niveau de confiance d’hameçonnage (PCL) affiche l’évaluation du message en fonction de son contenu et est appliqué lorsque le message est traité par l’agent de filtre de contenu. Cet état peut être retourné sous la forme d’une des valeurs suivantes :
  • Neutre : le contenu du message n’est pas susceptible d’être un hameçonnage.
  • Suspect : le contenu du message est susceptible d’être un hameçonnage.

La valeur PCL peut être comprise entre 1 et 8 :

  • Une évaluation PCL comprise entre 1 et 3 retourne l’état .Neutral Cela signifie que le contenu du message n’est pas susceptible d’être un hameçonnage.
  • Une classification PCL comprise entre 4 et 8 retourne l’état .Suspicious Cela signifie que le message est susceptible d’être un hameçonnage.

Les valeurs sont utilisées pour déterminer l’action qu’Outlook effectue sur les messages. Outlook utilise le cachet PCL pour bloquer le contenu des messages suspects.

L’empreinte PCL est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : X-MS-Exchange-Organization-PCL:<status>
SCL L’empreinte de niveau de confiance du courrier indésirable (SCL) du message affiche l’évaluation du message en fonction de son contenu. L’agent de filtre de contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d’un message et pour attribuer une évaluation SCL à chaque message.

La valeur SCL est comprise entre 0 et 9, où 0 est considéré comme moins susceptible d’être du courrier indésirable, et 9 est considéré comme plus susceptible d’être du courrier indésirable. Les actions effectuées par Exchange et Outlook dépendent de vos paramètres de seuil SCL.

L’empreinte SCL est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : X-MS-Exchange-Organization-SCL:<status>

Pour plus d’informations sur les seuils et les actions SCL, consultez Seuil de niveau de confiance du courrier indésirable.
CW L’empreinte de pondération personnalisée (CW) d’un message indique que le message contient un mot ou une expression non approuvé et que la valeur SCL, ou pondération, de ce mot ou expression non approuvé a été appliquée au score SCL final :
  • Les expressions non approuvées, ou expressions de blocage, ont un poids maximal et remplacent le résultat SCL par 9.
  • Les mots ou expressions approuvés, ou expressions d'autorisation, ont un poids minimal et remplacent le résultat SCL par 0.

Pour plus d'informations sur l'ajout de mots ou d'expressions approuvés ou non approuvés à l'Agent de filtrage du contenu, consultez la rubrique Gérer le filtrage du contenu.
PP Le tampon de casse-tête présolvé (PP) indique que si le message d’un expéditeur contient un cachet de calcul valide et résolu, basé sur la fonctionnalité de validation du cachet de courrier électronique Outlook, il est peu probable que l’expéditeur soit un expéditeur malveillant. Dans ce cas, l’agent de filtrage du contenu réduit la valeur SCL.

L’Agent de filtrage du contenu ne modifie pas la valeur de contrôle d’accès SCL si la fonctionnalité de validation de cachet de courrier électronique est activée et que l’une des conditions suivantes est vraie :

  • Un message entrant ne contient pas d’en-tête de cachet de calcul.
  • L'en-tête de cachet de calcul n'est pas valide.

Pour plus d'informations sur la fonctionnalité de validation du cachet, consultez la rubrique Filtrage du contenu.
TIME:TimeBasedFeatures L’horodatage indique qu’il y a eu un délai important entre le moment où le message a été envoyé et l’heure de réception du message. Le cachet TIME permet de déterminer la valeur SCL finale du message.
MIME:MIMECompliance L’empreinte MIME indique que le message électronique n’est pas conforme MIME.
P100:PhishingBlock L’empreinte P100 indique que le message contient une URL présente dans un fichier de définition d’hameçonnage.
IPOnAllowList L’empreinte IPOnAllowList indique que l’adresse IP de l’expéditeur figure dans la liste d’adresses IP autorisées. Pour plus d’informations sur la liste d’adresses IP autorisées, consultez Présentation du filtrage des connexions.
MessageSecurityAntispamBypass Le tampon MessageSecurityAntispamBypass indique que le message n’a pas été filtré pour le contenu et que l’expéditeur a reçu l’autorisation de contourner les filtres anti-courrier indésirable.
SenderBypassed L’empreinte SenderBypassed indique que l’agent de filtre de contenu ne traite aucun filtrage de contenu pour les messages reçus de cet expéditeur. Pour plus d'informations, consultez la rubrique Gérer le filtrage du contenu.
AllRecipientsBypassed L’empreinte AllRecipientsBypassed indique que l’une des conditions suivantes a été remplie pour tous les destinataires répertoriés dans le message :
  • Le paramètre AntispamBypassedEnabled sur la boîte aux lettres du destinataire est défini sur $true. Il s’agit d’un paramètre par destinataire qui ne peut être défini que par un administrateur à l’aide de l’applet de commande Set-Mailbox .
  • L’expéditeur du message figure dans la liste des expéditeurs approuvés Outlook du destinataire. Pour plus d’informations sur la liste des expéditeurs approuvés, consultez Gérer l’agrégation de liste sécurisée.
  • L’Agent de filtrage du contenu ne traite aucun filtrage de contenu pour les messages envoyés à ce destinataire. Pour plus d’informations sur les exceptions de destinataire, consultez Gérer le filtrage de contenu.