Marquages de courrier indésirable
S’applique à : Exchange Server 2013
Les marquages de courrier indésirable vous aident à diagnostiquer les problèmes de courrier indésirable en appliquant des métadonnées de diagnostic, ou « marquages », telles que des informations spécifiques à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu’ils sont soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d’Internet. Il existe trois tampons anti-courrier indésirable : l’empreinte de niveau de confiance par hameçonnage, l’empreinte de niveau de confiance du courrier indésirable et l’empreinte de l’ID de l’expéditeur.
Vous pouvez utiliser des empreintes anti-courrier indésirable comme outils de diagnostic pour déterminer les actions à entreprendre sur les faux positifs et sur les messages de courrier indésirable suspects reçus par les individus dans leurs boîtes aux lettres.
Remarque
Le 1er novembre 2016, Microsoft a cessé de produire des mises à jour des définitions de courrier indésirable pour les filtres SmartScreen dans Exchange et Outlook. Les définitions de courrier indésirable SmartScreen existantes restent en place, mais leur efficacité se dégradera probablement au cours du temps. Pour plus d’informations, voir l’Arrêt de la prise en charge de SmartScreen dans Outlook et Exchange.
Affichage des tampons anti-courrier indésirable
Vous pouvez afficher les tampons anti-courrier indésirable à l’aide de Microsoft Outlook. Pour plus d'informations, consultez la rubrique Afficher des marquages de courrier indésirable dans Outlook.
Présentation du rapport anti-courrier indésirable
Le rapport anti-courrier indésirable est un rapport de synthèse des résultats du filtre anti-courrier indésirable qui ont été appliqués à un message électronique. L’agent de filtre de contenu applique ce tampon à l’enveloppe du message sous la forme d’un en-tête X comme suit.
X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance
Le tableau suivant décrit les informations de filtre qui peuvent apparaître dans un rapport anti-courrier indésirable.
Remarque
Le rapport anti-courrier indésirable affiche uniquement les informations des filtres qui ont été appliqués au message spécifique. Un rapport anti-courrier indésirable ne contient généralement pas toutes les informations répertoriées dans le tableau suivant. Par exemple, vous pouvez recevoir le rapport anti-courrier indésirable suivant : DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures
.
Filtrer les informations d’un rapport anti-courrier indésirable
Marquage | Description |
---|---|
SID | L’empreinte ID de l’expéditeur (SID) est basée sur l’infrastructure de stratégie de l’expéditeur (SPF) qui autorise l’utilisation de domaines dans les e-mails. Le SPF s’affiche dans l’enveloppe du message sous la forme Received-SPF . Le processus d’évaluation de l’ID de l’expéditeur génère un état d’ID d’expéditeur pour le message. Cet état peut être retourné sous la forme d’une des valeurs suivantes :
L’empreinte de l’ID de l’expéditeur est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : Pour plus d’informations sur l’ID de l’expéditeur, consultez ID de l’expéditeur. |
DV | Le marquage de version DAT (DV) indique la version du fichier de définition du courrier indésirable utilisé lors de l’analyse du message. |
SA | Le marquage d’action de signature (SA) indique que le message a été soit récupéré, soit supprimé à cause d’une signature trouvée dans le message. |
SV | Le marquage de version DAT de signature (SV) indique la version du fichier de signature utilisé lors de l’analyse du message. |
PCL | Le tampon de niveau de confiance d’hameçonnage (PCL) affiche l’évaluation du message en fonction de son contenu et est appliqué lorsque le message est traité par l’agent de filtre de contenu. Cet état peut être retourné sous la forme d’une des valeurs suivantes :
La valeur PCL peut être comprise entre 1 et 8 :
Les valeurs sont utilisées pour déterminer l’action qu’Outlook effectue sur les messages. Outlook utilise le cachet PCL pour bloquer le contenu des messages suspects. L’empreinte PCL est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : |
SCL | L’empreinte de niveau de confiance du courrier indésirable (SCL) du message affiche l’évaluation du message en fonction de son contenu. L’agent de filtre de contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d’un message et pour attribuer une évaluation SCL à chaque message. La valeur SCL est comprise entre 0 et 9, où 0 est considéré comme moins susceptible d’être du courrier indésirable, et 9 est considéré comme plus susceptible d’être du courrier indésirable. Les actions effectuées par Exchange et Outlook dépendent de vos paramètres de seuil SCL. L’empreinte SCL est affichée sous la forme d’un en-tête X dans l’enveloppe du message comme suit : Pour plus d’informations sur les seuils et les actions SCL, consultez Seuil de niveau de confiance du courrier indésirable. |
CW | L’empreinte de pondération personnalisée (CW) d’un message indique que le message contient un mot ou une expression non approuvé et que la valeur SCL, ou pondération, de ce mot ou expression non approuvé a été appliquée au score SCL final :
Pour plus d'informations sur l'ajout de mots ou d'expressions approuvés ou non approuvés à l'Agent de filtrage du contenu, consultez la rubrique Gérer le filtrage du contenu. |
PP | Le tampon de casse-tête présolvé (PP) indique que si le message d’un expéditeur contient un cachet de calcul valide et résolu, basé sur la fonctionnalité de validation du cachet de courrier électronique Outlook, il est peu probable que l’expéditeur soit un expéditeur malveillant. Dans ce cas, l’agent de filtrage du contenu réduit la valeur SCL. L’Agent de filtrage du contenu ne modifie pas la valeur de contrôle d’accès SCL si la fonctionnalité de validation de cachet de courrier électronique est activée et que l’une des conditions suivantes est vraie :
Pour plus d'informations sur la fonctionnalité de validation du cachet, consultez la rubrique Filtrage du contenu. |
TIME:TimeBasedFeatures | L’horodatage indique qu’il y a eu un délai important entre le moment où le message a été envoyé et l’heure de réception du message. Le cachet TIME permet de déterminer la valeur SCL finale du message. |
MIME:MIMECompliance | L’empreinte MIME indique que le message électronique n’est pas conforme MIME. |
P100:PhishingBlock | L’empreinte P100 indique que le message contient une URL présente dans un fichier de définition d’hameçonnage. |
IPOnAllowList | L’empreinte IPOnAllowList indique que l’adresse IP de l’expéditeur figure dans la liste d’adresses IP autorisées. Pour plus d’informations sur la liste d’adresses IP autorisées, consultez Présentation du filtrage des connexions. |
MessageSecurityAntispamBypass | Le tampon MessageSecurityAntispamBypass indique que le message n’a pas été filtré pour le contenu et que l’expéditeur a reçu l’autorisation de contourner les filtres anti-courrier indésirable. |
SenderBypassed | L’empreinte SenderBypassed indique que l’agent de filtre de contenu ne traite aucun filtrage de contenu pour les messages reçus de cet expéditeur. Pour plus d'informations, consultez la rubrique Gérer le filtrage du contenu. |
AllRecipientsBypassed | L’empreinte AllRecipientsBypassed indique que l’une des conditions suivantes a été remplie pour tous les destinataires répertoriés dans le message :
|