Utiliser des règles de flux de messagerie pour bloquer les messages avec des pièces jointes exécutables dans Exchange Online
Dans les organisations Exchange Online ou les organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, les messages contenant des pièces jointes nuisibles (y compris les pièces jointes exécutables) sont bloqués par des stratégies anti-programme malveillant. Pour plus d’informations, consultez Protection contre les programmes malveillants dans EOP.
Pour améliorer davantage la protection, vous pouvez utiliser des règles de flux de courrier (également appelées règles de transport) pour identifier et bloquer les messages qui contiennent des pièces jointes exécutables, comme décrit dans cet article.
Par exemple, à la suite d’une épidémie de programmes malveillants, une entreprise peut appliquer cette règle avec une limite de temps afin que les utilisateurs concernés puissent revenir à l’envoi de pièces jointes après une période spécifiée.
Ce qu'il faut savoir avant de commencer
Vous devez disposer d’autorisations dans Exchange Online ou EOP pour pouvoir effectuer les procédures décrites dans cet article. Plus précisément, vous avez besoin du rôle Règles de transport , qui est attribué aux groupes de rôles Gestion de l’organisation, Gestion de la conformité et Gestion des enregistrements par défaut.
Pour plus d’informations, voir les rubriques suivantes :
Pour ouvrir le Centre d’administration Exchange dans Exchange Online, consultez Centre d’administration Exchange dans Exchange Online. Pour ouvrir le CAE dans EOP autonome, consultez Centre d’administration Exchange dans EOP autonome.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.
Pour plus d’informations sur les règles de flux de messagerie dans Exchange Online et EOP autonome, consultez les rubriques suivantes :
Utiliser le CAE pour créer une règle qui bloque les messages avec des pièces jointes exécutables
Dans le Centre d’administration Exchange, accédez àRègles de flux> de courrier.
Sélectionnez +Ajouter une règle , puis Créer une règle.
Dans la page Définir les conditions de règle qui s’ouvre, configurez les paramètres suivants :
Nom : entrez un nom descriptif unique pour la règle.
Appliquez cette règle si : sélectionnez Toute pièce jointe>a un contenu exécutable.
Procédez comme suit : Sélectionnez Bloquer le message , puis choisissez l’action souhaitée :
rejeter le message et inclure une explication : dans la boîte de dialogue Spécifier la raison du rejet qui s’affiche, entrez le texte que vous souhaitez afficher dans le rapport de non-remise (également appelé message d’échec de remise ou de rebond). Le code d’état étendu utilisé par défaut est 5.7.1.
rejeter le message avec le code d’état amélioré : dans la boîte de dialogue Entrer le code d’état amélioré qui s’affiche, entrez le code d’état amélioré que vous souhaitez afficher dans la remise. Les valeurs valides sont 5.7.1 ou de 5.7.900 à 5.7.999. Le texte de rejet par défaut est : Remise non autorisée, message refusé.
supprimez le message sans avertir personne (si vous choisissez cette option, vous n’obtiendrez pas le bouton Enregistrer , mais le bouton Suivant .)
Quand vous avez terminé, sélectionnez Enregistrer. Votre règle de blocage des pièces jointes est en vigueur.
Utiliser PowerShell pour créer une règle qui bloque les messages avec des pièces jointes exécutables
Utilisez la syntaxe suivante pour créer une règle afin de bloquer les messages qui contiennent des pièces jointes exécutables :
New-TransportRule -Name "<UniqueName>" -AttachmentHasExecutableContent $true [-RejectMessageEnhancedStatusCode <5.7.1 | 5.7.900 to 5.7.999>] [-RejectMessageReasonText "<Text>"] [-DeleteMessage $true]
Remarques :
Si vous utilisez le paramètre RejectMessageEnhancedStatusCode sans le paramètre RejectMessageReasonText , le texte par défaut est : Remise non autorisée, message refusé.
Si vous utilisez le paramètre RejectMessageReasonText sans le paramètre RejectMessageEnhancedStatusCode , le code par défaut est 5.7.1.
L’exemple suivant crée une règle nommée Bloquer les pièces jointes exécutables qui supprime en mode silencieux les messages qui contiennent des pièces jointes exécutables.
New-TransportRule -Name "Block Executable Attachments" -AttachmentHasExecutableContent $true -DeleteMessage $true
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir New-TransportRule.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement créé une règle de flux de courrier pour bloquer les messages qui contiennent des pièces jointes exécutables, effectuez l’une des étapes suivantes :
Dans le CENTRE d’administration Exchange, accédez àRègles> de flux> de courrier, sélectionnez la règle>, sélectionnez sélectionnez l’onglet Paramètres et vérifiez les paramètres.
Dans PowerShell, exécutez la commande suivante pour vérifier les paramètres :
Get-TransportRule -Identity "<Rule Name>" | Format-List Name,AttachmentHasExecutableContent,RejectMessage*,DeleteMessage