FAQ sur la protection anti-courrier indésirable

• Messages entrants : La plupart des courriers indésirables sont détectés via le filtrage des connexions à la périphérie du service, qui est basé sur l’adresse IP du serveur de messagerie source. Les stratégies anti-courrier indésirable (également appelées stratégies de filtrage du courrier indésirable ou stratégies de filtre de contenu) inspectent et classent les messages en bloc, courrier indésirable, courrier indésirable à haut niveau de confiance, hameçonnage ou hameçonnage à haute confiance.

  Les stratégies anti-courrier indésirable sont utilisées dans les stratégies de sécurité prédéfinies Standard et Strict. Vous pouvez créer des stratégies anti-courrier indésirable personnalisées qui s’appliquent à des groupes d’utilisateurs spécifiques. Il existe également une stratégie anti-courrier indésirable par défaut qui s’applique à tous les destinataires qui ne sont pas spécifiés dans les stratégies de sécurité prédéfinies Standard et Strict ou dans les stratégies personnalisées.

  Par défaut, les messages identifiés comme courrier indésirable sont déplacés vers le dossier Email indésirables par la stratégie de sécurité prédéfinie Standard, les stratégies anti-courrier indésirable personnalisées (configurables) et la stratégie anti-courrier indésirable par défaut (configurable). Dans la stratégie de sécurité prédéfinie Strict, les courriers indésirables sont mis en quarantaine.

  Pour plus d’informations, consultez Configurer des stratégies anti-courrier indésirable et Paramètres de stratégie anti-courrier indésirable recommandés.

  Importante

  Dans les déploiements hybrides où EOP protège les boîtes aux lettres Exchange locales, vous devez configurer deux règles de flux de courrier Exchange (également appelées règles de transport) dans votre organization Exchange local pour détecter les en-têtes de filtrage du courrier indésirable EOP ajoutés aux messages. Pour les détails, voir Configurer Exchange Online Protection (EOP) pour envoyer des courriers indésirables dans le dossier Courrier indésirable dans les environnements hybrides.

• Messages sortants : Le message est acheminé via le pool de remises à haut risque ou est retourné à l’expéditeur dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond). Pour plus d’informations sur la protection contre le courrier indésirable sortant, consultez Contrôles de courrier indésirable sortant.

Une variante de courrier indésirable zero-day est une variante de courrier indésirable de première génération, précédemment inconnue, qui n’a jamais été capturée ou analysée, de sorte que nos filtres anti-courrier indésirable n’ont pas encore d’informations disponibles pour le détecter. Une fois qu’un échantillon de courrier indésirable zero-day a été capturé et analysé par nos analystes du courrier indésirable, s’il répond aux critères de classification du courrier indésirable, nos filtres anti-courrier indésirable sont mis à jour pour le détecter, et il n’est plus considéré comme « zéro jour ».

Non. La stratégie anti-courrier indésirable par défaut protège tous les destinataires actuels et futurs de votre organization Microsoft 365 une fois que vous vous êtes inscrit au service et que vous avez ajouté votre domaine. La seule exception est l’exigence décrite précédemment pour les clients autonomes EOP autonomes dans les environnements hybrides

En tant qu’administrateur, vous pouvez utiliser les méthodes suivantes pour affiner la protection anti-courrier indésirable :

• Ajouter des utilisateurs aux stratégies de sécurité prédéfinies Standard et Strict.
• Modifiez les paramètres de filtrage du courrier indésirable par défaut dans la stratégie anti-courrier indésirable par défaut.
• Créez des stratégies anti-courrier indésirable qui sont appliquées aux utilisateurs, groupes ou domaines spécifiés dans votre organization.

Si vous souhaitez en savoir plus, consultez les articles suivants :

• Paramètres de stratégie anti-courrier indésirable recommandés
• Configuration de stratégies de blocage du courrier indésirable dans Exchange Online Protection
• Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365

Jusqu’à 1 heure peut être nécessaire après l’enregistrement des modifications pour que ces modifications prennent effet.

Oui. Pour plus d’informations sur le courrier en bloc, consultez Quelle est la différence entre le courrier indésirable et le courrier en bloc ? et Le niveau de plainte en bloc (BCL) dans EOP.

Oui, le service dispose d’un filtre d’URL qui vérifie les URL dans les messages. Si des URL associées à du courrier indésirable connu ou du contenu malveillant sont détectées, le message est marqué comme courrier indésirable.

Les clients disposant de Microsoft Defender XDR pour les licences Office 365 bénéficient également de la protection des liens fiables. Pour plus d’informations, consultez Liens fiables dans Microsoft Defender pour Office 365.

Voir Signaler des messages et des fichiers à Microsoft.

Oui. Les rapports suivants sont disponibles :

• Rapport sur la détection des courriers indésirables
• Rapport sur l’état de la protection contre les menaces
• Rapport de soumissions (administrateurs)
• Rapport des messages signalés par l’utilisateur

Oui, l'outil de suivi des messages vous permet de suivre les messages électroniques quand ils sont acheminés via le service afin de déterminer ce qui leur est arrivé. Pour plus d’informations sur l’utilisation de l’outil de suivi des messages afin de savoir pourquoi un message a été marqué comme courrier indésirable, voir Un message a-t-il été marqué comme courrier indésirable ?

Si plus de la moitié des messages envoyés par un utilisateur via le service dans un certain laps de temps (par exemple, par heure) sont déterminés comme étant du courrier indésirable par EOP, l’utilisateur ne peut pas envoyer de messages. Dans la plupart des cas, si un message sortant est considéré comme du courrier indésirable, il est routé via le pool de remises à haut risque, ce qui réduit la probabilité que le pool d’adresses IP sortantes normale soit ajouté à une liste bloquée.

Les notifications sont automatiquement envoyées lorsque les utilisateurs sont bloqués en raison de l’envoi de courrier indésirable sortant ou du dépassement des limites d’envoi. Pour plus d’informations, consultez Protection contre le courrier indésirable sortant dans EOP.

Oui. Bien que nous vous recommandons de pointer votre enregistrement MX directement vers Microsoft, nous nous rendons compte qu’il existe des raisons professionnelles légitimes pour acheminer votre courrier vers un autre emplacement que Microsoft d’abord.

• Entrant : modifiez vos enregistrements MX pour qu’ils pointent vers le fournisseur tiers, puis redirigez les messages vers EOP pour un traitement supplémentaire. Pour plus d’informations, consultez Filtrage amélioré pour les connecteurs dans Exchange Online.
• Sortant : configurez le routage de l’hôte intelligent de Microsoft 365 vers le fournisseur tiers de destination.

Oui. Pour plus d’informations, consultez Protéger votre vie privée sur Internet.

Le service se concentre sur la détection et la suppression du courrier indésirable et des programmes malveillants, bien que nous puissions parfois enquêter sur les campagnes particulièrement dangereuses ou préjudiciables et poursuivre les auteurs. Cette poursuite peut impliquer de travailler avec nos unités de criminalité juridique et numérique pour mettre hors service un botnet, empêcher le spammeur d’utiliser le service (s’ils l’utilisent pour envoyer des e-mails sortants) et transmettre les informations aux forces de l’ordre pour des poursuites pénales.

Les recommandations dans Expéditeurs externes - Résoudre les problèmes liés aux e-mails envoyés à Microsoft 365 et les recommandations suivantes sont les meilleures pratiques pour l’envoi de messages électroniques sortants :

• Le domaine de messagerie source doit être résolu dans DNS : par exemple, si l’expéditeur est user@fabrikam, le fabrikam de domaine est résolu en adresse IP 192.168.43.10.

  Si un domaine d’envoi n’a pas d’enregistrement A ni d’enregistrement MX dans DNS, le service achemine le message via son pool de remise à risque plus élevé, quel que soit le contenu du message. Pour plus d’informations sur le pool de remise à haut risque, consultez Pool de remise à haut risque pour les messages sortants.

• Le serveur de messagerie source doit avoir une entrée DNS inversée (PTR) : par exemple, si l’adresse IP source de l’e-mail est 192.168.43.10, l’entrée DNS inversée est 43-10.any.icann.org.'

• Les commandes HELO/EHLO et MAIL FROM doivent être cohérentes, présentes et utiliser un nom de domaine plutôt qu’une adresse IP : la commande HELO/EHLO doit être configurée pour correspondre au DNS inverse de l’adresse IP d’envoi. Ce paramètre permet de s’assurer que le domaine reste le même dans les différentes parties des en-têtes de message.

• Vérifiez que les enregistrements SPF appropriés sont configurés dans DNS : les enregistrements SPF sont un mécanisme permettant de valider que le courrier envoyé à partir d’un domaine provient vraiment de ce domaine et n’est pas usurpé. Pour plus d'informations sur les enregistrements SPF, consultez les liens suivants :

  • Configurer SPF pour empêcher l’usurpation d’identité
  • Foire aux questions sur les domaines

• Signature d’e-mail avec DKIM, signature avec canonisation souple : si un expéditeur souhaite signer ses messages à l’aide de DKIM (Domain Keys Identified Mail) et qu’il souhaite envoyer du courrier sortant via le service, il doit signer à l’aide de l’algorithme de canonisation d’en-tête souple. Signer avec une canonisation d'en-tête stricte peut entraîner une invalidation de la signature par le service.

• Les propriétaires de domaine doivent disposer d’informations précises dans la base de données WHOIS : cette configuration identifie les propriétaires du domaine et comment les contacter en entrant les serveurs de noms, de point de contact et de société mère stable.

• Mettre en forme les messages de rebond sortants : lorsque des messages génèrent des rapports de non-remise (également appelés NDR ou messages de rebond), les expéditeurs doivent suivre le format d’un rebond comme spécifié dans RFC 3464.

• Supprimer les adresses e-mail non utilisées pour les utilisateurs inexistants : si vous recevez une notification d’échec de remise indiquant qu’une adresse e-mail n’est plus utilisée, supprimez l’alias de messagerie inexistant de votre liste. Les adresses électroniques changent au fil du temps et certaines personnes les abandonnent.

• Utilisez Outlook.com programme SNDS (Smart Network Data Services) : pour plus d’informations, consultez Smart Network Data Service.

Si vous utilisez un service de protection tiers ou un appareil pour analyser le courrier électronique avant qu’il ne soit remis à Microsoft 365, vous pouvez utiliser une règle de flux de courrier (également appelée règle de transport) pour contourner la plupart du filtrage du courrier indésirable pour les messages entrants. Pour obtenir des instructions, consultez Utiliser des règles de flux de messagerie pour définir le niveau de confiance du courrier indésirable (SCL) dans les messages. L’analyse des programmes malveillants et des messages d’hameçonnage à haute confiance ne peut pas être ignorée.

Si vous utilisez un service de protection tiers ou un appareil pour analyser les e-mails avant qu’ils ne soient remis à Microsoft 365, vous devez également activer le filtrage amélioré pour les connecteurs (également appelé skip listing) afin que les fonctionnalités de détection, de création de rapports et d’investigation dans Microsoft 365 puissent identifier correctement les sources de messages. Pour plus d’informations, consultez Filtrage amélioré pour les connecteurs.

Si vous devez contourner le filtrage du courrier indésirable pour les boîtes aux lettres SecOps ou les simulations d’hameçonnage, n’utilisez pas de règles de flux de messagerie. Pour plus d’informations, consultez Configurer la remise de simulations d’hameçonnage tierces aux utilisateurs et de messages non filtrés aux boîtes aux lettres SecOps.