Créer des listes d’expéditeurs bloqués dans EOP
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, EOP offre plusieurs façons de bloquer les e-mails des expéditeurs indésirables. Collectivement, vous pouvez considérer ces options comme des listes d’expéditeurs bloqués.
Les listes d’expéditeurs bloqués disponibles sont décrites dans la liste suivante, de la plus recommandée à la moins recommandée :
- Bloquer les entrées pour les domaines et les adresses de messagerie (y compris les expéditeurs usurpés) dans la liste verte/bloquée des locataires.
- Expéditeurs bloqués Outlook (liste des expéditeurs bloqués qui est stockée dans chaque boîte aux lettres).
- Listes d’expéditeurs bloqués ou listes de domaines bloqués (stratégies anti-courrier indésirable).
- Règles de flux de messagerie (également appelées règles de transport).
- Liste d’adresses IP bloquées (filtrage de connexion).
Le reste de cet article contient des détails sur chaque méthode.
Remarque
Envoyez toujours des messages dans vos listes d’expéditeurs bloqués à Microsoft à des fins d’analyse. Pour obtenir des instructions, consultez Signaler des e-mails douteux à Microsoft. Si les messages ou sources de messages sont considérés comme dangereux, Microsoft peut bloquer automatiquement les messages et vous n’aurez pas besoin de conserver manuellement l’entrée dans les listes d’expéditeurs bloqués.
Au lieu de bloquer les e-mails, vous disposez également de plusieurs options pour autoriser les e-mails provenant de sources spécifiques à l’aide de listes d’expéditeurs approuvés. Si vous souhaitez en savoir plus, consultez la page Créer des listes d’expéditeurs approuvés.
Email de base des messages
Un message électronique SMTP standard est constitué d’une enveloppe de message et d’un contenu de message. L’enveloppe du message contient les informations requises pour transmettre et remettre le message entre les serveurs SMTP. Le contenu du message comporte les champs d’en-tête de message (collectivement appelés l’en-tête de message) et le corps du message. L’enveloppe du message est décrite dans RFC 5321, et l’en-tête de message est décrit dans RFC 5322. Les destinataires ne voient jamais l’enveloppe réelle du message, car elle est générée par le processus de transmission du message, et elle ne fait pas réellement partie du message.
L’adresse
5321.MailFrom(également appelée adresse MAIL FROM , expéditeur P1 ou expéditeur d’enveloppe) est l’adresse e-mail utilisée dans la transmission SMTP du message. Cette adresse e-mail est généralement enregistrée dans le champ Retour-Chemin d’accès dans l’en-tête du message (bien qu’il soit possible pour l’expéditeur de désigner une adresse e-mail de retour différente). Si le message ne peut pas être remis, il s’agit du destinataire du rapport de non-remise (également appelé notification d’échec de remise ou message de rebond).L’adresse
5322.From(également appelée adresse de départ ou expéditeur P2) est l’adresse e-mail dans le champ d’en-tête De et l’adresse e-mail de l’expéditeur affichée dans les clients de messagerie.
Souvent, les 5321.MailFrom adresses et 5322.From sont les mêmes (communication de personne à personne). Toutefois, lorsque l’e-mail est envoyé au nom d’une autre personne, les adresses peuvent être différentes.
Les listes d’expéditeurs bloqués et les listes de domaines bloqués dans les stratégies anti-courrier indésirable dans EOP inspectent uniquement les 5322.From adresses. Ce comportement est similaire à celui des expéditeurs bloqués Outlook qui utilisent l’adresse 5322.From .
Utiliser des entrées de bloc dans la liste verte/bloquée du locataire
L’option la plus recommandée pour bloquer les messages provenant d’expéditeurs ou de domaines spécifiques est la liste verte/bloquée des locataires. Pour obtenir des instructions, consultez Créer des entrées de bloc pour les domaines et les adresses de messagerie et Créer des entrées de bloc pour les expéditeurs usurpés.
Email messages de ces expéditeurs sont marqués comme courrier indésirable à haut niveau de confiance (SCL = 9). Ce qui arrive aux messages est déterminé par la stratégie anti-courrier indésirable qui a détecté le message pour le destinataire. Dans la stratégie anti-courrier indésirable par défaut et les nouvelles stratégies personnalisées, les messages marqués comme courrier indésirable à haut niveau de confiance sont remis par défaut au dossier Email indésirables. Dans les stratégies de sécurité prédéfinies Standard et Strict, les messages indésirables à haut niveau de confiance sont mis en quarantaine.
En outre, les utilisateurs de l’organization ne peuvent pas envoyer d’e-mail à ces domaines et adresses bloqués. Ils recevront le rapport de non-remise suivant (également appelé notification d’échec de remise ou message de rebond) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l’intégralité du message est bloquée pour tous les destinataires internes et externes du message, même si une seule adresse e-mail ou domaine de destinataire est défini dans une entrée de bloc.
Ce n’est que si vous ne pouvez pas utiliser la liste verte/bloquée des locataires pour une raison quelconque que vous devez envisager d’utiliser une méthode différente pour bloquer les expéditeurs.
Utiliser des expéditeurs bloqués Outlook
Lorsqu’un petit nombre d’utilisateurs ont reçu des messages indésirables, les utilisateurs ou les administrateurs peuvent ajouter les adresses e-mail de l’expéditeur à la liste Des expéditeurs bloqués dans la boîte aux lettres. Pour obtenir des instructions, consultez Configurer les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres.
Lorsque les messages sont correctement bloqués en raison de la liste Des expéditeurs bloqués d’un utilisateur, le champ d’en-tête X-Forefront-Antispam-Report contient la valeur SFV:BLK.
Remarque
Si les messages indésirables sont des bulletins d’informations provenant d’une source fiable et reconnaissable, la désinscrition de l’e-mail est une autre option pour empêcher l’utilisateur de recevoir les messages.
Utiliser des listes d’expéditeurs bloqués ou des listes de domaines bloqués
Lorsque plusieurs utilisateurs sont affectés, l’étendue étant plus large, la meilleure option suivante est les listes d’expéditeurs bloqués ou les listes de domaines bloqués dans les stratégies anti-courrier indésirable. Les messages des expéditeurs des listes sont marqués comme courrier indésirable à haut niveau de confiance, et l’action que vous avez configurée pour le verdict du filtre courrier indésirable à haute confiance est effectuée sur les messages. Pour plus d’informations, consultez Configurer les stratégies anti-courrier indésirable.
La limite maximale pour ces listes est d’environ 1 000 entrées.
Utiliser des règles de flux de messagerie
Les règles de flux de messagerie peuvent également rechercher des mots clés ou d’autres propriétés dans les messages indésirables.
Quelles que soient les conditions ou exceptions que vous utilisez pour identifier les messages, vous configurez l’action pour définir le niveau de confiance du courrier indésirable (SCL) du message sur 9, ce qui marque le message comme courrier indésirable à haut niveau de confiance. Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir la liste SCL dans les messages.
Important
Il est facile de créer des règles trop agressives. Il est donc important d’identifier uniquement les messages que vous souhaitez bloquer à l’aide de critères très spécifiques. Veillez également à surveiller l’utilisation de la règle pour vous assurer que tout fonctionne comme prévu.
Utiliser la liste d’adresses IP bloquées
Lorsqu’il n’est pas possible d’utiliser l’une des autres options pour bloquer un expéditeur, vous devez utiliser la liste d’adresses IP bloquées dans la stratégie de filtre de connexion. Pour plus d'informations, consultez la rubrique relative à la configuration de la stratégie de filtre de connexion. Il est important de limiter au minimum le nombre d’adresses IP bloquées, de sorte que le blocage de plages d’adresses IP entières n’est pas recommandé.
Vous devez en particulier éviter d’ajouter des plages d’adresses IP qui appartiennent à des services grand public (par exemple, outlook.com) ou des infrastructures partagées, et veillez également à consulter la liste des adresses IP bloquées dans le cadre d’une maintenance régulière.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour