Contrôler le transfert automatique d’e-mails externes dans Microsoft 365

Pointe

Saviez-vous que vous pouvez essayer les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 gratuitement ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’évaluation ici.

S’applique à

En tant qu’administrateur, vous pouvez avoir des exigences de l’entreprise pour restreindre ou contrôler les messages automatiquement transférés aux destinataires externes (destinataires en dehors de votre organisation). Email transfert peut être utile, mais peut également présenter un risque pour la sécurité en raison de la divulgation potentielle d’informations. Les attaquants peuvent utiliser ces informations pour attaquer votre organisation ou vos partenaires.

Les types de transfert automatique suivants sont disponibles dans Microsoft 365 :

  • Les utilisateurs peuvent configurer des règles de boîte de réception pour transférer automatiquement les messages aux expéditeurs externes (délibérément ou à la suite d’un compte compromis).
  • Les administrateurs peuvent configurer le transfert de boîte aux lettres (également appelé transfert SMTP) pour transférer automatiquement les messages aux destinataires externes. L’administrateur peut choisir s’il faut simplement transférer des messages ou conserver des copies des messages transférés dans la boîte aux lettres.

Remarque

Les utilisateurs disposant d’un transfert automatique à partir de systèmes de messagerie locaux via Microsoft 365 seront soumis aux mêmes contrôles de stratégie que les boîtes aux lettres cloud dans une prochaine mise à jour. Cette mise à jour sera communiquée via le billet du Centre de messages.

Vous pouvez utiliser des stratégies de filtre de courrier indésirable sortant pour contrôler le transfert automatique vers des destinataires externes. Trois paramètres sont disponibles :

  • Automatique - Contrôlé par le système : il s’agit du paramètre par défaut. Ce paramètre est désormais identique à Off. Lorsque ce paramètre a été introduit à l’origine, il était équivalent à On. Au fil du temps, grâce aux principes de sécurité par défaut, ce paramètre a été progressivement remplacé par Désactivé pour tous les clients. Pour plus d’informations, consultez ce billet de blog.
  • Activé : le transfert externe automatique est autorisé et non restreint.
  • Désactivé : le transfert externe automatique est désactivé et génère un rapport de non-remise (également appelé NDR ou message de rebond) à l’expéditeur.

Pour obtenir des instructions sur la configuration de ces paramètres, consultez Configurer le filtrage de courrier indésirable sortant dans EOP.

Remarque

  • La désactivation du transfert automatique désactive les règles de boîte de réception (utilisateurs) ou le transfert de boîte aux lettres (administrateurs) qui redirigent les messages vers des adresses externes.
  • Le transfert automatique des messages entre les utilisateurs internes n’est pas affecté par les paramètres des stratégies de filtrage du courrier indésirable sortant.

Fonctionnement des paramètres de stratégie de filtrage du courrier indésirable sortant avec d’autres contrôles de transfert automatique de courrier électronique

En tant qu’administrateur, vous avez peut-être déjà configuré d’autres contrôles pour autoriser ou bloquer le transfert automatique de courrier électronique. Par exemple :

  • Domaines distants pour autoriser ou bloquer le transfert automatique d’e-mails vers certains ou tous les domaines externes.
  • Conditions et actions dans les règles de flux de messagerie Exchange (également appelées règles de transport) pour détecter et bloquer automatiquement les messages transférés aux destinataires externes.

Lorsqu’un paramètre autorise le transfert externe, mais qu’un autre paramètre bloque le transfert externe, le bloc l’emporte généralement. Les exemples sont décrits dans le tableau suivant :

Scénario Résultat
  • Vous configurez les paramètres de domaine distant pour autoriser le transfert automatique.
  • Le transfert automatique dans la stratégie de filtrage du courrier indésirable sortant est défini sur Désactivé.
Les messages automatiquement transférés aux destinataires dans les domaines affectés sont bloqués.
  • Vous configurez les paramètres de domaine distant pour autoriser le transfert automatique.
  • Le transfert automatique dans la stratégie de filtrage du courrier indésirable sortant est défini sur Automatique - Contrôlé par le système.
Les messages automatiquement transférés aux destinataires dans les domaines affectés sont bloqués.

Comme décrit précédemment, Automatique - Contrôlé par le système utilisé pour signifier Activé, mais le paramètre a changé au fil du temps pour signifier Désactivé dans toutes les organisations.

Pour une clarté absolue, vous devez configurer votre stratégie de filtrage du courrier indésirable sortant sur Activé ou Désactivé.

  • Le transfert automatique dans la stratégie de filtrage du courrier indésirable sortant est défini sur Activé
  • Vous utilisez des règles de flux de messagerie ou des domaines distants pour bloquer les e-mails transférés automatiquement.
Les messages transférés automatiquement aux destinataires affectés sont bloqués par des règles de flux de messagerie ou des domaines distants.

Vous pouvez utiliser ce comportement (par exemple) pour autoriser le transfert automatique dans les stratégies de filtre de courrier indésirable sortant, mais utiliser des domaines distants pour contrôler les domaines externes auxquels les utilisateurs peuvent transférer des messages.

Comment rechercher des utilisateurs qui sont automatiquement transférés

Vous pouvez voir des informations sur les utilisateurs qui transfèrent automatiquement des messages à des destinataires externes dans le rapport des messages transférés automatiquement pour les comptes cloud. Pour les utilisateurs locaux qui transfèrent automatiquement leur système de messagerie local à Microsoft 365, vous devez créer une règle de flux de messagerie pour suivre ces utilisateurs. Pour obtenir des instructions sur la création d’une règle de flux de messagerie, consultez Utiliser le CAE pour créer une règle de flux de messagerie.

Les informations suivantes sont requises pour créer la règle de flux de messagerie dans le Centre d’administration Exchange (EAC) :

  • Appliquez cette règle si (condition) : un en-tête> de messagecorrespond à ces modèles de texte. Notez que vous devrez peut-être cliquer sur Autres options pour voir cette option.

    • Nom de l’en-tête : X-MS-Exchange-Inbox-Rules-Loop
    • Valeur d’en-tête : .

    La condition ressemble à ceci : l’en-tête « X-MS-Exchange-Inbox-Rules-Loop » correspond à « . »

    Cette condition correspond à n’importe quelle valeur de l’en-tête.

  • (Facultatif) Procédez comme suit (action) : vous pouvez configurer une action facultative. Par exemple, vous pouvez utiliser l’action Modifier les propriétés> du messagepour définir un en-tête de message, avec le nom d’en-tête X-Forwarded et la valeur True. Toutefois, la configuration d’une action n’est pas nécessaire.

  • Définissez Auditer cette rue avec le niveau de gravité sur la valeur Faible, Moyenne ou Élevée. Ce paramètre vous permet d’utiliser le rapport de règle de transport Exchange pour obtenir des détails sur les utilisateurs qui sont transférés.

Propriétés de la règle de flux de messagerie dans le CAE pour une règle permettant d’identifier les messages transférés

Messages de transfert de courrier bloqués

Lorsqu’un message est détecté comme transféré automatiquement et que la stratégie de filtrage du courrier indésirable sortantbloque cette activité, le message est renvoyé à l’expéditeur dans une DNR qui contient les informations suivantes :

5.7.520 Access denied, Your organization does not allow external forwarding. Please contact your administrator for further assistance. AS(7555)