Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Paru le 18 août 2006
Sur cette page
Introduction
Définition
Enjeux
Solutions
Résumé
Références
Introduction
Bienvenue dans ce document de la collection Guides de sécurité pour les entreprises de taille moyenne. Microsoft espère que les informations suivantes vous aideront à créer un environnement à la fois plus sûr et plus productif.
Synthèse
Les courriers électroniques non sollicités, appelés également courriers indésirables ou spam, sont envoyés d'une seule source et diffusés simultanément dans de nombreuses boîtes aux lettres. L'objectif des spammeurs est de faire parvenir les messages aux utilisateurs pour qu'ils soient ouverts et lus, car c'est ainsi qu'ils gagnent de l'argent. Ils utilisent différentes techniques pour placer les messages dans des zones grises où ils sont difficilement détectables au niveau de la passerelle.
Selon les estimations, plus de 40 % des messages électroniques entrants sont désignés comme spam. Ce flux croissant de courrier indésirable constitue un défi permanent pour les entreprises. Le spam n'est pas seulement ennuyeux, il est également coûteux en termes de perte potentielle de productivité et de ressources supplémentaires requises pour le gérer.
Par conséquent, une solution pratique s'impose pour développer des techniques de lutte contre le spam.
Microsoft® Exchange Server 2003 avec Service Pack 2 (SP2) propose une infrastructure qui combine différentes méthodes de lutte anti-spam dans des environnements Exchange Server simples ou multiples. L'infrastructure Anti-Spam Exchange Server 2003 contient des filtres aux niveaux connexion, protocole et contenu.
Au sein de cette infrastructure, des techniques permettent aux administrateurs ainsi qu'aux utilisateurs finaux de filtrer et classer avec précision le spam et de déterminer s'il s'agit de spam ou de courrier commercial légitime.
L'objectif principal de cette infrastructure est d'offrir aux administrateurs et aux utilisateurs des solutions suffisamment souples pour les appliquer côté serveur et côté client. Ce document décrit en détail ces méthodes, explique le fonctionnement de chacune d'elles et leur action collective au sein de l'infrastructure. Il présente des plans d'évaluation et de développement ainsi qu'un guide détaillé dans la section sur le déploiement et la gestion.
Remarque Microsoft fournit également un important service pour aider à lutter contre le spam. Ce service s'appelle Exchange Hosted Services (services hébergés par Exchange) ou EHS. EHS se compose de quatre services distincts qui permettent aux entreprises de taille moyenne de se protéger contre les logiciels malveillants transportés par les courriers électroniques, de répondre aux exigences de conservation pour conformité, de chiffrer les données afin de préserver leur confidentialité et de maintenir l'accès au courrier électronique pendant et après les situations d'urgence. Le cœur d'Exchange Hosted Services est un réseau distribué de centres de données situé sur des sites clés, le long de l'épine dorsale d'Internet. Chaque centre de données contient des serveurs tolérants aux pannes avec équilibrage de charge de site en site et de serveur en serveur. Une description détaillée de ce service n'entre pas dans le cadre de ce guide. Consultez le livre blanc sur la « présentation de Microsoft Exchange Hosted Services » à l'adresse www.microsoft.com/exchange/services/services.mspx (cette page peut être en anglais) pour plus d'informations.
Présentation
Ce document se divise en quatre sections principales qui examinent les options et les solutions offrant des méthodes pratiques de lutte anti-spam dans l'environnement Exchange Server. Ces quatre sections sont les suivantes : Introduction, Définition, Enjeux et Solutions.
Introduction
Cette section fournit une synthèse de ce document ainsi qu'une présentation de sa structure et des informations sur le public concerné.
Définition
Cette section fournit des détails sur la définition et la présentation de l'infrastructure Anti-Spam Exchange Server 2003. Ces informations seront utiles pour appréhender les solutions présentées dans ce document.
Enjeux
Cette section décrit certaines difficultés que peuvent rencontrer les entreprises de taille moyenne pour déterminer comment filtrer le spam aux différents niveaux fournis par l'infrastructure Anti-Spam.
Solutions
Cette section décrit des solutions pratiques qui permettent de répondre aux problèmes représentés par le courrier électronique non sollicité. Elle évalue les approches et les plans de développement pour répondre aux difficultés en fournissant des informations détaillées sur le déploiement et la gestion des méthodes suivantes :
Protection au niveau de la connexion
Filtrage des connexions IP
Listes rouges en temps réel
Protection au niveau du protocole
Blocage des destinataires et des expéditeurs
ID de l'expéditeur
Protection au niveau du contenu
Filtre de messages intelligent Microsoft
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Outre l'infrastructure Anti-Spam Exchange Server 2003, il est important de reconnaître que la sensibilisation des utilisateurs est une composante essentielle de la lutte contre le courrier indésirable dans les environnements Exchange Server. Ce sujet sera traité à la fin de la section « déploiement et gestion ».
Personnes concernées par ce guide
Ce document est destiné principalement aux informaticiens et aux gestionnaires d'entreprise qui sont responsables de la planification et de la mise en œuvre des techniques de lutte anti-spam dans un environnement Exchange Server pour les entreprises de taille moyenne. Ces professionnels peuvent remplir les fonctions suivantes :
Architectes système. Les personnes responsables de la conception de l'infrastructure globale du serveur, du développement des stratégies et des politiques de déploiement des serveurs, du renforcement des systèmes et de la conception de la connectivité réseau.
Responsables informatiques. Les décideurs techniques qui gèrent le personnel informatique responsable de l'infrastructure, le déploiement des ordinateurs et des serveurs, et l'administration ainsi que les opérations d'Exchange Server à travers les sites.
Administrateurs système. Les personnes chargées de planifier et de déployer la technologie sur les serveurs Microsoft Exchange ainsi que d'évaluer et de recommander de nouvelles solutions technologiques.
Administrateurs de messagerie Exchange. Les personnes responsables de l'implémentation et de la gestion de la messagerie de l'organisation.
Définition
L'infrastructure Anti-Spam Exchange Server 2003 est un mécanisme permettant de combattre le spam dans l'environnement Exchange Server. La version d'Exchange Server 2003 SP2 améliore l'infrastructure en incluant la technologie standard d'authentification du courrier électronique appelée filtrage par ID de l'expéditeur. Cette technologie permet de réduire la quantité de spam qui arrive dans la boîte de réception d'un utilisateur.
Cette section présente en détail l'infrastructure Anti-Spam Exchange Server 2003.
Infrastructure Anti-Spam Exchange Server 2003
Exchange Server 2003 applique la protection anti-spam à trois niveaux différents : connexion, protocole et contenu, comme illustré dans la figure suivante.
.gif)
Figure 1. Trois niveaux de protection contre le spam
La protection au niveau de la connexion analyse l'hôte de connexion SMTP, la protection au niveau du protocole analyse l'expéditeur et le destinataire du message, et la protection au niveau du contenu évalue le contenu du message. Chacun de ces types de protection anti-spam est décrit en détail dans les sous-sections suivantes.
Protection au niveau de la connexion
La protection au niveau de la connexion constitue l'une des couches de défense les plus efficaces contre le spam, car elle empêche le message indésirable de pénétrer dans l'entreprise. Comme indiqué dans la figure suivante, ce niveau de protection évalue pour chaque connexion SMTP entrante la probabilité qu'elle soit une source de spam.
.gif)
Figure 2. Protection au niveau de la connexion
Si l'hôte de connexion SMTP est identifié comme hôte expéditeur de spam ou qui n'envoie normalement pas de messages SMTP, la connexion peut être refusée, ce qui élimine des cycles coûteux pour déterminer si le message entrant est un spam. Pour ce faire, Exchange Server 2003 dispose de deux types de filtrage au niveau de la connexion.
Filtrage des connexions IP
Grâce à Exchange Server 2003, vous pouvez choisir de refuser explicitement des connexions SMTP en fonction de l'adresse IP. Cette approche est la méthode la plus rudimentaire de protection d'un serveur Exchange, car les listes de filtrage de connexion sont administrées manuellement. Si vous souhaitez refuser des connexions SMTP entrantes à partir d'un hôte spécifique pour une raison donnée (notamment la probabilité qu'il soit une source de spam), les connexions sont refusées à ce niveau.
Les connexions SMTP peuvent être explicitement autorisées. Si vous souhaitez recevoir du courrier d'un hôte SMTP bloqué qui a été identifié comme source de spam, vous pouvez autoriser les messages provenant de cet hôte qui seraient sinon refusés.
Listes rouges en temps réel
L'utilisation des listes rouges en temps réel (RBL, real-time block lists) constitue un moyen de protection plus dynamique au niveau de la connexion. Il s'agit de listes d'adresses IP qui sont soit des sources connues de spam, soit des relais ouverts, soit un élément d'une étendue IP qui ne devrait pas inclure un hôte SMTP, comme une adresse IP du pool d'accès distant Microsoft MSN®.
Les fournisseurs de listes rouges tierces recueillent des adresses IP qui correspondent à chaque profil. Lorsqu'un hôte expéditeur démarre une session SMTP avec un abonné au service de listes rouges, l'abonné publie une requête de type DNS (Domain Name System) au fournisseur de listes avec l'adresse IP de l'hôte de connexion. Le fournisseur de listes répond par un code indiquant si l'hôte de connexion figure sur une liste. Le code peut aussi indiquer à quelle liste appartient l'hôte de connexion SMTP.
Le processus de filtrage de listes rouges en temps réel est décrit comme suit et illustré dans la figure suivante.
Un hôte SMTP se connecte au serveur Exchange Server 2003 sur le port TCP (Transmission Control Protocol) 25.
Le serveur Exchange Server 2003 interroge le fournisseur de listes rouges configuré pour vérifier que l'hôte de connexion SMTP ne figure pas dans la liste.
Si l'hôte n'y figure pas, la connexion est autorisée. S'il figure dans la liste, la connexion est refusée.
.gif)
Figure 3. Fonctionnement du filtrage de listes rouges en temps réel
Dans les versions antérieures d'Exchange Server 2003 SP2, les fonctionnalités de filtrage des connexions n'étaient pas disponibles si des pare-feu ou des hôtes SMTP intermédiaires étaient placés entre Exchange et l'identité de l'expéditeur (Exchange est situé derrière le réseau périphérique), car avant Exchange Server 2003 SP2, le filtrage des connexions ne prenait en compte que l'hôte de connexion. Lorsqu'un hôte intermédiaire (comme un pare-feu ou un système SMTP) est situé entre l'hôte expéditeur et Exchange, seul l'hôte intermédiaire est pris en compte.
Avec Exchange Server 2003 SP2, le serveur Exchange peut être positionné n'importe où dans l'entreprise et assurer un filtrage correct des connexions. Cette fonctionnalité est exécutée en fournissant des listes IP périphériques et une configuration de plage IP interne dans le Gestionnaire système Exchange. Ainsi, les fonctionnalités d'ID de l'expéditeur et de listes rouges en temps réel analysent l'adresse IP qui se connecte à votre hôte SMTP intermédiaire, tel un pare-feu.
Protection au niveau du protocole
.gif)
Figure 4. Protection au niveau du protocole
Une fois que le message SMTP a franchi la protection au niveau de la connexion, la couche de défense suivante est située au niveau du protocole SMTP. Le dialogue SMTP entre l'hôte expéditeur SMTP et l'hôte destinataire SMTP est analysé pour vérifier que l'expéditeur et les destinataires sont autorisés et pour déterminer le nom de domaine SMTP de l'expéditeur.
Blocage des destinataires et des expéditeurs
Une autre manière de réduire manuellement le spam est de définir des expéditeurs ou des domaines individuels dont vous ne souhaitez pas recevoir les messages. Le blocage des expéditeurs vous permet de spécifier des adresses ou des domaines SMTP individuels à bloquer. Avec Exchange Server 2003, vous pouvez également refuser les messages qui ont une adresse d'expéditeur vierge, ainsi que les messages d'archive filtrés.
Le filtrage des destinataires vous permet de filtrer les messages envoyés à un destinataire spécifique. Vous pouvez aussi filtrer les destinataires qui ne sont pas répertoriés dans l'annuaire. Toutefois, le filtrage de destinataires non présents dans l'annuaire peut rendre votre entreprise vulnérable face à une attaque de collecte d'adresses de messagerie SMTP (DHA, directory harvesting attack). Dans ce cas, les réponses du serveur Exchange aux commandes RFC2821 RCPT TO: sont analysées pendant la recherche d'adresses SMTP valides. Le protocole SMTP reconnaît les destinataires acceptables pendant une session SMTP par la réponse 250 2.1.5. Lorsqu'un courrier électronique est envoyé à un destinataire inexistant, le serveur Exchange renvoie l'erreur 550 5.1.1 Utilisateur inconnu. Par conséquent, un spammeur peut écrire un programme automatique qui utilise des noms communs ou des termes du dictionnaire pour créer les adresses électroniques d'un domaine spécifique. Le programme peut alors collecter toutes les adresses électroniques qui renvoient 250 2.1.5 to RCPT TO: SMTP et ignorer toutes celles qui provoquent les erreurs 550 5.1.1 Utilisateur inconnu. Le spammeur peut alors vendre les adresses électroniques valides ou les utiliser comme destinataires pour le courrier non sollicité.
Cette menace peut être atténuée en utilisant la méthode tarpitting (répulseur). La fonctionnalité Tar Pit du protocole SMTP pour Microsoft Windows Server™ 2003 SP1 permet à un administrateur de définir un délai configurable avant de renvoyer les réponses du protocole SMTP. L'hôte malveillant n'attend pas assez longtemps la réponse.
Pour plus d'informations, reportez-vous à l'article de la base de connaissances Microsoft « Fonctionnalité Tar Pit du protocole SMTP pour Microsoft Windows Server 2003 » à l'adresse http://support.microsoft.com/kb/842851/fr.
ID de l'expéditeur
Un des ajouts les plus récents aux défenses anti-spam d'Exchange Server 2003 est le filtrage par ID de l'expéditeur. Cette fonctionnalité d'Exchange Server 2003 SP2 tente de vérifier que l'hôte expéditeur SMTP est approuvé pour l'envoi de messages à partir du domaine spécifié dans l'adresse électronique de l'expéditeur. De nombreux messages de spam sont maquillés de sorte qu'ils semblent provenir d'adresses électroniques légitimes. Les destinataires, persuadés que le courrier électronique émane d'une autorité légitime (employé de banque, service client, etc.), sont amenés à divulguer de précieuses informations pouvant entraîner des usurpations ou vols d'identité. L'ID de l'expéditeur essaie de réduire ou d'éliminer les messages frauduleux.
Il comprend deux parties qui sont requises pour que le système fonctionne. La première partie est un DNS appelé enregistrement SPF (sender policy framework). Ce dernier définit les serveurs autorisés à envoyer des adresses SMTP pour votre domaine. Il n'est pas nécessaire de configurer l'ID de l'expéditeur pour créer un enregistrement SPF. La seconde partie est un hôte SMTP qui prend en charge l'ID de l'expéditeur, comme Exchange Server 2003 SP2.
L'enregistrement SPF est ajouté à la zone DNS de sorte que les autres organisations disposant de l'ID de l'expéditeur peuvent vérifier que les messages provenant de votre domaine sont envoyés par les serveurs autorisés dans votre enregistrement SPF. La procédure et les figures suivantes illustrent le fonctionnement du processus, d'abord sans, puis avec enregistrement SPF.
Un message est envoyé au serveur Exchange Server 2003 à partir de l'hôte SMTP d'un spammeur fabrikam.com avec ID de l'expéditeur activé. L'adresse de l'expéditeur est susanf@nwtraders.com.
Le serveur Exchange interroge DNS sur l'enregistrement SPF de nwtraders.com.
nwtraders.com ne possédant pas d'enregistrement SPF, le message est autorisé à franchir l'ID de l'expéditeur.
.gif)
Figure 5. Spam arrivant dans une organisation sans enregistrement de l'ID de l'expéditeur/SPF
Northwind Traders ajoute ensuite un enregistrement SPF à la zone DNS de nwtraders.com de la manière suivante :
Un message est envoyé au serveur Exchange Server 2003 à partir de l'hôte SMTP d'un spammeur fabrikam.com avec ID de l'expéditeur activé. L'adresse de l'expéditeur est susanf@nwtraders.com.
Le serveur Exchange interroge DNS sur l'enregistrement SPF de nwtraders.com.
L'adresse IP (208.217.184.82) de l'expéditeur ne figurant pas dans la liste d'adresses IP autorisées à envoyer du courrier électronique pour nwtraders.com comme défini dans le SPF (131.107.76.156), le message est pris en compte par l'ID de l'expéditeur.
.gif)
Figure 6. Spam reconnu dans une organisation avec un enregistrement de l'ID de l'expéditeur/SPF
En implémentant l'ID de l'expéditeur, vous pouvez réduire considérablement le spam (frauduleux) des domaines qui possèdent un enregistrement SPF. Sachez toutefois que la protection de l'ID de l'expéditeur est d'autant plus efficace que le nombre d'organisations disposant d'enregistrements SPF est important.
Selon Microsoft.com, 59 % des messages entrants qui franchissent le filtrage au niveau de la connexion sont bloqués par le filtrage au niveau du protocole.
Protection au niveau du contenu
.gif)
Figure 7. Protection au niveau du contenu
Une fois le filtrage appliqué au niveau de la connexion et du protocole pour déterminer si un message entrant constitue un spam, la ligne de défense suivante consiste à analyser le contenu du message, à la recherche d'indices courants indiquant un courrier non sollicité. Les spammeurs déploient des efforts constants pour découvrir de nouvelles parades à la détection afin que leurs messages franchissent les filtres de contenu et parviennent aux boîtes de réception des utilisateurs.
Filtre de messages intelligent Microsoft
Le filtre de messages intelligent (IMF, Intelligent Message Filter) est un filtre de contenu conçu spécialement pour Exchange. Il repose sur la technologie d'apprentissage automatique brevetée par Microsoft Research appelée Microsoft SmartScreen®. SmartScreen est actuellement utilisé par MSN, Microsoft Hotmail®, Microsoft Office Outlook® 2003, et Exchange. IMF a été conçu pour distinguer les messages légitimes du spam sur la base de millions de messages. IMF évalue la probabilité qu'un message électronique entrant soit un message légitime ou du spam. Contrairement aux autres technologies de filtrage, IMF utilise les caractéristiques d'un échantillon statistiquement pertinent de messages électroniques. Outre le spam, l'intégration de messages légitimes dans cet échantillon réduit le risque d'erreur. IMF reconnaît les caractéristiques des messages légitimes et UCE (courrier publicitaire non sollicité), ce qui accroît sa précision.
Il est installé sur les serveurs Exchange qui acceptent les messages SMTP entrants en provenance d'Internet. Lorsqu'un utilisateur externe envoie des messages électroniques à un serveur Exchange disposant d'IMF, ce dernier évalue le contenu textuel des messages et attribue à chaque message un indice en fonction de la probabilité que le message soit du spam. Cet indice qui varie entre 1 et 9 est stocké en tant que propriété de message appelée indice du niveau de confiance (SCL, Spam Confidence Level). Il est enregistré avec le message lorsque celui-ci est envoyé aux autres serveurs Exchange. L'ensemble du processus est illustré dans la figure suivante.
.gif)
Figure 8. Processus du filtre de messages intelligent Microsoft
Une fois qu'IMF a attribué un SCL au message, ce dernier est évalué par rapport aux deux seuils configurés par l'administrateur de la manière suivante :
Configuration du blocage de passerelle : blocage des messages ayant un contrôle d'accès SCL supérieur ou égal à. Si le SCL d'un message est supérieur ou égal à la valeur définie dans ce seuil, une des actions suivantes peut être effectuée sur le message :
Archiver
Supprimer
Aucune action
Rejeter
Configuration du stockage de courrier indésirable : Déplacement des messages ayant un contrôle d'accès SCL supérieur à. Si le message est supérieur à la valeur définie dans ce seuil, le message sera déplacé dans le dossier Courrier indésirable de la boîte de réception de l'utilisateur, sauf si l'expéditeur figure sur la liste des expéditeurs approuvés.
Anti-Phishing
Le phishing est un mode de falsification qui a pour but d'usurper votre identité. Dans les escroqueries de type phishing, des escrocs tentent de vous amener à révéler des données personnelles précieuses, numéros de carte de crédit, mots de passe, informations sur les comptes, etc., par des manœuvres frauduleuses (par exemple, en envoyant un message électronique qui vous demande de vérifier vos informations de comptes).
Exchange Server 2003 SP2 ajoute la technologie anti-phishing à l'IMF de sorte qu'un SCL approprié soit attribué aux messages de phishing et que ces derniers soient traités en conséquence.
Pondération personnalisée
Exchange Server 2003 SP2 fournit également une fonctionnalité de pondération personnalisée qui permet aux administrateurs de personnaliser le comportement de l'IMF, sur la base de phrases trouvées dans le corps d'un message électronique, la ligne Objet ou les deux.
Cette fonctionnalité est implémentée en insérant un fichier XML (Extensible Markup Language) nommé MSExchange.UceContentFilter.xml dans le même répertoire que les fichiers MSExchange.UceContentFilter.dll et .dat sur le serveur contenant l'IMF. Le fichier XML est chargé lors du démarrage du serveur virtuel SMTP et de l'initialisation de l'IMF.
Ce fichier définit des phrases auxquelles l'IMF peut attribuer plus ou moins d'importance. Cette fonctionnalité permet de personnaliser l'IMF si pour des besoins professionnels, vous acceptez ou refusez des messages basés sur des phrases auxquelles l'IMF aurait attribué un contrôle d'accès SCL différent.
Selon Microsoft.com, 38 % des messages entrants qui franchissent le filtrage au niveau de la connexion et du protocole sont bloqués par l'IMF.
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Une fois qu'un message a franchi les défenses anti-spam basées sur le serveur, le client Outlook 2003 peut agir sur les messages ayant une valeur SCL supérieure ou égale aux paramètres de configuration du stockage de courrier indésirable dans l'IMF. Les messages qui dépassent les paramètres de ce serveur sont envoyés dans le dossier Courrier indésirable de la boîte de réception Outlook 2003.
Outlook 2003 et Outlook Web Access pour Exchange Server 2003 permettent aussi aux utilisateurs de créer une liste des expéditeurs approuvés dont les utilisateurs souhaitent toujours accepter les messages électroniques, ainsi qu'une liste des expéditeurs bloqués dont les utilisateurs souhaitent toujours rejeter les messages électroniques. Dans les banques de boîtes aux lettres, quel que soit le contrôle d'accès SCL attribué au message, Exchange remet tous les messages des expéditeurs approuvés dans la boîte de réception de l'utilisateur et tous les messages des expéditeurs bloqués dans le dossier Courrier indésirable. Toutefois, si le message électronique a été bloqué par le seuil de passerelle, il n'est pas remis dans la boîte de réception de l'utilisateur, car le message n'est jamais remis dans la banque de boîtes aux lettres.
Enjeux
Le flux de courrier publicitaire non sollicité, indésirable, souvent offensant et parfois mensonger, couramment appelé spam, réduit notre capacité collective à utiliser le courrier électronique comme moyen de communication et de commerce électronique légitime.
Pour de nombreux utilisateurs et de secteurs d'activité, le spam a pris une telle ampleur que la boîte de réception ne constitue plus une zone de stockage de communication valide, car le courrier commercial légitime est noyé dans le flot du spam. Pour les entreprises de taille moyenne, le spam contribue à augmenter le coût de la messagerie, en termes de consommation des serveurs et des réseaux ainsi que d'utilisation des disques.
Comment autoriser le courrier électronique légitime et bloquer le spam constitue un défi que ces entreprises doivent relever. Elles doivent trouver des solutions pour combattre le spam dans un environnement Exchange Server.
Microsoft Exchange Server 2003 avec SP2 utilise plusieurs méthodes de filtrage pour réduire le spam. Ce sont des solutions anti-spam en couche qui intègrent la protection au niveau de la connexion, du protocole et du contenu, comme nous l'avons vu succintement plus haut dans ce document. Ces méthodes sont souples. Lorsque le mécanisme de chaque méthode est appréhendé, les administrateurs informatiques et les utilisateurs peuvent ajuster le niveau de protection contre le spam. Ces méthodes permettent aux entreprises de taille moyenne de trouver un juste équilibre entre l'accès à la messagerie électronique et le filtrage du spam.
Il est important que les administrateurs et les implémenteurs Exchange appréhendent le fonctionnement de chaque méthode et leur interaction afin de réduire la quantité totale de spam qui atterrit dans les boîtes de réception. La figure suivante illustre l'approche en couche pour combattre le spam.
.gif)
Figure 9. L'infrastructure Anti-Spam Exchange Server 2003
Solutions
Cette section décrit l'évaluation, le développement, le déploiement et la gestion des solutions de l'infrastructure Anti-Spam Exchange Server 2003 pour combattre le spam dans un environnement d'entreprise de taille moyenne.
Évaluation
Pour combattre le spam efficacement, tout l'environnement du système de messagerie Exchange Server 2003 doit être évalué, y compris les outils disponibles et la manière de les utiliser efficacement. Il convient d'étudier soigneusement l'environnement dans le cadre de la stratégie d'évaluation des risques.
L'infrastructure Anti-Spam Exchange Server 2003 est un ensemble de méthodes qui comprend le filtrage de connexion, le filtrage de protocole et le filtrage de contenu. Comprendre le fonctionnement de chacune de ces méthodes et leur interaction est essentiel. En outre, la sensibilisation des utilisateurs à ces technologies augmentera les chances de réussir leur implémentation et leur gestion.
Les questions suivantes doivent être examinées :
Exchange Server 2003 est-il installé ?
Pour bénéficier des méthodes fournies par l'infrastructure Anti-Spam Exchange Server 2003, Exchange Server 20003 doit être installé sur la plate-forme Windows appropriée.
Remarque Microsoft Exchange Server 2003 peut être installé sur Windows 2003 ou Windows 2000 avec SP3 ou version ultérieure. La configuration d'installation détaillée d'Exchange Server n'entre pas dans le cadre de ce guide. Consultez la rubrique Installation de nouveaux serveurs Exchange 2003 sur Microsoft TechNet à l'adresse suivante : technet.microsoft.com/fr-fr/library/a3318f57-3536-4e65-9309-9300cda23c73.aspx.
Exchange 2003 SP2 est-il appliqué à Exchange Server ?
Exchange Server 2003 SP2 est une mise à jour cumulative qui optimise l'environnement de messagerie Exchange Server 2003 avec les avancées suivantes :
Amélioration des messages mobiles
Développement des boîtes aux lettres
Meilleure protection contre le spam
SP2 améliore la protection contre le spam (décrite précédemment dans ce document) pour assurer un environnement de messagerie sécurisé et fiable. Cette protection optimisée comprend :
le filtre de messages intelligent Microsoft, mis à jour et intégré, fondé sur la technologie de filtrage brevetée SmartScreen développée par Microsoft Research ;
une nouvelle prise en charge du protocole d'authentification du courrier électronique ID de l'expéditeur qui aide à lutter contre les attaques par phishing et usurpation.
Le serveur virtuel SMTP par défaut est-il activé dans le Gestionnaire système Exchange ?
Les fonctionnalités de filtrage de destinataire, de messages intelligent, par ID de l'expéditeur et de connexion sont définies dans les paramètres globaux et doivent aussi être activées au niveau SMTP. Par conséquent, vous devez activer SMTP avant d'appliquer des modifications à ces services.
Outlook 2003 est-il installé sur les postes de travail clients ?
Même si les serveurs possèdent la configuration requise, les clients utilisant d'anciennes versions d'Outlook ne pourront pas tirer parti des méthodes offertes par l'infrastructure Anti-Spam Exchange Server 2003.
Une fois définie la configuration requise pour Exchange Server 2003 et ses clients, les méthodes suivantes peuvent être utilisées :
Protection au niveau de la connexion
Filtrage des connexions IP
Listes rouges en temps réel
Protection au niveau du protocole
Blocage des destinataires et des expéditeurs
ID de l'expéditeur
Protection au niveau du contenu
Filtre de messages intelligent Microsoft
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Développement
La section sur l'évaluation a soulevé plusieurs questions et fourni des réponses sur Exchange Server 2003 et la configuration du client pour tirer parti de l'infrastructure Anti-Spam Microsoft Exchange Server 2003.
Les solutions de lutte anti-spam dans l'environnement Exchange comprennent également la sécurité client et la formation de l'utilisateur. Toutes ces approches doivent être utilisées pour combattre le spam dans l'environnement Exchange.
Toutes les méthodes de protection contre le spam fournies par l'infrastructure Anti-Spam Microsoft Exchange Server 2003 sont prêtes à être implémentées lorsque les conditions suivantes sont réunies :
Exchange Server 2003 a été installé sur les plates-formes Windows appropriées.
Outlook 2003 et Outlook Web Access ont été installés et configurés.
Tous les derniers correctifs et mises à jour recommandés ont été appliqués, notamment Service Pack 2.
Une meilleure connaissance du fonctionnement de ces méthodes et de leur interaction garantira une meilleure implémentation. Bien que celles-ci aient déjà été brièvement décrites, cette section approfondit ces méthodes nécessaires au déploiement et à la gestion.
Protection au niveau de la connexion
Exchange Server 2003 SP2 inclut le filtrage des connexions, qui compare l'adresse IP du serveur de connexion à une liste d'adresses IP refusées (également appelée liste rouge en temps réel). La comparaison des adresses IP s'effectue au lancement de la session SMTP, ce qui permet aux entreprises de taille moyenne de bloquer les connexions vers ses passerelles au début de l'envoi des messages. La connexion est interrompue avant qu'un serveur de la liste rouge en temps réel ne puisse envoyer des messages. Cette approche permet une amélioration des performances au niveau des couches messagerie et réseau.
Les entreprises de taille moyenne peuvent établir le filtrage des connexions dans Exchange Server 2003 SP2 manuellement en créant une liste de refus globale et une liste d'acceptation globale, ou en utilisant des bases de données tierces d'adresses IP bloquées connues.
La majorité des serveurs Exchange Server 2003 SP2 sont déployés derrière un périmètre de l'entreprise et ne sont pas directement exposés à Internet. Cette position rend le filtrage des connexions moins utile, car la fonctionnalité utilise l'adresse IP de l'expéditeur original pour exécuter la requête DNS. La publication du SP2 a soulevé ce problème en introduisant un nouvel algorithme d'analyse d'en-tête pour l'extraction de l'adresse IP d'origine. Exchange Server 2003 SP2 avec filtrage des connexions déployé peut être placé n'importe où dans l'organisation et procéder au filtrage comme il le ferait sur le périmètre.
Filtrage des connexions IP
Une entreprise peut créer sa propre liste statique d'adresses IP refusées. Comme son nom l'indique, la liste de refus globale contient certaines adresses IP et certains réseaux dont l'organisation ne souhaite jamais accepter de courrier électronique. À l'inverse, une entreprise peut créer une liste d'acceptation globale, c'est-à-dire une liste d'adresses IP et de réseaux pour lesquels une organisation ne souhaite pas appliquer le blocage du courrier électronique ou les stratégies de filtrage. La liste d'acceptation globale peut inclure des adresses IP correspondant à des filiales ou à des partenaires avec lesquels l'entreprise a lié des relations de confiance. Dans ce cas, l'entreprise ne souhaite pas prendre le risque d'être confrontée à des faux positifs ; elle ajoute donc les adresses IP approuvées des serveurs de messagerie de l'expéditeur à sa liste d'acceptation globale.
Listes rouges en temps réel
Une liste rouge en temps réel est une base de données d'adresses IP de sources de spam connues et vérifiées, basée sur DNS. Ces listes sont proposées par des entreprises dont le travail consiste à surveiller en permanence Internet et à détecter les sources de spam connues. Lors de leur détection, les adresses IP sont ajoutées à une base de données de listes rouges en temps réel. Ces listes sont souvent proposées gratuitement, ou sur abonnement si l'administrateur de messagerie souhaite bénéficier de services étendus.
Exchange Server 2003 SP2 permet l'utilisation de listes rouges en temps réel tierces. Lorsqu'il est configuré pour utiliser une liste rouge en temps réel tierce, le serveur Exchange Server 2003 SP2 vérifie l'adresse IP du serveur expéditeur par rapport à la base de données de listes rouges et refuse la connexion si une correspondance est trouvée.
Étant donné que la fonctionnalité de liste rouge en temps réel base ses décisions de filtrage sur l'adresse IP du serveur expéditeur plutôt que sur le contenu des messages, les listes rouges en temps réel se classent techniquement dans une catégorie différente des logiciels anti-spam tiers. Les listes rouges en temps réel jouent le rôle de gardien, en empêchant les messages provenant de serveurs malveillants ou suspects d'accéder à l'environnement. Un message qui passe la liste rouge en temps réel fait un pas de plus vers l'entrée dans le réseau, mais uniquement jusqu'à ce que son contenu soit examiné par la couche suivante de la messagerie, par exemple le filtre de messages intelligent.
En raison du volume de requêtes DNS liées aux listes rouges en temps réel effectuées quotidiennement par Microsoft IT (des dizaines de millions), Microsoft IT transfère une copie miroir de la liste rouge en temps réel vers ses serveurs DNS locaux selon un planning régulier prédéterminé (généralement plusieurs fois par jour). La plupart des fournisseurs de listes nécessitent des copies locales des listes rouges en temps réel pour les volumes de requête supérieurs à 250 000 par jour. Le transfert d'une copie de la liste rouge en temps réel est appelé transfert de zone à partir du fournisseur de liste. Microsoft IT a configuré ses passerelles Exchange Server 2003 SP2 afin d'exécuter les requêtes DNS liées aux listes rouges en temps réel par rapport à ces serveurs DNS locaux.
Protection au niveau du protocole
Une fois que le message SMTP a franchi la protection au niveau de la connexion, la couche de défense suivante se trouve au niveau du protocole SMTP. Le dialogue SMTP entre l'hôte expéditeur SMTP et l'hôte destinataire SMTP est analysé pour vérifier que l'expéditeur et les destinataires sont autorisés et pour déterminer le nom de domaine SMTP de l'expéditeur.
Blocage des destinataires et des expéditeurs
La fonctionnalité de filtrage de destinataire d'Exchange Server 2003 SP2 permet aux entreprises de taille moyenne de se protéger contre les envois de courrier électronique en masse ou d'en limiter l'impact. Souvent, les destinataires visés par de telles attaques n'ont aucun besoin de recevoir de messages provenant d'Internet. Le filtrage de destinataire rejette les messages au niveau de la couche de passerelle, en fonction de critères tels que le destinataire du message.
Bien que le filtrage de destinataire ne soit pas aussi efficace que les solutions anti-spam en temps réel, il peut s'avérer très utile pour limiter les risques d'attaque par envoi de courrier électronique en masse. Récemment, l'utilisation du filtrage de destinataire a permis à Microsoft IT de bloquer des millions de messages adressés à quelques destinataires le même jour.
ID de l'expéditeur
L'environnement ID de l'expéditeur est un protocole technologique d'authentification du courrier électronique qui permet de résoudre le problème d'usurpation de contenu et de phishing en vérifiant le nom de domaine dont provient le message. L'ID de l'expéditeur valide l'origine du message en vérifiant l'adresse IP de l'expéditeur par rapport au propriétaire présumé du domaine expéditeur.
Il vérifie que chaque message électronique provient bien du domaine Internet duquel il prétend avoir été envoyé. L'adresse du serveur expéditeur du courrier est vérifiée par rapport à une liste enregistrée de serveurs autorisés par le propriétaire du domaine à envoyer du courrier électronique. Cette vérification est effectuée automatiquement par le fournisseur d'accès à Internet ou le serveur de messagerie du destinataire avant que le message ne soit remis à l'utilisateur. Le résultat de la vérification de l'ID de l'expéditeur peut être utilisé comme entrée supplémentaire dans les tâches de filtrage déjà effectuées par le serveur de messagerie. Une fois l'expéditeur authentifié, le serveur de messagerie peut prendre en compte les comportements passés, les trafics et la réputation de l'expéditeur et appliquer des filtres de contenu conventionnels pour déterminer si le courrier doit être remis au destinataire.
Protection au niveau du contenu
Idéalement, le spam ne devrait jamais atteindre la couche client. Dans la réalité, une partie du spam parvient aux ordinateurs des utilisateurs. L'une des principales raisons est que certains messages légitimes, tels que les newsletters, présentent souvent les caractéristiques du spam ; il n'est donc pas souhaitable de définir le seuil de filtrage trop bas, car tous les messages suspects seraient alors supprimés. En outre, les utilisateurs peuvent avoir des préférences individuelles, qu'un ensemble unique de paramètres d'entreprise ne peut pas satisfaire.
Filtre de messages intelligent Microsoft
Le filtre initial via lequel le courrier électronique Internet entrant doit passer est le filtre de messages intelligent, qui s'exécute sur les serveurs de passerelle Exchange Server 2003 SP2 à la frontière la plus éloignée de l'environnement de messagerie. Le filtre de messages intelligent utilise l'environnement SCL, PCL (Phishing Confidence Level score, qui est l'un des facteurs qui entraînent les affectations SCL finales) et Sender ID intégré à Exchange Server 2003 SP2. Le filtre de messages intelligent classe certaines parties des messages, procède à l'analyse heuristique des messages et affecte un contrôle d'accès SCL de 1 à 9 à chaque message analysé. Plus le contrôle d'accès d'un message est élevé, plus ce dernier est susceptible d'être du spam.
Exchange Server 2003 SP2 intègre les données et mises à jour les plus récentes au filtre de messages intelligent. Les améliorations d'IMF et les mises à jour bi-hebdomadaires garantissent une attention permanente pour l'identification du spam et la limitation des faux positifs. Ces améliorations offrent de nouvelles possibilités dans la lutte contre le spam, notamment le blocage des schémas de phishing. Les schémas de phishing tentent d'obtenir de manière frauduleuse des informations personnelles confidentielles, en se faisant passer pour des sites Web légitimes.
L'environnement Exchange Server 2003 SP2 peut être configuré pour effectuer des actions de filtrage sur les messages dont le contrôle d'accès SCL est supérieur aux seuils configurés par les administrateurs. Le filtre de messages intelligent utilise deux seuils définis dans Exchange Server 2003 SP2 (seuil de passerelle et seuil de stockage).
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Filtre de courrier indésirable. Outlook 2003 utilise une technologie de pointe développée par Microsoft Research pour évaluer si un message doit être traité comme message indésirable en fonction de plusieurs facteurs, tels que l'heure d'envoi du message ainsi que son contenu et sa structure. Le filtre ne fait pas de distinction pour un expéditeur ou un type de message électronique particuliers. Au lieu de cela il permet, grâce à une analyse poussée, de déterminer la probabilité qu'un message soit considéré comme indésirable par le destinataire.
Par défaut, ce filtre est défini à un bas niveau pour intercepter les messages indésirables les plus évidents. Les messages interceptés par le filtre sont déplacés vers un dossier spécial Courrier indésirable, auquel vous pouvez accéder ultérieurement. Si vous le souhaitez, vous pouvez rendre ce filtre plus intransigeant (au risque d'intercepter par erreur des messages légitimes), ou même configurer Outlook 2003 pour qu'il supprime définitivement les messages indésirables lorsqu'ils arrivent. En savoir plus sur le filtre Courrier indésirable.
Liste des expéditeurs approuvés. Si un message est marqué par erreur comme indésirable par le filtre, vous pouvez facilement ajouter l'expéditeur de ce message à votre liste d'expéditeurs approuvés. Les adresses de messagerie et les noms de domaine de cette liste ne sont jamais traités comme messages indésirables, quel que soit leur contenu. Les contacts sont fiables par défaut et les messages provenant de ceux-ci ne sont jamais traités comme indésirables. Lorsque votre entreprise utilise Microsoft Exchange Server, les messages provenant de l'organisation ne sont jamais traités comme indésirables. Vous pouvez configurer Outlook 2003 pour qu'il n'accepte que les messages provenant de la liste des expéditeurs approuvés, ce qui vous confère un contrôle total sur les messages que vous recevez.
Liste des expéditeurs bloqués. Vous pouvez bloquer facilement les messages électroniques provenant d'adresses de messagerie ou de noms de domaine spécifiques en ajoutant leurs expéditeurs à cette liste. Les messages des personnes ou des noms de domaine émanant de cette liste sont toujours traités comme indésirables, quel que soit leur contenu.
Liste des destinataires approuvés. Vous pouvez ajouter une liste ou un groupe de diffusion dont vous êtes membre à votre liste de destinataires approuvés. Les messages envoyés aux adresses de messagerie et aux noms de domaine figurant dans cette liste ne sont pas traités comme du courrier indésirable, quel que soit l'expéditeur ou le contenu du message.
AutoUpdate. Vous pouvez mettre à jour votre filtre Courrier indésirable avec les mises à jour périodiques de Microsoft pour bénéficier des dernières méthodes de blocage des messages indésirables. Microsoft s'engage à fournir des mises à jour périodiques du filtre Courrier indésirable.
Déploiement et gestion
Le principal objectif de l'infrastructure Anti-Spam Microsoft Exchange Server 2003 est d'appréhender le fonctionnement de chacune de ces méthodes et leur interaction dans cet environnement. Lorsque l'objectif de cette infrastructure est bien compris, le déploiement et la gestion appropriés de ces technologies permettent aux entreprises de combattre efficacement le spam dans les environnements Microsoft Exchange Server. Afin de lutter contre le spam, les utilisateurs doivent avoir une connaissance élémentaire du phénomène pour mieux gérer les ordinateurs clients dans leur environnement. La surveillance et la résolution des problèmes de filtrage de messages intelligent seront aussi abordés dans le cadre de la gestion courante.
Les fonctionnalités suivantes doivent être configurées au niveau des paramètres globaux et au niveau SMTP. La sensibilisation des utilisateurs est traitée à la fin de la section.
Cette section explique les procédures détaillées des opérations suivantes :
Protection au niveau de la connexion
Filtrage des connexions IP
Listes rouges en temps réel
Protection au niveau du protocole
Blocage des destinataires et des expéditeurs
ID de l'expéditeur
Protection au niveau du contenu
Filtre de messages intelligent Microsoft
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Protection au niveau de la connexion
Exchange Server 2003 prend en charge le filtrage des connexions basé sur les listes rouges en temps réel. Cette fonctionnalité vous permet de vérifier une adresse IP (Internet Protocol) entrante par rapport à une liste rouge en temps réel (real-time block list ou RBL) pour les catégories que vous souhaitez filtrer. Si une correspondance est trouvée dans la liste des fournisseurs RBL, SMTP envoie une erreur 550 5.x.x en réponse à la commande RCPT TO, et une réponse personnalisée est envoyée à l'expéditeur. Vous pouvez utiliser plusieurs filtres de connexion et définir des priorités concernant l'ordre dans lequel chaque filtre est appliqué.
Lorsque vous créez un filtre de connexion, vous établissez une règle utilisée par SMTP pour effectuer une recherche DNS dans une liste fournie par un service RBL tiers. Le filtre de connexion compare chaque adresse IP entrante à la liste rouge fournie par le tiers. Le fournisseur RBL envoie une des deux réponses suivantes :
Hôte non trouvé. Cette réponse indique que l'adresse IP n'est pas présente dans sa liste rouge.
127.0.0.x. Il s'agit d'un code d'état de réponse, qui indique qu'une correspondance a été trouvée pour l'adresse IP dans la liste des suspects. La valeur x dépend de votre fournisseur.
Si l'adresse IP entrante est trouvée dans la liste, SMTP renvoie une erreur 5.x.x en réponse à la commande RCPT TO, qui est la commande SMTP exécutée par le serveur de connexion pour identifier le destinataire du message.
Fournisseurs de listes rouges en temps réel
Dans la mesure où les fournisseurs de listes rouges en temps réel offrent différents types de listes et de services, les entreprises de taille moyenne doivent évaluer soigneusement plusieurs fournisseurs avant d'en choisir un. Deux fournisseurs connus sont notamment Spam Haus à l'adresse www.spamhaus.org et Spam Cop à l'adresse www.spamcop.net.
Les réponses des fournisseurs aux questions suivantes peuvent aider à choisir un fournisseur RBL :
Qualité de la liste. Quelqu'un vérifie-t-il qu'une nouvelle adresse IP ajoutée à la liste est effectivement un spammeur ? Peut-on ajouter une adresse à la liste ?
Sécurité de la liste. La liste fait-elle l'objet de vérifications de sécurité ? Quelqu'un vérifie-t-il qu'aucune adresse IP n'a été ajoutée par inadvertance ou par malveillance ?
Processus de mise à jour de la liste. Quel est le processus de révision ? Si l'ajout dans la liste est automatisé, la sortie de la liste doit également être automatisée si le spam cesse. A quelle fréquence les listes sont-elles mises à jour ?
Processus de transfert des listes. Le fournisseur autorise-t-il des transferts de type BIND (Berkeley Internet Name Domain) complets ou incrémentiels, directement compatibles avec Windows DNS ?
Support proposé par le fournisseur de liste. Quel est le niveau de support offert par le fournisseur ?
Filtrage des connexions IP
Pour configurer le filtrage des connexions IP
Dans le Gestionnaire système Exchange, développez le conteneur Paramètres globaux.
Cliquez avec le bouton droit de la souris sur Remise des messages et cliquez sur Propriétés.
Sélectionnez l'onglet Filtrage des connexions.
Choisissez d'Accepter, de Refuser ou de faire une Exception. Refuser est sélectionné dans l'exemple suivant.
Vous pouvez sélectionner une Adresse IP unique ou un Groupe d'adresses IP, comme illustré dans la capture d'écran suivante.
.gif)
.gif)
Listes rouges en temps réel (RBL, Real-Time Block Lists)
Pour configurer la fonctionnalité de liste rouge en temps réel au niveau des Paramètres globaux
Dans le Gestionnaire système Exchange, développez le conteneur Paramètres globaux.
Cliquez avec le bouton droit de la souris sur l'objet Remise des messages, puis cliquez sur Propriétés.
Sélectionnez l'onglet Filtrage des connexions.
Pour créer une règle de filtre de connexion, cliquez sur Ajouter (comme illustré dans la capture d'écran suivante).
.gif)
Dans la zone Nom complet, tapez un nom pour le filtre de connexion.
Dans Suffixe DNS du fournisseur, entrez le suffixe DNS du fournisseur, (par exemple, contoso.com).
Dans Message d'erreur personnalisé à retourner, vous pouvez, si vous le souhaitez, taper un message d'erreur personnalisé à renvoyer à l'expéditeur. Laissez ce champ vide pour utiliser le message d'erreur par défaut suivant :
<Adresse IP> a été bloquée par <Nom de la règle du filtre de connexion>
Vous pouvez générer un message personnalisé à l'aide des variables suivantes :
%0. adresse IP de connexion
%1. nom de la règle du filtre de connexion
%2. fournisseur RBL
Par exemple, si vous souhaitez que votre message personnalisé soit le suivant :
L'adresse IP <Adresse IP> a été bloquée par le fournisseur RBL suivant .
Entrez ce qui suit dans le Message d'erreur personnalisé à retourner :
L'adresse IP %0 a été rejetée par le fournisseur RBL %2.
Remarque Exchange remplacera %0 par l'adresse IP de connexion et %2 par le fournisseur RBL.
Pour configurer les codes d'état de retour reçus du fournisseur RBL que vous souhaitez associer dans ce filtre de connexion, cliquez sur Renvoyer le code d'état. La boîte de dialogue suivante s'affiche.
.gif)
Dans la boîte de dialogue Renvoyer le code d'état, choisissez l'une des options suivantes :
Associer la règle de filtrage à tout code de retour. Cette règle de filtrage de connexion est associée à tout code d'état de retour reçu du service fournisseur. Elle définit la valeur par défaut qui associe le filtre de connexion à tous les codes de retour.
Exemple :
127.0.0.1. Liste rouge
127.0.0.2. Relais ouvert connu
127.0.0.4. Adresse IP d'accès distant
Associer la règle de filtrage au masque suivant. Cette règle de filtrage de connexion est associée aux codes d'état de retour reçus du service fournisseur en utilisant un masque pour les interpréter. Entrez le masque à filtrer par rapport aux masques employés par vos fournisseurs.
Exemple :
0000 | 0001. Liste rouge
0000 | 0010. Relais ouvert
0000 | 0011. Relais ouvert ou liste rouge
0000 | 0100. Hôte d'accès distant
0000 | 0101. Accès distant ou liste rouge
0000 | 0110. Accès distant ou relais ouvert
0000 | 0111. Accès distant, relais ouvert ou liste rouge
- Associer la règle de filtrage à l'une des réponses suivantes. Cette règle de filtrage de connexion est associée aux codes d'état de retour reçus du service fournisseur en utilisant les valeurs spécifiques des codes d'état de retour.
Cliquez sur OK.
.gif)
Les fonctionnalités de filtrage d'expéditeur, de destinataire, de messages intelligent et de connexion doivent aussi être appliquées au niveau SMTP pour qu'elles fonctionnent correctement. Pour ce faire, exécutez les opérations suivantes.
Pour activer les fonctionnalités de filtrage au niveau SMTP
Lancez le Gestionnaire système Exchange.
Développez Serveurs.
Développez le (du serveur de messagerie que vous souhaitez configurer).
Développez Protocoles.
Développez SMTP.
Cliquez avec le bouton droit de la souris sur Serveur virtuel SMTP par défaut puis sélectionnez Propriétés.
Dans Propriétés de Serveur virtuel SMTP par défaut, cliquez sur Options avancées.
Dans Options avancées, cliquez sur Modifier.
Dans Identification, activez la case à cocher Appliquer le filtre de connexion afin d'appliquer le filtre que vous avez défini précédemment (comme illustré dans la capture d'écran suivante).
.gif)
.gif)
Protection au niveau du protocole
Une fois que le message SMTP a franchi la protection au niveau de la connexion, la couche de défense suivante se situe au niveau du protocole SMTP. Le dialogue SMTP entre l'hôte expéditeur SMTP et l'hôte destinataire SMTP est analysé pour vérifier que l'expéditeur et les destinataires sont autorisés et pour déterminer le nom de domaine SMTP de l'expéditeur.
Filtrage des destinataires
La fonctionnalité de filtrage des destinataires permet d'empêcher la remise de messages envoyés à des adresses particulières.
Pour configurer le filtrage des destinataires
Lancez le Gestionnaire système Exchange.
Développez le conteneur Paramètres globaux.
Cliquez avec le bouton droit de la souris sur Remise des messages et sélectionnez Propriétés.
Cliquez sur l'onglet Filtrage des destinataires.
Sélectionnez Filtrer les destinataires qui ne sont pas dans le répertoire.
Cliquez sur Ajouter, puis ajoutez l'adresse du destinataire (comme illustré dans la capture d'écran suivante).
.gif)
.gif)
Filtrage par ID de l'expéditeur
Les options de filtrage par ID de l'expéditeur permettent de configurer les actions ID de l'expéditeur. Vous pouvez spécifier comment le serveur doit traiter les messages dont la validation par ID de l'expéditeur a échoué. La fonctionnalité ID de l'expéditeur est une norme professionnelle permettant d'offrir une meilleure protection contre le courrier publicitaire non sollicité (UCE) et les techniques de phishing.
Par défaut, le filtrage par ID de l'expéditeur est défini sur Accepter. Toutefois, vous pouvez activer le filtre par ID de l'expéditeur derrière le périmètre de votre réseau. Pour ce faire, spécifiez les adresses IP des serveurs de votre réseau interne que vous souhaitez exclure du filtrage par ID de l'expéditeur.
Pour configurer le filtrage par ID de l'expéditeur
Lancez le Gestionnaire système Exchange.
Développez le conteneur Paramètres globaux.
Cliquez avec le bouton droit de la souris sur Remise des messages et sélectionnez Propriétés.
Cliquez sur l'onglet Filtrage par ID de l'expéditeur.
Sélectionnez les options de filtrage par ID de l'expéditeur souhaitées (comme illustré dans la capture d'écran suivante).
.gif)
Protection au niveau du contenu
Le filtrage de contenu dans Exchange Server 2003 SP2 repose sur la technologie d'apprentissage automatique Microsoft Research SmartScreen qui est intégrée au filtrage IMF (Intelligent Message Filtering). Les messages provenant d'Internet franchissent la passerelle SMTP Exchange et arrivent dans l'infrastructure Anti-Spam Exchange Server 2003. Les précédentes couches de la solution anti-spam Exchange (filtrage de connexion, d'expéditeur et de destinataire) bloquent l'envoi des messages avant que les données réelles des messages ne soient reçues. Si un message réussit à franchir tous les filtres précédents, le corps du message est reçu.
IMF peut évaluer de manière précise la probabilité qu'un message électronique soit un message légitime ou du spam.
Filtre de messages intelligent Microsoft
Le filtre de messages intelligent Microsoft est un composant très important de la lutte contre le spam. C'est un filtre compatible SCL qui permet un filtrage avancé des messages côté serveur conçu spécifiquement pour combattre le flux de spam. Pour des informations spécifiques, voir le site Web sur le filtre de messages intelligent Microsoft à l'adresse http://go.microsoft.com/fwlink/?linkid=21607. (cette page peut être en anglais)
Pour configurer le filtre de messages intelligent Microsoft
Lancez le Gestionnaire système Exchange.
Développez le conteneur Paramètres globaux.
Cliquez avec le bouton droit de la souris sur Remise des messages et sélectionnez Propriétés.
Cliquez sur l'onglet Filtre de messages intelligent.
Dans Bloquer les messages avec un contrôle d'accès SCL supérieur ou égal à (comme illustré dans la capture d'écran suivante), sélectionnez le niveau de contrôle d'accès souhaité.
L'échelle de contrôle d'accès SCL va de 0 à 9. Plus le chiffre est élevé, plus le message est susceptible d'être du spam.
.gif)
.gif)
Courrier indésirable dans Outlook 2003 et Outlook Web Access
Outlook 2003 et Outlook Web Access 2003 comprennent des fonctionnalités qui contribuent à protéger les utilisateurs contre le spam. Il s'agit notamment des fonctionnalités suivantes :
Listes rouges et listes de sécurité tenues à jour par l'utilisateur. Les listes rouges et les listes de sécurité utilisées par Outlook 2003 et Outlook Web Access sont stockées dans la boîte aux lettres de l'utilisateur. Comme les deux programmes clients utilisent la même liste, les utilisateurs n'ont pas besoin de tenir deux versions à jour.
Blocage de contenu externe. Outlook 2003 et Outlook Web Access 2003 compliquent la tâche des expéditeurs de messages indésirables contenant des balises permettant de récupérer des adresses de messagerie. Les messages entrants dont le contenu pourrait être utilisé comme balise, que ceux-ci contiennent réellement une balise ou non, entraînent l'affichage par Outlook et Outlook Web Access d'un message d'avertissement. Si les utilisateurs savent qu'un message est légitime, ils peuvent cliquer sur le message d'avertissement pour télécharger le contenu. Dans le cas contraire, les utilisateurs peuvent le supprimer sans déclencher les balises qui avertissent un expéditeur de courrier indésirable.
Gestion améliorée du courrier indésirable. Grâce à Outlook 2003, les utilisateurs peuvent créer des règles qui recherchent à l'intérieur des messages électroniques des expressions spécifiques puis déplacer automatiquement les messages contenant ces expressions de la Boîte de réception vers un dossier spécifié (comme les dossiers Courrier indésirable ou Éléments supprimés). Les utilisateurs peuvent aussi choisir de supprimer de façon permanente le courrier électronique suspect au lieu de le déplacer vers un dossier spécifié.
Filtre de courrier indésirable. Outlook 2003 comprend un filtre de courrier indésirable qui recherche les attributs courants de spam. (Ces attributs sont mis à jour conjointement avec les mises à jour Office.) Pour chaque attribut suspect, Outlook incrémente la valeur d'un compteur. Plus le nombre attribué à un message donné est élevé, plus ce dernier est susceptible d'être du spam. Configurez le niveau de protection souhaité contre le courrier indésirable dans la boîte de dialogue Options du courrier indésirable.
Pour configurer le filtre Courrier indésirable d'Outlook 2003
Dans Outlook 2003, cliquez sur Actions dans la barre de menus.
Sélectionnez Courrier indésirable puis Options du courrier indésirable (comme illustré dans la capture d'écran suivante).
.gif)
La boîte de dialogue illustrée dans la capture d'écran suivante permet aux utilisateurs de choisir le niveau de protection souhaité contre le courrier indésirable.
.gif)
.gif)
.gif)
Pour configurer le filtre Courrier indésirable dans Outlook Web Access (OWA)
Connectez-vous au compte Outlook Web Access.
Cliquez sur Options.
Cliquez sur Gérer les listes d'expéditeurs proscrits.
Sélectionnez la fonction appropriée dans Afficher ou modifier la liste (comme illustré dans la capture d'écran suivante).
.gif)
Ajouter, Modifier ou Supprimer des adresses d'expéditeurs.
.gif)
Remarque Lorsque les utilisateurs commencent à utiliser ces fonctionnalités de courrier indésirable ou s'ils modifient les options à tout moment, ils doivent vérifier régulièrement les messages qui ont été supprimés de la boîte de réception pour s'assurer que les messages valides n'ont pas été déplacés. Des mises à jour de ces fonctionnalités dans Outlook 2003 seront répertoriées dans la section Office Update du site Web Microsoft Office Online à l'adresse http://go.microsoft.com/fwlink/?LinkId=24393.
Contrôle et résolution des problèmes du filtre de messages intelligent
La surveillance et la résolution des problèmes avec le filtre de messages intelligent Microsoft Exchange peuvent être effectués à l'aide de l'Observateur d'événements et du Moniteur système. Cette section fournit des informations détaillées sur la surveillance et la résolution des problèmes.
Utilisation de l'Observateur d'événements
Dans l'Observateur d'événements, le journal des applications et le journal système contiennent des erreurs, des avertissements et des événements d'information liés au fonctionnement d'Exchange, du service SMTP et d'autres applications. Pour permettre d'identifier la cause des problèmes du filtre de messages intelligent, examinez attentivement les données contenues dans le journal des applications et le journal système. Le filtre de messages intelligent enregistre les événements dans l'Observateur d'événements à l'aide de la source MSExchangeTransport et de la catégorie Protocole SMTP.
Pour trouver des événements du filtre de messages intelligent à l'aide de l'Observateur d'événements
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Observateur d'événements.
Dans l'arborescence de la console, cliquez sur Journal Application.
Pour trier le journal par ordre alphabétique et trouver rapidement une entrée d'un service Exchange, cliquez sur Source dans le volet de détails (comme illustré dans la capture d'écran suivante).
.gif)
Pour filtrer le journal des entrées de la liste des événements consignés pour le filtre de messages intelligent, cliquez sur Filtre dans le menu Affichage.
Dans Propriétés du journal des applications, utilisez la liste Source de l'événement pour sélectionner MSExchangeTransport.
Dans la liste Catégorie, sélectionnez Protocole SMTP.
.gif)
Utilisation du Moniteur système et de l'outil Journaux et alertes de performance
Le filtre de messages intelligent possède plusieurs compteurs de performance permettant de surveiller ses performances et son fonctionnement.
Pour utiliser le Moniteur système et l'outil Journaux et alertes de performance
Cliquez sur Démarrer, pointez sur Tous les programmes, sur Outils d'administration, puis cliquez sur Performances.
Sélectionnez Moniteur système, puis cliquez sur le bouton + pour ajouter des compteurs.
Dans la boîte de dialogue Ajouter des compteurs, sous Objet de performance, sélectionnez Filtre de messages intelligent MSExchange (comme illustré dans la capture d'écran suivante).
.gif)
.gif)
Sensibilisation des utilisateurs
Comme pour tout autre domaine, que ce soit pour lutter contre les virus, protéger les postes de travail contre les utilisateurs non autorisés ou combattre le spam, la technologie ne doit pas être la seule défense contre les menaces ou attaques. Lorsqu'ils sont informés, les utilisateurs peuvent jouer un rôle significatif dans la gestion du spam. Ils doivent apprendre à éviter ou à filtrer le courrier indésirable dans leur environnement Outlook.
Les recommandations à respecter sont notamment :
Ne répondez jamais à des demandes par courrier électronique concernant des informations financières ou personnelles.
Ne fournissez jamais de mots de passe.
N'ouvrez pas les pièces jointes de messages suspects.
Ne répondez pas au courrier suspect ou non sollicité.
Configurez les options de courrier indésirable dans Outlook 2003 comme décrit précédemment dans la section « Courrier indésirable dans Outlook 2003 et Outlook Web Access » de ce document.
Résumé
De nombreuses entreprises de taille moyenne élaborent des processus commerciaux importants autour des fonctionnalités de Microsoft Exchange Server 2003. Un grand nombre de leurs activités quotidiennes dépendent des services fournis par Exchange Server.
Le flux croissant de courrier indésirable constitue toujours un véritable défi pour ces entreprises. Le spam n'est pas seulement ennuyeux, mais il accroît la vulnérabilité des réseaux et entraîne un gaspillage de temps, d'argent et d'autres ressources pour les utilisateurs et les entreprises du monde entier.
Ce document a démontré qu'il existe des moyens de réduire le spam dans les environnements Exchange Server 2003. L'infrastructure Anti-Spam Exchange Server 2003 offre aux administrateurs et utilisateurs finaux un ensemble de méthodes assez souples pour les aider à diminuer le courrier indésirable et à augmenter leurs niveaux de productivité.
Références
Vous pouvez télécharger le document sur la présentation de l'infrastructure Anti-Spam Microsoft Exchange Server 2003 du Centre de téléchargement Microsoft à l'adresse http://download.microsoft.com/download/0/E/6/0E6A7113-DDA4-4FD7-AABA-B9E264700225/Anti-Spam.doc (cette page peut être en anglais).
La rubrique sur la meilleure protection contre le Spam dans la présentation d'Exchange Server 2003 SP2 est disponible à l'adresse www.microsoft.com/exchange/evaluation/sp2/overview.mspx\#antispam (cette page peut être en anglais).
Des informations sur le filtre de messages intelligent Microsoft (IMF) et les mises à jour d'IMF sont disponibles sur Microsoft TechNet à l'adresse www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx (cette page peut être en anglais).
Le livre blanc « Hygiène de la messagerie chez Microsoft : comment Microsoft IT se protège contre le spam, les virus et les attaques de courrier électronique » est disponible sur Microsoft TechNet à l'adresse www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx.
Un article est consacré aux listes rouges en temps réel dans Exchange Server 2003 sur Microsoft TechNet à l'adresse www.microsoft.com/technet/prodtechnol/exchange/2003/insider/Block\_Lists.mspx.
Un article est consacré à la configuration du filtrage des connexions à l'aide de listes rouges en temps réel (RBL, Realtime Block List) et du filtrage des destinataires dans Exchange Server 2003 » dans la Base de connaissances Microsoft à l'adresse http://support.microsoft.com/kb/823866/fr.
Télécharger
Obtenir le document Techniques de lutte anti-spam dans un environnement Exchange Server