Présentation du flux de messagerie de blocage du courrier indésirable et antivirus
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2016-11-28
Quand un utilisateur externe envoie des messages électroniques à un serveur Microsoft Exchange qui exécute les fonctionnalités de blocage du courrier indésirable, celles-ci évaluent de façon cumulative les caractéristiques des messages entrants et, soit filtrent les messages susceptibles d’être du courrier indésirable, soit attribuent aux messages une valeur de contrôle d’accès reflétant la probabilité qu’il s’agisse de courrier indésirable. Cette valeur est stockée avec le message en tant que propriété appelée seuil de probabilité de courrier indésirable (SCL). Elle est conservée avec le message lors de l’envoi de celui-ci à d’autres serveurs Exchange.
La figure suivante montre l’ordre dans lequel les fonctionnalités de blocage du courrier indésirable par défaut et Microsoft Forefront Protection pour Exchange Server filtrent les messages entrants en provenance d’Internet. Par défaut, les fonctionnalités de blocage du courrier indésirable et antivirus sont organisées dans cet ordre en commençant par les filtres qui utilisent les moins importantes et en finissant par les filtres qui utilisent les ressources les plus importantes.
.gif "Remarque") Remarque : |
|---|
| En outre, la figure et l’explication suivantes supposent que le serveur de transport Edge Microsoft Exchange Server 2010 est le premier serveur SMTP à accepter les messages entrants. Dans certaines organisations, le serveur de transport Edge peut être déployé derrière un serveur SMTP tiers. Lorsque le serveur de transport Edge Exchange 2010 est déployé derrière un serveur de passerelle SMTP tiers, le serveur de transport Edge Exchange 2010 requiert une configuration supplémentaire. Vous devez, en particulier, vérifier que tous les serveurs de passerelle SMTP sont répertoriés dans la propriété InternalSMTPServer de l’objet TransportConfig. Pour plus d’informations, consultez la rubrique Set-TransportConfig. |
Pour plus d’informations sur les fonctionnalités de blocage de courrier indésirable et antivirus d’Exchange, voir Microsoft Forefront Protection 2010 pour Exchange Server.
Fonctionnalités de blocage du courrier indésirable par défaut avec filtrage antivirus des messages entrants en provenance d’Internet
Comme l’illustre la figure précédente, lorsqu’un serveur SMTP se connecte à Exchange 2010 et lance une session SMTP, les filtres sont appliqués dans l’ordre suivant lorsque le serveur de transport Edge est connecté à Internet :
Filtrage des connexions
Filtrage des expéditeurs
Filtrage des destinataires
Filtrage de l’ID de l’expéditeur
Filtrage du contenu
Filtrage selon la réputation de l’expéditeur
Filtrage des pièces jointes
Analyse antivirus
Filtrage de courrier indésirable Outlook
| Remarque : |
|---|
| Le filtrage des connexions rassemble des informations pendant deux événements différents. Dans le premier événement, le filtrage des connexions rassemble les informations sur l’adresse IP depuis la connexion (voir la figure précédente). Dans le second événement, le filtrage des connexions rassemble des informations lorsque l’Agent de filtrage des expéditeurs analyse les en-têtes de message pour identifier la première adresse IP externe (voir la figure de la section « Filtrage des expéditeurs » plus loin dans cette rubrique). Les agents peuvent analyser plusieurs événements. La figure précédente présente une vue de niveau supérieur de l’ordre approximatif d’application des agents, lorsque tous les agents sont activés, dans le but d’illustrer le flux de messagerie. Pour plus d’informations sur les événements spécifiques et sur les événements analysés par les agents, consultez la rubrique Présentation des agents de transport. |
Souhaitez-vous rechercher des tâches de gestion relatives à la fonctionnalité de blocage du courrier indésirable et antivirus ? Voir Gestion des fonctionnalités anti-courrier indésirable et antivirus.
Contenu de cette rubrique
Filtrage des connexions
Filtrage des expéditeurs
Filtrage des destinataires
Filtrage des ID de l’expéditeur
Filtrage du contenu
Filtrage selon la réputation de l’expéditeur
Filtrage des pièces jointes
Analyse antivirus
Filtrage de courrier indésirable Outlook
Filtrage des connexions
Au cours de la session SMTP, Exchange 2010 applique le filtrage des connexions en utilisant les critères de la figure suivante.
Flux de messagerie après filtrage des connexions
La procédure suivante s’applique :
L’Agent de filtrage des connexions examine la liste d’adresses IP autorisées définie par l’administrateur. Si l’adresse IP du serveur d’envoi est sur la liste d’adresses IP autorisées définie par l’administrateur, le message est alors traité par filtrage des expéditeurs.
L’Agent de filtrage des connexions examine la liste d’adresses IP bloquées locale. Si l’adresse IP du serveur d’envoi se trouve dans la liste d’adresses IP bloquées locale, le message est automatiquement rejeté et aucun autre filtre n’est appliqué.
L’Agent de filtrage des connexions examine la liste des adresses IP autorisées des fournisseurs de liste verte IP dont vous disposez. Si l’adresse IP du serveur d’envoi est sur la liste d’adresses IP autorisées définie à partir des fournisseurs de liste verte IP, le message est alors traité par filtrage des expéditeurs.
L’Agent de filtrage des connexions examine les listes rouges en temps réel de tous les fournisseurs de listes d’adresses IP bloquées que vous avez configurés. Si l’adresse IP du serveur d’envoi se trouve dans une liste rouge en temps réel, le message est refusé et aucun autre filtre n’est appliqué.
Pour plus d’informations, voir Présentation du filtrage des connexions.
| Remarque : |
|---|
| Si l’Agent de filtrage des connexions est déployé sur un ordinateur qui se trouve derrière un autre serveur connecté à Internet, d’autres filtres, tels que le filtrage des expéditeurs ou des destinataires, sont appelés avant l’Agent de filtrage des connexions. |
Retour au début
Filtrage des expéditeurs
Après que le filtrage des connexions a été appliqué, Exchange 2010 compare l’adresse de messagerie de l’expéditeur à la liste des expéditeurs bloqués que vous pouvez configurer dans le filtrage des expéditeurs, comme illustré dans la figure suivante.
Flux de messagerie après filtrage des expéditeurs
L’Agent de filtrage des expéditeurs vérifie alors l’adresse de messagerie de l’expéditeur contenue dans les champs d’en-tête « De » de l’enveloppe de message et l’en-tête de message. Si un champ d’en-tête « De » correspond à l’adresse figurant dans la liste des expéditeurs bloqués, Exchange 2010 rejette le message au niveau du protocole et aucun autre filtre n’est appliqué.
| Remarque : |
|---|
| Même si des destinataires au sein de votre organisation ont placé des expéditeurs sur leur liste des expéditeurs approuvés Microsoft Outlook, le filtrage des expéditeurs configuré sur le serveur de transport Edge remplace le paramétrage Outlook du destinataire et rejette les messages. |
Pour plus d’informations sur le filtrage des expéditeurs, consultez la rubrique Présentation du filtrage des expéditeurs.
Pour plus d’informations sur les enveloppes et les en-têtes de message, consultez la rubrique Présentation des répertoires de collecte et de relecture.
Retour au début
Filtrage des destinataires
Si le filtrage des expéditeurs ne rejette pas le message, Exchange exécute de nouveau le filtrage des connexions. Exchange applique alors l’Agent de filtrage des destinataires, comme illustré dans la figure suivante.
Flux de messagerie après filtrage des destinataires
L’Agent de filtrage des destinataires examine le destinataire en le comparant à la liste rouge des destinataires que vous configurez dans les paramètres de l’Agent de filtrage des destinataires. Si le destinataire concerné correspond à une adresse de messagerie figurant dans la liste rouge des destinataires, Exchange 2010 rejette le message pour ce destinataire particulier. De plus, l’Agent de filtrage des destinataires vérifie que le destinataire est présent dans l’organisation. Si le destinataire n’est pas présent dans l’organisation, Exchange rejette le message pour ce destinataire particulier.
Si plusieurs destinataires figurent sur le message et si tous les destinataires ne sont pas répertoriés dans la liste rouge des destinataires, le traitement du message continue. Autrement, si le message n’est destiné qu’à un seul destinataire bloqué, aucun autre filtre n’est appliqué.
Lorsqu’un message avec des destinataires bloqués est traité, l’ensemble des destinataires bloqués est supprimé du message et la transmission du message est effectuée dans l’organisation. Des réponses de rejet SMTP au niveau du protocole sont envoyées à l’expéditeur pour chaque destinataire bloqué. L’Agent de réputation de l’expéditeur analyse l’événement OnReject pour calculer le niveau de réputation de l’expéditeur.
Pour plus d’informations, voir Présentation du filtrage des destinataires.
Retour au début
Filtrage des ID de l’expéditeur
Si le message contient toujours des destinataires valides après que le filtrage des destinataires a été appliqué, Exchange 2010 exécute l’Agent de filtrage des ID de l’expéditeur, comme illustré dans la figure suivante.
Flux de messagerie après filtrage des ID de l’expéditeur
D’abord, l’Agent d’ID de l’expéditeur détermine la PRA (Purported Responsible Address) du message à l’aide de l’algorithme décrit dans RFC 4407. Cette étape est obligatoire pour identifier précisément l’expéditeur du message. La PRA est une adresse SMTP, telle que kim@contoso.com. L’Agent d’ID de l’expéditeur effectue alors une recherche DNS (Domain Name Service) sur la partie de la PRA correspondant au domaine. Si ce domaine a publié un enregistrement SPF (Sender Policy Framework), l’agent utilise cet enregistrement SPF pour évaluer le message en fonction des spécifications pour RFC 4408. Le résultat de l’évaluation est marqué sur le message dans le marquage du courrier indésirable. Si ce domaine ne contient pas d’enregistrement SPF publié, l’Agent d’ID de l’expéditeur marque « Aucun » comme résultat d’ID de l’expéditeur sur le message. Pour plus d’informations sur les types de marquages utilisés pour le filtrage des ID de l’expéditeur, consultez la rubrique Présentation des marquages de courrier indésirable.
Si le DNS de l’expéditeur provient d’un domaine bloqué ou d’une adresse bloquée, les actions suivantes peuvent être entreprises en fonction de votre configuration pour les actions de l’ID de l’expéditeur :
Rejeter le message Si l’action de l’ID de l’expéditeur est définie sur Rejeter le message, Exchange rejette le message et envoie une réponse d’erreur SMTP au serveur d’envoi. La réponse d’erreur SMTP est une réponse de protocole de niveau 5xx contenant un texte correspondant à l’état d’ID de l’expéditeur.
Supprimer le message Si l’action de l’ID de l’expéditeur est définie sur Supprimer le message, Exchange supprime le message sans informer le serveur d’envoi de la suppression. L’ordinateur sur lequel le rôle serveur de transport Edge est installé envoie une commande SMTP « OK » factice au serveur d’envoi, puis supprime le message. Comme le serveur d’envoi suppose que le message a été envoyé, il ne réessaie pas d’envoyer le message au cours de la même session.
Indiquer le message avec le résultat de l’ID de l’expéditeur et poursuivre le traitement Exchange marque le message avec le résultat de l’ID de l’expéditeur et continue le traitement du message. Ces métadonnées sont évaluées par l’Agent de filtrage du contenu lors du calcul d’un contrôle d’accès SCL. En outre, la fonctionnalité de réputation de l’expéditeur utilise les métadonnées du message pour calculer le niveau de réputation de l’expéditeur du message.
Pour plus d’informations, voir Présentation de l'ID de l'expéditeur.
Retour au début
Filtrage du contenu
Avant que le filtrage du contenu Exchange appelle le filtre de messages intelligent Exchange, il applique de nouveau le filtrage des expéditeurs. Le serveur Exchange applique alors l’Agent de filtrage du contenu, comme illustré dans la figure suivante.
Flux de messagerie après filtrage du contenu
L’Agent de filtrage du contenu vérifie les conditions suivantes dans le message. Si l’une de ces conditions est vérifiée, le message contourne le filtrage du contenu et des pièces jointes. Ces messages subissent alors une analyse antivirus. Les conditions suivantes sont vérifiées :
L’adresse IP de l’expéditeur figure dans la liste d’adresses IP autorisées pour le filtrage des connexions.
Tous les destinataires sont sur la liste d’exceptions pour le filtrage du contenu.
Le paramètre AntiSpamBypassEnabled est défini sur
$Truesur les boîtes aux lettres de tous les destinataires.Tous les destinataires ont ajouté cet expéditeur à leur liste des expéditeurs approuvés Outlook, qui est mise à jour sur le serveur de transport Edge à l’aide de l’agrégation de listes fiables.
L’expéditeur est un partenaire approuvé qui figure sur la liste des expéditeurs non filtrés de l’organisation.
En plus des conditions répertoriées, si la session SMTP a été authentifiée comme un partenaire approuvé et si l’administrateur a accordé l’autorisation d’ignorer le blocage du courrier indésirable (Ms-Exch-Bypass-Anti-Spam) aux partenaires, les agents de blocage du courrier indésirable seront désactivés pour les messages de cette session. L’autorisation d’ignorer le blocage du courrier indésirable n’est pas accordée par défaut aux partenaires et doit être attribuée par un administrateur.
Si un message ne répond à aucune des conditions décrites, le filtrage du contenu est appliqué. Le filtrage du contenu attribue une valeur de contrôle d’accès SCL au message. En fonction de la valeur de contrôle d’accès SCL, l’une des actions suivantes se produit :
Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de suppression SCL et que celui-ci est activé, l’Agent de filtrage du contenu supprime le message. Aucune communication de niveau protocole n’indique au système émetteur ou à l’expéditeur que le message a été supprimé. Si la valeur SCL est inférieure à celle du seuil de suppression SCL, l’Agent de filtrage du contenu ne supprime pas le message. Au lieu de cela, l’Agent de filtrage du contenu compare la valeur SCL au seuil de rejet SCL.
Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de rejet SCL et que celui-ci est activé, l’Agent de filtrage du contenu rejette le message et envoie une réponse de rejet au système émetteur. Vous pouvez personnaliser la réponse de rejet. Dans certains cas, une notification d’échec de remise est envoyée à l’expéditeur d’origine du message. Si la valeur SCL est inférieure à celle du seuil de rejet SCL, l’Agent de filtrage du contenu ne rejette pas le message. Au lieu de cela, l’Agent de filtrage du contenu compare la valeur SCL au seuil de mise en quarantaine SCL.
Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de quarantaine SCL et que celui-ci est activé, l’Agent de filtrage du contenu envoie le message dans la boîte aux lettres de mise en quarantaine du courrier indésirable. Pour plus d’informations sur la gestion de la boîte aux lettres de mise en quarantaine du courrier indésirable, consultez la rubrique Présentation du filtrage de contenu. Le message est alors soumis au filtrage des pièces jointes.
Pour plus d’informations, consultez les rubriques suivantes :
Retour au début
Filtrage selon la réputation de l’expéditeur
Après que le filtrage du contenu a été appliqué, Exchange applique le filtrage des pièces jointes, comme illustré dans la figure suivante.
Flux de messagerie selon la réputation de l’expéditeur
La réputation de l’expéditeur pondère chacune des statistiques ci-dessous et calcule le SRL pour chaque expéditeur.
Analyse de la commande HELO/EHLO
Recherche DNS inversée
Analyse des contrôles d’accès SCL aux messages à partir d’un expéditeur spécifique
Test de proxy ouvert de l’expéditeur
Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l’expéditeur n’est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l’expéditeur est probablement un expéditeur de courrier indésirable.
Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l’expéditeur envoie une demande à l’agent de filtrage des expéditeurs de bloquer l’envoi d’un message à l’organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs bloqués pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l’agent de filtrage des expéditeurs. Les actions suivantes sont les options de gestion des messages bloqués :
Rejeter
Supprimer et archiver
Accepter et marquer comme expéditeur bloqué
Si un expéditeur est inclus dans la liste d’adresses IP bloquées ou dans le service de réputation IP d’Microsoft, l’agent Réputation de l’expéditeur envoie une demande de blocage immédiat de l’expéditeur à l’agent de filtrage des expéditeurs. Pour tirer parti de cette fonctionnalité, vous devez activer et configurer le service de mise à jour antispam de Microsoft Exchange.
Par défaut, le serveur de transport Edge définit un contrôle d’accès de 0 pour les expéditeurs qui n’ont pas été analysés. Quand un expéditeur a envoyé 20 messages ou plus, la fonctionnalité de réputation de l’expéditeur calcule un SRL à partir des statistiques précédemment décrites.
Pour plus d’informations, consultez les rubriques suivantes :
Retour au début
Filtrage des pièces jointes
Après que le filtrage du contenu a été appliqué, Exchange applique le filtrage des pièces jointes, comme illustré dans la figure suivante.
Flux de messagerie après filtrage des pièces jointes
Vous pouvez configurer le filtrage des pièces jointes de manière à bloquer les pièces jointes en fonction de leur type de contenu MIME, du nom de fichier ou de l’extension de nom de fichier. Si le filtrage des pièces jointes détecte un type de contenu ou un nom de fichier qui a été bloqué, l’une des actions suivantes se produit, en fonction de vos paramètres de filtrage des pièces jointes :
Reject Si le paramètre d’action est défini sur Reject, cela empêche la remise du message électronique et de la pièce jointe au destinataire et le système envoie un message d’erreur de notification d’état de remise à l’expéditeur. Vous pouvez personnaliser la réponse de rejet.
Silent Delete Si le paramètre d’action est défini sur Silent Delete, cela empêche la remise au destinataire du message électronique et de la pièce jointe. Aucune notification indiquant que le message électronique et la pièce jointe ont été bloqués n’est envoyée à l’expéditeur.
Strip Si le paramètre d’action est défini sur Strip, la pièce jointe est supprimée du message électronique. Cette valeur permet la remise au destinataire du message et d’autres pièces jointes ne correspondant pas à une entrée de la liste rouge des pièces jointes. Une notification indiquant que la pièce jointe a été bloquée est ajoutée au message électronique du destinataire.
Si le message n’a pas été rejeté ou supprimé ou si le filtrage des pièces jointes n’a pas détecté de type de pièce jointe bloqué, une recherche de virus est alors effectuée sur le message.
Pour plus d’informations, consultez la rubrique Configurer le filtrage des pièces jointes.
Retour au début
Analyse antivirus
Après que le filtrage des pièces jointes a été appliqué, ou si les destinataires ont été ignorés dans le filtrage du contenu, l’analyse antivirus Forefront Protection pour Exchange est effectuée, comme illustré dans la figure suivante.
Flux de messagerie après analyse antivirus Forefront Protection pour Exchange Server
Forefront Protection pour Exchange Server est un package logiciel antivirus qui est étroitement intégré à Exchange 2010 et qui offre une protection renforcée contre les virus pour votre environnement Exchange. Lorsque Forefront Protection pour Exchange Serverdétecte des messages qui semblent contenir un virus, le système supprime le message, génère un message de notification et envoie la notification à la boîte aux lettres du destinataire.
Pour plus d’informations, voir Microsoft Forefront Protection 2010 pour Exchange Server.
Retour au début
Filtrage de courrier indésirable Outlook
Une fois que tous les filtres ont été appliqués et qu’une analyse antivirus a été effectuée sur le message, celui-ci est envoyé dans la boîte aux lettres du destinataire indiqué et le filtrage du courrier indésirable est effectué, comme illustré dans la figure suivante.
Flux de messagerie après filtrage du courrier indésirable Outlook
Si la valeur de contrôle d’accès SCL pour le message est égale ou supérieure au seuil SCL du dossier Courrier indésirable et si ce dernier est activé, le serveur de boîtes aux lettres place le message dans le dossier de courrier indésirable de l’utilisateur d’Outlook. Si la valeur SCL d’un message est inférieure à celles des seuils de suppression, de rejet, de mise en quarantaine et de dossier de courrier indésirable SCL, le serveur de boîtes aux lettres place le message dans la boîte de réception de l’utilisateur. Pour plus d’informations sur les seuils SCL, consultez la rubrique Présentation du seuil de probabilité de courrier indésirable.
Retour au début
© 2010 Microsoft Corporation. Tous droits réservés.