Configurer le filtrage du courrier entrant

Article
09/09/2014

Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2013-01-10

La configuration du filtrage de courrier électronique entrant dans Forefront Online Protection for Exchange (FOPE) comprend les étapes suivantes :

Mise à jour de votre enregistrement MX afin qu'il pointe vers mail.messaging.microsoft.com
Attente de 72 heures après la mise à jour de votre enregistrement MX, puis verrouillage de vos pare-feu afin de limiter le trafic entrant à FOPE.
Configuration des notifications de courrier électronique qui avertissent les administrateurs si du courrier entrant est reporté.

Mettre à jour votre enregistrement MX

Un enregistrement de serveur de messagerie (enregistrement MX) indique aux systèmes de messagerie comment gérer le courrier envoyé à un domaine spécifique. Il indique au serveur de messagerie émetteur où envoyer le courrier. Après la validation et l'activation de vos domaines, modifiez l'enregistrement MX de vos domaines avec mail.messaging.microsoft.com. (Si vous utilisez un logiciel d'un autre fournisseur pour gérer vos paramètres DNS, vous devez placer cette demande dans votre fournisseur DNS.) Le courrier électronique envoyé à votre domaine sera ainsi relayé à (FOPE) pour filtrage. Notez qu'un seul enregistrement MX est nécessaire pour chaque domaine.

Important :
Ne résolvez pas mail.messaging.microsoft.com avec une adresse IP. Pour des performances maximales, cette adresse doit être le seul enregistrement MX utilisé pour vos domaines FOPE. Si votre organisation compte plusieurs domaines qui reçoivent du courrier électronique, vous devrez changer l'enregistrement MX pour chacun de ces domaines. Si vous utilisez FOPE avec Microsoft Office 365 et que le courrier entrant parvient à votre serveur local avant d'être envoyé à vos boîtes aux lettres Exchange Online, mettez à jour votre enregistrement MX afin qu'il pointe vers votre serveur local de messagerie et non vers mail.messaging.microsoft.com. Pour plus d'informations sur ce scénario, consultez la rubrique Scénario d'espace d'adressage partagé avec relais local (MX pointe vers la boîte aux lettres locale). Il n'est pas nécessaire de modifier votre enregistrement MX si vous utilisez Live@edu. Le token.outlook.com qui vous a donné des itinéraires à FOPE.

Ne résolvez pas mail.messaging.microsoft.com avec une adresse IP. Pour des performances maximales, cette adresse doit être le seul enregistrement MX utilisé pour vos domaines FOPE.
Si votre organisation compte plusieurs domaines qui reçoivent du courrier électronique, vous devrez changer l'enregistrement MX pour chacun de ces domaines.
Si vous utilisez FOPE avec Microsoft Office 365 et que le courrier entrant parvient à votre serveur local avant d'être envoyé à vos boîtes aux lettres Exchange Online, mettez à jour votre enregistrement MX afin qu'il pointe vers votre serveur local de messagerie et non vers mail.messaging.microsoft.com. Pour plus d'informations sur ce scénario, consultez la rubrique Scénario d'espace d'adressage partagé avec relais local (MX pointe vers la boîte aux lettres locale).
Il n'est pas nécessaire de modifier votre enregistrement MX si vous utilisez Live@edu. Le token.outlook.com qui vous a donné des itinéraires à FOPE.

Limiter le courrier électronique entrant au courrier envoyé via FOPE

Si votre organisation fonctionne en environnement autonome FOPE où le courrier passe exclusivement par FOPE avant de parvenir à votre organisation, procédez comme suit pour limiter le courrier électronique entrant de façon qu'il soit uniquement accepté s'il a été envoyé à travers les centres de données FOPE :

Patientez 72 heures après avoir modifié votre enregistrement MX pour permettre la propagation intégrale sur Internet.
Limitez le trafic SMTP entrant sur le port 25 ou les serveurs de messagerie pour accepter uniquement le courrier des centres de données avec services de filtrage hébergés en utilisant la liste des adresses IP dans les URL et les adresses IP Adresses IP en ligne de Forefront Online Protection for Exchange. Si des paramètres sur votre serveur de messagerie contrôlent les adresses IP autorisées à se connecter pour le relais de messagerie, vérifiez qu'ils sont également à jour.
Facultativement, vérifiez que les plages d'adresses IP des centres de données FOPE sont des connexions approuvées et sont explicitement autorisées par un filtrage supplémentaire du contenu et des connexions que vous pouvez mettre en place sur vos serveurs passerelles locaux de courrier entrant. Voici quelques exemples, à titre non exhaustif :
1. Plages IP d'exemption, de liste sécurisée ou de liste autorisée FOPE de tout type de filtrage de connexion (DNSBL, autres RBL, rDNS, FCrDNS). Cette opération est obligatoire lorsque FOPE n'est pas l'application exclusive de filtrage.
2. Plages IP d'exemption, de liste sécurisée ou de liste autorisée FOPE de tout filtrage de contenu (anti-spam) sur vos serveurs passerelles de courrier entrant. Si vous avez besoin d'une couche supplémentaire de protection anti-spam dans le cadre de mesures de protection multiniveau, vous pouvez appliquer un filtre anti-spam au courrier envoyé depuis FOPE. Toutefois, sachez que cela correspondrait à un autre point d'échec potentiel et nécessiterait des ressources système supplémentaires pour le traitement par les serveurs locaux, et générerait éventuellement des faux positifs.
3. Un filtrage antivirus sur les serveurs de passerelle de messagerie locaux est recommandé afin de fournir une couche supplémentaire de protection multiniveau.

Configurer des notifications de report de courrier électronique

Une alerte de notification de report doit être configurée afin d'avertir les administrateurs si du courrier électronique entrant est reporté. Si les serveurs FOPE ne peuvent pas se connecter à vos serveurs de messagerie pour remettre le courrier électronique entrant, le service place automatiquement le courrier en file d'attente en vue d'une remise ultérieure (jusqu'à cinq jours), puis envoie une alerte aux adresses spécifiées par les paramètres d'alerte de notification de report.

Pour configurer des notifications de report de courrier électronique

Dans le Centre d'administration FOPE, cliquez sur l'onglet Administration, puis sur l'onglet Domaines.
Cliquez sur le nom du domaine pour lequel vous souhaitez configurer des alertes de notification de report. Pour rechercher un nom de domaine spécifique, utilisez la zone de recherche.
Dans le volet Notifications (en bas à gauche), sous Notification de report, cliquez sur Activer.

Dans la boîte de dialogue Notification de report, entrez les informations suivantes :

Dans la zone Nombre de reports avant la notification, tapez le seuil du nombre de messages pouvant être reportés avant l'envoi d'une notification de report. Par exemple, si vous entrez 300 dans cette zone, 300 messages peuvent être reportés avant l'envoi d'une notification de report.
Dans la zone Adresse de messagerie de l'administrateur, tapez une adresse de messagerie se trouvant hors du domaine en cours de configuration, puis cliquez sur Enregistrer.

Remarque :
Vous pouvez configurer plusieurs notifications de report pour chaque domaine de votre société, chacune définie avec ses propres paramètres de seuil et adresses de messagerie. Une fois qu'une notification a été activée, vous pouvez la modifier ou la supprimer en cliquant sur Invalider.

Astuce :
Si vous recevez une notification de report, vous devez exécuter un rapport de report depuis l'onglet Mes rapports du Centre d'administration FOPE afin de vérifier si vous pouvez constater l'erreur.

Pour passer à l'étape suivant du processus de configuration de FOPE, accédez à Configurer le filtrage du courrier sortant.

Voir aussi

Concepts

Configurer le filtrage du courrier sortant