Configuration du filtrage et contrôle du courrier indésirable
Dernière rubrique modifiée : 2006-03-15
Le contrôle du courrier indésirable est un véritable défi, mais les conseils ci-dessous vous permettront d'atténuer ce fléau :
- Utilisez les fonctionnalités de filtrage d'Exchange 2003. Microsoft® Exchange Server 2003 permet de filtrer les connexions, les destinataires et les expéditeurs afin de réduire le volume de courrier indésirable reçu par les utilisateurs de votre organisation.
- Incitez les utilisateurs à ne pas répondre au courrier indésirable ni à le transférer. Recommandez aux utilisateurs de ne pas cliquer sur les liens de type « supprimer » contenus dans le courrier indésirable, car ces liens servent souvent à vérifier les adresses.
Dans Exchange Server 2003, vous pouvez configurer et activer le filtrage sur vos serveurs virtuels SMTP afin de restreindre l'accès à ces derniers. La configuration du filtrage s'effectue dans le Gestionnaire système Exchange sous les paramètres globaux des propriétés de remise des messages. Bien que vous puissiez configurer le filtrage au niveau global, vous devez l'activer sur chacun des serveurs virtuels individuels.
Grâce au filtrage, vous pouvez bloquer de plusieurs façons les messages électroniques entrants envoyés vers votre serveur virtuel SMTP :
Le filtrage des connexions permet de bloquer les messages envoyés à votre organisation en fonction de l'adresse IP (Internet Protocol) du serveur SMTP de connexion. Vous pouvez configurer des listes d'autorisations globales pour les adresses IP dont vous souhaitez toujours accepter les messages, ainsi que des listes de refus globales pour les adresses IP dont vous souhaitez systématiquement rejeter les messages. Vous pouvez également vous abonner auprès d'un fournisseur tiers de liste d'interdiction afin de vérifier si l'adresse IP de connexion ne figure pas sur la liste des adresses IP bloquées.
.gif "note")
Remarque :Si vous souhaitez empêcher une adresse IP particulière d'envoyer du courrier vers vos serveurs virtuels SMTP, vous pouvez ajouter cette adresse IP en cliquant sur le bouton Connexion situé sous l'onglet Accès des propriétés de votre serveur virtuel SMTP. Vous devez configurer ces restrictions sur vos serveurs virtuels SMTP de passerelle. Le filtrage de destinataire permet de bloquer les messages envoyés à un destinataire spécifique de votre organisation.
Le filtrage des expéditeurs permet de bloquer les messages envoyés par un expéditeur spécifique. Si votre organisation reçoit fréquemment du courrier indésirable provenant des mêmes expéditeurs, vous pouvez empêcher ces derniers de continuer à envoyer du courrier à votre organisation.
Filtrage des connexions
Exchange Server 2003 prend en charge le filtrage des connexions basé sur des listes d'interdiction. Le filtrage des connexions tire parti des services externes qui répertorient les sources connues de courrier indésirable, des listes de comptes d'utilisateur d'accès à distance et des serveurs ouverts pour un relais (en fonction des adresses IP). Le filtrage des connexions complète les produits tiers de filtrage de contenu. Cette fonctionnalité vous permet de comparer une adresse IP entrante à la liste d'un fournisseur de liste d'interdiction pour déterminer si elle appartient à l'une des catégories que vous souhaitez filtrer. Par ailleurs, vous pouvez utiliser plusieurs filtres de connexion et déterminer un ordre de priorité pour chaque filtre à appliquer.
Grâce au filtrage des connexions, vous pouvez également effectuer les tâches suivantes :
- Configurer des listes d'autorisations et de refus globales. Une liste d'autorisations globale regroupe les adresses IP dont vous acceptez systématiquement le courrier. Une liste de refus globale regroupe les adresses IP dont vous refusez systématiquement le courrier. Vous pouvez utiliser des listes des autorisations et des refus globales avec ou sans service fournisseur de listes d'interdiction.
- Configurer une adresse de destinataire échappant à toutes les règles de filtrage des connexions. Tout courrier envoyé à l'adresse en question est automatiquement accepté même si l'expéditeur figure sur une liste d'interdiction.
Fonctionnement des règles de filtrage des connexions
Lorsque vous créez une règle de filtrage des connexions, le protocole SMTP l'utilise pour effectuer une recherche DNS dans une liste fournie par un service de liste d'interdiction tiers. Le filtre de connexion compare chaque adresse IP entrante au contenu de la liste d'interdiction tierce. Le fournisseur de listes d'interdiction émet l'une des deux réponses suivantes :
- hôte introuvable Indique que l'adresse IP ne figure pas dans sa liste d'interdiction.
- 127.0.0. x Code d'état de réponse indiquant qu'une occurrence de l'adresse IP a été trouvée dans la liste des contrevenants. La valeur x peut varier en fonction du fournisseur de liste d'interdiction.
Si l'adresse IP entrante existe dans la liste d'interdiction, le protocole SMTP renvoie une erreur de type 5.x.x en réponse à la commande RCPT TO (cette dernière est la commande SMTP que le serveur de connexion émet pour identifier le destinataire attendu).
Il est possible de personnaliser la réponse renvoyée à l'expéditeur. En outre, dans la mesure où les fournisseurs de listes d'interdiction disposent généralement de catégories de contrevenants différentes, vous pouvez indiquer les correspondances à refuser. Voici les trois types de contrevenants traités par la plupart des fournisseurs de listes d'interdiction :
- Sources de courrier indésirable Ces listes sont établies à partir des adresses sources correspondant aux messages publicitaires non sollicités reçus.
- Serveurs de relais ouvert connus Ces listes sont établies à partir de l'identification des serveurs SMTP de relais ouvert présents sur Internet. L'existence d'un serveur de relais ouvert résulte généralement d'une erreur de configuration de la part de l'administrateur système.
- Utilisateurs d'accès à distance Ces listes sont créées à partir de listes déjà établies par les fournisseurs de services Internet et qui comportent des adresses IP d'accès à distance, ou à partir d'adresses liées à une probable connexion à distance.
Identification des adresses IP interdites par les fournisseurs de listes d'interdiction
Quand un message électronique est envoyé à votre organisation alors que vous avez défini un filtre de connexion, Exchange prend contact avec le fournisseur de listes d'interdiction. Le fournisseur vérifie l'existence d'un enregistrement A (hôte) auprès de son serveur DNS. Exchange soumet la demande dans un format spécifique. Par exemple, si l'adresse de connexion est 192.168.5.1 alors que l'organisation du fournisseur de listes d'interdiction est contoso.org, Exchange soumet la requête dans le format suivant :
<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x
soit, dans ce cas :
1.5.168.192..contoso.org
Si cette adresse IP figure dans la liste d'interdiction, le fournisseur renvoie un code d'état 127.0.0.x indiquant l'adresse IP incriminée et le type d'attaque. Tous les fournisseurs de listes d'interdiction renvoient un code de réponse au format 127.0.0.x, où x désigne le type d'infraction. La valeur x varie en fonction du fournisseur de listes d'interdiction.
Description des codes de réponse émanant de fournisseurs de listes d'interdiction
Nous avons vu précédemment que le fournisseur de listes d'interdiction renvoie un code d'état 127.0.0.x s'il trouve un enregistrement concordant. Le code d'état est soit un code de retour explicite, soit un masque de bits (code de retour multifonction). Si votre fournisseur de listes d'interdiction retourne une valeur, vous pouvez indiquer quelles valeurs vous souhaitez filtrer. Cependant, si votre fournisseur de listes d'interdiction retourne un masque de bits, vous devez être familiarisé avec ce type de valeur de retour pour indiquer correctement les adresses à filtrer.
Un masque de bits est une méthode qui permet de s'assurer qu'un bit précis est défini pour une entrée. Un masque de bits se distingue d'un masque classique dans le sens où il recherche une valeur binaire spécifique, à la différence d'un masque de sous-réseau, qui recherche un intervalle de valeurs. Prenons l'exemple suivant.
Pour chaque occurrence de la liste d'interdiction, un fournisseur de listes d'interdiction renvoie les codes d'état répertoriés dans le tableau suivant.
Exemples de codes d'état d'une liste d'interdiction
| Catégorie | Code d'état renvoyé |
|---|---|
Source de courrier indésirable connue |
127.0.0.3 |
Compte d'utilisateur d'accès à distance |
127.0.0.2 |
Serveur de relais connu |
127.0.0.4 |
Cependant, si une adresse IP figure dans deux listes, le fournisseur de listes d'interdiction ajoute les valeurs du dernier octet. Par conséquent, si une adresse IP figure sur la liste des serveurs de relais connus ainsi que sur la liste des sources de courrier indésirable connues, le fournisseur de listes d'interdiction renvoie le code d'état 127.0.0.7, où 7 correspond à la somme des valeurs des derniers octets de retour pour les codes d'état des sources de courrier indésirable connues et des serveurs de relais connus.
Pour définir un filtre ne s'appliquant qu'aux sources connues de courrier publicitaire non sollicité, entrez 0.0.0.3 comme valeur de masque de bits ; la liste d'interdiction filtre alors les valeurs possibles, dans le cas présent, 127.0.0.3, 127.0.0.5, 127.0.0.7 et 127.0.0.9.
Le tableau suivant répertorie les valeurs de masque de bits associées à chaque code d'état de l'exemple.
Exemples de codes d'état d'une liste d'interdiction et valeurs de masque de bits correspondantes
| Catégorie | Code d'état renvoyé | Valeur de masque de bits |
|---|---|---|
Source de courrier indésirable connue |
127.0.0.3 |
0.0.0.3 |
Compte d'utilisateur d'accès à distance |
127.0.0.2 |
0.0.0.2 |
Serveur de relais connu |
127.0.0.4 |
0.0.0.4 |
Serveur de relais connu et compte d'utilisateur d'accès à distance |
127.0.0.6 |
0.0.0.6 |
Dans la dernière catégorie du tableau (« Serveur de relais connu et compte d'utilisateur d'accès à distance »), le masque de bits 0.0.0.6 ne retourne une adresse IP correspondante que si celle-ci figure à la fois dans la liste serveur de relais et dans la liste compte d'utilisateur d'accès à distance. Il ne renvoie pas d'occurrence si l'adresse IP ne figure que dans l'une ou l'autre liste. Un masque de bits ne permet pas de rechercher une seule occurrence dans plusieurs listes.
| Remarque : |
|---|
| Un masque de bits effectue une vérification par rapport à une seule valeur. Si vous définissez une valeur de masque de bits qui est retournée lorsqu'une adresse IP apparaît dans deux listes, le masque ne mettra en correspondance que les adresses IP figurant à la fois dans l'une et l'autre liste. Si vous voulez vérifier une adresse IP dans l'une ou l'autre liste, entrez les codes d'état de ces paramètres. |
Spécification d'exceptions aux règles de filtrage des connexions
Il est possible d'autoriser la remise de messages à des destinataires particuliers, même si leur adresse figure dans une liste d'interdiction. Cette exception s'avère utile si vous souhaitez que des organisations fiables puissent contacter le compte administrateur pour communiquer avec vos administrateurs. Par exemple, imaginez qu'une société fiable possède un serveur configuré par inadvertance pour autoriser le relais ouvert; dans ce cas, les messages électroniques envoyés par cette société à vos utilisateurs sont bloqués. Pourtant, si vous configurez un filtrage des connexions autorisant la remise de messages au compte administrateur de votre organisation, l'administrateur de la société interdite peut envoyer un message électronique à votre compte administrateur pour signaler le blocage ou en demander les raisons.
Activation du filtrage des connexions
Pour activer le filtrage des connexions, effectuez la procédure suivante :
- Créez le filtre de connexion sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de la remise des messages. Pour obtenir des instructions détaillées, voir la rubrique sur la Procédure de création d'un filtre destinataire.
- Appliquez le filtre au niveau des serveurs virtuels SMTP. Pour obtenir des instructions détaillées, voir la rubrique sur la Procédure d'application d'un filtre destinataire à un serveur virtuel SMTP.
Toutes ces étapes sont détaillées dans les sections suivantes.
Configuration du filtrage des connexions
Pour configurer le filtrage des connexions, effectuez la procédure suivante :
- Créez des listes d'autorisations et de refus globales.
- Créez des règles de filtrage des connexions.
- Créez des exceptions aux règles de filtrage des connexions.
Pour des instructions détaillées sur la création des listes d'autorisations et de refus globales, voir les rubriques suivantes :
- Procédure de création d'une liste d'autorisations globale
- Procédure de création d'une liste de refus globale
Pour obtenir des instructions détaillées sur la création d'exceptions aux règles de filtrage des connexions, voir les rubriques suivantes :
- Procédure de création d'un filtre de connexion
- Procédure de création d'une exception à une règle de connexion
Application du filtre de connexion aux serveurs virtuels SMTP appropriés
Après avoir créé le filtre de connexion et les exceptions correspondantes, vous devez appliquer ce filtre aux serveurs virtuels SMTP adéquats. En règle générale, vous devez effectuer cette opération sur les serveurs virtuels SMTP présents sur les serveurs de passerelle qui acceptent les messages électroniques en provenance d'Internet. La procédure ci-dessous décrit l'application d'un filtre de connexion à un serveur virtuel SMTP.
Pour obtenir des instructions détaillées, voir la rubrique sur la Procédure d'application d'un filtre de connexion à un serveur virtuel SMTP.
Filtrage des destinataires
Grâce au filtrage des destinataires, vous pouvez filtrer les messages envoyés aux destinataires qui n'existent pas dans votre organisation ou ajouter des adresses de destinataires spécifiques souvent ciblées par les expéditeurs de courrier indésirable.
Activation du filtrage des destinataires
Pour activer le filtrage des destinataires, effectuez la procédure suivante :
- Créez le filtre destinataire sous l'onglet Filtrage des destinataires de la boîte de dialogue Propriétés de remise des messages.
- Appliquez le filtre au niveau des serveurs virtuels SMTP.
Toutes ces étapes sont détaillées dans les sections suivantes.
Filtrage des expéditeurs
Il fonctionne de la même manière dans Exchange Server 2003 et Exchange 2000 Server ; il vous permet de filtrer les messages envoyés par un expéditeur spécifique. Vous pouvez bloquer les messages envoyés par les utilisateurs d'un domaine ou par un expéditeur spécifique.
Activation du filtrage des expéditeurs
Activez le filtrage des expéditeurs en procédant comme suit :
- Créez le filtre expéditeur à partir des paramètres globaux, dans la boîte de dialogue Propriétés de Remise des messages, sous l'onglet Filtrage des expéditeurs.
- Appliquez le filtre au niveau des serveurs virtuels SMTP.
Description de l'application des filtres activés et des restrictions IP
Exchange 2003 prend en charge les filtres et restrictions IP suivants :
- filtrage des connexions,
- filtrage des destinataires,
- filtrage des expéditeurs,
- Restrictions IP en fonction d'un serveur virtuel
Bien que configurés dans la boîte de dialogue Propriétés de la remise des messages, le filtrage des connexions, le filtrage des destinataires et le filtrage des expéditeurs doivent être activés sur les serveurs virtuels SMTP. En revanche, les restrictions IP sont configurées sur chaque serveur virtuel SMTP.
Cette section décrit l'ordre dans lequel les filtres et restrictions IP, une fois configurés et activés, sont contrôlés lors d'une session SMTP.
- Un client SMTP tente de se connecter au serveur virtuel SMTP.
- L'adresse IP du client qui se connecte est comparée aux restrictions IP du serveur virtuel SMTP (configurées à l'aide du bouton Connexion sous l'onglet Accès des Propriétés du serveur virtuel SMTP) :
- Si l'adresse IP de connexion figure dans la liste d'adresses IP restreintes, la connexion est immédiatement rompue.
- Si l'adresse IP de connexion ne figure pas dans la liste d'adresses IP restreintes, la connexion est acceptée.
- Le client SMTP émet une commande EHLO ou HELO.
- Le client SMTP émet une commande MAIL FROM: similaire à celle-ci :
MAIL FROM: pierre@contoso.com - L'adresse IP du client SMTP est alors recherchée dans la liste d'autorisations globale (configurée sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
- Si l'adresse IP de connexion figure dans la liste des autorisations globale, Exchange ne consulte pas la liste des refus globale. L'étape 6 du traitement est ignorée pour être remplacée par l'étape 7.
- Si l'adresse IP de connexion ne figure pas dans la liste d'autorisations globale, les étapes 6 et 7 sont exécutées.
- L'adresse IP du client SMTP est recherchée dans la liste de refus globale (configurée sous l'onglet Filtrage des connexions de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
- Si l'adresse IP du client SMTP figure dans la liste des refus globale, la connexion est rompue.
- Si l'adresse IP du client SMTP ne figure pas dans la liste des refus globale, la session se poursuit.
- Le filtrage des expéditeurs vérifie, dans la liste des expéditeurs bloqués, l'existence de l'expéditeur indiqué dans la commande MAIL FROM (cette liste est configurée sous l'onglet Filtrage des expéditeurs de la boîte de dialogue Propriétés de remise des messages du Gestionnaire système Exchange).
- Si l'expéditeur figure dans la liste des expéditeurs bloqués, l'un des deux scénarios suivants se produit, selon la configuration du filtrage des expéditeurs :
- Si le filtrage des expéditeurs prévoit l'arrêt de la connexion, la connexion est stoppée.
- Si le filtrage des expéditeurs prévoit l'acceptation des messages sans notification à l'expéditeur, la session se poursuit ; cependant, le courrier est envoyé vers le répertoire Badmail sans être remis au destinataire indiqué. - Si l'expéditeur ne figure pas dans la liste de filtrage des expéditeurs, le serveur virtuel SMTP émet une réponse similaire à celle-ci :
250 2.1.0 pierre@contoso.com…Expéditeur OK
- Si l'expéditeur figure dans la liste des expéditeurs bloqués, l'un des deux scénarios suivants se produit, selon la configuration du filtrage des expéditeurs :
- Le serveur SMTP de connexion émet une commande RCPT TO similaire à celle-ci :
RCPT TO: rosalie@exemple.com - Les règles de filtrage des connexions vérifient l'existence de l'adresse IP de connexion dans les listes transmises par les fournisseurs de listes d'interdiction.
- Si l'adresse IP du client SMTP figure dans la liste des autorisations, les règles de filtrage des connexions ne sont pas prises en compte. La poursuite du traitement s'effectue à l'étape 10.
- Le filtrage des connexions vérifie chaque liste d'interdiction du fournisseur de service en fonction de l'ordre configuré. Si le filtrage des connexions trouve une correspondance dans la liste d'interdiction d'un fournisseur, le serveur virtuel SMTP retourne un code d'erreur, puis envoie le message d'erreur personnalisé qui a été configuré pour la règle de filtrage des connexions. Une fois qu'une correspondance est trouvée, la vérification des listes d'interdiction des fournisseurs s'arrête.
- Si l'adresse IP du client SMTP ne figure pas dans la liste d'interdiction d'un fournisseur de service, la session se poursuit.
- Le filtrage des connexions vérifie si le destinataire attendu figure dans la liste des exceptions.
- Si le destinataire figure sur cette liste, la communication est acceptée et aucun autre contrôle n'est appliqué à la commande RCPT TO. Les étapes 11 et 12 du traitement sont ignorées pour être remplacées par l'étape 13.
- Si le destinataire ne figure pas dans la liste des exceptions, il est recherché dans d'autres filtres.
- S'il ne figure pas dans la liste des exceptions configurée dans le filtrage des connexions, le destinataire est recherché parmi les destinataires bloqués configurés dans le filtrage des destinataires.
- Si le destinataire est un destinataire refusé, le serveur virtuel SMTP retourne une erreur indiquant que le destinataire n'est pas valide.
- Si le destinataire n'est pas un destinataire refusé, la session continue.
- Si le destinataire n'est pas un destinataire refusé, il fait l'objet d'une recherche dans Active Directory.
- Si le destinataire n'est pas un destinataire valide dans Active Directory, le serveur virtuel SMTP retourne une erreur indiquant que le destinataire n'est pas valide.
- Si le destinataire est un destinataire valide répertorié dans Active Directory, la session continue.
- Les étapes 10 à 12 sont appliquées pour chaque destinataire supplémentaire spécifié dans une commande RCPT TO.
- Le serveur qui se connecte émet une commande DATA similaire à celle-ci :
DATA
À : Rosalie Mignon
De : pierre@contoso.com<Pierre Lopez>
Objet : Message électronique - Le filtrage des expéditeurs s'assure ensuite que l'adresse De ne correspond pas à un expéditeur bloqué.
- Si l'expéditeur spécifié dans la commande DATA est un expéditeur bloqué, l'un des scénarios suivants se produit :
- Si la configuration du filtrage des expéditeurs prévoit l'abandon de la connexion, le serveur virtuel SMTP renvoie une erreur 5.1.0 indiquant que l'expéditeur est refusé, puis abandonne la communication.
- Si le filtrage des expéditeurs prévoit l'acceptation des messages sans notification à l'expéditeur, la session se poursuit ; cependant, le courrier est envoyé vers le répertoire Badmail sans être remis au destinataire indiqué. - Si l'expéditeur spécifié dans la commande DATA n'est pas un expéditeur bloqué, le message est accepté et placé en file d'attente pour être remis.
- Si l'expéditeur spécifié dans la commande DATA est un expéditeur bloqué, l'un des scénarios suivants se produit :
Identification du courrier falsifié
Vous pouvez apprendre à vos utilisateurs à reconnaître du courrier falsifié. Contrairement à Exchange 2000, la configuration par défaut d'Exchange 2003 empêche la résolution des messages électroniques anonymes à l'aide des noms affichés. Par conséquent, lorsque du courrier est envoyé depuis une adresse falsifiée, Exchange 2003 ne résout pas l'adresse de messagerie de l'expéditeur à l'aide du nom affiché dans la liste d'adresses globale.
Pour comprendre comment Exchange 2003 empêche l'usurpation d'adresse, prenons l'exemple d'un utilisateur interne nommé Pierre Lopez. Celui-ci envoie du courrier en interne à partir du domaine exemple.com. Le message électronique affiche l'adresse d'expédition sous la forme Pierre Lopez, ce qui correspond au nom affiché configuré dans Active Directory pour pierre@exemple.com (en effet, lorsque Pierre Lopez envoie du courrier, il représente un utilisateur authentifié). Exchange vérifie ensuite si Pierre Lopez dispose des autorisations « Envoyer en tant que » dans ses informations d'identification, puis il résout l'adresse de messagerie en utilisant le nom affiché correspondant dans Active Directory. L'usurpation d'adresse se produit lorsqu'un utilisateur non autorisé falsifie l'adresse de Pierre pour envoyer du courrier à un autre utilisateur du même domaine.
Exchange 2003 ne résout pas les adresses de messagerie ayant une origine externe. Par conséquent, lorsqu'un utilisateur anonyme tente d'envoyer du courrier en usurpant l'adresse de Pierre, Exchange ne résout pas l'adresse d'expédition en nom affiché sur la ligne De. À la place, pierre@exemple.com s'affiche sur la ligne De du courrier électronique. Si vos utilisateurs comprennent cette différence, ils pourront au moins identifier le courrier falsifié.
Toutefois, par défaut, les serveurs Exchange 2000 résolvent effectivement le courrier électronique anonyme. Si votre organisation comporte des serveurs Exchange 2000 et si ces derniers résolvent un message électronique anonyme qu'ils envoient ensuite vers un serveur Exchange 2003, l'adresse du message sera convertie en nom affiché figurant dans la liste d'adresses globale. Pour y remédier, configurez vos serveurs Exchange 2000 de sorte qu'ils ne résolvent pas le courrier anonyme.
Pour obtenir des instructions détaillées, voir les rubriques sur la Procédure de vérification qu'Exchange 2003 est configuré pour ne pas résoudre le courrier anonyme et sur la Procédure de configuration d'Exchange 2000 pour qu'il ne résout pas les adresses de messagerie internes.