Présentation de la fonction de blocage du courrier indésirable et des virus

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2016-11-28

Les spammeurs, ou expéditeurs de courrier indésirable, utilisent toutes sortes de techniques pour envoyer du courrier indésirable à votre organisation. Aucun outil ou processus n’est capable d’éliminer la totalité du courrier indésirable. Microsoft Exchange Server 2010 s’appuie sur Exchange Server 2007 pour offrir une approche en plusieurs couches, sous plusieurs angles et facettes, de la réduction du courrier indésirable et des virus. Exchange 2010 inclut une série de fonctions de blocage du courrier indésirable et des virus conçues pour opérer de façon cumulative afin de réduire la quantité de courrier indésirable qui entre dans l’organisation.

Vous pouvez réduire l’incidence des attaques et propagations des virus par des logiciels malveillants, également appelés programmes malveillants, au sein de votre organisation en réduisant le volume global de courrier indésirable qui y pénètre. En éliminant le gros du courrier indésirable au niveau de l’ordinateur sur lequel le rôle serveur de transport Edge est installé, vous économisez les ressources de traitement, la bande passante et l’espace de stockage, autrement mobilisés pour l’analyse des messages visant à détecter les virus et autres programmes malveillants ultérieurement dans le flux de messagerie.

L’approche en couches de la réduction du courrier indésirable fait référence à la configuration de plusieurs fonctions de blocage du courrier indésirable et antivirus qui filtrent les messages entrants dans un ordre spécifique. Chaque fonction filtre une caractéristique ou un ensemble de caractéristiques associées spécifique du message entrant.

Les sections suivantes fournissent une brève description de chaque fonction par défaut de blocage du courrier indésirable et antivirus.

Souhaitez-vous rechercher les tâches de gestion relatives à la gestion des serveurs de transport ? Voir Gestion des serveurs de transport.

Contenu de cette rubrique

Filtres de blocage du courrier indésirable et antivirus

Marquages de courrier indésirable

Microsoft Update pour les services de blocage du courrier indésirable

Utilisation des services Exchange hébergés

Stratégie de blocage du courrier indésirable

Filtres de blocage du courrier indésirable et antivirus

Les filtres de blocage du courrier indésirable et antivirus sont appliqués dans un ordre donné. Pour plus d’informations, consultez la rubrique Présentation du flux de messagerie de blocage du courrier indésirable et antivirus. L’ordre suivant s’applique :

  1. Filtrage des connexions   Le filtrage des connexions inspecte l’adresse IP du serveur distant tentant d’envoyer des messages pour déterminer l’action éventuelle à exécuter sur un message entrant. L’adresse IP distante est disponible pour l’agent de filtrage de connexions en tant que sous-produit de la connexion TCP/IP sous-jacente requise pour la session SMTP. Le filtrage des connexions utilise une série de listes d’adresses IP bloquées, de listes d’adresses IP autorisées, ainsi que des services fournisseurs de listes d’adresses IP bloquées et autorisées pour déterminer si une connexion en provenance d’une adresse IP spécifique doit être bloquée ou autorisée dans l’organisation.

  2. Filtrage des expéditeurs   La fonctionnalité de filtrage des expéditeurs compare l’expéditeur figurant sur la commande SMTP MAIL FROM: à une liste définie par l’administrateur d’expéditeurs ou de domaines expéditeurs qui ne sont pas autorisés à envoyer des messages à l’organisation afin de déterminer l’action éventuelle à appliquer à un message entrant.

  3. Filtrage des destinataires   Le filtrage des destinataires compare les destinataires sur message dans la commande SMTP RCPT TO: SMTP à une liste rouge de destinataires définie par l’administrateur. En cas de correspondance, le message ne peut pas pénétrer dans l’organisation. Le filtre des destinataires compare également les destinataires des messages entrants au répertoire des destinataires local pour déterminer le message est adressé à des destinataires valides. Si un message n’est pas adressé à des destinataires valides, il peut être rejeté au niveau du périmètre de réseau de l’organisation.

  4. ID de l’expéditeur   L’ID de l’expéditeur utilise l’adresse IP du serveur d’envoi et la PRA (Purported Responsible Address) de l’expéditeur pour déterminer si l’identité de l’expéditeur est usurpée ou non. La PRA est calculée sur la base des en-têtes de message suivants :

    • Resent-Sender :

    • Resent-From :

    • Expéditeur :

    • De :

    Pour plus d’informations sur la PRA, consultez la rubrique Présentation de l'ID de l'expéditeur et la RFC 4407.

  5. Filtrage du contenu   Le filtrage du contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d’un message. Le filtre de messages intelligent est la technologie sous-jacente du filtrage du contenu Exchange. Le filtre de messages intelligent est basé sur une technologie brevetée d’apprentissage automatique développée par Microsoft Research. Au cours de son développement, ce filtre a appris à différencier les caractéristiques des messages électroniques légitimes de celles du courrier indésirable. Des mises à jour régulières effectuées à l’aide du service de mise à jour de la fonction de blocage du courrier indésirable de Microsoft Exchange garantissent que les informations les plus récentes sont toujours utilisées lors de l’exécution du filtre de messages intelligent. D’après les caractéristiques de millions de messages, le filtre de messages intelligent reconnaît les indicateurs de ces deux types de messages. Le filtre de messages intelligent peut évaluer précisément la probabilité qu’un message électronique entrant soit un message légitime ou du courrier indésirable.

    La mise en quarantaine du courrier indésirable est une fonctionnalité de l’Agent de filtrage du contenu qui réduit le risque de perte de messages légitimes erronément classifiés comme du courrier indésirable. La mise en quarantaine du courrier indésirable fournit un emplacement de stockage temporaire pour les messages identifiés comme courrier indésirable, qui ne doivent pas être remis à une boîte aux lettres d’utilisateur au sein de l’organisation.

    Le filtrage de contenu agit également sur la fonction d’agrégation de listes fiables. L’agrégation de listes fiables collecte les données des listes fiables de blocage du courrier indésirable que les utilisateurs de MicrosoftOutlook et d’Outlook Web App configurent et met ces données à la disposition de l’Agent de filtrage du contenu sur l’ordinateur sur lequel le rôle serveur de transport Edge est installé dans Exchange 2010.

    Quand un administrateur Exchange active et configure correctement l’agrégation de listes fiables, l’Agent de filtrage du contenu transmet les messages électroniques sûrs à la boîte aux lettres de l’entreprise sans traitement supplémentaire. Les messages électroniques que les utilisateurs d’Outlook reçoivent de contacts ou que ces utilisateurs ont ajoutés à leur liste d’expéditeurs approuvés Outlook ou ont approuvés, sont identifiés comme fiables par l’Agent de filtrage du contenu. Le résultat est que les messages identifiés comme étant sûrs ne sont pas classés comme du courrier indésirable et écartés involontairement du système de messagerie.

  6. Réputation de l’expéditeur   La réputation de l’expéditeur s’appuie sur des données conservées sur l’adresse IP du serveur expéditeur pour déterminer l’action éventuelle à appliquer à un message entrant. L’Agent d’analyse de protocole est l’agent sous-jacent qui implémente la fonctionnalité de réputation de l’expéditeur. Un niveau de réputation de l’expéditeur est calculé à partir de diverses caractéristiques de l’expéditeur dérivées de l’analyse du message et de tests externes.

    Les expéditeurs sont le SRL dépasse un seuil configurable sont bloqués temporairement. Toutes les connexions suivantes sont rejetées pendant une durée pouvant atteindre 48 heures.

    Outre la réputation d’adresse IP calculée localement, Exchange 2010 tire également parti des mises à jour de la fonction de blocage du courrier indésirable par réputation de l’adresse IP disponibles sur le site de Microsoft Update, qui fournissent des informations de réputation de l’expéditeur sur les adresses IP connues pour expédier du courrier indésirable.

  7. **Filtrage des pièces jointes   **Le filtrage des pièces jointes filtre les messages sur la base du nom de fichier de la pièce jointe, de l’extension du nom de fichier ou du type de contenu MIME du fichier. Vous pouvez configurer un filtrage des pièces jointes pour bloquer un message et ses pièces jointes, pour écarter les pièces jointes et autoriser le passage du message ou supprimer silencieusement le message et ses pièces jointes.

  8. **Microsoft Forefront Protection 2010 pour Exchange Server   **Forefront Protection 2010 pour Exchange Server est un package logiciel antivirus qui est étroitement intégré à Exchange 2010 et qui offre une protection contre les virus pour l’environnement Exchange. La protection antivirus offerte par Forefront Protection pour Exchange Server est indépendante de la langue. L’installation, l’administration du produit et les notifications à l’utilisateur final sont toutefois disponibles dans 11 langues de serveur. Pour plus d’informations, consultez la page Microsoft Forefront Protection 2010 for Exchange Server.

  9. Filtrage de courrier indésirable Outlook   Le filtre du courrier indésirable d’Outlook utilise une technologie de pointe pour déterminer si un message doit être traité comme du courrier indésirable en fonction de divers facteurs, tels que l’heure d’envoi du message, son contenu et sa structure, ainsi que les métadonnées collectées par les filtres de courrier indésirable d’Exchange Server. Les messages capturés par le filtre sont déplacés vers un dossier de courrier indésirable auquel le destinataire peut accéder ultérieurement.

Retour au début

Marquages de courrier indésirable

Les marquages de courrier indésirable vous aident à diagnostiquer les problèmes de courrier indésirable en appliquant des métadonnées de diagnostic, ou « marquages », telles que des informations spécifiques à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu’ils sont soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d’Internet. Ces marquages visibles pour le client de messagerie de l’utilisateur final codent des informations propres à l’expéditeur, la version du fichier de définition du filtre du courrier indésirable, les résultats de validation du puzzle Outlook et les résultats de filtrage du contenu.

Retour au début

Microsoft Update pour les services de blocage du courrier indésirable

Exchange 2010 offre des services supplémentaires permettant de maintenir les composants de blocage du courrier indésirable à jour en tirant parti de l’infrastructure éprouvée de mises à jour de Microsoft.

Les mises à jour du filtre du courrier indésirable de Microsoft Exchange 2010 Standard sont effectuées toutes les deux semaines à partir du site Microsoft Update.

Forefront Security pour le service de mises à jour contre le courrier indésirable d’Exchange Server est un service essentiel qui actualise le filtrage de contenu quotidiennement via Microsoft Update. En outre, ce service étendu inclut les mises à jour des signatures de courrier indésirable et du service de réputation d’IP disponibles, en fonction des besoins, jusqu’à plusieurs fois par jour. Les mises à jour des signatures de courrier indésirable identifient les campagnes de courrier indésirable les plus récentes. Les mises à jour du service de réputation d’IP fournissent des informations sur la réputation de l’expéditeur en relation avec des adresses IP connues pour expédier du courrier indésirable.

RemarqueRemarque :
Pour utiliser le service étendu, vous devez posséder la licence d’accès client (CAL) entreprise Exchange.

Retour au début

Utilisation des services Exchange hébergés

Le filtrage du courrier indésirable est amélioré par les services hébergés Microsoft Exchange ou disponible auprès de ces sites.

Exchange Hosted Services comprend quatre services hébergés distincts :

  • Filtrage hébergé, qui aide les organisations à se protéger des logiciels malveillants circulant par courrier électronique

  • Archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité

  • Chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité

  • Continuité hébergée, qui les aide à conserver l’accès à la messagerie pendant et après des situations d’urgence

Ces services s’intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d’informations sur Exchange Hosted Services, voir Services Microsoft Exchange Hosted Services.

Retour au début

Stratégie de blocage du courrier indésirable

Votre stratégie de configuration des fonctionnalités de blocage du courrier indésirable et d’établissement de l’agressivité de vos paramètres d’agent de blocage du courrier indésirable requiert une planification et un calcul soigneux. Si vous définissez tous les filtres de blocage du courrier indésirable sur les niveaux les plus agressifs et configurez toutes les fonctions de blocage du courrier indésirable afin de rejeter tous les messages suspects, il y a plus de chances que vous rejetiez également des messages qui ne sont pas du courrier indésirable. En revanche, si vous ne définissez pas les filtres de blocage du courrier indésirable sur un niveau suffisamment agressif et que vous ne définissez pas un seuil de probabilité de courrier indésirable (SCL) suffisamment bas, vous n’observerez probablement pas de réduction de la quantité de courrier indésirable entrant dans votre organisation.

Une meilleure pratique consiste à rejeter un message lorsque Exchange détecte un message suspect via l’agent de filtrage des connexions, l’agent de filtrage des destinataires ou l’agent de filtrage des expéditeurs. Cette approche est préférable à la mise en quarantaine de tels messages ou à l’affectation de métadonnées, tels des marquages de courrier indésirable, à de tels messages. L’agent de filtrage des connexions et l’agent de filtrage des destinataires bloquent automatiquement les messages identifiés par les filtres concernés. L’agent de filtrage des expéditeurs est configurable.

Cette pratique est recommandée car le seuil de probabilité de courrier indésirable (SCL) en relation avec le filtrage des connexions, le filtrage des destinataires ou le filtrage des expéditeurs, est relativement élevé. Par exemple, avec le filtrage des expéditeurs où l’administrateur a configuré des expéditeurs spécifiques à bloquer, il n’y a aucune raison d’affecter les données de filtrage des expéditeurs à de tels messages et de continuer à les traiter. Dans la plupart des organisations, les messages bloqués doivent être rejetés. (Si vous ne souhaitez pas que les messages soient rejetés, vous ne devez pas les placer dans la liste des expéditeurs bloqués.)

La même logique s’applique aux services de liste rouge en temps réel et au filtrage des destinataires, bien que la confiance sous-jacente ne soit pas aussi élevée que la liste rouge IP. Il faut savoir que plus le message avance dans le chemin du flux des messages, plus la probabilité de faux positifs est élevée du fait que les fonctions de blocage du courrier indésirable évaluent plus de variables. Par conséquent, il se peut que vous constatiez que, lors de la configuration des premières fonctions de blocage du courrier indésirable de façon plus agressive dans la chaîne de blocage du courrier indésirable, vous pouvez réduire le volume de courrier indésirable. Ainsi, vous économiserez les ressources de traitement, de la bande passante et des disques afin de traiter des messages plus ambigus.

En définitive, vous devez prévoir de surveiller l’efficacité globale des fonctions de blocage du courrier indésirable. Moyennant une surveillance étroite, vous pouvez continuer à ajuster les fonctions de blocage du courrier indésirable pour qu’elles fonctionnent bien avec votre environnement. En vertu de cette approche, il est recommandé de commencer par tabler sur une configuration plutôt non agressive des fonctions de blocage du courrier indésirable. Cette approche permet de minimiser le nombre de faux positifs. En surveillant et ajustant les fonctions de blocage du courrier indésirable, vous deviendrez peut-être plus agressif concernant les types de courrier indésirable et d’attaque auxquels votre organisation est confrontée.

Retour au début

 © 2010 Microsoft Corporation. Tous droits réservés.