Agrégation de listes fiables

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2008-01-22

Dans Microsoft Exchange Server 2007, l'expression agrégation de listes fiables fait référence à un ensemble de fonctions de blocage du courrier indésirable partagées entre Microsoft Office Outlook et Exchange. Ces fonctions collectent des données des listes des destinataires approuvés ou des listes des expéditeurs approuvés de blocage du courrier indésirable et des données de contacts que les utilisateurs d'Outlook configurent, et met ces données à la disposition des agents de blocage du courrier indésirable sur l'ordinateur sur lequel le rôle serveur de transport Edge est installé. L'agrégation de listes fiables permet de réduire les instances de faux positifs dans le filtrage du courrier indésirable exécuté par le serveur de transport Edge.

Quand un administrateur Exchange active et configure correctement l'agrégation de listes fiables, l'agent de filtrage du contenu transmet les messages électroniques sûrs à la boîte aux lettres de l'entreprise sans traitement supplémentaire. Les messages électroniques que les utilisateurs Outlook reçoivent de contacts que ces utilisateurs ont ajoutés à leur liste des destinataires approuvés ou expéditeurs approuvés Outlook ou qui sont identifiés par l'agent de filtrage du contenu comme fiables. Un contact Outlook est une personne, à l'intérieur ou l'extérieur de l'organisation de l'utilisateur, sur laquelle l'utilisateur peut enregistrer divers types d'informations telles que des adresses de messagerie et postales, des numéros de téléphone et de fax, et des adresses URL de pages Web.

L'agrégation de listes fiables permet de réduire les instances de faux positifs dans le filtrage du courrier indésirable exécuté par le serveur de transport Edge. Un faux positif est un résultat positif de test ou de filtre appliqué à l'objet ou au corps de données, ne disposant pas l'attribut pour lequel le filtre ou le test est utilisé. Dans le cadre du filtrage du courrier indésirable, un faux positif survient quand un filtre du courrier indésirable identifie erronément un message provenant d'un expéditeur légitime comme courrier indésirable.

Pour les organisations qui filtrent quotidiennement des centaines de milliers de messages en provenance d'Internet, même un faible pourcentage de faux positifs signifie que les utilisateurs ne reçoivent pas de nombreux messages identifiés erronément comme courrier indésirable et, par conséquent, mis en quarantaine ou supprimés.

L'agrégation de listes fiables est probablement la manière la plus efficace de réduire le nombre de faux positifs. Outlook 2003 et la prochaine version d'Outlook, incluse dans Office 2007, permet aux utilisateurs de créer des listes des expéditeurs approuvés. Les listes des expéditeurs approuvés spécifient une liste de noms de domaine et d'adresses de messagerie dont l'utilisateur Outlook veut recevoir des messages. Par défaut, les adresses de messagerie dans les contacts Outlook et dans la liste d'adresses globale d'Exchange Server sont considérés comme sûrs par le filtre du courrier indésirable. Toutefois, les contacts ne sont réellement ajoutés à cette liste que si vous leur envoyez des messages tandis que la case à cocher Ajouter automatiquement les personnes auxquelles j'envoie un courrier électronique à la liste des expéditeurs approuvés est activée. Par défaut, Outlook ajoute les contacts externes auxquels l'utilisateur envoie du courrier à la liste des expéditeurs approuvés.

Informations stockées dans la collection de listes fiables d'un utilisateur Outlook

Une collection de listes fiables correspond aux données combinées provenant de la liste des expéditeurs approuvés, de la liste des destinataires approuvés, de la liste des expéditeurs proscrits et des contacts externes de l'utilisateur. Ces données sont stockées dans Outlook et dans la boîte aux lettres Exchange.

Les types d'informations suivants sont stockés dans une collection de listes fiables de l'utilisateur Outlook :

• Expéditeurs approuvés et destinataires approuvés   L'en-tête de message De : indique un expéditeur. Le champ À : du message électronique indique un destinataire. Les expéditeurs et les destinataires approuvés sont représentés par des adresses SMTP (Simple Mail Transfer Protocol) complètes, telles que masato@contoso.com. Les utilisateurs Outlook peuvent ajouter des expéditeurs et des destinataires à leurs listes fiables.

• Domaine fiable   Le domaine correspond à la partie d'une adresse SMTP qui suit le symbole @. Par exemple, contoso.com est le domaine dans l'adresse masato@contoso.com. Les utilisateurs Outlook peuvent ajouter des domaines d'envoi à leurs listes fiables.

  Important

  Microsoft Exchange Server 2007 Service Pack 1 (SP1) offre des fonctionnalités qui permettent de spécifier l'ajout ou non des données de domaine fiable aux agents de blocage du courrier indésirable sur le serveur de transport Edge à l'aide de la cmdlet Update-SafeList. Dans la plupart des cas, il n'est pas recommandé d'inclure des domaines car les utilisateurs risquent d'inclure des domaines de fournisseurs de services Internet (ISP) de premier plan, qui pourraient involontairement fournir des adresses susceptibles d'être utilisées ou falsifiées par des expéditeurs de courrier indésirable.

• Contacts externes   Deux types de contacts externes peuvent être intégrés dans l'agrégation de listes fiables. Le premier type de contacts externes inclut les contacts auxquels les utilisateurs Outlook ont envoyé du courrier. Cette classe de contact est ajoutée à la liste des expéditeurs approuvés uniquement si l'utilisateur Outlook sélectionne l'option correspondante dans les paramètres de courrier indésirable d'Outlook 2003 ou Exchange 2007.

  Le deuxième type de contacts externes inclut les contacts Outlook des utilisateurs. Les utilisateurs peuvent ajouter ou importer ces contacts dans Outlook. Cette classe de contact est ajoutée à la liste des expéditeurs approuvés uniquement si l'utilisateur Outlook sélectionne l'option correspondante dans les paramètres de courrier indésirable d'Outlook 2003 ou Outlook 2007.

Utilisation de la collection de listes fiables par Exchange

La collection de listes fiables est stockée sur le serveur de boîtes aux lettres de l'utilisateur. Dans la version de publication (RTM) de Microsoft Exchange Server 2007, un utilisateur peut avoir jusqu'à 1 024 entrées uniques dans une collection de listes fiables. Dans Microsoft Exchange Server 2007 Service Pack 1 (SP1), la limite est de 3 072 entrées uniques.

Dans les versions antérieures d'Exchange Server, le serveur de boîtes aux lettres de l'utilisateur accédait à la collection de listes fiables lors du filtrage du courrier indésirable pour autoriser le courrier provenant d'expéditeurs figurant sur la liste des expéditeurs approuvés.

Dans Exchange 2007, la collection de listes fiables est stockée sur la boîte aux lettres de l'utilisateur, mais vous pouvez également l'insérer dans le service d'annuaire Active Directory, où la collection de listes fiables est stockée sur chaque objet utilisateur. Lorsque la collection de listes fiables est stockée sur l'objet utilisateur dans Active Directory, elle est agrégée avec la fonction de blocage du courrier indésirable d'Exchange 2007 et optimisée pour un stockage et une réplication réduits afin que le serveur de transport Edge puisse traiter l'agrégation de listes fiables. L'agent de filtrage du contenu sur le serveur de transport Edge peut accéder à la collection de listes fiables pour chaque destinataire. Le service EdgeSync Microsoft Exchange réplique la collection de listes fiables dans l'instance Active Directory Application Mode (ADAM) sur le serveur de transport Edge.

Important :

Bien que les données des destinataires approuvés soient stockées dans Outlook et puissent être regroupées en une collection de listes fiables sur l'instance ADAM sur le serveur de transport Edge, la fonctionnalité de filtrage du contenu n'agit pas sur les données des destinataires approuvés. Puisque le filtrage de contenu n'utilise pas les données des destinataires approuvés, il est recommandé de ne pas configurer la cmdlet Update-Safelist pour mettre à jour les données des destinataires approuvés. Pour plus d'informations, consultez les rubriques Procédure de configuration d'agrégation de listes fiables et Update-SafeList.

Hachage des entrées de collection de listes fiables

Il faut savoir que les entrées de collection de listes fiables sont hachées (SHAH-256) dans un sens avant d'être stockées en tant que jeux de tableaux via deux attributs d'objets utilisateur, msExchangeSafeSenderHash et msExchangeSafeRecipientHash, comme un objet binaire volumineux. Lorsque des données sont hachées, une sortie de longueur fixe est produite ; il est également probable que la sortie soit unique. Pour le hachage des entrées d'une collection de listes fiables, un hachage de 4 octets est produit. En cas de réception d'un message en provenance d'Internet, Exchange Server hache l'adresse de l'expéditeur et la compare aux hachages stockés pour le compte de l'utilisateur Outlook auquel le message a été adressé. Si un hachage entrant correspond, le message n'est pas soumis au filtrage de contenu.

Le hachage à sens unique des entrées d'une collection de listes fiables exécute les fonctions importantes suivantes :

• Il minimise l'espace de stockage et de réplication   Généralement, le hachage réduit la taille des données hachées. Par conséquent, enregistrer et transmettre une version hachée d'une entrée de collection de listes fiables préserve l'espace de stockage et le temps de réplication. Par exemple, un utilisateur dont la collection de listes fiables comporte 200 entrées créerait environ 800 octets de données hachées stockées et répliquées dans Active Directory.

• Il rend inutilisable les collections de listes fiables par des utilisateurs malveillants   Comme il est impossible de récupérer des adresses ou domaines SMTP par rétroconception à partir des valeurs de hachage à sens unique, les collections de listes fiables ne produisent pas d'adresses de messagerie utilisables par des utilisateurs malveillants, qui pourraient compromettre un serveur de transport Edge.

Activation de l'agrégation de listes fiables

Vous pouvez activer l'agrégation de listes fiables en exécutant la cmdlet Update-SafeList de l'environnement de ligne de commande Exchange Management Shell sur la boîte aux lettres d'un utilisateur. La cmdlet Update-SafeList lit la collection de listes fiables à partir de la boîte aux lettres de l'utilisateur, hache chaque entrée, trie les entrées pour faciliter la recherche, puis convertit le hachage en attribut binaire. Enfin, la cmdlet Update-SafeList compare l'attribut binaire créé aux valeurs stockées sur l'attribut. Si les deux valeurs sont identiques, la cmdlet Update-SafeList ne met pas à jour la valeur d'attribut de l'utilisateur avec les données d'agrégation de listes fiables. Si les deux valeurs d'attributs sont différentes, la cmdlet Update-SafeList met à jour la valeur d'agrégation de listes fiables. Cette logique, dans laquelle les valeurs binaires sont comparées avant les mises à jour, vise à réduire sensiblement les ressources utilisées pour la réplication Active Directory. Des mises à jour périodiques garantissent que l’agrégation de listes fiables la plus récente se trouve dans Active Directory. Pour plus d'informations sur la procédure de configuration de la cmdlet Update-Safelist pour l’exécution de mises à jour périodiques, consultez la rubrique Procédure de configuration d'agrégation de listes fiables.

Pour rendre les données d'agrégation de listes fiables d’Active Directory accessibles aux serveurs de transport Edge dans le réseau de périmètre, vous devez installer et configurer le service EdgeSync Microsoft Exchange afin que les données d'agrégation de listes fiables soient répliquées dans ADAM.

Pour plus d'informations

Pour plus d'informations, consultez les rubriques suivantes :

• Procédure de configuration d'agrégation de listes fiables

• Utilisation d'un abonnement Edge pour peupler l'instance ADAM avec des données Active Directory