Configurer les options supplémentaires du filtrage anti-spam

  • Article

 

Concerne : Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2012-08-02

Les options supplémentaires de filtrage anti-spam de Forefront Online Protection for Exchange (FOPE) offrent à l'administrateur réseau la possibilité de sélectionner divers attributs de contenu pour un message afin d'augmenter le taux de mise en quarantaine (potentiel de mise en quarantaine d'un message identifié comme indésirable) ou de mettre en quarantaine des messages contenant des attributs spécifiques. Les règles ASF concernent des propriétés de message spécifiques telles que les balises HTML et la redirection d'adresse Web, que l'on trouve communément dans les messages de courrier indésirable. Vous trouverez ci-dessous la liste complète d'options ASF.

L'activation de ces options est considérée comme une approche agressive de filtrage anti-spam, et les messages filtrés par ces options ne peuvent pas être signalés comme faux positifs. Ces messages peuvent être récupérés à l'aide des messages de mise en quarantaine du courrier indésirable et de notification de courrier indésirable périodiques. Les administrateurs peuvent créer des règles de stratégie d'autorisation qui permettent aux messages de contourner le filtrage du courrier indésirable, y compris ces options ASF. Si un domaine utilise une option d'action de courrier indésirable, la définition de filtre ASF s'affiche dans la section d'en-tête Internet d'un message qui a été signalé comme étant indésirable.

Configurer les options de filtrage anti-spam pour votre domaine

  1. Sous l'onglet Administration, cliquez sur l'onglet Domaines.

  2. Dans la liste Domaines, cliquez sur le nom du domaine à modifier. Pour rechercher un nom de domaine spécifique, utilisez la zone de recherche.

  3. Dans la section Paramètres du service du volet central, en regard de Options supplémentaires de filtrage anti-spam, cliquez sur Modifier.

  4. Pour chaque option de recherche, effectuez l'une des opérations suivantes :

    • Activez ou désactivez l'option. Lorsque vous activez une option, les messages sont filtrés activement selon la règle associée à cette option. Les messages seront marqués comme courrier indésirable ou le taux de filtrage de courrier indésirable sera augmenté, selon les options ASF activées.

    • Cliquez sur Test pour exécuter l'option en mode Test. Les options qui activent des filtres en mode Test n'effectuent aucune action sur les messages qui satisfont les critères de filtre. Les messages tests sont balisés à l'aide d'un en-tête X ou d'une insertion de ligne Objet, puis sont remis au destinataire désigné. Ils ne sont pas filtrés par des règles de filtre de courrier indésirable.

  5. Cliquez sur Enregistrer.

Certaines options ASF augmentent le taux de filtrage d'un message. D'autres marques le message comme courrier indésirable et le mettent en quarantaine. Pour obtenir une description de chaque option ASF, consultez le tableau Options supplémentaires de filtrage anti-spam (ASF) ci-dessous. Pour d’autres informations et recommandations portant sur l’utilisation des options de filtrage anti-spam, consultez également la rubrique « Options supplémentaires de filtrage de courrier indésirable » dans Meilleures pratiques concernant la configuration de FOPE.

Options supplémentaires de filtrage anti-spam (ASF)

Option ASF Description ID (comme affiché en mode Test, Quarantaine, et ainsi de suite)

Section Augmenter le taux de mise en quarantaine

Liens d'image vers des sites distants

Cette option indique que tout message contenant des liens d'image vers des sites distants déclenche un code qui provoque le chargement d'un graphique à partir d'un site Web distant par un message HTML. Les balises d'image permettent de légitimer des bulletins d'informations. Toutefois, un expéditeur de courrier indésirable peut aussi utiliser une image pour afficher du texte ou des graphiques à des fins publicitaires. C'est pourquoi, cette option augmente le taux de filtrage et la probabilité qu'un message soit signalé comme courrier indésirable.

0

IP numérique dans l'URL

Les messages avec des URL numériques (le plus souvent sous la forme d'adresse IP) auront un taux de filtrage plus élevé.

10

Redirection de l'URL vers un autre port

Un taux de mise en quarantaine plus élevé sera appliqué aux messages contenant un lien hypertexte redirigeant l’utilisateur vers des ports autres que le port 80 (port normal du protocole HTTP), le port 8080 (autre port HTTP) ou le port 443 (port HTTPS).

11

URL vers les sites Web .biz ou .info

Les messages contenant une extension .biz ou .info dans le corps auront un taux de filtrage anti-spam plus élevé.

12

Section Marquer comme courrier indésirable

Messages vides

Les messages dans lesquels le corps et la ligne Objet sont vides et qui n'ont pas de mise en forme du corps du message ni de pièce jointe, seront marqués comme courrier indésirable.

1

JavaScript ou VBScript dans le code HTML

Les messages utilisant JavaScript ou Visual Basic Script Edition dans le code HTML seront marqués comme courrier indésirable. Ces deux langages de script sont utilisés dans un message HTML pour déclencher automatiquement une action spécifique. Le navigateur analyse et traite le script avec le reste du document. La présence de l'une ou l'autre de ces balises indique du contenu dynamique et la possibilité d'une intention malveillante.

2

Balises Frame ou IFrame dans le code HTML

Les messages utilisant la balise HTML <Frame> ou <IFrame> seront marqués comme courrier indésirable. Ces balises sont utilisées sur les sites Web ou dans des messages HTML pour mettre en forme la page et afficher du texte ou des graphiques.

3

Balises Object dans le code HTML

Les messages contenant la balise HTML <Object> seront marqués comme courrier indésirable. Cette balise HTML permet l'exécution de plug-in ou d'applications dans une fenêtre HTML.

4

Des balises incorporées apparaissent dans le code HTML

Les messages contenant la balise HTML <Embed> seront marqués comme courrier indésirable. Cette balise HTML permet à différents types de documents de différents types de données d'être incorporés dans un document HTML. Notamment, sons, films ou photographies.

5

Des balises Form apparaissent dans le code HTML

Les messages contenant la balise HTML <Form> seront marqués comme courrier indésirable. Cette balise HTML est utilisée pour créer des formulaires de site Web. Les publicités électroniques contiennent souvent cette balise, afin de solliciter des informations auprès du destinataire.

6

Bogues Web dans le code HTML

Les messages contenant un bogue Web seront marqués comme courrier indésirable. Un bogue Web est un graphique destiné à déterminer si une page Web ou un message électronique a été lu. Les bogues Web sont souvent invisibles au destinataire car ils sont généralement ajoutés à un message en tant que graphique d'un pixel par un pixel.

Les bulletins d'informations légitimes peuvent aussi utiliser cette technique, même si elle est considérée par beaucoup comme une violation de la vie privée.

7

Appliquer une liste de mots sensibles

Les messages contenant un mot de la liste de mots sensibles seront marqués comme courrier indésirable. L'utilisation de la liste de mots sensibles permet de bloquer facilement les mots associés à des messages potentiellement offensifs. Certains de ces mots respectent la casse.

En tant qu'administrateur, vous n'êtes pas autorisé à modifier cette liste. Le filtrage par rapport à la liste de mots sensible est appliqué à l'objet et au corps d'un message.

8, 9

Échec sévère d'enregistrement SPF

Les messages pour lesquels la vérification d'enregistrement SPF échoue seront marqués comme courrier indésirable. Le filtre vérifie si le domaine de l'expéditeur de l'enveloppe d'un message entrant publie un enregistrement SPF (enregistrement TXT v=spf1). Si le domaine de l'expéditeur de l'enveloppe ne publie pas d'enregistrement SPF, ce filtre n'a aucune incidence sur le filtrage du courrier. Si le domaine de l'expéditeur de l'enveloppe publie un enregistrement SPF, le filtre effectuera un contrôle SPF pour vérifier que l'adresse IP de connexion est une adresse IP d'expéditeur approuvé pour ce domaine. Si l'adresse IP de connexion n'est pas celle d'un expéditeur approuvé pour le domaine, le courrier est marqué comme courrier indésirable.

RemarqueRemarque :
Afin d'éviter les faux positifs (messages électroniques légitimes incorrectement identifiés comme indésirables) dans le courrier de votre société, assurez-vous que l'enregistrement SPF est configuré correctement pour vos domaines. Consultez la rubrique « Paramètres d'enregistrement SPF » pour le filtrage du courrier sortant dans Meilleures pratiques concernant la configuration de FOPE pour savoir comment configurer votre enregistrement SPF.

13

De : Authentification à partir de l'adresse : erreur sévère

Les messages pour lesquels le processus d'authentification SPF effectué par l'adresse échoue seront marqués comme courrier indésirable. La méthode d'authentification à partir de l'adresse permet d'authentifier l'expéditeur du message. Spécifiquement, cette option utilise un contrôle SPF pour la protection contre les en-têtes de message contenant des expéditeurs falsifiés.

Une vérification SPF régulière permet d'authentifier le message en contrôlant que l'expéditeur de l'enveloppe correspond à l'adresse IP utilisée pour l'envoi du message. L'adresse IP émettrice est recherchée dans l'enregistrement SPF de l'expéditeur. Cependant, il arrive couramment que l'expéditeur de l'enveloppe ne soit pas l'expéditeur qui est affiché chez le destinataire puisque ce dernier voit les en-têtes « message De : » et « message À: » dans le client de messagerie.

L'authentification à partir de l'adresse est compatible avec les contrôles SPF. Si un contrôle SPF standard renvoie la valeur SPF None, Neutral, TempError ou PermError, un contrôle SPF supplémentaire est effectué sur le domaine dans le champ Expéditeur des en-têtes de message, si ce champ existe. S'il n'existe pas, le contrôle SPF est effectué sur le domaine dans le champ De des en-têtes de message (le domaine qui apparaît dans le client de messagerie de l'utilisateur final).

L'authentification à partir de l'adresse permet d'identifier et d'empêcher un événement dans lequel un expéditeur de courrier indésirable usurpe à la fois l'expéditeur de l'enveloppe (envoi à partir d'un domaine sans enregistrement SPF) et le domaine visible par l'utilisateur final dans le client de messagerie. Un contrôle SPF standard ne capture pas cet exemple car il ne s'authentifie pas sur les domaines dans le champ De ; par conséquent, l'authentification à partir de l'adresse le capture. Si une défaillance grave se produit, le message est marqué comme indésirable ; sinon, des points anti-spam sont ajoutés.

L'authentification à partir de l'adresse est ignorée si le résultat du contrôle SPF est Pass, Hard Fail ou Soft Fail.

RemarqueRemarque :
Il est possible pour l'authentification à partir de l'adresse de créer des faux positifs (messages électroniques légitimes incorrectement identifiés comme indésirables), car il n'est pas interdit dans le protocole SMTP d'envoyer du courrier en modifiant l'organisation qui a envoyé le message dans les champs De ou Expéditeur. Pour éviter que des messages de votre société soient marqués comme courrier indésirable, il est important de vous assurer que l'enregistrement SPF est configuré correctement pour vos domaines.
Consultez la rubrique « Paramètres d’enregistrement SPF » pour le filtrage du courrier sortant dans Meilleures pratiques concernant la configuration de FOPE pour savoir comment configurer votre enregistrement SPF.

14

Rétrodiffusion des rapports de non-remise

Cette option marque comme courrier indésirable tous les messages correspondant aux caractéristiques des rapports de non-remise. Les clients qui filtrent le trafic sortant n'ont pas besoin d'activer cette option, car les rapports de non-remise légitimes sont automatiquement détectés comme tels et remis à l'expéditeur d'origine. Parallèlement, tous les rapports de non-remise illégitimes, connus sous le nom de rétrodiffusion, sont marqués comme courrier indésirable.

Cette option marque tous les rapports de non-remise comme courrier indésirable, que le client filtre ou non le trafic sortant et que le rapport de non-remise soit légitime ou non.

15