Présentation du filtrage des destinataires

  • Article

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2012-11-30

L’agent de filtrage des destinataires est un agent de blocage du courrier indésirable activé sur les ordinateurs exécutant Microsoft Exchange Server 2010 et sur lesquels le rôle de serveur de transport Edge est installé. L’agent de filtrage des destinataires s’appuie sur l’en-tête SMTP RCPT TO pour déterminer l’action à effectuer (le cas échéant) sur un message électronique entrant.

Lorsque vous configurez des agents de blocage du courrier indésirable sur un serveur de transport Edge, les agents agissent de façon cumulative sur les messages pour réduire le nombre de messages non sollicités entrant dans l'organisation. Pour plus d'informations sur la planification et le déploiement des agents de blocage du courrier indésirable, consultez la rubrique Présentation de la fonction de blocage du courrier indésirable et des virus.

L’agent de filtrage des destinataires bloque les messages en fonction des caractéristiques du destinataire concerné au sein de l’organisation. L’agent de filtrage des destinataires peut vous aider à empêcher l’acceptation des messages dans les scénarios suivants :

  • Destinataires inexistants   Vous pouvez empêcher la remise à des destinataires qui ne figurent pas dans le carnet d’adresses de l’organisation. Par exemple, vous pouvez arrêter la remise à des noms de comptes souvent mal utilisés, tels que administrateur@contoso.com ou support@contoso.com.

  • Listes de distribution restreintes   Vous pouvez empêcher la remise de messages provenant d’Internet à des listes de distribution réservées aux utilisateurs internes.

  • Boîtes aux lettres qui ne doivent jamais recevoir de messages en provenance d’Internet   Vous pouvez empêcher la remise de messages provenant d’Internet à une boîte aux lettres spécifique ou un alias généralement utilisé au sein de l’organisation, tel que « Helpdesk ».

L’agent de filtrage des destinataires agit sur les destinataires figurant dans l’une des sources de données suivantes :

  • Liste rouge des destinataires   Liste définie par l’administrateur pour laquelle les messages entrants en provenant d’Internet ne doivent jamais être acceptés.

  • Recherche de destinataire   Vérification de la présence du destinataire dans l’organisation. La recherche de destinataire requiert l’accès aux informations de Active Directory fournies par EdgeSync à AD LDS (Active Directory Lightweight Directory Services).

Pour plus d’informations sur les listes rouges des destinataires et la fonctionnalité de recherche de destinataire, consultez la rubrique « Sources de données de destinataires » ci-après dans cette rubrique.

Lorsque vous activez l’agent de filtrage des destinataires, l’une des actions suivantes est appliquée aux messages entrants en fonction des caractéristiques des destinataires. Ces destinataires sont indiqués par l’en-tête RCPT TO.

  • Si un message entrant contient un destinataire figurant sur la liste rouge des destinataires, le serveur de transport Edge envoie une erreur de session SMTP « 550 5.1.1 User unknown » au serveur émetteur.

  • Si un message entrant contient un destinataire ne correspondant à aucun destinataire de la recherche de destinataire, le serveur de transport Edge envoie une erreur de session SMTP « 550 5.1.1 User unknown » au serveur émetteur.

  • Si le destinataire ne figure pas dans la liste rouge des destinataires mais bien dans la recherche de destinataire, le serveur de transport Edge envoie une réponse SMPT « 250 2.1.5 Recipient OK » au serveur émetteur et l’agent de blocage du courrier indésirable suivant dans la chaîne traite le message.

Souhaitez-vous rechercher d'autres tâches de gestion relatives à la fonctionnalité de blocage du courrier indésirable et antivirus ? Voir Gestion des fonctionnalités anti-courrier indésirable et antivirus.

Contenu de cette rubrique

Configuration d’AD LDS pour la recherche de destinataire

Sources de données de destinataires

Fonctionnalité de répulsion

Configuration de l’intervalle de répulsion

Espaces de noms multiples

Configuration d’AD LDS pour la recherche de destinataire

L’une des manières les plus efficaces de réduire le courrier indésirable consiste à valider des destinataires avant d’accepter les messages entrants en provenance d’Internet. C’est pourquoi il est conseillé de configurer l’instance AD LDS qui s’exécute sur le serveur de transport Edge pour qu’elle soit synchronisée avec Active Directory. Par défaut, AD LDS est installé et configuré sur le serveur de transport Edge. Toutefois, vous devez configurer AD LDS pour communiquer avec un serveur de catalogue global associé au domaine Active Directory. Le plus souvent, vous devez également configurer votre pare-feu pour activer des ports spécifiques afin de communiquer avec AD LDS. Pour plus d’informations, consultez la rubrique Présentation des abonnements Edge.

Après avoir configuré AD LDS pour répliquer une liste rouge des destinataires à partir d’Active Directory, vous devez activer le blocage des messages adressés aux destinataires ne figurant dans l’organisation Exchange. Vous pouvez activer le blocage des messages sous l’onglet Destinataires proscrits de la page Propriétés de filtrage des destinataires de la console de gestion Exchange (EMC). Vous pouvez également activer le blocage des messages à l’aide de la cmdlet Set-RecipientFilterConfig de l’environnement de ligne de commande Exchange Management Shell. Pour plus d’informations, consultez la rubrique Set-RecipientFilterConfig.

Configuration d’AD LDS pour la recherche de destinataire

Sources de données de destinataires

Comme mentionné ci-avant, l’agent de filtrage des destinataires fait référence à deux sources de données quand il compare les destinataires sur les messages entrants : la liste rouge des destinataires et la recherche de destinataire.

Liste rouge des destinataires

La liste rouge de destinataires est gérée par les administrateurs du serveur de transport Edge. Les données de la liste rouge de destinataires sont stockées dans l’instance de serveur de transport Edge d’AD LDS. Vous devez entrer les destinataires bloqués sur chaque ordinateur serveur de transport Edge.

Vous pouvez saisir les noms des destinataires que l’agent de filtrage des destinataires doit bloquer dans la console de gestion Exchange, sous l’onglet Destinataires proscrits de la page Propriétés de filtrage des destinataires. Vous pouvez utiliser la cmdlet Set-RecipientFilterConfig de l’environnement de ligne de commande pour saisir des destinataires. Pour plus d’informations sur la configuration de l’agent de filtrage des destinataires, consultez la rubrique Configurer les propriétés du filtrage des destinataires.

Recherche de destinataire

Un avantage de l’agent de filtrage des destinataires est sa capacité de vérifier que les destinataires d’un message entrant sont présents dans l’organisation avant qu’Exchange 2010 transmette le message. La capacité de vérifier des destinataires au sein de votre organisation dépend d’une source de données de destinataires à la disposition du serveur de transport Edge. Comme le serveur de transport Edge n’est pas un ordinateur associé au domaine Active Directory et peut être séparé de l’organisation par un pare-feu, vous devez configurer une source de données de recherche de destinataire à l’usage du serveur de transport Edge.

Le rôle de serveur de transport Edge utilise AD LDS pour la configuration et le stockage des données. Pour plus d’informations, consultez la rubrique Présentation des abonnements Edge.

Configuration d’AD LDS pour la recherche de destinataire

Fonctionnalité de répulsion

La fonctionnalité de recherche de destinataire permet au serveur émetteur de déterminer la validité d’une adresse électronique. Comme mentionné ci-avant, lorsque le destinataire d’un message entrant est un destinataire connu, le serveur de transport Edge renvoie une réponse SMTP « 250 2.1.5 Recipient OK » au serveur émetteur. Cette fonctionnalité fournit un environnement idéal pour une attaque visant à recueillir des informations d’annuaire.

Une attaque visant à recueillir des informations d’annuaire est une tentative de collecter des adresses électroniques valides d’une organisation particulière dans le but de pouvoir les ajouter à une base de données de courrier indésirable. Dans la mesure où les revenus du courrier indésirable sont générés par l’ouverture de messages électroniques par les destinataires, des adresses connues pour être actives sont des informations pour lesquelles des individus mal intentionnés, ou expéditeurs de courrier indésirable, sont prêts à payer. Comme le protocole SMTP fournit un feed-back sur les expéditeurs connues et les expéditeurs inconnus, un expéditeur de courrier indésirable peut écrire un programme automatisé qui utilise des noms communs ou des termes d’un dictionnaire pour générer des adresses de messagerie pour un domaine spécifique. Le programme collecte toutes les adresses de messagerie qui retournent une réponse SMTP « 250 2.1.5 Recipient OK » et écarte toutes celles qui renvoient une erreur de session « 550 5.1.1 User unknown ». L’expéditeur de courrier indésirable peut ensuite vendre les adresses valides ou les utiliser comme destinataires de messages non sollicités.

Pour lutter contre les attaques visant à recueillir des informations d’annuaire, Exchange 2010 inclut une fonctionnalité de répulsion. La répulsion est la pratique consistant à retarder artificiellement les réponses du serveur pour des profils de communication SMTP spécifiques qui indiquent des volumes importants de courrier indésirable ou d’autres messages malvenus. Le but de la répulsion est de ralentir le processus de communication pour un tel trafic de messages de façon à ce que le coût d’expédition du courrier indésirable augmente pour la personne ou l’organisation émettrice. La répulsion rend une automatisation efficace des attaques visant à recueillir des informations d’annuaire trop coûteuse.

Si aucune répulsion n’est configurée, Exchange Server retourne immédiatement une erreur de session SMTP « 550 5.1.1 User unknown » à l’expéditeur quand un destinataire ne figure pas dans la recherche de destinataire. Autrement, si la répulsion est configurée, le protocole SMTP attend un nombre spécifié de secondes avant de renvoyer l’erreur « 550 5.1.1 User unknown ». Cette pause dans la session SMTP rend l’automatisation d’une attaque visant à recueillir des informations d’annuaire plus compliquée et moins rentable pour l’expéditeur de courrier indésirable. Par défaut, la répulsion est configurée pour 5 secondes sur les connecteurs de réception.

Pour configurer le temps qui doit s’écouler avant que SMTP renvoie l’erreur « 550 5.1.1 User unknown », utilisez la console de gestion Exchange ou l’environnement de ligne de commande pour définir la valeur TarpitInterval sur le connecteur de réception. Pour plus d’informations sur l’administration et la configuration de connecteurs de réception, consultez la rubrique Présentation des connecteurs de réception.

Configuration d’AD LDS pour la recherche de destinataire

Configuration de l’intervalle de répulsion

Comme expliqué dans Présentation du filtrage des destinataires, vous pouvez configurer les connecteurs de réception qui filtrent les messages entrants en provenance d’Internet pour ralentir la réponse SMTP. Veillez à activer la fonctionnalité de répulsion sur les connecteurs de réception, en particulier si vous avez activé la fonction de recherche de destinataire du filtrage des destinataires. Si vous n’activez pas la fonctionnalité de répulsion et avez activé la fonction de recherche de destinataire, vous exposez votre organisation à une attaque visant à recueillir des informations d’annuaire. Une telle attaque risque d’augmenter la quantité de courrier indésirable.

Lorsque vous spécifiez un intervalle de temps de répulsion sur un connecteur de réception, la répulsion est activée. La valeur par défaut est 5 secondes. Il est recommandé de commencer par une valeur égale à 5 (secondes). Modifiez cette valeur avec prudence. Un intervalle trop long pourrait interrompre le flux de messages normal, tandis qu’un intervalle trop court peut être insuffisant pour contrarier une attaque visant à recueillir des informations d’annuaire. Si vous modifiez la valeur d’intervalle de répulsion, faites-le par petits incréments.

Si vous exécutez une version d’Exchange Server antérieure à MicrosoftExchange Server 2010 Service Pack 2 (SP2), vous pouvez définir l’intervalle de répulsion sur l’onglet Sécurité des pages de propriétés du connecteur de réception dans la console de gestion Exchange ou vous pouvez utiliser la cmdletSet-ReceiveConnector dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell. Pour plus d’informations sur la procédure de configuration de l’intervalle de répulsion via la console de gestion Exchange, consultez la rubrique Configurer les propriétés du connecteur de réception.

Si vous exécutez Exchange Server 2010 SP2 ou une version ultérieure, vous pouvez définir l’intervalle de répulsion à l’aide de la cmdlet Set-ReceiveConnector dans l’environnement de ligne de commande Environnement de ligne de commande Exchange Management Shell.

Configuration d’AD LDS pour la recherche de destinataire

Espaces de noms multiples

Certaines organisations acceptent des messages électroniques pour plusieurs domaines. Par exemple, une organisation peut accepter des messages pour les domaines Contoso.com et Woodgrovebank.com. Parfois, des organisations font autorité pour tous les domaines pour lesquels elles acceptent des messages. Dans le contexte du protocole SMTP, l’organisation fait autorité pour un domaine si elle héberge et gère les boîtes aux lettres pour ce domaine. Cette relation s’étend au serveur de transport Edge. Un serveur de transport Edge peut accepter des messages pour plusieurs domaines, mais il se peut qu’il ne fasse pas autorité pour tous les domaines. Par exemple, il est possible de configurer un serveur de transport Edge pour qu’il fasse autorité pour tous les destinataires dans le domaine Contoso.com, sans qu’il cesse pour autant d’accepter et de transférer les messages pour le domaine Woodgrovebank.com.

Lorsque vous activez l’agent de filtrage des destinataires, celui-ci n’effectue de recherches de destinataires que pour les domaines spécifiés comme faisant autorité dans la configuration du serveur de transport. Si un serveur de transport Edge accepte et transfère des messages au nom d’un autre domaine alors qu’il n’est pas configuré comme faisant autorité, l’agent de filtrage des destinataires n’effectue pas de recherche de destinataire. Cependant, si un destinataire ne faisant pas autorité est spécifié dans la liste rouge des destinataires, le destinataire reste bloqué.

Configuration d’AD LDS pour la recherche de destinataire

 © 2010 Microsoft Corporation. Tous droits réservés.