Présentation de la protection contre le courrier indésirable
Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange
Dernière modification de la rubrique : 2012-02-29
Cette rubrique fournit un aperçu des fonctionnalités anti-spam disponibles dans Microsoft® Forefront® Online Protection for Exchange (FOPE).
Stockage et gestion du courrier indésirable
FOPE inclut quatre options de gestion et de stockage du courrier indésirable. Les paramètres de ces options sont gérés au niveau du domaine.
Configuration de la mise en quarantaine du courrier indésirable : La mise en quarantaine du courrier indésirable est l'option la plus couramment utilisée pour le stockage du courrier indésirable, car elle évite aux serveurs de messagerie d'entreprise d'avoir à traiter et stocker ce type de courrier. En outre, cette option évite aux utilisateurs d'avoir à trier les messages indésirables, ce qui améliore au final leur productivité. Avec cette option, un message identifié comme indésirable est redirigé vers la boîte aux lettres Web du courrier indésirable des utilisateurs qui est hébergée par le service FOPE. Les messages indésirables sont automatiquement supprimés au bout de 15 jours.
Configurer le X-Header dans FOPE : Cette option remet normalement le courrier électronique, mais insère un en-tête X spécial dans l'en-tête du message. Vous pouvez ajouter des commentaires X-Header personnalisés aux messages qui ont été identifiés comme étant indésirables par le service FOPE. Le X-Header est ensuite ajouté à l'en-tête Internet de tous les messages indésirables suivants. Cette option permet de dénombrer de manière légitime les messages électroniques filtrés en tant que courrier indésirable. Le cas échéant, vous pouvez également créer des règles de serveur de messagerie ou des règles côté client pour filtrer les messages électroniques comportant des en-têtes X.
Présentation de la redirection du courrier indésirable : Le courrier identifié comme indésirable est redirigé vers une seule et unique adresse SMTP au sein du domaine. Vous pouvez ensuite examiner ces messages à votre convenance à partir d'un seul emplacement hébergé sur votre serveur de messagerie.
Comprendre la modificationde l'objet dans FOPE : Vous pouvez ajouter un mot ou une expression à la ligne d'objet des messages qui ont été identifiés comme indésirables, par exemple SPAM. Si nécessaire, vous pouvez ensuite créer des règles côté client pour filtrer les messages indésirables.
Des informations supplémentaires sur chacune de ces options figurent dans la rubrique Comprendre les paramètres d'action du courrier indésirable sans FOPE.
Couches de protection contre le courrier indésirable
FOPE atteint une précision élevée grâce à une technologie anti-spam exclusive et multicouche qui garantit le filtrage automatique des courriers indésirables avant qu'ils ne parviennent aux systèmes de messagerie d'entreprise. Une fois qu'un domaine a été configuré et activé pour le service FOPE, un enregistrement MX pour votre domaine est chargé d'acheminer le courrier à travers le service. Les informaticiens ou les administrateurs n'ont dès lors plus besoin d'intervenir en continu.
Blocage de réputation de l'IP
La fonctionnalité de blocage de réputation IP du service FOPE constitue une première ligne de défense contre les messages électroniques indésirables. Elle bloque environ 90 pour cent du courrier entrant indésirable entrant par le biais de l'analyse de connexion et de l'analyse de réputation.
Analyse de connexion
Chaque connexion au réseau FOPE fait l’objet d’une surveillance minutieuse et d’une évaluation sur la base des commandes SMTP émises par le serveur de connexion. Les demandes de connexion non standard qui s'écartent, de façon manifeste, des normes RFC et les tentatives de connexions usurpées sont abandonnées sur le champ. De cette manière, vos réseaux sont protégés contre ces tentatives de connexion non valides.
Analyse de réputation
Le blocage de connexion basé sur la réputation par FOPE utilise une liste exclusive qui, sur la base d’une analyse des données d’historique, répertorie les adresses des ordinateurs connectés à Internet qui sont responsables de la majorité du courrier indésirable. Par le biais d’une association permanente avec Microsoft® Windows Live™ Hotmail®, FOPE regroupe les données de courrier indésirable, tant privées que professionnelles, pour créer une base de données de réputation conséquente et complète.
FOPE utilise également les informations de réputation IP d'autres sociétés et fournisseurs de services Internet pour offrir une protection accrue contre les adresses IP douteuses et les attaques par botnet, qui proviennent d'un ensemble d'ordinateurs compromis exécutant un logiciel sous une infrastructure de commande et contrôle commune. Les expéditeurs de courrier indésirable créent fréquemment des sites Web malveillants qu’ils utilisent pour le hameçonnage et la diffusion de programmes malveillants. FOPE utilise diverses sources pour actualiser rapidement ses listes d’URL malveillantes connues et mettre à jour ses filtres de contenu afin de bloquer ces messages.
Protection contre le courrier indésirable
Lorsqu'un message passe au travers des mailles du blocage de périmètre, il lui reste encore quatre couches à franchir pour tromper la vigilance de la technologie anti-spam :
Options supplémentaires de filtrage de courrier indésirable
De nombreux clients souhaitent bénéficier d'une meilleure protection contre les courriers électroniques susceptibles de contenir des images à caractère obscène, de nuire à leur vie privée ou de les amener à révéler des informations sensibles. Les options supplémentaires de filtrage anti-spam dans FOPE vous permettent d’appliquer des indicateurs de filtrage et de mettre en quarantaine des messages qui contiennent un contenu actif ou suspect. Pour plus d’informations à propos des indicateurs de filtrage ASF disponibles, consultez la rubrique Configurer les options supplémentaires du filtrage anti-spam.
Authentification basée sur IP
Le service FOPE authentifie l’identité de l’expéditeur de chaque message électronique. Si un message n'est pas authentifiable, mais provient d'un expéditeur dont on a usurpé l'identité, ce message aura de grandes chances d'être rangé dans la catégorie du courrier indésirable. La norme standard SPF (Sender Policy Framework), empêchant la falsification d'adresse de l'en-tête Return Path grâce à l'utilisation d'une identité Mail from dans la session SMTP, facilite l'identification d'usurpations d'identité. Les recherches SPF contribuent à vérifier si l'entité indiquée comme l'expéditeur est effectivement celle qui a envoyé le message électronique.
Empreintes des messages
Lorsque les messages contiennent des caractéristiques de courrier indésirable connues, ils sont identifiés et une empreinte digitale y est apposée. Un message sur lequel est apposée une empreinte digitale se voit attribuer un ID unique en fonction de son contenu. La base de données d’empreintes regroupe les données provenant de l’ensemble du courrier indésirable bloqué par le système FOPE, ce qui améliore et affine le processus d’identification à mesure que d’autres messages sont traités. Si un message avec une empreinte particulière passe par le système une deuxième fois, l'empreinte est détectée et le message est marqué comme courrier indésirable. Le système analyse en permanence les messages entrants pour identifier les nouvelles méthodes de diffusion de courrier indésirable. L’équipe FOPE responsable de l’analyse du courrier indésirable met à jour la couche d’identification des empreintes à mesure que de nouvelles campagnes sont détectées.
Taux basé sur des règles
Le service FOPE note les messages sur la base des quelque 20 000 règles qui définissent les caractéristiques du courrier indésirable et du courrier électronique légitime. Des points sont ajoutés ou retirés à ce taux chaque fois que le message présente respectivement des éléments caractéristiques de courrier indésirable ou de courrier légitime. Lorsque le taux atteint un seuil défini, un indicateur signalant qu'il s'agit d'un courrier indésirable est appliqué au message.
Les caractéristiques des messages évalués et notés par le service FOPE sont les suivantes :
Expressions dans le corps et l'objet du message, y compris les URL
Obscurcissement HTTP, qui déguise des URL indésirables en URL légitimes
En-tête mal formés, c'est-à-dire des en-têtes construits de façon incorrecte
Type de client de messagerie
Formation des en-têtes (ID de message reçu, caractères aléatoires)
Serveur de messagerie source
Agent de messagerie source
Adresse de l'expéditeur et adresse SMTP d'expédition
Les règles actuelles sont modifiées et de nouvelles règles sont ajoutées, en cas de besoin, plusieurs fois par jour par l'équipe responsable du courrier indésirable.
Limitation des risques de rétrodiffusion des rapports de non-remise
Il existe plusieurs raisons provoquant une augmentation soudaine des rapports de non-remise (NDR) pouvant affecter un environnement de messagerie. Par exemple, l'une des adresses de messagerie d'un domaine peut être affectée par une campagne d'usurpation d'adresses ou être l'adresse source pour une attaque DHA (Directory Harvest Attack). N'importe lequel de ces problèmes pourrait provoquer une augmentation soudaine du nombre de rapports de non-remise remis aux utilisateurs finaux. La rétrodiffusion des rapports de non-remise, qui fait référence aux nombreux messages reçus lorsqu'une adresse de messagerie d'un expéditeur de courrier indésirable est falsifiée, est devenue un réel problème pour de nombreuses entreprises. Outre les règles de détection des rapports de non-remise, une règle ASF supplémentaire de FOPE aide à bloquer la rétrodiffusion. Cette option filtre les messages de rapport de non-remise et les envoie en quarantaine.
Pour les clients filtrant le trafic sortant, une logique est utilisée pour détecter les rapports de non-remise légitimes et les remettre à l'expéditeur d'origine sans activer l'option ASF. Pour les clients de messagerie sortante, la détection intelligente des rapports de non-remise légitime est activée par défaut.
Voir aussi
Concepts
Comprendre le filtrage du courrier indésirable sortant
Présentation de l’exactitude et de l’efficacité de la protection contre le courrier indésirable