Scénario de listes sécurisées entrantes

  • Article

 

Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2011-10-20

Les organisations peuvent configurer un canal de flux de messagerie avec les partenaires en configurant leur routage de messagerie entrante à l'aide des connecteurs Forefront Online Protection for Exchange (FOPE). Vous pouvez ajouter les adresses IP d'une organisation partenaire à une « liste sécurisée » et les messages provenant de ces adresses IP spécifiées échapperont au service de filtrage IP de FOPE. Lorsque vous configurez leurs adresse IP et nom de domaine avec un connecteur entrant, vous avez l'assurance que les messages envoyés depuis cette organisation passeront le filtrage IP de FOPE, même si l'adresse IP du partenaire s'affiche sur la liste rouge de FOPE. Le courrier avec un contrôle de courrier indésirable élevé provenant du partenaire sera toujours bloqué sauf si vous configurez le connecteur pour ignorer également le filtrage du courrier indésirable. Le courrier qui respecte une règle de stratégie sera également bloqué, sauf si vous configurez le connecteur pour ignorer le filtrage de stratégie.

Dans cet exemple de scénario, contoso.com a ajouté fabrikam.com à sa liste sécurisée à l'aide d'un connecteur entrant. Contoso héberge son courrier avec Microsoft Exchange Online. Le courrier passe par FOPE sans être filtré vers les boîtes aux lettres Contoso.

Vous pouvez implémenter ce scénario d'application à l'aide d'un système hôte de messagerie local protégé par un service FOPE autonome, un système entre sites qui inclut un service FOPE autonome, ou un système entièrement hébergé dans un nuage qui inclut Exchange Online avec FOPE.

Astuce : Pour regarder la vidéo qui décrit ce scénario et les étapes de configuration du connecteur FOPE, consultez la rubrique Scénario de listes sécurisées entrantes.

Flux de messagerie de liste sécurisée

Lors de la réception de courrier entrant du partenaire figurant sur la liste sécurisée, l'architecture est la suivante :

Scénario de listes sécurisées entrantes

Avec ce scénario, le courrier échangé entre la passerelle de liste sécurisée de fabrikam.com et contoso.com passe par FOPE sans être filtré par le filtrage de périmètre de FOPE.

Configuration des connecteurs FOPE dans un scénario de listes sécurisées

Afin de configurer des listes sécurisées, vous devez créer un connecteur entrant qui spécifie l'organisation à ajouter à une liste sécurisée. Voici les paramètres requis pour l'exemple de scénario décrit ci-dessus, dans lequel Contoso.com a ajouté fabrikam.com à sa liste sécurisée à l'aide d'un connecteur entrant.

Pour configurer un connecteur entrant FOPE dans un scénario de flux de listes sécurisées

  1. Dans le Centre d'administration FOPE, cliquez sur l'onglet Administration, puis sur l'onglet Société.

  2. Dans la section Connecteurs, pour Connecteurs entrants, cliquez sur Ajouter. La boîte de dialogue Ajouter un connecteur entrant s'ouvre.

    L'image suivante affiche les paramètres de connecteur entrant pour l'exemple de scénario de flux de messagerie de liste sécurisée.

    Connecteur entrant - scénario listes sécurisées

  3. Dans le champ Nom, entrez un nom descriptif pour le connecteur entrant.

  4. Dans le champ Description, entrez d'autres informations qui décrivent le connecteur entrant.

  5. Dans le champ Domaines d'expéditeurs, entrez le nom de domaine de l'organisation à ajouter à la liste sécurisée (par exemple, fabrikam.com).

  6. Dans le champ Adresses IP d'expéditeurs, entrez l'adresse ou les adresses IP de l'organisation à ajouter à la liste sécurisée. Les adresses IP doivent être spécifiées sous le format nnn.nnn.nnn.nnn, où nnn est une valeur comprise entre 1 et 255. Vous pouvez également spécifier les plages CIDR (Classless Inter-Domain Routing) sous le format nnn.nnn.nnn.nnn/rr, où rr est une valeur comprise entre 24 et 31. Plusieurs adresses IP doivent être séparées par une virgule. Bien qu’il soit recommandé d’indiquer les adresses IP dans ce champ, vous pouvez ne rien inscrire si vous ne connaissez pas la ou les adresses IP spécifiques associées au domaine ou que vous souhaitez créer un connecteur d’une portée plus étendue.

  7. Sélectionnez la case d'option Ajoutez ces adresses IP à la liste fiable et n'acceptez que le courrier provenant de ces adresses IP pour les domaines spécifiés précédemment. Ceci garantit que les messages provenant du domaine et des adresses IP de l'expéditeur spécifié transiteront par FOPE, sans être soumis à un filtrage IP, et que les messages envoyés depuis ce domaine mais depuis une adresse IP différente seront rejetés. Si vous sélectionnez la première case d'option Ajoutez ces adresses IP à la liste fiable pour les domaines spécifiés précédemment, les deux conditions suivantes s'appliquent.

    • Les paramètres du connecteur (comme Appliquer le filtrage anti-spam, Appliquer les règles de stratégie et le paramètre TLS entrant) seront appliqués au courrier qui provient de l'adresse IP spécifiée.

    • Aucun des paramètres de ce connecteur ne sera appliqué au courrier qui provient d'une adresse IP autre que celle spécifiée dans le connecteur.

  8. Dans la section Paramètres des connecteurs, vous pouvez sélectionner l'une des deux options de Paramètres TLS (Transport Layer Security) : TLS opportuniste ou Forcer TLS.

    Sélectionner Forcer TLS vous permet de forcer les partenaires figurant sur la liste sécurisée locale à utiliser une connexion TLS lors de l'envoi de messages électroniques aux utilisateurs hébergés dans le nuage. Dans ce scénario, si la connexion n'est pas TLS, FOPE rejette le message électronique. Lorsque vous utilisez cette option, vous pouvez activer Le certificat expéditeur correspond au domaine et entrer le nom de domaine de l'organisation avec laquelle vous voulez établir un canal sécurisé. Dans ce champ, vous pouvez utiliser le caractère générique * pour spécifier un niveau de sous-domaines. Par exemple, si vous spécifiez *.domain.com, , FOPE correspondra à subdomain1.domain.com mais il ne correspondra pas à subdomain2.subdomain1.domain.com.

    Lorsque vous sélectionnez TLS opportuniste, FOPE tente une connexion TLS, mais revient automatiquement à une connexion SMTP si le serveur de messagerie expéditeur n'est pas configuré pour utiliser TLS.

    Pour plus d'informations sur l'utilisation de TLS dans FOPE, consultez Comprendre la sécurité de la couche de transport (TLS) dans FOPE.

  9. Dans la section Paramètres des connecteurs, à l'aide des cases à cocher, vous pouvez spécifier d'appliquer ou d'ignorer plusieurs opérations Filtrage. Si vous spécifiez d'ignorer ces filtres, même le courrier avec un taux de mise en quarantaine élevé provenant de l'organisation figurant sur la liste sécurisée sera autorisé. Ces options de filtrage sont activées (appliquées) par défaut.

    • Appliquer le filtrage de réputation IP — Indique s'il convient d'appliquer le filtrage de réputation IP sur les messages électroniques entrants. Cette option n'est pas fonctionnelle pour ce scénario.

    • Appliquer le filtrage anti-spam — Indique s'il convient d'appliquer le filtrage anti-spam sur les messages électroniques entrants. En ignorant le filtrage anti-spam, il se peut que votre organisation reçoive du courrier indésirable si le partenaire en envoie.

    • Appliquer les règles de stratégie — Indique s'il convient d'appliquer les règles de stratégie aux messages électroniques entrants.

  10. Cliquez sur Enregistrer.

Le connecteur est à présent répertorié sous Connecteurs entrants. Vous pouvez développer le connecteur pour afficher ses paramètres. Vous pouvez cliquer sur Modifier pour modifier les paramètres de configuration de ce connecteur.

Pour appliquer la configuration de ce connecteur à toute la société ou à des domaines spécifiques de votre société, ou pour supprimer ce connecteur, consultez Mise en œuvre et suppression d'associations de connecteurs FOPE.