Cachets de blocage du courrier indésirable

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment utiliser les cachets de blocage du courrier indésirable appliqués à des messages dans Exchange 2016 pour examiner des messages indésirables suspects.

Les cachets de blocage du courrier indésirable dans Exchange Server 2016 appliquent des métadonnées de diagnostic, aussi appelées cachets, telles que des informations propres à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu’ils sont soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d’Internet. Vous pouvez utiliser des cachets de blocage du courrier indésirable pour afficher les résultats du filtrage du courrier indésirable sur un message et pour diagnostiquer les problèmes liés au courrier indésirable. Les fonctionnalités de blocage du courrier indésirable et les cachets sont restés sensiblement identiques par rapport à Exchange Server 2010. Il existe quatre cachets de blocage du courrier indésirable Exchange :

  • Le cachet du seuil de probabilité de courrier d’hameçonnage (PCL)

  • Le cachet de l’ID de l’expéditeur

  • Le cachet du seuil de probabilité de courrier indésirable (SCL)

  • Le cachet du rapport de courrier indésirable

Les cachets de blocage du courrier indésirable sont ajoutés aux messages comme champs d’en-tête X dans l’en-tête du message. Vous pouvez afficher les cachets de blocage du courrier indésirable d’un message à l’aide de MicrosoftOutlook. Pour plus d’informations, consultez la rubrique Affichage des cachets de blocage du courrier indésirable dans Outlook.

Le cachet du seuil de probabilité de courrier d’hameçonnage (PCL) indique la probabilité qu’un message soit un message d’hameçonnage par rapport à son contenu. Le cachet PCL est appliqué lorsque le message est traité par l’agent de filtrage du contenu. Pour plus d’informations sur le filtrage du contenu, consultez la rubrique Filtrage du contenu.

Les valeurs PCL sont décrites dans le tableau suivant.

 

Valeur PCL Verdict Description

1-3

Neutral

Le contenu du message ne correspond probablement pas à du hameçonnage.

4-8

Suspicious

Le contenu du message correspond probablement à du hameçonnage.

La valeur PCL apparaît dans l’en-tête X X-MS-Exchange-Organization-PCL:, tandis que le verdict PCL apparaît dans le cachet du rapport de courrier indésirable sous la forme PCL:PhishingLevel <Verdict>. Outlook utilise le cachet PCL pour bloquer le contenu des messages suspects.

Le cachet de l’ID de l’expéditeur est basé sur le SPF (sender policy framework) qui autorise l’utilisation de domaines dans la messagerie. L’agent d’ID de l’expéditeur détermine l’état de l’ID de l’expéditeur du message. Ces valeurs d’état sont décrites dans le tableau suivant.

 

État Description

Pass

L’adresse IP et la PRA (Purported Responsible Address, adresse prétendue responsable) ont toutes les deux passé le contrôle de vérification de l’ID de l’expéditeur.

Neutral

Les données de l’ID de l’expéditeur publiées sont peu concluantes.

SoftFail

L’adresse IP de la PRA figure peut-être parmi les adresses non autorisées.

Fail

L’adresse IP n’est pas autorisée. Aucune PRA ne figure dans le courrier entrant ou le domaine d’envoi n’existe pas.

None

Il n’existe aucune donnée SPF publiée dans le DNS de l’expéditeur.

TempError

Une erreur DNS temporaire s’est produite. Un serveur DNS peut être indisponible, par exemple.

PermError

L’enregistrement DNS n’est pas valide. Il présente peut-être une erreur de format d’enregistrement.

Le cachet de l’ID de l’expéditeur apparaît dans l’en-tête X X-MS-Exchange-Organization-SenderIdResult:, ainsi que dans le cachet du rapport de courrier indésirable sous la forme SenderIDStatus <Status>. Le résultat SPF apparaît dans l’en-tête Received-SPF.

Pour plus d’informations, consultez les rubriques suivantes :

Retour au début

noteRemarque :
Le 1er novembre 2016, Microsoft a cessé de produire des mises à jour des définitions de courrier indésirable pour les filtres SmartScreen dans Exchange et Outlook. Les définitions de courrier indésirable SmartScreen existantes restent en place, mais leur efficacité se dégradera probablement au cours du temps. Pour plus d’informations, voir l’article relatif à l’arrêt de la prise en charge de SmartScreen dans Outlook et Exchange.

Le cachet PCL affiche la valeur du message en fonction de son contenu. L’agent de filtrage du contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d’un message et pour attribuer une valeur SCL à chaque message. Les valeurs SCL sont décrites dans le tableau suivant.

 

Valeur SCLDescription

0 à 9

0 indique une probabilité extrêmement faible que le message soit du courrier indésirable.

9 indique une probabilité extrêmement élevée que le message soit du courrier indésirable.

-1

Le message a contourné l’analyse anti-courrier indésirable (par exemple, le message provenait d’un expéditeur interne).

La valeur SCL apparaît dans l’en-tête X X-MS-Exchange-Organization-SCL:.

Les actions qu’Exchange et Outlook exécutent en fonction de la valeur SCL dépendent de vos paramètres de seuil SCL. Pour plus d’informations, consultez la rubrique Niveaux du seuil de probabilité de courrier indésirable (SCL) Exchange.

Retour au début

Le cachet du rapport de courrier indésirable est un résumé des résultats du filtrage du courrier indésirable appliqués au message. L’agent de filtrage du contenu applique ce cachet au message dans l’en-tête X X-MS-Exchange-Organization-Antispam-Report:. Le rapport de courrier indésirable utilise la syntaxe suivante :

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>

Les informations du filtre de courrier indésirable qui peuvent apparaître dans le rapport de courrier indésirable sont décrites dans le tableau suivant. Notez que le cachet du rapport de courrier indésirable contient uniquement les résultats et les conclusions des filtres de courrier indésirable qui ont été appliqués au message. Par conséquent, le cachet du rapport de courrier indésirable ne contient généralement pas tous les cachets et valeurs possibles.

 

Marquage Description

DV

Le marquage de version DAT (DV) indique la version du fichier de définition du courrier indésirable utilisé lors de l’analyse du message.

SA

Le marquage d’action de signature (SA) indique que le message a été soit récupéré, soit supprimé à cause d’une signature trouvée dans le message.

SV

Le marquage de version DAT de signature (SV) indique la version du fichier de signature utilisé lors de l’analyse du message.

CW

Le cachet du poids personnalisé (CW) d’un message indique qu’il contient un mot ou une expression non approuvé et que la valeur SCL, ou « Poids », de ce mot ou cette expression non approuvé a été appliquée au résultat SCL final :

  • Les expressions non approuvées, ou expressions de blocage, ont un poids maximal et remplacent le résultat SCL par 9.

  • Les mots ou expressions approuvés, ou expressions d’autorisation, ont un poids minimal et remplacent le résultat SCL par 0.

Pour plus d’informations sur l’ajout de mots ou d’expressions approuvés ou non approuvés à l’Agent de filtrage du contenu, consultez la rubrique Procédures de filtrage du contenu.

PP

Le cachet du puzzle pré-résolu (PP) indique que, si le message d’un expéditeur contient un cachet de calcul résolu valide (basé sur la fonctionnalité de validation du cachet électronique Outlook), il est improbable que l’expéditeur soit malveillant. Dans ce cas, l’agent de filtrage du contenu réduit la valeur SCL.

L’Agent de filtrage du contenu ne modifie pas la valeur de contrôle d’accès SCL si la fonctionnalité de validation de cachet de courrier électronique est activée et que l’une des conditions suivantes est vraie :

  • Un message entrant ne contient pas d’en-tête de cachet de calcul.

  • L’en-tête de cachet de calcul n’est pas valide.

Pour plus d’informations sur la fonctionnalité de validation du cachet, consultez la rubrique Filtrage du contenu.

TIME:TimeBasedFeatures

Indique qu’une période d’une longueur significative s’est écoulée entre l’envoi et la réception du message. Le cachet TIME permet de déterminer la valeur SCL finale du message.

OrigIP

Indique l’adresse IP du serveur de messagerie source.

MIME:MIMECompliance

Indique que le message électronique n’est pas compatible MIME.

P100:PhishingBlock

Indique que le message contient une adresse URL présente dans un fichier de définition du hameçonnage.

IPOnAllowList

Indique que l’adresse IP de l’expéditeur figure sur la liste d’adresses IP autorisées. Pour plus d’informations sur la liste d’adresses IP autorisées, consultez la section relative à la liste d’adresses IP autorisées.

MessageSecurityAntispamBypass

Indique que le contenu du message n’a pas été filtré et que l’expéditeur a reçu l’autorisation d’ignorer les filtres de courrier indésirable.

SenderBypassed

Indique que l’agent de filtrage du contenu ne traite aucun filtrage de contenu pour les messages reçus de cet expéditeur. Pour plus d’informations, consultez la rubrique Procédures de filtrage du contenu.

AllRecipientsBypassed

Indique que l’une des conditions suivantes a été rencontrée pour tous les destinataires répertoriés dans le message :

Retour au début

 
Afficher: