Présentation du flux de messagerie de blocage du courrier indésirable et antivirus

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2009-01-22

Quand un utilisateur extérieur envoie des messages électroniques à un serveur Microsoft Exchange qui exécute les fonctions de blocage du courrier indésirable, celles-ci évaluent de façon cumulative les caractéristiques des messages entrants et, soit filtrent les messages susceptibles d'être du courrier indésirable, soit attribuent aux messages une valeur de contrôle d'accès reflétant la probabilité qu'il s'agisse de courrier indésirable. Cette valeur est stockée avec le message en tant que propriété appelée seuil de probabilité de courrier indésirable (SCL). Elle est conservée avec le message lors de l'envoi de celui-ci à d'autres serveurs Exchange.

La figure 1 montre l'ordre dans lequel les fonctionnalités de blocage du courrier indésirable par défaut et Microsoft Forefront Security pour Exchange Server filtrent les messages entrants en provenance d'Internet. Par défaut, les fonctionnalités de blocage du courrier indésirable et antivirus sont organisées dans ce sens avec les filtres qui utilisent d’abord le filtrage des dernières ressources, puis les filtres qui utilisent en dernier le filtrage des ressources les plus importantes.

Notes

Des fonctions supplémentaires de blocage du courrier indésirable seront probablement disponibles dans le futur. Au fur et à mesure que des fonctions de blocage du courrier indésirable sont développées, elles sont incluses dans le flux de messagerie global. En outre, la figure et l'explication suivantes supposent que le serveur de transport Edge Exchange Server 2007 est le premier serveur SMTP (Simple Mail Transfer Protocol) à accepter des messages entrants. Dans certaines organisations, le serveur de transport Edge peut être déployé derrière un serveur SMTP tiers. Lorsque le serveur de transport Edge Exchange 2007 est déployé derrière un serveur de passerelle SMTP tiers, le serveur de transport Edge Exchange 2007 requiert une configuration supplémentaire. Vous devez, en particulier, vérifier que tous les serveurs de passerelle SMTP sont répertoriés dans la propriété InternalSMTPServer de l'objet TransportConfig. Pour plus d'informations, consultez la rubrique Set-TransportConfig.

Figure 1   Fonctionnalités de blocage du courrier indésirable par défaut avec filtrage antivirus des messages entrants en provenance d'Internet

Diagramme du filtrage de blocage du courrier indésirable et antivirus

Comme l'illustre la figure 1, les filtres sont appliqués dans l'ordre suivant lorsque le serveur de transport Edge est connecté à Internet :

  • Un serveur SMTP se connecte à Exchange 2007 et démarre une session SMTP.

  • Filtrage des connexions

  • Filtrage des expéditeurs

  • Filtrage des destinataires

  • Filtrage de l'ID de l'expéditeur

  • Filtrage du contenu

  • Filtrage des pièces jointes

  • Analyse antivirus

Notes

Bien que ce détail ne soit pas montré dans la figure 1, le filtrage des connexions collecte des informations pendant deux événements différents. Le premier événement où le filtrage des connexions collecte des informations est montré dans la figure 1 : le filtrage des connexions collecte des informations d'adresse IP à partir de la connexion. Le deuxième événement est décrit dans la figure 3 lorsque l'Agent de filtrage des connexions analyse les en-têtes de message pour identifier la première adresse IP externe. Les agents peuvent analyser plusieurs événements. La figure 1 présente une vue de niveau supérieur de l'ordre général d'application des agents, lorsque tous les agents sont activés, dans le but d'illustrer le flux de messages. Pour plus d'informations sur les événements spécifiques et sur les événements analysés par les agents, consultez la rubrique Vue d'ensemble des agents de transport.

Filtrage des connexions

Au cours de la session SMTP, Exchange 2007 applique le filtrage des connexions en utilisant les critères suivants, comme illustré à la figure 2.

Figure 2   Flux de messagerie du filtrage des connexions

Diagramme du filtrage des connexions

  1. L'Agent de filtrage des connexions examine la liste d'adresses IP autorisées définie par l'administrateur. Si l’adresse IP du serveur d’envoi est sur la liste d’adresses IP autorisées définie par l’administrateur, le message est alors traité par filtrage des expéditeurs.

  2. L'Agent de filtrage des connexions examine la liste d'adresses IP bloquées locale. Si l'adresse IP du serveur d'envoi se trouve dans la liste d'adresses IP bloquées locale, le message est automatiquement rejeté et aucun autre filtre n'est appliqué.

  3. L’Agent de filtrage des connexions examine la liste de toutes les adresses IP autorisées des fournisseurs de listes d’adresses IP autorisées dont vous disposez. Si l’adresse IP du serveur d’envoi est sur la liste d’adresses IP autorisées définie à partir des fournisseurs de listes d'adresses IP autorisées, le message est alors traité par filtrage des expéditeurs.

  4. L'Agent de filtrage des connexions examine les listes rouges en temps réel de tous les fournisseurs de listes d'adresses IP bloquées que vous avez configurés. Si l'adresse IP du serveur d'envoi se trouve dans une liste rouge en temps réel, le message est refusé et aucun autre filtre n'est appliqué.

Pour plus d'informations, consultez la rubrique Configuration du filtrage des connexions.

Notes

Si l’Agent de filtrage des connexions est déployé sur un ordinateur qui se trouve derrière un autre serveur connecté à Internet, d’autres filtres, tels que le filtrage des expéditeurs ou des destinataires, sont appelés avant l'Agent de filtrage des connexions.

Filtrage des expéditeurs

Après que le filtrage des connexions a été appliqué, Exchange 2007 compare l’adresse de messagerie de l’expéditeur à la liste des expéditeurs bloqués que vous pouvez configurer dans le filtrage des expéditeurs comme illustré dans la figure 3.

Figure 3   Flux de messagerie du filtrage des expéditeurs

Diagramme du filtrage des expéditeurs

L’Agent de filtrage des expéditeurs vérifie alors l’adresse de messagerie de l’expéditeur contenue dans les champs d'en-tête De : dans l'enveloppe de message et l'en-tête de message. Si l'un des champs d'en-tête De : correspond à l'adresse figurant dans la liste des expéditeurs bloqués, Exchange 2007 rejette le message au niveau du protocole et aucun autre filtre n’est appliqué.

Notes

Même si des destinataires au sein de votre organisation ont placé des expéditeurs sur leur liste des expéditeurs approuvés Microsoft Office Outlook, le filtrage des expéditeurs configuré sur le serveur de transport Edge remplace le paramétrage Outlook du destinataire et rejette les messages.

Pour plus d'informations sur le filtrage des expéditeurs, consultez la rubrique Configuration du filtrage des expéditeurs.

Pour plus d'informations sur les enveloppes et les en-têtes de message, consultez la rubrique Gestion du répertoire de relecture.

Filtrage des destinataires

Si le filtrage des expéditeurs ne rejette pas le message, Exchange exécute de nouveau le filtrage des connexions. Exchange applique alors l’Agent de filtrage des destinataires comme illustré dans la figure 4.

Figure 4   Flux de messagerie du filtrage des destinataires

Diagramme du filtrage des destinataires

L'Agent de filtrage des destinataires examine le destinataire en le comparant à la liste rouge des destinataires que vous configurez dans les paramètres de l'Agent de filtrage des destinataires. Si le destinataire concerné correspond à une adresse de messagerie figurant dans la liste rouge des destinataires, Exchange 2007 rejette le message pour ce destinataire particulier. De plus, l’Agent de filtrage des destinataires vérifie que le destinataire est présent dans l'organisation. Si le destinataire n’est pas présent dans l’organisation, Exchange rejette le message pour ce destinataire particulier.

Si plusieurs destinataires figurent sur le message et si tous les destinataires ne sont pas répertoriés dans la liste rouge des destinataires, le traitement du message continue. Autrement, si le message n'est destiné qu'à un seul destinataire bloqué, aucun autre filtre n'est appliqué.

Lorsqu'un message avec des destinataires bloqués est traité, l'ensemble des destinataires bloqués est supprimé du message et la transmission du message est effectuée dans l'organisation. Des réponses de rejet SMTP au niveau du protocole sont envoyées à l'expéditeur pour chaque destinataire bloqué. L'Agent de réputation de l'expéditeur analyse l'événement OnReject pour calculer le niveau de réputation de l'expéditeur.

Pour plus d'informations, consultez la rubrique Configuration du filtrage des destinataires.

Filtrage des ID de l'expéditeur

Si le message contient toujours des destinataires valides après que le filtrage des destinataires a été appliqué, Exchange 2007 exécute le filtrage des ID de l’expéditeur comme illustré dans la figure 5.

Figure 5   Flux de messagerie du filtrage des ID de l’expéditeur

Diagramme du filtrage des ID de l'expéditeur

D’abord, l’Agent d’ID de l’expéditeur détermine la PRA (Purported Responsible Address) du message à l'aide de l'algorithme décrit dans RFC 4407. Cette étape est obligatoire pour identifier précisément l'expéditeur du message. La PRA est une adresse SMTP, telle que kim@contoso.com. L’Agent d’ID de l’expéditeur effectue alors une recherche DNS (Domain Name Service) sur la partie de la PRA correspondant au domaine. Si ce domaine a publié un enregistrement SPF (Sender Policy Framework), l'agent utilise cet enregistrement SPF pour évaluer le message en fonction des spécifications pour RFC 4408. Le résultat de l'évaluation est marqué sur le message dans le marquage du courrier indésirable. Si ce domaine ne contient pas d’enregistrement SPF publié, l’Agent d’ID de l’expéditeur marque « Aucun » comme résultat d’ID de l’expéditeur sur le message. Pour plus d’informations sur les types de marquages utilisés pour le filtrage des ID de l'expéditeur, consultez la rubrique Marquages de courrier indésirable.

Si le DNS de l’expéditeur provient d’un domaine bloqué ou d’une adresse bloquée, les actions suivantes peuvent être entreprises en fonction de votre configuration pour les actions de l’ID de l’expéditeur :

  • Rejeter le message   Si l'action de l'ID de l'expéditeur est définie sur Rejeter le message, Exchange rejette le message et envoie une réponse d'erreur SMTP au serveur d'envoi. La réponse d'erreur SMTP est une réponse de protocole de niveau 5xx contenant un texte correspondant à l'état d'ID de l'expéditeur.

  • Supprimer le message   Si l’action de l’ID de l’expéditeur est définie sur Supprimer le message, Exchange supprime le message sans informer le serveur d’envoi de la suppression. En fait, l'ordinateur sur lequel le rôle serveur de transport Edge est installé envoie une commande SMTP « OK » factice au serveur d'envoi, puis supprime le message. Comme le serveur d'envoi suppose que le message a été envoyé, il ne réessaie pas d'envoyer le message au cours de la même session.

  • Indiquer le message avec le résultat de l’ID de l’expéditeur et poursuivre le traitement   Exchange marque le message avec le résultat de l’ID de l’expéditeur et continue le traitement du message. Ces métadonnées sont évaluées par l'Agent de filtrage du contenu lors du calcul d'un contrôle d'accès SCL. En outre, la fonctionnalité de réputation de l'expéditeur utilise les métadonnées du message pour calculer le niveau de réputation de l'expéditeur du message.

Pour plus d'informations, consultez la rubrique Configuration des ID de l'expéditeur.

Filtrage du contenu

Avant que le filtrage du contenu Exchange appelle le filtre de messages intelligent Exchange, il applique de nouveau le filtrage des expéditeurs. Le serveur Exchange applique alors l’Agent de filtrage du contenu comme illustré dans la figure 6.

Figure 6   Flux de messages du filtrage du contenu

Flux de messagerie de l'Agent de filtrage du contenu

L’Agent de filtrage du contenu vérifie les conditions suivantes dans le message. Si l'une de ces conditions est vérifiée, le message contourne le filtrage du contenu. Ces messages subissent alors une analyse antivirus.

  • L'adresse IP de l'expéditeur figure dans la liste d’adresses IP autorisées pour le filtrage des connexions.

  • Tous les destinataires sont sur la liste d’exceptions pour le filtrage du contenu.

  • Le paramètre AntiSpamBypassEnabled est défini sur $True sur les boîtes aux lettres de tous les destinataires.

  • Tous les destinataires ont ajouté cet expéditeur à leur liste des expéditeurs fiables Outlook, qui est mise à jour sur le serveur de transport Edge à l'aide de l'agrégation de listes fiables.

  • L'expéditeur est un partenaire approuvé et figure sur la liste des expéditeurs non filtrés de l'organisation.

En plus des conditions répertoriées ici, si la session SMTP a été authentifiée comme un partenaire approuvé et si l’administrateur a accordé l’autorisation d’ignorer le blocage du courrier indésirable (Ms-Exch-Bypass-Anti-Spam) aux partenaires, les agents de blocage du courrier indésirable seront désactivés pour les messages de cette session. L’autorisation d’ignorer le blocage du courrier indésirable n’est pas accordée par défaut aux partenaires et doit être attribuée par un administrateur.

Si un message ne répond à aucune des conditions décrites ici, le filtrage du contenu est appliqué. Le filtrage du contenu affecte une valeur de contrôle d’accès SCL au message. En fonction de la valeur de contrôle d’accès SCL, l’une des actions suivantes se produit :

  • Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de suppression SCL et que celui-ci est activé, l’Agent de filtrage du contenu supprime le message. Aucune communication de niveau protocole n'indique au système émetteur ou à l'expéditeur que le message a été supprimé. Si la valeur SCL est inférieure à celle du seuil de suppression SCL, l'Agent de filtrage du contenu ne supprime pas le message. Au lieu de cela, l'Agent de filtrage du contenu compare la valeur SCL au seuil de rejet SCL.

  • Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de rejet SCL et que celui-ci est activé, l'Agent de filtrage du contenu rejette le message et envoie une réponse de rejet au système émetteur. Vous pouvez personnaliser la réponse de rejet. Dans certains cas, une notification d'échec de remise est envoyée à l'expéditeur d'origine du message. Si la valeur SCL est inférieure à celle du seuil de rejet SCL, l'Agent de filtrage du contenu ne rejette pas le message. Au lieu de cela, l'Agent de filtrage du contenu compare la valeur SCL au seuil de mise en quarantaine SCL.

  • Si la valeur de contrôle d’accès SCL du message est supérieure ou égale au seuil de mise en quarantaine SCL et que celui-ci est activé, l’Agent de filtrage du contenu envoie le message dans la boîte aux lettres de mise en quarantaine du courrier indésirable. Pour plus d'informations sur la gestion de la mise en quarantaine du courrier indésirable, consultez la rubrique Configuration et gestion de la mise en quarantaine du courrier indésirable. Le message est alors soumis au filtrage des pièces jointes.

Pour plus d'informations, consultez les rubriques suivantes :

Filtrage des pièces jointes

Après que le filtrage du contenu a été appliqué, Exchange applique le filtrage des pièces jointes comme illustré dans la figure 7.

Figure 7   Flux de messagerie du filtrage des pièces jointes

Diagramme du filtrage des pièces jointes

Vous pouvez configurer le filtrage des pièces jointes de manière à bloquer les pièces jointes en fonction de leur type de contenu MIME, du nom de fichier ou de l’extension de nom de fichier. Si le filtrage des pièces jointes détecte un type de contenu ou un nom de fichier qui a été bloqué, l’une des actions suivantes se produit, en fonction de vos paramètres de filtrage des pièces jointes :

  • Reject   Si le paramètre d'action est défini sur Reject, cela empêche la remise du message électronique et de la pièce jointe au destinataire et le système envoie un message d'erreur de notification d'état de remise à l'expéditeur. Vous pouvez personnaliser la réponse de rejet.

  • Silent Delete   Si le paramètre d'action est défini sur Silent Delete, cela empêche la remise au destinataire du message électronique et de la pièce jointe. Aucune notification indiquant que le message électronique et la pièce jointe ont été bloqués n'est envoyée à l'expéditeur.

  • Strip   Si le paramètre d'action est défini sur Strip, la pièce jointe est supprimée du message électronique. Cette valeur permet la remise au destinataire du message et d'autres pièces jointes ne correspondant pas à une entrée de la liste rouge des pièces jointes. Une notification indiquant que la pièce jointe a été bloquée est ajoutée au message électronique du destinataire.

Si le message n’a pas été rejeté ou supprimé ou si le filtrage des pièces jointes n’a pas détecté de type de pièces jointes bloqué, une recherche de virus est alors effectuée sur le message.

Pour plus d'informations, consultez la rubrique Procédure de configuration du filtrage des pièces jointes.

Analyse antivirus

Après que le filtrage des pièces jointes a été appliqué, ou si les destinataires ont été ignorés dans le filtrage du contenu, la recherche de virus Forefront Security pour Exchange Server est effectuée comme illustré dans la figure 8.

Figure 8   Flux de messagerie de la recherche de virus Forefront Security pour Exchange Server

Diagramme du filtrage antivirus de Forefront

Forefront Security pour Exchange Server est un package logiciel antivirus qui est étroitement intégré à Exchange 2007 et qui offre une protection renforcée contre les virus pour votre environnement Exchange. Lorsque Forefront Security pour Exchange Server détecte des messages qui semblent contenir un virus, le système supprime le message, génère un message de notification et envoie la notification à la boîte aux lettres du destinataire.

Pour plus d'informations sur Forefront Security pour Exchange Server, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

Filtrage de courrier indésirable Outlook

Une fois que tous les filtres ont été appliqués et qu'une recherche de virus a été effectuée sur le message, celui-ci est envoyé dans la boîte aux lettres du destinataire indiqué et le filtrage du courrier indésirable est effectué comme illustré dans la figure 9.

Figure 9   Flux de messagerie du filtrage du courrier indésirable Outlook

Diagramme du filtrage du courrier indésirable Outlook

Si la valeur de contrôle d'accès SCL pour le message est égale ou supérieure au seuil de dossier de courrier indésirable SCL et si ce dernier est activé, le serveur de boîtes aux lettres place le message dans le dossier de courrier indésirable de l'utilisateur Outlook. Si la valeur SCL d'un message est inférieure à celles des seuils de suppression, de rejet, de mise en quarantaine et de dossier de courrier indésirable SCL, le serveur de boîtes aux lettres place le message dans la boîte de réception de l'utilisateur. Pour plus d'informations sur les seuils SCL, consultez la rubrique Ajustement du seuil SCL.

Pour plus d'informations

Pour plus d'informations sur les fonctions de blocage du courrier indésirable et antivirus, consultez les rubriques suivantes :