Fonctionnalités de blocage du courrier indésirable et des virus

  • Article

 

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2007-08-07

Les spammeurs, ou expéditeurs de courrier indésirable, utilisent toutes sortes de techniques pour envoyer du courrier indésirable à votre organisation. Aucun outil ou processus n'est capable d'éliminer la totalité du courrier indésirable. Microsoft Exchange Server 2007 s'appuie sur Exchange Server 2003 pour offrir une approche en plusieurs couches, sous plusieurs angles et facettes, de la réduction du courrier indésirable et des virus. Exchange 2007 inclut une série de fonctions de blocage du courrier indésirable et antivirus conçues pour opérer de façon cumulative afin de réduire la quantité de courrier indésirable entrant dans l'organisation. Exchange 2007 inclut également une infrastructure améliorée pour les applications antivirus.

Vous pouvez réduire l'incidence des attaques et propagations des virus par des logiciels malveillants, également appelés programmes malveillants, au sein de votre organisation en réduisant le volume global de courrier indésirable qui y pénètre. En éliminant le gros du courrier indésirable au niveau de l'ordinateur sur lequel le rôle serveur de transport Edge est installé, vous épargnez une partie importante des ressources de traitement, de la bande passante et de l'espace de stockage, autrement mobilisées pour l'analyse des messages visant à détecter les virus et autres programmes malveillants ultérieurement dans le flux des messagerie.

L'approche en couches de la réduction du courrier indésirable fait référence à la configuration de plusieurs fonctions de blocage du courrier indésirable et antivirus qui filtrent les messages entrants dans un ordre spécifique. Chaque fonction filtre une caractéristique ou un ensemble de caractéristiques associées spécifique du message entrant.

Les sections suivantes fournissent une brève description de chaque fonction par défaut de blocage du courrier indésirable et antivirus.

Filtres de blocage du courrier indésirable et antivirus

Les filtres de blocage du courrier indésirable et antivirus sont appliqués dans l'ordre suivant. Pour plus d'informations, consultez la rubrique Présentation du flux de messagerie de blocage du courrier indésirable et antivirus.

  • Filtrage des connexions    L'Agent de filtrage des connexions inspecte l'adresse IP du serveur distant tentant d'envoyer des messages pour déterminer l'action éventuelle à exécuter sur un message entrant. L'adresse IP distante est disponible pour l'Agent de filtrage des connexions en tant que sous-produit de la connexion TCP/IP sous-jacente requise pour la session SMTP (Simple Mail Transfer Protocol). La fonction de filtrage des connexions utilise une série de listes d'adresses IP autorisées, de listes d'adresses IP bloquées ainsi que des fournisseurs de listes d'adresses IP autorisées et bloquées pour déterminer si une connexion en provenance d'une adresse IP spécifique doit être bloquée ou autorisée dans l'organisation.

  • Filtrage des expéditeurs   La fonctionnalité de filtrage des expéditeurs compare l'expéditeur figurant sur la commande SMTP MAIL FROM: à une liste définie par l'administrateur d'expéditeurs ou de domaines expéditeurs qui ne sont pas autorisés à envoyer des messages à l'organisation afin de déterminer l'action éventuelle à appliquer à un message entrant.

  • Filtrage des destinataires   Le filtrage des destinataires compare les destinataires sur message dans la commande SMTP RCPT TO: SMTP à une liste rouge de destinataires définie par l'administrateur. En cas de correspondance, le message ne peut pas pénétrer dans l'organisation. Le filtre des destinataires compare également les destinataires des messages entrants au répertoire des destinataires local pour déterminer le message est adressé à des destinataires valides. Si un message n'est pas adressé à des destinataires valides, il peut être rejeté au niveau du périmètre de réseau de votre organisation.

  • ID de l'expéditeur   L'ID de l'expéditeur utilise l'adresse IP du serveur d'envoi et la PRA (Purported Responsible Address) de l'expéditeur pour déterminer si l'identité de l’expéditeur est usurpée ou non. La PRA est calculée sur la base des en-têtes de message suivants :

    • Resent-Sender :

    • Resent-From :

    • Expéditeur :

    • De :

    Pour plus d'informations sur la PRA, consultez la rubrique ID de l'expéditeur et la RFC 4407.

  • Filtrage du contenu   Le filtrage du contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d'un message. Le filtre de messages intelligent est la technologie sous-jacente du filtrage du contenu Exchange. Le filtre de messages intelligent est basé sur une technologie brevetée d'apprentissage automatique développée par Microsoft Research. Au cours de son développement, ce filtre a appris à différencier les caractéristiques des messages électroniques légitimes de celles du courrier indésirable. Des mises à jour régulières effectuées à l'aide du service de mise à jour de la fonction de blocage du courrier indésirable de Microsoft garantissent que les informations les plus récentes sont toujours utilisées lors de l'exécution du filtre de messages intelligent. D'après les caractéristiques de millions de messages, le filtre de messages intelligent reconnaît les indicateurs de ces deux types de messages. Le filtre de messages intelligent peut évaluer précisément la probabilité qu'un message électronique entrant soit un message légitime ou du courrier indésirable.

    La mise en quarantaine du courrier indésirable est une fonctionnalité de l'Agent de filtrage du contenu qui réduit le risque de perte de messages légitimes erronément classifiés comme du courrier indésirable. La mise en quarantaine du courrier indésirable fournit un emplacement de stockage temporaire pour les messages identifiés comme courrier indésirable, qui ne doivent pas être remis à une boîte aux lettres d'utilisateur au sein de l'organisation.

    Le filtrage de contenu agit également sur la fonction d'agrégation de listes fiables. L'agrégation de listes fiables collecte des données des listes fiables de blocage du courrier indésirable que les utilisateurs de Microsoft Outlook et d'Office Outlook Web Access configurent, et met ces données à la disposition de l'Agent de filtrage du contenu sur l'ordinateur sur lequel le rôle serveur de transport Edge est installé dans Exchange 2007.

    Quand un administrateur Exchange active et configure correctement l'agrégation de listes fiables, l'Agent de filtrage du contenu transmet les messages électroniques sûrs à la boîte aux lettres de l'entreprise sans traitement supplémentaire. Les messages électroniques que les utilisateurs d'Outlook reçoivent de contacts ou que ces utilisateurs ont ajoutés à leur liste d'expéditeurs approuvés Outlook ou ont approuvés, sont identifiés comme fiables par l'Agent de filtrage du contenu. Le résultat est que les messages identifiés comme surs ne sont pas classifiés comme du courrier indésirable et écartés involontairement du système de messagerie.

  • Réputation de l'expéditeur   La réputation de l'expéditeur s'appuie sur des données conservées sur l'adresse IP du serveur expéditeur pour déterminer l'action éventuelle à appliquer à un message entrant. L'Agent d'analyse de protocole est l'agent sous-jacent qui implémente la fonctionnalité de réputation de l'expéditeur. Un niveau de réputation de l'expéditeur est calculé à partir de diverses caractéristiques de l'expéditeur dérivées de l'analyse du message et de tests externes.

    Les expéditeurs sont le SRL dépasse un seuil configurable sont bloqués temporairement. Toutes les connexions suivantes sont rejetées pendant une durée pouvant atteindre 48 heures.

    Outre la réputation d'adresse IP calculée localement, Exchange 2007 tire également parti des mises à jour de la fonction de blocage du courrier indésirable par réputation de l'adresse IP disponibles sur le site de Microsoft Update, qui fournissent des informations de réputation de l'expéditeur sur les adresses IP connues pour expédier du courrier indésirable.

  • Filtrage des pièces jointes   Le filtrage des pièces jointes filtre les messages sur la base du nom de fichier de la pièce jointe, de l'extension du nom de fichier ou du type de contenu MIME du fichier. Vous pouvez configurer un filtrage des pièces jointes pour bloquer un message et ses pièces jointes, pour écarter les pièces jointes et autoriser le passage du message ou supprimer silencieusement le message et ses pièces jointes.

  • Microsoft Forefront Security pour Exchange Server   Forefront Security pour Exchange Server est une solution logicielle antivirus étroitement intégrée dans Exchange 2007, qui offre une protection antivirus pour l'environnement Exchange. La protection antivirus offerte par Forefront Security pour Exchange Server est indépendante de la langue. L'installation, l'administration du produit et les notifications à l'utilisateur final sont toutefois disponibles dans 11 langues de serveur. Pour plus d'informations, consultez la page sur la protection d'une organisation Microsoft Exchange avec Microsoft Forefront Security pour Exchange Server.

  • Filtrage de courrier indésirable Outlook   Le filtre du courrier indésirable d'Outlook utilise une technologie de pointe pour déterminer si un message doit être traité comme du courrier indésirable en fonction de divers facteurs, tels que l'heure de l'envoi du message, son contenu et sa structure, ainsi que les métadonnées collectées par les filtres de courrier indésirable Exchange Server. Les messages capturés par le filtre sont déplacés vers un dossier de courrier indésirable auquel le destinataire peut accéder ultérieurement.

Marquages de courrier indésirable

Les marquages de courrier indésirable vous aident à diagnostiquer les problèmes de courrier indésirable en appliquant des métadonnées de diagnostic, ou « marquages », telles que des informations spécifiques à un expéditeur, des résultats de validation du puzzle et des résultats de filtrage du contenu, aux messages à mesure qu'ils sons soumis aux fonctionnalités de blocage du courrier indésirable qui filtrent les messages entrants en provenance d'Internet. Ces marquages visibles pour le client de messagerie de l'utilisateur final codent des informations spécifiques à l'expéditeur, la version du fichier de définitions du filtre du courrier indésirable, les résultats de la validation de puzzle Outlook et les résultats de filtrage du contenu.

Microsoft Update pour les services de blocage du courrier indésirable

Exchange 2007 offre désormais des services supplémentaires permettant de maintenir les composants de blocage du courrier indésirable à jour en tirant parti de l'infrastructure éprouvée de mises à jour de Microsoft.

Les mises à jour du filtre du courrier indésirable de Microsoft Exchange 2007 Standard Edition, sont effectuées toutes les deux semaines à partir du site Microsoft Update.

Le service de mise à jour de la fonction de blocage du courrier indésirable de Forefront Security pour Exchange Server est un service étendu qui met à jour le filtre du contenu quotidiennement via Microsoft Update. En outre, ce service étendu inclut les mises à jour des signatures de courrier indésirable et du service de réputation d'IP disponibles, en fonction des besoins, jusqu'à plusieurs fois par jour. Les mises à jour des signatures de courrier indésirable identifient les campagnes de courrier indésirable les plus récentes. Les mises à jour du service de réputation d'IP fournissent des informations sur la réputation de l'expéditeur en relation avec des adresses IP connues pour expédier du courrier indésirable.

Notes

Pour utiliser le service étendu, vous devez posséder la licence d'accès client (CAL) d'entreprise Exchange.

Utilisation des connecteurs de réception IPv6

Si Exchange Server 2007 Service Pack 1 (SP1) est déployé sur un ordinateur exécutant Windows Server 2008, vous pouvez entrer des adresses IP et des plages d'adresses IP au format du protocole IPv4 (Internet Protocol Version 4), du protocole IPv6 (Internet Protocol Version 6) ou aux deux formats. Une installation par défaut de Windows Server 2008 prend en charge les protocoles IPv4 et IPv6.

Il est fortement déconseillé de configurer les connecteurs de réception pour accepter des connexions anonymes d'adresses IPv6 inconnues. Si votre organisation doit recevoir des messages électroniques provenant d'expéditeurs utilisant des adresses IPv6, créez un connecteur de réception dédié limitant les adresses IP distantes aux adresses IPv6 spécifiques utilisées par ces expéditeurs.

Si vous configurez un connecteur de réception pour accepter des connexions anonymes d'adresses IPv6 inconnues, il est probable que la quantité de courrier indésirable pénétrant au sein de votre organisation augmente. Il n'existe pas actuellement de protocole standard largement accepté pour la recherche d'adresses IPv6. La plupart des fournisseurs de listes d'adresses IP bloquées ne prennent pas en charge les adresses IPv6. C'est pourquoi, si vous autorisez des connexions anonymes à partir d'adresses IPv6 inconnues sur un connecteur de réception, vous augmentez la probabilité que des expéditeurs de courrier indésirable contournent les listes d'adresses bloquées et parviennent à faire pénétrer du courrier indésirable dans votre organisation.

Utilisation des services Exchange hébergés

Le filtrage du courrier indésirable est amélioré par les sites Microsoft Exchange hébergés ou disponible en tant que service auprès de ces sites. Les services Exchange hébergés comprennent quatre services distincts :

  • filtrage hébergé, qui aide les organisations à se protéger des programmes malveillants de type e-mail-borne, notamment les virus et le courrier indésirable ;

  • archive hébergée, qui les aide à répondre aux exigences de rétention à des fins de conformité ;

  • chiffrement hébergé, qui les aide à chiffrer des données afin de préserver la confidentialité ;

  • continuité hébergée, qui les aide à conserver l'accès à la messagerie pendant et après des situations d'urgence.

Ces services s'intègrent avec tout serveur Exchange sur site géré en interne ou tout service de messagerie Exchange hébergé offert via des fournisseurs de service. Pour plus d'informations sur les services Exchange hébergés, consultez la page Services Microsoft Exchange hébergés.

Pour plus d'informations

Pour plus d'informations sur les fonctions de blocage du courrier indésirable et antivirus, consultez les rubriques suivantes :