Filtrage des destinataires sur les serveurs de transport Edge

  • Article

S’applique à : Exchange Server 2013

Le filtrage des destinataires est une fonctionnalité anti-courrier indésirable de Microsoft Exchange Server 2013 qui s'appuie sur l'en-tête RCPT TO SMTP pour déterminer quelle action entreprendre sur un message entrant, si nécessaire. Le filtrage des destinataires est effectué par l'agent de filtrage des destinataires.

L'agent de filtrage des destinataires bloque les messages en fonction des caractéristiques du destinataire concerné au sein de l'organisation. L'agent de filtrage des destinataires peut vous aider à empêcher l'acceptation des messages dans les scénarios suivants :

  • Destinataires inexistants : vous pouvez empêcher la remise aux destinataires qui ne figurent pas dans le carnet d’adresses de l’organisation. Par exemple, vous souhaiterez peut-être arrêter la remise de noms de comptes fréquemment utilisés à mauvais escient, tels que administrator@contoso.com ou support@contoso.com.

  • Listes de distribution restreintes : vous pouvez empêcher la remise du courrier Internet aux listes de distribution qui doivent être utilisées uniquement par les utilisateurs internes.

  • Boîtes aux lettres qui ne doivent jamais recevoir de messages en provenance d’Internet : vous pouvez empêcher la remise de messages Internet vers une boîte aux lettres ou un alias spécifique qui est généralement utilisé au sein de l’organisation, tel que le support technique.

L'agent de filtrage des destinataires agit sur les destinataires figurant dans l'une des sources de données suivantes :

  • Liste de blocage des destinataires : liste définie par l’administrateur des destinataires qui ne doivent jamais recevoir de messages d’Internet.

  • Recherche de destinataire : interroge Active Directory pour vérifier que le destinataire existe dans l’organisation. Sur un serveur de transport Edge, la recherche de destinataire requiert l'accès aux informations Active Directory fournies par EdgeSync à l'instance locale des services AD LDS (Active Directory Lightweight Directory Services).

Lorsque vous activez l'agent de filtrage des destinataires, l'une des actions suivantes est appliquée aux messages entrants en fonction des caractéristiques des destinataires. Ces destinataires sont indiqués par l'en-tête RCPT TO.

  • Si le message entrant contient un destinataire figurant dans la liste des destinataires bloqués, le serveur Exchange envoie une 550 5.1.1 User unknown erreur de session SMTP au serveur d’envoi.

  • Si le message entrant contient un destinataire qui ne correspond à aucun destinataire dans recherche de destinataire, le serveur Exchange envoie une 550 5.1.1 User unknown erreur de session SMTP au serveur d’envoi.

  • Si le destinataire ne figure pas dans la liste des destinataires bloqués et que le destinataire est dans la recherche de destinataire, le serveur Exchange envoie une 250 2.1.5 Recipient OK réponse SMTP au serveur d’envoi, et l’agent anti-courrier indésirable suivant dans la chaîne traite le message.

Configuration de la recherche de destinataire

L'une des manières les plus efficaces de réduire le courrier indésirable consiste à valider des destinataires avant d'accepter les messages entrants en provenance d'Internet. Vous activez le blocage des messages envoyés aux destinataires qui n'existent pas dans l'organisation Exchange et le blocage de destinataires spécifiques à l'aide de la cmdlet Set-RecipientFilterConfig dans l'environnement de ligne de commande Exchange Management Shell. Pour plus d'informations, voir Gérer le filtrage des destinataires sur les serveurs de transport Edge.

Si un serveur de transport Edge est installé dans votre réseau de périmètre, vous pouvez configurer l'instance des services AD LDS qui s'exécute sur ce serveur pour qu'elle se synchronise avec Active Directory. Par défaut, AD LDS est installé et configuré sur le serveur de transport Edge. Toutefois, vous devez configurer les services AD LDS pour qu'ils communiquent avec un serveur de catalogue global joint au domaine Active Directory en abonnant le serveur de transport Edge à votre organisation. Pour plus d’informations, consultez Utiliser un serveur de transport Edge Exchange 2010 ou 2007 dans Exchange 2013.

Fonctionnalité de répulsion

La fonctionnalité de recherche de destinataire permet au serveur d’envoi de déterminer la validité d’une adresse e-mail. Comme mentionné précédemment, lorsque le destinataire d’un message entrant est un destinataire connu, le serveur Exchange renvoie une 250 2.1.5 Recipient OK réponse SMTP au serveur d’envoi. Cette fonctionnalité fournit un environnement idéal pour une attaque visant à recueillir des informations d'annuaire.

Une attaque de collecte d’annuaires est une tentative de collecte d’adresses e-mail valides auprès d’une organisation particulière afin que les adresses e-mail puissent être ajoutées à une base de données de courrier indésirable. Étant donné que tous les revenus de courrier indésirable reposent sur la tentative d’ouverture des messages électroniques des personnes, les adresses connues pour être actives sont une commodité que les utilisateurs malveillants, ou les expéditeurs de courrier indésirable, paient. Comme le protocole SMTP fournit un feed-back sur les expéditeurs connus et les expéditeurs inconnus, un expéditeur de courrier indésirable peut écrire un programme automatisé qui utilise des noms communs ou des termes d'un dictionnaire pour générer des adresses de messagerie pour un domaine spécifique. Le programme collecte toutes les adresses e-mail qui retournent une 250 2.1.5 Recipient OK réponse SMTP et ignore toutes les adresses e-mail qui renvoient une 550 5.1.1 User unknown erreur de session SMTP. L'expéditeur de courrier indésirable peut ensuite vendre les adresses valides ou les utiliser comme destinataires de messages non sollicités.

Pour lutter contre les attaques visant à recueillir des informations d'annuaire, Exchange 2013 inclut une fonctionnalité de répulsion. Tarpitting est la pratique qui consiste à retarder artificiellement les réponses du serveur pour des modèles de communication SMTP spécifiques qui indiquent des volumes élevés de courrier indésirable ou d’autres messages indésirables. Le but de la répulsion est de ralentir le processus de communication pour un tel trafic de messages de façon à ce que le coût d'expédition du courrier indésirable augmente pour la personne ou l'organisation émettrice. La répulsion rend une automatisation efficace des attaques visant à recueillir des informations d'annuaire trop coûteuse.

Si tarpitting n’est pas configuré, le serveur Exchange renvoie immédiatement une 550 5.1.1 User unknown erreur de session SMTP à l’expéditeur lorsqu’un destinataire ne se trouve pas dans recherche de destinataire. Sinon, si tarpitting est configuré, SMTP attend un nombre spécifié de secondes avant de retourner l’erreur 550 5.1.1 User unknown . Cette pause dans la session SMTP rend l'automatisation d'une attaque visant à recueillir des informations d'annuaire plus compliquée et moins rentable pour l'expéditeur de courrier indésirable. Par défaut, la répulsion est configurée pour 5 secondes sur les connecteurs de réception.

Pour configurer le délai avant que SMTP retourne l’erreur 550 5.1.1 User unknown , vous définissez l’intervalle tarpitting à l’aide du paramètre TarpitInterval sur l’applet de commande Set-ReceiveConnector . La syntaxe est la suivante :

Set-ReceiveConnector <Receive Connector> -TarpitInterval <00:00:00 to 00:10:00>

La valeur par défaut est 00:00:05 ou 5 secondes. Le nom du connecteur de réception par défaut sur un serveur de transport Edge est Default internal receive connector <server name>.

Modifiez cet intervalle de répulsion avec prudence. Un intervalle trop long pourrait interrompre le flux de messages normal, tandis qu'un intervalle trop court peut être insuffisant pour contrarier une attaque visant à recueillir des informations d'annuaire. Si vous modifiez l'intervalle de répulsion, faites-le par petits incréments et vérifiez les résultats. Par exemple, si la valeur de 5 secondes n'est pas efficace, essayez de passer à un intervalle de 10 secondes.

Espaces de noms multiples

L'agent de filtrage des destinataires effectue des recherches de destinataires uniquement pour les domaines faisant autorité. Si votre organisation accepte et transfère des messages pour un autre domaine configuré en tant que domaine de relais interne ou externe, l'agent de filtrage des destinataires n'effectue pas de recherche de destinataire sur les destinataires de ces domaines. Toutefois, si le destinataire figure sur la liste rouge de destinataires, il sera bloqué par l'agent de filtrage des destinataires.

Notez que vous pouvez également configurer des domaines acceptés localement sur un serveur de transport Edge. Si le domaine est configuré en tant que domaine de relais interne ou externe, l'agent de filtrage des destinataires sur le serveur de transport Edge n'effectue pas non plus de recherche de destinataire sur les destinataires de ces domaines.