Filtrage de connexion sur les serveurs de transport Edge
S’applique à : Exchange Server 2013
Le filtrage de connexion est une fonctionnalité anti-courrier indésirable dans Microsoft Exchange Server 2013 qui autorise ou bloque les e-mails en fonction de la source du message. Le filtrage des connexions est effectué par l’agent de filtrage des connexions qui est disponible uniquement sur les serveurs de transport Edge. L’agent de filtrage des connexions s’appuie sur l’adresse IP du serveur de messagerie expéditeur pour déterminer les mesures à prendre, s’il y en a, concernant un message entrant.
Par défaut, l’agent de filtrage des connexions est le premier agent anti-courrier indésirable à évaluer un message entrant sur un serveur de transport Edge. L’adresse IP source de la connexion SMTP est comparée aux adresses IP autorisées ou bloquées. Si l’adresse IP source figure dans la liste des adresses IP autorisées, aucun traitement supplémentaire n’est nécessaire. Le message est ensuite envoyé. Si l’adresse IP source est bloquée, la connexion SMTP est supprimée. Si l’adresse IP source n’est pas autorisée ou bloquée, le message passe par les autres agents anti-courrier indésirable sur le serveur de transport Edge.
Le filtrage des connexions compare l’adresse IP du serveur de messagerie source aux valeurs des magasins de données suivants :
- Liste d’adresses IP autorisées
- Liste d’adresses IP bloquées
- Fournisseurs de liste d’adresses IP autorisées
- Fournisseurs de liste d’adresses IP bloquées
Configurez au moins un magasin de données d’adresses IP pour que le filtrage des connexions fonctionne. Si vous ne spécifiez pas de données d'adresses IP, désactivez l'agent de filtrage des connexions. Pour plus d'informations, voir Gérer le filtrage des connexions sur les serveurs de transport Edge.
Liste d’adresses IP bloquées
La liste d’adresses IP bloquées contient les adresses IP des serveurs de messagerie que vous souhaitez bloquer. Vous gérez manuellement les adresses IP dans la liste d’adresses IP bloquées. Vous pouvez ajouter des adresses IP individuelles ou des plages d’adresses IP. Vous pouvez spécifier un délai d’expiration indiquant combien de temps l’entrée d’adresse IP sera bloquée. Lorsque l’heure d’expiration est atteinte, l’entrée d’adresse IP dans la liste d’adresses IP bloquées est désactivée.
Si l’agent de filtrage des connexions trouve l’adresse IP source dans la liste d’adresses IP bloquées, la connexion SMTP est supprimée une fois que tous les en-têtes RCPT TO (destinataires d’enveloppe) du message sont traités.
Les adresses IP peuvent également être ajoutées automatiquement à la liste d’adresses IP bloquées par la fonctionnalité Réputation de l’expéditeur de l’agent Analyse du protocole. Pour plus d'informations, voir Réputation de l'expéditeur et agent d'analyse de protocole.
Liste d’adresses IP autorisées
La liste d’adresses IP autorisées contient les adresses IP des serveurs de messagerie que vous souhaitez désigner comme sources de courrier dignes de confiance. Email des serveurs de messagerie que vous spécifiez dans la liste d’adresses IP autorisées n’est pas traitée par d’autres agents anti-courrier indésirable Exchange.
Vous conservez manuellement les adresses IP dans la liste d’adresses IP autorisées. Vous pouvez ajouter des adresses IP individuelles ou des plages d’adresses IP. Vous pouvez spécifier un délai d’expiration indiquant combien de temps l’entrée d’adresse IP sera autorisée. Lorsque l’heure d’expiration est atteinte, l’entrée dans la liste d’adresses IP autorisées est désactivée.
Fournisseurs de liste d’adresses IP bloquées
Les fournisseurs de listes d’adresses IP bloquées sont fréquemment appelés listes de blocage en temps réel, ou rbLs. Les fournisseurs de listes d’adresses IP bloquées compilent des listes d’adresses IP de serveur de messagerie qui envoient du courrier indésirable. De nombreux fournisseurs de listes d’adresses IP bloquées compilent également des listes d’adresses IP de serveur de messagerie qui peuvent être utilisées pour le courrier indésirable. Il s’agit par exemple des serveurs de messagerie configurés comme relais ouvert, des fournisseurs de services Internet qui attribuent des adresses IP dynamiques et des fournisseurs de services Internet qui autorisent le trafic sur les serveurs de messagerie SMTP à partir de comptes d’accès à distance.
Lorsque vous configurez le filtrage des connexions pour utiliser un fournisseur de liste d’adresses IP bloquées, l’agent de filtrage des connexions compare l’adresse IP du serveur de messagerie qui se connecte à la liste des adresses IP du fournisseur de liste d’adresses IP bloquées. S’il existe une correspondance, le message n’est pas autorisé dans votre organisation. Vous pouvez configurer le filtrage des connexions pour utiliser plusieurs fournisseurs de liste d’adresses IP bloquées et affecter des valeurs de priorité différentes à chaque fournisseur.
L’agent de filtrage des connexions vérifie l’adresse IP source au niveau de la liste d’adresses IP autorisées et de la liste d’adresses IP bloquées. Si l’adresse IP n’existe pas dans l’une ou l’autre liste, l’agent de filtrage des connexions interroge le fournisseur de liste d’adresses IP bloquées en fonction de la valeur de priorité que vous avez affectée. Si l’adresse IP est définie sur un fournisseur de liste d’adresses IP bloquées, le serveur de transport Edge attend et traite l’en-tête RCPT TO , répond au serveur de messagerie d’envoi avec une SMTP 550 erreur et ferme la connexion. La connexion n’est pas immédiatement supprimée afin que la tentative de connexion puisse être journalisée, et parce que vous pouvez spécifier des destinataires qui ne peuvent pas avoir de messages bloqués par les fournisseurs de liste d’adresses IP bloquées.
Si l’adresse IP n’est définie sur aucun des fournisseurs de liste d’adresses IP bloquées, l’agent de filtrage de contenu remet le message à l’agent de transport suivant sur le serveur de transport Edge.
Pour chaque fournisseur de liste d’adresses IP bloquées, vous pouvez personnaliser l’erreur SMTP 550 retournée à l’expéditeur lorsqu’un message est bloqué. Identifiez le fournisseur de liste d’adresses IP bloquées qui a identifié la source du message comme courrier indésirable. Si un serveur de messagerie source légitime est identifié par erreur comme source de courrier indésirable, l’administrateur peut alors contacter le fournisseur de liste d’adresses IP bloquées et prendre les mesures nécessaires pour supprimer le serveur de messagerie du fournisseur de liste d’adresses IP bloquées.
Les fournisseurs de listes d’adresses IP bloquées peuvent retourner différents codes pour identifier la raison pour laquelle une adresse IP est définie dans leurs listes. La plupart des fournisseurs de listes d’adresses IP bloquées retournent des types de données masque de bits ou valeur absolue. Dans ces types de données, le fournisseur de liste d’adresses IP bloquées peut utiliser plusieurs valeurs pour classifier l’adresse IP par type de menace.
Il existe des problèmes à prendre en compte lors de l’utilisation des fournisseurs de liste d’adresses IP bloquées :
Les pannes ou retards au niveau du service fournisseur de listes d’adresses IP bloquées peuvent entraîner des retards dans le traitement des messages sur le serveur de transport Edge. Sélectionnez des fournisseurs de liste d’adresses IP bloquées fiables.
Les serveurs source que vous considérez comme légitimes peuvent être identifiés à tort comme sources de courrier indésirable. Par exemple, un serveur de messagerie peut être involontairement configuré pour servir de relais ouvert. Sélectionnez les fournisseurs de liste d’adresses IP bloquées qui fournissent des procédures claires pour l’évaluation et la suppression de leurs services.
Exemples de code en masques de bits et en valeur absolue
Cette section montre un exemple des codes d’état retournés par la plupart des fournisseurs de liste de blocage. Pour plus d'informations sur les codes d'état qu'un fournisseur renvoie, consultez la documentation de ce fournisseur.
Pour les types de données de masque de bits, le service fournisseur de listes d’adresses IP bloquées retourne un code d’état 127.0.0. x, où l’entier x est l’une des valeurs répertoriées dans le tableau suivant.
| Valeur | Code d'état |
|---|---|
| 1 | L’adresse IP figure dans une liste d’adresses IP bloquées. |
| 2 | Le serveur SMTP est configuré pour agir comme un relais ouvert. |
| 4 | L'adresse IP prend en charge une adresse IP d'appel. |
Pour les types à valeur absolue, le fournisseur de listes de blocage IP retourne des réponses explicites qui définissent la raison pour laquelle l’adresse IP est définie dans leurs listes de blocage. Le tableau suivant présente des exemples de valeurs absolues et les réponses explicites.
| Valeur | Réponse explicite |
|---|---|
| 127.0.0.2 | L'adresse IP est une source de courrier indésirable direct. |
| 127.0.0.4 | L'adresse IP est un expéditeur de courrier non sollicité. |
| 127.0.0.5 | Le serveur distant qui expédie le message est connu pour prendre en charge des relais ouverts multiniveau. |
Fournisseurs de liste d’adresses IP autorisées
Les fournisseurs de listes d’autorisation IP sont également appelés listes fiables ou listes d’autorisation. Les fournisseurs de listes d’autorisation IP sont configurés comme les fournisseurs de liste d’adresses IP bloquées, mais les résultats sont les contraires : ils définissent les adresses IP du serveur de messagerie qui ne sont certainement pas associées à l’activité de courrier indésirable. Si l’adresse IP du serveur de messagerie qui se connecte est définie sur un fournisseur de liste d’adresses IP autorisées, le message n’est pas traité par d’autres agents anti-courrier indésirable Exchange. Pour cette raison, les fournisseurs de listes d’adresses IP bloquées sont utilisés beaucoup plus fréquemment que les fournisseurs de listes d’adresses IP autorisées. Choisissez soigneusement vos fournisseurs de liste d’adresses IP autorisées.
Tester les fournisseurs de listes d’adresses IP bloquées et les fournisseurs de liste d’adresses IP autorisées
Après avoir configuré le filtrage de connexion pour utiliser un fournisseur de liste d’adresses IP bloquées ou une liste d’adresses IP autorisées, vous pouvez exécuter des tests pour vérifier que les fournisseurs fonctionnent correctement. La plupart des fournisseurs fournissent des adresses IP de test que vous pouvez utiliser pour évaluer leurs services. Lorsque vous testez un fournisseur, l’agent de filtrage des connexions émet une requête DNS censée déclencher une réponse spécifique de la part du fournisseur. Pour plus d’informations sur la façon de tester les adresses IP par rapport à un service fournisseur de listes d’adresses IP bloquées ou à un service de fournisseur de listes d’adresses IP autorisées, consultez Gérer le filtrage des connexions sur les serveurs de transport Edge.
Configurer le filtrage des connexions sur des serveurs de transport Edge qui ne sont pas directement connectés à Internet.
Vous pouvez utiliser le filtrage des connexions sur des serveurs de transport Edge qui ne reçoivent pas de courrier électronique directement d’Internet. Dans ce scénario, le serveur de transport Edge se trouve derrière un autre serveur de messagerie qui reçoit et traite les messages directement à partir d’Internet. Par exemple, votre organisation peut envoyer du trafic de courrier électronique via un serveur, un service ou une appliance anti-courrier indésirable avant que les messages n’atteignent le serveur de transport Edge. Dans ce scénario, l’agent de filtrage des connexions doit extraire la véritable adresse IP d’origine du message. Pour extraire l’adresse IP source du message, l’agent de filtrage des connexions doit analyser les valeurs du champ d’en-tête Reçu dans l’en-tête du message et comparer ces valeurs aux adresses IP connues du serveur de messagerie qui se trouve entre le serveur de transport Edge et Internet.
Chaque serveur de messagerie qui accepte et relaie un message SMTP sur le chemin de remise du message ajoute son propre champ d'en-tête Reçu dans l'en-tête du message. L'en-tête Reçu contient généralement le nom de domaine et l'adresse IP du serveur de messagerie ayant traité le message.
Si le serveur de transport Edge n’accepte pas les messages provenant directement d’Internet, vous devez utiliser le paramètre InternalSMTPServers sur l’applet de commande Set-TransportConfig sur un serveur de boîtes aux lettres Exchange 2013 pour identifier l’adresse IP du serveur de messagerie qui se trouve entre le serveur de transport Edge et Internet. Les données d'adresse IP sont répliquées sur les serveurs de transport Edge par EdgeSync. Lorsque les messages sont reçus par le serveur de transport Edge, l’agent de filtrage des connexions suppose que les adresses IP du champ d’en-tête Reçu qui ne correspondent à aucune valeur spécifiée par le paramètre InternalSMTPServers est l’adresse IP source à vérifier. Par conséquent, vous devez spécifier tous les serveurs SMTP internes pour que le filtrage des connexions fonctionne correctement.