Réputation de l’expéditeur et agent d’analyse de protocole
S’applique à : Exchange Server 2013
La réputation de l’expéditeur fait partie de la fonctionnalité exchange anti-courrier indésirable qui bloque les messages en fonction de nombreuses caractéristiques de l’expéditeur. La fonctionnalité de réputation de l'expéditeur s'appuie sur des données conservées relatives à l'expéditeur pour déterminer, le cas échéant, l'action à appliquer à un message entrant. L'agent d'analyse de protocole est l'agent sous-jacent pour la fonctionnalité de réputation de l'expéditeur.
Lorsque vous configurez des agents anti-courrier indésirable sur un serveur Exchange, les agents agissent sur les messages de manière cumulative pour réduire le nombre de messages non sollicités qui entrent dans l’organisation.
Calcul du niveau de réputation de l’expéditeur
Le niveau de réputation de l'expéditeur (SRL) est calculé à partir des statistiques suivantes :
Analyse HELO/EHLO : les commandes HELO et EHLO SMTP sont destinées à fournir le nom de domaine, tel que Contoso.com, ou l’adresse IP du serveur SMTP d’envoi au serveur SMTP de réception. Les utilisateurs malveillants, ou expéditeurs de courrier indésirable, usurpent fréquemment les instructions HELO/EHLO de différentes manières. Par exemple, ils tapent une adresse IP qui ne correspond pas à l’adresse IP de la provenance de la connexion. Les expéditeurs de courrier indésirable insèrent également des domaines connus pour être localement pris en charge sur le serveur destinataire dans une instruction HELO pour tenter de faire apparaître les domaines comme s'ils faisaient partie de l'organisation. Dans d'autres cas, les expéditeurs de courrier indésirable modifient le domaine transmis dans l'instruction HELO. Le comportement typique d'un utilisateur légitime peut être d'utiliser un ensemble relativement constant de plusieurs domaines dans ses instructions HELO.
Par conséquent, l’analyse de l’instruction HELO/EHLO par expéditeur peut indiquer que l’expéditeur est susceptible d’être un spammeur. Par exemple, un expéditeur qui fournit de nombreuses instructions HELO/EHLO uniques dans une période spécifique est plus susceptible d’être un expéditeur de courrier indésirable. Les expéditeurs qui fournissent systématiquement une adresse IP dans l’instruction HELO qui ne correspond pas à l’adresse IP d’origine déterminée par l’agent de filtre de connexion sont également plus susceptibles d’être des spammeurs. Les expéditeurs distants qui fournissent systématiquement un nom de domaine local dans l’instruction HELO qui se trouve dans la même organisation que le serveur Exchange sont également plus susceptibles d’être des expéditeurs de courrier indésirable.
Recherche DNS inversée : la réputation de l’expéditeur vérifie également que l’adresse IP d’origine à partir de laquelle l’expéditeur a transmis le message correspond au nom de domaine enregistré que l’expéditeur envoie dans la commande HELO ou EHLO SMTP.
La fonction de réputation de l'expéditeur effectue une requête DNS inverse en soumettant l'adresse IP d'origine au DNS. Le résultat renvoyé par le DNS est le nom de domaine enregistré en utilisant l'autorité de dénomination de domaine pour cette adresse IP. La fonction de réputation de l'expéditeur compare le nom de domaine qui est renvoyé par le DNS au nom de domaine que l'expéditeur a soumis dans la commande SMTP HELO/EHLO. Si les noms de domaine ne correspondent pas, il est probable que l'expéditeur soit un expéditeur de courrier indésirable et le seuil SRL global pour l'expéditeur est augmenté.
L'agent d'ID de l'expéditeur effectue une tâche similaire, mais la réussite de celle-ci repose sur les expéditeurs légitimes pour mettre à jour l'infrastructure DNS afin d'identifier tous les serveurs SMTP expéditeurs de messages électroniques dans l'organisation. En effectuant une recherche DNS inverse, vous contribuez à l'identification d'expéditeurs potentiels de courrier indésirable.
Analyse des évaluations SCL sur les messages d’un expéditeur particulier : lorsque l’agent de filtre de contenu traite un message, il attribue un niveau de confiance de courrier indésirable (SCL) au message. Le seuil de probabilité de courrier indésirable est un nombre compris entre 0 et 9. Une valeur élevée indique qu'un message est probablement un courrier indésirable. Les données sur chaque expéditeur et valeurs SCL que leurs messages génèrent sont conservées pour analyse par la fonction de réputation de l'expéditeur. La fonction de réputation de l'expéditeur calcule les statistiques sur un expéditeur en fonction du ratio entre tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL faible dans le passé et tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL élevée dans le passé. En outre, le nombre de messages ayant une valeur de contrôle d'accès SCL élevée que l'expéditeur a envoyé durant la dernière journée est appliqué au SRL général.
Test d’ouverture du proxy de l’expéditeur : un proxy ouvert est un serveur proxy qui accepte les demandes de connexion de n’importe où et transfère le trafic comme s’il provenait des hôtes locaux. Les serveurs proxy relaient le trafic TCP à travers les hôtes du pare-feu pour fournir à l'utilisateur un accès transparent aux applications via le pare-feu. Comme les protocoles proxy sont indépendants des protocoles d'application utilisateur, les proxy peuvent être utilisés par de nombreux services différents. Les proxy peuvent également être utilisés pour partager une connexion Internet unique entre plusieurs hôtes. Les proxy sont généralement définis de telle sorte que seuls les hôtes fiables au niveau du pare-feu peuvent utiliser les proxy. Il se peut qu'un expéditeur légitime soit un proxy ouvert en raison d'une mauvaise configuration involontaire ou d'un programme malveillant.
Les proxy ouverts fournissent aux utilisateurs malveillants une solution idéale pour masquer leur réelle identité et lancer des attaques par déni de service ou envoyer du courrier indésirable. Comme de plus en plus de serveurs proxy sont configurés pour être « ouverts par défaut », les proxy ouverts sont de plus en plus courants. En outre, les utilisateurs malveillants peuvent utiliser plusieurs proxy ouverts pour masquer l'adresse IP d'origine de l'expéditeur.
Lorsque la fonction de réputation de l'expéditeur effectue un test de proxy ouvert, elle le fait en mettant en forme une demande SMTP lors d'une tentative de reconnexion au serveur Exchange à partir du proxy ouvert. Si une demande SMTP est reçue du proxy, la fonction de réputation de l'expéditeur vérifie que le proxy est ouvert et met à jour les statistiques de test de proxy ouvert pour cet expéditeur.
La réputation de l'expéditeur pondère chacune de ces statistiques et calcule le SRL pour chaque expéditeur. Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu'un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l'expéditeur n'est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l'expéditeur est probablement un expéditeur de courrier indésirable.
Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l'expéditeur envoie une demande à l'agent de filtrage des expéditeurs et, par conséquent, empêche l'expéditeur d'envoyer un message à l'organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs bloqués pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l’agent de filtrage des expéditeurs. Les actions suivantes sont les options de gestion des messages bloqués :
Rejeter
Supprimer et archiver
Accepter et marquer comme expéditeur bloqué
Si un expéditeur est inclus dans la liste d'adresses IP bloquées ou le service de réputation d'IP de Microsoft, la fonctionnalité de réputation de l'expéditeur envoie une demande immédiate à l'agent de filtrage des expéditeurs pour bloquer l'expéditeur. Pour tirer parti de cette fonctionnalité, vous devez activer et configurer le service de mise à jour anti-courrier indésirable Microsoft Exchange.
Par défaut, la réputation de l'expéditeur définit un contrôle d'accès de 0 pour les expéditeurs qui n'ont pas été analysés. Une fois qu’un expéditeur a envoyé au moins 20 messages, la réputation de l’expéditeur calcule une SRL basée sur les statistiques répertoriées plus haut dans cette rubrique.
Utilisation de la liste de révocation de certificats
La fonction de réputation de l'expéditeur agit sur les messages durant deux phases de la session SMTP :
Dans la commande MAIL FROM : SMTP : La réputation de l’expéditeur agit sur un message uniquement si le message a été bloqué ou autrement traité par l’agent de filtre de connexion, l’agent de filtre d’expéditeur, l’agent de filtre de destinataire ou l’agent d’ID de l’expéditeur. Dans ce cas, la fonction de réputation de l'expéditeur récupère la valeur SRL actuelle de l'expéditeur à partir du profil expéditeur conservé sur le serveur Exchange. Lorsque cette valeur est récupérée et évaluée, la configuration du serveur Exchange impose le comportement d'une connexion particulière en fonction du seuil de blocage.
Après la commande SMTP « fin des données » : la commande SMTP de fin de transfert de données (EOD) est donnée lorsque toutes les données de message réelles sont envoyées. À ce stade de la session SMTP, de nombreux agents anti-courrier indésirable ont traité le message. En tant que sous-produit du traitement anti-courrier indésirable, les statistiques sur lesquelles repose la réputation de l’expéditeur sont mises à jour. Par conséquent, la fonctionnalité de réputation de l'expéditeur dispose des données nécessaires au calcul ou au nouveau calcul d'une valeur SRL pour l'expéditeur.
Pour plus d'informations, voir Gérer la réputation de l'expéditeur.
Activation et configuration de la détection des serveurs proxy ouverts
La réputation de l’expéditeur évalue plusieurs caractéristiques de l’expéditeur pour calculer une SRL. Parmi les caractéristiques évaluées par la réputation de l’expéditeur figurent les résultats d’un test pour les serveurs proxy ouverts. Souvent, les spammeurs acheminent les messages via des serveurs proxy ouverts sur Internet. En acheminant le courrier indésirable via des serveurs proxy ouverts, les expéditeurs de courrier indésirable peuvent envoyer des messages qui semblent provenir d’un serveur différent du leur.
Lorsque la réputation de l'expéditeur calcule une valeur SRL, elle tente de se connecter à l'adresse IP d'origine de l'expéditeur en utilisant une série de protocoles proxy ordinaires, tels que SOCKS4, SOCKS5, HTTP, Telnet, Cisco et Wingate. La réputation de l’expéditeur met en forme une requête spécifique au protocole dans une tentative de connexion au serveur de transport Edge à partir du serveur proxy ouvert à l’aide d’une requête SMTP. Si une demande SMTP est reçue du serveur proxy, la réputation de l'expéditeur vérifie que le serveur proxy est un serveur ouvert et ajuste le niveau de réputation de l'expéditeur en fonction de ce résultat. Par défaut, la détection des serveurs proxy ouverts est activée sur la réputation de l’expéditeur.
Pour plus d’informations sur l’activation et la configuration de la détection des serveurs proxy ouverts, consultez Gérer la réputation de l’expéditeur.
Définition du seuil de blocage SRL
Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. Vous devez définir un seuil pour le blocage de l’expéditeur par SRL. Ce seuil de blocage SRL définit la valeur de la liste de révocation de certificats qui doit être dépassée pour que la réputation de l’expéditeur bloque un expéditeur. Par défaut, la liste de révocation de certificats est définie sur 7. Vous devez surveiller l’efficacité de l’agent au niveau par défaut. Vous constaterez peut-être que vous pouvez ajuster la valeur pour répondre aux besoins de votre organisation. Si vous définissez d’autres agents anti-courrier indésirable de manière agressive, vous pourrez peut-être définir un seuil de SRL plus élevé pour la réputation de l’expéditeur que si les autres agents anti-courrier indésirable n’étaient pas définis de manière agressive. Pour plus d’informations sur la façon d’ajuster les configurations anti-courrier indésirable afin qu’elles fonctionnent ensemble pour réduire le courrier indésirable, consultez Protection anti-courrier indésirable.
Sur un serveur de transport Edge, si le seuil de blocage SRL est dépassé pour un expéditeur particulier, la réputation de l’expéditeur ajoute l’expéditeur à la liste d’adresses IP bloquées sur l’agent de filtre de connexion. Parfois, des expéditeurs de courrier indésirable envoient des lots de courrier indésirable à partir d'un expéditeur unique. Dans ce scénario, si la réputation de l'expéditeur calcule qu'une valeur SRL dépasse le seuil de blocage SRL, l'expéditeur est ajouté à la liste rouge des expéditeurs pendant une durée configurable. La durée par défaut est de 24 heures. Après 24 heures, l'expéditeur est supprimé de la liste de blocage des expéditeurs et peut de nouveau envoyer des messages.
Lorsqu'un expéditeur est ajouté à la liste rouge d'IP, la réputation de l'expéditeur supprime le profil de l'expéditeur. La réputation de l'expéditeur supprime le profil parce que le profil bloqué de l'expéditeur existant indique que le SRL de l'expéditeur excède le seuil de blocage SRL. Ceci engendre un nouvel ajout de l'expéditeur bloqué dans la liste d'interdiction d'IP une fois le blocage d'expéditeur terminé.
Pour plus d'informations, voir Gérer la réputation de l'expéditeur.