Réputation de l’expéditeur et agent d’analyse du protocole dans Exchange Server

  • Article

Le niveau de réputation de l'expéditeur est intégré à la fonctionnalité de blocage du courrier indésirable Exchange qui bloque les messages en fonction des nombreuses caractéristiques de l'expéditeur. La fonctionnalité de réputation de l'expéditeur s'appuie sur les données conservées sur l'expéditeur pour déterminer l'action à appliquer à un message entrant. L'agent d'analyse de protocole est l'agent sous-jacent pour la fonctionnalité de réputation de l'expéditeur.

Pour plus d’informations sur la configuration de la réputation de l’expéditeur et de l’agent d’analyse du protocole, consultez Procédures de réputation de l’expéditeur.

L'agent d'analyse de protocole est activé par défaut sur les serveurs de transport Edge, mais vous pouvez l'activer sur les serveurs de boîtes aux lettres. Pour plus d'informations, consultez la rubrique Activer le blocage du courrier indésirable sur des serveurs de boîtes aux lettres.

Calcul du niveau de réputation de l’expéditeur

Le niveau de réputation de l’expéditeur (SRL) est calculé à partir des statistiques suivantes :

  • Analyse HELO/EHLO : les commandes HELO et EHLO SMTP sont destinées à fournir le nom de domaine, tel que Contoso.com, ou l’adresse IP du serveur SMTP d’envoi au serveur SMTP de réception. Les utilisateurs malveillants, ou expéditeurs de courrier indésirable, usurpent fréquemment les instructions HELO/EHLO de différentes manières. Par exemple, ils tapent une adresse IP qui ne correspond pas à l’adresse IP de la provenance de la connexion. Les expéditeurs de courrier indésirable insèrent également des domaines connus pour être localement pris en charge sur le serveur destinataire dans une instruction HELO pour tenter de faire apparaître les domaines comme s'ils faisaient partie de l'organisation. Dans d'autres cas, les expéditeurs de courrier indésirable modifient le domaine transmis dans l'instruction HELO. Le comportement typique d'un utilisateur légitime peut être d'utiliser un ensemble relativement constant de plusieurs domaines dans ses instructions HELO.

    Par conséquent, l’analyse de l’énoncé HELO/EHLO sur une base de persévère peut indiquer que l’expéditeur est susceptible d’être un spammeur. Par exemple, un expéditeur qui fournit de nombreuses instructions HELO/EHLO uniques dans une période spécifique est plus susceptible d’être un expéditeur de courrier indésirable. Les expéditeurs qui fournissent systématiquement une adresse IP dans l’instruction HELO qui ne correspond pas à l’adresse IP d’origine déterminée par l’agent de filtrage de connexion sont également plus susceptibles d’être des spammeurs. Les expéditeurs distants qui fournissent systématiquement un nom de domaine local dans l’instruction HELO qui se trouve dans la même organisation que le serveur Exchange sont également plus susceptibles d’être des expéditeurs de courrier indésirable.

  • Recherche DNS inversée : la réputation de l’expéditeur vérifie également que l’adresse IP d’origine à partir de laquelle l’expéditeur a transmis le message correspond au nom de domaine enregistré que l’expéditeur envoie dans la commande HELO ou EHLO SMTP.

    La fonction de réputation de l'expéditeur effectue une requête DNS inverse en soumettant l'adresse IP d'origine au DNS. Le résultat renvoyé par le DNS est le nom de domaine enregistré en utilisant l'autorité de dénomination de domaine pour cette adresse IP. La fonction de réputation de l'expéditeur compare le nom de domaine qui est renvoyé par le DNS au nom de domaine que l'expéditeur a soumis dans la commande SMTP HELO/EHLO. Si les noms de domaine ne correspondent pas, il est probable que l'expéditeur soit un expéditeur de courrier indésirable et le seuil SRL global pour l'expéditeur est augmenté.

    L'agent d'ID de l'expéditeur effectue une tâche similaire, mais la réussite de celle-ci repose sur les expéditeurs légitimes pour mettre à jour l'infrastructure DNS afin d'identifier tous les serveurs SMTP expéditeurs de messages électroniques dans l'organisation. En effectuant une recherche DNS inverse, vous contribuez à l'identification d'expéditeurs potentiels de courrier indésirable.

  • Analyse des évaluations SCL sur les messages d’un expéditeur particulier : lorsque l’agent de filtre de contenu traite un message, il attribue un niveau de confiance de courrier indésirable (SCL) au message. Le seuil de probabilité de courrier indésirable est un nombre compris entre 0 et 9. Une valeur élevée indique qu'un message est probablement un courrier indésirable. Les données sur chaque expéditeur et valeurs SCL que leurs messages génèrent sont conservées pour analyse par la fonction de réputation de l'expéditeur. La fonction de réputation de l'expéditeur calcule les statistiques sur un expéditeur en fonction du ratio entre tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL faible dans le passé et tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL élevée dans le passé. En outre, le nombre de messages ayant une valeur de contrôle d'accès SCL élevée que l'expéditeur a envoyé durant la dernière journée est appliqué au SRL général.

  • Test d’ouverture du proxy de l’expéditeur : un proxy ouvert est un serveur proxy qui accepte les demandes de connexion de n’importe où et transfère le trafic comme s’il provenait des hôtes locaux. Les serveurs proxy relaient le trafic TCP à travers les hôtes du pare-feu pour fournir à l'utilisateur un accès transparent aux applications via le pare-feu. Comme les protocoles proxy sont indépendants des protocoles d'application utilisateur, les proxy peuvent être utilisés par de nombreux services différents. Les proxy peuvent également être utilisés pour partager une connexion Internet unique entre plusieurs hôtes. Les proxy sont généralement définis de telle sorte que seuls les hôtes fiables au niveau du pare-feu peuvent utiliser les proxy. Il se peut qu'un expéditeur légitime soit un proxy ouvert en raison d'une mauvaise configuration involontaire ou d'un programme malveillant.

    Les proxy ouverts fournissent aux utilisateurs malveillants une solution idéale pour masquer leur réelle identité et lancer des attaques par déni de service ou envoyer du courrier indésirable. Comme de plus en plus de serveurs proxy sont configurés pour être « ouverts par défaut », les proxy ouverts sont de plus en plus courants. En outre, les utilisateurs malveillants peuvent utiliser plusieurs proxy ouverts pour masquer l'adresse IP d'origine de l'expéditeur.

    Lorsque la fonction de réputation de l'expéditeur effectue un test de proxy ouvert, elle le fait en mettant en forme une demande SMTP lors d'une tentative de reconnexion au serveur Exchange à partir du proxy ouvert. Si une demande SMTP est reçue du proxy, la fonction de réputation de l'expéditeur vérifie que le proxy est ouvert et met à jour les statistiques de test de proxy ouvert pour cet expéditeur.

La réputation de l'expéditeur pondère chacune de ces statistiques et calcule le SRL pour chaque expéditeur. Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu'un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l'expéditeur n'est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l'expéditeur est probablement un expéditeur de courrier indésirable.

Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l'expéditeur envoie une demande à l'agent de filtrage des expéditeurs et, par conséquent, empêche l'expéditeur d'envoyer un message à l'organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs bloqués pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l'agent de filtrage des expéditeurs. Les actions suivantes correspondent aux options de gestion des messages bloqués :

  • Rejeter : les messages sont retournés dans un rapport de non-remise (également appelé notification d’échec de remise, notification d’état de remise, DSN ou message de rebond)

  • Supprimer : les messages sont supprimés en mode silencieux sans remise.

  • Accepter : les messages sont acceptés et marqués comme provenant d’un expéditeur bloqué

Pour plus d'informations sur l'agent de filtrage des expéditeurs, consultez la rubrique Filtrage des expéditeurs.

Si un expéditeur est inclus dans la liste d'adresses IP bloquées ou le service de réputation d'IP de Microsoft, la fonctionnalité de réputation de l'expéditeur envoie une demande immédiate à l'agent de filtrage des expéditeurs pour bloquer l'expéditeur. Pour profiter des avantages de cette fonctionnalité, vous devez activer et configurer le service de mise à jour anti-courrier indésirable de Microsoft Exchange.

Par défaut, la réputation de l'expéditeur définit un contrôle d'accès de 0 pour les expéditeurs qui n'ont pas été analysés. Quand un expéditeur a envoyé 20 messages ou plus, la fonctionnalité de réputation de l'expéditeur calcule un SRL à partir des statistiques précédemment décrites dans cette rubrique.

Quand utiliser le niveau de réputation de l’expéditeur

La fonction de réputation de l’expéditeur agit sur les messages durant deux phases de la session SMTP :

  • Dans la commande MAIL FROM: SMTP : La réputation de l’expéditeur agit sur un message uniquement si le message a été bloqué ou autrement traité par l’agent de filtrage de connexion, l’agent de filtre d’expéditeur, l’agent de filtre de destinataire ou l’agent d’ID de l’expéditeur. Dans ce cas, la fonction de réputation de l'expéditeur récupère la valeur SRL actuelle de l'expéditeur à partir du profil expéditeur conservé sur le serveur Exchange. Lorsque cette valeur est récupérée et évaluée, la configuration du serveur Exchange impose le comportement d'une connexion particulière en fonction du seuil de blocage.

  • Après la commande SMTP « fin des données » : la commande SMTP de fin de transfert de données (EOD) est donnée lorsque toutes les données de message réelles sont envoyées. À ce point de la session SMTP, de nombreux agents de blocage du courrier indésirable ont traité le message. En tant que sous-produit du traitement de blocage du courrier indésirable, les statistiques sur lesquelles la fonctionnalité de réputation de l'expéditeur se base sont mises à jour. Par conséquent, la fonctionnalité de réputation de l'expéditeur dispose des données nécessaires au calcul ou au nouveau calcul d'une valeur SRL pour l'expéditeur.

Configuration de la détection des serveurs proxy ouverts

Lorsque la réputation de l'expéditeur calcule une valeur SRL, elle tente de se connecter à l'adresse IP d'origine de l'expéditeur en utilisant une série de protocoles proxy ordinaires, tels que SOCKS4, SOCKS5, HTTP, Telnet, Cisco et Wingate. La réputation de l'expéditeur met en forme une demande spécifique au protocole en tentant de se reconnecter au serveur Exchange depuis le serveur proxy ouvert à l'aide d'une demande SMTP (Simple Mail Transfer Protocol). Si une demande SMTP est reçue du serveur proxy, la réputation de l'expéditeur vérifie que le serveur proxy est un serveur ouvert et ajuste le niveau de réputation de l'expéditeur en fonction de ce résultat. Par défaut, la détection de serveurs proxy ouverts est activée dans la réputation de l'expéditeur.

Pour plus d’informations sur la configuration de la détection des serveurs proxy ouverts, consultez Procédures de réputation de l’expéditeur.

Définition du seuil de blocage SRL

Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. Vous devez définir le seuil de blocage SRL pour spécifier la valeur SRL qui entraîne le blocage d'un expéditeur par la fonction de réputation de l'expéditeur. Par défaut, le seuil de blocage SRL est de 7 : les expéditeurs qui ont un SRL de 7, 8 ou 9 sont alors bloqués. Vous devez contrôler l'efficacité de la fonction de réputation de l'expéditeur et de l'agent d'analyse de protocole au niveau par défaut.

Sur un serveur de transport Edge, si un expéditeur particulier atteint ou dépasse le seuil de blocage SRL, la réputation de l'expéditeur ajoute l'expéditeur à la liste rouge des expéditeurs de l'agent de filtrage des connexions. Parfois, des expéditeurs de courrier indésirable envoient des lots de courrier indésirable à partir d'un expéditeur unique. Dans ce scénario, si la réputation de l'expéditeur calcule qu'une valeur SRL dépasse le seuil de blocage SRL, l'expéditeur est ajouté à la liste rouge des expéditeurs pendant une durée configurable. La durée par défaut est de 24 heures. Après 24 heures, l'expéditeur est supprimé de la liste de blocage des expéditeurs et peut de nouveau envoyer des messages.

Lorsqu'un expéditeur est ajouté à la liste rouge d'IP, la réputation de l'expéditeur supprime le profil de l'expéditeur. La réputation de l'expéditeur supprime le profil parce que le profil bloqué de l'expéditeur existant indique que le SRL de l'expéditeur excède le seuil de blocage SRL. Ceci engendre un nouvel ajout de l'expéditeur bloqué dans la liste d'interdiction d'IP une fois le blocage d'expéditeur terminé.

Pour plus d’informations sur la configuration du blocage de l’expéditeur, consultez Procédures de réputation de l’expéditeur.