Réputation de l’expéditeur et agent d’analyse de protocole

[Cette rubrique est une documentation préliminaire et peut être modifiée dans les versions ultérieures. Des rubriques vides sont incluses comme espaces réservés. N’hésitez pas à nous transmettre vos commentaires. Envoyez-nous un e-mail à l’adresse ExchangeHelpFeedback@microsoft.com.]  

S’applique à :Exchange Server 2016

Découvrez comment le niveau de réputation de l’expéditeur (SRL) de la fonctionnalité de blocage du courrier indésirable dans Exchange 2016 bloque les messages en fonction des nombreuses caractéristiques de l’expéditeur.

Le niveau de réputation de l’expéditeur est intégré à la fonctionnalité de blocage du courrier indésirable Exchange qui bloque les messages en fonction des nombreuses caractéristiques de l’expéditeur. La fonctionnalité de réputation de l’expéditeur s’appuie sur les données conservées sur l’expéditeur pour déterminer l’action à appliquer à un message entrant. L’agent d’analyse de protocole est l’agent sous-jacent pour la fonctionnalité de réputation de l’expéditeur.

Pour plus d’informations sur la configuration de la fonctionnalité de réputation de l’expéditeur et l’agent d’analyse de protocole, voir Procédures de la réputation de l’expéditeur.

L’agent d’analyse de protocole est activé par défaut sur les serveurs de transport Edge, mais vous pouvez l’activer sur les serveurs de boîtes aux lettres. Pour plus d’informations, consultez la rubrique Activer le blocage du courrier indésirable sur des serveurs de boîtes aux lettres.

Contenu

Calcul du niveau de réputation de l'expéditeur

Quand utiliser le niveau de réputation de l'expéditeur

Configuration de la détection des serveurs proxy ouverts

Définition du seuil de blocage SRL

Le niveau de réputation de l’expéditeur (SRL) est calculé à partir des statistiques suivantes :

  • Analyse HELO/EHLO   Les commandes SMTP HELO et EHLO sont destinées à fournir un nom de domaine, tel que Contoso.com, ou une adresse IP du serveur SMTP de l’expéditeur au serveur SMTP du destinataire. Les utilisateurs malveillants, ou expéditeurs de courrier indésirable, usurpent fréquemment les instructions HELO/EHLO de différentes manières. Par exemple, ils tapent une adresse IP qui ne correspond pas à l’adresse IP de la provenance de la connexion. Les expéditeurs de courrier indésirable insèrent également des domaines connus pour être localement pris en charge sur le serveur destinataire dans une instruction HELO pour tenter de faire apparaître les domaines comme s’ils faisaient partie de l’organisation. Dans d’autres cas, les expéditeurs de courrier indésirable modifient le domaine transmis dans l’instruction HELO. Le comportement typique d’un utilisateur légitime peut être d’utiliser un ensemble relativement constant de plusieurs domaines dans ses instructions HELO.

    Par conséquent, l’analyse de l’instruction HELO/EHLO sur une base expéditeur peut indiquer que l’expéditeur est vraisemblablement un expéditeur de courrier indésirable. Par exemple, un expéditeur qui fournit de nombreuses instructions HELO/EHLO uniques dans une période spécifique, un expéditeur qui fournit constamment une adresse IP dans l’instruction HELO qui ne correspond pas à l’adresse IP d’origine déterminée par l’agent de filtrage des connexions, ou un expéditeur distant qui fournit constamment un nom de domaine local dans l’instruction HELO qui se trouve dans la même organisation que le serveur Exchange sont davantage susceptibles d’être des expéditeurs de courrier indésirable.

  • Recherche DNS inverse   La fonction de réputation de l’expéditeur vérifie également que l’adresse IP d’origine à partir de laquelle l’expéditeur transmet le message correspond au nom de domaine enregistré soumis par l’expéditeur dans la commande HELO ou EHLO.

    La fonction de réputation de l’expéditeur effectue une requête DNS inverse en soumettant l’adresse IP d’origine au DNS. Le résultat renvoyé par le DNS est le nom de domaine enregistré en utilisant l’autorité de dénomination de domaine pour cette adresse IP. La fonction de réputation de l’expéditeur compare le nom de domaine qui est renvoyé par le DNS au nom de domaine que l’expéditeur a soumis dans la commande SMTP HELO/EHLO. Si les noms de domaine ne correspondent pas, il est probable que l’expéditeur soit un expéditeur de courrier indésirable et le seuil SRL global pour l’expéditeur est augmenté.

    L’agent d’ID de l’expéditeur effectue une tâche similaire, mais la réussite de celle-ci repose sur les expéditeurs légitimes pour mettre à jour l’infrastructure DNS afin d’identifier tous les serveurs SMTP expéditeurs de messages électroniques dans l’organisation. En effectuant une recherche DNS inverse, vous contribuez à l’identification d’expéditeurs potentiels de courrier indésirable.

  • Analyse de contrôle d’accès SCL sur les messages d’un expéditeur particulier   Lorsque l’agent de filtrage du contenu traite un message, il affecte des contrôles d’accès SCL au message. Le seuil de probabilité de courrier indésirable est un nombre compris entre 0 et 9. Une valeur élevée indique qu’un message est probablement un courrier indésirable. Les données sur chaque expéditeur et valeurs SCL que leurs messages génèrent sont conservées pour analyse par la fonction de réputation de l’expéditeur. La fonction de réputation de l’expéditeur calcule les statistiques sur un expéditeur en fonction du ratio entre tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d’accès SCL faible dans le passé et tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d’accès SCL élevée dans le passé. En outre, le nombre de messages ayant une valeur de contrôle d’accès SCL élevée que l’expéditeur a envoyé durant la dernière journée est appliqué au SRL général.

  • Test de proxy expéditeur ouvert   Un proxy ouvert est un serveur proxy qui accepte les demandes de connexion de n’importe qui, n’importe où et transmet le trafic comme s’il était en provenance des hôtes locaux. Les serveurs proxy relaient le trafic TCP à travers les hôtes du pare-feu pour fournir à l’utilisateur un accès transparent aux applications via le pare-feu. Comme les protocoles proxy sont indépendants des protocoles d’application utilisateur, les proxy peuvent être utilisés par de nombreux services différents. Les proxy peuvent également être utilisés pour partager une connexion Internet unique entre plusieurs hôtes. Les proxy sont généralement définis de telle sorte que seuls les hôtes fiables au niveau du pare-feu peuvent utiliser les proxy. Il se peut qu’un expéditeur légitime soit un proxy ouvert en raison d’une mauvaise configuration involontaire ou d’un programme malveillant.

    Les proxy ouverts fournissent aux utilisateurs malveillants une solution idéale pour masquer leur réelle identité et lancer des attaques par déni de service ou envoyer du courrier indésirable. Comme de plus en plus de serveurs proxy sont configurés pour être « ouverts par défaut », les proxy ouverts sont de plus en plus courants. En outre, les utilisateurs malveillants peuvent utiliser plusieurs proxy ouverts pour masquer l’adresse IP d’origine de l’expéditeur.

    Lorsque la fonction de réputation de l’expéditeur effectue un test de proxy ouvert, elle le fait en mettant en forme une demande SMTP lors d’une tentative de reconnexion au serveur Exchange à partir du proxy ouvert. Si une demande SMTP est reçue du proxy, la fonction de réputation de l’expéditeur vérifie que le proxy est ouvert et met à jour les statistiques de test de proxy ouvert pour cet expéditeur.

La réputation de l’expéditeur pondère chacune de ces statistiques et calcule le SRL pour chaque expéditeur. Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l’expéditeur n’est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l’expéditeur est probablement un expéditeur de courrier indésirable.

Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l’expéditeur envoie une demande à l’agent de filtrage des expéditeurs et, par conséquent, empêche l’expéditeur d’envoyer un message à l’organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs bloqués pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l’agent de filtrage des expéditeurs. Les actions suivantes correspondent aux options de gestion des messages bloqués :

  • Rejeter   Les messages sont renvoyés dans une notification d’échec de remise (également appelée notification d’état de remise ou notification de non-remise).

  • Supprimer   Les messages sont supprimés silencieusement sans notification d’échec de remise.

  • Accepter   Les messages sont acceptés et marqués comme provenant d’un expéditeur bloqué.

Pour plus d’informations sur l’agent de filtrage des expéditeurs, consultez la rubrique Filtrage des expéditeurs.

Si un expéditeur est inclus dans la liste d’adresses IP bloquées ou le service de réputation d’IP de Microsoft, la fonctionnalité de réputation de l’expéditeur envoie une demande immédiate à l’agent de filtrage des expéditeurs pour bloquer l’expéditeur. Pour profiter des avantages de cette fonctionnalité, vous devez activer et configurer le service de mise à jour anti-courrier indésirable de Microsoft Exchange.

Par défaut, la réputation de l’expéditeur définit un contrôle d’accès de 0 pour les expéditeurs qui n’ont pas été analysés. Quand un expéditeur a envoyé 20 messages ou plus, la fonctionnalité de réputation de l’expéditeur calcule un SRL à partir des statistiques précédemment décrites dans cette rubrique.

Retour au début

La fonction de réputation de l’expéditeur agit sur les messages durant deux phases de la session SMTP :

  • À la commande SMTP MAIL FROM:    La fonction de réputation de l’expéditeur agit uniquement sur les messages qui ont été bloqués ou traités par l’agent de filtrage des connexions, l’agent de filtrage des expéditeurs, l’agent de filtrage des destinataires ou l’agent d’ID de l’expéditeur. Dans ce cas, la fonction de réputation de l’expéditeur récupère la valeur SRL actuelle de l’expéditeur à partir du profil expéditeur conservé sur le serveur Exchange. Lorsque cette valeur est récupérée et évaluée, la configuration du serveur Exchange impose le comportement d’une connexion particulière en fonction du seuil de blocage.

  • Après la commande SMTP « fin des données »   La commande SMTP de fin du transfert de données (EOD) est donnée lorsque toutes les données de messages réelles sont envoyées. À ce point de la session SMTP, de nombreux agents de blocage du courrier indésirable ont traité le message. En tant que sous-produit du traitement de blocage du courrier indésirable, les statistiques sur lesquelles la fonctionnalité de réputation de l’expéditeur se base sont mises à jour. Par conséquent, la fonctionnalité de réputation de l’expéditeur dispose des données nécessaires au calcul ou au nouveau calcul d’une valeur SRL pour l’expéditeur.

Retour au début

Lorsque la réputation de l’expéditeur calcule une valeur SRL, elle tente de se connecter à l’adresse IP d’origine de l’expéditeur en utilisant une série de protocoles proxy ordinaires, tels que SOCKS4, SOCKS5, HTTP, Telnet, Cisco et Wingate. La réputation de l’expéditeur met en forme une demande spécifique au protocole en tentant de se reconnecter au serveur Exchange depuis le serveur proxy ouvert à l’aide d’une demande SMTP (Simple Mail Transfer Protocol). Si une demande SMTP est reçue du serveur proxy, la réputation de l’expéditeur vérifie que le serveur proxy est un serveur ouvert et ajuste le niveau de réputation de l’expéditeur en fonction de ce résultat. Par défaut, la détection de serveurs proxy ouverts est activée dans la réputation de l’expéditeur.

Pour plus d’informations sur la configuration de la détection des serveurs proxy ouverts, voir Procédures de la réputation de l’expéditeur.

Retour au début

Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. Vous devez définir le seuil de blocage SRL pour spécifier la valeur SRL qui entraîne le blocage d’un expéditeur par la fonction de réputation de l’expéditeur. Par défaut, le seuil de blocage SRL est de 7 : les expéditeurs qui ont un SRL de 7, 8 ou 9 sont alors bloqués. Vous devez contrôler l’efficacité de la fonction de réputation de l’expéditeur et de l’agent d’analyse de protocole au niveau par défaut.

Sur un serveur de transport Edge, si un expéditeur particulier atteint ou dépasse le seuil de blocage SRL, la réputation de l’expéditeur ajoute l’expéditeur à la liste rouge des expéditeurs de l’agent de filtrage des connexions. Parfois, des expéditeurs de courrier indésirable envoient des lots de courrier indésirable à partir d’un expéditeur unique. Dans ce scénario, si la réputation de l’expéditeur calcule qu’une valeur SRL dépasse le seuil de blocage SRL, l’expéditeur est ajouté à la liste rouge des expéditeurs pendant une durée configurable. La durée par défaut est de 24 heures. Après 24 heures, l’expéditeur est supprimé de la liste de blocage des expéditeurs et peut de nouveau envoyer des messages.

Lorsqu’un expéditeur est ajouté à la liste rouge d’IP, la réputation de l’expéditeur supprime le profil de l’expéditeur. La réputation de l’expéditeur supprime le profil parce que le profil bloqué de l’expéditeur existant indique que le SRL de l’expéditeur excède le seuil de blocage SRL. Ceci engendre un nouvel ajout de l’expéditeur bloqué dans la liste d’interdiction d’IP une fois le blocage d’expéditeur terminé.

Pour plus d’informations sur la configuration du blocage des expéditeurs, consultez la rubrique Procédures de la réputation de l’expéditeur.

Retour au début

 
Afficher: