Réputation de l'expéditeur

S’applique à : Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Dernière rubrique modifiée : 2006-09-18

L'agent de réputation de l'expéditeur est une fonctionnalité de blocage du courrier indésirable qui est activée sur les ordinateurs sur lesquels le rôle de serveur de transport Edge Microsoft Exchange Server 2007 est installé pour bloquer les messages en fonction des caractéristiques de l'expéditeur. La fonctionnalité de réputation de l'expéditeur s'appuie sur des données conservées relatives à l'expéditeur pour déterminer, le cas échéant, l'action à appliquer à un message entrant.

Lorsque vous configurez des agents de blocage du courrier indésirable sur un serveur de transport Edge, les agents agissent de façon cumulative sur les messages pour réduire le nombre de messages non sollicités entrant dans l'organisation. Pour plus d'informations sur la planification et le déploiement des agents de blocage du courrier indésirable, consultez la rubrique Fonctionnalités de blocage du courrier indésirable et des virus.

Calcul du niveau de réputation de l'expéditeur

Un niveau de réputation de l'expéditeur (SRL) est calculé à partir des statistiques suivantes :

• Analyse HELO/EHLO   Les commandes SMTP HELO et EHLO sont destinées à fournir un nom de domaine tel que Contoso.com, ou une adresse IP du serveur SMTP de l'expéditeur au serveur SMTP du destinataire. Les utilisateurs malveillants, ou expéditeurs de courrier indésirable, usurpent fréquemment les instructions HELO/EHLO de différentes manières. Par exemple, ils tapent une adresse IP qui ne correspond pas à l'adresse IP de la provenance de la connexion. Les expéditeurs de courrier indésirable insèrent également des domaines connus pour être localement pris en charge sur le serveur destinataire dans une instruction HELO pour tenter de faire apparaître les domaines comme s'ils faisaient partie de l'organisation. Dans d'autres cas, les expéditeurs de courrier indésirable modifient le domaine transmis dans l'instruction HELO. Le comportement typique d'un utilisateur légitime peut être d'utiliser un ensemble relativement constant de plusieurs domaines dans ses instructions HELO.

  Par conséquent, l'analyse de l'instruction HELO/EHLO sur une base expéditeur peut indiquer que l'expéditeur est vraisemblablement un expéditeur de courrier indésirable. Par exemple, il y a de grandes chances pour qu'un expéditeur qui fournit de nombreuses instructions HELO/EHLO uniques dans une période spécifique soit un expéditeur de courrier indésirable. Les expéditeurs qui fournissent une adresse IP dans l'instruction HELO qui ne correspond pas à l'adresse IP d'origine telle que déterminée par l'agent de filtrage des connexions sont vraisemblablement des expéditeurs de courrier indésirable, tout comme les expéditeurs qui fournissent un nom de domaine local qui est dans la même organisation que le serveur de transport Edge dans l'instruction HELO.

• Recherche DNS inverse   La fonction de réputation de l'expéditeur vérifie également que l'adresse IP d'origine à partir de laquelle l'expéditeur transmet le message correspond au nom de domaine enregistré soumis par l'expéditeur dans la commande HELO ou EHLO.

  La fonction de réputation de l'expéditeur effectue une requête DNS inverse en soumettant l'adresse IP d'origine au DNS. Le résultat renvoyé par le DNS est le nom de domaine enregistré en utilisant l'autorité de dénomination de domaine pour cette adresse IP. La fonction de réputation de l'expéditeur compare le nom de domaine qui est renvoyé par le DNS au nom de domaine que l'expéditeur a soumis dans la commande SMTP HELO/EHLO. Si les noms de domaines ne correspondent pas, il est probable que l'expéditeur soit un expéditeur de courrier indésirable et le seuil SRL global pour l'expéditeur est ajusté à la hausse.

  L'agent d'ID de l'expéditeur effectue une tâche similaire, mais la réussite de celle-ci repose sur les expéditeurs légitimes pour mettre à jour l'infrastructure DNS afin d'identifier tous les serveurs SMTP expéditeurs de messages électroniques dans l'organisation. En effectuant une recherche DNS inverse, vous contribuez à l'identification d'expéditeurs potentiels de courrier indésirable.

• Analyse de contrôle d'accès SCL sur les messages d'un expéditeur particulier   Lorsque l'agent de filtrage du contenu traite un message, il affecte des contrôles d'accès SCL au message. La valeur de contrôle d'accès SCL est un nombre compris entre 0 et 9. Une valeur de contrôle d'accès SCL supérieure indique qu'un message est susceptible d'être un courrier indésirable. Les données sur chaque expéditeur et valeurs SCL que leurs messages génèrent sont conservées pour analyse par la fonction de réputation de l'expéditeur. La fonction de réputation de l'expéditeur calcule les statistiques sur un expéditeur en fonction du ratio entre tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL faible dans le passé et tous les messages en provenance de cet expéditeur qui avaient une valeur de contrôle d'accès SCL élevée dans le passé. En outre, le nombre de messages ayant une valeur de contrôle d'accès SCL élevée que l'expéditeur a envoyé durant la dernière journée est appliqué au SRL général.

• Test de proxy expéditeur ouvert   Un proxy ouvert est un serveur proxy qui accepte les demandes de connexion de n'importe qui, n'importe où et transmet le trafic comme s'il était en provenance des hôtes locaux. Les serveurs proxy relaient le trafic TCP à travers les hôtes du pare-feu pour fournir à l'utilisateur un accès transparent aux applications via le pare-feu. Comme les protocoles proxy sont indépendants des protocoles d'application utilisateur, les proxy peuvent être utilisés par de nombreux services différents. Les proxy peuvent également être utilisés pour partager une connexion Internet unique entre plusieurs hôtes. Les proxy sont généralement définis de telle sorte que seuls les hôtes fiables au niveau du pare-feu peuvent utiliser les proxy.

  Les proxy ouverts existent à cause d'une des conditions suivantes :

  • Erreur de configuration involontaire

  • Programmes de type cheval de Troie malveillants. Un programme cheval de Troie est un programme qui se fait passer pour un autre programme habituel dans l’intention de recevoir des informations.

  Souvent, En cas de journalisation insuffisante, les proxy ouverts fournissent aux utilisateurs malveillants une solution idéale pour masquer leur réelle identité et lancer des attaques de type « Refus de service » ou envoyer des courriers indésirables. Comme de plus en plus de serveurs proxy sont configurés pour être « ouverts par défaut », les proxy ouverts sont de plus en plus courants. En outre, les utilisateurs malveillants peuvent utiliser plusieurs proxy ouverts pour masquer l'adresse IP d'origine de l'expéditeur.

  Lorsque la fonction de réputation de l'expéditeur effectue un test de proxy ouvert, elle le fait en mettant en forme une demande SMTP en tentant de se reconnecter au serveur de transport Edge à partir du proxy ouvert. Si une demande SMTP est reçue du proxy, la fonction de réputation de l'expéditeur vérifie que le proxy est ouvert et met à jour les statistiques de test de proxy ouvert pour cet expéditeur.

La réputation de l'expéditeur pondère chacune de ces statistiques et calcule le SRL pour chaque expéditeur. Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu'un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l’expéditeur n'est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l’expéditeur est probablement un expéditeur de courrier indésirable.

Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l'expéditeur envoie une demande à l'agent de filtrage des expéditeurs et, par conséquent, empêche l'expéditeur d'envoyer un message à l'organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs proscrits pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l'agent de filtrage des expéditeurs. Les actions suivantes sont les options de gestion des messages bloqués :

• Rejeter

• Supprimer et archiver

• Accepter et marquer comme expéditeur proscrit

Si un expéditeur est inclus dans la liste rouge Microsoft ou le service de réputation d'IP, la fonctionnalité de réputation de l'expéditeur envoie une demande à l'agent de filtrage des expéditeurs pour bloquer l'expéditeur. Pour profiter de cette fonctionnalité, vous devez activer et configurer le service de mises à jour de blocage du courrier indésirable de Microsoft Exchange.

Par défaut, le serveur de transport Edge définit un contrôle d'accès de 0 pour les expéditeurs qui n'ont pas été analysés. Quand un expéditeur a envoyé 20 messages ou plus, la fonctionnalité de réputation de l'expéditeur calcule un SRL à partir des statistiques décrites ci-avant dans cette rubrique.

Utilisation du SRL

La fonction de réputation de l'expéditeur agit sur les messages durant deux phases de la session SMTP :

• À la commande SMTP MAIL FROM:   La fonction de réputation de l'expéditeur agit uniquement sur les messages qui ont été bloqués ou traités par l'agent de filtrage des connexions, l'agent de filtrage des expéditeurs, l'agent de filtrage des destinataires ou l'agent d'ID de l'expéditeur. Dans ce cas, la fonction de réputation de l'expéditeur récupère la valeur de contrôle d'accès SRL actuelle de l'expéditeur à partir du profil expéditeur conservé dans la base de données de transport Edge. Lorsque cette valeur de contrôle d'accès est récupérée et évaluée, la configuration du serveur de transport Edge impose le comportement d'une connexion particulière en fonction du seuil de blocage.

• Après la commande SMTP « fin des données »   La commande SMTP de fin du transfert de données (_EOD) est donnée lorsque toutes les données de messages réelles sont envoyées. À ce point de la session SMTP, de nombreux agents de blocage du courrier indésirable ont traité le message. En tant que sous-produit du traitement de blocage du courrier indésirable, les statistiques sur lesquelles la fonctionnalité de réputation de l'expéditeur se base sont mises à jour. Par conséquent, la fonctionnalité de réputation de l'expéditeur dispose des données nécessaires au calcul ou au nouveau calcul d'une valeur de contrôle d'accès pour l'expéditeur.

Pour plus d'informations, consultez la rubrique Configuration de la réputation de l’expéditeur.

Pour plus d'informations

Pour plus d'informations sur les fonctions de blocage du courrier indésirable dans Outlook 2007, consultez les rubriques suivantes :

• Fonctionnalités de blocage du courrier indésirable et des virus

• Gestion des fonctionnalités de blocage du courrier indésirable et des virus

Pour plus d'informations sur la configuration de la fonctionnalité de réputation de l'expéditeur, consultez les rubriques suivantes :

• Configuration de la réputation de l’expéditeur

• Procédure d'activation de la fonction de réputation de l'expéditeur

• Procédure de spécification du seuil de blocage de niveau de réputation de l'expéditeur

• Procédure d'activation ou de désactivation de la détection de serveurs proxy ouverts pour la réputation de l'expéditeur

• Procédure de configuration de l'accès sortant pour la détection de serveurs proxy ouverts pour la réputation de l'expéditeur