Pare-feu d’en-tête

 

Sapplique à :Exchange Server 2013

Dernière rubrique modifiée :2015-03-09

Dans Microsoft Exchange Server 2013, un pare-feu d'en-tête est un mécanisme qui supprime certains champs d'en-tête de messages entrants et sortants. Le pare-feu d'en-tête affecte deux types différents de champs d'en-tête :

  • En-têtes X   Un en-tête X est un champ d'en-tête non officiel défini par l'utilisateur. Les en-têtes X ne sont pas mentionnés spécifiquement dans RFC 2822, mais l'utilisation d'un champ d'en-tête non défini commençant par X- est devenue une manière reconnue d'ajouter des champs d'en-tête non officiels à un message. Des applications de messagerie, telles que des applications de blocage du courrier indésirable et des virus, et des serveurs de messagerie, peuvent ajouter leurs propres en-têtes X à un message. Dans Exchange, les champs d'en-tête X contiennent des détails concernant les actions exécutées sur le message par le service de transport, tels que le seuil de probabilité de courrier indésirable (SCL), les résultats du filtrage du contenu et l'état de traitement des règles. La divulgation de ces informations à des sources non autorisées peut constituer un risque pour la sécurité.

  • En-têtes de routage   Les en-têtes de routage sont des champs d'en-tête SMTP standard définis dans les normes RFC 2821 et RFC 2822. Ils marquent un message à l'aide d'informations sur les différents serveurs de messagerie utilisés pour remettre le message au destinataire. Des en-têtes de routage insérés dans des messages par des utilisateurs malveillants peuvent induire en erreur sur le chemin de routage qu'un message a parcouru pour atteindre un destinataire.

Le pare-feu d'en-tête empêche la falsification de ces en-têtes X en les supprimant des messages entrants provenant de sources non approuvées qui entrent dans l'organisation Exchange. Le pare-feu d'en-tête empêche la révélation de ces en-têtes X associés à Exchange en les supprimant des messages sortants envoyés à des destinations non approuvées hors de l'organisation Exchange. Le pare-feu d'en-tête empêche également la falsification des en-têtes de routage standard utilisés pour suivre l'historique de routage d'un message.

Contenu de cette rubrique

Champs d'en-tête de message affectés par le pare-feu d'en-tête dans Exchange

Mode d'application d'un pare-feu d'en-tête à des connecteurs de réception et d'envoi

Pare-feu d'en-tête pour les messages entrants sur des connecteurs de réception

Pare-feu d'en-tête pour les messages sortants sur des connecteurs d'envoi

Pare-feu d'en-tête pour d'autres sources de messages

En-têtes X d'organisation et de forêt dans Exchange

Les types d'en-têtes X et d'en-têtes de routage affectés par le pare-feu d'en-tête sont les suivants :

  • En-têtes X d'organisation   Ces champs d'en-tête X commencent par X-MS-Exchange-Organization-.

  • En-têtes X de forêt   Ces champs d'en-tête X commencent par X-MS-Exchange-Forest-.

    Pour des exemples d'en-têtes X d'organisation et de forêt, consultez la section En-têtes X d'organisation et de forêt dans Exchange à la fin de cette rubrique.

  • En-têtes de routage Received:   Une instance différente de ce champ d'en-tête est ajoutée à l'en-tête de message par chaque serveur de messagerie ayant accepté et transmis le message au destinataire. L'en-tête Received: inclut généralement le nom du serveur de messagerie et un horodateur.

  • En-têtes de routage Resent-*: Les champs d'en-tête Resent sont des champs informatifs qui permettent de déterminer si un message a été transféré par un utilisateur. Les champs d'en-tête Resent disponibles sont les suivants : Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: et Resent-Message-ID:. Les champs Resent- sont utilisés de façon à ce que le message apparaisse au destinataire comme s'il était envoyé directement par l'expéditeur d'origine. Le destinataire peut afficher l'en-tête de message pour voir qui a transféré le message.

Pour appliquer un pare-feu d'en-tête aux en-têtes X d'organisation et de forêt, et aux en-têtes de routage existant dans des messages, Exchange utilise deux méthodes différentes :

  • Des autorisations sont attribuées aux connecteurs d'envoi ou de réception pouvant être utilisés pour conserver ou supprimer des types spécifiques d'en-têtes dans un message quand ce dernier transite par le connecteur.

  • Un pare-feu d'en-tête est automatiquement implémenté pour certains types d'en-têtes au cours d'autres types de dépôt de messages.

Retour au début

Un pare-feu d'en-tête est appliqué aux messages qui transitent par des connecteurs d'envoi et de réception en fonction d'autorisations spécifiques attribuées aux connecteurs.

Si l'autorisation est attribuée au connecteur de réception ou d'envoi, aucun pare-feu d'en-tête n'est appliqué aux messages transitant par le connecteur. Les champs d'en-tête affectés sont conservés dans les messages.

Si l'autorisation n'est pas attribuée au connecteur de réception ou d'envoi, un pare-feu d'en-tête est appliqué aux messages transitant par le connecteur. Les champs d'en-tête affectés sont supprimés des messages.

Le tableau suivant décrit les autorisations attribuées aux connecteurs d'envoi et de réception, qui sont utilisées pour appliquer un pare-feu d'en-tête, ainsi que les champs d'en-tête affectés.

 

Type de connecteur Autorisation Description

Connecteur de réception

Ms-Exch-Accept-Headers-Organization

Cette autorisation affecte les champs d'en-tête X d'organisation commençant par X-MS-Exchange-Organization- dans les messages entrants.

Connecteur de réception

Ms-Exch-Accept-Headers-Forest

Cette autorisation affecte les champs d'en-tête X de forêt commençant par X-MS-Exchange-Forest- dans les messages entrants.

Connecteur de réception

Ms-Exch-Accept-Headers-Routing

Cette autorisation affecte les champs d'en-tête de routage Received: et Resent-*: dans les messages entrants.

Connecteur d'envoi

Ms-Exch-Send-Headers-Organization

Cette autorisation affecte les champs d'en-tête X d'organisation commençant par X-MS-Exchange-Organization- dans les messages sortants.

Connecteur d'envoi

Ms-Exch-Send-Headers-Forest

Cette autorisation affecte les champs d'en-tête X de forêt commençant par X-MS-Exchange-Forest- dans les messages sortants.

Connecteur d'envoi

Ms-Exch-Send-Headers-Routing

Cette autorisation affecte les champs d'en-tête de routage Received: et Resent-*: dans les messages sortants.

Le tableau suivant décrit l'application par défaut des autorisations de pare-feu d'en-tête sur des connecteurs de réception.

 

Autorisation Principaux de sécurité Exchange par défaut auxquels l'autorisation est attribuée Groupe d'autorisations dont les principaux de sécurité sont membres Type d'utilisation par défaut qui attribue les groupes d'autorisations au connecteur de réception

Ms-Exch-Accept-Headers-Organization et Ms-Exch-Accept-Headers-Forest

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange

    RemarqueRemarque :
    Sur les serveurs de transport Hub uniquement

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Compte d'utilisateur anonyme

Anonyme

Internet

Ms-Exch-Accept-Headers-Routing

Comptes d'utilisateur authentifiés

ExchangeUsers

Client (indisponible sur les serveurs de transport Edge)

Ms-Exch-Accept-Headers-Routing

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange

    RemarqueRemarque :
    Serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur

ExchangeServers

Internal

Ms-Exch-Accept-Headers-Routing

Compte de serveur partenaire

Partenaire

Internet et Partner

Retour au début

Pour appliquer un pare-feu d'en-tête à des messages dans un scénario de connecteur de réception personnalisé, utilisez l'une des méthodes suivantes :

  • Créez le connecteur de réception avec un type d'utilisation qui applique automatiquement le pare-feu d'en-tête aux messages. Notez que vous pouvez définir le type d'utilisation uniquement lorsque vous créez le connecteur de réception.

    • Pour supprimer les en-têtes X d'organisation ou de forêt des messages, créez un connecteur de réception, puis sélectionnez un type d'utilisation autre que Internal.

    • Pour supprimer les en-têtes de routage des messages, effectuez l'une des opérations suivantes :

      • Créez un connecteur de réception, puis sélectionnez le type d'utilisation Custom. N'attribuez pas de groupes d'autorisations au connecteur de réception.

      • Modifiez un connecteur de réception existant, puis définissez le paramètre PermissionGroups sur la valeur None.

      Notez que si vous avez un connecteur de réception auquel aucun groupe d'autorisations n'est attribué, vous devez ajouter des principaux de sécurité au connecteur de réception en procédant de la manière décrite à la dernière étape.

  • La cmdlet Remove-ADPermission permet de supprimer les autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing d'un principal de sécurité configuré sur le connecteur de réception. Cette méthode ne fonctionne pas si l'autorisation a été attribuée au principal de sécurité à l'aide d'un groupe d'autorisations sur le connecteur de réception, car vous ne pouvez pas modifier les attributions d'autorisations ou l'appartenance à un groupe d'autorisations.

  • La cmdlet Add-ADPermission permet d'ajouter les principaux de sécurité requis pour le flux de messagerie sur le connecteur de réception. Assurez-vous qu'aucune des autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing ne sont attribuées aux principaux de sécurité. Si nécessaire, utilisez la cmdlet Add-ADPermission pour refuser les autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing aux principaux de sécurité configurés sur le connecteur de réception.

Pour plus d'informations, consultez les rubriques suivantes :

Retour au début

Le tableau suivant décrit l'application par défaut des autorisations de pare-feu d'en-tête sur des connecteurs d'envoi.

 

Autorisation Principaux de sécurité Exchange par défaut auxquels l'autorisation est attribuée Type d'utilisation par défaut qui attribue les principaux de sécurité au connecteur d'envoi

Ms-Exch-Send-Headers-Organization et Ms-Exch-Send-Headers-Forest

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange

    RemarqueRemarque :
    Sur les serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur

  • Groupe universel de sécurité ExchangeLegacyInterop

Internal

Ms-Exch-Send-Headers-Routing

  • Serveurs de transport Hub

  • Serveurs de transport Edge

  • Serveurs Exchange

    RemarqueRemarque :
    Sur les serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur

  • Groupe universel de sécurité ExchangeLegacyInterop

Internal

Ms-Exch-Send-Headers-Routing

Compte d'utilisateur anonyme

Internet

Ms-Exch-Send-Headers-Routing

Serveurs partenaires

Partner

Retour au début

Pour appliquer un pare-feu d'en-tête à des messages dans un scénario de connecteur d'envoi personnalisé, utilisez l'une des méthodes suivantes :

  • Créez le connecteur d'envoi avec un type d'utilisation qui applique automatiquement le pare-feu d'en-tête aux messages. Notez que vous pouvez définir le type d'utilisation uniquement lorsque vous créez le connecteur d'envoi.

    • Pour supprimer les en-têtes X d'organisation ou de forêt des messages, créez un connecteur d'envoi, puis sélectionnez un type d'utilisation autre que Internal ou Partner.

    • Pour supprimer les en-têtes de routage des messages, créez un connecteur d'envoi, puis sélectionnez le type d'utilisation Custom. L'autorisation Ms-Exch-Send-Headers-Routing est attribuée à tous les types d'utilisations du connecteur d'envoi, à l'exception de Custom.

  • Supprimez du connecteur un principal de sécurité attribuant les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing.

  • La cmdlet Remove-ADPermission permet de supprimer les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing d'un principal de sécurité configuré sur le connecteur d'envoi.

  • La cmdlet Add-ADPermission permet de refuser les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing à un principal de sécurité configuré sur le connecteur d'envoi.

Pour plus d'informations, consultez les rubriques suivantes :

Retour au début

Les messages peuvent entrer dans le pipeline de transport sur un serveur de boîtes aux lettres ou un serveur de transport Edge sans utiliser de connecteurs d'envoi ou de réception. Le pare-feu d'en-tête est appliqué à ces autres sources de messages de la manière décrite dans la liste suivante :

  • Répertoire de collecte et répertoire de relecture   Le répertoire de collecte est utilisé par les administrateurs ou les applications pour déposer des fichiers de messages. Le répertoire de relecture permet de déposer à nouveau des messages exportés à partir des files d'attente des messages Exchange. Pour plus d'informations sur les répertoires de collecte et de relecture, consultez la rubrique Répertoire de collecte et répertoire de relecture.

    Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont supprimés des fichiers de messages dans le répertoire de collecte.

    Les en-têtes de routage sont conservés dans les messages déposés par le répertoire de relecture.

    La conservation ou non des en-têtes X d'organisation et de forêt des messages dans les répertoire de relecture est contrôlée par le champ d'en-tête X-CreatedBy: dans les fichier de messages :

    • Si la valeur de X-CreatedBy: est MSExchange15, les en-têtes X d'organisation et de forêt sont conservés dans les messages.

    • Si la valeur de X-CreatedBy: n'est pas MSExchange15, les en-têtes X d'organisation et de forêt sont supprimés des messages.

    • Si le champ d'en-tête X-CreatedBy: n'existe pas dans les fichiers de messages, les en-têtes X d'organisation et de forêt sont supprimés des messages.

  • Répertoire de dépôt   Le répertoire de dépôt est utilisé par les connecteurs étrangers sur les serveurs de boîtes aux lettres pour envoyer des messages à des serveurs de messagerie qui n'utilisent pas le protocole SMTP pour transférer les messages. Pour plus d'informations sur les connecteurs étrangers, consultez la rubrique Connecteurs étrangers.

    Les en-têtes X d'organisation et de forêt sont supprimés des fichiers de messages avant leur placement dans le répertoire de dépôt.

    Les en-têtes de routage sont conservés dans les messages déposés par le répertoire de dépôt.

  • Transport de boîtes aux lettres   Le service de transport de boîtes aux lettres existant sur les serveurs de boîtes aux lettres permet l'échange de messages entre boîtes aux lettres sur ces serveurs. Pour plus d'informations sur le service de transport de boîtes aux lettres, consultez la rubrique Flux de messagerie.

    Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont supprimés des messages sortants expédiés à partir de boîtes aux lettres par le service de dépôt du transport de boîtes aux lettres.

    Les en-têtes de routage sont conservés pour les messages entrants adressés à des destinataires de boîte aux lettres par le service de remise de transport de boîtes aux lettres. Les en-têtes X d'organisation suivantes sont conservés pour les messages entrants adressés à des destinataires de boîte aux lettres par le service de remise de transport de boîtes aux lettres.

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

  • Messages de notification d'état de remise (DSN)   Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont supprimés du message d'origine ou de l'en-tête de message d'origine joint au message DSN. Pour plus d'informations sur les messages de notification d'état de remise, consultez la rubrique Notifications d’état de remise et notifications d’échec de remise dans Exchange 2013.

  • Dépôt par l'agent de transport   Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont conservés dans les messages déposés par des agents transport.

Retour au début

Le service de transport sur des serveurs de boîtes aux lettres ou des serveurs de transport Edge insère des champs d'en-tête X personnalisés dans les en-têtes de messages.

Les en-têtes X d'organisation commencent par X-MS-Exchange-Organization-. Les en-têtes X de forêt commencent par X-MS-Exchange-Forest-. Le tableau suivant décrit certains en-têtes X d'organisation et de forêt utilisés dans les messages au sein d'une organisation Exchange.

 

En-tête X Description

X-MS-Exchange-Forest-RulesExecuted

Règles de transport appliquées au message.

X-MS-Exchange-Organization-Antispam-Report

Résumé des résultats du filtrage du courrier indésirable appliqués au message par l'Agent de filtrage du contenu.

X-MS-Exchange-Organization-AuthAs

Spécifie la source d'authentification. Cet en-tête X est toujours présent lorsque la sécurité d'un message a été évaluée. Les valeurs possibles sont Anonymous, Internal, External ou Partner.

X-MS-Exchange-Organization-AuthDomain

Renseigné durant l'authentification sécurisée de domaine. La valeur est le nom de domaine complet (FQDN) du domaine authentifié distant.

X-MS-Exchange-Organization-AuthMechanism

Spécifie le mécanisme d'authentification utilisé pour le dépôt du message. La valeur est un nombre hexadécimal à deux chiffres.

X-MS-Exchange-Organization-AuthSource

Spécifie le nom de domaine complet (FQDN) du serveur qui a évalué l'authentification du message pour le compte de l'organisation.

X-MS-Exchange-Organization-Journal-Report

Identifie les états de journal dans le transport. Dès que le message quitte le service de transport, l'en-tête devient X-MS-Journal-Report.

X-MS-Exchange-Organization-OriginalArrivalTime

Identifie l'heure à laquelle le message est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-Original-Sender

Identifie l'expéditeur d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-OriginalSize

Identifie la taille d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-Original-Scl

Identifie le seuil de probabilité de courrier indésirable (SCL) d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.

X-MS-Exchange-Organization-PCL

Identifie le seuil de probabilité de courrier d'hameçonnage. La plage des valeurs de seuil de probabilité de courrier d'hameçonnage possibles s'étend de 1 à 8. Une valeur élevée indique un message suspect. Pour plus d'informations, consultez la rubrique Marquages de courrier indésirable.

X-MS-Exchange-Organization-Quarantine

Indique que le message a été mis en quarantaine dans la boîte aux lettres de mise en quarantaine du courrier indésirable et qu'une notification d'état de remise (DSN) a été envoyée. Cela peut également indiquer que le message a été mis en quarantaine, puis libéré par l'administrateur. Ce champ d'en-tête X empêche le nouveau dépôt du message libéré dans la boîte aux lettres de mise en quarantaine du courrier indésirable. Pour plus d'informations, consultez la rubrique Récupération des messages mis en quarantaine dans la boîte aux lettres de mise en quarantaine du courrier indésirable.

X-MS-Exchange-Organization-SCL

Identifie le seuil de probabilité de courrier indésirable (SCL) du message. La plage des valeurs de SCL possibles s'étend de 0 à 9. Une valeur élevée indique un message suspect. La valeur spéciale -1 exempte le message de tout traitement par l'Agent de filtrage du contenu. Pour plus d'informations, consultez la rubrique Filtrage du contenu.

X-MS-Exchange-Organization-SenderIdResult

Contient les résultats de l'Agent d'ID de l'expéditeur. L'Agent d'ID de l'expéditeur utilise le SPF (Sender Policy Framework) pour comparer l'adresse IP source du message au domaine utilisé dans l'adresse de messagerie de l'expéditeur. Les résultats de l'ID de l'expéditeur permettent de calculer le SCL d'un message. Pour plus d'informations, consultez la rubrique ID de l'expéditeur.

Retour au début

 
Afficher: