Pare-feu d’en-tête

  • Article

S’applique à : Exchange Server 2013

Dans Microsoft Exchange Server 2013, le pare-feu d’en-tête est un mécanisme qui supprime des champs d’en-tête spécifiques des messages entrants et sortants. Le pare-feu d'en-tête affecte deux types différents de champs d'en-tête :

  • X-headers : un X-header est un champ d’en-tête non officiel défini par l’utilisateur. Les en-têtes X ne sont pas mentionnés spécifiquement dans RFC 2822, mais l'utilisation d'un champ d'en-tête non défini commençant par X- est devenue une manière reconnue d'ajouter des champs d'en-tête non officiels à un message. Des applications de messagerie, telles que des applications de blocage du courrier indésirable et des virus, et des serveurs de messagerie, peuvent ajouter leurs propres en-têtes X à un message. Dans Exchange, les champs d'en-tête X contiennent des détails concernant les actions exécutées sur le message par le service de transport, tels que le seuil de probabilité de courrier indésirable (SCL), les résultats du filtrage du contenu et l'état de traitement des règles. La divulgation de ces informations à des sources non autorisées peut constituer un risque pour la sécurité.

  • En-têtes de routage : les en-têtes de routage sont des champs d’en-tête SMTP standard définis dans RFC 2821 et RFC 2822. Ils marquent un message à l'aide d'informations sur les différents serveurs de messagerie utilisés pour remettre le message au destinataire. Des en-têtes de routage insérés dans des messages par des utilisateurs malveillants peuvent induire en erreur sur le chemin de routage qu'un message a parcouru pour atteindre un destinataire.

Le pare-feu d'en-tête empêche la falsification de ces en-têtes X en les supprimant des messages entrants provenant de sources non approuvées qui entrent dans l'organisation Exchange. Le pare-feu d'en-tête empêche la révélation de ces en-têtes X associés à Exchange en les supprimant des messages sortants envoyés à des destinations non approuvées hors de l'organisation Exchange. Le pare-feu d'en-tête empêche également la falsification des en-têtes de routage standard utilisés pour suivre l'historique de routage d'un message.

Champs d'en-tête de message affectés par le pare-feu d'en-tête dans Exchange

Les types d'en-têtes X et d'en-têtes de routage affectés par le pare-feu d'en-tête sont les suivants :

  • X-headers d’organisation : ces champs X-header commencent par X-MS-Exchange-Organization-.

  • X-headers de forêt : ces champs X-header commencent par X-MS-Exchange-Forest-.

    Pour des exemples d'en-têtes X d'organisation et de forêt, consultez la section En-têtes X d'organisation et de forêt dans Exchange à la fin de cette rubrique.

  • Reçu : en-têtes de routage : une instance différente de ce champ d’en-tête est ajoutée à l’en-tête de message par chaque serveur de messagerie qui a accepté et transféré le message au destinataire. L'en-tête Received: inclut généralement le nom du serveur de messagerie et un horodateur.

  • Resent-*: en-têtes de routage : les champs d’en-tête de réentent sont des champs d’en-tête d’information qui peuvent être utilisés pour déterminer si un message a été transféré par un utilisateur. Les champs d'en-tête Resent disponibles sont les suivants : Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: et Resent-Message-ID:. Les champs Resent- sont utilisés de façon à ce que le message apparaisse au destinataire comme s'il était envoyé directement par l'expéditeur d'origine. Le destinataire peut afficher l'en-tête de message pour voir qui a transféré le message.

Pour appliquer un pare-feu d'en-tête aux en-têtes X d'organisation et de forêt, et aux en-têtes de routage existant dans des messages, Exchange utilise deux méthodes différentes :

  • Des autorisations sont attribuées aux connecteurs d'envoi ou de réception pouvant être utilisés pour conserver ou supprimer des types spécifiques d'en-têtes dans un message quand ce dernier transite par le connecteur.

  • Un pare-feu d'en-tête est automatiquement implémenté pour certains types d'en-têtes au cours d'autres types de dépôt de messages.

Mode d'application d'un pare-feu d'en-tête à des connecteurs de réception et d'envoi

Un pare-feu d'en-tête est appliqué aux messages qui transitent par des connecteurs d'envoi et de réception en fonction d'autorisations spécifiques attribuées aux connecteurs.

Si l'autorisation est attribuée au connecteur de réception ou d'envoi, aucun pare-feu d'en-tête n'est appliqué aux messages transitant par le connecteur. Les champs d'en-tête affectés sont conservés dans les messages.

Si l'autorisation n'est pas attribuée au connecteur de réception ou d'envoi, un pare-feu d'en-tête est appliqué aux messages transitant par le connecteur. Les champs d'en-tête affectés sont supprimés des messages.

Le tableau suivant décrit les autorisations attribuées aux connecteurs d'envoi et de réception, qui sont utilisées pour appliquer un pare-feu d'en-tête, ainsi que les champs d'en-tête affectés.

Type de connecteur Autorisation Description
Connecteur de réception Ms-Exch-Accept-Headers-Organization Cette autorisation affecte les champs d'en-tête X d'organisation commençant par X-MS-Exchange-Organization- dans les messages entrants.
Connecteur de réception Ms-Exch-Accept-Headers-Forest Cette autorisation affecte les champs d'en-tête X de forêt commençant par X-MS-Exchange-Forest- dans les messages entrants.
Connecteur de réception Ms-Exch-Accept-Headers-Routing Cette autorisation affecte les champs d’en-tête de routage Received: et Resent-*: dans les messages entrants.
Connecteur d'envoi Ms-Exch-Send-Headers-Organization Cette autorisation affecte les champs d'en-tête X d'organisation commençant par X-MS-Exchange-Organization- dans les messages sortants.
Connecteur d'envoi Ms-Exch-Send-Headers-Forest Cette autorisation affecte les champs d'en-tête X de forêt commençant par X-MS-Exchange-Forest- dans les messages sortants.
Connecteur d'envoi Ms-Exch-Send-Headers-Routing Cette autorisation affecte les champs d’en-tête de routage Received: et Resent-*: dans les messages sortants.

Pare-feu d'en-tête pour les messages entrants sur des connecteurs de réception

Le tableau suivant décrit l'application par défaut des autorisations de pare-feu d'en-tête sur des connecteurs de réception.

Autorisation Principaux de sécurité Exchange par défaut auxquels l'autorisation est attribuée Groupe d'autorisations dont les principaux de sécurité sont membres Type d'utilisation par défaut qui attribue les groupes d'autorisations au connecteur de réception
Ms-Exch-Accept-Headers-Organization et Ms-Exch-Accept-Headers-Forest
  • Serveurs de transport Hub
  • Serveurs de transport Edge
  • Serveurs Exchange

    Remarque : Sur les serveurs de transport Hub uniquement
 Serveurs ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Compte d'utilisateur anonyme Anonyme Internet
Ms-Exch-Accept-Headers-Routing Comptes d'utilisateur authentifiés ExchangeUsers Client (indisponible sur les serveurs de transport Edge)
Ms-Exch-Accept-Headers-Routing
  • Serveurs de transport Hub
  • Serveurs de transport Edge
  • Serveurs Exchange

    Remarque : Serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur
 Serveurs ExchangeServers Internal
Ms-Exch-Accept-Headers-Routing Compte de serveur partenaire Partenaire Internet et Partner

Pare-feu d'en-tête sur des connecteurs de réception personnalisés

Pour appliquer un pare-feu d'en-tête à des messages dans un scénario de connecteur de réception personnalisé, utilisez l'une des méthodes suivantes :

  • Créez le connecteur de réception avec un type d'utilisation qui applique automatiquement le pare-feu d'en-tête aux messages. Notez que vous pouvez définir le type d'utilisation uniquement lorsque vous créez le connecteur de réception.

    • Pour supprimer les en-têtes X de l’organisation ou les en-têtes X de forêt des messages, créez un connecteur De réception et sélectionnez un type d’utilisation autre que Internal.

    • Pour supprimer les en-têtes de routage des messages, effectuez l'une des opérations suivantes :

      • Créez un connecteur de réception et sélectionnez le type Customd’utilisation . N'attribuez pas de groupes d'autorisations au connecteur de réception.

      • Modifiez un connecteur Receive existant et définissez le paramètre PermissionGroups sur la valeur None.

        Notez que si vous avez un connecteur de réception auquel aucun groupe d'autorisations n'est attribué, vous devez ajouter des principaux de sécurité au connecteur de réception en procédant de la manière décrite à la dernière étape.

  • La cmdlet Remove-ADPermission permet de supprimer les autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing d'un principal de sécurité configuré sur le connecteur de réception. Cette méthode ne fonctionne pas si l'autorisation a été attribuée au principal de sécurité à l'aide d'un groupe d'autorisations sur le connecteur de réception, car vous ne pouvez pas modifier les attributions d'autorisations ou l'appartenance à un groupe d'autorisations.

  • La cmdlet Add-ADPermission permet d'ajouter les principaux de sécurité requis pour le flux de messagerie sur le connecteur de réception. Assurez-vous qu'aucune des autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing ne sont attribuées aux principaux de sécurité. Si nécessaire, utilisez la cmdlet Add-ADPermission pour refuser les autorisations Ms-Exch-Accept-Headers-Organization, Ms-Exch-Accept-Headers-Forest et Ms-Exch-Accept-Headers-Routing aux principaux de sécurité configurés sur le connecteur de réception.

Pour plus d'informations, consultez les rubriques suivantes :

Pare-feu d'en-tête pour les messages sortants sur des connecteurs d'envoi

Le tableau suivant décrit l'application par défaut des autorisations de pare-feu d'en-tête sur des connecteurs d'envoi.

Autorisation Principaux de sécurité Exchange par défaut auxquels l'autorisation est attribuée Type d'utilisation par défaut qui attribue les principaux de sécurité au connecteur d'envoi
Ms-Exch-Send-Headers-Organization et Ms-Exch-Send-Headers-Forest
  • Serveurs de transport Hub
  • Serveurs de transport Edge
  • Remarque sur les serveurs Exchange : sur les serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur
  • Groupe universel de sécurité ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing
  • Serveurs de transport Hub
  • Serveurs de transport Edge
  • Serveurs Exchange

    Remarque : Sur les serveurs de transport Hub uniquement
  • Serveurs sécurisés de l'extérieur
  • Groupe universel de sécurité ExchangeLegacyInterop
 Internal
Ms-Exch-Send-Headers-Routing Compte d'utilisateur anonyme Internet
Ms-Exch-Send-Headers-Routing Serveurs partenaires Partner

Pare-feu d'en-tête sur des connecteurs d'envoi personnalisés

Pour appliquer un pare-feu d'en-tête à des messages dans un scénario de connecteur d'envoi personnalisé, utilisez l'une des méthodes suivantes :

  • Créez le connecteur d'envoi avec un type d'utilisation qui applique automatiquement le pare-feu d'en-tête aux messages. Notez que vous pouvez définir le type d'utilisation uniquement lorsque vous créez le connecteur d'envoi.

    • Pour supprimer les en-têtes X de l’organisation ou les en-têtes X de forêt des messages, créez un connecteur d’envoi et sélectionnez un type d’utilisation autre que Internal ou Partner.

    • Pour supprimer les en-têtes de routage des messages, créez un connecteur d’envoi et sélectionnez le type Customd’utilisation . L’autorisation Ms-Exch-Send-Headers-Routing est affectée à tous les types d’utilisation du connecteur d’envoi, à l’exception de Custom.

  • Supprimez du connecteur un principal de sécurité attribuant les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing.

  • La cmdlet Remove-ADPermission permet de supprimer les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing d'un principal de sécurité configuré sur le connecteur d'envoi.

  • La cmdlet Add-ADPermission permet de refuser les autorisations Ms-Exch-Send-Headers-Organization, Ms-Exch-Send-Headers-Forest et Ms-Exch-Send-Headers-Routing à un principal de sécurité configuré sur le connecteur d'envoi.

Pour plus d'informations, consultez les rubriques suivantes :

Pare-feu d'en-tête pour d'autres sources de messages

Les messages peuvent entrer dans le pipeline de transport sur un serveur de boîtes aux lettres ou un serveur de transport Edge sans utiliser de connecteurs d'envoi ou de réception. Le pare-feu d'en-tête est appliqué à ces autres sources de messages de la manière décrite dans la liste suivante :

  • Répertoire de collecte et répertoire de relecture : le répertoire Pickup est utilisé par les administrateurs ou les applications pour envoyer des fichiers de message. Le répertoire de relecture permet de déposer à nouveau des messages exportés à partir des files d'attente des messages Exchange. Pour plus d'informations sur les répertoires de collecte et de relecture, consultez la rubrique Répertoire de collecte et répertoire de relecture.

    Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont supprimés des fichiers de messages dans le répertoire de collecte.

    Les en-têtes de routage sont conservés dans les messages déposés par le répertoire de relecture.

    La conservation ou non des en-têtes X d'organisation et de forêt des messages dans les répertoire de relecture est contrôlée par le champ d'en-tête X-CreatedBy: dans les fichier de messages :

    • Si la valeur de X-CreatedBy: est MSExchange15, les en-têtes X-headers de l’organisation et les en-têtes X-headers de forêt sont conservés dans les messages.
    • Si la valeur de X-CreatedBy : n’est pas MSExchange15, les en-têtes X de l’organisation et les en-têtes X de forêt sont supprimés des messages.
    • Si le champ d'en-tête X-CreatedBy: n'existe pas dans les fichiers de messages, les en-têtes X d'organisation et de forêt sont supprimés des messages.

  • Répertoire de suppression : le répertoire Drop est utilisé par les connecteurs étrangers sur les serveurs de boîtes aux lettres pour envoyer des messages aux serveurs de messagerie qui n’utilisent pas SMTP pour transférer des messages. Pour plus d'informations sur les connecteurs étrangers, consultez la rubrique Connecteurs étrangers.

    Les en-têtes X d'organisation et de forêt sont supprimés des fichiers de messages avant leur placement dans le répertoire de dépôt.

    Les en-têtes de routage sont conservés dans les messages déposés par le répertoire de dépôt.

  • Transport de boîtes aux lettres : le service de transport de boîtes aux lettres existe sur les serveurs de boîtes aux lettres pour transmettre des messages vers et depuis des boîtes aux lettres sur des serveurs de boîtes aux lettres. Pour plus d'informations sur le service de transport de boîtes aux lettres, consultez la rubrique Flux de messagerie.

    Les en-têtes X d'organisation et de forêt, ainsi que les en-têtes de routage sont supprimés des messages sortants expédiés à partir de boîtes aux lettres par le service de dépôt du transport de boîtes aux lettres.

    Les en-têtes de routage sont conservés pour les messages entrants adressés à des destinataires de boîte aux lettres par le service de remise de transport de boîtes aux lettres. Les en-têtes X d'organisation suivantes sont conservés pour les messages entrants adressés à des destinataires de boîte aux lettres par le service de remise de transport de boîtes aux lettres.

    • X-MS-Exchange-Organization-SCL
    • X-MS-Exchange-Organization-AuthDomain
    • X-MS-Exchange-Organization-AuthMechanism
    • X-MS-Exchange-Organization-AuthSource
    • X-MS-Exchange-Organization-AuthAs
    • X-MS-Exchange-Organization-OriginalArrivalTime
    • X-MS-Exchange-Organization-OriginalSize

  • Messages DSN : les en-têtes X de l’organisation, les en-têtes X de forêt et les en-têtes de routage sont supprimés du message d’origine ou de l’en-tête de message d’origine attaché au message DSN. Pour plus d’informations sur les messages DSN, consultez DSN et NDR dans Exchange 2013.

  • Envoi de l’agent de transport : les en-têtes X de l’organisation, les en-têtes X de forêt et les en-têtes de routage sont conservés dans les messages envoyés par les agents de transport.

En-têtes X d'organisation et de forêt dans Exchange

Le service de transport sur des serveurs de boîtes aux lettres ou des serveurs de transport Edge insère des champs d'en-tête X personnalisés dans les en-têtes de messages.

Les en-têtes X d'organisation commencent par X-MS-Exchange-Organization-. Les en-têtes X de forêt commencent par X-MS-Exchange-Forest-. Le tableau suivant décrit certains en-têtes X d'organisation et de forêt utilisés dans les messages au sein d'une organisation Exchange.

En-tête X Description
X-MS-Exchange-Forest-RulesExecuted Règles de transport appliquées au message.
X-MS-Exchange-Organization-Antispam-Report Résumé des résultats du filtrage du courrier indésirable appliqués au message par l'Agent de filtrage du contenu.
X-MS-Exchange-Organization-AuthAs Spécifie la source d'authentification. Cet en-tête X est toujours présent lorsque la sécurité d'un message a été évaluée. Les valeurs possibles sont Anonymous, Internal, Externalou Partner.
X-MS-Exchange-Organization-AuthDomain Renseigné durant l'authentification sécurisée de domaine. La valeur est le nom de domaine complet (FQDN) du domaine authentifié distant.
X-MS-Exchange-Organization-AuthMechanism Spécifie le mécanisme d'authentification utilisé pour le dépôt du message. La valeur est un nombre hexadécimal à deux chiffres.
X-MS-Exchange-Organization-AuthSource Spécifie le nom de domaine complet (FQDN) du serveur qui a évalué l'authentification du message pour le compte de l'organisation.
X-MS-Exchange-Organization-Journal-Report Identifie les états de journal dans le transport. Dès que le message quitte le service de transport, l'en-tête devient X-MS-Journal-Report.
X-MS-Exchange-Organization-OriginalArrivalTime Identifie l'heure à laquelle le message est entré pour la première fois dans l'organisation Exchange.
X-MS-Exchange-Organization-Original-Sender Identifie l'expéditeur d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.
X-MS-Exchange-Organization-OriginalSize Identifie la taille d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.
X-MS-Exchange-Organization-Original-Scl Identifie le seuil de probabilité de courrier indésirable (SCL) d'origine d'un message mis en quarantaine lorsqu'il est entré pour la première fois dans l'organisation Exchange.
X-MS-Exchange-Organization-PCL Identifie le seuil de probabilité de courrier d'hameçonnage. La plage des valeurs de seuil de probabilité de courrier d'hameçonnage possibles s'étend de 1 à 8. Une valeur élevée indique un message suspect. Pour plus d'informations, consultez la rubrique Marquages de courrier indésirable.
X-MS-Exchange-Organization-Quarantine Indique que le message a été mis en quarantaine dans la boîte aux lettres de mise en quarantaine du courrier indésirable et qu'une notification d'état de remise (DSN) a été envoyée. Cela peut également indiquer que le message a été mis en quarantaine, puis libéré par l'administrateur. Ce champ d'en-tête X empêche le nouveau dépôt du message libéré dans la boîte aux lettres de mise en quarantaine du courrier indésirable. Pour plus d’informations, consultez [Libérer les messages mis en quarantaine à partir de la boîte aux lettres de quarantaine de courrier indésirable](release-quarantined-messages-from-the-spam-quarantine-mailbox-exchange-2013-help.md.
X-MS-Exchange-Organization-SCL Identifie le seuil de probabilité de courrier indésirable (SCL) du message. La plage des valeurs de SCL possibles s'étend de 0 à 9. Une valeur élevée indique un message suspect. La valeur spéciale -1 exempte le message de tout traitement par l'Agent de filtrage du contenu. Pour plus d'informations, consultez la rubrique Filtrage du contenu.
X-MS-Exchange-Organization-SenderIdResult Contient les résultats de l'Agent d'ID de l'expéditeur. L'Agent d'ID de l'expéditeur utilise le SPF (Sender Policy Framework) pour comparer l'adresse IP source du message au domaine utilisé dans l'adresse de messagerie de l'expéditeur. Les résultats de l'ID de l'expéditeur permettent de calculer le SCL d'un message. Pour plus d'informations, voir ID de l'expéditeur.