Configuration de stratégies anti-programme malveillant
S’applique à : Exchange Server 2013
Par défaut, le filtrage des programmes malveillants est activé dans Microsoft Exchange Server 2013. La stratégie anti-programme malveillant par défaut contrôle les paramètres de filtrage des programmes malveillants à l’échelle de votre entreprise. En tant qu’administrateur, vous pouvez afficher et modifier, mais pas supprimer, la stratégie anti-programme malveillant par défaut afin qu’elle soit adaptée pour répondre au mieux aux besoins de votre organisation. Pour une plus grande granularité, vous pouvez également créer des stratégies de filtre de programmes malveillants personnalisées et les appliquer aux utilisateurs, groupes ou domaines spécifiés dans votre organisation. Les stratégies personnalisées sont toujours prioritaires sur la stratégie par défaut, mais vous pouvez modifier la priorité (autrement dit, l’ordre d’exécution) de vos stratégies personnalisées. Pour plus d’informations, consultez Utiliser le CAE pour configurer la stratégie anti-programme malveillant par défaut.
Ce qu'il faut savoir avant de commencer
Nous vous recommandons de télécharger manuellement les mises à jour de définition et de moteur anti-programme malveillant sur votre serveur Exchange avant de le placer en production. Pour plus d’informations, consultez Télécharger les mises à jour du moteur et des définitions.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Anti-programme malveillant » dans la rubrique Autorisations anti-spam et anti-programme malveillant.
Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums de Exchange Server.
Utiliser le Centre d’administration Exchange pour configurer la stratégie anti-programme malveillant par défaut
Dans le Centre d’administration Exchange (CAE), accédez à Filtre protection>contre les programmes malveillants.
Effectuez l'une des opérations suivantes :
Double-cliquez sur la stratégie par défaut afin de modifier cette dernière pour l'ensemble de l'organisation.
Cliquez sur
.gif "Icône Ajouter")
Nouvelle icône pour créer une stratégie qui peut être appliquée aux utilisateurs, aux groupes et aux domaines de votre organisation. Vous pouvez également modifier des stratégies personnalisées existantes en double-cliquant dessus.
Pour les stratégies personnalisées uniquement, spécifiez un nom. Vous pouvez également spécifier une description plus détaillée. Vous ne pouvez pas renommer la stratégie par défaut.
Remarque
Lors de la création d'une stratégie, tous les paramètres de configuration apparaissent sur un seul écran tandis que, pendant la modification d'une stratégie, vous devez naviguer entre plusieurs écrans. Les paramètres sont les mêmes dans chaque cas, mais la suite de cette procédure décrit comment y accéder lors de la modification d'une stratégie.
Cliquez sur l'option de menu Paramètres. Dans la section Réponse à la détection de programmes malveillants, utilisez les boutons d'option pour sélectionner l'action à réaliser lorsqu'un programme malveillant est détecté dans un message :
Supprimer l’intégralité du message : empêche la remise de l’intégralité du message, y compris les pièces jointes, aux destinataires prévus. Il s’agit de la valeur par défaut.
Supprimer toutes les pièces jointes et utiliser le texte d’alerte par défaut : supprime toutes les pièces jointes de message, et pas seulement celle infectée, et insère le texte d’alerte par défaut suivant dans un fichier texte qui remplace les pièces jointes : « Un programme malveillant a été détecté dans une ou plusieurs pièces jointes incluses dans cet e-mail. Toutes les pièces jointes ont été supprimées. »
Supprimer toutes les pièces jointes et utiliser le texte d’alerte personnalisé : supprime toutes les pièces jointes de message, pas seulement celles qui sont infectées, et insère un message personnalisé dans un fichier texte qui remplace les pièces jointes. La sélection de cette option active le champ Texte d'alerte personnalisé dans lequel vous pouvez entrer un message personnalisé.
Importante
En cas de détection d'un programme malveillant dans le corps du message, le message entier et toutes ses pièces jointes sont supprimés, indépendamment de l'option sélectionnée. Cette action est appliquée aux messages entrants et sortants.
Dans la section Notifications, vous pouvez envoyer un message électronique de notification aux expéditeurs ou aux administrateurs quand un message est détecté comme programme malveillant et non remis. Ces notifications sont envoyées uniquement lorsque le message complet est supprimé.
Dans la section Notifications de l'expéditeur, cochez la case Informer les expéditeurs internes (ceux de votre organisation) ou Informer les expéditeurs externes (ceux hors de votre organisation) lorsqu'un message détecté n'est pas remis.
De même, dans la section Notifications de l'administrateur, activez la case à cocher Informer l'administrateur des messages d'expéditeurs internes non remis ou Informer l'administrateur des messages d'expéditeurs externes non remis. Spécifiez les adresses de messagerie de l'administrateur dans les champs Adresse de messagerie de l'administrateur après avoir activé l'une de ces cases ou les deux.
Le texte de notification par défaut est « Ce message a été créé automatiquement par un logiciel de remise de courrier. Votre e-mail n’a pas été remis aux destinataires prévus, car un programme malveillant a été détecté. » La langue dans laquelle le texte de notification par défaut est envoyé dépend des paramètres régionaux du message en cours de traitement.
Dans la section Personnaliser les notifications, vous pouvez créer un texte de notification personnalisé à utiliser en remplacement du texte par défaut des notifications envoyées aux expéditeurs et administrateurs. Cochez la case Utiliser le texte de notification personnalisé, puis spécifiez des valeurs dans les champs obligatoires suivants :
Nom de la source : nom que vous souhaitez utiliser comme expéditeur de la notification personnalisée.
Adresse de départ : adresse e-mail que vous souhaitez utiliser comme expéditeur de la notification personnalisée.
Messages provenant d’expéditeurs internes : objet et message de la notification si le message détecté provient d’un expéditeur interne.
Messages provenant d’expéditeurs externes : Objet et Message de la notification si le message détecté provient d’un expéditeur externe.
Remarque
Le texte objet par défaut est « Message non remis ».
Pour les stratégies personnalisées uniquement, cliquez sur l'option de menu Appliquer à, puis créez un règle basée sur une condition pour spécifier les utilisateurs, groupes ou domaines auxquels cette stratégie s'applique. Vous pouvez créer plusieurs conditions pour autant qu'elles soient uniques.
Pour sélectionner des utilisateurs, cliquez sur Le destinataire est. Dans la boîte de dialogue suivante, sélectionnez un ou plusieurs expéditeurs de votre organisation dans la liste du sélecteur, puis cliquez sur Ajouter. Pour ajouter des expéditeurs ne figurant pas dans la liste, entrez leurs adresses de messagerie, puis cliquez sur Vérifier les noms. Dans cette zone, vous pouvez également utiliser des caractères génériques pour plusieurs adresses e-mail (par exemple : *@nom_domaine). Une fois les sélections effectuées, cliquez sur OK pour revenir à l'écran principal.
Pour sélectionner des groupes, cliquez sur Le destinataire est membre de, puis, dans la boîte de dialogue qui s'affiche, sélectionnez ou spécifiez les groupes. Cliquez sur OK pour revenir à l'écran principal.
Pour sélectionner des domaines, cliquez sur Le domaine du destinataire est, puis, dans la boîte de dialogue qui s'affiche, ajoutez les domaines. Cliquez sur OK pour revenir à l'écran principal.
Vous pouvez créer des exceptions à l'intérieur d'une règle, par exemple, pour filtrer les messages de tous les domaines, sauf un domaine particulier. Cliquez sur Ajouter une exception, puis créez vos conditions d'exception de la même manière que vous avez créé les autres conditions.
Cliquez sur Enregistrer. Un résumé de vos paramètres par défaut de stratégie s'affiche dans le volet droit.
Conseil
- Vous pouvez cocher ou décocher des cases dans la colonne ACTIVÉ afin d'activer ou de désactiver les stratégies personnalisées correspondantes. Par défaut, toutes les stratégies sont activées et la stratégie par défaut ne peut pas être désactivée.
- Pour supprimer une stratégie personnalisée, sélectionnez-la, cliquez sur
.gif)
icône Supprimer , puis confirmez que vous souhaitez supprimer la stratégie. Il n’est pas possible de supprimer la stratégie par défaut. - Les stratégies personnalisées priment toujours sur la stratégie par défaut. Les stratégies personnalisées s’exécutent dans l’ordre inverse dans lequel vous les avez créées (de la plus ancienne à la plus récente), mais vous pouvez modifier la priorité (ordre d’exécution) de vos stratégies personnalisées en cliquant sur la flèche haut
.gif)
haut et flèche .gif)
bas. La stratégie dont la PRIORITÉ est 0 s'exécute d'abord, suivies des stratégies dont l'ordre de priorité est 1, 2, etc.
Comment savoir si cela a fonctionné ?
La procédure suivante décrit comment utiliser le fichier test d'antivirus EICAR.TXT pour vérifier si le filtrage des programmes malveillants fonctionne correctement.
Importante
Le fichier EICAR.TXT n'est pas un virus. Cependant, comme les utilisateurs ont souvent besoin de tester le bon fonctionnement de leurs installations, l'industrie antivirus, via l'European Institute for Computer Antivirus Research, a adopté la norme EICAR.
Créez un fichier texte et nommez-le EICAR.TXT.
Copiez la ligne suivante dans le fichier :
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*Assurez-vous que le fichier contient uniquement cette chaîne. Une fois terminé, vous obtenez un fichier de 68 octets.
Remarque
Si vous utilisez un programme antivirus, assurez-vous que le dossier où est enregistré le fichier est exclu de la détection.
Joignez ce fichier à un message électronique qui sera filtré par Exchange 2013.
Vérifiez la boîte aux lettres du destinataire du message de test. En fonction de la réponse à la détection des programmes malveillants que vous avez configurée, le message est entièrement supprimé ou la pièce jointe est supprimée et remplacée par un fichier texte d'alerte. Les notifications configurées sont également distribuées.
Supprimez le fichier EICAR.TXT suite au test pour éviter d'alarmer inutilement les autres utilisateurs.
Pour plus d'informations
FAQ anti-programme malveillant
Désactiver ou contourner de la détection des programmes malveillants