Procédures de protection contre les programmes malveillants dans Exchange Server

Exchange Server inclut l’agent de programmes malveillants installé sur les serveurs de boîtes aux lettres. Pour plus d’informations sur le filtrage des programmes malveillants dans Exchange, consultez Protection anti-programme malveillant dans Exchange Server.

Cette rubrique décrit les procédures suivantes pour la gestion du filtrage des programmes malveillants dans Exchange :

• Activer ou désactiver le filtrage de programmes malveillants sur un serveur de boîtes aux lettres
• Contourner le filtrage de programmes malveillants sur un serveur de boîtes aux lettres
• Créer des stratégies de logiciel anti-programme malveillant
• Afficher les stratégies de logiciel anti-programme malveillant
• Modifier les stratégies de logiciel anti-programme malveillant
• Activer et désactiver les stratégies de logiciel anti-programme malveillant
• Définir la priorité des stratégies de logiciel anti-programme malveillant
• Supprimer des stratégies de logiciel anti-programme malveillant
• Configurer le filtrage des programmes malveillants pour analyser les messages qui ont déjà été analysés par Exchange Online Protection (EOP).
• Configurez un contournement de filtrage de programmes malveillants pour un destinataire ou un groupe de destinataires.

Ce qu'il faut savoir avant de commencer

• Nous vous conseillons de télécharger manuellement le moteur de détection des programmes malveillants et les mises à jour de définitions sur votre serveur Exchange avant de le mettre en production. Pour plus d’informations, consultez Télécharger les mises à jour de définition et de moteur de logiciel anti-programme malveillant.

• Une stratégie de logiciel anti-programme malveillant se compose d'une stratégie de filtrage des programmes malveillants et d'une règle de filtrage des programmes malveillants. Chaque élément contrôle différents paramètres qui ne se chevauchent pas. La différence entre ces éléments n’est pas visible dans le CENTRE d’administration Exchange, mais elle est évidente dans Exchange Management Shell, car vous utilisez différentes applets de commande pour gérer les paramètres (*-MalwareFilterPolicy et *-MalwareFilterRule). Cette rubrique fait référence à des stratégies de logiciel anti-programme malveillant pour les procédures décrites dans le CAE, et à des stratégies et des règles de filtrage des programmes malveillants pour les procédures décrites dans Environnement de ligne de commande Exchange Management Shell. Pour plus d’informations, consultez Protection contre les logiciels malveillants dans Exchange Server.

• Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour connaître les autorisations dont vous avez besoin, consultez l’entrée « Antimalware » dans la rubrique Autorisations antispam et anti-programme malveillant .

• Pour des informations sur les raccourcis clavier applicables aux procédures de cette rubrique, voir Raccourcis clavier dans Exchange 2013Raccourcis clavier dans le Centre d'administration Exchange.

Utiliser le Environnement de ligne de commande Exchange Management Shell pour activer ou désactiver le filtrage des programmes malveillants sur des serveurs de boîtes aux lettres

La désactivation du filtrage des programmes malveillants sur un serveur de boîtes aux lettres désactive les mises à jour de l'Agent de programmes malveillants, de la définition et du moteur.

1. Pour désactiver le filtrage des programmes malveillants sur le serveur de boîtes aux lettres, exécutez la commande suivante dans Environnement de ligne de commande Exchange Management Shell :

   & $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1
   

   Pour activer le filtrage des programmes malveillants sur le serveur de boîtes aux lettres, exécutez la commande suivante dans Environnement de ligne de commande Exchange Management Shell :

   & $env:ExchangeInstallPath\Scripts\Enable-AntimalwareScanning.ps1
   

   Si la commande a fonctionné, ce message apparaîtra :

   Anti-malware scanning is successfully <enabled or disabled>. Please restart MSExchangeTransport for the changes to take effect.

   Remarque : Le script d'activation exécute également les mises à jour du moteur et de la définition des programmes malveillants si nécessaire.

2. Redémarrez le service de transport Exchange en exécutant cette commande, qui interrompra temporairement le flux de messagerie sur le serveur :

   Restart-Service MSExchangeTransport
   

   La modification peut mettre jusqu'à 10 minutes pour prendre effet.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez correctement activé ou désactivé le filtrage des programmes malveillants sur un serveur de boîtes aux lettres, exécutez cette commande dans Exchange Management Shell et vérifiez la valeur de la propriété Enabled :

Get-TransportAgent "Malware Agent"

Utiliser Environnement de ligne de commande Exchange Management Shell pour contourner le filtrage des programmes malveillants sur des serveurs de boîtes aux lettres

Contourner le filtrage des programmes malveillants vous permet de désactiver temporairement le filtrage des programmes malveillants sur le serveur sans perturber le flux de messagerie (vous n'avez pas besoin de redémarrer le service de transport Exchange).

Remarque : Vous ne devez ignorer le filtrage des programmes malveillants sur un serveur de boîtes aux lettres que lorsque vous résolvez un problème. Lorsque vous avez terminé, vous devez réactiver le filtrage des programmes malveillants.

Pour contourner ou réactiver le filtrage des programmes malveillants sur un serveur de boîtes aux lettres, utilisez la syntaxe suivante :

Set-MalwareFilteringServer -Identity <ServerIdentity> -BypassFiltering <$true | $false>

Cet exemple contourne le filtrage des programmes malveillants sur le serveur nommé Mailbox01.

Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $true

Cet exemple réactive le filtrage des programmes malveillants sur le même serveur.

Set-MalwareFilteringServer -Identity Mailbox01 -BypassFiltering $false

La modification peut mettre jusqu'à 10 minutes pour prendre effet.

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilteringServer.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez temporairement contourné ou réactivé le filtrage des programmes malveillants sur un serveur de boîtes aux lettres, exécutez la commande suivante dans Environnement de ligne de commande Exchange Management Shell et vérifiez la valeur de la propriété BypassFiltering:

Get-MalwareFilteringServer | Format-List Name,BypassFiltering

Créer des stratégies de logiciel anti-programme malveillant

Utiliser le CAE pour créer des stratégies de logiciel anti-programme malveillant

Lorsque vous créez une stratégie de logiciel anti-programme malveillant dans le CAE, vous créez une règle de filtrage des programmes malveillants et la stratégie de filtrage des programmes malveillants associée en utilisant le même nom pour les deux.

1. Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants, puis cliquez sur Nouveau .

2. Dans la page Nouvelle stratégie anti-programme malveillant qui s’ouvre, configurez ces paramètres :

   • Nom Entrez un nom unique et descriptif pour la stratégie.

   • Description Entrez une description facultative pour la stratégie.

   • Réponse à la détection des programmes malveillants : sélectionnez l’une des options suivantes :

     • Supprimer l’intégralité du message : empêche la remise de l’intégralité du message aux destinataires prévus. Il s’agit de la valeur par défaut.

     • Supprimer toutes les pièces jointes et utiliser le texte d’alerte par défaut : remplace toutes les pièces jointes de message (pas seulement celles détectées) par un fichier texte qui contient ce texte par défaut :

       Malware was detected in one or more attachments included with this email. All attachments have been deleted.

     • Supprimer toutes les pièces jointes et utiliser le texte d’alerte personnalisé : remplace toutes les pièces jointes de message (pas seulement celles détectées) par un fichier texte qui contient le texte personnalisé que vous spécifiez dans le champ Texte d’alerte personnalisée .

     Remarque

     Si un programme malveillant est détecté dans le corps d’un message entrant ou sortant, l’intégralité du message est supprimée, quel que soit le paramètre que vous configurez pour la réponse de détection des programmes malveillants.

   • Notification : les paramètres de cette section contrôlent les notifications lorsque le filtrage de programmes malveillants supprime le message. Les paramètres ne s’appliquent pas aux messages où toutes les pièces jointes sont remplacées par le texte d’alerte par défaut ou personnalisé.

     • Notifications de l’expéditeur : sélectionnez l’une des options suivantes ou les deux :

       • Avertir les expéditeurs internes : un expéditeur interne se trouve à l’intérieur de l’organisation Exchange.

       • Avertir les expéditeurs externes : un expéditeur externe se trouve en dehors de l’organisation Exchange.

     • Notifications de l’administrateur : sélectionnez l’une des options suivantes ou les deux :

       • Informer l’administrateur des messages non remis provenant d’expéditeurs internes : si vous sélectionnez cette option, entrez une adresse e-mail de notification dans le champ Adresse e-mail de l’administrateur .

       • Informer l’administrateur des messages non remis provenant d’expéditeurs externes : si vous sélectionnez cette option, entrez une adresse e-mail de notification dans le champ Adresse e-mail de l’administrateur .

     • Personnaliser les notifications : ces paramètres remplacent le texte de notification par défaut utilisé pour les expéditeurs ou les administrateurs. Pour plus d'informations sur les valeurs par défaut, consultez la rubrique Stratégies contre les programmes malveillants.

       • Utiliser le texte de notification personnalisé : si vous sélectionnez cette option, vous devez utiliser les champs De nom et Adresse de départ pour spécifier le nom et l’adresse e-mail de l’expéditeur utilisés dans le message de notification personnalisé.

       • Messages provenant d’expéditeurs internes : si vous avez choisi d’informer les expéditeurs ou les administrateurs des messages non remis provenant d’expéditeurs internes, vous devez utiliser les champs Objet et Message pour spécifier l’objet et le corps du message du message de notification personnalisé.

       • Messages provenant d’expéditeurs externes : si vous avez choisi d’informer les expéditeurs ou les administrateurs des messages non remis provenant d’expéditeurs externes, vous devez utiliser les champs Objet et Message pour spécifier l’objet et le corps du message du message de notification personnalisé.

   • Appliqué à : les paramètres de cette section identifient les destinataires internes auxquels la stratégie s’applique.

     • Si : cliquez sur la liste déroulante Sélectionner un , puis sélectionnez les conditions pour la règle :

       • Le destinataire est : spécifie une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans l’organisation Exchange. Dans la boîte de dialogue Sélectionner les membres qui s'affiche, sélectionnez un ou plusieurs destinataires dans la liste, puis cliquez sur Ajouter ->. Dans le champ Vérifier les noms , vous pouvez utiliser des caractères génériques pour plusieurs adresses e-mail (par exemple : *@fabrikam.com). Lorsque vous avez terminé, cliquez sur OK.

       • Le domaine du destinataire est : spécifie les destinataires dans un ou plusieurs des domaines acceptés configurés dans l’organisation Exchange. Dans la boîte de dialogue qui s'affiche, sélectionnez un ou plusieurs domaines, puis cliquez sur Ajouter ->. Lorsque vous avez terminé, cliquez sur OK.

       • Le destinataire est membre de : Spécifie un ou plusieurs groupes dans l’organisation Exchange. Dans la boîte de dialogue Sélectionner des membres qui s'affiche, sélectionnez un ou plusieurs groupes dans la liste, puis cliquez sur Ajouter ->. Lorsque vous avez terminé, cliquez sur OK.

     Vous pouvez utiliser une condition une seule fois, mais vous pouvez spécifier plusieurs valeurs pour la condition. Pour ajouter plusieurs conditions, cliquez sur Ajouter une condition et sélectionnez une condition parmi les options restantes.

     • Sauf si : pour ajouter des exceptions à la règle, cliquez sur Ajouter une exception, cliquez sur la liste déroulante Sélectionner une exception, puis configurez une exception pour la règle. Les paramètres et le comportement sont exactement comme les conditions.

3. Lorsque vous avez terminé, cliquez sur Enregistrer.

Utiliser Environnement de ligne de commande Exchange Management Shell pour créer des stratégies de logiciel anti-programme malveillant

Créer une stratégie de logiciel anti-programme malveillant dans Environnement de ligne de commande Exchange Management Shell est un processus en deux étapes :

1. Créer la stratégie de filtrage des programmes malveillants.

2. Créer la règle de filtrage des programmes malveillants qui détermine la stratégie de filtrage des programmes malveillants qui s'applique la règle.

Remarques :

• Vous pouvez créer une règle de filtre de programmes malveillants et lui attribuer une stratégie de filtre de programmes malveillants existante et non associée. Une règle de filtre de programmes malveillants ne peut pas être associée à plusieurs stratégies de filtre de programmes malveillants.

• Il existe deux paramètres que vous pouvez configurer sur les nouvelles stratégies anti-programme malveillant dans Exchange Management Shell qui ne sont pas disponibles dans le CENTRE d’administration Exchange tant que vous n’avez pas créé la stratégie :

  • Créez la nouvelle stratégie comme désactivée (Activée$false sur l’applet de commande New-MalwareFilterPolicy ).

  • Définissez la priorité de la stratégie lors de la création (numéro de> priorité<) sur l’applet de commande New-MalwareFilterRule).

• Les stratégies de filtrage de programmes malveillants que vous créez dans le Environnement de ligne de commande Exchange Management Shell n'apparaissent pas dans le CAE jusqu'à ce que vous attribuiez la stratégie de filtrage des programmes malveillants à une règle de filtrage des programmes malveillants.

• Un paramètre disponible dans Exchange Management Shell qui n’est pas disponible dans le CENTRE d’administration Exchange est la possibilité d’activer ou de désactiver le filtrage des programmes malveillants pour les messages entrants ou les messages sortants à l’aide des paramètres BypassInboundMessages ou BypassOutboundMessages de l’applet de commande New-MalwareFilterPolicy .

Étape 1 : Utiliser Environnement de ligne de commande Exchange Management Shell pour créer une stratégie de filtrage des programmes malveillants

Pour créer une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :

New-MalwareFilterPolicy -Name "<PolicyName>" [-Action <DeleteMessage | DeleteAttachmentAndUseDefaultAlert | DeleteAttachmentAndUseCustomAlert>] [-AdminDisplayName "<OptionalComments>"] [-BypassInboundMessages <$true | $false>] [-BypassOutboundMessages <$true | $false>] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>]

Cet exemple crée une nouvelle stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso avec les paramètres suivants :

• Bloquer les messages qui contiennent des programmes malveillants (nous n’utilisons pas le paramètre Action , et la valeur par défaut est DeleteMessage).

• N’informez pas l’expéditeur du message quand un programme malveillant est détecté dans le message (nous n’utilisons pas les paramètres EnableExternalSenderNotifications ou EnableInternalSenderNotifications , et la valeur par défaut pour les deux est $false).

• Informez l’administrateur admin@contoso.com quand un programme malveillant est détecté dans un message provenant d’un expéditeur interne.

New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterPolicy.

Étape 2 : Utiliser Environnement de ligne de commande Exchange Management Shell pour créer une règle de filtrage des programmes malveillants

Pour créer une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :

New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]

Cet exemple crée une règle de filtrage des programmes malveillants nommée Destinataires Contoso avec les paramètres suivants :

• La stratégie de filtrage des programmes malveillants nommée Stratégie de filtrage des programmes malveillants Contoso est associée à la règle.

• La règle s'applique aux destinataires dans le domaine contoso.com.

New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-MalwareFilterRule.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez correctement créé une stratégie de logiciel anti-programme malveillant, effectuez l’une des opérations suivantes :

• Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants. Vérifiez que la règle que vous avez créée figure dans la liste. Cliquez sur Modifier vérifier les paramètres de la règle.

• Dans Exchange Management Shell, remplacez PolicyName> par< le nom de la stratégie de filtre de programmes malveillants, puis exécutez cette commande pour vérifier les valeurs de propriété :

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List

• Dans Exchange Management Shell, remplacez RuleName> par< le nom de la règle de filtre de programmes malveillants, puis exécutez cette commande pour vérifier les valeurs de propriété :

  Get-MalwareFilterRule -Identity "<RuleName>" | Format-List
  

• Utiliser un fichier de test de l'European Institute Computer Antivirus Research (EICAR) pour vérifier que le filtrage des programmes malveillants fonctionne correctement :

1. Ouvrez le Bloc-notes et insérez ce texte (et uniquement ce texte) dans un fichier vide :

   X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
   

   Enregistrez le fichier sous EICAR.txt dans un emplacement unique que vous retrouverez facilement et qui est exclu de l'analyse antivirus de votre ordinateur. Le poids du fichier sera de 68 octets.

2. Créez un e-mail, joignez le fichier EICAR.txt au message et envoyez le message à un destinataire dans votre organisation Exchange qui devrait être affecté par la stratégie anti-programmes malveillants.

3. Vérifiez la boîte aux lettres du destinataire pour vérifier que le filtrage des programmes malveillants a agi sur le message : le message a été supprimé, ou il a été remis avec le fichier de texte d'alerte en remplaçant la pièce jointe, et les messages de notification ont été remis à l'expéditeur et/ou aux administrateurs.

4. Lorsque vous avez terminé, supprimez le fichier EICAR.txt afin que les autres utilisateurs ne soient pas avertis inutilement.

Afficher les stratégies de logiciel anti-programme malveillant

Utiliser le CAE pour afficher des stratégies de logiciel anti-programme malveillant

1. Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants.

2. Lorsque vous sélectionnez une stratégie, les informations associées sont affichées dans le volet d'informations. Pour plus d’informations sur la stratégie, cliquez sur Modifier

   • La valeur de la propriété Enabled, la valeur de la propriété Priority et les paramètres de l'onglet Appliqué à sont dans la règle de filtrage des programmes malveillants.

   • Les paramètres des onglets Général et Paramètres sont dans la stratégie de filtrage des programmes malveillants.

Utiliser Environnement de ligne de commande Exchange Management Shell pour afficher des stratégies de filtrage des programmes malveillants

Pour renvoyer une liste récapitulative des stratégies de filtrage des programmes malveillants, exécutez la commande suivante :

Get-MalwareFilterPolicy

Pour renvoyer des informations détaillées sur une stratégie de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :

Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la stratégie de filtrage des programmes malveillants nommée Executives.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même stratégie.

Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterPolicy.

Utiliser Environnement de ligne de commande Exchange Management Shell pour afficher les règles de filtrage des programmes malveillants

Pour renvoyer une liste récapitulative des règles de filtrage des programmes malveillants, exécutez la commande suivante :

Get-MalwareFilterRule

Pour renvoyer des informations détaillées sur une règle spécifique de filtrage des programmes malveillants spécifique, utilisez la syntaxe suivante :

Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

Cet exemple renvoie toutes les valeurs de propriété pour la règle de filtrage des programmes malveillants nommée Executives.

Get-MalwareFilterRule -Identity "Executives" | Format-List

Cet exemple renvoie uniquement les propriétés spécifiées pour la même règle.

Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Get-MalwareFilterRule.

Modifier les stratégies de logiciel anti-programme malveillant

Aucun paramètre supplémentaire n'est disponible lorsque vous modifiez une stratégie anti-programmes malveillants dans le CAE ou le Environnement de ligne de commande Exchange Management Shell. Ce sont les mêmes paramètres que ceux qui étaient disponibles lorsque vous avez créé la stratégie.

Utiliser le CAE pour modifier une stratégie de logiciel anti-programme malveillant

1. Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants.

2. Sélectionnez la stratégie, puis cliquez sur Modifier Pour plus d'informations sur les paramètres, consultez la rubrique Utiliser le CAE pour créer des stratégies de logiciel anti-programme malveillant dans cette rubrique.

   Remarques:

   • Au lieu d'être tous affichés sur une seule page, les paramètres sont divisés entre les onglets Général, Paramètres et Appliqué à. L'onglet Appliqué à n'est pas disponible sur la stratégie par défaut nommée Default.

   • Vous ne pouvez pas renommer la stratégie par défaut.

Utiliser Environnement de ligne de commande Exchange Management Shell pour modifier une stratégie de filtrage des programmes malveillants

Pour modifier une stratégie de filtrage des programmes malveillants, utilisez la syntaxe suivante :

Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterPolicy.

Utiliser Environnement de ligne de commande Exchange Management Shell pour modifier une règle de filtrage des programmes malveillants

Lorsque vous modifiez une règle de filtre de programmes malveillants dans Exchange Management Shell, vous ne pouvez pas désactiver ou activer la règle (il n’existe aucun paramètre Enabled sur l’applet de commande Set-MalwareFilterRule ). À la place, vous devez utiliser les cmdlets Disable-MalwareFilterRule et Enable-MalwareFilterRule, décrites plus loin dans cette rubrique.

Pour modifier une règle de filtrage des programmes malveillants, utilisez la syntaxe suivante :

Set-MalwareFilterRule -Identity "<RuleName>" <Settings>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterRule.

Activer ou désactiver les stratégies de logiciel anti-programme malveillant

Par défaut, les stratégies anti-programme malveillant sont activées lorsque vous les créez dans le Centre d’administration Exchange ou l’environnement de ligne de commande Exchange Management Shell, mais vous pouvez utiliser Exchange Management Shell pour créer une règle de filtre de programmes malveillants désactivée (utilisez l’applet de commande New-MalwareFilterRule et le paramètre Enabled avec la valeur $false).

Utiliser le CAE pour activer ou désactiver une stratégie de logiciel anti-programme malveillant

1. Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants.

2. Sélectionnez la stratégie dans la liste, puis configurez les paramètres suivants :

   • Désactivez la stratégie : décochez la case dans la colonne Activé .

   • Activez la stratégie : activez la case à cocher dans la colonne Activé .

Utiliser Environnement de ligne de commande Exchange Management Shell pour activer ou désactiver les règles de filtrage des programmes malveillants

Pour activer ou désactiver une règle de filtrage des programmes malveillants dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"

Cet exemple désactive la règle de filtrage des programmes malveillants nommée Marketing Department.

Disable-MalwareFilterRule -Identity "Marketing Department"

Cet exemple montre comment activer la même règle.

Enable-MalwareFilterRule -Identity "Marketing"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Enable-MalwareFilterRule et Disable-MalwareFilterRule.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez correctement activé ou désactivé une stratégie de logiciel anti-programme malveillant, utilisez l’une de ces procédures :

• Dans le CAE, accédez à Filtre protection>contre les programmes malveillants et, dans la liste des stratégies anti-programme malveillant, vérifiez l’état de la case à cocher dans la colonne Activé .

• Dans Environnement de ligne de commande Exchange Management Shell, exécutez cette commande pour afficher la liste des règles et leurs valeurs de propriété State:

  Get-MalwareFilterRule
  

Définir la priorité des stratégies anti-programme malveillant personnalisées

Par défaut, les stratégies de logiciel anti-programme malveillant reçoivent une priorité qui dépend de l'ordre dans lequel elles ont été créées (les stratégies plus récentes sont moins prioritaires que les stratégies plus anciennes). Un numéro de priorité peu élevé indique une plus grande priorité, et les stratégies sont traitées par ordre de priorité (les stratégies à haute priorité sont traitées avant les stratégies de moindre priorité). Deux stratégies ne peuvent pas avoir la même priorité.

Remarques:

• Dans le CAE, vous pouvez uniquement modifier la priorité de la stratégie de logiciel anti-programme malveillant après l'avoir créée. Dans Environnement de ligne de commande Exchange Management Shell, vous pouvez remplacer la priorité par défaut lors de la création de la règle de filtrage des programmes malveillants (ceci peut modifier la priorité de règles existantes).

• La stratégie de logiciel anti-programme malveillant par défaut nommée Default a la valeur de priorité Lowest (plus basse) et vous ne pouvez pas la modifier.

Utiliser le Centre d’administration Exchange pour définir la priorité des stratégies anti-programme malveillant personnalisées

Dans le CAE, les stratégies de logiciel anti-programme malveillant sont traitées selon leur ordre d'affichage (la première stratégie a la valeur de Priority 0). Pour modifier la priorité d'une stratégie, déplacez-la vers le haut ou vers le bas de la liste (vous ne pouvez pas modifier directement le numéro de Priority dans le CAE).

1. Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants.

2. Sélectionnez une stratégie, puis cliquez sur Déplacer vers le haut () ou Sur Déplacer vers le bas () pour déplacer la règle vers le haut ou vers le bas dans la liste.

Utiliser Exchange Management Shell pour définir la priorité des règles de filtre de programmes malveillants personnalisées

La valeur 0 est la priorité la plus élevée que vous pouvez définir sur une règle. La valeur la plus basse que vous pouvez définir dépend du nombre de règles. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 0 à 4. Tout changement de priorité d'une règle existante peut avoir un effet en cascade sur les autres règles. Par exemple, si vous avez cinq règles (priorités de 0 à 4) et que vous modifiez la priorité d'une règle sur 2, la règle existante de priorité 2 passe en priorité 3, et la règle de priorité 3 passe en priorité 4.

Pour définir la priorité d'une règle de filtrage des programmes malveillants dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>

Cet exemple définit la priorité de la règle nommée Marketing Department sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d'une unité (leurs numéros de priorité sont augmentés de 1).

Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2

Remarque : pour définir la priorité d’une nouvelle règle lors de sa création, utilisez le paramètre Priority dans la cmdlet New-MalwareFilterRule.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez modifié correctement la priorité d’une stratégie de logiciel anti-programme malveillant, utilisez l’une de ces procédures :

• Dans le CENTRE d’administration Exchange, accédez à Filtre protection>contre les programmes malveillants et vérifiez la valeur De priorité des stratégies anti-programme malveillant dans la liste.

• Dans Environnement de ligne de commande Exchange Management Shell, exécutez cette commande pour afficher la liste des règles et leurs valeurs de propriété Priority:

  Get-MalwareFilterRule
  

Supprimer des stratégies de logiciel anti-programme malveillant

Remarque : Vous ne pouvez pas supprimer la stratégie de logiciel anti-programme malveillant par défaut.

Utiliser le CAE pour supprimer des stratégies de logiciel anti-programme malveillant

Lorsque vous utilisez le CAE pour supprimer une stratégie de logiciel anti-programme malveillant, la règle de filtrage des programmes malveillants et la stratégie correspondante sont supprimées.

1. À partir du CAE, accédez à Filtre de protection>contre les programmes malveillants.

2. Sélectionnez la stratégie anti-programme malveillant que vous souhaitez supprimer de la liste, puis cliquez sur Supprimer (

Utiliser Environnement de ligne de commande Exchange Management Shell pour supprimer des stratégies de filtrage des programmes malveillants

Lorsque vous utilisez Environnement de ligne de commande Exchange Management Shell pour supprimer une stratégie de filtrage des programmes malveillants, la règle de filtrage des programmes malveillants correspondante n'est pas supprimée.

Pour supprimer une stratégie de filtrage des programmes malveillants dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

Remove-MalwareFilterPolicy -Identity "<PolicyName>"

Cet exemple supprime la stratégie de filtrage des programmes malveillants nommée Marketing Department.

Remove-MalwareFilterPolicy -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterPolicy.

Utiliser Environnement de ligne de commande Exchange Management Shell pour supprimer des règles de filtrage des programmes malveillants

Lorsque vous utilisez Environnement de ligne de commande Exchange Management Shell pour supprimer une règle de filtrage des programmes malveillants, la stratégie de filtrage des programmes malveillants associée n'est pas supprimée.

Pour supprimer une règle de filtrage des programmes malveillants dans Environnement de ligne de commande Exchange Management Shell, utilisez la syntaxe suivante :

Remove-MalwareFilterRule -Identity "<RuleName>"

Cet exemple permet de supprimer la règle de filtrage des programmes malveillants nommée Marketing Department :

Remove-MalwareFilterRule -Identity "Marketing Department"

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-MalwareFilterRule.

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez bien supprimé une stratégie de logiciel anti-programme malveillant, procédez comme suit :

• Dans le CAE, accédez à Filtre protection>contre les programmes malveillants et vérifiez que la stratégie que vous avez supprimée ne figure plus dans la liste.

• Dans Environnement de ligne de commande Exchange Management Shell, exécutez la commande suivante pour vérifier que la stratégie de filtrage des programmes malveillants supprimée n'apparaît plus :

  Get-MalwareFilterPolicy
  

• Dans Environnement de ligne de commande Exchange Management Shell, exécutez la commande suivante pour vérifier que la règle de filtrage des programmes malveillants supprimée n'apparaît plus :

  Get-MalwareFilterRule
  

Utiliser Environnement de ligne de commande Exchange Management Shell pour configurer le filtrage des programmes malveillants afin de réanalyser les messages déjà analysés par EOP

Par défaut, les messages en transit analysés par Exchange Online Protection (EOP) ne sont pas analysés une seconde fois par l'Agent de programmes malveillants dans Exchange. En revanche, une nouvelle analyse de ces messages peut renforcer la protection contre les programmes malveillants.

Pour activer ou désactiver l'analyse des programmes malveillants dans les messages qui ont déjà été analysés par EOP, utilisez la syntaxe suivante dans Environnement de ligne de commande Exchange Management Shell :

Set-MalwareFilteringServer -Identity <ServerIdentity> -ForceRescan <$true | $false>

Cet exemple permet d'analyser les programmes malveillants dans les messages qui ont déjà été analysés par EOP sur le serveur de boîtes aux lettres nommé Mailbox01.

Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $true

Cet exemple désactive l’analyse des programmes malveillants dans les messages qui ont déjà été analysés par EOP sur le même serveur.

Set-MalwareFilteringServer -Identity Mailbox01 -ForceRescan $false

Comment savoir si cela a fonctionné ?

Pour vérifier que vous avez configuré le filtrage des programmes malveillants pour réanalyser les messages déjà analysés par EOP, exécutez la commande suivante dans Environnement de ligne de commande Exchange Management Shell et vérifiez la valeur de la propriété ForceRescan:

Get-MalwareFilteringServer | Format-List Name, ForceRescan

Configurer un contournement de filtrage des programmes malveillants pour un destinataire ou un groupe de destinataires

Pour permettre à un destinataire ou à un groupe de destinataires particuliers de recevoir des e-mails avec des pièces jointes qui seraient autrement détectés et donc supprimés par la stratégie anti-programme malveillant par défaut, une nouvelle stratégie anti-programme malveillant doit être créée, à l’aide du CAE ou de PowerShell. Cette stratégie doit être définie pour analyser les e-mails de tous les destinataires et une condition d’exclusion doit être définie dans cette stratégie pour le destinataire ou le groupe destiné à recevoir ce contenu.

Utilisation du CAE pour créer la nouvelle stratégie anti-programme malveillant :

Cela crée une stratégie de programme malveillant qui analyse tout le trafic de courrier électronique, à l’exception des messages envoyés à l’utilisateur ou au groupe exempté.

Utilisation d’Exchange Management Shell pour créer une stratégie anti-programme malveillant :

Utilisez Exchange Management Shell pour modifier une règle de filtrage des programmes malveillants.

Après avoir créé la stratégie anti-programme malveillant et défini l’exclusion appropriée, une nouvelle stratégie anti-programme malveillant doit être créée pour que les messages non supervisés contournent la stratégie anti-programme malveillant par défaut qui a toujours la priorité la plus basse. Cette modification peut être obtenue à l’aide d’Exchange Management Shell pour définir la valeur du paramètre -BypassInboundMessages de cette règle de filtrage anti-programme malveillant sur True. Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Set-MalwareFilterPolicy.

Set-MalwareFilterPolicy -Identity "<PolicyName>" -BypassInboundMessages $true

Cette méthode ne nécessite pas de redémarrage du service et peut permettre aux administrateurs Exchange et aux équipes de sécurité de contourner temporairement ou définitivement la détection anti-programme malveillant pour un destinataire ou un groupe particulier, ce qui signifie que les messages autrement non remis à ce sous-groupe particulier sans compromettre la sécurité de l’ensemble de l’organisation Exchange et, finalement, conserver la sécurité au sein de leurs systèmes et pour leurs clients.

Comment savoir si cela a fonctionné ?

Get-MalwareFilterPolicy "<PolicyName>" | fl BypassInboundMessages