Protection anti-spam dans EOP

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Remarque

Cette rubrique est destinée aux administrateurs. Pour les rubriques relatives aux utilisateurs finaux, consultez Vue d’ensemble du filtre de Email indésirables et En savoir plus sur le courrier indésirable et l’hameçonnage.

Dans Microsoft 365 organisations avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online, les messages électroniques sont automatiquement protégés contre le courrier indésirable (courrier indésirable) par EOP.

Pour aider à réduire le courrier indésirable, EOP inclut une protection contre le courrier indésirable qui utilise des technologies propriétaires de filtrage du courrier indésirable (également appelé filtrage de contenu) pour identifier et séparer le courrier indésirable du courrier légitime. Le filtrage du courrier indésirable EOP apprend à partir des menaces connues de courrier indésirable et d’hameçonnage, ainsi que des commentaires des utilisateurs de notre plateforme grand public, Outlook.com. Les commentaires continus des administrateurs et desutilisateurs permettent de s’assurer que les technologies EOP sont continuellement formées et améliorées.

EOP utilise les verdicts de filtrage du courrier indésirable suivants pour classer les messages :

  • Courrier indésirable : le message a reçu un niveau de confiance du courrier indésirable (SCL) de 5 ou 6.
  • Courrier indésirable à haut niveau de confiance : le message a reçu une SCL de 7, 8 ou 9.
  • Hameçonnage
  • Hameçonnage à haute confiance : dans le cadre de la sécurisation par défaut, les messages identifiés comme des hameçonnages à haut niveau de confiance sont toujours mis en quarantaine, et les utilisateurs ne peuvent pas publier leurs propres messages d’hameçonnage à haut niveau de confiance en quarantaine, quels que soient les paramètres disponibles configurés par les administrateurs.
  • En bloc : la source du message a atteint ou dépassé le niveau de plainte en bloc (BCL) configuré. Seuil.

Pour plus d’informations sur la protection anti-courrier indésirable, consultez le FAQ sur la protection anti-courrier indésirable

Dans la stratégie anti-courrier indésirable par défaut et dans les stratégies anti-courrier indésirable personnalisées, vous pouvez configurer les actions à effectuer en fonction de ces verdicts. Dans les stratégies de sécurité prédéfinies Standard et Strict, les actions sont déjà configurées et non modifiables, comme décrit dans Paramètres de stratégie anti-courrier indésirable EOP.

Pour configurer la stratégie anti-courrier indésirable par défaut et créer, modifier et supprimer des stratégies anti-courrier indésirable personnalisées, voir Configurer des stratégies anti-courrier indésirable dans Microsoft 365.

Conseil

Si vous n’êtes pas d’accord avec le verdict du filtrage du courrier indésirable, vous pouvez signaler le message à Microsoft en tant que faux positif (bon courrier marqué comme mauvais) ou faux négatif (mauvais e-mail autorisé). Pour plus d’informations, voir :

Les en-têtes de message anti-courrier indésirable peuvent vous indiquer pourquoi un message a été marqué comme courrier indésirable ou pourquoi il a ignoré le filtrage du courrier indésirable. Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

Vous ne pouvez pas désactiver complètement le filtrage du courrier indésirable dans Microsoft 365, mais vous pouvez utiliser des règles de flux de messagerie Exchange (également appelées règles de transport) pour contourner la plupart des filtrages de courrier indésirable sur les messages entrants (par exemple, si vous acheminez le courrier électronique via un appareil ou un service de protection tiers avant la remise à Microsoft 365). Pour plus d’informations, consultez Utiliser des règles de flux de messagerie pour définir le niveau de probabilité de courrier indésirable (SCL) dans les messages.

Dans les environnements hybrides où EOP protège les boîtes aux lettres Exchange locales, vous devez configurer deux règles de flux de courrier (également appelées règles de transport) dans votre organization Exchange local pour reconnaître les en-têtes de courrier indésirable EOP ajoutés aux messages. Pour les détails, voir Configurer Exchange Online Protection (EOP) pour envoyer des courriers indésirables dans le dossier Courrier indésirable dans les environnements hybrides.

Stratégies anti-courrier indésirable

Les stratégies anti-courrier indésirable contrôlent les paramètres configurables pour le filtrage du courrier indésirable. Les paramètres importants des stratégies anti-courrier indésirable sont décrits dans les sous-sections suivantes.

Conseil

Pour afficher les paramètres de stratégie anti-courrier indésirable dans la stratégie par défaut, la stratégie de sécurité prédéfinie Standard et la stratégie de sécurité prédéfinie Strict, consultez Paramètres de stratégie anti-courrier indésirable EOP.

Filtres de destinataires dans les stratégies anti-courrier indésirable

Dans les stratégies anti-courrier indésirable personnalisées et dans les stratégies de sécurité prédéfinies Standard et Strict, vous pouvez spécifier des conditions de destinataire et des exceptions qui déterminent à qui la stratégie s’applique. Vous pouvez utiliser les propriétés suivantes pour les conditions et les exceptions :

  • Utilisateurs
  • Groupes
  • Domaines

Vous ne pouvez utiliser une condition ou une exception qu'une seule fois, mais la condition ou l'exception peut contenir plusieurs valeurs. Plusieurs valeurs de la même condition ou exception utilisent la logique OU (par exemple, <destinataire1> ou <destinataire2>). Des conditions ou des exceptions différentes utilisent la logique ET (par exemple, <destinataire1> et <membre du groupe 1>).

Importante

Plusieurs types de conditions ou d’exceptions différents ne sont pas additifs ; ils sont inclusifs. La stratégie est appliquée uniquement aux destinataires qui correspondent à tous les filtres de destinataires spécifiés. Par exemple, vous configurez une condition de filtre de destinataire dans la stratégie avec les valeurs suivantes :

  • Utilisateurs: romain@contoso.com
  • Groupes : Cadres

La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, la stratégie ne lui est pas appliquée.

De même, si vous utilisez le même filtre de destinataires comme exception à la stratégie, la stratégie n’est pas appliquée uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, la stratégie s’applique toujours à lui.

Seuil de plainte en bloc (BCL) dans les stratégies anti-courrier indésirable

EOP affecte une valeur de niveau de plainte en bloc (BCL) aux messages entrants provenant d’expéditeurs en bloc. Les messages provenant d’expéditeurs en bloc sont également appelés courrier en bloc ou courrier gris.

Pour plus d’informations sur BCL, consultez Niveau de plainte en bloc (BCL) dans EOP.

Conseil

Par défaut, le paramètre PowerShell uniquement MarkAsSpamBulkMail se trouve On dans les stratégies anti-courrier indésirable dans Exchange Online PowerShell. Ce paramètre affecte considérablement les résultats d’un verdict de filtrage conforme en bloc (BCL) atteint ou dépassé :

  • MarkAsSpamBulkMail est activé : une liste BCL supérieure ou égale à la valeur de seuil est convertie en SCL 6 qui correspond à un verdict de filtrage du courrier indésirable, et l’action pour le verdict de filtrage conforme en bloc (BCL) atteint ou dépassé est effectuée sur le message.
  • MarkAsSpamBulkMail est désactivé : le message est marqué avec la liste BCL, mais aucune action n’est effectuée pour un verdict de filtrage conforme en bloc (BCL) atteint ou dépassé . En effet, le seuil BCL et l’action de verdict de filtrage atteint ou dépassé ne sont pas pertinents.

Propriétés de courrier indésirable dans les stratégies anti-courrier indésirable

Les paramètres du mode test , les paramètres Augmenter le score de courrier indésirable et la plupart des paramètres Marquer comme courrier indésirable font partie du filtrage avancé du courrier indésirable (ASF) dans les stratégies anti-courrier indésirable.

Ces paramètres ne sont pas configurés par défaut dans la stratégie anti-courrier indésirable par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Pour plus d’informations sur les paramètres ASF, consultez Paramètres du filtre anti-courrier indésirable avancé (ASF) dans EOP.

Les autres paramètres disponibles dans cette catégorie sont les suivants :

  • Contient des langues spécifiques : les messages dans les langues spécifiées sont automatiquement identifiés comme courrier indésirable.
  • À partir de ces pays* : les messages provenant des pays spécifiés sont automatiquement identifiés comme courrier indésirable.

Ces paramètres ne sont pas configurés par défaut dans la stratégie anti-courrier indésirable par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Actions dans les stratégies anti-courrier indésirable

  • Dans les stratégies anti-courrier indésirable personnalisées et la stratégie anti-courrier indésirable par défaut, les actions disponibles pour les verdicts de filtrage du courrier indésirable sont décrites dans le tableau suivant.

    • Une marque case activée ( ✔ ) indique que l’action est disponible (toutes les actions ne sont pas disponibles pour tous les verdicts).
    • Un astérisque ( * ) après la coche indique l’action par défaut pour le verdict de filtrage du courrier indésirable.
    Action Courrier indésirable Élevé
    confiance
    courrier indésirable
    Hameçonnage Élevé
    confiance
    hameçonnage
    Courrier en nombre
    Déplacer le message vers le dossier Email de courrier indésirable : le message est remis à la boîte aux lettres et déplacé vers le dossier Email indésirable.¹ * * ² *
    Ajouter un en-tête X : ajoute un en-tête X à l’en-tête du message et remet le message dans la boîte aux lettres.

    Vous entrez le nom du champ X-header (et non la valeur) dans la zone de texte Ajouter cet en-tête X disponible.

    Pour les verdicts de courrier indésirable et de courrier indésirable à haut niveau de confiance, le message est déplacé vers le dossier Courrier indésirable Email.¹ ³
    Ajouter la ligne d’objet avec le texte: ajoute du texte au début de la ligne d’objet du message. Le message est remis à la boîte aux lettres et déplacé vers le dossier Courrier indésirable.¹ ³

    Vous entrez le texte dans la ligne d’objet Préfixe disponible avec cette zone de texte.
    Rediriger le message vers une adresse e-mail: envoie le message à une adresse e-mail spécifiée au lieu des destinataires prévus.

    Vous spécifiez les destinataires dans la zone Rediriger vers cette adresse e-mail .
    Supprimer le message: supprime le message entier, pièces jointes comprises.
    Mettre en quarantaine le message: Envoie le message en quarantaine au lieu de le remettre à ses destinataires.

    Vous sélectionnez ou utilisez la stratégie de mise en quarantaine par défaut pour le verdict de filtrage du courrier indésirable dans la zone Sélectionner la stratégie de quarantaine qui s’affiche.⁴ Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire pour les messages mis en quarantaine et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

    Vous spécifiez la durée pendant laquelle les messages sont placés en quarantaine dans la zone disponible Conserver le courrier indésirable en quarantaine pendant ce nombre de jours .
    * *
    Aucune action

    ¹ EOP utilise son propre agent de remise de flux de courrier pour acheminer les messages vers le dossier Email indésirable au lieu d’utiliser la règle de courrier indésirable dans la boîte aux lettres. Le paramètre Enabled de l’applet de commande Set-MailboxJunkEmailConfiguration dans Exchange Online PowerShell a un effet sur le flux de messagerie dans les boîtes aux lettres cloud. Pour plus d’informations, voir Configurer les paramètres du courrier indésirable sur les boîtes aux lettres Exchange Online.

    ² Pour l’hameçonnage à haute confiance, l’action Déplacer le message vers le dossier Email indésirable est effectivement déconseillée. Bien que vous puissiez sélectionner l’action Déplacer le message vers le dossier Courrier indésirable Email, les messages d’hameçonnage à haut niveau de confiance sont toujours mis en quarantaine (équivalent à la sélection du message de mise en quarantaine).

    ³ Vous pouvez utiliser cette valeur comme condition dans les règles de flux de courrier pour filtrer ou router le message.

    ⁴ Si le verdict de filtrage du courrier indésirable met en quarantaine les messages par défaut (message de quarantaine est déjà sélectionné lorsque vous accédez à la page), le nom de la stratégie de mise en quarantaine par défaut s’affiche dans la zone Sélectionner la stratégie de mise en quarantaine . Si vous remplacez l’action d’un verdict de filtrage du courrier indésirable par Message de mise en quarantaine, la zone Sélectionner la stratégie de mise en quarantaine est vide par défaut. Une valeur vide signifie que la stratégie de mise en quarantaine par défaut pour ce verdict est utilisée. Lorsque vous affichez ou modifiez ultérieurement les paramètres de stratégie anti-courrier indésirable, le nom de la stratégie de mise en quarantaine s’affiche. Pour plus d’informations sur les stratégies de quarantaine utilisées par défaut pour les verdicts de filtre anti-courrier indésirable, consultez Paramètres de stratégie anti-courrier indésirable EOP.

    ⁵ Les utilisateurs ne peuvent pas publier leurs propres messages mis en quarantaine en tant qu’hameçonnage à haut niveau de confiance, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages d’hameçonnage à haut niveau de confiance mis en quarantaine.

  • Messages intra-organisationnels à utiliser : contrôle si le filtrage du courrier indésirable et les actions de verdict correspondantes sont appliqués aux messages internes (messages envoyés entre les utilisateurs au sein de l’organization). L’action configurée dans la stratégie pour les verdicts de filtre de courrier indésirable spécifiés est effectuée sur les messages envoyés entre les utilisateurs internes. Les valeurs disponibles sont :

    • Par défaut : il s’agit de la valeur par défaut. Cette valeur est identique à la sélection des messages d’hameçonnage à haute confiance.
    • Aucune
    • Messages d’hameçonnage à haute confiance
    • Hameçonnage et messages d’hameçonnage à haute confiance
    • Tous les messages d’hameçonnage et de courrier indésirable à haute confiance
    • Tous les messages d’hameçonnage et de courrier indésirable

    Pour connaître les valeurs par défaut utilisées dans la stratégie anti-courrier indésirable par défaut et dans les stratégies de sécurité prédéfinies Standard et Strict, consultez messages intra-organisationnels pour prendre des mesures sur l’entrée dans les paramètres de stratégie anti-courrier indésirable EOP.

  • Conserver le courrier indésirable en quarantaine pendant ce nombre de jours : indique la durée de la mise en quarantaine du message si vous avez sélectionné Message de quarantaine comme action pour le verdict de filtrage du courrier indésirable. Une fois la période expirée, le message est supprimé et n’est pas récupérable. Une valeur valide est comprise entre 1 et 30 jours.

    Pour connaître les valeurs par défaut utilisées dans la stratégie anti-courrier indésirable par défaut et dans les stratégies de sécurité prédéfinies Standard et Strict, consultez l’entrée Conserver le courrier indésirable en quarantaine pour ce nombre de jours dans les paramètres de stratégie anti-courrier indésirable EOP.

    Conseil

    Ce paramètre contrôle également la durée de rétention des messages mis en quarantaine par les stratégies anti-hameçonnage. Pour plus d’informations, consultez Rétention en quarantaine.

Purge automatique zéro heure (ZAP) dans les stratégies anti-courrier indésirable

ZAP pour le hameçonnage et ZAP pour le courrier indésirable sont en mesure d’agir sur les messages une fois qu’ils ont été remis aux boîtes aux lettres Exchange Online. Par défaut, ZAP pour le hameçonnage et ZAP pour le courrier indésirable sont activés, et nous vous recommandons de les laisser activés. Pour plus d’informations, voir :

Stratégies de mise en quarantaine dans les stratégies anti-courrier indésirable

Si le verdict dans la stratégie anti-courrier indésirable est configuré pour mettre en quarantaine les messages, les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire à ces messages mis en quarantaine, et si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine.

Autoriser et bloquer les listes dans les stratégies anti-courrier indésirable

Les stratégies anti-courrier indésirable contiennent les listes suivantes pour autoriser ou bloquer des expéditeurs ou des domaines spécifiques :

  • Liste des expéditeurs autorisés
  • Liste des domaines autorisés
  • Liste des expéditeurs bloqués
  • Liste des domaines bloqués

Ces paramètres ne sont pas configurés par défaut dans la stratégie anti-courrier indésirable par défaut, ni dans les stratégies de sécurité prédéfinies Standard ou Strict.

Les fonctionnalités de ces listes ont été en grande partie remplacées par :

  • Bloquer les entrées pour les domaines et les adresses de messagerie dans créer des entrées de bloc pour les domaines et les adresses de messagerie.

    Le main raison d’utiliser la liste des expéditeurs bloqués ou la liste des domaines bloqués dans les stratégies anti-courrier indésirable : les entrées de blocage dans la liste verte/bloquée des locataires empêchent également les utilisateurs de l’organization d’envoyer des e-mails à ces adresses e-mail ou domaines.

  • Signaler un e-mail de qualité à Microsoft à partir de la page Soumissions dans le portail Microsoft Defender (où vous pouvez choisir d’autoriser les e-mails avec des attributs similaires, ce qui crée les entrées temporaires requises dans la liste verte/bloquée du locataire).

    Importante

    Les messages provenant des entrées de la liste des expéditeurs autorisés ou de la liste des domaines autorisés ignorent la plupart des contrôles de protection des e-mails (à l’exception des programmes malveillants et du hameçonnage à haute confiance) et des vérifications d’authentification par e-mail (SPF, DKIM et DMARC). Les entrées de la liste des expéditeurs autorisés ou de la liste des domaines autorisés créent un risque élevé que des attaquants livrent correctement des e-mails à la boîte de réception qui seraient autrement filtrés. Ces listes sont préférables pour les tests temporaires uniquement.

    N’ajoutez jamais de domaines communs (par exemple, microsoft.com ou office.com) à la liste des domaines autorisés. Les attaquants peuvent facilement envoyer des messages usurpés à partir de ces domaines courants dans votre organization.

    À compter de septembre 2022, si un expéditeur, un domaine ou un sous-domaine autorisé se trouve dans un domaine accepté dans votre organization, cet expéditeur, domaine ou sous-domaine doit passer des vérifications d’authentification par e-mail afin d’ignorer le filtrage du courrier indésirable.

    Si vous envisagez de conserver une entrée de domaine autorisée dans la liste pendant une période prolongée, demandez à l’expéditeur de vérifier que son enregistrement SPF est à jour avec les sources de messagerie de son domaine et que la stratégie dans son enregistrement DMARC est définie sur p=reject.

Priorité des stratégies anti-courrier indésirable

Si elles sont activées, les stratégies de sécurité prédéfinies Standard et Strict sont appliquées avant les stratégies anti-courrier indésirable personnalisées ou la stratégie par défaut (Strict est toujours en premier). Si vous créez plusieurs stratégies anti-courrier indésirable personnalisées, vous pouvez spécifier l’ordre dans lequel elles sont appliquées. Le traitement de la stratégie s’arrête après l’application de la première stratégie (stratégie de priorité la plus élevée pour ce destinataire).

Pour plus d’informations sur l’ordre de précédence et la façon dont plusieurs stratégies sont évaluées, consultez Ordre et priorité de la protection des e-mails et Ordre de priorité pour les stratégies de sécurité prédéfinies et d’autres stratégies.

Stratégie anti-courrier indésirable par défaut

Chaque organization a une stratégie anti-courrier indésirable intégrée nommée Default qui a les propriétés suivantes :

  • La stratégie est la stratégie par défaut (la propriété IsDefault possède la valeurTrue) et vous ne pouvez pas supprimer la stratégie par défaut.
  • La stratégie est automatiquement appliquée à tous les destinataires du organization, et vous ne pouvez pas la désactiver.
  • La stratégie est toujours appliquée en dernier (la valeur Priorité est La plus basse et vous ne pouvez pas la modifier).