Protection contre le courrier indésirable dans Exchange Server
Les spammeurs, ou expéditeurs malveillants, utilisent diverses techniques pour envoyer des e-mails indésirables dans votre organisation. Aucun outil ou processus n’est capable d’éliminer la totalité du courrier indésirable. Toutefois, Microsoft Exchange offre une approche multidimensionnelle pour réduire ces messages indésirables. Exchange utilise des agents de transport pour fournir une protection anti-courrier indésirable, et les agents intégrés disponibles dans Exchange Server 2016 et Exchange Server 2019 sont relativement inchangés par rapport à Exchange Server 2010. Dans Exchange 2016 et Exchange 2019, la configuration et la gestion de ces agents sont disponibles uniquement dans Exchange Management Shell.
Pour plus de fonctionnalités antispam et une gestion plus facile, vous pouvez acheter Exchange Online Protection (EOP), qui fait partie de Microsoft 365 et Office 365. Pour en savoir plus sur Microsoft 365 ou Office 365 protection anti-courrier indésirable, consultez Protection anti-courrier indésirable dans EOP.
Agents de blocage du courrier indésirable sur les serveurs de boîtes aux lettres
En général, vous activez les agents de blocage du courrier indésirable sur un serveur de boîtes aux lettres si votre organisation ne dispose pas d'un serveur de transport Edge ou n'effectue aucun filtrage du courrier indésirable sur les messages entrants. Pour plus d'informations, voir Activer le blocage du courrier indésirable sur des serveurs de boîtes aux lettres.
Comme tous les agents de transport, une valeur de priorité est affectée à chaque agent antispam. Une valeur inférieure indique une priorité plus élevée. En règle générale, un agent antispam avec la priorité 1 agit sur un message avant un agent antispam avec la priorité 9. Toutefois, l’événement SMTP dans le pipeline de transport où l’agent antispam est inscrit est également très important pour déterminer l’ordre dans lequel l’agent antispam agit sur les messages. Un agent antispam de faible priorité inscrit au début du pipeline de transport agit sur les messages avant un agent antispam de haute priorité inscrit ultérieurement dans le pipeline de transport.
En fonction de la valeur de priorité par défaut de l’agent et de l’événement SMTP où l’agent est enregistré, voici l’ordre dans lequel les agents de blocage du courrier indésirables sont appliqués aux messages sur les serveurs de boîtes aux lettres :
Agent de filtrage de l’expéditeur : le filtrage de l’expéditeur compare le serveur d’envoi à une liste d’expéditeurs ou de domaines d’expéditeurs qui n’ont pas le pouvoir d’envoyer des messages à votre organisation. Pour plus d'informations, voir Filtrage des expéditeurs.
Agent d’ID de l’expéditeur : l’ID de l’expéditeur s’appuie sur l’adresse IP du serveur d’envoi et sur l’adresse responsable présumée (PRA) de l’expéditeur pour déterminer si l’adresse e-mail d’envoi est usurpée. Pour plus d'informations, voir ID de l'expéditeur.
Agent de filtre de contenu : l’agent de filtrage de contenu attribue un niveau de confiance du courrier indésirable (SCL) à chaque message en fonction des données des messages légitimes et indésirables. Pour plus d'informations, consultez la rubrique Filtrage du contenu.
La mise en quarantaine du courrier indésirable est un composant de l'agent de filtrage de contenu qui réduit les risques de perdre des messages légitimes classés à tort comme courrier indésirable. Elle fournit un emplacement de stockage temporaire pour les messages suspects afin que l’administrateur puisse passer en revue les messages. Pour plus d'informations, consultez la section Quarantaine de spam dans Exchange Server.
Le filtrage de contenu utilise également la fonction d'agrégation de listes fiables. Cette fonction collecte les données des listes fiables configurées par les utilisateurs dans Microsoft, Outlook et Outlook sur le web, et met ces informations à disposition de l'agent de filtrage de contenu. Pour plus d'informations, voir Agrégation de la liste de sécurité.
Agent d’analyse du protocole (réputation de l’expéditeur) : l’agent Analyse du protocole est l’agent qui fournit la réputation de l’expéditeur. La réputation de l'expéditeur utilise plusieurs tests pour calculer le niveau de réputation de l'expéditeur (SRL) sur les messages entrants, afin de déterminer l'action à effectuer sur ces messages. Pour plus d'informations, voir Réputation de l'expéditeur et agent d'analyse de protocole.
Agents de blocage du courrier indésirable sur les serveurs de transport Edge
Dans votre organisation, si un serveur de transport Edge est installé dans le réseau de périmètre, tous les agents de blocage du courrier indésirable qui sont disponibles sur un serveur de boîtes aux lettres sont installés et activés par défaut sur le serveur de transport Edge. Toutefois, les agents de blocage du courrier indésirable suivants sont uniquement disponibles sur les serveurs de transport Edge :
Agent de filtrage des connexions : le filtrage des connexions utilise une liste d’adresses IP bloquée, une liste verte d’adresses IP, des fournisseurs de listes d’adresses IP bloquées et des fournisseurs de listes d’adresses IP autorisées pour déterminer si une connexion doit être bloquée ou autorisée. Pour plus d'informations, consultez la section Filtrage des connexions sur les serveurs Edge Transport.
Agent de filtre de destinataires : le filtrage des destinataires utilise une liste de destinataires bloquée pour identifier les messages qui ne sont pas autorisés à entrer dans l’organisation. Le filtre de destinataires utilise également le répertoire de destinataires local pour rejeter les messages envoyés aux destinataires non valides. Pour plus d'informations, voir Filtrage des destinataires sur les serveurs de transport Edge.
Remarque
Bien que l'agent de filtrage des destinataires soit disponible sur les serveurs de boîtes aux lettres, vous ne devez pas le configurer. Lorsque le filtrage des destinataires sur un serveur de boîtes aux lettres détecte un destinataire non valide ou bloqué dans un message qui contient d’autres destinataires valides, le message est rejeté. L’agent de filtrage des destinataires est activé quand vous installez les agents de blocage du courrier indésirable sur un serveur de boîtes aux lettres, mais il n’est pas configuré pour bloquer les destinataires.
Agent de filtrage des pièces jointes : le filtrage des pièces jointes bloque les messages ou les pièces jointes en fonction du nom du fichier de pièce jointe, de l’extension ou du type de contenu MIME. Pour plus d'informations, voir Filtrage des pièces jointes sur les serveurs Edge Transport.
Sur la base de la valeur de priorité par défaut de l’agent de blocage du courrier indésirable, mais aussi de l’événement SMTP dans le pipeline de transport où l’agent est enregistré, voici l’ordre dans lequel les agents de blocage du courrier indésirable sont appliqués aux messages sur les serveurs de transport Edge :
Agent de filtrage des connexions
Agent de filtrage des expéditeurs
Agent de filtrage des destinataires
Agent d'ID de l'expéditeur
Agent de filtrage du contenu
Agent d’analyse de protocole (réputation de l’expéditeur)
Agent de filtrage des pièces jointes
Cachets de blocage du courrier indésirable
Les cachets de blocage du courrier indésirable sont appliqués aux messages et utilisés par les agents de blocage du courrier indésirable. Vous pouvez consulter ces cachets pour diagnostiquer les problèmes liés au courrier indésirable. Pour plus d’informations, consultez Tampons antispam.
Stratégie anti-courrier indésirable
La protection contre le courrier indésirable consiste à bloquer les messages indésirables tout en autorisant les messages légitimes. Si vous configurez les fonctionnalités anti-courrier indésirable de manière trop agressive, vous bloquerez probablement trop de messages légitimes (faux positifs). Si vous ne les configurez pas de façon assez stricte, vous autoriserez probablement trop de courrier indésirable à entrer dans votre organisation.
Voici quelques pratiques recommandées à prendre en considération lors de la configuration des fonctionnalités anti-courrier indésirables intégrées à Exchange :
Rejetez les messages qui sont identifiés par l'agent de filtrage des connexions, l'agent de filtrage des destinataires et l'agent de filtrage des expéditeurs plutôt que de les mettre en quarantaine ou d'y appliquer des cachets de blocage du courrier indésirable. Cette approche est recommandée pour les raisons suivantes :
Les messages identifiés par les paramètres par défaut de filtrage des connexions, des destinataires ou des expéditeurs ne nécessitent généralement pas d’autres tests pour déterminer s’ils sont indésirables. Par exemple, si vous avez configuré le filtrage des expéditeurs pour bloquer des expéditeurs spécifiques, il est inutile de continuer à traiter les messages de ces expéditeurs. (Si vous ne vouliez pas que les messages soient rejetés, vous ne les auriez pas placés dans la liste des expéditeurs bloqués).
La configuration d’un niveau plus agressif pour les agents anti-courrier indésirable qui rencontrent des messages au début du pipeline de transport permet d’économiser le traitement, la bande passante et les ressources de disque. Plus le message va loin dans le pipeline de transport, plus les autres fonctionnalités anti-courrier indésirables doivent évaluer de variables afin d’identifier correctement le message comme étant du courrier indésirable. Rejetez les messages évidents tôt afin de traiter des messages ambigus ultérieurement.
Vous devez surveiller l'efficacité des fonctionnalités anti-courrier indésirable aux niveaux actuellement configurés. Cette surveillance vous permet de réagir aux tendances en adaptant les paramètres de filtrage. Vous devez commencer avec les paramètres par défaut pour réduire le nombre de faux positifs. Ensuite, selon la quantité de courrier indésirable et de faux positifs, vous pouvez définir un filtrage plus strict en fonction du type de courrier indésirable et des attaques de courrier indésirable que rencontre votre organisation.