Meilleures pratiques de configuration d’EOP

 

Sapplique à :Exchange Online Protection

Dernière rubrique modifiée :2016-12-09

Pour vous donner un maximum de chances de succès et éviter les erreurs courantes de configuration, suivez ces recommandations relatives aux meilleures pratiques pour Exchange Online Protection (EOP). En règle générale, nous vous recommandons d’utiliser les paramètres de configuration par défaut. Cette rubrique part de l’hypothèse que vous avez déjà effectué le processus de configuration. Si vous n’avez pas encore configuré EOP, consultez la rubrique Configurer votre service EOP.

Nous vous recommandons d’utiliser un domaine, un sous-domaine ou un domaine au volume restreint de test pour tester les fonctionnalités des services avant de les implémenter sur des domaines de production au volume plus important.

Si votre organisation dispose de comptes d’utilisateur dans un environnement Active Directory local, vous pouvez synchroniser ces comptes avec Azure Active Directory dans le cloud. L’utilisation de la synchronisation d’annuaires est recommandée. Pour en savoir plus sur les avantages de la synchronisation d’annuaires et pour connaître les étapes de sa configuration, voir Gestion des utilisateurs de messagerie dans EOP.

Lors de la configuration d'EOP, vous avez ajouté à vos enregistrements DNS un enregistrement SPF (sender policy framework) pour EOP. L'enregistrement SPF permet d'empêcher les falsifications d'adresse. Pour plus d’informations sur la méthode employée par les enregistrements SPF pour empêcher l’usurpation et sur les moyens d’ajouter vos adresses IP locales à un enregistrement SPF, voir Configurer SPF dans Office 365 pour empêcher l’usurpation.

Gérez vos paramètres de filtre de connexion en ajoutant des adresses IP aux listes d’adresses IP autorisées et d’adresses IP bloquées, et en sélectionnant l’option Activer la liste fiable, qui doit réduire le nombre de faux positifs (courrier valide classé comme courrier indésirable) que vous recevez. Pour plus d’informations, consultez la rubrique Configuration de la stratégie de filtrage des connexions. Pour en savoir plus sur d’autres paramètres de courrier indésirable qui s’appliquent à l’organisation entière, consultez les procédures permettant de s’assurer qu’un message n’est pas marqué comme du courrier indésirable ou de bloquer le courrier indésirable avec le filtre de courrier indésirable Office 365 pour éviter les faux négatifs. Ces procédures sont utiles si vous avez un contrôle de niveau administrateur et que vous souhaitez éviter les faux positifs ou les faux négatifs.

Gérez vos filtres de contenu en consultant et en modifiant éventuellement les paramètres par défaut. Par exemple, vous pouvez modifier l'action appliquée aux messages identifiés comme courrier indésirable. Si vous souhaitez maintenir une approche agressive du filtrage du courrier indésirable, vous pouvez configurer des options de filtrage avancé du courrier indésirable (ASF). Nous vous recommandons de tester ces options avant de les implémenter dans votre environnement de production (en les activant). Par ailleurs, nous conseillons aux organisations qui se méfient du hameçonnage d’activer l’option Enregistrement SPF : échec sévère. Pour plus d'informations, consultez les rubriques Configuration de vos stratégies de filtrage du courrier indésirable et Options avancées de filtrage de courrier indésirable (ASF).

ImportantImportant :
Si vous utilisez l’action de filtrage de contenu par défaut, Déplacer le message dans le dossier Courrier indésirable, pour vous assurer que cette action fonctionne avec des boîtes aux lettres locales, vous devez configurer des règles de flux de messagerie Exchange, également appelées règles de transport, sur vos serveurs locaux de manière à détecter les en-têtes de courrier indésirable ajoutés par EOP. Pour plus d'informations, consultez la rubrique Vérification de l’acheminement du courrier indésirable vers le dossier Courrier indésirable de chaque utilisateur.

Nous vous recommandons de consulter la rubrique Forum Aux Questions sur la protection anti-courrier indésirable, y compris la section sur les meilleures pratiques concernant l'envoi de courrier sortant, qui vous aidera garantir la remise de votre courrier.

À des fins d’analyse, vous pouvez soumettre à Microsoft des faux négatifs (programmes malveillants) et des faux positifs (programmes non malveillants) de plusieurs façons. Pour plus d'informations, consultez la rubrique Soumission des messages indésirables, légitimes ou des tentatives de hameçonnage à Microsoft pour analyse.

Consultez et réglez précisément vos paramètres de filtrage des programmes malveillants dans le Centre d’administration Exchange (CAE). Pour plus d’informations, consultez la rubrique Configurer des stratégies anti-programme malveillant. Nous vous recommandons également la lecture des autres questions fréquemment posées et de leurs réponses en ce qui concerne la protection anti-programmes malveillants dans notre Forum Aux Questions sur la protection anti-programme malveillant.

Si vous êtes préoccupé par le fait que les fichiers exécutables peuvent contenir des programmes malveillants, vous pouvez créer une règle de flux de messagerie Exchange qui bloque toute pièce jointe comportant un contenu exécutable. Suivez les étapes décrites dans l’article relatif à la réduction des menaces de logiciels malveillants via le blocage des pièces jointes dans Exchange Online Protection pour bloquer les types de fichiers répertoriés dans la liste des types de fichiers exécutables pris en charge pour l’analyse des règles de transport dans Utiliser des règles de flux de messagerie pour analyser les pièces jointes des messages.

Vous pouvez utiliser le filtre de types de pièces jointes courantes dans le CAE. Sélectionnez protection > filtres anti-programme malveillant. Vous pouvez créer une règle de flux de messagerie Exchange, également appelée règle de transport, qui bloque toutes les pièces jointes de courrier électronique comportant un contenu exécutable.

Pour renforcer la protection, nous vous recommandons également de bloquer tout ou partie des extensions suivantes à l’aide de règles de flux de messagerie : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh. Pour ce faire, vous pouvez utiliser la condition Toute extension de fichier joint contient ces mots.

Les administrateurs et les utilisateurs finaux peuvent soumettre un programme malveillant ayant franchi les filtres ou un fichier qu’ils estiment avoir été identifié à tort comme programme malveillant en l’envoyant à Microsoft pour analyse. Pour plus d’informations, voir Soumission de programmes malveillants et non malveillants à Microsoft pour analyse.

Créez des règles de flux de messagerie, également appelées règles de transport ou filtres personnalisés, pour répondre aux besoins de votre entreprise.

Lorsque vous déployez une nouvelle règle en production, commencez par sélectionner l'un des modes test pour voir son effet. Lorsque vous estimez que la règle fonctionne de la manière souhaitée, modifiez son mode d'effet en le définissant sur Appliquer.

Lors du déploiement d'une nouvelle règle, songez à ajouter l'action supplémentaire Générer un rapport d'incident pour contrôler son action.

Si vous êtes dans une configuration de déploiement hybride, une partie de votre organisation étant locale et une autre dans Office 365, vous pouvez créer des règles qui s’appliquent à l’organisation toute entière. Pour ce faire, utilisez des conditions disponibles tant localement que dans Office 365. Si la plupart des conditions sont disponibles dans les deux déploiements, un petit ensemble d’entre elles est spécifique d’un scénario de déploiement particulier. Pour plus d'informations, consultez la rubrique Règles de flux de messagerie (règles de transport) dans Exchange Online.

Pour vérifier les pièces jointes de courriers électroniques en transit au sein de votre organisation, vous pouvez mettre en place des règles de flux de messagerie. Prenez ensuite des mesures sur les messages qui ont été inspectés en fonction du contenu ou des caractéristiques de ces pièces jointes. Pour plus d’informations, consultez la rubrique Utiliser des règles de flux de messagerie pour analyser les pièces jointes des messages.

Vous pouvez améliorer la protection anti-hameçonnage en détectant quand des informations personnelles quittent l’organisation dans un e-mail. Par exemple, vous pouvez utiliser les expressions régulières suivantes dans des règles de flux de messagerie pour détecter la transmission de données ou d’informations financières personnelles susceptibles de compromettre la confidentialité :

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (Visa MasterCard)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (n’importe quel numéro à 16 chiffres)

  • \d\d\d\-\d\d\-\d\d\d\d (numéros de sécurité sociale)

Il est également possible d’empêcher toute attaque par courrier indésirable et hameçonnage en bloquant les courriers électroniques malveillants entrants qui sembleraient avoir été envoyés depuis votre propre domaine. Par exemple, vous pouvez créer une règle de flux de messagerie rejetant les messages envoyés depuis le nom de domaine de votre société vers le même nom de domaine afin de bloquer ce type d’expéditeur factice.

AttentionAttention :
Nous vous recommandons de ne créer cette règle de rejet que lorsque vous êtes certain qu’aucun courrier légitime transmis depuis votre nom de domaine n’est envoyé via Internet à votre serveur de messagerie. Ce peut être le cas lorsqu’un message est envoyé par un utilisateur de votre organisation à un destinataire externe, puis retransmis à un autre destinataire au sein de votre organisation.

Si vous êtes préoccupé par le fait que les fichiers exécutables peuvent contenir des programmes malveillants, vous pouvez configurer des stratégies de blocage des programmes malveillants qui bloquent toute pièce jointe comportant un contenu exécutable. Consultez les étapes décrites dans la rubrique Configurer des stratégies anti-programme malveillant.

Pour renforcer la protection, nous vous recommandons également de bloquer tout ou partie des extensions suivantes : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.

Pour corriger des tendances et des problèmes généraux, utilisez les rapports du Centre d’administration Office 365. Pour trouver des données concernant un point précis d'un message, utilisez l'outil de suivi des messages. Pour plus d'informations sur la génération de rapports, consultez la rubrique Création de rapports et suivi des messages dans Exchange Online Protection. Pour plus d’informations sur l’outil de suivi des messages, consultez la rubrique Suivre un message électronique.

 
Afficher: