Filtrage amélioré pour les connecteurs dans Exchange Online

Les connecteurs entrants correctement configurés sont une source approuvée de courrier entrant vers Microsoft 365 ou Office 365. Toutefois, dans les scénarios de routage complexes où les e-mails de votre domaine Microsoft 365 ou Office 365 sont routés d’abord ailleurs, la source du connecteur entrant n’est généralement pas le véritable indicateur de l’origine du message. Les scénarios de routage complexes sont les suivants :

  • Services de filtrage cloud tiers
  • Appliances de filtrage managées
  • Environnements hybrides (par exemple, Exchange local)

Le routage du courrier dans des scénarios complexes ressemble à ceci :

Diagramme de flux de messagerie pour les scénarios de routage complexes.

Comme vous pouvez le voir, le message adopte l’adresse IP source du service, Appliance ou organization Exchange local qui se trouve devant Microsoft 365. Le message arrive dans Microsoft 365 avec une adresse IP source différente. Ce comportement n’est pas une limitation de Microsoft 365 ; c’est simplement le fonctionnement de SMTP.

Dans ces scénarios, vous pouvez toujours tirer le meilleur parti de Exchange Online Protection (EOP) et de Microsoft Defender pour Office 365 à l’aide du filtrage amélioré pour les connecteurs (également appelé skip listing).

Une fois que vous avez activé le filtrage amélioré pour les connecteurs, le routage du courrier dans les scénarios de routage complexes ressemble à ceci :

Diagramme de flux de messagerie pour les scénarios de routage complexes après l’activation de l’option Améliorer le filtrage pour les connecteurs.

Comme vous pouvez le voir, le filtrage amélioré pour les connecteurs permet de conserver les informations d’adresse IP et d’expéditeur.

Dans ces scénarios de routage, un sceau ARC est généralement utilisé pour maintenir l’intégrité des informations sources et des messages à l’aide de DKIM. Toutefois, DKIM échoue fréquemment, car de nombreux services qui modifient le message ne prennent pas en charge ARC. Pour vous aider dans ces situations, le filtrage amélioré pour les connecteurs conserve non seulement l’adresse IP du tronçon précédent, mais récupère également intelligemment les échecs de signature DKIM. Ce comportement permet aux messages de passer l’authentification par le biais des filtres d’intelligence contre l’usurpation d’identité.

L’activation de l’amélioration du filtrage pour les connecteurs présente les avantages suivants :

  • Amélioration de la précision pour la pile de filtrage Microsoft et les modèles Machine Learning, notamment :
    • Réduction des faux positifs dans DMARC en raison de la modification du contenu et de l’absence d’un sceau ARC.
    • Regroupement heuristique
    • Anti-usurpation d’identité
    • Anti-hameçonnage
  • Meilleures fonctionnalités post-violation dans l’investigation et la réponse automatisées (AIR)
  • Possibilité d’utiliser l’authentification par e-mail explicite (SPF, DKIM et DMARC) pour vérifier la réputation du domaine d’envoi pour l’emprunt d’identité et la détection d’usurpation d’identité. Pour plus d’informations sur l’authentification par e-mail explicite et implicite, consultez Authentification Email dans EOP.

Pour plus d’informations, consultez la section Que se passe-t-il lorsque vous activez le filtrage amélioré pour les connecteurs ? plus loin dans cet article.

Utilisez les procédures décrites dans cet article pour activer le filtrage amélioré pour les connecteurs sur des connecteurs individuels. Pour plus d’informations sur les connecteurs dans Exchange Online, consultez Configurer le flux de messagerie à l’aide de connecteurs.

Remarque

  • Nous vous recommandons toujours de pointer votre enregistrement MX vers Microsoft 365 ou Office 365 afin de réduire la complexité. Par exemple, certains hôtes peuvent invalider les signatures DKIM, ce qui entraîne des faux positifs. Lorsque deux systèmes sont responsables de la protection des e-mails, il est plus compliqué de déterminer lequel a agi sur le message.
  • Les scénarios les plus courants auxquels le filtrage amélioré est conçu sont les environnements hybrides ; Toutefois, le courrier destiné aux boîtes aux lettres locales (courrier sortant) n’est toujours pas filtré par EOP. La seule façon d’obtenir une analyse EOP complète sur toutes les boîtes aux lettres consiste à déplacer votre enregistrement MX vers Microsoft 365 ou Office 365.
  • À l’exception des scénarios de routage entrant linéaire où MX pointe vers des serveurs locaux, l’ajout de vos adresses IP de serveur hybride local à la liste d’exclusions de filtres améliorée n’est pas pris en charge dans un scénario de flux de courrier centralisé. Cela peut amener EOP à analyser vos e-mails de serveur hybride local, à ajouter une valeur d’en-tête compauth, et peut entraîner le marquage du message par EOP comme courrier indésirable. Dans un environnement hybride configuré, il n’est pas nécessaire de les ajouter à la liste d’évitement. La liste d’évitements est principalement destinée aux scénarios où il existe un appareil/filtre tiers avant votre locataire Microsoft 365. Pour plus d’informations, consultez Les points d’enregistrement MX vers le filtrage du courrier indésirable tiers.
  • Ne placez pas un autre service d’analyse ou hôte après EOP. Une fois qu’EOP analyse un message, veillez à ne pas rompre la chaîne d’approbation en acheminant le courrier via un serveur non Exchange qui ne fait pas partie de votre organization cloud ou local. Lorsque le message finit par arriver à la boîte aux lettres de destination, les en-têtes du premier verdict d’analyse peuvent ne plus être exacts. Le transport de courrier centralisé ne doit pas être utilisé pour introduire des serveurs non-Exchange dans le chemin du flux de messagerie.

Configurer le filtrage amélioré pour les connecteurs

Remarque

Actuellement, les adresses IPv6 sont prises en charge uniquement dans PowerShell. Pour utiliser PowerShell afin de configurer le filtrage amélioré pour les connecteurs, consultez la section Utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell pour configurer le filtrage amélioré pour les connecteurs sur un connecteur entrant plus loin dans cet article.

Ce qu'il faut savoir avant de commencer

  • Incluez toutes les adresses IP approuvées associées aux hôtes locaux ou aux filtres tiers qui envoient des e-mails dans microsoft 365 ou Office 365 organization, y compris les tronçons intermédiaires avec des adresses IP publiques. Pour obtenir ces adresses IP, consultez la documentation ou le support fourni avec le service.

  • Si vous avez des règles de flux de courrier (également appelées règles de transport) qui définissent la liste SCL sur -1 pour les messages qui transitent par ce connecteur, vous devez désactiver ces règles de flux de courrier après avoir activé le filtrage amélioré pour les connecteurs.

  • Pour ouvrir le portail Microsoft Defender, accédez à https://security.microsoft.com. Pour accéder directement à la page Filtrage amélioré pour les connecteurs , utilisez https://security.microsoft.com/skiplisting.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à Exchange Online Protection PowerShell, consultez Se connecter à Exchange Online Protection PowerShell.

  • Pour configurer le filtrage amélioré pour les connecteurs, vous devez être membre de l’un des groupes de rôles suivants :

  • Le filtrage amélioré pour les connecteurs n’est pas pris en charge dans les environnements hybrides qui utilisent le transport de courrier centralisé.

Utiliser le portail Microsoft Defender pour configurer le filtrage amélioré pour les connecteurs sur un connecteur entrant

  1. Dans le portail Microsoft Defender, accédez à Email & pageStratégies decollaboration > & Règles >Stratégies de> menace section >RèglesFiltrage amélioré.

  2. Dans la page Filtrage amélioré pour les connecteurs , sélectionnez le connecteur entrant que vous souhaitez configurer en cliquant sur son nom.

  3. Dans le menu volant détails du connecteur qui s’affiche, configurez les paramètres suivants :

    • Adresses IP à ignorer : choisissez l’une des valeurs suivantes :

      • Désactiver le filtrage amélioré pour les connecteurs : désactivez le filtrage amélioré pour les connecteurs sur le connecteur.

      • Détecter et ignorer automatiquement la dernière adresse IP : nous vous recommandons cette valeur si vous devez ignorer uniquement la dernière source de message.

      • Ignorez ces adresses IP associées au connecteur : sélectionnez cette valeur pour configurer une liste d’adresses IP à ignorer.

        Importante

        • L’entrée des adresses IP de Microsoft 365 ou Office 365 n’est pas prise en charge. N’utilisez pas cette fonctionnalité pour compenser les problèmes introduits par les chemins de routage de courrier non pris en charge. Soyez prudent et limitez les plages d’adresses IP aux systèmes de messagerie qui gèrent les messages de votre propre organization avant Microsoft 365 ou Office 365.
        • L’entrée d’une adresse de bouclage (127.0.0.0/8) ou d’une adresse IP privée définie par RFC 1918 (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) n’est pas prise en charge. Le filtrage amélioré détecte et ignore automatiquement les adresses de bouclage et les adresses IP privées. Si le tronçon précédent est un serveur de messagerie qui se trouve derrière un appareil de traduction d’adresses réseau (NAT) qui attribue des adresses IP privées, nous vous recommandons de configurer NAT pour affecter une adresse IP publique au serveur de messagerie.
        • Actuellement, les adresses IPv6 sont prises en charge uniquement dans PowerShell.
    • Si vous avez sélectionné Détecter et ignorer automatiquement la dernière adresse IP ou Ignorer ces adresses IP associées au connecteur, la section Appliquer à ces utilisateurs s’affiche :

      • Appliquer à l’ensemble des organization : nous vous recommandons cette valeur après avoir d’abord testé la fonctionnalité sur quelques destinataires.

      • Appliquer à un petit ensemble d’utilisateurs : sélectionnez cette valeur pour configurer la liste des adresses e-mail des destinataires auxquelles le filtrage amélioré pour les connecteurs s’applique. Nous vous recommandons cette valeur comme test initial de la fonctionnalité.

        Remarque

        • Cette valeur n’est effective que sur les adresses e-mail réelles que vous spécifiez. Par exemple, si un utilisateur a cinq adresses e-mail associées à sa boîte aux lettres (également appelées adresses proxy), vous devez spécifier les cinq adresses e-mail ici. Dans le cas contraire, les messages envoyés aux quatre autres adresses e-mail passent par un filtrage normal.
        • Dans les environnements hybrides où le courrier entrant transite par Exchange local, vous devez spécifier l’adresse cible de l’objet MailUser . Par exemple : michelle@contoso.mail.onmicrosoft.com.
        • Cette valeur n’est effective que sur les messages où tous les destinataires sont spécifiés ici. Si un message contient des destinataires qui ne sont pas spécifiés ici, le filtrage normal est appliqué à tous les destinataires du message.
      • Appliquer à l’ensemble des organization : nous vous recommandons cette valeur après avoir d’abord testé la fonctionnalité sur quelques destinataires.

  4. Quand vous avez terminé, sélectionnez Enregistrer.

Utiliser Exchange Online PowerShell ou Exchange Online Protection PowerShell pour configurer le filtrage amélioré pour les connecteurs sur un connecteur entrant

Pour configurer le filtrage amélioré pour les connecteurs sur un connecteur entrant, utilisez la syntaxe suivante :

Set-InboundConnector -Identity <ConnectorIdentity> [-EFSkipLastIP <$true | $false>] [-EFSkipIPs <IPAddresses>] [-EFUsers "emailaddress1","emailaddress2",..."emailaddressN"]
  • EFSkipLastIP : les valeurs valides sont les suivantes :

    • $true: seule la dernière source de message est ignorée.
    • $false: ignorez les adresses IP spécifiées par le paramètre EFSkipIPs . Si aucune adresse IP n’y est spécifiée, le filtrage amélioré pour les connecteurs est désactivé sur le connecteur entrant. La valeur par défaut est $false.
  • EFSkipIPs : adresses IPv4 ou IPv6 spécifiques à ignorer lorsque la valeur du paramètre EFSkipLastIP est $false. Les valeurs valides sont les suivantes :

    • Une seule adresse IP : par exemple, 192.168.1.1.
    • Une plage d’adresses IP : par exemple, 192.168.1.0-192.168.1.31.
    • ADRESSE IP ciDR (Classless Inter-Domain Routing) : par exemple, 192.168.1.0/25.

    Consultez ignorer ces adresses IP associées à la description du connecteur dans la section précédente pour connaître les limitations relatives aux adresses IP.

  • EFUsers : adresse e-mail séparée par des virgules des adresses e-mail des destinataires auxquelles vous souhaitez appliquer le filtrage amélioré pour les connecteurs. Consultez la description Appliquer à un petit ensemble d’utilisateurs dans la section précédente pour connaître les limitations relatives aux destinataires individuels. La valeur par défaut est vide ($null), ce qui signifie que le filtrage amélioré pour les connecteurs est appliqué à tous les destinataires.

Cet exemple configure le connecteur entrant nommé From Anti-Spam Service avec les paramètres suivants :

  • Le filtrage amélioré pour les connecteurs est activé sur le connecteur et l’adresse IP du dernier message source est ignorée.
  • Le filtrage amélioré pour les connecteurs s’applique uniquement aux adresses michelle@contoso.come-mail des destinataires , laura@contoso.comet julia@contoso.com.
Set-InboundConnector -Identity "From Anti-Spam Service" -EFSkipLastIP $true -EFUsers "michelle@contoso.com","laura@contoso.com","julia@contoso.com"

Pour désactiver le filtrage amélioré pour les connecteurs, utilisez la valeur $false du paramètre EFSkipLastIP .

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-InboundConnector.

Que se passe-t-il lorsque vous activez le filtrage amélioré pour les connecteurs ?

Le tableau suivant décrit à quoi ressemblent les connexions avant et après l’activation du filtrage amélioré pour les connecteurs :

Fonctionnalité Avant l’activation du filtrage amélioré Une fois le filtrage amélioré activé
Authentification de domaine Email Utilisation implicite de la technologie de protection contre l’usurpation d’identité. Explicite, basé sur les enregistrements SPF, DKIM et DMARC du domaine source dans DNS.
X-MS-Exchange-ExternalOriginalInternetSender Non disponible Cet en-tête est horodaté si l’option Ignorer la liste a réussi, si elle est activée sur le connecteur et que la correspondance du destinataire se produit. La valeur de ce champ contient des informations sur l’adresse source réelle.
X-MS-Exchange-SkipListedInternetSender Non disponible Cet en-tête est marqué si la liste d’ignorer a été activée sur le connecteur, quelles que soient les correspondances du destinataire. La valeur de ce champ contient des informations sur l’adresse source réelle. Cet en-tête est principalement utilisé à des fins de création de rapports et pour vous aider à comprendre les scénarios WhatIf.

Vous pouvez afficher les améliorations apportées au filtrage et à la création de rapports à l’aide du rapport status protection contre les menaces dans le portail Microsoft Defender. Pour plus d’informations, consultez Rapport sur la protection contre les menaces status.

Voir aussi

Meilleures pratiques relatives aux flux de messagerie pour Exchange Online, Microsoft 365 et Office 365 (vue d’ensemble)

Configurer le flux de messagerie à l’aide des connecteurs