Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
S’applique à
- Exchange Online Protection
- Microsoft Defender for Office 365 Plan 1 et Plan 2
- Microsoft Defender XDR
Cet article fournit des questions fréquentes et des réponses sur la protection contre le courrier indésirable pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans Exchange Online boîtes aux lettres.
Pour accéder à des questions et des réponses sur la mise en quarantaine, voir FAQ sur la mise en quarantaine.
Pour plus de questions et de réponses sur la protection contre les programmes malveillants, consultez FAQ sur la protection contre les programmes malveillants.
Pour des questions et des réponses sur la protection contre l’usurpation d’identité, consultez FAQ sur la protection contre l’usurpation d’identité.
Par défaut, qu’advient-il d’un message détecté comme courrier indésirable ?
Messages entrants : La plupart des courriers indésirables sont détectés via le filtrage des connexions à la périphérie du service, qui est basé sur l’adresse IP du serveur de messagerie source. Les stratégies anti-courrier indésirable (également appelées stratégies de filtrage du courrier indésirable ou stratégies de filtre de contenu) inspectent et classent les messages en bloc, courrier indésirable, courrier indésirable à haut niveau de confiance, hameçonnage ou hameçonnage à haute confiance.
Les stratégies anti-courrier indésirable sont utilisées dans les stratégies de sécurité prédéfinies Standard et Strict. Vous pouvez créer des stratégies anti-courrier indésirable personnalisées qui s’appliquent à des groupes d’utilisateurs spécifiques. Il existe également une stratégie anti-courrier indésirable par défaut qui s’applique à tous les destinataires qui ne sont pas spécifiés dans les stratégies de sécurité prédéfinies Standard et Strict ou dans les stratégies personnalisées.
Par défaut, les messages identifiés comme courrier indésirable sont déplacés vers le dossier Email indésirables par la stratégie de sécurité prédéfinie Standard, les stratégies anti-courrier indésirable personnalisées (configurables) et la stratégie anti-courrier indésirable par défaut (configurable). Dans la stratégie de sécurité prédéfinie Strict, les courriers indésirables sont mis en quarantaine.
Pour plus d’informations, consultez Configurer des stratégies anti-courrier indésirable et Paramètres de stratégie anti-courrier indésirable recommandés.
Importante
Dans les déploiements hybrides où EOP protège les boîtes aux lettres Exchange locales, vous devez configurer deux règles de flux de courrier Exchange (également appelées règles de transport) dans votre organization Exchange local pour détecter les en-têtes de filtrage du courrier indésirable EOP ajoutés aux messages. Pour les détails, voir Configurer Exchange Online Protection (EOP) pour envoyer des courriers indésirables dans le dossier Courrier indésirable dans les environnements hybrides.
Messages sortants : Le message est acheminé via le pool de remises à haut risque ou est retourné à l’expéditeur dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond). Pour plus d’informations sur la protection contre le courrier indésirable sortant, consultez Contrôles de courrier indésirable sortant.
Qu’est-ce qu’une variante de courrier indésirable zero-day et comment est-elle gérée par le service ?
Une variante de courrier indésirable zero-day est une variante de courrier indésirable de première génération, précédemment inconnue, qui n’a jamais été capturée ou analysée, de sorte que nos filtres anti-courrier indésirable n’ont pas encore d’informations disponibles pour le détecter. Une fois qu’un échantillon de courrier indésirable zero-day a été capturé et analysé par nos analystes du courrier indésirable, s’il répond aux critères de classification du courrier indésirable, nos filtres anti-courrier indésirable sont mis à jour pour le détecter, et il n’est plus considéré comme « zéro jour ».
Remarque
Si vous recevez un message qui peut être une variante de courrier indésirable zero-day, afin de nous aider à améliorer le service, envoyez le message à Microsoft à l’aide de l’une des méthodes décrites dans Signaler des messages et des fichiers à Microsoft.
Dois-je configurer le service pour bénéficier d'une protection anti-courrier indésirable ?
Non. La stratégie anti-courrier indésirable par défaut protège tous les destinataires actuels et futurs de votre organization Microsoft 365 une fois que vous vous êtes inscrit au service et que vous avez ajouté votre domaine. La seule exception est l’exigence décrite précédemment pour les clients autonomes EOP autonomes dans les environnements hybrides
En tant qu’administrateur, vous pouvez utiliser les méthodes suivantes pour affiner la protection anti-courrier indésirable :
- Ajoutez des utilisateurs aux stratégies de sécurité prédéfinies Standard et Strict.
- Modifiez les paramètres de filtrage du courrier indésirable par défaut dans la stratégie anti-courrier indésirable par défaut.
- Créez des stratégies anti-courrier indésirable qui sont appliquées aux utilisateurs, groupes ou domaines spécifiés dans votre organization.
Si vous souhaitez en savoir plus, consultez les articles suivants :
Si je modifie une stratégie anti-courrier indésirable, combien de temps faut-il pour que les modifications prennent effet ?
Jusqu’à 1 heure peut être nécessaire après l’enregistrement des modifications pour que ces modifications prennent effet.
Le filtrage des messages électroniques en bloc est-il automatiquement activé ?
Oui. Pour plus d’informations sur le courrier en bloc, consultez Quelle est la différence entre le courrier indésirable et le courrier en bloc ? et Le niveau de plainte en bloc (BCL) dans EOP.
Le service fournit-il le filtrage d’URL ?
Oui, le service dispose d’un filtre d’URL qui vérifie les URL dans les messages. Si des URL associées à du courrier indésirable connu ou du contenu malveillant sont détectées, le message est marqué comme courrier indésirable.
Les clients disposant de Microsoft Defender XDR pour les licences Office 365 bénéficient également de la protection des liens fiables. Pour plus d’informations, consultez Liens fiables dans Microsoft Defender pour Office 365.
Comment les clients Microsoft 365 peuvent-ils envoyer des messages faux positifs (mauvais) et faux négatifs (bons) à Microsoft ?
Puis-je obtenir des rapports sur le courrier indésirable ?
Oui. Les rapports suivants sont disponibles :
Quelqu’un m’a envoyé un message et je ne le trouve pas. Je pense qu'il a peut-être été détecté comme courrier indésirable. Existe-t-il un outil qui me permettrait de m'en assurer ?
Oui, l'outil de suivi des messages vous permet de suivre les messages électroniques quand ils sont acheminés via le service afin de déterminer ce qui leur est arrivé. Pour plus d’informations sur l’utilisation de l’outil de suivi des messages afin de savoir pourquoi un message a été marqué comme courrier indésirable, voir Un message a-t-il été marqué comme courrier indésirable ?
Le service limite-t-il mon courrier (limite de débit) si les utilisateurs envoient du courrier indésirable sortant ?
Si plus de la moitié des messages envoyés par un utilisateur via le service dans un certain laps de temps (par exemple, par heure) sont déterminés comme étant du courrier indésirable par EOP, l’utilisateur ne peut pas envoyer de messages. Dans la plupart des cas, si un message sortant est considéré comme du courrier indésirable, il est routé via le pool de remises à haut risque, ce qui réduit la probabilité que le pool d’adresses IP sortantes normale soit ajouté à une liste bloquée.
Les notifications sont automatiquement envoyées lorsque les utilisateurs sont bloqués en raison de l’envoi de courrier indésirable sortant ou du dépassement des limites d’envoi. Pour plus d’informations, consultez Protection contre le courrier indésirable sortant dans EOP.
Puis-je utiliser un fournisseur anti-courrier indésirable et anti-programme malveillant tiers avec Microsoft 365 ?
Oui. Bien que nous vous recommandons de pointer votre enregistrement MX directement vers Microsoft, nous nous rendons compte qu’il existe des raisons professionnelles légitimes pour acheminer votre courrier vers un autre emplacement que Microsoft d’abord.
- Entrant : modifiez vos enregistrements MX pour qu’ils pointent vers le fournisseur tiers, puis redirigez les messages vers EOP pour un traitement supplémentaire. Pour plus d’informations, consultez Filtrage amélioré pour les connecteurs dans Exchange Online.
- Sortant : configurez le routage de l’hôte intelligent de Microsoft 365 vers le fournisseur tiers de destination.
Est-ce que Microsoft dispose de documentation concernant la façon dont je peux me protéger contre les tentatives de hameçonnage ?
Oui. Pour plus d’informations, consultez Protéger votre vie privée sur Internet.
Le courrier indésirable et les messages malveillants font-ils l’objet d’une enquête pour savoir qui les a envoyés, ou sont-ils transférés à des services chargés de l’application de la loi ?
Le service se concentre sur la détection et la suppression du courrier indésirable et des programmes malveillants, bien que nous puissions parfois enquêter sur les campagnes particulièrement dangereuses ou préjudiciables et poursuivre les auteurs. Cette poursuite peut impliquer de travailler avec nos unités de criminalité juridique et numérique pour mettre hors service un botnet, empêcher le spammeur d’utiliser le service (s’ils l’utilisent pour envoyer des e-mails sortants) et transmettre les informations aux forces de l’ordre pour des poursuites pénales.
Quelles sont les meilleures pratiques pour le courrier sortant qui permettent de s’assurer que mon courrier est remis ?
Les recommandations dans Expéditeurs externes - Résoudre les problèmes liés aux e-mails envoyés à Microsoft 365 et les recommandations suivantes sont les meilleures pratiques pour l’envoi de messages électroniques sortants :
Le domaine de messagerie source doit être résolu dans DNS : par exemple, si l’expéditeur est user@fabrikam, le fabrikam de domaine est résolu en adresse IP 192.168.43.10.
Si un domaine d’envoi n’a pas d’enregistrement A ni d’enregistrement MX dans DNS, le service achemine le message via son pool de remise à risque plus élevé, quel que soit le contenu du message. Pour plus d’informations sur le pool de remise à haut risque, consultez Pool de remise à haut risque pour les messages sortants.
Le serveur de messagerie source doit avoir une entrée DNS inversée (PTR) : par exemple, si l’adresse IP source de l’e-mail est 192.168.43.10, l’entrée DNS inversée est
43-10.any.icann.org
.'Les commandes HELO/EHLO et MAIL FROM doivent être cohérentes, présentes et utiliser un nom de domaine plutôt qu’une adresse IP : la commande HELO/EHLO doit être configurée pour correspondre au DNS inverse de l’adresse IP d’envoi. Ce paramètre permet de s’assurer que le domaine reste le même dans les différentes parties des en-têtes de message.
Vérifiez que les enregistrements SPF appropriés sont configurés dans DNS : les enregistrements SPF sont un mécanisme permettant de valider que le courrier envoyé à partir d’un domaine provient vraiment de ce domaine et n’est pas usurpé. Pour plus d'informations sur les enregistrements SPF, consultez les liens suivants :
Signature d’e-mail avec DKIM, signature avec canonisation souple : si un expéditeur souhaite signer ses messages à l’aide de DKIM (Domain Keys Identified Mail) et qu’il souhaite envoyer du courrier sortant via le service, il doit signer à l’aide de l’algorithme de canonisation d’en-tête souple. Signer avec une canonisation d'en-tête stricte peut entraîner une invalidation de la signature par le service.
Les propriétaires de domaine doivent disposer d’informations précises dans la base de données WHOIS : cette configuration identifie les propriétaires du domaine et comment les contacter en entrant les serveurs de noms, de point de contact et de société mère stable.
Mettre en forme les messages de rebond sortants : lorsque des messages génèrent des rapports de non-remise (également appelés NDR ou messages de rebond), les expéditeurs doivent suivre le format d’un rebond comme spécifié dans RFC 3464.
Supprimer les adresses e-mail non utilisées pour les utilisateurs inexistants : si vous recevez une notification d’échec de remise indiquant qu’une adresse e-mail n’est plus utilisée, supprimez l’alias de messagerie inexistant de votre liste. Les adresses électroniques changent au fil du temps et certaines personnes les abandonnent.
Utilisez Outlook.com programme SNDS (Smart Network Data Services) : pour plus d’informations, consultez Smart Network Data Service.
Comment faire désactiver le filtrage du courrier indésirable ?
Si vous utilisez un service de protection tiers ou un appareil pour analyser le courrier électronique avant qu’il ne soit remis à Microsoft 365, vous pouvez utiliser une règle de flux de courrier (également appelée règle de transport) pour contourner la plupart du filtrage du courrier indésirable pour les messages entrants. Pour obtenir des instructions, consultez Utiliser des règles de flux de messagerie pour définir le niveau de confiance du courrier indésirable (SCL) dans les messages. L’analyse des programmes malveillants et des messages d’hameçonnage à haute confiance ne peut pas être ignorée.
Si vous utilisez un service de protection tiers ou un appareil pour analyser les e-mails avant qu’ils ne soient remis à Microsoft 365, vous devez également activer le filtrage amélioré pour les connecteurs (également appelé skip listing) afin que les fonctionnalités de détection, de création de rapports et d’investigation dans Microsoft 365 puissent identifier correctement les sources de messages. Pour plus d’informations, consultez Filtrage amélioré pour les connecteurs.
Si vous devez contourner le filtrage du courrier indésirable pour les boîtes aux lettres SecOps ou les simulations d’hameçonnage, n’utilisez pas de règles de flux de messagerie. Pour plus d’informations, consultez Configurer la remise de simulations d’hameçonnage tierces aux utilisateurs et de messages non filtrés aux boîtes aux lettres SecOps.