Configurer le filtrage des connexions

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, le filtrage de connexion et la stratégie de filtre de connexion par défaut identifient les serveurs de messagerie sources bons ou incorrects par adresses IP. Les principaux composants de la stratégie de filtrage des connexions par défaut sont les suivants :

  • Liste d’adresses IP autorisées : ignorez le filtrage du courrier indésirable pour tous les messages entrants provenant des adresses IP sources ou des plages d’adresses IP spécifiées. Tous les messages entrants sont analysés à la recherche de programmes malveillants et d’hameçonnage à haut niveau de confiance. Pour d’autres scénarios où le filtrage du courrier indésirable se produit toujours sur les messages provenant de serveurs dans la liste d’adresses IP autorisées, consultez la section Scénarios où les messages provenant de sources de la liste d’adresses IP autorisées sont toujours filtrés plus loin dans cet article. Pour plus d’informations sur la façon dont la liste d’adresses IP autorisées doit s’intégrer à votre stratégie globale d’expéditeurs approuvés, consultez Créer des listes d’expéditeurs approuvés dans EOP.

  • Liste d’adresses IP bloquées : bloque tous les messages entrants provenant des adresses IP sources ou des plages d’adresses IP spécifiées. Les messages entrants sont rejetés, ne sont pas marqués comme courrier indésirable et aucun autre filtrage n’a lieu. Pour plus d’informations sur la façon dont la liste d’adresses IP bloquées doit s’intégrer à votre stratégie globale d’expéditeurs bloqués, consultez Créer des listes d’expéditeurs bloqués dans EOP.

  • Liste sécurisée : la liste sécurisée dans la stratégie de filtre de connexion est une liste verte dynamique qui ne nécessite aucune configuration client. Microsoft identifie ces sources de messagerie approuvées à partir d’abonnements à diverses listes tierces. Vous activez ou désactivez l’utilisation de la liste sécurisée ; vous ne pouvez pas configurer les serveurs dans la liste. Le filtrage du courrier indésirable est ignoré sur les messages entrants provenant des serveurs de messagerie figurant dans la liste sécurisée.

Cet article explique comment configurer la stratégie de filtre de connexion par défaut dans le portail Microsoft 365 Microsoft Defender ou dans Exchange Online PowerShell. Pour plus d’informations sur la façon dont EOP utilise le filtrage de connexion fait partie des paramètres anti-courrier indésirable globaux de votre organization, consultez Protection anti-courrier indésirable.

Remarque

La liste d’adresses IP autorisées, la liste sécurisée et la liste d’adresses IP bloquées font partie de votre stratégie globale pour autoriser ou bloquer le courrier électronique dans votre organization. Pour plus d’informations, consultez Créer des listes d’expéditeurs approuvés et Créer des listes d’expéditeurs bloqués.

Les plages IPv6 ne sont pas prises en charge.

Les messages provenant de sources bloquées dans la liste d’adresses IP bloquées ne sont pas disponibles dans le suivi des messages.

Ce qu'il faut savoir avant de commencer

  • Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Stratégies anti-courrier indésirable, utilisez https://security.microsoft.com/antispam.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.

  • Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

    • Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .

    • Exchange Online autorisations :

      • Modifier les stratégies : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
      • Accès en lecture seule aux stratégies : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
    • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

      Importante

      * Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

  • Pour rechercher les adresses IP sources des serveurs de messagerie (expéditeurs) que vous souhaitez autoriser ou bloquer, vous pouvez case activée le champ d’en-tête IP de connexion (CIP) dans l’en-tête de message. Pour afficher un en-tête de message dans différents clients de messagerie, voir Afficher les en-têtes de message Internet dans Outlook.

  • La liste d’adresses IP autorisées est prioritaire sur la liste d’adresses IP bloquées (une adresse sur les deux listes n’est pas bloquée).

  • La liste d’adresses IP autorisées et la liste d’adresses IP bloquées prennent chacune en charge un maximum de 1273 entrées, où une entrée est une seule adresse IP, une plage d’adresses IP ou une adresse IP CIDR (Classless InterDomain Routing).

Utiliser le portail Microsoft Defender pour modifier la stratégie de filtre de connexion par défaut

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> de menaceAnti-courrier indésirable dans la section Stratégies. Ou, pour accéder directement à la page Stratégies anti-courrier indésirable , utilisez https://security.microsoft.com/antispam.

  2. Dans la page Stratégies anti-courrier indésirable, sélectionnez Stratégie de filtre de connexion (par défaut) dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom.

  3. Dans le menu volant détails de stratégie qui s’ouvre, utilisez les liens Modifier pour modifier les paramètres de stratégie :

    • Section Description : sélectionnez Modifier la description pour entrer une description de la stratégie dans la zone Description du menu volant Modifier le nom et la description qui s’ouvre. Vous ne pouvez pas modifier le nom de la stratégie.

      Lorsque vous avez terminé dans le menu volant Modifier le nom et la description , sélectionnez Enregistrer.

    • Section Filtrage des connexions : sélectionnez Modifier la stratégie de filtre de connexion. Dans le menu volant qui s’ouvre, configurez les paramètres suivants :

      • Toujours autoriser les messages provenant des adresses IP ou de la plage d’adresses IP suivantes : Ce paramètre est la liste d’adresses IP autorisées. Cliquez dans la zone, entrez une valeur, puis appuyez sur la touche Entrée ou sélectionnez la valeur complète qui s’affiche sous la zone. Les valeurs valides sont les suivantes :

        Répétez cette étape autant de fois que nécessaire. Pour supprimer une entrée existante, sélectionnez en regard de l’entrée.

    • Toujours bloquer les messages provenant des adresses IP ou de la plage d’adresses IP suivantes : Ce paramètre est la liste d’adresses IP bloquées. Entrez une adresse IP, une plage d’adresses IP ou une adresse IP CIDR unique dans la zone, comme décrit précédemment dans le paramètre Toujours autoriser les messages des adresses IP ou de la plage d’adresses IP suivantes .

    • Activer la liste sécurisée : activez ou désactivez l’utilisation de la liste sécurisée pour identifier les expéditeurs connus et corrects qui ignorent le filtrage du courrier indésirable. Pour utiliser la liste sécurisée, sélectionnez la zone case activée.

    Lorsque vous avez terminé dans le menu volant, sélectionnez Enregistrer.

  4. Revenez au menu volant détails de la stratégie, sélectionnez Fermer.

Utiliser le portail Microsoft Defender pour afficher la stratégie de filtre de connexion par défaut

Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Stratégies de collaboration>& Règles>Stratégies> de menaceAnti-courrier indésirable dans la section Stratégies. Ou, pour accéder directement à la page Stratégies anti-courrier indésirable , utilisez https://security.microsoft.com/antispam.

Dans la page Stratégies anti-courrier indésirable , les propriétés suivantes s’affichent dans la liste des stratégies :

  • Nom : la stratégie de filtre de connexion par défaut est nommée Stratégie de filtre de connexion (par défaut).
  • État : la valeur est Always On pour la stratégie de filtre de connexion par défaut.
  • Priorité : la valeur est La plus basse pour la stratégie de filtre de connexion par défaut.
  • Type : la valeur est vide pour la stratégie de filtre de connexion par défaut.

Pour modifier la liste des stratégies de l’espacement normal à l’espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

Utilisez la zone De recherche et une valeur correspondante pour rechercher des stratégies spécifiques.

Sélectionnez la stratégie de filtre de connexion par défaut en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom pour ouvrir le menu volant des détails de la stratégie.

Utiliser Exchange Online PowerShell ou EOP PowerShell autonome pour modifier la stratégie de filtre de connexion par défaut

Utilisez la syntaxe suivante :

Set-HostedConnectionFilterPolicy -Identity Default [-AdminDisplayName <"Optional Comment">] [-EnableSafeList <$true | $false>] [-IPAllowList <IPAddressOrRange1,IPAddressOrRange2...>] [-IPBlockList <IPAddressOrRange1,IPAddressOrRange2...>]
  • Les valeurs d’adresse IP ou de plage d’adresses valides sont les suivantes :
    • Adresse IP unique : par exemple, 192.168.1.1.
    • Plage d’adresses IP : par exemple, 192.168.0.1-192.168.0.254.
    • ADRESSE IP CIDR : par exemple, 192.168.0.1/25. Les valeurs de masque réseau valides sont de /24 à /32.
  • Pour remplacer les entrées existantes par les valeurs que vous spécifiez, utilisez la syntaxe suivante : IPAddressOrRange1,IPAddressOrRange2,...,IPAddressOrRangeN.
  • Pour ajouter ou supprimer des adresses IP ou des plages d’adresses sans affecter d’autres entrées existantes, utilisez la syntaxe suivante : @{Add="IPAddressOrRange1","IPAddressOrRange2",...,"IPAddressOrRangeN";Remove="IPAddressOrRange3","IPAddressOrRange4",...,"IPAddressOrRangeN"}.
  • Pour vider la liste d’adresses IP autorisées ou la liste d’adresses IP bloquées, utilisez la valeur $null.

Cet exemple configure la liste d’adresses IP autorisées et la liste d’adresses IP bloquées avec les adresses IP et plages d’adresses spécifiées.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList 192.168.1.10,192.168.1.23 -IPBlockList 10.10.10.0/25,172.17.17.0/24

Cet exemple montre comment ajouter et supprimer les adresses IP et plages d’adresses spécifiées de la liste d’adresses IP autorisées.

Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.2.10","192.169.3.0/24","192.168.4.1-192.168.4.5";Remove="192.168.1.10"}

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-HostedConnectionFilterPolicy.

Comment savoir si ces procédures ont fonctionné ?

Pour vérifier que vous avez correctement modifié la stratégie de filtre de connexion par défaut, effectuez l’une des étapes suivantes :

  • Dans la page Stratégies anti-courrier indésirable du portail Microsoft Defender à l’adresse https://security.microsoft.com/antispam, sélectionnez Stratégie de filtre de connexion (par défaut) dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom, puis vérifiez les paramètres de stratégie dans le menu volant de détails qui s’ouvre.

  • Dans Exchange Online PowerShell ou EOP PowerShell autonome, exécutez la commande suivante et vérifiez les paramètres :

    Get-HostedConnectionFilterPolicy -Identity Default
    
  • Envoyer un message de test à partir d’une entrée dans la liste d’adresses IP autorisées.

Considérations supplémentaires relatives à la liste d’adresses IP autorisées

Les sections suivantes identifient les éléments supplémentaires que vous devez connaître lors de la configuration de la liste d’adresses IP autorisées.

Remarque

Tous les messages entrants sont analysés à la recherche de programmes malveillants et d’hameçonnage à haut niveau de confiance, que la source du message figure ou non dans la liste d’adresses IP autorisées.

Ignorer le filtrage du courrier indésirable pour une adresse IP CIDR en dehors de la plage disponible

Comme décrit plus haut dans cet article, vous pouvez uniquement utiliser une adresse IP CIDR avec le masque réseau /24 à /32 dans la liste d’adresses IP autorisées. Pour ignorer le filtrage du courrier indésirable sur les messages provenant de serveurs de messagerie sources dans la plage /1 à /23, vous devez utiliser des règles de flux de messagerie Exchange (également appelées règles de transport). Toutefois, nous vous recommandons de ne pas utiliser la méthode de règle de flux de courrier, car les messages sont bloqués si une adresse IP dans la plage d’adresses IP CIDR /1 à /23 apparaît sur l’une des listes de blocage propriétaires ou tierces de Microsoft.

Maintenant que vous êtes pleinement conscient des problèmes potentiels, vous pouvez créer une règle de flux de courrier avec les paramètres suivants (au minimum) pour vous assurer que les messages de ces adresses IP ignorent le filtrage du courrier indésirable :

  • Condition de règle : appliquez cette règle si> l’adresse IP del’expéditeur>se trouve dans l’une de ces plages ou correspond> exactement (entrez votre adresse IP CIDR avec un masque réseau /1 à /23).
  • Action de la règle : modifiez les propriétés> du messageDéfinir le niveau de confiance du courrier indésirable (SCL)>Contourner le filtrage du courrier indésirable.

Vous pouvez auditer la règle, tester la règle, activer la règle pendant une période spécifique et d’autres sélections. Nous vous recommandons de tester la règle pendant un certain temps avant de l'appliquer. Pour plus d’informations, consultez Gérer les règles de flux de messagerie dans Exchange Online.

Ignorer le filtrage du courrier indésirable sur les domaines de messagerie sélectifs à partir de la même source

En règle générale, l’ajout d’une adresse IP ou d’une plage d’adresses à la liste d’adresses IP autorisées signifie que vous approuvez tous les messages entrants de cette source d’e-mail. Que se passe-t-il si cette source envoie des e-mails à partir de plusieurs domaines et que vous souhaitez ignorer le filtrage du courrier indésirable pour certains de ces domaines, mais pas pour d’autres ? Vous pouvez utiliser la liste d’adresses IP autorisées en combinaison avec une règle de flux de courrier.

Par exemple, le serveur de messagerie source 192.168.1.25 envoie des e-mails à partir des domaines contoso.com, fabrikam.com et tailspintoys.com, mais vous souhaitez uniquement ignorer le filtrage du courrier indésirable pour les messages provenant d’expéditeurs dans fabrikam.com :

  1. Ajoutez 192.168.1.25 à la liste d’adresses IP autorisées.

  2. Configurez une règle de flux de messagerie avec les paramètres suivants (au minimum) :

    • Condition de règle : appliquez cette règle si> l’adresse IP del’expéditeur>se trouve dans l’une de ces plages ou correspond> exactement à 192.168.1.25 (la même adresse IP ou plage d’adresses que celle que vous avez ajoutée à la liste d’adresses IP autorisées à l’étape précédente).
    • Action de la règle : modifiez les propriétés> du messageDéfinir le niveau de confiance du courrier indésirable (SCL)>0.
    • Exception de règle : le domaine de l’expéditeur>est> fabrikam.com (seul le ou les domaines que vous souhaitez ignorer le filtrage du courrier indésirable).

Scénarios où les messages provenant de sources dans la liste d’adresses IP autorisées sont toujours filtrés

Les messages provenant d’un serveur de messagerie dans votre liste d’adresses IP autorisées sont toujours soumis au filtrage du courrier indésirable dans les scénarios suivants :

  • Une adresse IP dans votre liste d’adresses IP autorisées est également configurée dans un connecteur entrant local basé sur IP dans n’importe quel locataire dans Microsoft 365 (appelons ce locataire A), et le locataire A et le serveur EOP qui rencontre le message en premier se trouvent dans la même forêt Active Directory dans les centres de données Microsoft. Dans ce scénario, IPV :CALest ajouté aux en-têtes de message anti-courrier indésirable du message (indiquant que le message a contourné le filtrage du courrier indésirable), mais le message est toujours soumis au filtrage du courrier indésirable.

  • Votre locataire qui contient la liste d’adresses IP autorisées et le serveur EOP qui rencontre le message pour la première fois se trouvent dans des forêts Active Directory différentes dans les centres de données Microsoft. Dans ce scénario, IPV :CALn’étant pas ajouté aux en-têtes de message, le message est toujours soumis au filtrage du courrier indésirable.

Si vous rencontrez l’un de ces scénarios, vous pouvez créer une règle de flux de courrier avec les paramètres suivants (au minimum) pour vous assurer que les messages provenant des adresses IP problématiques ignorent le filtrage du courrier indésirable :

  • Condition de règle : appliquez cette règle si> l’adresse IP del’expéditeur>se trouve dans l’une de ces plages ou correspond> exactement (votre ou vos adresses IP).
  • Action de la règle : modifiez les propriétés> du messageDéfinir le niveau de confiance du courrier indésirable (SCL)>Contourner le filtrage du courrier indésirable.

Vous débutez avec Microsoft 365 ?


Icône courte pour LinkedIn Learning. Vous débutez avec Microsoft 365 ? Découvrez des cours vidéo gratuits pour les administrateurs Microsoft 365 et les professionnels de l’informatique, proposés par LinkedIn Learning.