Ordre et priorité de la protection des e-mails
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, le courrier entrant peut être marqué par plusieurs formes de protection. Par exemple, la protection contre l’usurpation d’identité disponible pour tous les clients Microsoft 365 et la protection contre l’emprunt d’identité qui est disponible pour Microsoft Defender pour Office 365 clients uniquement. Les messages passent également par plusieurs analyses de détection des programmes malveillants, du courrier indésirable, du hameçonnage, etc. Compte tenu de toute cette activité, il peut y avoir une certaine confusion quant à la stratégie appliquée.
En général, une stratégie appliquée à un message est identifiée dans l’en-tête X-Forefront-Antispam-Report de la propriété CAT (Category). Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.
Deux facteurs principaux déterminent la stratégie appliquée à un message :
L’ordre de traitement pour le type de protection de messagerie : cette commande n’est pas configurable et est décrite dans le tableau suivant :
*Ces fonctionnalités sont disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.
Ordre de priorité des stratégies : L’ordre de priorité de la stratégie est indiqué dans la liste suivante :
Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens* fiables et pièces jointes* fiables dans la stratégie de sécurité prédéfinie Strict (lorsqu’elle est activée).
Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens* fiables et pièces jointes* fiables dans la Standard stratégie de sécurité prédéfinie (lorsqu’elle est activée).
Anti-hameçonnage, liens fiables et pièces jointes fiables dans Defender for Office 365 stratégies d’évaluation (lorsqu’elles sont activées).
Stratégies personnalisées anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens* fiables et pièces jointes fiables (lorsqu’elles sont créées* ).
Une valeur de priorité par défaut est affectée aux stratégies personnalisées lorsque vous créez la stratégie (plus récent est supérieur), mais vous pouvez modifier la valeur de priorité à tout moment. Cette valeur de priorité affecte l’ordre dans lequel les stratégies personnalisées de ce type (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.) sont appliquées, mais n’affecte pas où les stratégies personnalisées sont appliquées dans l’ordre global.
Valeur égale :
- Les stratégies liens fiables et pièces jointes fiables dans la stratégie de sécurité *prédéfinie de protection intégrée.
- Les stratégies par défaut pour les logiciels anti-programme malveillant, anti-courrier indésirable et anti-hameçonnage.
Vous pouvez configurer des exceptions à la stratégie de sécurité prédéfinie de protection intégrée, mais vous ne pouvez pas configurer d’exceptions aux stratégies par défaut (elles s’appliquent à tous les destinataires et vous ne pouvez pas les désactiver).
*Defender for Office 365 uniquement.
Importante
L’ordre de priorité est important si le même destinataire est inclus intentionnellement ou involontairement dans plusieurs stratégies, car seule la première stratégie de ce type (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.) est appliquée à ce destinataire, quel que soit le nombre d’autres stratégies dans lesquelles le destinataire est inclus. Il n’y a jamais de fusion ou de combinaison des paramètres dans plusieurs stratégies pour le destinataire. Le destinataire n’est pas affecté par les paramètres des stratégies restantes de ce type.
Par exemple, le groupe nommé « Contoso Executives » est inclus dans les stratégies suivantes :
- Stratégie de sécurité prédéfinie Strict
- Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 0 (priorité la plus élevée)
- Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 1.
Quels paramètres de stratégie anti-courrier indésirable sont appliqués aux membres des cadres de Contoso ? Stratégie de sécurité prédéfinie Strict. Les paramètres des stratégies anti-courrier indésirable personnalisées sont ignorés pour les membres des cadres de Contoso, car la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier.
Autre exemple, considérez les stratégies anti-hameçonnage personnalisées suivantes dans Microsoft Defender pour Office 365 qui s’appliquent aux mêmes destinataires et un message qui contient à la fois l’usurpation d’identité et l’usurpation d’identité de l’utilisateur :
Nom de la stratégie | Priority | Emprunt d’identité de l’utilisateur | Anti-usurpation d’identité |
---|---|---|---|
Stratégie A | 1 | Activé | Désactivé |
Stratégie B | 2 | Désactivé | Activé |
- Le message est identifié comme usurpation d’identité, car l’usurpation d’identité (5) est évaluée avant l’emprunt d’identité de l’utilisateur (6) dans l’ordre de traitement du type de protection de courrier électronique.
- La stratégie A est appliquée en premier, car elle a une priorité plus élevée que la stratégie B.
- En fonction des paramètres de la stratégie A, aucune action n’est effectuée sur le message, car l’anti-usurpation est désactivée.
- Comme le traitement des stratégies anti-hameçonnage s’arrête pour tous les destinataires inclus, la stratégie B n’est jamais appliquée aux destinataires qui se trouvent également dans la stratégie A.
Pour vous assurer que les destinataires obtiennent les paramètres de protection souhaités, suivez les instructions suivantes pour les appartenances à la stratégie :
- Affectez un plus petit nombre d’utilisateurs à des stratégies de priorité plus élevée et un plus grand nombre d’utilisateurs à des stratégies de priorité inférieure. N’oubliez pas que les stratégies par défaut sont toujours appliquées en dernier.
- Configurez des stratégies de priorité plus élevée pour avoir des paramètres plus stricts ou plus spécialisés que les stratégies de priorité inférieure. Vous disposez d’un contrôle total sur les paramètres des stratégies personnalisées et les stratégies par défaut, mais aucun contrôle sur la plupart des paramètres des stratégies de sécurité prédéfinies.
- Envisagez d’utiliser moins de stratégies personnalisées (utilisez uniquement des stratégies personnalisées pour les utilisateurs qui ont besoin de paramètres plus spécialisés que les stratégies de sécurité prédéfinies Standard ou Strict, ou les stratégies par défaut).
Annexe
Il est important de comprendre comment l’utilisateur autorise et bloque, le locataire autorise et bloque, et comment filtrer les verdicts de pile dans EOP et Defender for Office 365 se complètent ou se contredisent.
- Pour plus d’informations sur le filtrage des piles et la façon dont elles sont combinées, consultez Protection pas à pas contre les menaces dans Microsoft Defender pour Office 365.
- Une fois que la pile de filtrage a déterminé un verdict, c’est seulement alors que les stratégies de locataire et leurs actions configurées sont évaluées.
- S’il existe la même adresse e-mail ou le même domaine dans la liste des expéditeurs approuvés et dans la liste des expéditeurs bloqués d’un utilisateur, la liste Des expéditeurs approuvés est prioritaire.
- Si la même entité (adresse e-mail, domaine, infrastructure d’envoi usurpée, fichier ou URL) existe dans une entrée d’autorisation et une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée de bloc est prioritaire.
L’utilisateur autorise et bloque
Les entrées de la collection de listes approuvées d’un utilisateur (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués sur chaque boîte aux lettres) peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans le tableau suivant :
Verdict de la pile de filtrage | Liste des expéditeurs/destinataires approuvés de l’utilisateur | Liste des expéditeurs bloqués de l’utilisateur |
---|---|---|
Programme malveillant | Filtre gagnant : Email mis en quarantaine | Filtre gagnant : Email mis en quarantaine |
Hameçonnage à haute fiabilité | Filtre gagnant : Email mis en quarantaine | Filtre gagnant : Email mis en quarantaine |
Hameçonnage | L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur | Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action |
Courrier fortement suspecté d’être indésirable | L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur | Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action |
Courrier indésirable | L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur | Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action |
Courrier en nombre | L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |
Pas de courrier indésirable | L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |
- Dans Exchange Online, l’autorisation de domaine dans la liste de l’expéditeur approuvé peut ne pas fonctionner si le message est mis en quarantaine dans l’une des conditions suivantes :
- Le message est identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
- Les actions dans les stratégies anti-courrier indésirable sont configurées pour mettre en quarantaine au lieu de déplacer le courrier vers le dossier Email indésirable.
- L’adresse e-mail, l’URL ou le fichier dans le message électronique se trouve également dans une entrée de bloc dans la liste verte/bloquée du locataire.
Pour plus d’informations sur la collecte de liste sécurisée et les paramètres anti-courrier indésirable sur les boîtes aux lettres utilisateur, consultez Configurer les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres.
Les locataires autorisent et bloquent
Les blocs et les permis de locataire peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans les tableaux suivants :
Stratégie de remise avancée (ignorer le filtrage pour les boîtes aux lettres SecOps désignées et les URL de simulation de hameçonnage) :
Verdict de la pile de filtrage Autoriser la stratégie de livraison avancée Programme malveillant Le locataire gagne : Email remis aux boîtes aux lettres Hameçonnage à haute fiabilité Le locataire gagne : Email remis aux boîtes aux lettres Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Règles de flux de messagerie Exchange (également appelées règles de transport) :
Verdict de la pile de filtrage La règle de flux de courrier autorise* Blocs de règle de flux de courrier Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine, sauf dans un routage complexe Filtre gagnant : Email mis en quarantaine Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur * Les organisations qui utilisent un service de sécurité ou un appareil tiers devant Microsoft 365 doivent envisager d’utiliser la chaîne de réception authentifiée (ARC) (contactez le tiers pour connaître la disponibilité) et le filtrage amélioré pour les connecteurs (également appelé skip listing) au lieu d’une règle de flux de courrier SCL=-1. Ces méthodes améliorées réduisent les problèmes d’authentification des e-mails et encouragent la défense en profondeur de la sécurité des e-mails .
Liste d’adresses IP autorisées et liste d’adresses IP bloquées dans les stratégies de filtre de connexion :
Verdict de la pile de filtrage Liste d’adresses IP autorisées Liste d’adresses IP bloquées Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux Autoriser et bloquer les paramètres dans les stratégies anti-courrier indésirable :
- Liste des expéditeurs et des domaines autorisés.
- Liste des expéditeurs et des domaines bloqués.
- Bloquer les messages provenant de pays/régions spécifiques ou dans des langues spécifiques.
- Bloquer les messages en fonction des paramètres du filtre anti-courrier indésirable avancé (ASF).
Verdict de la pile de filtrage La stratégie anti-courrier indésirable autorise Blocages de la stratégie anti-courrier indésirable Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur Autoriser les entrées dans la liste verte/bloquée du locataire : il existe deux types d’entrées autorisées :
- Les entrées autorisées au niveau du message agissent sur l’ensemble du message, quelles que soient les entités contenues dans le message. Les entrées d’autorisation pour l’adresse e-mail et les domaines sont des entrées autorisées au niveau du message.
- Les entrées autorisées au niveau de l’entité agissent sur le verdict de filtrage des entités. Autoriser les entrées pour les URL, les expéditeurs usurpés et les fichiers sont des entrées autorisées au niveau de l’entité. Pour remplacer les programmes malveillants et les verdicts de hameçonnage à haut niveau de confiance, vous devez utiliser des entrées d’autorisation au niveau de l’entité, que vous pouvez créer par envoi uniquement en raison de La sécurité par défaut dans Microsoft 365.
Verdict de la pile de filtrage adresse/domaine Email Programme malveillant Filtre gagnant : Email mis en quarantaine Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Bloquer les entrées dans la liste verte/bloquée du locataire :
Verdict de la pile de filtrage adresse/domaine Email Parodie Fichier URL Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Hameçonnage à haute fiabilité Le locataire gagne : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Hameçonnage Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Courrier fortement suspecté d’être indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Courrier indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Courrier en nombre Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Pas de courrier indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
Conflit entre les paramètres de l’utilisateur et du locataire
Le tableau suivant décrit comment les conflits sont résolus si un e-mail est affecté à la fois par les paramètres d’autorisation/de blocage de l’utilisateur et par les paramètres d’autorisation/de blocage du locataire :
Type de locataire allow/block | Liste des expéditeurs/destinataires approuvés de l’utilisateur | Liste des expéditeurs bloqués de l’utilisateur |
---|---|---|
Bloquer les entrées dans la liste verte/bloquée du locataire pour :
|
Le locataire gagne : Email mis en quarantaine | Le locataire gagne : Email mis en quarantaine |
Bloquer les entrées pour les expéditeurs usurpés dans la liste verte/bloquée des locataires | Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable | Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable |
Stratégie de livraison avancée | L’utilisateur gagne : Email remis à la boîte aux lettres | Le locataire gagne : Email remis aux boîtes aux lettres |
Bloquer les paramètres dans les stratégies anti-courrier indésirable | L’utilisateur gagne : Email remis à la boîte aux lettres | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |
Respecter la stratégie DMARC | L’utilisateur gagne : Email remis à la boîte aux lettres | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |
Blocs par règles de flux de courrier | L’utilisateur gagne : Email remis à la boîte aux lettres | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |
Autorise par :
|
L’utilisateur gagne : Email remis à la boîte aux lettres | L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur |