Partager via


Ordre et priorité de la protection des e-mails

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, le courrier entrant peut être marqué par plusieurs formes de protection. Par exemple, la protection contre l’usurpation d’identité disponible pour tous les clients Microsoft 365 et la protection contre l’emprunt d’identité qui est disponible pour Microsoft Defender pour Office 365 clients uniquement. Les messages passent également par plusieurs analyses de détection des programmes malveillants, du courrier indésirable, du hameçonnage, etc. Compte tenu de toute cette activité, il peut y avoir une certaine confusion quant à la stratégie appliquée.

En général, une stratégie appliquée à un message est identifiée dans l’en-tête X-Forefront-Antispam-Report de la propriété CAT (Category). Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

Deux facteurs principaux déterminent la stratégie appliquée à un message :

Par exemple, le groupe nommé « Contoso Executives » est inclus dans les stratégies suivantes :

  • Stratégie de sécurité prédéfinie Strict
  • Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 0 (priorité la plus élevée)
  • Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 1.

Quels paramètres de stratégie anti-courrier indésirable sont appliqués aux membres des cadres de Contoso ? Stratégie de sécurité prédéfinie Strict. Les paramètres des stratégies anti-courrier indésirable personnalisées sont ignorés pour les membres des cadres de Contoso, car la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier.

Autre exemple, considérez les stratégies anti-hameçonnage personnalisées suivantes dans Microsoft Defender pour Office 365 qui s’appliquent aux mêmes destinataires et un message qui contient à la fois l’usurpation d’identité et l’usurpation d’identité de l’utilisateur :

Nom de la stratégie Priority Emprunt d’identité de l’utilisateur Anti-usurpation d’identité
Stratégie A 1 Activé Désactivé
Stratégie B 2 Désactivé Activé
  1. Le message est identifié comme usurpation d’identité, car l’usurpation d’identité (5) est évaluée avant l’emprunt d’identité de l’utilisateur (6) dans l’ordre de traitement du type de protection de courrier électronique.
  2. La stratégie A est appliquée en premier, car elle a une priorité plus élevée que la stratégie B.
  3. En fonction des paramètres de la stratégie A, aucune action n’est effectuée sur le message, car l’anti-usurpation est désactivée.
  4. Comme le traitement des stratégies anti-hameçonnage s’arrête pour tous les destinataires inclus, la stratégie B n’est jamais appliquée aux destinataires qui se trouvent également dans la stratégie A.

Pour vous assurer que les destinataires obtiennent les paramètres de protection souhaités, suivez les instructions suivantes pour les appartenances à la stratégie :

  • Affectez un plus petit nombre d’utilisateurs à des stratégies de priorité plus élevée et un plus grand nombre d’utilisateurs à des stratégies de priorité inférieure. N’oubliez pas que les stratégies par défaut sont toujours appliquées en dernier.
  • Configurez des stratégies de priorité plus élevée pour avoir des paramètres plus stricts ou plus spécialisés que les stratégies de priorité inférieure. Vous disposez d’un contrôle total sur les paramètres des stratégies personnalisées et les stratégies par défaut, mais aucun contrôle sur la plupart des paramètres des stratégies de sécurité prédéfinies.
  • Envisagez d’utiliser moins de stratégies personnalisées (utilisez uniquement des stratégies personnalisées pour les utilisateurs qui ont besoin de paramètres plus spécialisés que les stratégies de sécurité prédéfinies Standard ou Strict, ou les stratégies par défaut).

Annexe

Il est important de comprendre comment l’utilisateur autorise et bloque, le locataire autorise et bloque, et comment filtrer les verdicts de pile dans EOP et Defender for Office 365 se complètent ou se contredisent.

  • Pour plus d’informations sur le filtrage des piles et la façon dont elles sont combinées, consultez Protection pas à pas contre les menaces dans Microsoft Defender pour Office 365.
  • Une fois que la pile de filtrage a déterminé un verdict, c’est seulement alors que les stratégies de locataire et leurs actions configurées sont évaluées.
  • S’il existe la même adresse e-mail ou le même domaine dans la liste des expéditeurs approuvés et dans la liste des expéditeurs bloqués d’un utilisateur, la liste Des expéditeurs approuvés est prioritaire.
  • Si la même entité (adresse e-mail, domaine, infrastructure d’envoi usurpée, fichier ou URL) existe dans une entrée d’autorisation et une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée de bloc est prioritaire.

L’utilisateur autorise et bloque

Les entrées de la collection de listes approuvées d’un utilisateur (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués sur chaque boîte aux lettres) peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans le tableau suivant :

Verdict de la pile de filtrage Liste des expéditeurs/destinataires approuvés de l’utilisateur Liste des expéditeurs bloqués de l’utilisateur
Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
Hameçonnage L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier fortement suspecté d’être indésirable L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier indésirable L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur Le locataire gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier en nombre L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Pas de courrier indésirable L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
  • Dans Exchange Online, l’autorisation de domaine dans la liste de l’expéditeur approuvé peut ne pas fonctionner si le message est mis en quarantaine dans l’une des conditions suivantes :
    • Le message est identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
    • Les actions dans les stratégies anti-courrier indésirable sont configurées pour mettre en quarantaine au lieu de déplacer le courrier vers le dossier Email indésirable.
    • L’adresse e-mail, l’URL ou le fichier dans le message électronique se trouve également dans une entrée de bloc dans la liste verte/bloquée du locataire.

Pour plus d’informations sur la collecte de liste sécurisée et les paramètres anti-courrier indésirable sur les boîtes aux lettres utilisateur, consultez Configurer les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres.

Les locataires autorisent et bloquent

Les blocs et les permis de locataire peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans les tableaux suivants :

  • Stratégie de remise avancée (ignorer le filtrage pour les boîtes aux lettres SecOps désignées et les URL de simulation de hameçonnage) :

    Verdict de la pile de filtrage Autoriser la stratégie de livraison avancée
    Programme malveillant Le locataire gagne : Email remis aux boîtes aux lettres
    Hameçonnage à haute fiabilité Le locataire gagne : Email remis aux boîtes aux lettres
    Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres
    Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres
  • Règles de flux de messagerie Exchange (également appelées règles de transport) :

    Verdict de la pile de filtrage La règle de flux de courrier autorise* Blocs de règle de flux de courrier
    Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine, sauf dans un routage complexe Filtre gagnant : Email mis en quarantaine
    Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur

    * Les organisations qui utilisent un service de sécurité ou un appareil tiers devant Microsoft 365 doivent envisager d’utiliser la chaîne de réception authentifiée (ARC) (contactez le tiers pour connaître la disponibilité) et le filtrage amélioré pour les connecteurs (également appelé skip listing) au lieu d’une règle de flux de courrier SCL=-1. Ces méthodes améliorées réduisent les problèmes d’authentification des e-mails et encouragent la défense en profondeur de la sécurité des e-mails .

  • Liste d’adresses IP autorisées et liste d’adresses IP bloquées dans les stratégies de filtre de connexion :

    Verdict de la pile de filtrage Liste d’adresses IP autorisées Liste d’adresses IP bloquées
    Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux
    Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux
    Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux
    Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email supprimé en mode silencieux
  • Autoriser et bloquer les paramètres dans les stratégies anti-courrier indésirable :

    Verdict de la pile de filtrage La stratégie anti-courrier indésirable autorise Blocages de la stratégie anti-courrier indésirable
    Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : action d’hameçonnage dans la stratégie anti-courrier indésirable applicable
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
    Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres Le locataire gagne : Email remis au dossier de Email indésirable de l’utilisateur
  • Autoriser les entrées dans la liste verte/bloquée du locataire : il existe deux types d’entrées autorisées :

    • Les entrées autorisées au niveau du message agissent sur l’ensemble du message, quelles que soient les entités contenues dans le message. Les entrées d’autorisation pour l’adresse e-mail et les domaines sont des entrées autorisées au niveau du message.
    • Les entrées autorisées au niveau de l’entité agissent sur le verdict de filtrage des entités. Autoriser les entrées pour les URL, les expéditeurs usurpés et les fichiers sont des entrées autorisées au niveau de l’entité. Pour remplacer les programmes malveillants et les verdicts de hameçonnage à haut niveau de confiance, vous devez utiliser des entrées d’autorisation au niveau de l’entité, que vous pouvez créer par envoi uniquement en raison de La sécurité par défaut dans Microsoft 365.
    Verdict de la pile de filtrage adresse/domaine Email
    Programme malveillant Filtre gagnant : Email mis en quarantaine
    Hameçonnage à haute fiabilité Filtre gagnant : Email mis en quarantaine
    Hameçonnage Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres
    Courrier en nombre Le locataire gagne : Email remis aux boîtes aux lettres
    Pas de courrier indésirable Le locataire gagne : Email remis aux boîtes aux lettres
  • Bloquer les entrées dans la liste verte/bloquée du locataire :

    Verdict de la pile de filtrage adresse/domaine Email Parodie Fichier URL
    Programme malveillant Filtre gagnant : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine
    Hameçonnage à haute fiabilité Le locataire gagne : Email mis en quarantaine Filtre gagnant : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
    Hameçonnage Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
    Courrier fortement suspecté d’être indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
    Courrier indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
    Courrier en nombre Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
    Pas de courrier indésirable Le locataire gagne : Email mis en quarantaine Le locataire gagne : action usurpation dans la stratégie anti-hameçonnage applicable Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine

Conflit entre les paramètres de l’utilisateur et du locataire

Le tableau suivant décrit comment les conflits sont résolus si un e-mail est affecté à la fois par les paramètres d’autorisation/de blocage de l’utilisateur et par les paramètres d’autorisation/de blocage du locataire :

Type de locataire allow/block Liste des expéditeurs/destinataires approuvés de l’utilisateur Liste des expéditeurs bloqués de l’utilisateur
Bloquer les entrées dans la liste verte/bloquée du locataire pour :
  • adresses et domaines Email
  • Fichiers
  • URL
Le locataire gagne : Email mis en quarantaine Le locataire gagne : Email mis en quarantaine
Bloquer les entrées pour les expéditeurs usurpés dans la liste verte/bloquée des locataires Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable Le locataire gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable
Stratégie de livraison avancée L’utilisateur gagne : Email remis à la boîte aux lettres Le locataire gagne : Email remis aux boîtes aux lettres
Bloquer les paramètres dans les stratégies anti-courrier indésirable L’utilisateur gagne : Email remis à la boîte aux lettres L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Respecter la stratégie DMARC L’utilisateur gagne : Email remis à la boîte aux lettres L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Blocs par règles de flux de courrier L’utilisateur gagne : Email remis à la boîte aux lettres L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Autorise par :
  • Règles de flux de messagerie
  • Liste d’adresses IP autorisées (stratégie de filtre de connexion)
  • Liste des expéditeurs et des domaines autorisés (stratégies anti-courrier indésirable)
  • Liste Autoriser/Bloquer du client
L’utilisateur gagne : Email remis à la boîte aux lettres L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur