Pools de livraison sortante
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Email serveurs dans les centres de données Microsoft 365 peuvent être temporairement coupables d’envoi de courrier indésirable. Par exemple, un programme malveillant ou une attaque de courrier indésirable malveillant dans un e-mail local organization qui envoie des messages sortants via Microsoft 365, ou des comptes Microsoft 365 compromis. Les attaquants tentent également d’éviter la détection en relayant les messages via le transfert Microsoft 365.
Ces scénarios peuvent entraîner l’affichage de l’adresse IP des serveurs de centre de données Microsoft 365 affectés sur des listes de blocage tierces. Les organisations de messagerie de destination qui utilisent ces listes de blocage rejettent les messages provenant de ces sources de messages Microsoft 365.
Pool de distribution à haut risque
Pour empêcher le blocage de nos adresses IP, tous les messages sortants provenant des serveurs du centre de données Microsoft 365 qui sont déterminés comme étant du courrier indésirable sont envoyés via le pool de remises à haut risque.
Le pool de remise à haut risque est un pool d’adresses IP distinct pour les e-mails sortants qui est utilisé uniquement pour envoyer des messages de « faible qualité » (par exemple, le courrier indésirable et la rétrodiffusion). L’utilisation du pool de remise à haut risque permet d’empêcher le pool d’adresses IP normale pour les e-mails sortants d’envoyer du courrier indésirable. Le pool d’adresses IP normale pour les e-mails sortants maintient la réputation envoyant des messages de « haute qualité », ce qui réduit la probabilité que ces adresses IP apparaissent sur les listes d’adresses IP bloquées.
La possibilité que des adresses IP dans le pool de remise à haut risque soient placées sur des listes d’adresses IP bloquées reste, mais ce comportement est par nature. La remise aux destinataires prévus n’est pas garantie, car de nombreuses organisations de messagerie n’acceptent pas les messages du pool de remises à haut risque.
Pour plus d’informations, consultez Contrôler le courrier indésirable sortant.
Remarque
Les messages pour lesquels le domaine de messagerie source n’a pas d’enregistrement A et aucun enregistrement MX défini dans le DNS public sont toujours routés via le pool de remise à haut risque, indépendamment de leur suppression de la limite de courrier indésirable ou d’envoi.
Les messages qui dépassent les limites suivantes étant bloqués, ils ne sont pas envoyés via le pool de remise à haut risque :
- Limites d’envoi du service.
- Stratégies de courrier indésirable sortant dans lesquelles les expéditeurs ne peuvent pas envoyer des messages.
Messages de rebond
Le pool de remises à haut risque sortant gère la remise de tous les rapports de non-remise (également appelés NDR ou messages de rebond). Les causes possibles d’une augmentation des NDR sont les suivantes :
- Une campagne d’usurpation d’identité qui affecte l’un des clients qui utilisent le service.
- Une attaque de collecte de répertoires.
- Une attaque de courrier indésirable.
- Un serveur de messagerie non autorisé.
L’un de ces problèmes peut entraîner une augmentation soudaine du nombre de demandes de résolution réseau traitées par le service. Ces NDR semblent souvent être du courrier indésirable vers d’autres serveurs et services de messagerie (également appelés rétrodiffusion).
Pool de relais
Dans certains scénarios, les messages transférés ou relayés via Microsoft 365 sont envoyés à l’aide d’un pool de relais spécial, car la destination ne doit pas considérer Microsoft 365 comme l’expéditeur réel. Il est important pour nous d’isoler ce trafic de courrier, car il existe des scénarios légitimes et non valides pour le transfert automatique ou le relais d’e-mails à partir de Microsoft 365. À l’instar du pool de remise à haut risque, un pool d’adresses IP distinct est utilisé pour le courrier relayé. Ce pool d’adresses n’est pas publié, car il peut changer souvent et ne fait pas partie de l’enregistrement SPF publié pour Microsoft 365.
Microsoft 365 doit vérifier que l’expéditeur d’origine est légitime afin de pouvoir remettre en toute confiance le message transféré.
Le message transféré ou relayé doit répondre à l’un des critères suivants pour éviter d’utiliser le pool de relais :
- L’expéditeur sortant se trouve dans un domaine accepté.
- SPF passe lorsque le message arrive à Microsoft 365.
- DKIM sur le domaine de l’expéditeur passe lorsque le message arrive à Microsoft 365.
Dans les cas où nous pouvons authentifier l’expéditeur, nous utilisons le schéma de réécriture de l’expéditeur (SRS) pour aider le système de messagerie du destinataire à savoir que le message transféré provient d’une source approuvée. Vous pouvez en savoir plus sur le fonctionnement et sur ce que vous pouvez faire pour vous assurer que le domaine d’envoi passe l’authentification dans Le schéma de réécriture de l’expéditeur (SRS) dans Office 365.
Pour que DKIM fonctionne, veillez à activer DKIM pour l’envoi de domaine. Par exemple, fabrikam.com fait partie de contoso.com et est défini dans les domaines acceptés du organization. Si l’expéditeur du message est sender@fabrikam.com, DKIM doit être activé pour fabrikam.com. Vous pouvez en savoir plus sur l’activation dans Utiliser DKIM pour valider les e-mails sortants envoyés à partir de votre domaine personnalisé.
Pour ajouter un domaine personnalisé, suivez les étapes décrites dans Ajouter un domaine à Microsoft 365.
Si l’enregistrement MX de votre domaine pointe vers un service tiers ou un serveur de messagerie local, vous devez utiliser le filtrage amélioré pour les connecteurs. Le filtrage amélioré garantit que la validation SPF est correcte pour les messages entrants et évite d’envoyer des e-mails via le pool de relais.
Savoir quel pool sortant a été utilisé
En tant qu’administrateur de service Exchange ou administrateur* général, vous souhaiterez peut-être savoir quel pool sortant a été utilisé pour envoyer un message de Microsoft 365 à un destinataire externe.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Pour ce faire, vous pouvez utiliser Suivi des messages et rechercher la OutboundIpPoolName
propriété dans la sortie. Cette propriété contient une valeur de nom convivial pour le pool sortant utilisé.