Cachets de blocage du courrier indésirable
Les tampons anti-courrier indésirable dans Exchange Server appliquent des métadonnées de diagnostic, ou des empreintes, telles que des informations spécifiques à l’expéditeur, des résultats de validation de puzzle et des résultats de filtrage de contenu, aux messages à mesure qu’ils passent par les fonctionnalités anti-courrier indésirable qui filtrent les messages entrants provenant d’Internet. Vous pouvez utiliser des cachets de blocage du courrier indésirable pour afficher les résultats du filtrage du courrier indésirable sur un message et pour diagnostiquer les problèmes liés au courrier indésirable. Les fonctionnalités de blocage du courrier indésirable et les cachets sont restés sensiblement identiques par rapport à Exchange Server 2010. Il existe quatre tampons antispam Exchange principaux :
Le cachet du seuil de probabilité de courrier d’hameçonnage (PCL)
Le cachet de l’ID de l’expéditeur
Le cachet du seuil de probabilité de courrier indésirable (SCL)
Le cachet du rapport de courrier indésirable
Les cachets de blocage du courrier indésirable sont ajoutés aux messages comme champs d’en-tête X dans l’en-tête du message. Vous pouvez afficher les tampons anti-courrier sur un message à l’aide d’Outlook. Pour plus d'informations, consultez la rubrique Affichage des cachets de blocage du courrier indésirable dans Outlook.
Cachet du seuil de probabilité de courrier d’hameçonnage
Le cachet du seuil de probabilité de courrier d’hameçonnage (PCL) indique la probabilité qu’un message soit un message d’hameçonnage par rapport à son contenu. Le cachet PCL est appliqué lorsque le message est traité par l'agent de filtrage du contenu. Pour plus d'informations sur le filtrage du contenu, consultez la rubrique Filtrage du contenu.
Les valeurs PCL sont décrites dans le tableau suivant.
Valeur PCL | Verdict | Description |
---|---|---|
1-3 | Neutral |
Le contenu du message ne correspond probablement pas à du hameçonnage. |
4-8 | Suspicious |
Le contenu du message correspond probablement à du hameçonnage. |
La valeur PCL apparaît dans X-MS-Exchange-Organization-PCL: X-header, et le verdict PCL apparaît dans l’empreinte du rapport antispam sous la forme PCL:PhishingLevel <Verdict>
. Outlook utilise le cachet PCL pour bloquer le contenu des messages suspects.
Le cachet de l’ID de l’expéditeur
Le cachet de l’ID de l’expéditeur est basé sur le SPF (sender policy framework) qui autorise l’utilisation de domaines dans la messagerie. L’agent d’ID de l’expéditeur détermine l’état de l’ID de l’expéditeur du message. Ces valeurs d’état sont décrites dans le tableau suivant.
État | Description |
---|---|
Pass |
L'adresse IP et la PRA (Purported Responsible Address, adresse prétendue responsable) ont toutes les deux passé le contrôle de vérification de l'ID de l'expéditeur. |
Neutral |
Les données de l'ID de l'expéditeur publiées sont peu concluantes. |
SoftFail |
L'adresse IP de la PRA figure peut-être parmi les adresses non autorisées. |
Fail |
L'adresse IP n'est pas autorisée. Aucune PRA ne figure dans le courrier entrant ou le domaine d'envoi n'existe pas. |
None |
Il n'existe aucune donnée SPF publiée dans le DNS de l'expéditeur. |
TempError |
Une erreur DNS temporaire s'est produite. Un serveur DNS peut être indisponible, par exemple. |
PermError |
L'enregistrement DNS n'est pas valide. Il présente peut-être une erreur de format d'enregistrement. |
L’empreinte de l’ID de l’expéditeur s’affiche dans X-MS-Exchange-Organization-SenderIdResult: X-header, ainsi que dans le tampon de rapport anti-courrier sous la forme SenderIDStatus <Status>
. Le résultat SPF apparaît dans l'en-tête Received-SPF.
Pour plus d'informations, consultez les rubriques suivantes :
Cachet du seuil de probabilité de courrier indésirable
Remarque
En novembre 2016, Microsoft a cessé de produire des mises à jour de définition de courrier indésirable pour les filtres SmartScreen dans Exchange et Outlook. Les définitions de courrier indésirable SmartScreen existantes ont été laissées en place, mais leur efficacité se dégradera probablement au fil du temps. Pour plus d’informations, voir l’Arrêt de la prise en charge de SmartScreen dans Outlook et Exchange.
Le cachet PCL affiche la valeur du message en fonction de son contenu. L'agent de filtrage du contenu utilise la technologie Microsoft SmartScreen pour évaluer le contenu d'un message et pour attribuer une valeur SCL à chaque message. Les valeurs SCL sont décrites dans le tableau suivant.
Valeur SCL | Description |
---|---|
0 à 9 | 0 indique une probabilité extrêmement faible que le message soit du courrier indésirable. 9 indique une probabilité extrêmement élevée que le message soit du courrier indésirable. |
-1 | Le message a contourné l'analyse anti-courrier indésirable (par exemple, le message provenait d'un expéditeur interne). |
La valeur SCL apparaît dans l'en-tête X X-MS-Exchange-Organization-SCL:.
Les actions qu'Exchange et Outlook exécutent en fonction de la valeur SCL dépendent de vos paramètres de seuil SCL. Pour plus d’informations, consultez Seuils de niveau de confiance du courrier indésirable (SCL) Exchange.
Le cachet du rapport de courrier indésirable
Le cachet du rapport de courrier indésirable est un résumé des résultats du filtrage du courrier indésirable appliqués au message. L'agent de filtrage du contenu applique ce cachet au message dans l'en-tête X X-MS-Exchange-Organization-Antispam-Report:. Le rapport de courrier indésirable utilise la syntaxe suivante :
X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>
Les informations du filtre de courrier indésirable qui peuvent apparaître dans le rapport de courrier indésirable sont décrites dans le tableau suivant. Notez que le cachet du rapport de courrier indésirable contient uniquement les résultats et les conclusions des filtres de courrier indésirable qui ont été appliqués au message. Par conséquent, le cachet du rapport de courrier indésirable ne contient généralement pas tous les cachets et valeurs possibles.
Marquage | Description |
---|---|
DV | Le marquage de version DAT (DV) indique la version du fichier de définition du courrier indésirable utilisé lors de l’analyse du message. |
SA | Le marquage d’action de signature (SA) indique que le message a été soit récupéré, soit supprimé à cause d’une signature trouvée dans le message. |
SV | Le marquage de version DAT de signature (SV) indique la version du fichier de signature utilisé lors de l’analyse du message. |
CW | Le cachet du poids personnalisé (CW) d’un message indique qu’il contient un mot ou une expression non approuvé et que la valeur SCL, ou « Poids », de ce mot ou cette expression non approuvé a été appliquée au résultat SCL final :
Pour plus d’informations sur l’ajout de mots ou d’expressions approuvés et non approuvés à l’agent de filtrage de contenu, consultez Procédures de filtrage de contenu. |
PP | Le cachet du puzzle pré-résolu (PP) indique que, si le message d'un expéditeur contient un cachet de calcul résolu valide (basé sur la fonctionnalité de validation du cachet électronique Outlook), il est improbable que l'expéditeur soit malveillant. Dans ce cas, l'agent de filtrage du contenu réduit la valeur SCL. L’Agent de filtrage du contenu ne modifie pas la valeur de contrôle d’accès SCL si la fonctionnalité de validation de cachet de courrier électronique est activée et que l’une des conditions suivantes est vraie :
Pour plus d'informations sur la fonctionnalité de validation du cachet, consultez la rubrique Filtrage du contenu. |
TIME:TimeBasedFeatures | Indique qu’une période d’une longueur significative s’est écoulée entre l’envoi et la réception du message. Le cachet TIME permet de déterminer la valeur SCL finale du message. |
OrigIP | Indique l’adresse IP du serveur de messagerie source. |
MIME:MIMECompliance | Indique que le message électronique n’est pas compatible MIME. |
P100:PhishingBlock | Indique que le message contient une adresse URL présente dans un fichier de définition du hameçonnage. |
IPOnAllowList | Indique que l’adresse IP de l’expéditeur figure sur la liste d’adresses IP autorisées. Pour plus d’informations sur la liste d’adresses IP autorisées, consultez la section relative à la liste d’adresses IP autorisées. |
MessageSecurityAntispamBypass | Indique que le contenu du message n’a pas été filtré et que l’expéditeur a reçu l’autorisation d’ignorer les filtres de courrier indésirable. |
SenderBypassed | Indique que l’agent de filtrage du contenu ne traite aucun filtrage de contenu pour les messages reçus de cet expéditeur. Pour plus d’informations, consultez Procédures de filtrage de contenu. |
AllRecipientsBypassed | Indique que l’une des conditions suivantes a été rencontrée pour tous les destinataires répertoriés dans le message :
|