Filtrage des connexions sur les serveurs de transport Edge dans Exchange Server
Le filtrage de connexion est une fonctionnalité anti-courrier indésirable dans Exchange Server qui autorise ou bloque les e-mails en fonction de la source du message. Le filtrage des connexions est effectué par l'agent de filtrage des connexions, qui est uniquement disponible sur les serveurs de transport Edge et reste sensiblement le même par rapport à Exchange Server 2010. L'agent de filtrage des connexions s'appuie sur l'adresse IP du serveur de messagerie expéditeur pour déterminer les mesures à prendre, s'il y en a, concernant un message entrant.
Par défaut, l’agent de filtrage des connexions est le premier agent de blocage du courrier indésirable qui évalue un message entrant sur un serveur de transport Edge. L’adresse IP source de la connexion SMTP est comparée aux adresses IP autorisées ou bloquées. Si l’adresse IP source est spécifiquement autorisée, le message est envoyé aux destinataires de votre organisation sans traitement supplémentaire par d’autres agents de blocage du courrier indésirable. Si l’adresse IP source est spécifiquement bloquée, la connexion SMTP est abandonnée. Si l’adresse IP source n’est pas spécifiquement autorisée ou bloquée, le message transite par d’autres agents de blocage du courrier indésirable sur le serveur de transport Edge.
Le filtrage de connexion compare l’adresse IP du serveur de messagerie source aux valeurs de la liste d’adresses IP autorisées, de la liste d’adresses IP bloquées, des fournisseurs de listes d’adresses IP autorisées et des fournisseurs de listes d’adresses IP bloquées. Vous devez configurer au moins une de ces quatre banques de données d’adresses IP pour que le filtrage des connexions fonctionne. Si vous ne spécifiez pas de données d’adresses IP, désactivez l’agent de filtrage des connexions. Pour plus d’informations, consultez Procédures de filtrage des connexions sur les serveurs de transport Edge.
Liste de blocage IP
La liste d’adresses IP bloquées contient les adresses IP des serveurs de messagerie que vous souhaitez bloquer. Vous gérez manuellement les adresses IP dans la liste d’adresses IP bloquées. Vous pouvez ajouter des adresses IP individuelles ou des plages d’adresses IP. Vous pouvez spécifier un délai d’expiration indiquant combien de temps l’entrée d’adresse IP sera bloquée. Lorsque l’heure d’expiration est atteinte, l’entrée d’adresse IP dans la liste d’adresses IP bloquées est désactivée.
Si l’agent de filtrage des connexions trouve l’adresse IP source dans la liste d’adresses IP bloquées, la connexion SMTP est supprimée une fois que tous les en-têtes RCPT TO (destinataires d’enveloppe) du message sont traités.
Les adresses IP peuvent également être ajoutées automatiquement à la liste d’adresses IP bloquées par la fonctionnalité Réputation de l’expéditeur de l’agent Analyse du protocole. Pour plus d'informations, voir Réputation de l'expéditeur et agent d'analyse de protocole.
Liste d’adresses IP autorisées
La liste d’adresses IP autorisées contient les adresses IP des serveurs de messagerie que vous souhaitez désigner comme sources de courrier dignes de confiance. Email des serveurs de messagerie que vous spécifiez dans la liste d’autorisation IP est exemptée du traitement par d’autres agents antispam Exchange.
Vous conservez manuellement les adresses IP dans la liste d’adresses IP autorisées. Vous pouvez ajouter des adresses IP individuelles ou des plages d’adresses IP. Vous pouvez spécifier un délai d’expiration indiquant combien de temps l’entrée d’adresse IP sera autorisée. Lorsque l’heure d’expiration est atteinte, l’entrée dans la liste d’adresses IP autorisées est désactivée.
Fournisseurs de listes d’adresses IP bloquées
Les fournisseurs de listes d’adresses IP bloquées sont fréquemment appelés listes de blocage en temps réel, ou rbLs. Les fournisseurs de listes d’adresses IP bloquées compilent des listes d’adresses IP de serveur de messagerie qui envoient du courrier indésirable. De nombreux fournisseurs de listes d’adresses IP bloquées compilent également des listes d’adresses IP de serveur de messagerie qui peuvent être utilisées pour le courrier indésirable. Il s’agit par exemple des serveurs de messagerie configurés comme relais ouvert, des fournisseurs de services Internet qui attribuent des adresses IP dynamiques et des fournisseurs de services Internet qui autorisent le trafic sur les serveurs de messagerie SMTP à partir de comptes d’accès à distance.
Lorsque vous configurez le filtrage de connexion pour utiliser un fournisseur de liste d’adresses IP bloquées, l’agent de filtrage des connexions compare l’adresse IP du serveur de messagerie qui se connecte à la liste des adresses IP du fournisseur de liste d’adresses IP bloquées. S’il existe une correspondance, le message n’est pas autorisé dans votre organisation. Vous pouvez configurer le filtrage de connexion pour utiliser plusieurs fournisseurs de liste d’adresses IP bloquées et affecter des valeurs de priorité différentes à chaque fournisseur.
L’agent de filtrage des connexions vérifie l’adresse IP source dans la liste d’adresses IP autorisées et la liste d’adresses IP bloquées. Si l’adresse IP n’existe pas dans l’une ou l’autre liste, l’agent de filtrage des connexions interroge le fournisseur de liste d’adresses IP bloquées en fonction de la valeur de priorité que vous avez attribuée. Si l’adresse IP est définie sur un fournisseur de liste d’adresses IP bloquées, le serveur de transport Edge attend et traite l’en-tête RCPT TO , répond au serveur de messagerie d’envoi avec une SMTP 550
erreur et ferme la connexion. La connexion n’est pas immédiatement supprimée afin que la tentative de connexion puisse être journalisée et que vous pouvez spécifier des destinataires qui ne peuvent pas avoir de messages bloqués par les fournisseurs de liste d’adresses IP bloquées.
Si l’adresse IP n’est définie sur aucun des fournisseurs de liste d’adresses IP bloquées, l’agent de filtrage de contenu remet le message à l’agent de transport suivant sur le serveur de transport Edge.
Pour chaque fournisseur de liste d’adresses IP bloquées, vous pouvez personnaliser l’erreur SMTP 550
retournée à l’expéditeur lorsqu’un message est bloqué. Vous devez identifier le fournisseur de liste d’adresses IP bloquées qui a identifié la source du message comme courrier indésirable. Si un serveur de messagerie source légitime est identifié par erreur en tant que source de courrier indésirable, l’administrateur peut alors contacter le fournisseur de liste d’adresses IP bloquées et prendre les mesures nécessaires pour supprimer le serveur de messagerie du fournisseur de liste d’adresses IP bloquées.
Les fournisseurs de listes d’adresses IP bloquées peuvent retourner différents codes pour identifier la raison pour laquelle une adresse IP est définie dans leurs listes. La plupart des fournisseurs de listes d’adresses IP bloquées retournent des types de données masque de bits ou valeur absolue. Dans ces types de données, le fournisseur de liste d’adresses IP bloquées peut utiliser plusieurs valeurs pour classifier l’adresse IP par type de menace.
Il existe des problèmes à prendre en compte lors de l’utilisation de fournisseurs de listes d’adresses IP bloquées :
Les pannes ou retards au niveau du service fournisseur de listes d’adresses IP bloquées peuvent entraîner des retards dans le traitement des messages sur le serveur de transport Edge. Vous devez toujours sélectionner des fournisseurs de liste d’adresses IP bloquées fiables.
Les serveurs source que vous considérez comme légitimes peuvent être identifiés à tort comme sources de courrier indésirable. Par exemple, un serveur de messagerie peut être involontairement configuré pour servir de relais ouvert. Vous devez toujours sélectionner des fournisseurs de listes d’adresses IP bloquées qui fournissent des procédures claires pour l’évaluation et la suppression de leurs services.
Exemples de code en masques de bits et en valeur absolue
Cette section présente un exemple des codes d’état retournés par la plupart des fournisseurs de liste de blocage. Pour plus d'informations sur les codes d'état qu'un fournisseur renvoie, consultez la documentation de ce fournisseur.
Pour les types de données de masque de bits, le service fournisseur de listes d’adresses IP bloquées retourne un code d’état de 127.0.0. x, où l’entier x est l’une des valeurs répertoriées dans le tableau suivant.
Valeurs et codes d'état pour les données de type masque de bits
Valeur | Code d'état |
---|---|
1 | L’adresse IP figure dans une liste d’adresses IP bloquées. |
2 | Le serveur SMTP est configuré pour agir comme un relais ouvert. |
4 | L'adresse IP prend en charge une adresse IP d'appel. |
Pour les types à valeur absolue, le fournisseur de liste de blocage IP retourne des réponses explicites qui définissent la raison pour laquelle l’adresse IP est définie dans sa liste de blocage. Le tableau suivant présente des exemples de valeurs absolues et les réponses explicites.
Valeurs et codes d'état pour les données de type valeur absolue
Valeur | Réponse explicite |
---|---|
127.0.0.2 | L'adresse IP est une source de courrier indésirable direct. |
127.0.0.4 | L'adresse IP est un expéditeur de courrier non sollicité. |
127.0.0.5 | Le serveur distant qui expédie le message est connu pour prendre en charge des relais ouverts multiniveau. |
Fournisseurs de listes d’autorisation IP
Les fournisseurs de listes d’autorisation IP sont également appelés listes fiables. Les fournisseurs de listes d’autorisation IP sont configurés comme les fournisseurs de liste d’adresses IP bloquées, mais les résultats sont les contraires : ils définissent les adresses IP du serveur de messagerie qui ne sont certainement pas associées à l’activité de courrier indésirable. Si l’adresse IP du serveur de messagerie qui se connecte est définie au niveau d’un fournisseur d’autorisation IP, le message est exempté du traitement par d’autres agents antispam Exchange. Pour cette raison, les fournisseurs de liste d’adresses IP bloquées sont utilisés beaucoup plus fréquemment que les fournisseurs d’adresses IP allowlis. Choisissez soigneusement vos fournisseurs d’adresses IP allowlis.
Tester les fournisseurs de listes d’adresses IP bloquées et les fournisseurs d’adresses IP allowlis
Après avoir configuré le filtrage de connexion pour utiliser un fournisseur de liste d’adresses IP bloquées ou un fournisseur de listes d’adresses IP autorisées, vous pouvez exécuter des tests pour vérifier que les fournisseurs fonctionnent correctement. La plupart des fournisseurs fournissent des adresses IP de test que vous pouvez utiliser pour évaluer leurs services. Lorsque vous testez un fournisseur, l’agent de filtrage des connexions émet une requête DNS censée déclencher une réponse spécifique de la part du fournisseur. Pour plus d’informations sur la façon de tester les adresses IP par rapport à un service fournisseur de listes d’adresses IP bloquées ou à un service fournisseur d’adresses IP allowlis, consultez Procédures de filtrage de connexion sur les serveurs de transport Edge.
Configurer le filtrage des connexions sur des serveurs de transport Edge qui ne sont pas directement connectés à Internet.
Vous pouvez utiliser le filtrage des connexions sur des serveurs de transport Edge qui ne reçoivent pas de courrier électronique directement d’Internet. Dans ce scénario, le serveur de transport Edge se trouve derrière un autre serveur de messagerie qui reçoit et traite les messages directement à partir d’Internet. Par exemple, votre organisation peut envoyer du trafic de courrier électronique via un serveur, un service ou une appliance anti-courrier indésirable avant que les messages n’atteignent le serveur de transport Edge. Dans ce scénario, l'agent de filtrage des connexions doit extraire la véritable adresse IP d'origine du message. Pour ce faire, il doit analyser les valeurs du champ d'en-tête Received de l'en-tête de message et comparer ces valeurs aux adresses IP connues du serveur de messagerie se trouvant entre le serveur de transport Edge et Internet.
Chaque serveur de messagerie qui accepte et relaie un message SMTP sur le chemin de remise du message ajoute son propre champ d'en-tête Reçu dans l'en-tête du message. L'en-tête Reçu contient généralement le nom de domaine et l'adresse IP du serveur de messagerie ayant traité le message.
Si le serveur de transport Edge n’accepte pas les messages provenant directement d’Internet, vous devez utiliser le paramètre InternalSMTPServers sur l’applet de commande Set-TransportConfig sur un serveur de boîtes aux lettres Exchange pour identifier l’adresse IP du serveur de messagerie qui se trouve entre le serveur de transport Edge et Internet. Les données d'adresse IP sont répliquées sur les serveurs de transport Edge par EdgeSync. Lorsque les messages sont reçus par le serveur de transport Edge, l’agent de filtrage des connexions suppose que les adresses IP du champ d’en-tête Reçu qui ne correspondent à aucune valeur spécifiée par le paramètre InternalSMTPServers est l’adresse IP source à vérifier. Par conséquent, vous devez spécifier tous les serveurs SMTP internes pour que le filtrage des connexions fonctionne correctement.