Partager via


Présentation du filtrage des connexions

 

S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3

Dernière rubrique modifiée : 2016-07-21

L’agent de filtrage des connexions est un agent de blocage du courrier indésirable activé sur les ordinateurs exécutant MicrosoftExchange Server 2010 et sur lesquels le rôle serveur de transport Edge est installé. L’agent de filtrage des connexions s’appuie sur l’adresse IP du serveur distant tentant de se connecter pour déterminer l’action éventuelle à appliquer à un message entrant. L’adresse IP distante est disponible pour l’agent de filtrage de connexion en tant que sous-produit de la connexion TCP/IP sous-jacente requise pour la session SMTP. L’agent de filtrage des connexions devant évaluer l’adresse IP du serveur distant envoyant le message pour être efficace, il est généralement activé sur le serveur de transport Edge Internet. Vous pouvez cependant effectuer une configuration supplémentaire pour exécuter l’agent de filtrage des connexions de manière plus approfondie dans le chemin du message entrant.

Lorsque vous configurez des agents de blocage du courrier indésirable sur un serveur de transport Edge, les agents agissent de façon cumulative sur les messages pour réduire le nombre de messages non sollicités entrant dans l’organisation. Pour minimiser la redondance et améliorer les performances et l’efficacité globales du système, vous devez comprendre l’ordre dans lequel les agents évaluent les messages entrants. Comprendre l’ordre dans lequel les filtres évaluent les messages entrants vous aidera à optimiser la configuration des serveurs de transport Edge. Pour plus d’informations sur la planification et le déploiement des agents de blocage du courrier indésirable, consultez la rubrique Présentation de la fonction de blocage du courrier indésirable et des virus.

Lorsque vous activez l’agent de filtrage des connexions, celui-ci est le premier agent de blocage du courrier indésirable à s’exécuter quand un message entrant est évalué.

Quand un message entrant est soumis à un serveur de transport Edge sur lequel l’agent de filtrage des connexions est activé, l’adresse IP source de la connexion SMTP est vérifiée par rapport aux listes d’adresses IP autorisées et aux listes d’adresses IP bloquées. Si l’adresse IP source est répertoriée sur une liste d’adresses IP bloquées, la connexion SMTP est abandonnée après que tous les en-têtes RCPT TO du message ont été traités.

RemarqueRemarque :
Le délai d’abandon d’une connexion peut dépendre d’autres configurations de blocage du courrier indésirable. Par exemple, vous pouvez spécifier les destinataires recevant toujours des messages électroniques, même si l’adresse IP source est bloquée. En outre, vous avez peut-être configuré d’autres agents s’appuyant sur le contenu de la commande DATA à analyser. L’agent de filtrage des connexions abandonne toujours les connexions bloquées en fonction de la configuration globale de blocage du courrier indésirable.

Si l’adresse IP source n’est répertoriée sur aucune liste d’adresses IP bloquées ou d’adresses IP autorisées, le message est transmis par l’intermédiaire des autres agents de blocage du courrier indésirable si d’autres agents sont configurés.

Souhaitez-vous rechercher d’autres tâches de gestion relatives à la fonctionnalité de blocage du courrier indésirable et antivirus ? Reportez-vous à la rubrique Gestion des fonctionnalités anti-courrier indésirable et antivirus.

Contenu

Listes d’adresses IP autorisées et listes d’adresses IP bloquées

Configuration du filtrage des connexions pour les serveurs de transport Edge qui ne sont pas le premier point d’entrée SMTP

Test des fonctionnalités de liste d’adresses IP bloquées et de liste d’adresses IP autorisées

Listes d’adresses IP autorisées et listes d’adresses IP bloquées

L’agent de filtrage des connexions vérifie si l’adresse IP du serveur envoyant un message figure dans les banques de données d’adresses IP suivantes :

  • Listes d’adresses IP autorisées et listes d’adresses IP bloquées définies par l’administrateur

  • Fournisseurs de listes d’adresses IP bloquées

  • Fournisseurs de listes d’adresses IP autorisées

Pour plus d’informations sur les fournisseurs de listes d’adresses IP bloquées, consultez la section « Fournisseurs de listes d’adresses IP bloquées » ci-après dans cette rubrique.

Vous devez configurer au moins une de ces banques de données d’adresses IP pour que l’agent de filtrage des connexions soit opérationnel. Si les banques de données d’adresses IP ne contiennent pas les adresses IP qui figurent sur les listes d’adresses IP autorisées ou les listes d’adresses IP bloquées, ou si vous n’avez configuré aucun fournisseur de listes d’adresses IP bloquées ou de fournisseur de listes d’adresses IP autorisées, vous devez désactiver l’agent de filtrage des connexions.

Listes d’adresses IP autorisées et listes d’adresses IP bloquées définies par l’administrateur

Les administrateurs des serveurs de transport Edge tiennent à jour des listes d’adresses IP définies par l’administrateur. Vous pouvez entrer et supprimer les adresses IP que vous voulez autoriser ou bloquer en utilisant la console de gestion Exchange ou l’environnement de ligne de commande Exchange Management Shell. Vous pouvez ajouter des adresses IP individuellement, par plage d’adresses IP ou par adresse IP et masque de sous-réseau.

Lorsque vous ajoutez une adresse IP ou une plage d’adresses IP, vous devez spécifier s’il s’agit d’adresses IP bloquées ou autorisées. Vous pouvez en outre spécifier un délai d’expiration pour chaque entrée de liste d’adresses IP bloquées que vous créez. Le délai d’expiration défini spécifie la durée pendant laquelle l’entrée de liste d’adresses IP bloquées est active. Une fois le délai d’expiration écoulé, l’entrée de liste d’adresses IP bloquées est désactivée.

Les listes d’adresses IP autorisées et les listes d’adresses IP bloquées définies par l’administrateur permettent de configurer le filtrage des connexions pour prendre en charge les scénarios suivants :

  • Exempter des adresses IP des listes d’adresses IP bloquées de fournisseurs de listes d’adresses IP bloquées   

    Il est possible que vous soyez amené à exempter des adresses IP des listes d’adresses IP bloquées de fournisseurs de listes d’adresses IP bloquées lorsque des expéditeurs légitimes sont accidentellement placés dans une liste d’adresses IP bloquées d’un fournisseur de listes d’adresses IP bloquées. Par exemple, des expéditeurs légitimes peuvent être accidentellement placés dans une liste d’adresses IP bloquées quand un serveur SMTP a été involontairement configuré pour agir comme un relais ouvert. Dans ce scénario, l’expéditeur essaiera probablement de corriger l’erreur de configuration et de supprimer son adresse IP de la liste d’adresses IP bloquées du fournisseur de listes d’adresses IP bloquées.

    Pour plus d’informations sur les fournisseurs de listes d’adresses IP bloquées, consultez la section « Fournisseurs de listes d’adresses IP bloquées » ci-après dans cette rubrique.

  • Refuser l’accès à des messages indésirables provenant d’adresses IP introuvables dans une liste d’adresses IP bloquées d’un fournisseur de listes d’adresses IP bloquées   

    Il peut arriver que vous receviez une grande quantité de messages indésirables d’une source qui n’a pas encore été identifiée par un service de liste rouge en temps réel auquel vous êtes abonné.

Fournisseurs de listes d’adresses IP bloquées

Les services fournisseurs de listes d’adresses IP bloquées peuvent vous aider à réduire le nombre de messages électroniques indésirables entrant dans votre organisation.

RemarqueRemarque :
Les services fournisseurs de listes d’adresses IP bloquées sont fréquemment appelés services de liste rouge en temps réel. La console de gestion Exchange (EMC) fait référence aux services de liste rouge en temps réel en tant que services de fournisseur d’adresses IP bloquées. Les termes services de liste rouge en temps réel et fournisseur de liste d’adresses IP bloquées sont équivalents.

Les services fournisseurs de listes d’adresses IP bloquées compilent des listes d’adresses IP à partir desquelles des courriers indésirables ont été envoyés par le passé. En outre, certains fournisseurs de listes d’adresses IP bloquées fournissent des listes d’adresses IP en relation avec lesquelles le serveur SMTP est configuré pour un relais ouvert. Il existe également des services fournisseurs de listes d’adresses IP bloquées qui fournissent des listes d’adresses IP prenant en charge l’accès à distance. Les fournisseurs d’accès à Internet (FAI) offrant des services d’accès à distance à leurs clients attribuent des adresses IP dynamiques pour chaque session d’accès à distance. Certains FAI bloquent le trafic SMTP en provenance de comptes d’accès à distance. Ces FAI et les plages d’adresses IP d’accès à distance de surveillance ne sont généralement pas ajoutés aux listes d’adresses IP bloquées. Toutefois, certains FAI autorisent les clients à envoyer du trafic SMTP à partir de comptes d’accès à distance. Des utilisateurs malveillants profitent des FAI autorisant le trafic SMTP pour envoyer des courriers indésirables aux adresses IP attribuées de façon dynamique. Lorsque l’adresse IP est placée sur une liste d’adresses IP bloquées, les utilisateurs malveillants démarrent une autre session d’accès à distance et reçoivent une nouvelle adresse IP. Souvent, un seul fournisseur de listes d’adresses IP bloquées peut fournir une liste d’adresses IP couvrant toutes ces menaces de courrier indésirable.

Vous pouvez paramétrer plusieurs configurations de fournisseur de listes d’adresses IP bloquées à l’aide de la console de gestion Exchange ou de l’environnement de ligne de commande Exchange Management Shell. Chaque service requiert une configuration de fournisseur de listes d’adresses IP bloquées distincte dans la console de gestion Exchange ou l’environnement de ligne de commande Exchange Management Shell.

Lorsque vous configurez l’agent de filtrage des connexions pour utiliser une liste d’adresses IP bloquées, il interroge le service fournisseur de listes d’adresses IP bloquées pour déterminer s’il existe une correspondance avec les adresses IP de connexion avant d’accepter le message dans l’organisation.

Avant que l’agent de filtrage des connexions ne contacte le fournisseur de listes d’adresses IP bloquées pour vérifier une adresse IP, l’adresse IP est d’abord comparée avec la liste d’adresses IP autorisées et la liste d’adresses IP bloquées définies par l’administrateur. Si l’adresse IP ne figure pas dans la liste d’adresses IP autorisées ni dans la liste d’adresses IP bloquées définies par l’administrateur, l’agent de filtrage des connexions interroge les services fournisseurs de listes d’adresses IP bloquées en fonction du niveau de priorité attribué à chaque fournisseur. Si l’adresse IP figure dans la liste d’adresses IP bloquées d’un fournisseur de listes d’adresses IP bloquées, le serveur de transport Edge attend et analyse l’en-tête RCPT TO, répond au système émetteur avec une erreur SMTP 550 et ferme la connexion. Si l’adresse IP ne figure pas dans les listes d’adresses IP bloquées des fournisseurs de listes d’adresses IP bloquées, l’agent suivant dans la chaîne de blocage du courrier indésirable traite la connexion. Pour plus d’informations sur l’ordre dans lequel les agents de blocage du courrier indésirable et des virus par défaut filtrent les messages entrants en provenance d’Internet, consultez la rubrique Présentation de la fonction de blocage du courrier indésirable et des virus.

Lorsque vous utilisez l’agent de filtrage des connexions, il est recommandé d’utiliser un ou plusieurs fournisseurs de listes d’adresses IP bloquées pour gérer l’accès à votre organisation. L’utilisation d’une liste d’adresses IP bloquées définie par l’administrateur pour gérer votre propre liste d’adresses IP bloquées nécessite du temps et peut être impossible à mettre en œuvre, du point de vue des ressources humaines, dans la plupart des organisations. Par conséquent, nous vous conseillons d’utiliser un service fournisseur de listes d’adresses IP bloquées externe à seule fin de gérer les listes d’adresses IP bloquées.

L’utilisation d’un fournisseur de listes d’adresses IP bloquées peut toutefois présenter certains inconvénients. L’agent de filtrage des connexions devant interroger une entité externe pour chaque adresse IP inconnue, les pannes ou délais du service fournisseur de listes d’adresses IP bloquées peuvent occasionner des retards dans le traitement des messages sur le serveur de transport Edge. Dans les cas extrêmes, ces pannes ou délais peuvent créer un goulot d’étranglement dans la transmission des messages électroniques sur le serveur de transport Edge.

Le fait que les expéditeurs légitimes soient parfois ajoutés par erreur aux listes d’adresses IP bloquées de fournisseurs de listes d’adresses IP bloquées constitue un autre inconvénient. Par exemple, il peut arriver que des expéditeurs légitimes soient ajoutés aux listes d’adresses IP bloquées gérées par un fournisseur de listes d’adresses IP bloquées parce que le serveur SMTP a été involontairement configuré pour agir comme un relais ouvert.

Pour chaque service fournisseur de listes d’adresses IP bloquées que vous configurez, vous pouvez personnaliser l’erreur SMTP 550 renvoyée à l’expéditeur si l’adresse IP de ce dernier figure dans une liste d’adresses IP bloquées et est, par conséquent, bloquée par l’Agent de filtrage des connexions. Il est recommandé de personnaliser l’erreur SMTP 550 afin d’indiquer le service fournisseur de listes d’adresses IP bloquées qui identifie l’adresse de l’expéditeur comme adresse IP bloquée. Cela permet aux expéditeurs légitimes de contacter le service fournisseur de listes d’adresses IP bloquées pour demander à être supprimés de la liste d’adresses IP bloquées du service fournisseur de cette liste.

Divers services fournisseurs de listes d’adresses IP bloquées peuvent renvoyer des codes différents lorsque l’adresse IP d’un serveur distant qui envoie un message correspond à une adresse IP figurant dans une liste d’adresses IP bloquées d’un service fournisseur de listes d’adresses IP bloquées. La plupart des services fournisseurs de listes d’adresses IP bloquées renvoient l’un des types de données suivants : À l’intérieur de ces types de données, il peut y avoir plusieurs valeurs indiquant le type de liste sur laquelle figure l’adresse IP soumise.

Exemple de masque de bits

Cette section présente un exemple de codes d’état retournés par la plupart des fournisseurs de listes bloquées. Pour plus d’informations sur les codes d’état qu’un fournisseur renvoie, consultez la documentation de ce fournisseur.

Pour les données de type masque de bits, le service fournisseur de listes d’adresses IP bloquées retourne le code d’état 127.0.0.x, où le nombre entier x est l’une des valeurs indiquées dans le tableau suivant.

Valeurs et codes d'état pour les données de type masque de bits

Valeur Code d'état

1

L'adresse IP figure dans une liste d'adresses IP bloquées.

2

Le serveur SMTP est configuré pour agir comme un relais ouvert.

4

L’adresse IP prend en charge une adresse IP d’appel.

Pour les types de valeur absolue, le service fournisseur de listes d’adresses IP bloquées retourne des réponses explicites basées sur la cause du blocage de l’adresse IP. Le tableau suivant présente des exemples de valeurs absolues et les réponses explicites.

Valeurs et codes d’état pour les données de type valeur absolue

Valeur Réponse explicite

127.0.0.2

L'adresse IP est une source de courrier indésirable direct.

127.0.0.4

L'adresse IP est un expéditeur de courrier non sollicité.

127.0.0.5

Le serveur distant qui expédie le message est connu pour prendre en charge des relais ouverts multiniveau.

Fournisseurs de listes d’adresses IP autorisées

Vous pouvez également gérer les messages entrants en utilisant des services fournisseurs de listes d’adresses IP autorisées qui fournissent des listes d’adresses IP autorisées. Les listes d’adresses IP autorisées sont parfois appelées « listes fiables d’IP » ou « listes blanches » par d’autres acteurs de l’industrie du logiciel. Les fournisseurs de listes d’adresses IP autorisées gèrent des listes d’adresses IP connues pour n’avoir aucun lien avec des activités d’envoi de courrier indésirable. Quand un fournisseur de listes d’adresses IP autorisées retourne un résultat d’adresse IP autorisée, ce qui indique que l’adresse IP est probablement l’adresse d’un expéditeur digne de confiance ou « fiable », l’agent de filtrage des connexions relaie le message vers l’agent suivant dans la chaîne de blocage du courrier indésirable.

Retour au début

Configuration du filtrage des connexions pour les serveurs de transport Edge qui ne sont pas le premier point d’entrée SMTP

Dans certaines organisations, le rôle serveur de transport Edge est installé sur des ordinateurs qui ne traitent pas les demandes SMTP directement sur Internet. Dans ce scénario, le serveur de transport Edge se trouve derrière un autre serveur SMTP frontal qui traite les messages entrants directement sur Internet. Dans ce scénario, l’Agent de filtrage des connexions doit pouvoir extraire du message l’adresse IP d’origine correcte. Pour extraire et évaluer l’adresse IP d’origine, l’Agent de filtrage des connexions doit analyser les en-têtes Reçu du message et les comparer au serveur SMTP connu dans le réseau de périmètre.

Quand un serveur SMTP compatible RFC reçoit un message, il met à jour l’en-tête Reçu du message en utilisant le nom de domaine et l’adresse IP de l’expéditeur. C’est pourquoi, pour chaque serveur SMTP situé entre l’expéditeur d’origine et le serveur de transport Edge, le serveur SMTP ajoute une entrée d’en-tête Reçu.

Lorsque vous configurez votre réseau de périmètre pour prendre en charge Exchange 2010, vous devez spécifier toutes les adresses IP des serveurs SMTP figurant dans votre réseau de périmètre. Les données d’adresse IP sont répliquées sur les serveurs de transport Edge par EdgeSync. Lorsque des messages sont reçus par l’ordinateur qui exécute l’Agent de filtrage des connexions, l’adresse IP dans l’en-tête Reçu qui ne correspond pas à une adresse IP de serveur SMTP dans votre réseau de périmètre est supposée être l’adresse IP d’origine.

Vous devez spécifier tous les serveurs internes SMTP sur l’objet de configuration de transport dans la forêt Active Directory avant d’exécuter le filtrage des connexions. Spécifiez les serveurs SMTP internes en utilisant le paramètre InternalSMTPServers sur la cmdlet Set-TransportConfig.

Retour au début

Test des fonctionnalités de liste d’adresses IP bloquées et de liste d’adresses IP autorisées

Après avoir configuré un service fournisseur de listes d’adresses IP bloquées ou de listes d’adresses IP autorisées, vous devez effectuer un test pour vous assurer que le filtrage des connexions est correctement configuré pour ce service. La plupart des services fournisseurs de listes d’adresses IP bloquées ou de listes d’adresses IP autorisées proposent des adresses IP de test que vous pouvez utiliser pour les tester. Lorsque vous testez un service fournisseur de listes d’adresses IP bloquées ou de listes d’adresses IP autorisées, l’Agent de filtrage des connexions émet une requête DNS (Domaine Name System) basée sur l’adresse IP de liste rouge en temps réel qui doit donner une réponse spécifique. Pour plus d’informations sur la manière de tester des adresses IP en relation avec un service fournisseur de listes d’adresses IP bloquées ou de listes d’adresses IP autorisées, consultez les rubriques Test-IPAllowListProvider et Test-IPBlockListProvider.

Retour au début

 © 2010 Microsoft Corporation. Tous droits réservés.