Filtre Anti-Spam Office 365 : Configuration et Installation

Au minimum, les e-mails indésirables sont une nuisance. Cependant, ces messages non sollicités représentent également une menace réelle lorsqu’ils contiennent des pièces jointes malveillantes ou des logiciels malveillants. Heureusement, les organisations utilisant Microsoft 365 peuvent protéger leurs boîtes aux lettres en séparant automatiquement les e-mails indésirables des communications légitimes.

La Protection en ligne contre les menaces (EOP) est l’outil de sécurité principal des abonnements Microsoft 365. Les administrateurs de sécurité utilisent EOP pour créer des politiques et des filtres contre les logiciels malveillants, le spam et autres menaces par e-mail. Notez qu’auparavant, les administrateurs pouvaient accéder à EOP depuis le centre d’administration Exchange. Aujourd’hui, EOP fait partie du portail Microsoft 365 Defender pour une protection et un contrôle avancés, et vous pouvez obtenir EOP en tant que partie d’Exchange Online ou en tant que service autonome.

Ce blog explique comment fonctionne le filtrage des e-mails Office 365 et détaille les technologies incluses dans EOP. Continuez à lire pour apprendre comment configurer correctement vos politiques de filtre anti-spam entrant et sortant dans EOP.

Comment fonctionne le filtre anti-spam?

Le filtrage anti-spam de Microsoft avec la Protection en ligne contre les menaces (EOP) repose sur les menaces de spam et de phishing précédemment identifiées ainsi que sur les retours d’expérience des utilisateurs collectés depuis Outlook.com pour détecter les e-mails indésirables. Les e-mails indésirables identifiés sont automatiquement classés et séparés des messages légitimes entrants. Le filtre anti-spam O365 empêche les boîtes aux lettres de se remplir d’e-mails inutiles et garantit une communication fluide à l’intérieur et à l’extérieur du réseau d’une organisation.

Les technologies ci-dessous composent les paramètres anti-spam dans EOP:

• Filtrage des messages indésirables (contenu): Vous pouvez configurer des stratégies anti-spam dans EOP de manière à ce que les messages entrants soient classés en fonction des décisions suivantes :
  • Spam
  • Spam à haute confiance
  • Courrier en masse
  • Courriel de phishing
  • Courriel de phishing à haute confiance

La stratégie anti-spam vous permet de définir les actions pour chaque décision et de configurer les paramètres de notification correspondants.

• Filtrage des messages indésirables sortants: Vous pouvez également configurer le filtrage des messages indésirables sortants dans EOP pour empêcher les utilisateurs de votre organisation de diffuser des messages indésirables de manière intentionnelle ou non en limitant les messages sortants et en surveillant le spam dans le contenu.
• Filtrage des connexions: Vous pouvez configurer un filtrage basé sur les adresses IP pour identifier les sources de courrier électronique bonnes et mauvaises dans une connexion de courrier électronique entrante. Spécifiez les adresses IP ou les plages pour la liste autorisée IP et la liste bloquée IP et bénéficiez de la liste de sécurité gérée par Microsoft.
• Spoof intelligence: Pour la protection contre les attaques de spoofing, configurez les politiques anti-hameçonnage dans EOP. D’autres méthodes anti-spoofing dans EOP comprennent l’authentification des e-mails et les insights sur la spoof intelligence.

Comment configurer la politique de filtrage des pourriels Office 365

Dans les environnements Microsoft 365, une politique anti-pourriel comprend deux éléments à configurer:

• Politique de filtrage des pourriels: Définit les actions et les options de notification liées aux verdicts de filtrage des pourriels.
• Règle de filtrage des pourriels: Se réfère à la priorité de la politique de filtrage des pourriels en plus des destinataires auxquels la politique s’applique.

Note: Lorsque vous créez une nouvelle politique anti-pourriel, vous créez une règle de filtrage des pourriels et la politique de filtrage des pourriels associée. Si vous supprimez une politique, les deux éléments sont également supprimés.

Les organisations qui utilisent Microsoft 365 ont une politique anti-pourriel intégrée Défaut qui peut être consultée et modifiée à partir du portail Microsoft 365 Defender. Cette politique a la valeur de priorité la plus basse et n’offre pas une protection efficace contre les pourriels.

Pour cette raison, Microsoft recommande aux administrateurs de sécurité de configurer leurs paramètres de filtrage des pourriels personnalisés en fonction des besoins de leurs environnements. Pour simplifier la configuration, le portail Microsoft 365 Defender fournit deux niveaux de sécurité intégrés, Standard et Strict, chacun avec ses paramètres prédéfinis détaillés ci-dessous.

Création de la politique d’anti-spam entrant dans Microsoft 365 Defender

Vous pouvez créer une politique d’anti-spam entrant personnalisée et la règle de filtre anti-spam correspondante en suivant les étapes ci-dessous:

1. Accédez à la page Anti-spam policies en entrant https://security.microsoft.com/antispam dans votre navigateur.

Note: Vous pouvez également accéder à la page des politiques d’anti-spam en utilisant https://security.microsoft.com, puis en cliquant sur Email & Collaboration > Policies & Rules > Threat policies > Anti-spam sous Policies.

2. Cliquez sur + Create policy et choisissez Inbound dans la liste déroulante.

3. La première page du programme d’installation de la création de la politique est la Name your policy page. Définissez les paramètres suivants:

• Name: Ajoutez un nom descriptif et unique pour votre politique.
  • Description: Entrez une description appropriée (facultatif).

Cliquez sur Next pour continuer.

4. Sur la page Users, groups, and domains, ajoutez les destinataires internes affectés par la politique de filtre anti-spam:

• Users: utilisateurs de messagerie, contacts ou boîtes aux lettres au sein de votre organisation
• Groupes: Groupes Microsoft 365, groupes de sécurité mél-activés ou groupes de distribution
• Domaines: destinataires dans les domaines acceptés de votre entreprise

Tapez une valeur dans chaque case et sélectionnez celle dont vous avez besoin parmi les résultats affichés. Vous pouvez supprimer une valeur en cliquant sur x à côté. Vous pouvez également sélectionner la case à côté de Exclure ces utilisateurs, groupes et domaines pour ajouter des destinataires à exclure de la politique que vous créez.

Remarque: Ajoutez un astérisque (*) dans n’importe quelle case pour afficher toutes les valeurs disponibles.

Cliquez sur Suivant pour continuer.

5. La troisième page est Seuil de courrier en masse & propriétés de spam. Configurez les paramètres suivants:

• Seuil de courrier en masse: Définissez le Niveau de plainte en masse (BCL) des messages pouvant déclencher une action pour le verdict de filtrage anti-spam En masse. Plus le nombre est élevé, plus les emails en masse passeront à votre boîte de réception et vice versa. Vous pouvez configurer cette valeur comme vous le souhaitez; cependant, Microsoft a les paramètres prédéfinis ci-dessous:

• Augmenter le score de spam et Marquer comme spam: Partie des paramètres du Filtre Anti-spam Avancé (ASF), cette option est désactivée par défaut.
• Contient des langues spécifiques: Cela est désactivé par défaut. Lorsque vous sélectionnez Activé dans le menu déroulant, une boîte apparaît et vous pouvez ajouter la langue de messagerie que vous considérez comme du spam.
• Originaires de ces pays: Cela est également désactivé par défaut. Si vous souhaitez définir les e-mails comme spam provenant de pays spécifiques, il suffit de choisir Activé dans le menu déroulant et d’ajouter les pays.
• Mode test: Également partie du paramétrage de l’ASF, cette option est désactivée par défaut.

Note: L’ASF est une méthode plus agressive pour filtrer les e-mails indésirables. Microsoft recommande de conserver les valeurs par défaut Désactivé, car vous pouvez obtenir un grand nombre de faux positifs qui ne peuvent pas être signalés comme tels avec le paramétrage de l’ASF activé.

Cliquez sur Suivant pour continuer vers l’étape suivante.

6. La page Actions est l’endroit où vous choisissez ce qui arrive aux messages en fonction des verdicts de filtrage anti-spam qu’ils reçoivent. Avant de configurer les paramètres ici, il est important de comprendre ce que chaque action signifie :

• Déplacer le message vers le dossier Courrier indésirable : L’e-mail est livré à la boîte aux lettres puis déplacé vers le dossier de courrier indésirable.
• Ajouter un en-tête X : Cela ajoute un en-tête X au message avant qu’il ne soit livré à la boîte aux lettres. Vous pouvez choisir le nom du champ de l’en-tête X dans la case Ajouter ce texte d’en-tête X.
• Préfixer la ligne de sujet avec du texte : L’e-mail est livré à la boîte aux lettres puis déplacé vers le dossier Courrier indésirable, mais vous pouvez ajouter un texte au début de la ligne de sujet. Entrez le texte dans la case Préfixer la ligne de sujet avec ce texte.
• Rediriger le message vers une adresse e-mail : Cela transfère l’e-mail à d’autres destinataires au lieu de l’utilisateur prévu. Vous pouvez spécifier le(s) nouvel(s) destinataire(s) dans la case Rediriger vers cette adresse e-mail.
• Supprimer le message : L’e-mail et toutes ses pièces jointes sont supprimés automatiquement.
• Mettre en quarantaine le message : Le message est envoyé en quarantaine. Vous pouvez choisir combien de temps l’e-mail doit rester là en utilisant la case Conserver le spam en quarantaine pendant autant de jours. Lorsque vous sélectionnez cette action, vous devriez également définir la politique de quarantaine dans la case Sélectionner la politique de quarantaine qui apparaît.
• Aucune action : Comme son nom l’indique, aucune action n’est prise et le message est livré normalement.

• Conseils de sécurité: Les conseils sont activés par défaut. Vous pouvez les désactiver en désélectionnant la case à cocher.
• Purge automatique à l’heure zéro (PAHZ): La PAHZ trouve et agit sur les e-mails envoyés aux boîtes aux lettres Exchange Online. Cette fonctionnalité et ses paramètres correspondants sont activés par défaut.

Cliquez sur Suivant pour continuer.

7. La page Liste d’autorisation et de blocage vous permet de spécifier les adresses e-mail ou domaines pouvant contourner le filtrage anti-spam. De plus, vous pouvez ajouter des expéditeurs et des domaines bloqués. Configurez les listes ici en suivant les étapes ci-dessous :

• Autorisé:
  • Pour gérer les Expéditeurs, cliquez sur Gérer (n) expéditeur(s). Sélectionnez +Ajouter des expéditeurs dans la fenêtre contextuelle qui apparaît et ajoutez l’adresse e-mail de l’expéditeur. Enfin, cliquez sur Ajouter des expéditeurs.
  • Cliquez sur Autoriser les domaines pour personnaliser les domaines. Dans l’onglet nouvellement ouvert, choisissez +Ajouter des domaines, puis saisissez le domaine. Une fois terminé, cliquez sur Ajouter des domaines.

• Bloqué: Le processus d’ajout d’expéditeurs et/ou de domaines bloqués est essentiellement le même que celui décrit ci-dessus.

Cliquez sur Suivant pour continuer.

8. Sur la page Examen, vous pouvez passer en revue tous les paramètres que vous avez choisis. Vous pouvez soit Modifier une section spécifique, soit simplement cliquer sur Retour pour revenir aux pages précédentes. Enfin, sélectionnez Créer puis cliquez sur Terminé sur la page de confirmation.

Création de la stratégie anti-spam sortante dans Microsoft 365 Defender

Que ce soit intentionnellement ou accidentellement, si un utilisateur de votre organisation envoie des e-mails indésirables, EOP dispose de contrôles pour le spam sortant afin de protéger les destinataires :

• Ségrégation du trafic e-mail sortant : EOP analyse chaque message sortant. Lorsqu’un e-mail est identifié comme du spam, il est envoyé depuis un pool d’adresses IP secondaire moins réputé, connu sous le nom de pool de livraison à haut risque.
• Désactivation des comptes qui envoient trop de spam ou trop d’e-mails dans un laps de temps court : Tous les comptes sont surveillés afin de ne pas dépasser une limite d’e-mails spécifique. Lorsque ce seuil est atteint, le compte est désactivé.
• Surveillance de la réputation de l’adresse IP source : Microsoft 365 analyse de nombreuses listes de blocage d’adresses IP tierces et génère une alerte si votre organisation utilise une adresse IP trouvée dans l’une de ces listes.

Maintenant que vous savez comment EOP contrôle le spam sortant, vous pouvez créer des stratégies anti-spam sortantes personnalisées :

1. Accédez à la page des politiques anti-spam en entrant https://security.microsoft.com/antispam dans votre navigateur.

Note: Vous pouvez également accéder à la page des politiques anti-pourriel en utilisant https://security.microsoft.com, puis en cliquant sur Email & Collaboration > Policies & Rules > Threat policies > Anti-spam sous Policies.

2. Cliquez sur + Create policy et choisissez Outbound dans la liste déroulante.

3. La première page du mode d’emploi de la création de la politique est la Name your policy page. Définissez les paramètres suivants :

• Name: Ajoutez un nom descriptif et unique pour votre politique.
• Description: Entrez une description appropriée (facultatif).

Cliquez sur Next une fois que vous avez terminé.

4. Ceci est la page Users, groups, and domains où vous devez ajouter les destinataires internes affectés par la politique de filtrage anti-pourriel sortant :

• Users: Ce sont les utilisateurs de messagerie, les contacts ou les boîtes aux lettres au sein de votre organisation.
• Groups: Groupes Microsoft 365, groupes de sécurité compatibles messagerie ou groupes de distribution.
• Domains: Cela inclura tous les destinataires sous les domaines acceptés dans votre entreprise.

Saisissez une valeur dans chaque case et sélectionnez celle dont vous avez besoin parmi les résultats affichés. Vous pouvez supprimer une valeur en cliquant sur X à côté. Vous pouvez également sélectionner la case à cocher à côté de Exclure ces utilisateurs, groupes et domaines pour ajouter des destinataires qui sont des exceptions à la politique que vous créez.

Remarque: Ajoutez un astérisque (*) dans n’importe quelle case pour afficher toutes les valeurs disponibles.

Cliquez sur Suivant pour continuer.

5. Sur la page Paramètres de protection, configurez les paramètres suivants:

• Limites de message: Personnalisez les limites des e-mails sortants dans les boîtes aux lettres Exchange Online. Saisissez la valeur ou utilisez les flèches dans chacune des cases décrites ci-dessous. La valeur peut varier de 0 (par défaut) à 10 000.
  • Définir une limite de message externe fait référence au nombre maximum de destinataires externes en une heure.
  • Définir une limite de message interne est le nombre maximum de destinataires internes en une heure.
  • Définir une limite de message quotidienne est le nombre maximum de tous les destinataires (externes et internes) par jour.
• Restriction placée sur les utilisateurs qui atteignent la limite de messages: Définissez l’action à prendre si un utilisateur dépasse les limites de messages que vous avez précédemment définies.
  • Restreindre l’utilisateur à l’envoi de courrier jusqu’au lendemain: Les utilisateurs seront interdits d’envoyer des messages supplémentaires pendant 24 heures. Les administrateurs de sécurité ne peuvent pas lever cette restriction. Des notifications sont envoyées à l’utilisateur bloqué et aux administrateurs.
  • Restreindre l’utilisateur à l’envoi de courrier: Avec cette option, les utilisateurs seront ajoutés à la liste des Utilisateurs restreints. Ils ne pourront pas envoyer de messages tant qu’un administrateur ne les aura pas retirés manuellement de la liste.
  • Aucune action, alerte uniquement: Les utilisateurs ne sont pas restreints mais des notifications sont envoyées.
• Règles de transfert: Gérez le transfert automatique des e-mails en choisissant l’une des options dans la liste déroulante :
• Automatique – Contrôlé par le système: Par défaut, le spam sortant est filtré pour contrôler le transfert externe des e-mails.
• Désactivé – La redirection est désactivée: La redirection automatique des e-mails externes est désactivée.
  • Activé – La redirection est activée: La redirection automatique des e-mails externes est activée.
• Notifications: Spécifiez les utilisateurs supplémentaires qui recevront des notifications concernant les e-mails indésirables sortants :
  • Envoyer une copie des e-mails suspects sortants dépassant ces limites à ces utilisateurs et groupes: Activez ce paramètre en sélectionnant la case à cocher à côté. Une fois terminé, un champ de texte apparaîtra dans lequel vous pourrez ajouter les adresses e-mail des destinataires à inclure dans le champ Bcc des messages suspects.
  • Informer ces utilisateurs et groupes si un expéditeur est bloqué en raison de l’envoi de spams sortants: Lorsque vous sélectionnez cette case à cocher, vous pouvez ajouter les adresses e-mail des destinataires que vous souhaitez informer en cas de blocage d’un utilisateur pour l’envoi de messages indésirables.

Cliquez sur Suivant pour continuer.

6. Sur la page de Revue, vous pouvez passer en revue tous les paramètres que vous avez choisis. Vous pouvez soit Modifier une section spécifique, soit simplement cliquer sur Retour pour revenir aux pages précédentes. Enfin, sélectionnez Créer et cliquez sur Terminé sur la page de confirmation.

Comment configurer le filtrage de connexion

Le filtrage de connexion dans EOP est utilisé pour identifier les serveurs de messagerie électronique bons et mauvais via leurs adresses IP. Dans Microsoft 365 Defender, les stratégies anti-spam comprennent une stratégie de filtrage de connexion par défaut qui aide à réduire le nombre de messages indésirables qui atterrissent dans votre boîte aux lettres en les bloquant à la source.

La stratégie de filtrage de connexion par défaut comprend trois composants principaux :

• Liste d’adresses IP autorisées : En ajoutant des serveurs de messagerie électronique source à cette liste, tous les messages entrants de ces serveurs ne passent pas par le filtrage de spam et sont livrés directement à la boîte aux lettres. Vous pouvez spécifier des serveurs en utilisant des adresses IP ou des plages d’adresses IP.
• Liste d’adresses IP bloquées : En ajoutant des serveurs de messagerie électronique source à cette liste, tous les messages entrants de ces serveurs sont automatiquement bloqués et rejetés. Vous pouvez ajouter des serveurs en utilisant des adresses IP ou des plages d’adresses IP.
• Liste de sécurité : Il s’agit d’une « liste d’adresses autorisées » gérée par Microsoft et que vous ne pouvez pas modifier vous-même. Tous les messages entrants des serveurs de messagerie électronique source trouvés ici contournent le filtrage de spam. Il est important de noter que vous pouvez désactiver cette liste si nécessaire.

Modification de la stratégie de filtrage de connexion par défaut dans Microsoft 365 Defender

Bien qu’il ne soit pas possible de créer une nouvelle politique de filtrage des connexions, vous pouvez configurer celle par défaut en suivant les étapes ci-dessous:

1. Accédez à la page Politiques anti-spam en entrant https://security.microsoft.com/antispam dans votre navigateur.

Remarque: Vous pouvez également accéder à la page des politiques anti-spam en utilisant https://security.microsoft.com, puis en cliquant sur Email & Collaboration > Politiques & Règles > Politiques de menaces > Anti-spam sous Politiques.

2. Cliquez sur Politique de filtrage des connexions (Par défaut).

3. Dans cette fenêtre contextuelle, vous pouvez configurer les paramètres ci-dessous pour bloquer les expéditeurs dans Office 365:

• Description: Cliquez sur Modifier la description pour ajouter un texte descriptif facultatif pour la politique. Appuyez sur Enregistrer une fois que vous avez terminé.

• Filtrage des connexions : Cliquez sur Modifier la politique de filtrage des connexions pour personnaliser les paramètres suivants :
  • Autoriser toujours les messages provenant des adresses IP ou plages d’adresses suivantes : C’est là que vous pouvez ajouter une adresse IP unique, une plage d’adresses IP ou une adresse IP CIDR à la liste d’autorisation des IP.
  • Bloquer toujours les messages provenant des adresses IP ou plages d’adresses suivantes : C’est là que vous pouvez ajouter une adresse IP unique, une plage d’adresses IP ou une adresse IP CIDR à la liste de blocage des IP.
  • Activer la liste de sécurité : Activez la liste de sécurité en sélectionnant la case à cocher ou laissez-la désactivée (par défaut).

Cliquez sur Enregistrer une fois que vous avez terminé.

Comment supprimer des politiques anti-pourriel personnalisées

Bien que vous ne puissiez pas supprimer une politique par défaut, vous pouvez facilement supprimer une politique anti-pourriel personnalisée en suivant ces étapes :

1. Accédez à la page Politiques anti-pourriel en saisissant https://security.microsoft.com/antispam dans votre navigateur.

Note: Vous pouvez également accéder à la page des politiques anti-pourriel en utilisant https://security.microsoft.com, puis en cliquant sur Email & Collaboration > Policies & Rules > Threat policies > Anti-spam sous Policies.

2. Cliquez sur la politique que vous souhaitez supprimer.
3. Dans l’éventail, sélectionnez Delete policy, puis cliquez sur Yes dans la fenêtre contextuelle de confirmation qui apparaît.

Note: Lorsque vous supprimez une politique anti-pourriel personnalisée, la règle anti-pourriel correspondante est également supprimée.

Gestion des erreurs de filtrage des pourriels

Puisqu’aucun système n’est parfait, de bons courriels peuvent parfois être définis comme du pourriel (faux positif) et, en même temps, certains messages de pourriel peuvent passer à travers la politique de filtrage et atteindre votre boîte de réception (faux négatif). Vous pouvez mettre en œuvre les meilleures pratiques de filtrage des pourriels Office 365 pour réduire autant que possible ces occurrences :

• Assurez-vous d’avoir les paramètres de courrier en masse appropriés: Vérifiez que le niveau de plainte en masse (BCL) que vous avez précédemment défini dans vos politiques anti-pourriel personnalisées convient à votre organisation. Vous pouvez ajuster le BCL en fonction du nombre de courriels en masse que vous envoyez et recevez.
• Examinez les en-têtes de message anti-pourriel: Ils peuvent vous aider à comprendre pourquoi un courriel a été faussement marqué comme du pourriel ou a échappé au filtrage sans être remarqué.
• Implémenter l’authentification des e-mails: Si vous possédez votre propre domaine e-mail, vous pouvez configurer votre DNS pour aider à prévenir le spam et la falsification. Essayez d’utiliser toutes les méthodes d’authentification disponibles (SPF, DKIM et DMARC) pour obtenir les meilleurs résultats.
• Indiquer votre enregistrement MX vers Microsoft 365: Microsoft recommande que vous devriez avoir vos messages livrés à Microsoft 365 en premier lieu pour garantir une protection optimale avec EOP.

Conclusion

Si elle n’est pas contrôlée, le spam peut facilement devenir une menace pour la continuité des activités. C’est pourquoi Microsoft a fait en sorte de fournir à ses utilisateurs des outils de filtrage des pourriels avancés via Exchange Online Protection (EOP). Vous savez maintenant comment créer et configurer des politiques anti-spam pour votre organisation et limiter la quantité de spam qui atteint vos boîtes aux lettres.

Bien que le filtrage des pourriels fasse un excellent travail pour protéger les boîtes aux lettres contre les e-mails indésirables, des attaques sophistiquées telles que l’hameçonnage et le ransomware nécessitent des mesures de sécurité supplémentaires. Vous pouvez garantir une protection optimale pour tout votre environnement Office 365 en ayant une solution de sauvegarde globale. NAKIVO Backup & Replication fournit des sauvegardes Exchange Online en plus de la récupération instantanée des données et de la protection contre les ransomwares.

A complete data protection solution like NAKIVO Backup & Replication includes all the tools you need to protect Microsoft 365 user data. Get the Free Edition today!