Anti-spam Exchange 2007

Ce billet est l’occasion de présenter le fonctionnement de la protection Anti-spam incluse dans Exchange 2007.
Ainsi ce billet se veut être le plus synthétique possible afin de bien faire comprendre les différents niveaux de filtrage.

 

clip_image002

 

  • Le premier niveau de protection « Filtrage de connexion » est un filtrage basé sur l’adresse IP de l’émetteur. Microsoft dispose d’une base de données actualisée en permanence, contenant la liste des spammeurs à travers le monde « Block List».
    Cette liste alimente la fonctionnalité « Réputation de l’expéditeur » qui en fonction des réglages ajoute ou non temporairement l’expéditeur dans la « liste rouge IP ».
    La connexion est alors coupée et le message rejeté.
    Remarque : Il est possible de définir manuellement des adresses IP supplémentaires dans la liste « Liste Rouge IP ou bien d’ajouter des exceptions en spécifiant l’adresse IP de l’émetteur dans la « Liste Verte IP ».

 

  • Le deuxième niveau de protection « Filtrage des destinataires » est basé sur l’adresse e-mail du destinataire. Si le destinataire n’appartient pas à liste des utilisateurs de l’entreprise (liste d’adresses globale), la connexion est alors coupée et le message rejeté. Il est possible de proscrire manuellement des destinataires dans l’onglet « Filtrage des destinataires ».
    La connexion est alors coupée et le message rejeté.

 

  • Le troisième niveau « Filtrage des expéditeurs» est basé sur l’adresse e-mail de l’expéditeur.
    La liste des expéditeurs proscrits se renseigne en ajoutant manuellement des adresses e-mail ou bien des domaines de messagerie. De plus, il est possible de rejeter les messages sans expéditeur. La connexion est alors coupée et le message rejeté.

 

  • Le quatrième niveau « Sender ID » (RFC 4407) permet de détecter l’usurpation d’adresse e-mail. La vérification s’effectue en comparant l’entrée DNS SPF (Sender Policy Framework) au sein des DNS publiques avec l'adresse IP du serveur SMTP émetteur. Cette entrée définie les adresses IP autorisées à envoyé des messages pour le domaine en question. En cas d'échec de vérification, il est possible de « Rejeter le message », « Supprimer le message » ou bien « Continuer le traitement en augmentant la note SCL »

 

  • Le cinquième et dernier niveau « Filtrage de contenu » est une analyse à base de signatures anti-spam complétée par une analyse heuristique (moteur de règles).

o Si un courrier correspond à un spam connu, celui-ci se voit attribuer la note SCL (Spam Confidence Level) maximum 9.

o Sinon, le message est confronté au moteur de règles SmartScreen/IMF (filtre de contenu) qui attribue une note SCL comprise entre 0 et 9.

1. Si le score SCL dépasse le seuil maximum toléré, le message est automatiquement rejeté/supprimé.

2. Si le score est borné entre le seuil minimum et maximum, le message est considéré étant probablement un courrier indésirable.
Il peut être alors redirigé dans un BAL administrateur, délivré en changeant le sujet, délivré en ajoutant un X-Header, ou bien redirigé dans le dossier « Courrier Indésirable » de la BAL utilisateur.

3. Si le score est inférieur à un seuil minimum, le message est considéré comme légitime et délivré dans la boite de réception utilisateur.