Configurer les paramètres du courrier indésirable dans les boîtes aux lettres Exchange Online

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online, les paramètres anti-courrier indésirable de l’organisation sont contrôlés par Exchange Online Protection (EOP). Pour plus d’informations, consultez Protection anti-courrier indésirable dans EOP.

Toutefois, il existe également des paramètres anti-courrier indésirable spécifiques que les administrateurs peuvent configurer sur des boîtes aux lettres individuelles dans Exchange Online :

  • Déplacer des messages vers le dossier Email de courrier indésirable en fonction des stratégies anti-courrier indésirable : lorsqu’une stratégie anti-courrier indésirable est configurée avec l’action Déplacer le message vers le dossier Email courrier indésirable pour un verdict de filtrage du courrier indésirable, le message est déplacé vers le dossier Email indésirable une fois le message remis à la boîte aux lettres. Pour plus d’informations sur les verdicts de filtrage du courrier indésirable dans les stratégies anti-courrier indésirable, consultez Configurer des stratégies anti-courrier indésirable dans EOP. De même, si le vidage automatique zéro heure (ZAP) détermine qu’un message remis est un courrier indésirable ou un hameçonnage, le message est déplacé vers le dossier Email indésirable pour les actions de filtrage du courrier indésirable Email dossier indésirable. Pour plus d’informations sur ZAP, consultez Purge automatique zero-hour (ZAP) dans Exchange Online.

  • Paramètres de courrier indésirable que les utilisateurs configurent eux-mêmes dans Outlook ou Outlook sur le web : la collection de listes approuvées est la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués sur chaque boîte aux lettres. Les entrées de ces listes déterminent si le message est déplacé vers la boîte de réception ou le dossier Email indésirable. Les utilisateurs peuvent configurer la collection de liste sécurisée pour leurs propres boîtes aux lettres dans Outlook ou Outlook sur le web (anciennement Outlook Web App). Les administrateurs peuvent configurer la collection safelist sur la boîte aux lettres de n’importe quel utilisateur.

EOP peut déplacer des messages vers le dossier Email indésirable en fonction de l’action de verdict de filtrage du courrier indésirable Déplacer le message vers le dossier Courrier indésirable Email ou la liste Expéditeurs bloqués de la boîte aux lettres, et empêcher les messages d’être remis au dossier Courrier indésirable Email (en fonction de la liste Expéditeurs approuvés sur la boîte aux lettres).

Les administrateurs peuvent utiliser Exchange Online PowerShell pour configurer des entrées dans la collection de listes approuvées sur les boîtes aux lettres (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués).

Remarque

Les messages des expéditeurs que les utilisateurs ont ajoutés à leurs propres listes d’expéditeurs approuvés ignorent le filtrage du contenu dans le cadre d’EOP (la liste de contrôle d’accès est -1). Pour empêcher les utilisateurs d’ajouter des entrées à leur liste d’expéditeurs approuvés dans Outlook, utilisez stratégie de groupe comme indiqué dans la section À propos des paramètres de courrier indésirable dans Outlook plus loin dans cet article. Le filtrage de stratégie, le filtrage de contenu et les vérifications Defender for Office 365 sont toujours appliqués aux messages.

EOP utilise son propre agent de remise de flux de messagerie pour acheminer les messages vers le dossier Email indésirable au lieu d’utiliser la règle de courrier indésirable dans la boîte aux lettres. Le paramètre Enabled de l’applet de commande Set-MailboxJunkEmailConfiguration n’a aucun effet sur le flux de messagerie pour les boîtes aux lettres Exchange Online. EOP achemine les messages en fonction des actions définies dans les stratégies anti-courrier indésirable. La liste des expéditeurs approuvés et la liste des expéditeurs bloqués de l’utilisateur continuent de fonctionner comme d’habitude.

Ce qu'il faut savoir avant de commencer

  • Vous pouvez uniquement utiliser Exchange Online PowerShell pour effectuer les procédures décrites dans cet article. Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Des autorisations doivent vous être attribuées dans Exchange Online avant de pouvoir effectuer les procédures décrites dans cet article. Plus précisément, vous avez besoin du rôle Destinataires de messagerie (qui est affecté aux groupes de rôles Gestion de l’organisation, Gestion des destinataires et Destinataires de courrier personnalisés par défaut) ou du rôle Options utilisateur (qui est affecté aux groupes de rôles Gestion de l’organisation et Support technique par défaut). Pour ajouter des utilisateurs à des groupes de rôles dans Exchange Online, consultez Modifier des groupes de rôles dans Exchange Online. Les utilisateurs disposant d’autorisations par défaut peuvent effectuer ces mêmes procédures sur leurs propres boîtes aux lettres, tant qu’ils ont accès à Exchange Online PowerShell.

  • Dans les environnements hybrides où EOP protège les boîtes aux lettres Exchange locales, vous devez configurer des règles de flux de courrier (également appelées règles de transport) dans Exchange local. Ces règles de flux de courrier traduisent le verdict de filtrage du courrier indésirable EOP afin que la règle de courrier indésirable dans la boîte aux lettres puisse déplacer le message vers le dossier Email indésirable. Pour plus d’informations, consultez Configurer EOP pour envoyer du courrier indésirable au dossier Email indésirables dans les environnements hybrides. Les règles de transport Exchange permettent de stocker une règle de flux de courrier dans le cloud.

    Conseil

    Une fois que la règle est stockée dans le cloud (une fois que vous l’avez créée manuellement dans Microsoft 365 pour correspondre à la règle dans Exchange), la règle est répliquée dans les environnements hybrides.

  • Les expéditeurs approuvés pour les boîtes aux lettres partagées ne sont pas synchronisés avec Microsoft Entra ID et EOP par défaut.

Utiliser Exchange Online PowerShell pour configurer la collection de listes sécurisées sur une boîte aux lettres

La collection de listes fiables d'une boîte aux lettres comprend la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste des expéditeurs bloqués. Par défaut, les utilisateurs peuvent configurer la collection safelist sur leurs propres boîtes aux lettres dans Outlook ou Outlook sur le web. Les administrateurs peuvent utiliser les paramètres correspondants de l’applet de commande Set-MailboxJunkEmailConfiguration pour configurer la collection safelist sur la boîte aux lettres d’un utilisateur. Ces paramètres sont décrits dans le tableau suivant :

Paramètre sur Set-MailboxJunkEmailConfiguration Options de Email indésirables dans Outlook Paramètres de courrier indésirable dans Outlook sur le web
BlockedSendersAndDomains Onglet Expéditeurs bloqués Section Expéditeurs et domaines bloqués
ContactsTrusted Onglet Expéditeurs> approuvés Également approuver les e-mails de mes contacts Filtre les sections Approuver l’e-mail> de mes contacts
TrustedListsOnly >Onglet OptionsListes sécurisé uniquement : seuls les messages provenant de personnes ou de domaines figurant dans votre liste d’expéditeurs approuvés ou liste de destinataires approuvés sont remis à votre boîte de réception >Section Filtresapprouver uniquement les e-mails provenant d’adresses dans ma liste d’expéditeurs et domaines approuvés et mes listes de diffusion sécurisées
TrustedSendersAndDomains* Onglet Expéditeurs approuvés Section Expéditeurs et domaines approuvés

* Vous ne pouvez pas modifier directement la liste des destinataires approuvés à l’aide de l’applet de commande Set-MailboxJunkEmailConfiguration (le paramètre TrustedRecipientsAndDomains ne fonctionne pas). Vous devez modifier la liste des expéditeurs approuvés qui est ensuite synchronisée avec la liste des destinataires approuvés.

Remarques :

  • Dans Exchange Online, le fait que les entrées de la liste des expéditeurs approuvés ou du paramètre TrustedSendersAndDomains fonctionnent ou ne fonctionnent pas dépend du verdict et de l’action dans la stratégie qui a identifié le message :
    • Déplacer les messages vers le dossier Email indésirables : les entrées de domaine et les entrées d’adresse e-mail de l’expéditeur sont respectées. Les messages de ces expéditeurs ne sont pas déplacés vers le dossier Email indésirables.
    • Quarantaine : les entrées de domaine ne sont pas respectées (les messages de ces expéditeurs sont mis en quarantaine). Email entrées d’adresse sont respectées (les messages de ces expéditeurs ne sont pas mis en quarantaine) si l’une des affirmations suivantes est vraie :
      • Le message n’est pas identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
      • L’adresse e-mail ne figure pas dans une entrée de bloc dans l’option Autoriser/Bloquer le locataire.
  • Dans EOP autonome avec synchronisation d’annuaires, les entrées de domaine ne sont pas synchronisées par défaut, mais vous pouvez activer la synchronisation pour les domaines. Pour plus d’informations, consultez Configurer le filtrage de contenu pour utiliser des données de domaine sécurisé : Aide d’Exchange 2013 | Microsoft Learn.

Pour configurer la collection de listes fiables sur une boîtes aux lettres, utilisez la syntaxe suivante :

Set-MailboxJunkEmailConfiguration <MailboxIdentity> -BlockedSendersAndDomains <EmailAddressesOrDomains | $null> -ContactsTrusted <$true | $false> -TrustedListsOnly <$true | $false> -TrustedSendersAndDomains  <EmailAddresses | $null>

Pour entrer plusieurs valeurs et remplacer les entrées existantes pour les paramètres BlockedSendersAndDomains et TrustedSendersAndDomains , utilisez la syntaxe suivante : "<Value1>","<Value2>".... Pour ajouter ou supprimer une ou plusieurs valeurs sans affecter d’autres entrées existantes, utilisez la syntaxe suivante : @{Add="<Value1>","<Value2>"... ; Remove="<Value3>","<Value4>...}

L’exemple suivant configure les paramètres suivants pour la collection de liste sécurisée sur la boîte aux lettres d’Ori Epstein :

  • Ajoutez la valeur shopping@fabrikam.com à la liste Expéditeurs bloqués.
  • Supprimez la valeur chris@fourthcoffee.com de la liste des expéditeurs approuvés et de la liste des destinataires approuvés.
  • Configurez les contacts dans le dossier Contacts à traiter comme des expéditeurs approuvés.
Set-MailboxJunkEmailConfiguration "Ori Epstein" -BlockedSendersAndDomains @{Add="shopping@fabrikam.com"} -TrustedSendersAndDomains @{Remove="chris@fourthcoffee.com"} -ContactsTrusted $true

L’exemple suivant supprime le domaine contoso.com de la liste Expéditeurs bloqués dans toutes les boîtes aux lettres utilisateur de la organization :

$All = Get-Mailbox -RecipientTypeDetails UserMailbox -ResultSize Unlimited; $All | foreach {Set-MailboxJunkEmailConfiguration $_.Name -BlockedSendersAndDomains @{Remove="contoso.com"}}

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-MailboxJunkEmailConfiguration.

Remarque

Le filtre d’Email indésirables Outlook a des paramètres de collecte de liste approuvée supplémentaires (par exemple, ajouter automatiquement les personnes que j’envoie par courrier électronique à la liste des expéditeurs approuvés). Pour plus d'informations, voir Utiliser les filtres de courrier indésirable pour contrôler les messages affichés.

Comment savez-vous que vous avez correctement configuré la collection safelist sur une boîte aux lettres ?

Pour vérifier que vous avez correctement configuré la collection de liste sécurisée sur une boîte aux lettres, utilisez l’une des procédures suivantes :

  • Remplacez MailboxIdentity> par< le nom, l’alias ou l’adresse e-mail de la boîte aux lettres, puis exécutez la commande suivante pour vérifier les valeurs de propriété :

    Get-MailboxJunkEmailConfiguration -Identity "<MailboxIdentity>" | Format-List trusted*,contacts*,blocked*

    Si la liste de valeurs est trop longue, utilisez la syntaxe suivante :

    (Get-MailboxJunkEmailConfiguration -Identity <MailboxIdentity>).BlockedSendersAndDomains

À propos des paramètres de courrier indésirable dans Outlook

Pour activer, désactiver et configurer les paramètres de filtre de Email indésirables côté client disponibles dans Outlook, utilisez stratégie de groupe. Pour plus d’informations, voir Fichiers de modèle d’administration (ADMX/ADML) et Outil de personnalisation Office pour Applications Microsoft 365 pour les grandes entreprises, Office 2019 et Office 2016.

Lorsque le filtre de Email indésirables Outlook est défini sur la valeur par défaut Aucun filtrage automatique dans lesoptions Options d’options > decourrier indésirabled’accueil>>, Outlook n’essaie pas de classifier les messages comme courrier indésirable, mais utilise toujours la collection de listes de sécurité (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Expéditeurs bloqués) pour déplacer les messages vers le dossier Email indésirables après la remise. Pour plus d’informations sur ces paramètres, consultez Vue d’ensemble du filtre de Email indésirables.

Remarque

Dans les organisations Microsoft 365, nous vous recommandons de laisser le filtre de Email indésirable dans Outlook défini sur Aucun filtrage automatique pour éviter les conflits inutiles (positifs et négatifs) avec les verdicts de filtrage du courrier indésirable d’EOP.

Lorsque le filtre de courrier indésirable Outlook est défini sur Faible ou Élevé, le filtre de courrier indésirable Outlook utilise sa propre technologie de filtrage SmartScreen pour identifier et déplacer le courrier indésirable vers le dossier Courrier indésirable. Cette classification du courrier indésirable est distincte du niveau de confiance du courrier indésirable (SCL) déterminé par EOP. En fait, Outlook ignore le SCL d’EOP (sauf si EOP a marqué le message pour ignorer le filtrage du courrier indésirable) et utilise ses propres critères pour déterminer si le message est du courrier indésirable. Bien sûr, il est possible que le verdict de courrier indésirable d’EOP et d’Outlook soit le même. Pour plus d’informations sur ces paramètres, consultez Modifier le niveau de protection dans le filtre de Email indésirable.

Remarque

En novembre 2016, Microsoft a cessé de produire des mises à jour de définition de courrier indésirable pour les filtres SmartScreen dans Exchange et Outlook. Les définitions de courrier indésirable SmartScreen existantes ont été laissées en place, mais leur efficacité se dégradera probablement au fil du temps. Pour plus d’informations, voir l’Arrêt de la prise en charge de SmartScreen dans Outlook et Exchange.

Par conséquent, le filtre de Email indésirables Outlook peut utiliser la collection de listes sécurisées de la boîte aux lettres et sa propre classification de courrier indésirable pour déplacer les messages vers le dossier Email indésirables.

Outlook et Outlook sur le web prennent en charge la collection de listes sécurisées. La collection de liste sécurisée est enregistrée dans la boîte aux lettres Exchange Online afin que les modifications apportées à la collection de listes approuvées dans Outlook apparaissent dans Outlook sur le web, et inversement.

Limites des paramètres de courrier indésirable

La collection de listes de sécurité (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste des expéditeurs bloqués) qui est stockée dans la boîte aux lettres de l’utilisateur est également synchronisée avec EOP. Avec la synchronisation d’annuaires, la collection safelist est synchronisée avec Microsoft Entra ID.

  • La collection safelist dans la boîte aux lettres de l’utilisateur a une limite de 510 Ko, qui inclut toutes les listes, ainsi que d’autres paramètres de filtre de courrier indésirable. Si un utilisateur dépasse cette limite, il reçoit une erreur Outlook qui ressemble au message suivant :

    Impossible/impossible d’ajouter aux listes de courrier indésirable du serveur. Vous avez dépassé la taille autorisée sur le serveur. Le filtre courrier indésirable sur le serveur est désactivé jusqu’à ce que vos listes de courrier indésirable aient été réduites à la taille autorisée par le serveur.

    Pour plus d’informations sur cette limite et sur la façon de la modifier, consultez KB2669081.

  • La collection de liste sécurisée synchronisée dans EOP a les limites de synchronisation suivantes :

    • 1 024 entrées au total dans la liste des expéditeurs approuvés, la liste des destinataires approuvés et les contacts externes si l’option Approuver les e-mails de mes contacts est activée.
    • 500 entrées au total dans la liste Expéditeurs bloqués et la liste Domaines bloqués.

    Lorsque la limite d’entrée de 1024 est atteinte, les choses suivantes se produisent :

    • La liste cesse d’accepter les entrées dans PowerShell et Outlook sur le web, mais aucune erreur n’est affichée.

      Les utilisateurs d’Outlook peuvent continuer à ajouter plus de 1 024 entrées jusqu’à ce qu’ils atteignent la limite Outlook de 510 Ko. Outlook peut utiliser ces entrées supplémentaires, tant qu’un filtre EOP ne bloque pas le message avant la remise à la boîte aux lettres (règles de flux de courrier, anti-usurpation d’identité, etc.).

  • Avec la synchronisation d’annuaires, les entrées sont synchronisées avec Microsoft Entra ID dans l’ordre suivant :

    1. Envoyer des contacts de messagerie si l’option Approuver l’e-mail de mes contacts est activée.
    2. La liste Des expéditeurs approuvés et la liste des destinataires approuvés sont combinées, dédupliquées et triées par ordre alphabétique chaque fois qu’une modification est apportée pour les 1024 premières entrées.

    Les 1 024 premières entrées sont utilisées et les informations pertinentes sont estampillées dans les en-têtes de message.

    Les entrées de plus de 1024 qui n’ont pas été synchronisées avec Microsoft Entra ID sont traitées par Outlook (et non Outlook sur le web), et aucune information n’est horodatée dans les en-têtes de message.

Comme vous pouvez le voir, l’activation du paramètre Approuver l’e-mail à partir de mes contacts réduit le nombre d’expéditeurs approuvés et de destinataires approuvés qui peuvent être synchronisés. Si cette réduction est un problème, nous vous recommandons d’utiliser stratégie de groupe pour désactiver cette fonctionnalité :

  • Nom de fichier : outlk16.opax
  • Paramètre de stratégie : Approuver le courrier électronique des contacts