Réputation de l'expéditeur et agent d'analyse de protocoleSender reputation and the Protocol Analysis agent

Résumé: Découvrez comment les fonctionnalités anti-spam expéditeur réputation niveau (SRL) dans Exchange 2016 bloque les messages en fonction de plusieurs caractéristiques de l’expéditeur.Summary: Learn how the sender reputation level (SRL) antispam functionality in Exchange 2016 blocks messages according to many characteristics of the sender.

Le niveau de réputation de l'expéditeur est intégré à la fonctionnalité de blocage du courrier indésirable Exchange qui bloque les messages en fonction des nombreuses caractéristiques de l'expéditeur. La fonctionnalité de réputation de l'expéditeur s'appuie sur les données conservées sur l'expéditeur pour déterminer l'action à appliquer à un message entrant. L'agent d'analyse de protocole est l'agent sous-jacent pour la fonctionnalité de réputation de l'expéditeur.Sender reputation is part of the Exchange antispam functionality that blocks messages according to many characteristics of the sender. Sender reputation relies on persisted data about the sender to determine the action to take on inbound messages. The Protocol Analysis agent is the underlying agent for sender reputation functionality.

Pour plus d’informations sur la configuration de réputation de l’expéditeur et l’agent d’analyse de protocole, voir procédures de réputation de l’expéditeur.For more information about how to configure sender reputation and the Protocol Analysis agent, see Sender reputation procedures.

L'agent d'analyse de protocole est activé par défaut sur les serveurs de transport Edge, mais vous pouvez l'activer sur les serveurs de boîtes aux lettres. Pour plus d'informations, consultez la rubrique Activer le blocage du courrier indésirable sur des serveurs de boîtes aux lettres.By default, the Protocol Analysis agent is enabled on Edge Transport servers, but you can enable it on Mailbox servers. For more information, see Enable antispam functionality on Mailbox servers.

Calcul du niveau de réputation de l'expéditeurCalculating the sender reputation level (SRL)

Le niveau de réputation de l'expéditeur (SRL) est calculé à partir des statistiques suivantes :A sender reputation level (SRL) is calculated from the following statistics:

  • Analyse HELO/EHLO: commandes HELO et EHLO SMTP sont conçus pour fournir le nom de domaine, par exemple Contoso.com, ou l’adresse IP du serveur SMTP envoi au serveur SMTP de réception. Les utilisateurs malveillants ou des expéditeurs de courrier indésirable, fréquemment usurper l’instruction HELO/EHLO de différentes manières. Par exemple, ils tapent une adresse IP qui ne correspond pas à l’adresse IP à l’origine de la connexion. Expéditeurs également placent des domaines connus à prendre en charge localement sur le serveur de réception dans l’instruction HELO lors d’une tentative de s’affichent comme si les domaines dans l’organisation. Dans d’autres cas, les expéditeurs modifiez le domaine qui est transmis dans l’instruction HELO. Le comportement par défaut d’un utilisateur légitime peut être d’utiliser un ensemble différent, mais relativement constant, des domaines de leurs instructions HELO.HELO/EHLO analysis: The HELO and EHLO SMTP commands are intended to provide the domain name, such as Contoso.com, or IP address of the sending SMTP server to the receiving SMTP server. Malicious users, or spammers, frequently forge the HELO/EHLO statement in various ways. For example, they type an IP address that doesn't match the IP address from which the connection originated. Spammers also put domains that are known to be locally supported at the receiving server in the HELO statement in an attempt to appear as if the domains are in the organization. In other cases, spammers change the domain that's passed in the HELO statement. The typical behavior of a legitimate user may be to use a different, but relatively constant, set of domains in their HELO statements.

    Par conséquent, l'analyse de l'instruction HELO/EHLO sur une base expéditeur peut indiquer que l'expéditeur est vraisemblablement un expéditeur de courrier indésirable. Par exemple, un expéditeur qui fournit de nombreuses instructions HELO/EHLO uniques dans une période spécifique, un expéditeur qui fournit constamment une adresse IP dans l'instruction HELO qui ne correspond pas à l'adresse IP d'origine déterminée par l'agent de filtrage des connexions, ou un expéditeur distant qui fournit constamment un nom de domaine local dans l'instruction HELO qui se trouve dans la même organisation que le serveur Exchange sont davantage susceptibles d'être des expéditeurs de courrier indésirable.Therefore, analysis of the HELO/EHLO statement on a persender basis may indicate that the sender is likely to be a spammer. For example, a sender that provides many different unique HELO/EHLO statements in a specific time period is more likely to be a spammer. Senders who consistently provide an IP address in the HELO statement that doesn't match the originating IP address as determined by the Connection Filtering agent are also more likely to be spammers. Remote senders who consistently provide a local domain name in the HELO statement that's in the same organization as the Exchange server are also more likely to be spammers.

  • Recherche DNS inversée: réputation de l’expéditeur vérifie également que l’adresse IP d’origine à partir de laquelle l’expéditeur transmet le message correspond au nom de domaine enregistré que l’expéditeur envoie dans la commande SMTP HELO ou EHLO.Reverse DNS lookup: Sender reputation also verifies that the originating IP address from which the sender transmitted the message matches the registered domain name that the sender submits in the HELO or EHLO SMTP command.

    La fonction de réputation de l’expéditeur effectue une requête DNS inverse en soumettant l’adresse IP d’origine au DNS. Le résultat renvoyé par le DNS est le nom de domaine enregistré en utilisant l’autorité de dénomination de domaine pour cette adresse IP. La fonction de réputation de l’expéditeur compare le nom de domaine qui est renvoyé par le DNS au nom de domaine que l’expéditeur a soumis dans la commande SMTP HELO/EHLO. Si les noms de domaine ne correspondent pas, il est probable que l’expéditeur soit un expéditeur de courrier indésirable et le seuil SRL global pour l’expéditeur est augmenté.Sender reputation performs a reverse DNS query by submitting the originating IP address to DNS. The result that's returned by DNS is the domain name that's registered by using the domain naming authority for that IP address. Sender reputation compares the domain name that's returned by DNS to the domain name that the sender submitted in the HELO/EHLO SMTP command. If the domain names don't match, the sender is likely to be a spammer, and the overall SRL rating for the sender is increased.

    L’agent d’ID de l’expéditeur effectue une tâche similaire, mais la réussite de celle-ci repose sur les expéditeurs légitimes pour mettre à jour l’infrastructure DNS afin d’identifier tous les serveurs SMTP expéditeurs de messages électroniques dans l’organisation. En effectuant une recherche DNS inverse, vous contribuez à l’identification d’expéditeurs potentiels de courrier indésirable.The Sender ID agent performs a similar task, but the success of the Sender ID agent relies on legitimate senders to update their DNS infrastructure to identify all the email-sending SMTP servers in their organization. By performing a reverse DNS lookup, you can help identify potential spammers.

  • Analyse d’accès SCL sur les messages d’un expéditeur particulier: agent lorsque le filtrage de contenu traite un message, elle affecte une valeur SCL confiance niveau SCL au message. La valeur SCL est un nombre compris entre 0 et 9. SCL est supérieur indique qu’un message est plus susceptible d’être indésirables. Données relatives à chaque expéditeur et classements SCL qui génèrent leurs messages sont conservées pour l’analyse par la réputation de l’expéditeur. Réputation de l’expéditeur calcule des statistiques sur un expéditeur en fonction du rapport entre tous les messages de cet expéditeur ayant une SCL faible dans le passé et tous les messages de cet expéditeur qui avait SCL est élevé dans le passé. En outre, le nombre de messages dont le SCL est élevé que l’expéditeur a envoyé le dernier jour est appliqué à la réputation globale.Analysis of SCL ratings on messages from a particular sender: When the Content Filter agent processes a message, it assigns a spam confidence level (SCL) rating to the message. The SCL rating is a number from 0 through 9. A higher SCL rating indicates that a message is more likely to be spam. Data about each sender and the SCL ratings that their messages yield is persisted for analysis by sender reputation. Sender reputation calculates statistics about a sender according to the ratio between all messages from that sender that had a low SCL rating in the past and all messages from that sender that had a high SCL rating in the past. Additionally, the number of messages that have a high SCL rating that the sender has sent in the last day is applied to the overall SRL.

  • Expéditeur ouvrir test proxy: Ouvrez proxy est un serveur proxy qui accepte les connexions demandes provenant de n’importe où et transmet le trafic comme s’il provient des hôtes locaux. Serveurs proxy relaient le trafic TCP par le biais des hôtes de pare-feu pour fournir l’accès des utilisateurs applications transparent à travers le pare-feu. Protocoles de proxy étant léger et indépendante des protocoles d’application utilisateur, proxys utilisable par de nombreux services différents. Serveurs proxy peut également servir à partager une connexion Internet unique par plusieurs hôtes. Serveurs proxy est généralement configurés afin que seuls les hôtes approuvés à l’intérieur du pare-feu capable de traverser par les serveurs proxy. Un expéditeur légitime peut être un proxy ouvert en raison d’une mauvaise configuration involontaire ou un programme malveillant.Sender open proxy test: An open proxy is a proxy server that accepts connection requests from anyone anywhere and forwards the traffic as if it originated from the local hosts. Proxy servers relay TCP traffic through firewall hosts to provide user applications transparent access across the firewall. Because proxy protocols are lightweight and independent of user application protocols, proxies can be used by many different services. Proxies can also be used to share a single Internet connection by multiple hosts. Proxies are usually set up so that only trusted hosts inside the firewall can cross through the proxies. A legitimate sender may be an open proxy because of an unintentional misconfiguration or malware.

    Les proxy ouverts fournissent aux utilisateurs malveillants une solution idéale pour masquer leur réelle identité et lancer des attaques par déni de service ou envoyer du courrier indésirable. Comme de plus en plus de serveurs proxy sont configurés pour être « ouverts par défaut », les proxy ouverts sont de plus en plus courants. En outre, les utilisateurs malveillants peuvent utiliser plusieurs proxy ouverts pour masquer l’adresse IP d’origine de l’expéditeur.Open proxies provide an ideal way for malicious users to hide their true identities and launch denial of service attacks (DoS) or send spam. As more proxy servers are configured to be open by default, open proxies have become more common. Additionally, malicious users can use multiple open proxies together to hide the sender's originating IP address.

    Lorsque la fonction de réputation de l’expéditeur effectue un test de proxy ouvert, elle le fait en mettant en forme une demande SMTP lors d’une tentative de reconnexion au serveur Exchange à partir du proxy ouvert. Si une demande SMTP est reçue du proxy, la fonction de réputation de l’expéditeur vérifie que le proxy est ouvert et met à jour les statistiques de test de proxy ouvert pour cet expéditeur.When sender reputation performs an open proxy test, it does so by formatting an SMTP request in an attempt to connect back to the Exchange server from the open proxy. If an SMTP request is received from the proxy, sender reputation verifies that the proxy is an open proxy and updates the open proxy test statistic for that sender.

La réputation de l’expéditeur pondère chacune de ces statistiques et calcule le SRL pour chaque expéditeur. Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu’un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. La valeur 0 indique que l’expéditeur n’est probablement pas un expéditeur de courrier indésirable et la valeur 9 indique l’expéditeur est probablement un expéditeur de courrier indésirable.Sender reputation weighs each of these statistics and calculates an SRL for each sender. The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. A value of 0 indicates that the sender isn't likely to be a spammer; a value of 9 indicates that the sender is likely to be a spammer.

Vous pouvez configurer un seuil de blocage compris entre 0 et 9 à partir duquel la fonction de réputation de l’expéditeur envoie une demande à l’agent de filtrage des expéditeurs et, par conséquent, empêche l’expéditeur d’envoyer un message à l’organisation. Quand un expéditeur est bloqué, il est ajouté à la liste des expéditeurs bloqués pour une période configurable. Le mode de gestion des messages bloqués dépend de la configuration de l’agent de filtrage des expéditeurs. Les actions suivantes correspondent aux options de gestion des messages bloqués :You can configure a block threshold from 0 through 9 at which sender reputation issues a request to the Sender Filter agent, and, therefore, blocks the sender from sending a message into the organization. When a sender is blocked, the sender is added to the Blocked Senders list for a configurable time period. How blocked messages are handled depends on the configuration of the Sender Filter agent. The following actions are the options for handling blocked messages:

  • Rejeter: les Messages sont renvoyés dans un rapport de non-remise (également appelé un rapport de non-remise, notification d’état de remise, DSN ou message de retour)Reject: Messages are returned in a non-delivery report (also known as an NDR, delivery status notification, DSN, or bounce message)

  • Supprimer: les Messages sont supprimés en mode silencieux sans un rapport de non-remise.Delete: Messages are silently deleted without an NDR.

  • Accepter: les Messages sont acceptées et marqués comme provenant d’un expéditeur bloquéAccept: Messages are accepted and marked as coming from a blocked sender

Pour plus d'informations sur l'agent de filtrage des expéditeurs, consultez la rubrique Filtrage des expéditeurs.For more information about the Sender Filter agent, see Sender filtering.

Si un expéditeur est inclus dans la liste d'adresses IP bloquées ou le service de réputation d'IP de Microsoft, la fonctionnalité de réputation de l'expéditeur envoie une demande immédiate à l'agent de filtrage des expéditeurs pour bloquer l'expéditeur. Pour profiter des avantages de cette fonctionnalité, vous devez activer et configurer le service de mise à jour anti-courrier indésirable de Microsoft Exchange.If a sender is included in the IP Block list or Microsoft IP Reputation Service, sender reputation issues an immediate request to the Sender Filter agent to block the sender. To take advantage of this functionality, you need to enable and configure the Microsoft Exchange Antispam Update Service.

Par défaut, la réputation de l'expéditeur définit un contrôle d'accès de 0 pour les expéditeurs qui n'ont pas été analysés. Quand un expéditeur a envoyé 20 messages ou plus, la fonctionnalité de réputation de l'expéditeur calcule un SRL à partir des statistiques précédemment décrites dans cette rubrique.By default, sender reputation sets a rating of 0 for senders that haven't been analyzed. After a sender has sent 20 or more messages, sender reputation calculates an SRL that's based on the statistics described earlier in this topic.

Quand utiliser le niveau de réputation de l'expéditeurWhen to use the SRL

La fonction de réputation de l'expéditeur agit sur les messages durant deux phases de la session SMTP :Sender reputation acts on messages during two phases of the SMTP session:

  • à la messagerie à partir de : commande SMTP: agit de réputation de l’expéditeur d’un message uniquement si le message a été bloqué ou sinon effectuée par l’agent de filtrage des connexions, l’agent de filtrage des expéditeurs, l’agent de filtrage des destinataires ou agent d’ID expéditeur. Dans ce cas, réputation de l’expéditeur récupère voté réputation de l’expéditeur à partir du profil de l’expéditeur est conservée sur cet expéditeur sur le serveur Exchange. Une fois cette évaluation est récupérée et évaluée, la configuration du serveur Exchange dicte le comportement qui se produit lors de la connexion particulière en fonction du seuil de blocage.At the MAIL FROM: SMTP command: Sender reputation acts on a message only if the message was blocked or otherwise acted on by the Connection Filtering agent, Sender Filter agent, Recipient Filter agent, or Sender ID agent. In this case, sender reputation retrieves the sender's current SRL rating from the sender profile that's persisted about that sender on the Exchange server. After this rating is retrieved and evaluated, the Exchange server configuration dictates the behavior that occurs at a particular connection according to the block threshold.

  • Une fois la commande SMTP « fin de données »: la fin de la commande de données (fin de données) de transfert SMTP donnée lorsque toutes les données réelles de message sont envoyées. À ce stade dans la session SMTP, la plupart des agents anti-spam ont traité le message. Suite de traitement anti-spam, les statistiques dépend de la réputation de l’expéditeur sont mis à jour. Par conséquent, la réputation de l’expéditeur comporte les données pour calculer ou recalculer un niveau de réputation de l’expéditeur.After the "end of data" SMTP command: The end of data transfer (EOD) SMTP command is given when all the actual message data is sent. At this point in the SMTP session, many of the antispam agents have processed the message. As a by-product of antispam processing, the statistics that sender reputation relies on are updated. Therefore, sender reputation has the data to calculate or recalculate an SRL rating for the sender.

Configuration de la détection des serveurs proxy ouvertsConfiguring the detection of open proxy servers

Lorsque la réputation de l'expéditeur calcule une valeur SRL, elle tente de se connecter à l'adresse IP d'origine de l'expéditeur en utilisant une série de protocoles proxy ordinaires, tels que SOCKS4, SOCKS5, HTTP, Telnet, Cisco et Wingate. La réputation de l'expéditeur met en forme une demande spécifique au protocole en tentant de se reconnecter au serveur Exchange depuis le serveur proxy ouvert à l'aide d'une demande SMTP (Simple Mail Transfer Protocol). Si une demande SMTP est reçue du serveur proxy, la réputation de l'expéditeur vérifie que le serveur proxy est un serveur ouvert et ajuste le niveau de réputation de l'expéditeur en fonction de ce résultat. Par défaut, la détection de serveurs proxy ouverts est activée dans la réputation de l'expéditeur.When sender reputation calculates an SRL, sender reputation tries to connect to the sender's originating IP address by using a variety of common proxy protocols, such as SOCKS4, SOCKS5, HTTP, Telnet, Cisco, and Wingate. Sender reputation formats a protocol-specific request in an attempt to connect back to the Exchange server from the open proxy server by using an SMTP request. If an SMTP request is received from the proxy server, sender reputation verifies that the proxy server is an open proxy server and adjusts the SRL rating according to this result. By default, the detection of open proxy servers is enabled in sender reputation.

Pour plus d’informations sur la configuration de la détection de serveurs proxy ouvert, voir procédures de réputation de l’expéditeur.For more information about how to configure the detection of open proxy servers, see Sender reputation procedures.

Définition du seuil de blocage SRLSetting the SRL block threshold

Le SRL est un nombre compris entre 0 et 9 qui indique la probabilité qu'un expéditeur spécifique soit un expéditeur de courrier indésirable ou un utilisateur malveillant. Vous devez définir le seuil de blocage SRL pour spécifier la valeur SRL qui entraîne le blocage d'un expéditeur par la fonction de réputation de l'expéditeur. Par défaut, le seuil de blocage SRL est de 7 : les expéditeurs qui ont un SRL de 7, 8 ou 9 sont alors bloqués. Vous devez contrôler l'efficacité de la fonction de réputation de l'expéditeur et de l'agent d'analyse de protocole au niveau par défaut.The SRL is a number from 0 through 9 that predicts the probability that a specific sender is a spammer or otherwise malicious user. You need to set an SRL threshold for sender blocking to specify the SRL value that causes sender reputation to block a sender. By default, the SRL block threshold is 7, which means senders that have an SRL of 7, 8 or 9 are blocked.. You should monitor the effectiveness of sender reputation and the Protocol Analysis agent at the default level.

Sur un serveur de transport Edge, si un expéditeur particulier atteint ou dépasse le seuil de blocage SRL, la réputation de l'expéditeur ajoute l'expéditeur à la liste rouge des expéditeurs de l'agent de filtrage des connexions. Parfois, des expéditeurs de courrier indésirable envoient des lots de courrier indésirable à partir d'un expéditeur unique. Dans ce scénario, si la réputation de l'expéditeur calcule qu'une valeur SRL dépasse le seuil de blocage SRL, l'expéditeur est ajouté à la liste rouge des expéditeurs pendant une durée configurable. La durée par défaut est de 24 heures. Après 24 heures, l'expéditeur est supprimé de la liste de blocage des expéditeurs et peut de nouveau envoyer des messages.On an Edge Transport server, if the SRL block threshold is met or exceeded by a particular sender, sender reputation adds the sender to the IP Block list on the Connection Filtering agent. Sometimes, spammers send batches of spam from a single sender. In this scenario, if sender reputation calculates an SRL that exceeds the SRL block threshold, the sender is added to the Sender Block List for a configurable duration of time. The default duration is 24 hours. After 24 hours, the sender is removed from the Sender Block List and can send messages again.

Lorsqu'un expéditeur est ajouté à la liste rouge d'IP, la réputation de l'expéditeur supprime le profil de l'expéditeur. La réputation de l'expéditeur supprime le profil parce que le profil bloqué de l'expéditeur existant indique que le SRL de l'expéditeur excède le seuil de blocage SRL. Ceci engendre un nouvel ajout de l'expéditeur bloqué dans la liste d'interdiction d'IP une fois le blocage d'expéditeur terminé.When a sender is added to the IP Block list, sender reputation deletes the profile for the sender. Sender reputation deletes the profile because the blocked sender's existing profile indicates that the sender's SRL exceeds the SRL block threshold. This would cause the blocked sender to be added to the IP Block list again as soon as the duration for sender blocking ends.

Pour plus d’informations sur la façon de configurer le blocage de l’expéditeur, voir procédures de réputation de l’expéditeur.For more information about how to configure sender blocking, see Sender reputation procedures.