Meilleures pratiques concernant la configuration de FOPE

 

Concerne : Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Dernière modification de la rubrique : 2013-05-17

Nos clients ont constaté que les informations suivantes à propos de leur service Forefront Online Protection for Exchange (FOPE) leur avaient été utiles pour bénéficier d'un service optimal et l'utiliser au mieux. Pour visionner une vidéo décrivant comment configurer les options décrites dans cette rubrique, cliquez sur Meilleures pratiques pour la configuration Forefront Online Protection for Exchange (anglais uniquement).

Outil de synchronisation d'annuaires

L'outil gratuit de synchronisation d'annuaires permet de synchroniser de manière automatique et sûre les adresses proxy valides des utilisateurs finaux (et leurs expéditeurs approuvés, le cas échéant) entre un annuaire Active Directory local et les services FOPE et Exchange Hosted Archive. L'outil de synchronisation d'annuaires se trouve à l'adresse suivante :http://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

Une fois l'outil de synchronisation d'annuaires téléchargé, une liste d'utilisateurs (et les adresses de messagerie correspondantes) peut être téléchargée via l'outil sur le réseau Hosted Services. La liste d'utilisateurs téléchargée peut ensuite être utilisée pour le blocage du périmètre basé sur l'annuaire (en définissant le mode de blocage du périmètre basé sur l'annuaire sur Rejeter), l'accès à la quarantaine ou les services d'archivage.

Si votre société ne dispose pas d'un environnement Microsoft Windows Active Directory, vous pouvez définir la Source de la liste d'utilisateurs sur Centre d'administration ou Protocole FTP sécurisé (autres options permettant de télécharger les listes d'utilisateurs).

Pour plus d'informations et obtenir, par exemple, une présentation conceptuelle, des instructions d'installation et des informations d'assistance à propos de l'outil DST FOPE, voir la rubrique L'outil de synchronisation d'annuaires.

Paramètres d'enregistrement SPF

SPF sert à empêcher l'utilisation non autorisée d'un nom de domaine lors de l'envoi de messages électroniques (une technique également connue sous le nom d'usurpation d'identité) en fournissant un mécanisme de validation des hôtes d'expédition. Pour configurer les paramètres d'enregistrement SPF, suivez ces conseils :

  1. Pour les domaines qui envoient des messages sortants via le réseau de filtrage, vous pouvez inclure « spf.messaging.microsoft.com » dans votre enregistrement SPF, ainsi que vos adresses IP de serveur de courrier sortant individuelles. SPF sert à empêcher l'utilisation non autorisée d'un nom de domaine lors de l'envoi de messages électroniques (une technique également connue sous le nom d'usurpation d'identité) en fournissant un mécanisme de validation des hôtes d'expédition.

    ImportantImportant :
    Ces instructions sont uniquement valides pour les domaines qui envoient des messages électroniques sortants via le réseau de filtrage.
  2. Comme SPF est utilisé pour vérifier qu'une adresse IP donnée est autorisée à envoyer le courrier pour un domaine donné, les adresses IP sortantes pour le réseau de filtrage doivent également être incluses dans l'enregistrement SPF. La façon la plus facile d'ajouter l'ensemble complet d'adresses IP est d'utiliser l'instruction « include : spf.messaging.microsoft.com » dans votre enregistrement SPF.

  3. En outre, vous pouvez répertorier toutes vos adresses IP de serveur de courrier sortant. Ces adresses IP sont nécessaires pour assurer la remise du courrier à d'autres utilisateurs de FOPE. Chaque adresse IP doit être ajoutée via une instruction ip4. Par exemple, pour inclure « 127.0.0.1 » en tant qu'adresse IP de courrier sortant acceptée, ajoutez « ip4:127.0.0.1 » à votre enregistrement SPF. Si vous connaissez toutes les adresses IP autorisées, vous pouvez les ajouter à l'aide du qualificateur –all (Fail). Si vous ne savez pas si vous disposez de la liste complète d'adresses IP, utilisez le qualificateur ~all (SoftFail).

    Par exemple :

    Contoso.com utilise les trois serveurs de courrier sortant suivants :

    127.0.0.1

    127.0.0.2

    127.0.0.3

    L'enregistrement SPF d'origine de Contoso se présentait comme suit :

    « v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all »

    Après le routage du courrier via le service FOPE, cet enregistrement se présente comme suit :

    « v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all »

Paramètres de connexion réseau

Les conseils suivants garantissent que le transfert des données vers le service Hosted Filtering est homogène et continu.

  • Configurez les paramètres du serveur SMTP avec un délai de connexion de 60 secondes.

  • Une fois les règles de votre pare-feu définies pour autoriser les connexions SMTP entrantes uniquement à partir des adresses IP utilisées par le service Hosted Filtering, nous vous recommandons de configurer le serveur SMTP pour accepter le plus grand nombre de connexions entrantes simultanées à partir du service que vous estimez gérable.

  • Si le serveur envoie du courrier sortant via le service Hosted Filtering, nous vous recommandons également de configurer le serveur pour envoyer au maximum 50 messages par connexion et de ne pas utiliser plus de 50 connexions simultanées. Dans des conditions normales, ces paramètres garantissent que le transfert des données est homogène et continu entre le serveur et le service.

Sécurité

Restrictions IP

L'accès aux services auxquels vous êtes abonné peut être limité aux utilisateurs qui se connectent aux sites Web à partir d'adresses IP spécifiques. L'accès à partir d'autres adresses n'est pas autorisé avec cette configuration, ce qui réduit la probabilité d'accès non autorisé. Les paramètres de restriction IP sont disponibles à l'échelle de la société, du domaine et de l'utilisateur.

stratégies de mot de passe

Des mots de passe forts doivent être utilisés à tout moment et pour tous les comptes, plus particulièrement les comptes d'administrateurs. Les recommandations suivantes vous permettent de créer des mots de passe forts :

  • ils doivent être composés de lettres minuscules et majuscules, nombres et caractères spéciaux (?, !, @, $) ;

  • ils doivent être configurés pour expirer fréquemment, tous les 3, 4 ou 6 mois.

Options supplémentaires de filtrage de courrier indésirable

Des options de filtrage anti-spam supplémentaires sont également disponibles. Par défaut, il est recommandé de désactiver toutes les options ASF, avec les éventuelles exceptions suivantes :

  • L'image établit des liens vers des sites distants : ce paramètre est recommandé pour les utilisateurs qui reçoivent beaucoup de courrier commercial, de publicités ou de bulletins d'informations qui contiennent des informations indésirables.

  • Enregistrement SPF : échec sévère : ce paramètre est recommandé pour les organisations préoccupées par la réception de messages d'hameçonnage.

  • Authentification de l'adresse de l'expéditeur : l'activation de ce paramètres est recommandée pour les organisations préoccupées par l'hameçonnage, en particulier si l'identité de leurs utilisateurs est usurpée. Cependant, nous recommandons généralement aux utilisateurs d'activer cette option en réaction à un signalement plutôt que de la désactiver par défaut.

Pour plus d'informations sur ces options ASF et d'autres, voir Configurer les options supplémentaires du filtrage anti-spam.

ConseilAstuce :

Envisagez d'activer vos options ASF en mode Test afin d'identifier des options contre le courrier indésirable agressives supplémentaires et d'optimiser le blocage du courrier indésirable en fonction de votre environnement. Pour les clients dont le pourcentage de courrier indésirable est élevé, nous recommandons dans un premier temps de tester ces options avant de les mettre en place dans votre environnement de production.

Les clients doivent soumettre tout courrier indésirable qu'ils reçoivent sur leur bureau à l'équipe de lutte contre le courrier indésirable du service Hosted Filtering à l'adresse abuse@messaging.microsoft.com pour analyse.

Ils ont également la possibilité d'autoriser les utilisateurs finaux à installer l'outil de signalement de courrier indésirable. Lorsqu'il est utilisé avec Microsoft® Office Outlook®, l'outil de signalement de courrier indésirable permet à l'utilisateur final de soumettre rapidement les messages indésirables à abuse@messaging.microsoft.com pour analyse afin d'améliorer l'efficacité du filtrage du courrier indésirable.

L'outil de signalement de courrier indésirable peut être téléchargé à l'adresse suivante : http://go.microsoft.com/fwlink/?LinkID=147248

Il est également possible de configurer votre domaine pour présenter le lien de téléchargement de l'outil de signalement de courrier indésirable aux utilisateurs finaux lorsqu'ils se connectent au site Web de mise en quarantaine.

Pour plus d'informations sur l'outil de signalement de courrier indésirable, consultez la rubrique Complément de signalement de courrier indésirable, Junk E-mail Reporting pour Microsoft Office Outlook.

Envois de faux positif

La majorité des messages envoyés en tant que faux positif est en fait du courrier indésirable qui a été filtré, mais souhaité par les destinataires.

Pour avoir un aperçu du type et du nombre de messages signalés au service Hosted Filtering en tant que faux positif, les administrateurs doivent configurer la fonction de copie d'envoi de faux positif du filtre de courrier indésirable pour leur permettre d'analyser la copie des messages.

ImportantImportant :
Avant d'envoyer un faux positif, les utilisateurs finaux doivent se connecter au site Web de mise en quarantaine pour afficher le message ou le récupérer pour l'afficher, puis le transférer à l'adresse false_positive@messaging.microsoft.com.

Les messages faux positifs peuvent être envoyés en transférant l'intégralité du message et tous les en-têtes Internet à la boîte de messagerie false_positive.

Filtres de stratégie

Règles de stratégie

Outre les filtres antivirus et de courrier indésirable, les règles de stratégie du Centre d'administration FOPE vous permettent d'appliquer des stratégies spécifiques de la société en configurant des règles de filtre personnalisables. Vous pouvez créer un ensemble spécifique de règles pour identifier les messages et prendre une mesure spécifique lorsqu'ils sont traités par le service Hosted Filtering. Vous pouvez, par exemple, créer une règle de stratégie pour rejeter les messages électroniques entrants dont le champ Objet comporte certains mots ou expressions. En outre, les filtres des règles de stratégie vous permettent d'ajouter et de gérer de longues listes de valeurs (comme des adresses de messagerie, des domaines et des mots clés) pour plusieurs règles de stratégie en téléchargeant un fichier (dictionnaire).

Il est possible de configurer des règles de stratégie pour différents critères de recherche de courrier électronique :

  • Noms et valeurs des champs d'en-tête

  • Adresses IP, domaines et adresses de messagerie de l'expéditeur

  • Domaines et adresses de messagerie du destinataire

  • Noms et extensions des fichiers joints

  • Objet, corps et autres propriétés du message électronique (taille, nombre de destinataires)

Pour plus d'informations sur les règles de stratégie, voir Règles de stratégie.

prévention anti-hameçonnage et contre l'usurpation d'identité

Le filtre de stratégie peut être utilisé pour défendre les réseaux d'entreprise contre les attaques de courrier électronique et protéger les données confidentielles des utilisateurs finaux.

Une protection anti-hameçonnage peut aussi être mise en place par le biais de la détection des informations personnelles dans les messages sortants de la société. Les expressions régulières suivantes, par exemple, peuvent s'utiliser pour détecter la transmission de données financières personnelles ou d'informations qui peuvent compromettre la confidentialité :

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (tout numéro composé de 16 chiffres)

  • \d\d\d\-\d\d\-\d\d\d\d (numéros de sécurité sociale)

Le courrier indésirable et l'hameçonnage peuvent être évités en bloquant les messages entrants qui semblent avoir été envoyés à partir de votre propre domaine. Créez une règle de rejet pour les messages envoyés de votre domaine de société vers le même domaine votredomaine.com pour bloquer ce type de falsification d'expéditeur.

ImportantImportant :
Cette règle doit être créée uniquement si vous êtes certain qu'aucun message légitime de votre domaine n'est envoyé depuis Internet à votre serveur de messagerie.

blocage d'extension

Le filtre de stratégie peut être utilisé de différentes manières pour défendre les réseaux d'entreprise contre les attaques de courrier électronique et protéger les données confidentielles des utilisateurs finaux.

La prévention de menaces via un blocage des extensions de fichiers devrait permettre de bloquer au moins les extensions suivantes : EXE, PIF, SCR, VBS

Pour améliorer la protection, il est recommandé de bloquer certaines ou l'ensemble des extensions suivantes : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

Voir aussi

Concepts

Première connexion au Centre d'administration FOPE

Autres ressources

Vidéo - Meilleures pratiques pour la configuration Forefront Online Protection for Exchange