Filtrage des spams avec les règles de flux d’emails d’Exchange

Filtrage des spams avec les règles de flux d’emails d’Exchange Online

Définition

Les règles de flux de courrier constituent l’une des couches de traitement de la protection en ligne d’Exchange. Vous les connaissez peut-être de leur ancien nom dans Exchange Server, qui était règles de transport.

Filtrage des spams
The layered defences of Exchange Online Protection

Le nom des règles de transport s’alignait sur le nom du rôle de serveur Hub Transport, depuis Exchange 2007. Dans les dernières versions d’Exchange, ce rôle n’existe plus. Le rôle de serveur de boîtes aux lettres fournit maintenant cette fonctionnalité. Règles de transport et règles de flux de courrier, c’est la même chose. Les capacités des règles se sont beaucoup améliorées depuis les premiers jours d’Exchange 2007. Et le fait de les appeler règles de flux de courrier est plus logique pour certaines personnes. Car le « flux de courrier » est un concept facile à comprendre. Le nom « transport » est un peu vague et n’aurait aucun sens sans comprendre les anciennes versions d’Exchange.

Les règles de flux de courrier peuvent fournir un large éventail de résultats en matière d’application des politiques. Elles peuvent également lutter contre le spam et d’autres types d’e-mails indésirables.

Est-il nécessaire de lutter contre le spam en créant des règles de flux de courrier dans Exchange Online. Cela ne vous semble-t-il pas un peu vieux jeu ? Surtout quand il y a des algorithmes antispam complexes qui fonctionnent dans les coulisses de la protection d’Exchange Online ?

Office 365 sent and received mail report
Office 365 sent and received mail report

L’enjeu

C’est une question pertinente. Cela remonte au bon vieux temps, où de nombreux spams étaient bloqués par des règles de mots-clés très simples. C’était avant que les produits antispam n’évoluent pour inclure une détection plus intelligente. Mais même les filtres anti-spam les plus intelligents passent toujours à côté de certaines choses. Et nous devons utiliser tous les outils à notre disposition pour adapter notre protection antispam à notre organisation.

Parfois, cela signifie créer des règles de flux de courrier pour faire des choses telles que :

  • Autoriser ou bloquer des adresses IP, des noms de domaine et des adresses électroniques spécifiques.
  • Bloquer des mots-clés spécifiques, qu’il s’agisse de détecter un texte dans le message ou même une URL que le message pourrait contenir.
  • Marquer tous les courriels entrants provenant d’expéditeurs externes et contenant des mots-clés suspects.

Les règles de flux de courrier sont également efficaces contre les nouvelles attaques et campagnes. Parfois, vous avez besoin d’une solution rapide en attendant qu’EOP commence à détecter une nouvelle attaque.

Oui, l’EOP devrait vous permettre d’éviter la plupart des scénarios d’attaque. Mais la sécurité consiste à atténuer les risques en utilisant tous les moyens raisonnables à notre disposition.

Règles de flux de courrier pour contourner EOP

Voici un exemple. Prenons l’exemple d’un formulaire de contact de vente fonctionnant sur le site Web d’une entreprise. Le site web de l’entreprise est hébergé sur un serveur d’hébergement partagé, fourni par une société d’hébergement web. L’équipe de vente veut s’assurer qu’aucun courriel du formulaire de contact n’est filtré par Exchange Online Protection. Affaiblir la protection de l’ensemble de l’organisation n’est pas une bonne solution. Au lieu de cela, une option pour y parvenir est d’ajouter l’adresse IP du serveur web à la liste des IP autorisées dans votre politique de filtre de connexion EOP. Cela empêchera le filtre de connexion de bloquer le courriel.

Bypassing connection filtering in Exchange Online Protection
Bypassing connection filtering in Exchange Online Protection

Cependant, en utilisant la liste des IP autorisées, vous permettez à tous les courriels provenant de l’adresse IP de ce serveur web de contourner vos filtres anti-spam. En fait, vous faites confiance à la société d’hébergement web pour empêcher les autres clients qui sont également sur le serveur d’hébergement partagé de spammer ou d’hameçonner vos utilisateurs. Il est peu probable que la société d’hébergement web soit en mesure d’empêcher cela. En outre, toute insécurité dans le formulaire Web lui-même pourrait entraîner des abus.

Ainsi, pour renforcer votre protection sans vous exposer à un nouveau risque, vous pouvez utiliser une règle de flux de courrier à la place. La règle de flux de courrier est configurée de manière à ce que le courrier provenant du serveur Web soit toujours soumis au filtrage du spam s’il ne présente pas les caractéristiques spécifiques des e-mails du formulaire de contact de vente. Pour ce faire, créez une règle de flux de courrier telle que la suivante :

Bypassing spam filtering with an Exchange Online mail flow rule
Bypassing spam filtering with an Exchange Online mail flow rule

Règles de flux de courrier contre le spam

Les règles de flux de courrier peuvent également être utilisées pour lutter contre les courriers électroniques malveillants. De nombreuses attaques de phishing reposent sur l’usurpation de l’identité de services populaires comme Amazon, Dropbox, Docusign, les banques. Ces attaques peuvent être difficiles à repérer, elles peuvent donc passer à travers les défenses d’Exchange Online Protection.

Cependant, vous pouvez atténuer ces risques en utilisant des règles de flux de courrier. Par exemple avec des filtres regex pour détecter les tentatives de phishing probables. Vous pouvez alors soit les mettre en quarantaine, soit les :

  • envoyer dans des dossiers de courrier indésirable,
  • modifier d’une manière ou d’une autre pour alerter l’utilisateur que le courrier est suspect.

SwiftOnSecurity a utilement partagé une série de modèles regex et d’autres chaînes de texte dans ce dépôt GitHub.

Filtrage des spams
@SwiftOnSecurity phishing regex patterns

Vous devez faire preuve de prudence lorsque vous appliquez ces modèles dans vos règles de flux de courrier. Je ne recommande pas de définir des règles pour bloquer immédiatement le courrier avant de comprendre ce qu’attrape le filtre. L’utilisation d’actions non destructrices, tel que l’ajout d’un préambule à la ligne d’objet sont des approches raisonnables. Une autre bonne approche consiste à configurer les règles pour envoyer des notifications d’incident. Ou bien ajoutez un destinataire BCC pour une boîte partagée afin de pouvoir examiner les messages qui déclenchent la règle. SwiftOnSecurity dispose d’un autre référentiel contenant des détails sur les règles de flux de courrier que vous pouvez également utiliser.

Filtrage des spams
@SwiftOnSecurity example mail flow rule

Résumé

La protection Exchange Online est une solution efficace pour empêcher les spams et le phishing d’atteindre vos utilisateurs. Cependant nous pouvons faire plus pour protéger nos organisations. Les règles de flux de courrier d’Exchange Online offrent beaucoup de latitude pour détecter et atténuer des risques spécifiques. Vous pouvez commencer avec quelques règles de base. Puis les étoffer au fur et à mesure que vous en apprenez davantage sur les menaces propres à votre organisation.

Comment gérer les expéditeurs à l’aide de Powershell ?

Gestion des expéditeurs à l’aide de PowerShell

Comment éviter à vos emails d’atterrir dans les spams ?

Comment éviter à vos emails d’atterrir dans les spams ?

Comment tirer le meilleur parti pour les politiques Office 365 ?

Microsoft Defender : Tirer le meilleur parti pour les politiques d’Office 365

Retour en haut