Sécurisation de la messagerie

Vous ne saviez peut-être pas mais Exchange est fourni avec un système permettant de surveiller les mails et de prévenir contre les risques d'intrusion via la messagerie.

Pour cela vous avez à votre disposition deux moyens distincts mais complémentaires:

• Un moteur anti-malware
• Un moteur anti-spam

Anti-malware

Cette solution se met en place sur le serveur ayant le rôle d'accès client (CAS)

Sa mise en place s'avère très facile et s'effectue via un script powershell. Une fois lancé, la mise à jour du moteur va s'effectuer et il sera nécessaire de redémarrer le service de transport. Effectivement le moteur anti-spam s'intercalle entre l'arrivée des mails de le service de transport.

Lancer Powershell et placez-vous dans le dossier suivant:

cd “\Program Files\Microsoft\Exchange Server\V15\Scripts”

Lancez le script Enable-AntimalwareScanning.ps1

.\Enable-AntimalwareScanning.ps1

Redémarrez le service de transport

Restart-Service MSExchangeTransport

Cela peut prendre un peu de temps

Il n'y a plus qu'à vérifier...

Get-TransportAgent

Vérifier que l'agent anti-malware est bien activé.

Anti-spam

Cette solution se met en place sur le serveur hébergeant les banques.

Lancer Powershell et placez-vous dans le dossier suivant:

cd “\Program Files\Microsoft\Exchange Server\V15\Scripts”

et lancez le script suivant

.\Install-AntiSpamAgents.ps1

Redémarrez le service de transport comme demandé:

Restart-Service MSExchangeTransport

A présent, nous allons spécifiez les serveurs Exchange internes de votre organisation afin qu'ils passent outre les règles anti-spam.

Set-TransportConfig -InternalSMTPServers @{Add=“192.168.2.204","127.0.0.1”}

La commande suivant vous permettra de valider la prise en compte de vos actions

Get-TransportAgent

Les agents anti-courrier indésirable suivants doivent être présents et activés :

• Content Filter Agent
• Sender ID Agent
• Sender Filter Agent
• Recipient Filter Agent
• Protocol Analysis Agent

A présent, vous pouvez vous-même créer votre liste blanche et noir. La solution la plus efficace est créer 2 fichiers que j'ai nommé "badword.txt" et "goodword.txt". Vous allez rentrer à raison d'un mot par ligne tous les mots à bannires dans le fichier "badword.txt" et tous les mots à accepter dans goodword.txt

Pour générer la liste noire, tapez:

Get-Content D:\badword.txt | foreach {Add-ContentFilterPhrase -Influence BadWord -Phrase $_}

Si vous avez besoin de remettre à plat votre liste,en cas d'erreur par exemple, tapez:

Get-ContentFilterPhrase | ForEach-Object {Remove-ContentFilterPhrase $_.identity -Confirm:$false }

Pour générer la liste blanche, tapez:

Get-Content D:\goodword.txt | foreach {Add-ContentFilterPhrase -Influence goodWord -Phrase $_}

Pour lister le contenu

Get-ContentFilterPhrase

La commande suivante sera sans doute plus efficace:

Get-ContentFilterPhrase | ft -Property Influence,phrase -AutoSize

Configurez la boîte aux de lettre de quarantaine

Set-ContentFilterConfig -QuarantineMailbox administrateur@surinfo.local

Configurez les seuils SCL de rejet, sachant que cela va de 1 à 9 et que la valeur 9 défini le mail comme le mail étant un spam à 100% et la valeur 1 un mail "sûr".

Set-ContentFilterConfig -SCLRejectEnabled $true -SCLRejectThreshold 8 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 7

Vous pouvez personnaliser la réponse de rejet du mail

Set-ContentFilterConfig -RejectionResponse "Votre message, reconnu comme spam, a ete rejete. Contactez votre administrateur de messagerie."

Configurez le seuil SCL pour votre organisation

Set-OrganizationConfig -SCLJunkThreshold 7

Configurer la liste noire des expéditeurs

Set-SenderFilterConfig -BlockedSenders commercial@performance.com

Renseignez la liste noire des destinataires

Set-RecipientFilterConfig -BlockListEnabled $true -BlockedRecipients commercial@performance.com

Revérifiez la liste noire des expéditeurs

Get-SenderFilterConfig

Vérifiez la liste noire des destinataires

Get-RecipientFilterConfig

Configuration de la liste blanche des destinataires

Ajout d'un domaine approuvé

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com

Ou de plusieurs...

Set-ContentFilterConfig -BypassedSenderDomains microsoft.com,github.com,surinfo.fr

Ajout d'un utilisateur

Set-ContentFilterConfig -BypassedSenders stephane@surinfo.fr

Suppression d'un domaine ou d'un utilisateur de la liste blanche

Set-ContentFilterConfig -BypassedSenderDomains @{Remove="amazon.fr"}

Ou

Set-ContentFilterConfig -BypassedSenders @{Remove="kilian@gmail.com"}

Filtre anti-programme malveillant de l'ECP

Rendez-vous dans le centre d'administration Exchange dans le noeud "Protection - filtre anti-programme malveillant"

Editez la règle par défaut et renseignez selon vos besoins

Difficultés rencontrées "Inbound proxy probe"

Depuis que j'ai activé l'anti-spam, je reçois toutes les 5 minutes des mails de mise en quarantaine de ce type la:

Après maintes recherches sur le net, ce problème aurait dû être résolu avec les CUs mais pour ma part je suis en Exchange 2013 SP1!

J'ai pour ma part mise en liste blanche l'expéditeur concerné soit inboundproxy@contoso.com en entrant la commande suivante:

Set-ContentFilterConfig -BypassedSenders inboundproxy@contoso.com

Je problème est à présent résolu. Ce que j'ai du mal à comprendre, c'est le manque de validation qu'il peut y avoir avant la mise sur le marché de tels produits. Pour une logique anti-spam, intégré par défaut une adresse d'expéditeur de type "@contoso.com" me semble illogique...

Désactiver l'antispam

La commande suivante vous permet de désactiver la fonctionnalité antispam, vous permettant ainsi de déterminer d'éventuels porblèmes de remises de message

Set-ContentFilterConfig -Enabled $false

Restart-Service MSExchangeTransport

 

Pour supprimer la fonctionnalité, lancez Powershell et placez-vous dans le dossier suivant:

cd “\Program Files\Microsoft\Exchange Server\V15\Scripts”

tapez la commande suivante:

.\uninstall-antispamagents.ps1

Restart-Service MSExchangeTransport