Configuration Exchange 2007 et 2010 pour le fitrage des destinataires

CLOUD-00003-altospam

Filtrage destinataires sous Exchange 2007 et 2010

Cet article décrit une procédure pour configurer les serveurs Microsoft Exchange 2007 et 2010 pour effectuer un filtrage sur les destinataires plutôt que d’accepter tous les emails.  L’interet de ce filtrage est décrit dans l’article : Configuration des serveurs de messagerie et filtrage des destinataires. Aujourd’hui nous décrivons précisément la configuration a effectuer sur Micorosoft Exchange.

Pour mettre en place le filtrage des destinataires dans les organisations Exchange, il est nécessaire d’installer la fonction antispam. Depuis Exchange 2007, la fonction Antispam est intégrée par défaut au niveau du serveur Edge. Dans le cas d’une architecture ne disposant pas de serveur Edge, elle n’est pas activée par défaut mais peut être installée au sein d’un serveur Hub.

Activation de la fonction antispam sous Exchange

La procédure d’installation de la fonction Antispam est la suivante :

– Fermer la console de gestion d’Exchange EMC (Exchange Management Console)

– Taper les lignes suivantes dans le powershell d’Exchange :
C:Program FilesMicrosoftExchange ServerV14Scripts
./install-AntispamAgents.ps1

– Relancer le service Microsoft Exchange Transport :
Restart-Service MSExchangeTransport

– Fermer le powershell

En ouvrant l’EMC, l’onglet “Antispam” est désormais présent dans le rôle de “Transport Hub” dans la “Configuration de l’organisation”. Par défaut, tous les agents de l’antispam sont activés. Il faudra laisser seulement le filtrage des destinataires activé, et désactiver tous les autres agents. Pour cela, ouvrer une session powershell et taper les lignes suivantes :
set-RecipientFilterConfig -Enabled $true
set-SenderFilterConfig -Enabled $false
set-SenderIDConfig -Enabled $false
set-SenderReputationConfig -Enabled $false
set-IPAllowListConfig -Enabled $false
set-IPAllowListProvidersConfig -Enabled $false
set-IPBlockListConfig -Enabled $false
set-IPBlockListProvidersConfig -Enabled $false
set-ContentFilterConfig -Enabled $false

Enfin pour mettre en place le filtrage des destinataires non présents dans l’organisation, taper :

set-RecipientFilterConfig -RecipientValidationEnabled $True

Cette fonctionnalité va forcer le routeur SMTP à répondre tout de suite avec un message 550 RFC sur la non-existence d’une adresse email de destinataire dans la base du serveur Exchange, plutôt que d’accepter le mail en SMTP et de renvoyer ensuite un mail d’erreur en retour : Gestion des utilisateurs distants et call-out.

 

Interface graphique

Vous pouvez également effectuer et vérifier l’activation du filtrage des destinataires en mode graphique dans l’EMC. Sur l’onglet “Antispam”, cliquer sur un des agents de l’antispam et dans la colonne de droite choisissez l’action “Désactiver”. Faites ceci pour tous les agents sauf le “Filtrage des destinataires” que vous laisserez donc “Activé”.

Enfin, double-cliquer sur l’agent de filtrage des destinataires et dans l’onglet “Destinataires bloqués” cocher l’option suivante :


Autres commandes utiles

Avant d’utiliser les lignes de commande pour gérer les agents de l’antispam, il est nécessaire de connaître la correspondance entre le nom de l’agent et l’identité powershell. La liste ci-dessous montre cette correspondance :

filtrage des destinataires : RecipientFilterConfig
filtrage des expéditeurs : SenderFilterConfig
l’identité des expéditeurs : SenderIDConfig
réputation de l’expéditeur : SenderReputationConfig
filtrage du contenu : ContentFilterConfig
filtrage de connexion autorisée : IPAllowListConfig ou IPAllowListProvider
filtrage de connexion bloquée : IPBlockListConfig ou IPBlockListProvider

Voici quelques actions importantes que l’on peut réaliser en lignes de commandes.

Pour vérifier si la fonction antispam est bien installée

get-TransportAgent affiche la liste récapitulative de tous les agents de transport installés sur un serveur de transport Hub dont certains sont commun avec ceux de l’antispam tel que l’agent de filtrage du destinataire (Recipient Filter Agent).

Pour vérifier si un des agents antispam est installé

get-X en remplaçant X par l’identité de l’agent en powershell correspondant.

Par exemple : get-RecipientFilterConfig

Pour activer ou désactiver les autres agents de l’antispam

set-X -Enabled $true pour activer
set-X -Enabled $false pour désactiver

en remplaçant X par l’identité de l’agent en powershell correspondant.

Par exemple : set-RecipientFilterConfig -Enabled $true

Pour bloquer un utilisateur en particulier au niveau du filtrage des destinataires

set-RecipientFilterConfig -BlockedRecipients utilisateur@votredomaine.tld

Pour obtenir des informations sur l’état de configuration du filtrage des destinataires

get-RecipientFilterConfig | fl en* ,re* ,ext* ,is*
Enabled :True              Activation de l’agent “Filtrage des destinataires”
RecipientValidationEnabled:True              Activation du filtrage des destinataires
ExternalMailEnabled :True              Traitement par l’agent de filtrage des messages de serveurs non authentifiés externes à l’organisation
IsValid : True              Indicateur de la bonne configuration de l’agent

Vérifier que tous ces champs sont à true.

Pour vérifier si le filtrage des destinataires est bien présent au sein du rôle Hub

get-TransportAgent -Identity Recip* | fl E*
Enabled  : True

Si ce n’est pas le cas, taper : enable-TransportAgent “Recipient Filter Agent”

Puis redémarrer le service de transport : Restart-Service MSExchangeTransport

Pour vérifier la disponibilité de la liste d’adresses des domaines acceptés

get-AcceptedDomain | ft id* ,add*
Identity   AddressBookEnabled
votredomaine.tld True

Si le carnet d’adresse n’est pas disponible (False au lieu de True), taper :

set-AcceptedDomain votredomaine.tld -AddressBookEnabled $true

ou pour généraliser à l’ensemble des domaino nes acceptés, taper :

get-AcceptedDomain | set-AcceptedDomain -AddressBookEnabled $true
Pour la procédure de désinstallation de l’antispam, il faudra refaire les étapes précédentes concernant son installation et remplacer le script ./install-AntispamAgents.ps1 par ./uninstall-AntispamAgents.ps1.

Nous avons essayé dans cet article d’être le plus complet possible afin de vous permettre de régler tous les cas possibles. Pour rappel, la procédure sous Exchange 2003 est différente, elle est présentée dans notre article: Filtrage des destinataires sous Exchange 2003.

En savoir plus sur notre logiciel antispam Altospam

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …