[GUIDE] Comment installer IMF – Exchange 2003

Spams.jpgLes courriers électroniques non sollicités, appelés également courriers indésirables ou spam, sont envoyés d’une seule source et diffusés simultanément dans de nombreuses boîtes aux lettres. L’objectif des spammeurs est de faire parvenir les messages aux utilisateurs pour qu’ils soient ouverts et lus, car c’est ainsi qu’ils gagnent de l’argent. Ils utilisent différentes techniques pour placer les messages dans des zones grises où ils sont difficilement détectables au niveau de la passerelle.

Selon les estimations, plus de 40 % des messages électroniques entrants sont désignés comme spam. Ce flux croissant de courrier indésirable constitue un défi permanent pour les entreprises. Le spam n’est pas seulement ennuyeux, il est également coûteux en termes de perte potentielle de productivité et de ressources supplémentaires requises pour le gérer.

Par conséquent, une solution pratique s’impose pour développer des techniques de lutte contre le spam. Pour cela, IMF ou Intelligent Message Filter est un outil Microsoft pour lutter contre l’UCE (unsollicited commercial e-mail) ou plus communément le SPAM ! Cet outil est un stand-alone, mais fait aussi partie intégrante du Service PACK 2. Voici un guide complet sur l’implémentation et le tuning de ce filtre méconnu.

Quelques explications sur le fonctionnement

Dans une topologie Exchange Server 2003 classique, les serveurs de messagerie connectés à Internet sont déployés au niveau du périmètre Internet et isolés du réseau interne de l’entreprise. Ces serveurs de messagerie « passerelle » acceptent les e-mails entrants et les transfèrent au serveur de boîtes aux lettres approprié. En règle générale, les serveurs de passerelle ne contiennent pas de boîtes aux lettres d’utilisateurs. Toutefois, dans des organisations plus petites, un serveur de passerelle peut également comprendre ces boîtes aux lettres. Le filtre de messages intelligent est installé sur ces serveurs pour filtrer les messages Internet entrants. l’IMF doit donc être déployé sur chaque serveur SMTP virtuel, sinon le spam pourrait passer par un serveur qui ne dispose pas de IMF. NOTE: IMF ne supporte pas les clusteurs, mais les NLB (serveurs front-end) le sont. De plus IMF ne supporte pas une configuration POP3

imfdoc1.JPG

Lorsqu’un e-mail arrive sur un serveur Exchange sur lequel l’IMF est installé, celui-ci analyse le texte contenu dans le message et lui affecte un contrôle d’accès en fonction du risque de courrier indésirable qu’il représente. Ce contrôle d’accès est stocké en tant que propriété de message appelée contrôle d’accès SCL (Spam Confidence Level) avec le message lui-même. Il accompagne le message lorsque celui-ci est envoyé à d’autres serveurs Exchange. Un administrateur définit deux seuils qui déterminent la façon dont le filtre de messages intelligent gère les messages électroniques avec différents contrôles d’accès SCL : un seuil de passerelle avec une action associée à exécuter sur les messages qui dépassent ce seuil et un seuil de banque de boîtes aux lettres. Si le contrôle d’accès d’un message est supérieur au seuil de passerelle, le filtre de messages intelligent exécute l’action indiquée.

Si le contrôle d’accès du message est inférieur au seuil de passerelle, le message est envoyé à la banque de boîtes aux lettres Exchange du destinataire. Au niveau de la banque de boîtes aux lettres Exchange, si le contrôle d’accès du message est supérieur au seuil de banque de boîtes aux lettres, celle-ci remet le message dans le dossier de courrier indésirable de l’utilisateur et non dans sa boîte de réception. Ces notions sont importantes pour la suite du guide.

Le filtre de messages intelligent est appliqué à la fin de la session SMTP. Tous les messages électroniques auxquels le filtrage des expéditeurs, des connexions ou des destinataires a été appliqué sont gérés de façon individuelle et ne passent pas par le filtre de messages intelligent.

imfdoc2.JPG

1. Un serveur SMTP se connecte à Exchange et démarre une session SMTP.

2. Au cours de la session SMTP, Exchange applique le filtrage des connexions en utilisant les critères suivants :

  • Le filtrage des connexions vérifie la liste d’autorisations globale. Si une adresse IP figure dans la liste d’autorisations globale, aucun autre filtrage des expéditeurs, des connexions ou des destinataires n’est appliqué et le message est accepté.
  • Le filtrage des connexions vérifie la liste de refus globale. Si l’adresse IP du serveur d’envoi se trouve dans la liste de refus globale, le message est automatiquement refusé et aucun autre filtre n’est appliqué.
  • Le filtrage des connexions vérifie les listes d’interdiction en temps réel de tous les fournisseurs que vous avez configurés. Si l’adresse IP du serveur d’envoi se trouve dans une liste d’interdiction, le message est refusé et aucun autre filtre n’est appliqué.

3. Une fois le filtrage des connexions appliqué, Exchange vérifie l’adresse de l’expéditeur (informations P1 spécifiées dans la conversion SMTP par la commande MAIL FROM) en la comparant à la liste des expéditeurs que vous avez configurée dans le filtrage des expéditeurs. En cas de correspondance, Exchange rejette le message et aucun autre filtre n’est appliqué.

4. Exchange vérifie le destinataire dans la liste des destinataires que vous avez configurée dans le filtrage des destinataires. Si le destinataire concerné correspond à une adresse de messagerie que vous filtrez, Exchange refuse le message et aucun autre filtre n’est appliqué.

5. Une fois le filtrage des destinataires appliqué, Exchange vérifie l’adresse de l’expéditeur convertie (données P2) dans la liste des expéditeurs que vous avez configurée dans le filtrage des expéditeurs. Si l’expéditeur correspond à une adresse de la liste des expéditeurs, Exchange filtre le message selon les options configurées et aucun autre filtre n’est appliqué.

6. Si le filtrage des expéditeurs, des connexions ou des destinataires n’est pas appliqué à un message, le filtre de messages intelligent est appliqué et l’une des deux situations suivantes se produit au niveau de la passerelle :

  • Si le filtre de messages intelligent affecte au message un contrôle d’accès SCL supérieur au seuil de passerelle, il exécute l’action de passerelle appropriée.
  • Si le filtre de messages intelligent affecte au message un contrôle d’accès SCL inférieur ou égal au seuil de passerelle, le message est transmis au serveur Exchange avec la banque de boîtes aux lettres de l’utilisateur.

7. En cas d’utilisation d’Outlook 2003 ou Outlook Web Access avec Exchange 2003, la banque de boîtes aux lettres de l’utilisateur compare le contrôle d’accès SCL du message au seuil de banque configuré et l’une des deux situations suivantes se produit :

  • Si le contrôle d’accès du message est inférieur ou égal au seuil de banque, la banque de boîtes aux lettres vérifie la liste d’expéditeurs interdits de l’utilisateur configurée dans Outlook ou Outlook Web Access, et l’une des deux situations suivantes se produit :

1. Si l’expéditeur du message ne figure pas dans une liste d’expéditeurs interdits configurée dans Outlook ou Outlook Web Access, ou si aucune liste d’expéditeurs interdits n’est disponible ou définie, le message est remis dans la boîte de réception du destinataire.
2. Si l’expéditeur s’affiche dans la liste d’expéditeurs interdits configurée dans Outlook ou Outlook Web Access, le message est remis dans le dossier de courrier indésirable de l’utilisateur.

  • Si le contrôle d’accès du message est supérieur au seuil de banque, la banque de boîtes aux lettres vérifie la liste d’expéditeurs fiables de l’utilisateur configurée dans Outlook ou Outlook Web Access, et l’une des deux situations suivantes se produit :

1. Si l’expéditeur s’affiche dans la liste d’expéditeurs fiables, le message est remis dans la boîte de réception du destinataire.
2. Si l’expéditeur ne s’affiche pas dans la liste d’expéditeurs fiables ou si aucune liste d’expéditeurs fiables n’est disponible ou définie, le message est remis dans le dossier de courrier indésirable de l’utilisateur.

Important : Si vos utilisateurs disposent de versions d’Outlook antérieures à Outlook 2003, les seuils de banques de boîtes aux lettres n’ont aucun effet et les messages filtrés à l’étape 7 sont alors remis dans la boîte de réception des utilisateurs. Cependant, si vos clients peuvent accéder à la messagerie électronique à l’aide d’Outlook Web Access 2003, les seuils de banques sont appliqués comme indiqué à l’étape 7.

Implémentation

Protection des serveurs virtuels SMTP

Les attaques par dictionnaire sont des tentatives de piratage en force qui utilisent des mots courants comme possibles mots de passe pour découvrir le mot de passe valide de comptes bien connus, comme le compte administrateur. Des utilisateurs malveillants lancent des attaques par dictionnaire afin d’accéder à des ordinateurs.

imfprotection23.JPG

Pour protéger vos serveurs SMTP de passerelle contre d’éventuelles attaques par dictionnaire, vous pouvez désactiver toutes les formes d’authentification sur vos serveurs virtuels SMTP entrants qui acceptent les messages Internet. Dans la mesure où aucune authentification n’est permise, les utilisateurs malveillants ne peuvent pas utiliser d’attaques par dictionnaire pour découvrir des mots de passe et s’authentifier sur votre ordinateur afin de relayer du courrier électronique ou d’effectuer d’autres opérations non autorisées. Dans l’onglet Accès puis Authentification, respectez cette configuration:

imfprotection.JPG

Pour se prémunir du OPEN RELAY ou encore relais ouvert il convient simplement de respecter l’image suivante dans l’onglet Accès => Relais dans les propriétés du SMTP virtuel.

imfprotection3.JPG

Installation du SP2

Pour bénéficier de l’IMF version 2 inclus dans le SP2, il convient de désinstaller la version 1. Pour désinstaller la version 1 du filtre IMF, il convient avant d’installer le SP2, de le désinstaller via l’ajout/suppression de programme. Si celui-ci n’apparait pas, il faut le dé installer manuellement. Procéder comme cela:

  • Stoppez les services Exchange (Banque d’information, Surveillance du système, SMTP, anti-virus)
  • Supprimer le dossier MSCFV1 dans C:\Program Files\Exchsrvr\bin
  • Renommez le fichier ContentFilter.dll dans C:\Program Files\Exchsrvr\bin en .OLD
  • Dans le registre, supprimez la clé ContentFilterVersion dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange
  • Redémarrez le serveur

Afin que le filtre fonctionne correctement, il convient de s’assurer que les entrées dans l’Active Directory sont bien crées. l’IMF V1 n’utilise pas cette entrée, donc après l’installation du SP2, si l’entrée dans l’AD est présente, tout se passe bien, sinon, il faut la créer manuellement, comme suivant: Cn=UCE Content Filter,cn=Message Delivery,cn=Global Settings,cn=cn=Microsoft Exchange,cn=Services,cn=configuration,dc=votredomaine,dc=local.

imfadsi.JPG

IMF requiert également la clé suivante: HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange__ContentFilter__, il faut la créer manuellement si elle n’est pas présente. Redémarrer le service SMTP après modification. Cette clé de registre permet de:

  • Changer d’emplacement le dossier ArchiveDir
  • Stocker le paramétrage du taux SCL pendant l’archivage (par défaut, ce n’est pas stocké)
  • Filtre les messages d’utilisateurs authentifiés (par défaut, ce n’est pas actif)

Définir un seuil SCL

Les compteurs de performance de connaître la répartition des messages par valeur de contrôle d’accès. Plus la valeur de contrôle d’accès affectée à un message est élevée, plus il est probable qu’il s’agisse de courrier indésirable.

Dans Paramètres globaux de Propriétés de Remise des messages, sous Configuration du blocage de la passerelle, sélectionnez Aucune action dans la liste Lors du blocage des messages. Lorsque vous sélectionnez Aucune action, le filtre de messages intelligent continue à analyser chaque message entrant et à lui affecter la valeur de contrôle d’accès SCL appropriée.

imfdetect.JPG

Puis dans votre serveur SMTP virtuel, il convient d’activer l’IMF. Conformez-vous à l’image puis redémarrez le service SMTP suivi d’un IISRESET.

imfdetect2.JPG

Ensuite, sur votre serveur Exchange lancez l’analyseur de performances dans les outils d’administration, puis supprimez tous les compteurs, puis ajouter les compteurs suivant cette image:

imfperf1.JPG

Je vous conseille, selon le trafic du serveur Exchange, de laissez le compteur tourner pendant une période de 2 jours. Voici un exemple de résultats.

imfperf2.JPG

Nous pouvons voir dans cet exemple, que le seuil que nous allons retenir est 7 à partir duquel nous allons paramétrer l’IMF.

imfparametrage.JPG

La configuration du filtre de messages intelligent implique celle de deux paramètres principaux :

  • Dans Configuration du blocage de la passerelle, vous définissez un seuil basé sur une valeur de contrôle d’accès SCL au-delà de laquelle le serveur de passerelle intervient au niveau du message. Vous définissez également le type d’intervention que la passerelle doit effectuer.
  • Dans Configuration du courrier indésirable de la banque, vous définissez le seuil, basé sur la valeur de contrôle d’accès SCL d’un message, que les banques de boîtes aux lettres Exchange utilisent pour déterminer si les messages devront être remis dans le dossier de courrier indésirable d’un utilisateur ou dans sa boîte de réception.

Action de filtrage

Après avoir défini le seuil de la passerelle, vous devez spécifier l’action que le filtre de messages intelligent doit entreprendre lorsqu’il affecte à un message une valeur de contrôle d’accès SCL supérieure à ce seuil. Sous l’onglet Filtre de messages intelligent, dans la liste Lors du blocage des messages, sélectionnez l’action que le filtre de messages intelligent doit entreprendre lorsqu’il affecte à un message une valeur de contrôle d’accès supérieure au seuil spécifié. Choisissez l’une des actions suivantes :

  • Archiver (recommandé) pour archiver tous les messages marqués comme courrier publicitaire non sollicité et dont la valeur de contrôle d’accès est supérieure au seuil spécifié. Les messages archivés sont enregistrés dans le répertoire des archives. Ce répertoire se trouve à la racine du répertoire de file d’attente spécifié sous l’onglet Messages des propriétés du serveur virtuel SMTP. Par défaut, le répertoire des archives est Exchsrvr\Mailroot\vsi n\UCEArchive, où n est le numéro d’instance du serveur virtuel SMTP. Par défaut, le répertoire \Exchsrvr est créé dans le répertoire parent <lettre de lecteur>:\Program Files. Vous pouvez consulter les messages du répertoire des archives en les ouvrant dans le Bloc-notes ou dans Microsoft Outlook Express. Si vous découvrez qu’un message valable a été archivé, vous pouvez renvoyer ce message en le plaçant dans le répertoire Exchsrvr\Mailroot\vsi n\pickup. Le service SMTP remettra alors le message électronique à la boîte aux lettres appropriée.
  • Supprimer pour supprimer tous les messages marqués comme courrier publicitaire non sollicité et dont la valeur de contrôle d’accès est supérieure au seuil spécifié. Le message est accepté par Exchange, puis supprimé. Ni l’expéditeur, ni le destinataire concerné ne sont avertis que le message a été supprimé.
  • Aucune action (nécessaire pour définir un seuil SCL) pour n’effectuer aucune action sur les messages marqués comme courrier publicitaire non sollicité et dont la valeur de contrôle d’accès est supérieure au seuil spécifié. Cette valeur de contrôle d’accès est enregistrée avec les autres propriétés du message et celles-ci sont envoyées avec le message vers d’autres serveurs Exchange. Les serveurs de boîtes aux lettres Exchange utilisent la valeur de contrôle d’accès et les paramètres spécifiés dans Configuration du courrier indésirable de la banque pour déterminer si le message doit être remis dans la boîte aux lettres ou dans le dossier de courrier indésirable d’un utilisateur.
  • Rejeter pour rejeter le message au niveau de la passerelle. Exchange rejette le message au cours de la session SMTP et le serveur SMTP qui se connecte est alors responsable de la remise du rapport de non-remise à l’expéditeur.

Tuning IMF

Modification de l’emplacement de l’archivage

L’emplacement d’archivage est le répertoire où le filtre de messages intelligent enregistre les messages filtrés lorsque vous choisissez d’archiver les messages marqués comme courrier publicitaire non sollicité ayant une valeur de contrôle d’accès supérieure au seuil de passerelle spécifié. Il est configuré sous l’onglet Filtrage des connexions de la boîte de dialogue Propriétés de Remise des messages. Par défaut, les messages sont archivés dans le répertoire \Exchsrvr\mailroot\vsi n\UCEArchive, où n est le numéro d’instance du serveur virtuel SMTP. Par défaut, le répertoire \Exchsrvr est créé dans le répertoire parent <lettre de lecteur>:\Program Files.

Pour changer l’emplacement du répertoire des archives:

  • Dans l’Éditeur du Registre (regedit), dans le volet d’informations, cliquez avec le bouton droit sur ContentFilter, pointez sur Nouveau, puis cliquez sur Valeur chaîne.
  • Tapez ArchiveDir comme valeur de clé de Registre.
  • Cliquez avec le bouton droit sur ArchiveDir, puis cliquez sur Modifier.
  • Dans Modification de la chaîne, sous Données de la valeur, entrez le chemin d’accès complet au répertoire dans lequel vous voulez que soient archivés les messages filtrés par le filtre de messages intelligent. Par exemple, tapez C:\Archive.

Stockage de la valeur de contrôle d’accès SCL avec les messages archivés

Par défaut, lorsque le filtre de messages intelligent archive un message, il n’archive pas la valeur de contrôle d’accès SCL affectée au message. Si vous voulez archiver la valeur de contrôle d’accès SCL avec le message, vous pouvez créer une valeur DWORD de clé de Registre, ArchiveSCL, et lui affecter la valeur 1.

Pour archiver la valeur de contrôle d’accès SCL avec les messages archivés

  • Dans l’Éditeur du Registre (regedit), cliquez avec le bouton droit sur ContentFilter, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  • Tapez ArchiveSCL comme valeur de clé de Registre.
  • Cliquez avec le bouton droit sur ArchiveSCL, puis cliquez sur Modifier.
  • Dans Édition de la valeur DWORD, sous Données de la valeur, tapez 1.

Lorsque cette valeur de clé de Registre est paramétrée sur 1, le filtre de messages intelligent enregistre la valeur de contrôle d’accès SCL avec les messages archivés. La valeur de contrôle d’accès SCL est conservée dans le message en tant qu’en-tête de message étendu (X-SCL). Lorsque cette clé de Registre est paramétrée sur 0 ou si elle n’existe pas, le filtre de messages intelligent archive le message, mais pas la valeur de contrôle d’accès SCL qui lui est associée.

Afficher les valeurs SCL dans Outlook

Maintenant que la valeur SCL est enregistrée avec le message, il serait judicieux de le voir apparaître dans Outlook, pour le traiter au niveau client. Pour cela, il convient d’ajouter un formulaire qui permettra d’ajouter d’une colonne SCL dans la boîte de réception ! Vous pouvez télécharger ce fichier CFG, ici. Je vous conseille de le stocker ici: c:\program files\microsoft office\office X\forms\1036 car il recherche des icônes !

Dans OUTLOOK, allez dans Outils => Options => Autre => Options avancées => Formulaires personnalisés => Gérer les formulaires. Cliquez sur Installer et allez cherchez le fichier SCL.CFG

imfform.JPG

Puis dans le sélecteur de champ, choisissez Formulaires et ajouter le formulaire SCL Extension FORM, vous obtiendrez ainsi ceci !

imssclform.JPG

Pour réaliser la même chose avec OWA (Outlook Web Access), rendez-vous ici.

Exclure des expéditeurs du filtre IMF

Exchange Server 2003 filtre de messages intelligent Microsoft ne fournit pas la fonctionnalité pour exclure un destinataire particulier de filtrage anti-spam. Pour cela, il convient de patcher la DLL MSGFILTER.DLL présente dans \Exchsrvr\bin. Celle-ci doit avoir la version 6.5.7650.22 – poids 205,824. Vous pouvez télécharger ce patch ici (x86 – pas localisé).

Liste exclusive

Lorsque vous utilisez une liste exclusive, la messagerie ignore IMF si tous les destinataires dans un message électronique sont dans la liste. Dans le cas contraire, courrier électronique est filtré comme prévu.

  • Recherchez la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange%%%
  • Cliquez avec le bouton droit sur ContentFilter .
  • Pointez sur Nouveau , puis cliquez sur valeur DWORD .
  • Tapez CheckRecipients pour nommer la nouvelle valeur, puis appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur CheckRecipients , cliquez sur Modifier , tapez 2 dans la zone données de la valeur et appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur la sous-clé HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter, pointez sur Nouveau , puis cliquez sur valeur de chaînes multiples .
  • Tapez RecipList pour nommer la nouvelle valeur, puis appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur RecipList , cliquez sur Modifier , tapez les adresses SMTP que vous souhaitez exclure Intelligent Message Filter filtrage dans la zone données de la valeur et appuyez sur ENTRÉE.

Liste inclus

Lorsque vous utilisez une liste incluse, courrier électronique est analysé par le filtre Intelligent Message Filter si un des destinataires dans un message électronique est dans la liste. Dans le cas contraire, messagerie ignore filtrage Intelligent Message Filter.

  • Recherchez et cliquez avec le bouton droit sur la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter
  • Pointez sur Nouveau , puis cliquez sur valeur DWORD .
  • Tapez CheckRecipients pour nommer la nouvelle valeur, puis appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur CheckRecipients , cliquez sur Modifier , tapez 1 dans la zone données de la valeur et appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur la sous-clé HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter, pointez sur Nouveau , puis cliquez sur valeur de chaînes multiples .
  • Tapez RecipList pour nommer la nouvelle valeur, puis appuyez sur ENTRÉE.
  • Cliquez avec le bouton droit sur RecipList , cliquez sur Modifier , tapez les adresses SMTP que vous souhaitez être analysés par Intelligent Message Filter filtrage dans la zone données de la valeur et appuyez sur ENTRÉE.

Note: Si la clé de Registre CheckRecipients est définie sur 0 (zéro), le filtre de messages intelligent fonctionnalité de filtrage est désactivé.

Utilisation du fichier de pondération personnalisée

La fonction de pondération personnalisée du filtre de messages intelligent pour SP2 permet aux administrateurs de personnaliser le comportement du filtre de messages intelligent en fonction des phrases contenues dans le corps d’un message électronique, dans la ligne d’objet ou dans les deux.

Aucune interface utilisateur n’est associée à la fonction de pondération personnalisée. Celle-ci est disponible sous la forme d’un fichier de configuration XML lu par le filtre de messages intelligent lors de l’initialisation, puis rechargé à chaque fois que le fichier est modifié. Si le fichier de configuration XML n’est pas présent au démarrage du filtre de messages intelligent, vous devez redémarrer le service SMTP. Le fichier de pondération personnalisée, MSExchange.UceContentFilter.xml, doit se trouver dans le même répertoire que les fichiers MSExchange.UceContentFilter.dll et .dat. Voici un exemple de fichier XML.

<?xml version="1.0" encoding="UTF-16"?><CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight">    <CustomWeightEntry Type="BODY" Change="1" Text="devis"/>    <CustomWeightEntry Type="BODY" Change="5" Text="Profitez"/>    <CustomWeightEntry Type="BOTH" Change="MAX" Text="VIAGRA"/></CustomWeightEntries>

BODY => Recherche une correspondance dans le corps d’un message affiché.
SUBJECT => Recherche une correspondance dans l’objet d’un message affiché.
BOTH => Recherche une correspondance dans l’objet et le corps d’un message.
Change => Définit l’effet d’une correspondance sur la valeur de contrôle d’accès (SCL) d’un message correspondant.Change peut être n’importe quelle valeur entière. Si la phrase correspond, la modification est ajoutée à la valeur SCL d’origine. Les valeurs SCL sont normalisées dans une plage de 0 à 9 (si elles dépassent cette plage en raison des poids personnalisés). Change peut également utiliser les mots clés MIN ou MAX. À chaque fois qu’une phrase contenant le mot clé MIN correspond, le message reçoit une SCL de 0, quels que soient les autres poids. À chaque fois qu’une phrase contenant le mot clé MAX correspond, le message reçoit une SCL de 9, quels que soient les autres poids. À chaque fois que les mots clés MIN et MAX correspondent pour un message, celui-ci reçoit une SCL de 0.
Text => La pondération personnalisée peut accepter une phrase Unicode comprenant jusqu’à 1 000 caractères.

Mais il existe un outil qui permet de faire tout ceci de façon graphique ! A télécharger ici.

ssIMFeditor.jpg

Visualisation des archives

Lorsque vous sélectionnez l’action Archive pour le filtre IMF, les mails archivés selon votre seuil SCL sont déplacés dans le dossier UCEArchive. Il existe deux utilitaires qui permettent de relire les mails, le seuil SCL afin de décider si il doit être délivré ou non. De plus, les logiciels sont capables (grâce au paramétrage du PICKUP) de renvoyer les mails après validation d’un seuil. Requalifier un seuil SCL se fait plus haut à la section Utilisation du fichier de pondération personnalisée.

imfarchiveview.JPG

IMF Companion
IMF Archive Manager

Liste Blanche IP

Pour des raisons techniques ou pratiques, il peut être nécessaire de créer une liste blanche qui ne serait pas prise en compte par IMF. Seules les d’adresses IP sont prises en compte.

imfwhitelist.JPG

Activez ensuite au niveau de votre serveur SMTP virtuel le filtre de connexion. Cochez également le filtre des ip expéditeur pour améliorer la lutte contre le spam. Cette technologie repose sur des enregistrement SPF au niveau des serveurs DNS. Pour obtenir un enregsitrement SPF, rendez-vous ici.

Voici comment marche SenderID.

sender_id.jpg

  1. Un utilisateur envoie un message à un destinataire.
  2. Le serveur de courrier entrant reçoit le message.
  3. Le serveur de courrier entrant vérifie l’enregistrement SPF (Sender policy framework) du domaine émetteur du message. Il détermine ensuite si le serveur qui a envoyé le message est bien un serveur autorisé pour ce domaine.
  4. Si l’adresse IP du serveur correspond à une des adresses IP des serveurs autorisés dans l’enregistrement SPF alors le mail est accepté. Sinon, l’authentification échoue et le courrier est rejeté.

sender_id_1.jpg

Laisser l’option Accepter, ainsi l’état de l’ID expéditeur sera joint pour traitement complémentaire (IMF). Voici le fichier CFG pour Outlook, cliquez ici.

Voici les codes de renvoi:

NEUTRAL 0x1
PASS 0x2
FAIL 0x3
SOFT_FAIL 0x4
NONE 0x5
TEMP_ERROR 0x80000006
PERM_ERROR 0x80000007

Sinon, il est possible de personnaliser et d’analyser les codes de retour pour obtenir quelque chose de plus parlant dans Outlook que des codes…

Dans le Sélecteur de champs, il faut aller dans Nouveau, puis respecter l’image ci-dessous et copier la formule suivante

IIf(SenderID=1,"NEUTRAL",IIf(SenderID=2,"PASS",IIf(SenderID=3,"FAIL",IIf(SenderID=4,"SFAIL",IIf(SenderID=5,"NONE",IIf(SenderID=-2147483641,"PERM_ERR",IIf(SenderID=-2147483642,"TEMP_ERR",SenderID)))))))

senderidform.JPG

senderidview.JPG

Divers

Le filtre IMF n’analyse pas les emails de plus de 3 Mo (KB Microsoft 907691), qui peut générer l’événement 7515. Microsoft part du principe qu’un spam ne peut pas être plus lourd que la taille définie.

Vous pouvez créer une liste blanche par le biais de script reposant sur un fichier texte. Télécharger le script ici.

J’espère avoir été assez complet pour ce dossier, la partie Exchange 2007 est en cours de préparation.

En attendant, retrouvez le guide au format PDF, ici.

Partagez si ça vous plait !
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest

1 Commentaire
Commentaires en ligne
Afficher tous les commentaires
william
william
10 années il y a

bonjour,

très bon article bien détaillé.
Je rencontre un problème qui n’est pas détaillé dans cette page : en effet j’ai bien activé toutes les options mais le « filtre de message intelligent » n’apparaît pas en dessous de mon serveur virtuel SMTP alors que j’ai bien coché les cases une idée ? (vous pouvez me répondre par mail si vous voulez pas polluer l’article)

1
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x