McAfee Security for Microsoft Exchange 8.6.0

Configurer les paramètres de réputation de l'URL de courrier

Configurez les paramètres de Réputation de l'URL de courrier pour détecter les URL malveillantes dans le corps de l'e-mail.

Une fois activé, MSME analyse chaque URL dans le corps de l'e-mail, obtient le score de réputation, compare le score au seuil défini, et effectue l'action adéquate.

Le logiciel traite le message avant qu'il ne pénètre dans l'organisation en retirant les URL du corps de l'e-mail. Si un e-mail contient plusieurs URL, et qu'une de ces URL dépasse le seuil défini, l'action est effectuée sur l'e-mail conformément à la configuration.

L'activation de cette fonctionnalité protège votre système des menaces comme les attaques de déni de service (DoS), les liens de phishing, les URL contenant des logiciels malveillants ou les URL indésirables.

La fonctionnalité Réputation de l'URL de courrier est disponible pour ces stratégies :
A l'accès
A la demande (par défaut), et
A la demande (analyse complète)
Selon l'option de configuration que vous avez sélectionnée pendant l'installation du logiciel, la réputation de l'URL de courrier est activée ou désactivée par défaut pour les stratégies :
Pour la Configuration par défaut — Désactivée pour toutes les stratégies.
Pour la Configuration améliorée — Activée uniquement pour les stratégies d'analyse à l'accès.

Lorsque vous activez l'option Réputation de l'URL de courrier pour la première fois, le logiciel télécharge le cache local des URL à partir du serveur McAfee GTI.

Pour chaque URL, le logiciel vérifie le score de réputation auprès de la base de données locale et effectue l'action adéquate selon la configuration. Si le score de réputation n'est pas disponible au sein de la base de données locale, le logiciel obtient le score auprès du serveur McAfee GTI. Le logiciel vérifie auprès du serveur McAfee GTI et met à jour la base de données locale à intervalles réguliers. Si la base de données locale n'est pas mise à jour pendant 30 jours, le logiciel télécharge l'ensemble de la base de données lors de la mise à jour suivante. Dans le cas contraire, la mise à jour est incrémentielle. Par défaut, la base de données locale est mise à jour une fois par jour, tous les jours. Vous ne pouvez pas modifier l'emplacement du stockage de la base de données.

Vous ne pouvez pas mettre à jour la base de données locale à l'aide de ePolicy Orchestrator, car le serveur a besoin de connexions Internet directes. Toutefois, si vous utilisez le serveur proxy pour télécharger les règles antispam, la même configuration peut être utilisée pour télécharger la base de données d'URL.
Procédure
1 Dans le Gestionnaire de stratégies, sélectionnez un élément de sous-menu désignant l'analyseur Réputation de l'URL de courrier.
La protection Réputation de l'URL de courrier est disponible uniquement pour les stratégies A l'accès, A la demande (par défaut), et A la demande (analyse complète).
2 Cliquez sur Stratégie principale ou sur une Sous-stratégie à configurer, cliquez sur l'onglet Afficher la liste de tous les analyseurs, puis cliquez sur Réputation de l'URL de courrier.
3 A partir d'Activation, sélectionnez Activer.
Si vous êtes en train de configurer les paramètres d'une sous-stratégie, sélectionnez l'option Utiliser la configuration de la stratégie parente afin d'hériter des paramètres de la stratégie parente.
Si vous ajoutez un nouvel analyseur à la stratégie, vous pouvez spécifier une plage horaire d'activation de l'analyseur à partir de la liste déroulante A quelle heure souhaitez-vous que ceci s'applique ?.
4 Dans la liste déroulante Options, vous pouvez sélectionner :
Paramètres d'URL de courrier par défaut — Pour appliquer les valeurs de seuil par défaut.
Créer un nouveau jeu d'options — Pour définir les valeurs de seuil comme requis.
Si vous modifiez les paramètres existants, assurez-vous de fournir un Nom de l'instance unique pour les paramètres de l'analyseur.
5 Pour définir les paramètres de l'analyseur, sélectionnez Créer un nouveau jeu d'options.
6 Sur la page Réputation de l'URL de courrier, définissez ces valeurs, puis cliquez sur Enregistrer.
Nom de l'instance Seuil inférieur de réputation d'URL
Seuil supérieur de réputation d'URL Nombre maximum d'URL par e-mail
La valeur Seuil supérieur de réputation d'URL doit être supérieure à la valeur Seuil inférieur de réputation d'URL.

Si une URL apparaît plusieurs fois, l'URL comptée est 1, et non le nombre d'occurrences. Par exemple, si l'e-mail contient 50 URL et qu'une URL apparaît 20 fois, la somme des URL est 31 et non 50.

7 Pour la section Actions à entreprendre, cliquez sur Modifier pour définir les actions.
Vous pouvez également appliquer les paramètres par défaut.
8 Sur la page Actions de réputation de l'URL de courrier, définissez ces paramètres pour Si le score de réputation de l'URL de courrier dépasse le seuil supérieur, Si le score de réputation de l'URL de courrier est inférieur au seuil supérieur, et Lorsque le nombre d'URL de courrier dépasse la limite.
a A partir de la liste déroulante Entreprendre l'action suivante, sélectionnez :
Remplacer l'élément par une alerte.
Supprimer le message.
Autoriser.
Lorsque vous sélectionnez Remplacer l'élément par une alerte, sélectionnez le format d'alerte :
Alerte de réputation de l'URL de courrier par défaut — Pour utiliser le message d'alerte par défaut.
Créer — Pour définir le message d'alerte comme vous le souhaitez. Saisissez un nom unique pour le Nom de l'alerte, définissez le message d'alerte, définissez le format de texte à partir de la liste déroulante Afficher, puis cliquez sur Enregistrer.
McAfee recommande d'enregistrer les alertes au format texte simple afin de permettre à tous les clients de messagerie d'afficher le contenu texte.
b A partir de la section Et aussi, définissez ces options :
Consigner Notifier l'expéditeur interne
Quarantaine Avertir l'expéditeur externe
Transférer l'e-mail mis en quarantaine Notifier le destinataire interne
Notifier l'administrateur Avertir le destinataire externe
Pour la définition de chacune de ces options, voir Actions pouvant être entreprises concernant les détections.
9 Cliquez sur Enregistrer pour appliquer les paramètres et revenir à la page des paramètres de stratégie.
10 Cliquez sur Appliquer pour implémenter ces paramètres dans une stratégie.
Vous pouvez afficher les URL détectées à partir de la page Eléments détectés | Réputation de l'URL de courrier. Dans la section Afficher les résultats, vous pouvez afficher la liste des URL détectées. Cliquez sur URL bloquées dans la colonne Phrases interdites pour un affichage détaillé.

Exemples de seuils supérieur et inférieur de réputation d'URL

Définissez la valeur Seuil supérieur de réputation d'URL sur 80 et la valeur Seuil inférieur de réputation d'URL sur 50. Si le score de réputation de l'URL est :
Score de réputation GTI de Action
Supérieur à 80 Une action est effectuée conformément aux paramètres de réputation de l'URL de courrier.
Inférieur à 50 MSME autorise l'e-mail avec l'URL.
Entre 50 et 80 MSME suspecte que l'URL peut être malveillante et agit selon les paramètres.
La valeur du seuil Fortement suspect détecte les URL malveillantes les plus dangereuses. Lorsque vous réduisez la valeur du seuil, les chances d'obtenir un faux positif augmentent. Faux positif – Une URL peut être légitime, mais la base de données la considère comme une URL malveillante potentielle.