McAfee Security for Microsoft Exchange 8.6.0

Analyse des e-mails entrants

Cette section présente des informations détaillées sur les étapes qu'entraîne l'arrivée d'un e-mail dans votre organisation et sur la manière dont MSME analyse ce message afin de déterminer s'il est infecté ou pas.

Le processus décrit ci-après part de l'hypothèse selon laquelle vous avez installé MSME pour tous les rôles suivants dans votre organisation.

Microsoft Exchange Server 2010 :
Serveur de transport Edge
Serveur de transport Hub
Serveur de boîte aux lettres
Microsoft Exchange Server 2013 et 2016 :
Serveur de transport Edge
MBX

Si vous ne disposez d'aucun serveur Exchange pour le rôle Transport Edge ou Transport Hub, MSME ignore les étapes liées à ce rôle.

Procédure
1 La pile SMTP hébergée par EdgeTransport.exe dans le rôle serveur de transport Edge reçoit l'e-mail.
2 MSME IP Agent (McTxIPAgent) vérifie la réputation de l'adresse IP source. La vérification par IP Agent a lieu avant les opérations TxAgent.
3 MSME Transport Agent (McAfeeTxAgent) analyse l'e-mail et vérifie qu'il ne contient aucun spam ni aucun message de phishing et que sa taille est correcte.
4 En cas de détection positive, l'e-mail est supprimé ou renvoyé à la pile SMTP.
5 Si l'e-mail n'est pas infecté, McAfeeTxRoutingAgent procède à son traitement.
6 MSME reçoit le même flux et lance une analyse de type filtrage des fichiers, analyse de contenu, analyse antivirus (AV) et filtrage des URL.
7 En cas de détection positive, une action est entreprise en fonction de la configuration du produit.
8 MSME estampille l'e-mail avec la référence antivirus (AV) conformément aux spécifications Microsoft.
9 L'e-mail est à présent envoyé au rôle serveur de transport Hub Exchange.
10 La pile SMTP hébergée par EdgeTransport.exe dans le rôle serveur de transport Hub reçoit l'e-mail.
11 L'agent de transport MSME (McAfeeTxAgent) analyse l'e-mail afin de déterminer s'il s'agit d'un message de spam ou de phishing, ou pour vérifier sa taille. Ce n'est que dans le cas de la tâche EdgeSync (serveur Edge ou Hub) que la session est authentifiée lorsque l'analyse antispam est ignorée. Dans ce cas, la vérification du créateur est utilisée pour l'authentification de la session.
12 En cas de détection positive, l'e-mail est supprimé ou renvoyé à la pile SMTP.
13 Si l'e-mail n'est pas infecté, McAfeeTxRoutingAgent le traite et recherche la référence antivirus.
14 Si une référence AV est présente, il la vérifie et la compare à celle que MSME constitue avec le moteur/le fichier DAT dans le rôle serveur de transport Hub.
15 Si la référence est différente, MSME reçoit le même flux et procède à différentes analyses : filtrage de fichiers, analyse du contenu et analyse antivirus.
16 Lors de l'analyse du trafic, MSME recherche une référence AV tandis que dans une analyse VSAPI, c'est la banque d'informations Exchange qui se charge de cette tâche et MSME ne reçoit pas d'appel d'analyse en cas de correspondance de référence antivirus.
17 En cas de détection positive, une action est entreprise en fonction de la configuration du produit.
18 MSME estampille l'e-mail avec la référence antivirus (AV) conformément aux spécifications Microsoft.
19 L'e-mail est acheminé jusqu'au rôle serveur de boîte aux lettres Exchange.
20 La banque d'informations Exchange reçoit l'e-mail et recherche la référence antivirus avant de l'enregistrer dans sa base de données.
21 En cas de correspondance de la référence AV, la banque d'informations enregistre l'élément sans l'analyser.
22 Si la référence AV ne correspond pas, la banque d'informations Exchange appelle VSAPI (Virus Scanning API) et analyse l'e-mail.
La vérification VSAPI s'applique uniquement aux serveurs Microsoft Exchange 2010.
23 En cas de détection d'un élément non autorisé, l'e-mail est remplacé ou supprimé conformément à la configuration du produit.
Les rôles Transport Hub et de boîte aux lettres ne sont pas applicables pour Microsoft Exchange Server 2013 et 2016.