La protection d’Exchange Online met les messages problématiques en quarantaine
Dans un billet précédent, nous abordons les bases de l’examen des courriels mis en quarantaine par Exchange Online Protection à l’aide du Centre de sécurité et de conformité. Comme nous l’avons évoqué, il est important d’examiner les courriels mis en quarantaine pour comprendre si des messages qui ne devraient pas être bloqués y sont piégés en attendant d’être libérés. Personne ne souhaite qu’un message important expire dans la quarantaine (après 15 jours par défaut) et ne parvienne pas à son destinataire prévu.
Le problème est le temps nécessaire à l’examen des messages en quarantaine pour un utilisateur occupé. Faire défiler vers le haut et vers le bas une grande liste pour décider de libérer ou non les messages peut prendre des heures, surtout si vous n’autorisez pas les utilisateurs à libérer le courrier électronique en quarantaine. On l’aura donc bien compris, ici nous somme face à un problème de temps. Nous allons voir que des solutions existent.
PowerShell peut vous aider
Exchange Online comprend plusieurs cmdlets pour travailler avec les messages en quarantaine. Il pourrait être plus facile d’exécuter une tâche quotidienne pour saisir les détails de ce qui attend dans la quarantaine, faire une analyse de base et créer un fichier CSV des messages qui peuvent être examinés. Tous les messages qui ne devraient pas être libérés peuvent être supprimés du fichier, et le reste libéré pour la livraison.
Scripter l’analyse de la quarantaine
J’ai créé un script pour illustrer le principe. Le script récupère les détails des messages en quarantaine à l’aide de la cmdlet Get-QuarantineMessage et remplit une liste PowerShell avec les détails de chaque message. Vous pourriez utiliser directement la sortie de Get-QuarantineMessage, mais cette approche permet un traitement supplémentaire de chaque message, comme l’extraction de son domaine source et le calcul de la durée supplémentaire pendant laquelle il restera en quarantaine.
Nous utilisons ensuite la liste pour effectuer quelques analyses de base afin de savoir pourquoi les messages sont mis en quarantaine, qui reçoit ces messages et d’où ils proviennent.