La fonctionnalité PhishER Blocklist vous permet d’empêcher les courriers malveillants ou indésirables d’atteindre les boîtes de réception de vos utilisateurs. Lorsque vous examinez les e-mails signalés par les utilisateurs, vous pouvez mettre à jour votre liste de blocage afin d’envoyer des informations relatives aux menaces ou au courrier indésirable à votre serveur de messagerie Microsoft 365.

Une fois la liste de blocage activée et connectée à votre serveur de messagerie, vous pouvez créer et gérer les entrées de votre liste de blocage. Chacune de ces entrées contient des informations que votre serveur de messagerie utilise pour filtrer de futurs messages. Par exemple, si vous créez une entrée pour une adresse e-mail malveillante, votre serveur de messagerie déplacera automatiquement tout nouvel e-mail provenant de cette adresse e-mail dans le dossier Junk (Courrier indésirable) de vos utilisateurs.

Lisez les sections ci-dessous pour en savoir plus sur la PhishER Blocklist.

Activer et autoriser PhishER Blocklist

Pour pouvoir créer des entrées, vous devez activer PhishER Blocklist. Vous devez également autoriser la Global Blocklist en attribuant le rôle d’Administrateur Exchange à l’application PhishER Blocklist dans votre compte Microsoft 365 à l’aide de Microsoft Entra ID.

Pour activer et autoriser la liste de blocage, procédez comme suit :

1. Depuis votre console PhishER, accédez à la page Settings (Paramètres) > Blocklist.
2. Si aucun serveur de messagerie Microsoft 365 n’est connecté à votre liste de blocage, cliquez sur Connect to Microsoft 365 (Connecter à Microsoft 365) et ajoutez une connexion.
3. Activez le commutateur en haut de la page en regard de Disabled (Désactivé), puis cliquez sur Save (Enregistrer).
4. Dans votre portail Microsoft Entra ID, attribuez le rôle d’administrateur Exchange à l’application PhishER Blocklist.
   
   
   Remarque : pour en savoir plus sur l’activation de la liste de blocage, consultez la section Blocklist de notre article Paramètres PhishER : intégrations. Pour plus d’informations sur l’attribution de ce rôle, consultez notre article Assigner le rôle d’administrateur Exchange à l’application PhishER Blocklist.

Créer des entrées PhishER Blocklist

Vous pouvez créer des entrées à ajouter à votre liste de blocage à partir de l’onglet Blocklist ou de la page Message Details (Détails du message). Si vous avez activé PhishML, vous pouvez utiliser les tags PhishML pour vous aider à classer les messages par ordre de priorité avec les valeurs que vous souhaitez ajouter à la liste de blocage.

Pour découvrir comment créer des entrées dans l’onglet Blocklist ou la page Message Details (Détails du message), consultez les sous-sections ci-après.

Créer des entrées à partir de l’onglet Blocklist

Pour créer une nouvelle entrée dans l’onglet Blocklist, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Accédez à Blocklist > Your Syncing Entries (Vos entrées en cours de synchronisation).
3. Cliquez sur le bouton Create Blocklist Entry (Créer une entrée Blocklist) dans l’angle supérieur droit de la page. La fenêtre contextuelle Create Blocklist Entry (Créer une entrée Blocklist) s’ouvre alors.
4. Remplissez les champs dans la fenêtre contextuelle pour créer votre entrée. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :
   
   1. Attribute (Attribut) : sélectionnez l’attribut que vous souhaitez utiliser pour votre entrée. L’attribut est le type d’information qui doit être filtré par votre serveur de messagerie. Sélectionnez Sender (Expéditeur) pour utiliser l’adresse e-mail ou le domaine d’un expéditeur comme valeur. Par exemple, vous pouvez saisir une adresse e-mail entière telle que « nom_utilisateur@domaine.com » ou un nom de domaine tel que « domaine.com » comme Value (Valeur). Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, vous pouvez saisir « www.nomdusite.com/pagedusite » ou « www.nomdusite.com » comme Value (Valeur). Sélectionnez l’option File Hash (Hachage de fichier) pour utiliser un hachage de fichier SHA-256 comme valeur.
   2. Valeur : dans ce champ, saisissez les informations spécifiques qui déclencheront le filtrage d’un message par le serveur de messagerie. Par exemple, si vous sélectionnez Sender (Expéditeur) dans le champ Attribute (Attribut), saisissez l’adresse e-mail de l’expéditeur dans ce champ.
   3. Durée : dans ce menu déroulant, sélectionnez la durée pendant laquelle vous souhaitez que l’entrée reste sur votre liste de blocage. Les entrées seront automatiquement retirées de votre liste de blocage au terme de la durée indiquée. Une durée de 30 jours est sélectionnée par défaut, ce qui correspond à la durée par défaut de la liste Microsoft des locataires autorisés/bloqués.
      Remarque : lorsque le paramètre Allow Blocklist entries without an expiration date (Autoriser les entrées Blocklist sans date d'expiration) est activé dans le sous-onglet Preferences (Préférences) des Paramètres de PhishER, l'option Never Expire (Sans date d'expiration) est disponible.
      Il est essentiel de maintenir votre liste de blocage à jour, car les cybercriminels peuvent changer rapidement de méthode d’attaque. La définition d’une durée vous permet de mettre à jour votre liste de blocage en utilisant les informations de messages récemment signalés par vos utilisateurs.
5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste de blocage.

Après avoir créé l’entrée, vous pouvez contrôler son statut et d’autres détails. Pour en savoir plus, consultez la section Contrôler les entrées de la liste de blocage de cet article.

Créer des entrées à partir de Message Details (Détails du message)

Pour créer une nouvelle entrée à partir de la page Message Details (Détails du message), procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Accédez à l’onglet Inbox (Boîte de réception).
3. Cliquez sur un message pour ouvrir la page Message Details (Détails du message).
4. Cliquez sur l’icône rouge Bloquer située en regard d’un attribut. La fenêtre contextuelle Create Blocklist Entry (Créer une entrée Blocklist) s’ouvre alors.
5. Remplissez les champs dans la fenêtre contextuelle pour créer votre entrée. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :
   
   1. Attribute (Attribut) : sélectionnez l’attribut que vous souhaitez utiliser pour votre entrée. L’attribut est le type d’information qui doit être filtré par votre serveur de messagerie. Sélectionnez l’option Sender (Expéditeur) pour utiliser l’adresse e-mail ou le domaine d’un expéditeur comme valeur. Par exemple, vous pouvez saisir une adresse e-mail entière telle que « nom_utilisateur@domaine.com » ou un nom de domaine tel que « domaine.com » comme Value (Valeur). Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, vous pouvez saisir « www.nomdusite.com/pagedusite » ou « www.nomdusite.com » comme Value (Valeur). Sélectionnez l’option File Hash (Hachage de fichier) pour utiliser un hachage de fichier SHA-256 comme valeur.
   2. Valeur : dans ce champ, saisissez les informations spécifiques qui déclencheront le filtrage d’un message par le serveur de messagerie. Par exemple, si vous sélectionnez Sender (Expéditeur) dans le champ Attribute (Attribut), saisissez l’adresse e-mail de l’expéditeur dans ce champ.
   3. Durée : dans ce menu déroulant, sélectionnez la durée pendant laquelle vous souhaitez que l’entrée reste sur votre liste de blocage. Les entrées seront automatiquement retirées de votre liste de blocage au terme de la durée indiquée. Une durée de 30 jours est sélectionnée par défaut, ce qui correspond à la durée par défaut de la liste Microsoft des locataires autorisés/bloqués.
      Remarque : lorsque le paramètre Allow Blocklist entries without an expiration date (Autoriser les entrées Blocklist sans date d'expiration) est activé dans le sous-onglet Preferences (Préférences) des Paramètres de PhishER, l'option Never Expire (Sans date d'expiration) est disponible.
      Il est essentiel de maintenir votre liste de blocage à jour, car les cybercriminels peuvent changer rapidement de méthode d’attaque. La définition d’une durée vous permet de mettre à jour votre liste de blocage en utilisant les informations de messages récemment signalés par vos utilisateurs.
6. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à votre liste de blocage.

Après avoir créé l’entrée, vous pouvez contrôler son statut et d’autres détails. Pour en savoir plus, consultez la section Contrôler les entrées de la liste de blocage de cet article.

Contrôler les entrées PhishER Blocklist

Vous pouvez surveiller toutes les entrées de votre liste de blocage depuis le sous-onglet Your Syncing Entries (Vos entrées en cours de synchronisation). Les entrées sont classées par valeur.

Une fois créées, les entrées s’affichent dans le sous-onglet Your Syncing Entries (Vos entrées en cours de synchronisation) de l’onglet Blocklist. Vous pouvez également supprimer des entrées et consulter le statut de synchronisation de chaque entrée dans vos serveurs de messagerie.

Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Filter by Attribute (Filtrer par attribut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un type d’attribut spécifique.
   Remarque : la PhishER Blocklist peut comporter 500 entrées au maximum par Expéditeur, URL et Hachage de fichier.
2. Filter by Status (Filtrer par statut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un statut spécifique.
3. Filter by Entry Type (Filtrer par type d’entrée) : si vous avez activé la Global Blocklist, vous pouvez utiliser ces filtres pour afficher uniquement les entrées de la Global Blocklist ou les entrées personnalisées de votre PhishER Blocklist.
4. Valeur : cette colonne affiche la valeur de l’entrée. Il peut s’agir d’une adresse de l’expéditeur, d’une URL ou d’un hachage de fichier. Votre serveur de messagerie filtrera les e-mails contenant cette même valeur. Pour en savoir plus sur la manière dont les e-mails sont filtrés, consultez la liste ci-dessous :
   • URL ou hachage de fichier : si un e-mail contient une valeur d’URL ou de hachage de fichier qui correspond à une entrée, le serveur de messagerie déplace automatiquement l’e-mail dans le dossier Quarantine (Quarantaine).
   • Sender (Expéditeur) : si un e-mail contient une valeur d’expéditeur qui correspond à une entrée, le serveur de messagerie déplace automatiquement l’e-mail dans le dossier Junk (Courrier indésirable).
   Conseil :vous pouvez également cliquer sur une valeur dans la colonne pour afficher la page Blocklist Audit Log (Journal d’audit de la blocklist). Pour en savoir plus, lisez la section Examiner le journal d’audit de cet article.
5. Status (Statut) : cette colonne affiche le statut de l’entrée. Consultez la liste ci-dessous pour en savoir plus sur les statuts :
   • Pending (En attente) : ce statut indique que l’entrée est en cours d’ajout ou de suppression de la liste de blocage.
   • Active (Actif) : ce statut indique que l’entrée a été ajoutée à la liste de blocage et synchronisée avec le serveur de messagerie connecté.
   • Incomplete (Inachevé) : ce statut indique qu’une entrée a été ajoutée et synchronisée avec un ou plusieurs des serveurs de messagerie connectés, mais pas avec l’ensemble d’entre eux.
   • Failed (Échec) : ce statut indique que l’entrée n’a pas été ajoutée et synchronisée. Si plusieurs serveurs de messagerie sont connectés à votre liste de blocage et qu’une entrée n’est pas synchronisée avec chacun d’entre eux, l’entrée comportera la mention Failed (Échec).
6. Created By (Créée par) : cette colonne indique qui a créé l’entrée. La mention Admin signifie qu’un administrateur PhishER a créé l’entrée dans votre PhishER Blocklist. La mention KnowBe4 signifie que le Laboratoire de recherche des menaces de KnowBe4 a créé l’entrée pour la Global Blocklist.
7. Created On (Créée le) : cette colonne affiche la date et l’heure auxquelles l’entrée a été ajoutée à la blocklist.
8. Expires On (Expire le) : cette colonne affiche la date et l’heure auxquelles l’entrée sera automatiquement retirée de la blocklist.
   Remarque : la PhishER Blocklist se synchronise avec votre serveur de messagerie Microsoft 365 toutes les 10 minutes. Les entrées en attente sur votre liste des locataires autorisés/bloqués Microsoft 365 sont alors ajoutées au sous-onglet Your Syncing Entries (Vos entrées en cours de synchronisation) de votre console PhishER. La synchronisation des entrées de votre liste des locataires autorisés/bloqués avec la PhishER Blocklist peut prendre jusqu’à 24 heures. Dans la colonne Expires On (Expire le), une entrée synchronisée affichera la date et l’heure auxquelles celle-ci sera automatiquement retirée des deux listes de blocage. Si les entrées de votre liste de locataires autorisés/bloqués ou les entrées de la PhishER Blocklist n’ont pas de date d’expiration, la colonne Expires On (Expire le) affiche Never Expires (Sans date d’expiration).
9. Actions : vous pouvez cliquer sur l’icône en forme de corbeille de cette colonne pour ouvrir la fenêtre contextuelle Delete Blocklist Entry (Supprimer l’entrée de la liste de blocage). Vous pouvez alors supprimer une entrée de votre PhishER Blocklist. Vous pouvez également supprimer et ignorer une entrée pour l’empêcher d’être ajoutée à votre PhishER Blocklist. Pour en savoir plus sur les entrées ignorées, consultez la section Ignorer des entrées ci-après.

Ignorer des entrées

Si vous souhaitez éviter que des entrées ne soient bloquées sur vos serveurs de messagerie, vous pouvez les ajouter à vos entrées ignorées. Les entrées ignorées ne peuvent pas être ajoutées à votre PhishER Blocklist. Le domaine de votre organisation est automatiquement ignoré et ne peut pas être ajouté manuellement à vos entrées ignorées.

Lorsque vous ignorez une entrée, toutes les entrées correspondantes de votre PhishER Blocklist sont marquées comme étant en attente pour indiquer qu’elles seront supprimées. Vous ne pouvez pas créer d’entrée correspondante dans votre liste de blocage à moins de supprimer l’entrée ignorée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées).

Pour ignorer une entrée figurant dans la liste de blocage, procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Accédez à Blocklist > Your Syncing Entries (Vos entrées en cours de synchronisation).
3. Trouvez l’entrée que vous souhaitez ignorer.
4. Cliquez sur l’icône en forme de corbeille correspondant à cette entrée dans la colonne Actions. La fenêtre contextuelle Delete Blocklist Entry (Supprimer une entrée Blocklist) s’ouvre alors.
5. Dans cette fenêtre contextuelle, cliquez sur Delete and Ignore (Supprimer et ignorer). Une entrée ignorée sera ajoutée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées) et l’entrée de la liste de blocage sera marquée comme étant en attente pour indiquer sa prochaine suppression.

Pour créer une entrée ignorée dans le sous-onglet Your Ignored Entries (Vos entrées ignorées), procédez comme suit :

1. Connectez-vous à votre console PhishER.
2. Accédez à Blocklist > Your Ignored Entries (Vos entrées ignorées).
3. Cliquez sur le bouton Create Ignored Entry (Créer une entrée ignorée) dans l’angle supérieur droit de la page. La fenêtre contextuelle Create Ignored Entry (Créer une entrée ignorée) s’ouvre alors.
4. Créez votre entrée ignorée dans la fenêtre contextuelle. Pour en savoir plus, consultez la capture d’écran et la liste ci-dessous :
   1. Attribute (Attribut) : sélectionnez le type d’attribut que vous souhaitez utiliser pour votre entrée ignorée. Sélectionnez l’option Sender (Expéditeur) pour utiliser l’adresse e-mail ou le domaine d’un expéditeur comme valeur. Par exemple, vous pouvez saisir une adresse e-mail entière telle que « nom_utilisateur@domaine.com » ou un nom de domaine tel que « domaine.com » comme Value (Valeur). Sélectionnez l’option URL pour utiliser une URL complète ou un nom d’hôte comme valeur. Par exemple, vous pouvez saisir « www.nomdusite.com/pagedusite » ou « www.nomdusite.com » comme Value (Valeur). Sélectionnez l’option File Hash (hachage de fichier) pour utiliser un hachage de fichier SHA-256 comme valeur.
   2. Valeur : saisissez dans ce champ la valeur spécifique qui ne doit pas être bloquée sur votre serveur de messagerie. Par exemple, si vous sélectionnez Sender (Expéditeur) dans le champ Attribute (Attribut), saisissez l’adresse e-mail de l’expéditeur dans ce champ.
   
5. Cliquez sur Save (Enregistrer) pour ajouter l’entrée à vos entrées ignorées.

Vous pouvez surveiller les entrées ignorées depuis le sous-onglet Your Ignored Entries (Vos entrées ignorées). Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Search… (Rechercher) : vous pouvez utiliser ce champ pour filtrer les entrées ignorées à l’aide de requêtes Lucene.
   
   
   Remarque : pour chercher des entrées avec une valeur similaire, vous devez utiliser des caractères génériques. Par exemple, vous pouvez rechercher « *yahoo.com » pour trouver toutes les valeurs contenant « *yahoo.com ». Pour en savoir plus, consultez notre article Comment utiliser la syntaxe des requêtes Lucene.
2. Filter by Attribute (Filtrer par attribut) : vous pouvez utiliser ces filtres pour consulter les entrées ayant un type d’attribut spécifique.
3. Value (Valeur) : cette colonne affiche la valeur de l’entrée.
4. Created On (Créée le) : cette colonne affiche la date et l’heure auxquelles l’entrée ignorée a été ajoutée.
5. Actions : vous pouvez cliquer sur l’icône en forme de corbeille de cette colonne pour supprimer une entrée ignorée. Si vous supprimez une entrée ignorée, vous pouvez utiliser la valeur de l’entrée pour créer une nouvelle entrée dans votre PhishER Blocklist.

Examiner le journal d’audit

Sur votre console PhishER, accédez à Blocklist > Audit Log (Journal d’audit) pour consulter le sous-onglet du journal d’audit. Ce journal répertorie toute activité relative à votre PhishER Blocklist et la Global Blocklist et vous permet notamment de savoir quand une entrée a été créée, supprimée et synchronisée avec vos serveurs de messagerie.

Pour plus d’informations sur ce sous-onglet, consultez la capture d’écran et la liste ci-dessous :

1. Timestamp (Horodatage) : cette colonne affiche la date et l’heure auxquelles l’action indiquée dans la colonne Event Action (Événement d’action) a été effectuée.
2. Event Type (Type d’événement) : cette colonne affiche le type d’action effectuée. Pour en savoir plus sur les types d’événements, consultez la liste ci-dessous :
   • Entry Updated (Mise à jour de l’entrée) : indique qu’une entrée a été créée ou supprimée.
   • Entry Synced (Synchronisation de l’entrée) : indique qu’une entrée a été synchronisée avec PhishER Blocklist.
   • Blocklist Synced (Synchronisation de la blocklist) : indique que toutes les entrées ont été synchronisées avec tous les serveurs de messagerie connectés.
3. Value (Valeur) : affiche la valeur de l’entrée concernée.
4. Updated By (Mise à jour par) : indique la source de l’action. Lorsqu’une entrée est mise à jour, cette colonne indique l’adresse e-mail de l’utilisateur ayant effectué la mise à jour. Lorsqu’une entrée individuelle (ou la liste de blocage) est synchronisée, cette colonne indique l’identifiant du serveur de messagerie ou le nom du serveur de messagerie. Si l’action a été effectuée par le système, la ligne sera vierge.
5. Event Action (Action de l’événement) : indique quelle action a été effectuée pour une entrée spécifique ou pour la liste de blocage. Created (Créée) indique quand une entrée a été créée. Synced (Synchronisée) s’affiche lorsqu’une entrée (ou une liste de blocage) est synchronisée avec les serveurs de messagerie connectés. Deleted (Supprimée) s’affiche lorsqu’une entrée est supprimée.
6. Status (Statut) : indique si l’action a réussi ou échoué.