• Contournement du niveau de confiance anti-spam (SCL) -1 : ce que cela signifie et comment y remédier

Contournement du niveau de confiance anti-spam (SCL) -1 : ce que cela signifie et comment y remédier

Blog, DMARC

Vous voyez des e-mails avec un niveau de confiance anti-spam (SCL) de -1 ? Découvrez ce que signifie le contournement SCL -1 dans Microsoft 365, pourquoi il se produit et quand il représente un risque pour la sécurité.

par YunesTarada

Dernière mise à jour :
7 Temps de lecture : 7 min
Contournement du niveau de confiance anti-spam (SCL) -1 : ce que cela signifie et comment y remédier
Table des matières-

Points clés à retenir

  • SCL -1 signifie que le filtre anti-spam a été entièrement contourné, et non que l'e-mail est sûr.
  • Microsoft 365 attribue des scores SCL compris entre -1 et 9 afin de déterminer les actions à effectuer sur les e-mails.
  • Les e-mails authentifiés en interne reçoivent automatiquement la note SCL -1 au sein du même locataire.
  • Les règles de flux de messagerie qui définissent « Ignorer le filtrage anti-spam » sont la cause la plus fréquente du SCL -1.
  • Les listes d'expéditeurs approuvés dans Outlook peuvent déclencher le SCL -1 pour certaines adresses.
  • Les listes blanches IP étendues et les règles de contournement basées sur des connecteurs augmentent le risque d'hameçonnage.
  • DMARC Pass ne justifie pas de définir SCL sur -1, car les attaquants peuvent authentifier leurs propres domaines.

Lorsqu'un leurre de phishing sophistiqué atterrit dans la boîte de réception de votre PDG, c'est souvent parce qu'il porte une balise SCL -1. Cette balise est l'équivalent numérique d'un laissez-passer VIP qui permet à l'expéditeur de passer tous les contrôles de sécurité. Dans Microsoft 365, un SCL de -1 n'est pas un gage de sécurité, mais un contournement total du filtre anti-spam. Bien qu'elles soient destinées au trafic fiable, des règles ou des connecteurs mal configurés peuvent involontairement ouvrir la voie aux attaquants, en transmettant directement du contenu malveillant à vos utilisateurs les plus sensibles.

Qu'est-ce que le niveau de confiance anti-spam (SCL) ?

Le niveau de confiance spam est une valeur attribuée à un message après son traitement par les couches de filtrage de Microsoft (Exchange Online Protection ou Microsoft Defender pour Office 365) qui indique la probabilité que le message soit un spam.

Comment les scores SCL sont utilisés

Le service utilise divers signaux tels que la réputation de l'expéditeur, l'analyse du contenu et le statut d'authentification pour attribuer une note à un e-mail. Cette note détermine ensuite le sort réservé à ce message en fonction des politiques anti-spam de votre organisation.

Fourchettes de scores SCL types

Score SCLSignificationMesures prises (standard)
-1ContournementFiltre ignoré ; message remis dans la boîte de réception.
0, 1Ce n'est pas du spamMessage envoyé dans la boîte de réception.
5, 6SpamMessage envoyé dans le dossier Courrier indésirable.
9Spam hautement fiableMessage envoyé dans le dossier Courrier indésirable ou mis en quarantaine.

Que signifie SCL -1 ?

SCL -1 comme indicateur de dérivation

Un SCL de -1 est unique, car il ne s'agit pas d'un « score » basé sur l'analyse du contenu. Il s'agit plutôt d'un statut déterminé par une politique. Il indique que le message a été exempté du filtrage anti-spam avant même que le scanner de contenu n'ait pu l'évaluer.

SCL -1 est-il bon ou mauvais ?

  • Le bon: il garantit que les communications internes critiques ou les alertes automatisées reconnues comme sûres (telles que les notifications de serveur) ne sont jamais accidentellement supprimées.
  • Le mauvais: cela crée une énorme faille de sécurité. Si un pirate parvient à contourner le SCL -1, par usurpation d'identité ou en exploitant une liste « Autoriser » mal configurée, sa charge malveillante atterrira directement dans la boîte de réception de l'utilisateur sans aucun contrôle.

Pourquoi est-ce important aujourd'hui? Les pirates informatiques modernes utilisent de plus en plus souvent des techniques de phishing générées par l'IA et des spams authentifiés provenant de domaines partenaires compromis pour paraître « légitimes ». Lorsque ces leurres sophistiqués contournent la liste SCL-1, ils échappent à l'analyse comportementale nécessaire pour bloquer les attaques de type Business Email Compromise (BEC). Au moment où un utilisateur se rend compte que l'e-mail est un faux, le contournement « fiable » a déjà ouvert la voie à une violation.

Vous pouvez vérifier si votre domaine présente actuellement ces vulnérabilités grâce à un scan gratuit de l'état de santé de votre domaine.

Pourquoi les e-mails obtiennent un contournement SCL -1

Plusieurs configurations administratives déclenchent une valeur SCL -1 :

Expéditeurs approuvés ou ajoutés à la liste blanche

  • Listes d'expéditeurs approuvés: si un utilisateur ajoute une adresse à sa liste d'expéditeurs approuvés dans Outlook, cela peut déclencher un SCL -1.
  • Règles de transport (règles de flux de messagerie): cause la plus fréquente. Un administrateur crée une règle stipulant : « Si l'expéditeur est X, définissez le SCL sur -1. »

Contournements basés sur l'authentification et les politiques

  • Courrier interne authentifié: les e-mails envoyés d'une boîte aux lettres interne à une autre au sein du même locataire sont automatiquement considérés comme fiables et se voient attribuer un SCL -1.
  • SPF: bien que le fait de passer ces tests ne garantisse pas automatiquement un SCL -1, de nombreux administrateurs configurent incorrectement les règles afin de contourner le filtrage pour tout domaine qui passe simplement le test DMARC. Pour éviter les erreurs de configuration, utilisez un générateur automatisé SPF et DKIM afin de vous assurer que vos enregistrements sont valides.

Scénarios impliquant des tiers et des connecteurs

  • Connecteurs partenaires: si vous disposez d'un connecteur sécurisé configuré avec une organisation partenaire, les e-mails envoyés via cette voie peuvent contourner le filtrage.
  • Passerelles de messagerie: si vous utilisez une passerelle de sécurité tierce avant que les e-mails n'atteignent Microsoft 365, vous avez probablement défini une règle permettant de contourner le filtrage EOP pour l'adresse IP de cette passerelle afin d'éviter les problèmes de « double filtrage ».

Le SCL-1 représente-t-il un risque pour la sécurité ?

Le SCL-1 peut ou non constituer un risque pour la sécurité.

Quand SCL -1 est prévu

Il est tout à fait normal de voir SCL -1 pour :

  • Annonces internes RH.
  • Alertes système provenant de serveurs internes (utilisant le protocole SMTP authentifié).
  • Messages provenant de connecteurs partenaires vérifiés et hautement sécurisés.

Quand SCL -1 est dangereux

Cela devient un risque lorsque les e-mails externes comportent ce score. Les pirates utilisent souvent l'usurpation d'identité ou des domaines similaires. Si vos règles de flux de messagerie sont trop larges (par exemple, si vous mettez en liste blanche tout un domaine de premier niveau), un pirate peut facilement contourner vos défenses.

  • Avertissement: un « contournement » signifie que l'e-mail contourne le filtrage anti-spam, mais il peut toujours être analysé par les moteurs Zero-hour Auto Purge (ZAP) ou Anti-Malware, en fonction de vos paramètres Defender spécifiques. Cependant, vous ne devez jamais vous fier à ces derniers comme deuxième ligne de défense pour les e-mails contournés.

Comment DMARC et l'authentification des e-mails affectent le SCL

Comment-DMARC-et-l'authentification-des-e-mails-affectent-le-SCL-

Signaux d'authentification forts tels queSPF, DKIM et DMARC constituent le fondement de la confiance.

  • Alignement DMARC: lorsqu'un e-mail est « DMARC Pass », cela prouve que l'expéditeur est bien celui qu'il prétend être.
  • Le piège: les administrateurs commettent souvent l'erreur de définir une règle : « Si DMARC = Pass, définir SCL = -1. » Cela est dangereux, car un spammeur peut posséder un domaine légitime, configurer DMARC à la perfection et envoyer des spams « authentifiés ». Empêchez les spams « authentifiés » d'abuser de votre réputation en surveillant vos rapports DMARC agrégés en temps réel.

Remarque: il est important de comprendre que les protocoles DMARC et d'authentification des e-mails ne remplacent pas les filtres anti-spam. DMARC empêche l'usurpation de domaine, mais ne peut pas protéger contre les contenus malveillants.

L'utilisation d'une solution telle que PowerDMARC vous aide à mettre en place une politique de « rejet », garantissant que seuls les expéditeurs autorisés peuvent utiliser votre domaine. Si PowerDMARC veille à ce que votre domaine ne soit pas usurpé, il agit comme un contrôle préventif; il ne remplace pas le filtrage anti-spam de Microsoft pour l'analyse du contenu entrant.

Comment enquêter sur un e-mail SCL-1

Vérification des en-têtes de message

Pour comprendre pourquoi un message a été ignoré, vous devez consulter les en-têtes de message (à l'aide de l'analyseur d'en-têtes de message Microsoft). Recherchez :

  • X-MS-Exchange-Organisation-SCL : -1
  • Rapport X-Forefront-Antispam : recherchez les balises SFV:SKN (Spam Filtering Verdict: Skip) ou SFV:SKI (Skip Internal).

La bonne nouvelle, c'est que vous pouvez analyser vos en-têtes instantanément. Utilisez l'analyseur d'en-têtes d'e-mails PowerDMARC pour décoder les scores SCL et les verdicts de sécurité en quelques secondes.

Révision des règles de flux de courrier

Accédez au Centre d'administration Exchange (EAC) > Flux de courrier > Règles. Recherchez toute règle comportant l'action « Définir le niveau de confiance anti-spam (SCL) sur... Ignorer le filtrage anti-spam ».

Comment prévenir l'abus du contournement SCL-1

Comment-prévenir-les-abus-de-SCL--1-Contournement-

Une valeur SCL -1 devrait être une exception rare, et non la règle. Si les en-têtes de votre flux de messagerie affichent fréquemment ce contournement pour les expéditeurs externes, votre « porte d'entrée » est effectivement déverrouillée. Pour renforcer la sécurité sans bloquer les e-mails légitimes, suivez ces bonnes pratiques :

1. Évitez les listes blanches générales d'adresses IP et de noms de domaine.

L'une des erreurs les plus courantes commises par les administrateurs consiste à mettre en liste blanche toute une plage d'adresses IP ou un domaine de premier niveau pour résoudre un problème de livraison ponctuel. C'est une mine d'or pour les pirates. Si un pirate envoie un e-mail à partir d'une plateforme que vous avez mise en liste blanche (comme un ESP partagé ou un serveur partenaire compromis), le contournement SCL -1 permettra à sa tentative de phishing de passer outre les filtres de Microsoft.

  • Solution: utilisez la liste d'autorisation/de blocage des locataires dans le portail Microsoft Defender pour des expéditeurs spécifiques plutôt que des règles de transport générales.

2. Activez « Filtrage amélioré pour les connecteurs ».

Si vous utilisez une passerelle de sécurité de messagerie tierce avant que les e-mails n'atteignent Microsoft 365, vous disposez probablement d'une règle de contournement afin que Microsoft ne bloque pas l'adresse IP de la passerelle. Cependant, cela masque souvent l'adresse IP réelle de l'expéditeur d'origine.

  • Solution: activez le filtrage amélioré pour les connecteurs (également appelé « Skip Listing »). Cela permet à Microsoft de « voir à travers » votre passerelle vers l'adresse IP source d'origine, garantissant ainsi que les vérifications de réputation continuent de fonctionner même si un contournement est techniquement en place.

3. Mettez en œuvre une politique DMARC stricte avec PowerDMARC

Les pirates informatiques usurpent souvent votre propre domaine interne pour faire croire au système qu'un message est « interne », ce qui déclenche automatiquement un SCL -1. Sans une politique DMARC stricte, Microsoft pourrait ne pas être en mesure de faire la différence entre votre PDG et un pirate informatique.

  • La solution: utilisez PowerDMARC pour faire passer votre domaine à une politique p=reject. Cela garantit que tout e-mail prétendant provenir de votre domaine et qui échoue à l'authentification est immédiatement bloqué. En sécurisant votre propre domaine, vous empêchez les abus de confiance « internes » qui conduisent à de dangereux contournements SCL -1.

4. Utilisez les configurations « les moins fiables »

Au lieu d'un contournement total, utilisez des contrôles plus précis. Si les e-mails d'un partenaire spécifique sont bloqués dans le spam, ne vous contentez pas de définir son SCL sur -1.

  • Solution: créez une règle de flux de messagerie qui marque l'expéditeur comme « sûr », mais qui autorise tout de même l'exécution de la fonctionnalité Zero-hour Auto Purge (ZAP) de Microsoft et de l'analyse des logiciels malveillants. Vous pouvez également ajuster le seuil d'e-mails en masse (BCL) spécifiquement pour cet expéditeur afin qu'il ne soit pas signalé comme spam, mais que son contenu soit tout de même inspecté à la recherche de menaces.

Résumé

Voir un SCL -1 dans vos en-têtes revient à donner à quelqu'un un « passe VIP backstage » pour accéder à votre boîte de réception. Si cela est très utile pour vous assurer que les mémos internes de votre PDG ne finissent pas dans le dossier des courriers indésirables, cela représente une faille de sécurité considérable si cela est déclenché par un courrier externe.

Si vous disposez de règles « Autoriser » trop larges ou de listes blanches obsolètes, vous demandez en quelque sorte à Microsoft 365 de fermer les yeux et d'espérer que tout se passe bien. Les pirates adorent trouver ces failles, car cela signifie que leurs liens de phishing peuvent atteindre directement les utilisateurs.

La meilleure façon d'empêcher les pirates informatiques d'usurper votre domaine pour déclencher ces contournements « fiables » est de disposer d'une politique DMARC infaillible. ..

PowerDMARC vous aide à abandonner les listes « Autoriser » risquées au profit d'une politique « Rejeter » qui fonctionne réellement. En automatisant la gestion de vos protocoles DMARC, SPF et DKIM, vous vous assurez que seul le « vrai » vous bénéficie d'un traitement VIP, tandis que les imposteurs sont bloqués à l'entrée avant même d'atteindre le scanner SCL.

Prêt à ne plus vous demander qui envahit votre boîte de réception ? Commencez dès aujourd'hui votre essai gratuit de PowerDMARC et transformez votre authentification des e-mails de « peut-être » à « certainement ».

Foire aux questions

SCL -1 signifie-t-il que l'e-mail est sûr ?

Non. Cela signifie simplement que le filtre anti-spam a été contourné. L'e-mail peut toujours contenir des liens de phishing ou des pièces jointes malveillantes.

Les pirates peuvent-ils exploiter le contournement SCL -1 ?

Oui, surtout si vous avez des règles « Autoriser » trop larges basées sur des noms de domaine ou des connecteurs mal configurés.

Comment supprimer SCL -1 pour un expéditeur ?

Recherchez la règle de flux de courrier ou l'entrée dans la « Liste d'autorisation/de blocage des locataires » dans le centre de sécurité et de conformité, puis supprimez-la ou modifiez-la.

Les e-mails externes devraient-ils avoir un SCL -1 ?

Rarement. Uniquement dans des cas spécifiques, tels qu'un auditeur de sécurité tiers de confiance ou un partenaire SaaS étroitement intégré.

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Attaques d'ingénierie sociale « quid pro quo » : comment elles fonctionnent et comment les contrerAttaques d'ingénierie sociale fondées sur le principe du donnant-donnantIdentité de l'expéditeur d'un e-mail : qu'est-ce que c'est et pourquoi est-ce important ?Identité de l'expéditeur d'un e-mail : qu'est-ce que c'est et pourquoi est-ce important ?