Whitelisting Exchange Server On-Premise

Procédure de configuration pour Exchange Server 2016, 2019 et SE (Subscription Edition)

Versions concernées : Cette procédure couvre Exchange Server 2016, Exchange Server 2019 et Exchange Server SE (Subscription Edition, sorti en juillet 2025). L'interface EAC (Exchange Admin Center) et les règles de transport sont identiques sur ces trois versions — Exchange SE étant techniquement Exchange 2019 CU15 renommé.
⚠ Environnement hybride : Si votre Exchange on-premise est connecté à Microsoft 365 en mode hybride, vous devez également configurer le whitelisting côté Microsoft 365 (Remise avancée, règles anti-spam EOP). Les emails transitant par Exchange Online seront filtrés par Microsoft indépendamment de votre configuration on-premise. Consultez notre page whitelisting pour la procédure M365.
1.
Règle de transport — Bypass Spam Filtering par IP

Créez une règle de flux de messagerie (transport rule) pour que tous les emails provenant de notre adresse IP contournent le filtrage antispam et le dossier Courrier indésirable. C'est la méthode principale et la plus fiable pour le whitelisting on-premise.

  1. Connectez-vous à l'Exchange Admin Center (EAC) :
    https://<votre-serveur-exchange>/ecp
  2. Naviguez vers Flux de messagerie (Mail flow) > Règles (Rules).
  3. Cliquez sur + puis sélectionnez Contourner le filtrage du courrier indésirable… (Bypass spam filtering).
    Note : Si cette option n'apparaît pas, cliquez sur Créer une nouvelle règle puis ajoutez manuellement l'action « Définir le SCL (Spam Confidence Level) » sur « Contourner le filtrage du courrier indésirable ».
  4. Configurez la règle :
    • Nom : LePhish – Bypass Spam Filtering
    • *Appliquer cette règle si… : L'expéditeur > L'adresse IP se situe dans l'une de ces plages ou correspond exactement
      → Ajoutez notre adresse IP :
      185.157.245.77
    • *Procéder comme suit : Modifier les propriétés du message > Définir le SCL (Spam Confidence Level)Contourner le filtrage du courrier indésirable
  5. Cliquez sur le bouton + à côté de « Procéder comme suit » pour ajouter une action supplémentaire :
    • Et : Modifier les propriétés du message > Définir un en-tête de message
      → En-tête : X-MS-Exchange-Organization-BypassClutter (sensible à la casse)
      → Valeur : true (sensible à la casse)
    Pourquoi BypassClutter : Cet en-tête empêche Exchange de déplacer nos emails vers le dossier « Courrier pêle-mêle » (Clutter) ou « Autres » dans le cas où la fonctionnalité Focused Inbox / Boîte de réception prioritaire est activée. Sans cet en-tête, les emails de simulation peuvent être livrés mais jamais vus par l'utilisateur.
  6. Cliquez sur Enregistrer (Save).
Résultat : Tous les emails envoyés depuis l'IP 185.157.245.77 contournent le filtre antispam d'Exchange et arrivent directement dans la boîte de réception des utilisateurs.
2.
Agents anti-spam — IP Allow List CONDITIONNEL

Uniquement si les agents anti-spam sont installés sur vos serveurs Mailbox. Par défaut, les agents anti-spam ne sont pas activés sur les serveurs Mailbox d'Exchange 2016/2019/SE — ils sont conçus pour les serveurs Edge Transport. Si vous avez installé les agents anti-spam manuellement (via Install-AntiSpamAgents.ps1), ajoutez notre IP à la liste d'autorisation.

  1. Pour vérifier si les agents anti-spam sont installés, exécutez dans l'Exchange Management Shell :
    Get-TransportAgent | Where {$_.Enabled -eq $true} | Format-Table Name, Enabled
    Si vous voyez des agents comme Content Filter Agent, Sender Filter Agent, ou Connection Filtering Agent, les agents sont actifs → continuez cette étape.
  2. Dans l'EAC, naviguez vers Protection > Filtrage des connexions (Connection filtering).
  3. Cliquez sur l'icône de modification (crayon) sur la stratégie de filtre de connexion.
  4. Dans Filtrage des connexions, sous Liste d'adresses IP autorisées (IP Allow list), cliquez sur + et ajoutez :
    185.157.245.77
  5. Cliquez sur Enregistrer.
Effet : L'IP Allow List est vérifiée par le Connection Filtering Agent en tout premier dans la chaîne de filtrage. Un email provenant d'une IP autorisée contourne automatiquement les agents Sender Filter, Sender ID et Content Filter. C'est la couche de filtrage la plus en amont, complémentaire à la règle de transport.
1.
Règle de transport — PowerShell

Créez la même règle de transport que la méthode GUI, mais via l'Exchange Management Shell (EMS). Idéal pour les déploiements scriptés ou les environnements sans accès à l'EAC.

  1. Ouvrez l'Exchange Management Shell sur votre serveur Exchange (ou connectez-vous à distance via PowerShell remoting).
  2. Exécutez la commande suivante pour créer la règle de transport :
    New-TransportRule -Name "LePhish – Bypass Spam Filtering" ` -SenderIpRanges "185.157.245.77" ` -SetSCL -1 ` -SetHeaderName "X-MS-Exchange-Organization-BypassClutter" ` -SetHeaderValue "true" ` -Comments "Bypass antispam pour simulations de phishing LePhish"
  3. Vérifiez que la règle a été créée :
    Get-TransportRule "LePhish*" | Format-List Name, State, Priority
Résultat identique à la méthode GUI : Le paramètre -SetSCL -1 correspond à « Contourner le filtrage du courrier indésirable ». L'en-tête BypassClutter empêche le classement dans le dossier Autres/Pêle-mêle.
2.
Agents anti-spam — IP Allow List + Content Filter CONDITIONNEL

Uniquement si les agents anti-spam sont installés. Cette étape ajoute notre IP à la liste d'autorisation de connexion et configure le Content Filter pour ignorer nos domaines.

  1. Vérifiez si les agents anti-spam sont actifs :
    Get-TransportAgent | Where {$_.Enabled -eq $true} | Format-Table Name, Enabled
  2. Ajoutez notre IP à la liste d'autorisation :
    Add-IPAllowListEntry -IPAddress 185.157.245.77
  3. Ajoutez nos domaines au bypass du Content Filter :
    Set-ContentFilterConfig -BypassedSenderDomains @{Add= "lephish.com", "lephish.fr", "departement-informatique.fr", "linkedin.com.hr", "github.support", "mircosoft365.fr", "zendesk-support.fr", "ta-mutuelle.fr", "securelink-services.com", "livraison-laposte.fr", "quarantaine-notification.com", "hackers.solutions", "ressources-humaines-du-groupe.fr", "espace-client.ovh", "sage.com.hr", "docusign-fr.com", "mon-interessement.fr", "cegld.com", "microsofr-teams.com", "slack-online.com", "cybermalveillance-qouv.fr", "login-mircosoft.com", "qooqle-alert.com", "qooqle-share.com", "la-gazette-des-communes.fr", "chatgpt-validation.com", "com-session.com", "cosoluce-security.fr", "join-conference.com", "yousiqn.com", "passoptions.com", "edenerd.fr", "organisation-file.com", "www-amaz-on.com", "mail-drogbox.com", "avertissement-rgpd.fr" }
  4. Vérifiez la configuration :
    Get-IPAllowListEntry | Format-Table IPRange Get-ContentFilterConfig | Select -ExpandProperty BypassedSenderDomains
Redémarrage non requis : Les modifications des agents anti-spam prennent effet immédiatement sans redémarrage du service Transport. Toutefois, si votre organisation dispose de plusieurs serveurs Mailbox, exécutez ces commandes sur chaque serveur où les agents anti-spam sont installés — la configuration des agents n'est pas répliquée via Active Directory (contrairement aux règles de transport).
📋
Référence — Domaines d'envoi LePhish

La règle de transport filtre par adresse IP, ce qui couvre automatiquement tous nos domaines. Cette liste est fournie à titre de référence, pour vérification dans les logs ou pour d'autres systèmes de filtrage :

lephish.com lephish.fr departement-informatique.fr linkedin.com.hr github.support mircosoft365.fr zendesk-support.fr ta-mutuelle.fr securelink-services.com livraison-laposte.fr quarantaine-notification.com hackers.solutions ressources-humaines-du-groupe.fr espace-client.ovh sage.com.hr docusign-fr.com mon-interessement.fr cegld.com microsofr-teams.com slack-online.com cybermalveillance-qouv.fr login-mircosoft.com qooqle-alert.com qooqle-share.com la-gazette-des-communes.fr chatgpt-validation.com com-session.com cosoluce-security.fr join-conference.com yousiqn.com passoptions.com edenerd.fr organisation-file.com www-amaz-on.com mail-drogbox.com avertissement-rgpd.fr
Vérification

Après configuration, lancez une campagne de test depuis votre espace client LePhish, puis vérifiez la bonne réception :

Via l'EAC : naviguez vers Flux de messagerie > Suivi des messages (Message tracking). Recherchez les emails envoyés depuis l'IP 185.157.245.77 et vérifiez que le statut de remise est Delivered (et non FilteredAsSpam ou Quarantined).

Via PowerShell :

Get-MessageTrackingLog -Start (Get-Date).AddHours(-2) ` -Sender "*@lephish.com" ` -ResultSize 10 | Format-Table Timestamp, Sender, Recipients, EventId, Source

Vérifiez dans les en-têtes du message reçu que le header X-MS-Exchange-Organization-SCL a la valeur -1 — cela confirme que la règle de transport a bien été appliquée.

Astuce : Si les emails arrivent mais dans le dossier Courrier indésirable (Junk), vérifiez que l'en-tête X-MS-Exchange-Organization-BypassClutter est présent avec la valeur true. Si ce n'est pas le cas, la deuxième action de la règle de transport n'est pas correctement configurée (attention à la casse).
Notes complémentaires
Edge Transport Server

Si vous utilisez un serveur Edge Transport en amont de vos serveurs Mailbox, les règles de transport créées dans l'EAC ne s'appliquent pas automatiquement au serveur Edge (sauf via EdgeSync). Vous devez soit configurer les règles directement sur le serveur Edge, soit vous assurer que l'abonnement EdgeSync est actif et synchronisé.

Passerelle tierce (SEG)

Si vos emails passent par une passerelle de sécurité tierce avant Exchange (Proofpoint, Mimecast, Barracuda, Vade Cloud, etc.), le whitelisting doit d'abord être configuré sur cette passerelle. Consultez nos procédures de whitelisting pour votre solution spécifique. La règle de transport Exchange reste nécessaire en complément.

Pas de réécriture d'URL

Exchange Server on-premise ne réécrit pas les URLs dans les emails (contrairement à Microsoft Defender for Office 365 Safe Links ou aux passerelles tierces). Aucune configuration supplémentaire n'est nécessaire pour préserver le suivi des clics de simulation.

Nettoyage post-campagne

Nous recommandons de laisser la règle de transport active entre les campagnes. La désactiver puis la réactiver crée un risque d'oubli qui peut bloquer une campagne entière. L'impact sécurité est minimal : seule notre IP fixe (185.157.245.77) est autorisée.

← Retour aux procédures de whitelisting