Une politique SPF désignant les IPs approuvées est publiée
Le Sender Policy Framework (SPF) est un mécanisme qui permet aux administrateurs de domaine de spécifier quelles adresses IP sont explicitement autorisées à envoyer des emails pour le compte du domaine, facilitant ainsi la détection des emails usurpés. La configuration SPF ne se fait pas dans le centre d’administration Exchange, mais via les enregistrements DNS hébergés au niveau du domaine de l’organisation.
- Pour contribuer à la prévention de l’usurpation d’adresse, vous pouvez configurer SPF dans Office 365 en suivant les recommandations sur Microsoft Learn.
- Pour une explication détaillée du fonctionnement du Sender Policy Framework (SPF) pour empêcher l’usurpation, consultez Comment le Sender Policy Framework (SPF) permet d'empêcher l’usurpation dans Office 365 sur Microsoft Learn.
- L’ajout d’enregistrements SPF à un domaine varie selon l’hébergeur du domaine. Suivez ces étapes pour configurer un enregistrement SPF pour Exchange Online afin de garantir une configuration correcte.
DMARC est configuré pour chaque domaine personnalisé
Domain-based Message Authentication, Reporting, and Conformance (DMARC) fonctionne avec SPF et DKIM pour authentifier les expéditeurs de courriels et garantir que les systèmes de messagerie destinataires puissent valider les messages envoyés depuis votre domaine. DMARC aide les systèmes de messagerie à déterminer quoi faire avec les messages échouant les contrôles SPF ou DKIM.
- Pour valider les emails avec DMARC, suivez les étapes de configuration de DMARC dans Office 365 disponibles sur Microsoft Learn.
La mise en œuvre de DMARC varie selon la façon dont l’organisation gère ses enregistrements DNS.
- Pour obtenir le guide Microsoft sur la création de l’enregistrement TXT DMARC pour votre domaine, voir Configurer DMARC pour les domaines personnalisés actifs dans Microsoft 365 sur Microsoft Docs.
Les enregistrements DMARC peuvent être demandés à l’aide de l’outil PowerShell Resolve-DnsName. Par exemple :
Resolve-DnsName _dmarc.example.com txtRemplacez “example.com” dans l’exemple par le(s) domaine(s) utilisé(s) pour les emails de votre organisation. Assurez-vous que :
- que l’enregistrement DNS existe
- que “p=reject;” est inclus dans la politique retournée lors de la requête
Le filtrage amélioré doit être configuré si un outil tiers de filtrage des emails est utilisé
Le filtrage avancé des emails peut être mis en place si vous avez un connecteur dans 365 (service de filtrage de messagerie tiers ou configuration hybride) et que votre enregistrement MX ne pointe pas vers Microsoft 365 ou Office 365. Cette nouvelle fonctionnalité permet de filtrer les emails en fonction de la véritable source des messages arrivant via le connecteur. Ceci est également appelé skip listing et permet d’ignorer les adresses IP considérées comme internes afin d’obtenir la dernière adresse IP externe connue, censée être la véritable adresse IP source.
Si vous utilisez Defender for Office 365, cela améliore ses capacités d'apprentissage automatique et de sécurité autour des liens sûrs/pièces jointes sûres/anti-usurpation à partir de la liste connue de Microsoft des adresses IP malveillantes. Vous bénéficiez ainsi d’une couche supplémentaire de protection, car Microsoft peut consulter les IP des courriels d’origine et les vérifier dans sa base de données.
- Pour obtenir des informations détaillées sur la configuration du filtrage avancé pour les connecteurs dans Exchange Online, consultez la documentation Filtrage avancé pour les connecteurs dans Exchange Online sur Microsoft Learn.
- Suivez ces étapes pour configurer le filtrage avancé pour les connecteurs sur un connecteur entrant, comme expliqué dans l’article "Filtrage avancé pour les connecteurs dans Exchange Online" sur Microsoft Learn.