Une politique SPF désignant les IPs approuvées est publiée
Le Sender Policy Framework (SPF) est un mécanisme qui permet aux administrateurs de domaine de spécifier quelles adresses IP sont explicitement approuvées pour envoyer des e-mails au nom du domaine, facilitant ainsi la détection des e-mails usurpés. SPF n’est pas configuré via le centre d’administration Exchange, mais par l’intermédiaire des enregistrements Domain Name Service (DNS) hébergés par le domaine de l’organisation.
- Pour aider à prévenir l’usurpation d’identité, vous pouvez configurer SPF dans Office 365 en suivant les recommandations sur Microsoft Learn.
- Pour une explication détaillée du fonctionnement du Sender Policy Framework (SPF) contre l’usurpation, consultez Comment le Sender Policy Framework (SPF) empêche l’usurpation dans Office 365 sur Microsoft Learn.
- L’ajout d’enregistrements SPF à un domaine dépend de son hébergement. Suivez ces étapes pour configurer un enregistrement SPF pour Exchange Online afin de garantir une mise en place correcte.
DMARC est configuré pour chaque domaine personnalisé
Domain-based Message Authentication, Reporting, and Conformance (DMARC) fonctionne conjointement avec SPF et DKIM pour authentifier les expéditeurs d’e-mails et garantir que les systèmes de messagerie destinataires peuvent valider les messages envoyés depuis votre domaine. DMARC aide les systèmes de messagerie à décider de la marche à suivre pour les messages envoyés depuis votre domaine qui échouent aux vérifications SPF ou DKIM.
- Pour valider les e-mails avec DMARC, suivez les étapes pour configurer DMARC dans Office 365 sur Microsoft Learn.
La mise en place de DMARC varie selon la gestion des enregistrements DNS d’une agence.
- Pour les recommandations Microsoft sur la création de l’enregistrement DMARC TXT pour votre domaine, consultez Configurer DMARC pour les domaines personnalisés actifs dans Microsoft 365 sur Microsoft Docs.
Les enregistrements DMARC peuvent être demandés via l’outil PowerShell Resolve-DnsName. Par exemple :
Resolve-DnsName _dmarc.example.com txtRemplacez « example.com » dans l’exemple par le(s) domaine(s) utilisé(s) pour les e-mails de votre agence. Veillez à ce que :
- l’enregistrement DNS existe
- « p=reject; » est inclus dans la politique retournée par la requête
Le filtrage amélioré doit être configuré si un outil de filtrage de messagerie tiers est utilisé
Un filtrage de messagerie amélioré peut être configuré si vous utilisez un connecteur dans 365 (service de filtrage de messagerie tiers ou configuration hybride) et que votre enregistrement MX ne pointe pas vers Microsoft 365 ou Office 365. Cette fonctionnalité permet de filtrer les e-mails selon la source réelle des messages arrivant via le connecteur. Aussi appelé skip listing, cette fonctionnalité vous permet d’ignorer les adresses IP considérées comme internes afin d’obtenir la dernière adresse IP externe connue, qui devrait correspondre à la source réelle.
Si vous utilisez Defender for Office 365, cela améliore ses capacités d’apprentissage automatique et la sécurité autour des liens sûrs/pièces jointes sûres/prévention d’usurpation d’identité à partir de la liste malveillante Microsoft. Vous bénéficiez ainsi d’une couche de protection supplémentaire en permettant à Microsoft d’examiner les IPs d’origine des e-mails et de les vérifier dans leur base de données.
- Pour des informations détaillées sur la configuration du filtrage avancé pour les connecteurs dans Exchange Online, consultez la documentation Filtrage avancé pour les connecteurs dans Exchange Online sur Microsoft Learn.
- Suivez ces étapes pour configurer le filtrage avancé pour les connecteurs sur un connecteur entrant comme décrit dans l’article "Filtrage avancé pour les connecteurs dans Exchange Online" sur Microsoft Learn.