Le Blog de Teamy

En route pour l'école 2.0 avec Microsoft 365 Education

ExchangeMicrosoft 365Sécurité

Protection des domaines de messagerie

2159 Views 0 Comments 10 min read

Les attaques basées sur l’envoi de courriers électroniques sont de plus en plus nombreuses et de plus en plus ciblées. Le phishing ou hameçonnage, désigne une technique utilisée par des escrocs pour obtenir des informations personnelles. Les phishers envoient un email en se faisant passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon…), dans le but de récupérer des données confidentielles. Selon les données récoltées (informations bancaires, identifiants de connexion…), les escrocs peuvent par exemple se connecter à un site pour envoyer du spam.

Afin d’éviter que des personnes malveillantes usurpent votre identité en utilisant le même nom de domaine, il existe des solutions. C’est là que les protocoles d’authentification SPF, DKIM et DMARC entrent en jeu. De la définition de ces termes jusqu’aux étapes à suivre pour définir Microsoft 356 comme expéditeur légitime, je vous explique tout dans cet article.

Un peu de théorie ne fait jamais de mal ….

 

La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des emails avec un domaine donné. Elle permet ainsi aux clients de messagerie (Gmail, Outlook…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.

 

Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.

 

Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. Elle permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM.

 

 

Il s’agit donc des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.

Que faire vis-à-vis de votre environnement Microsoft 365 ?

 

Si vous utilisez un domaine personnel, pas celui de onmicrosoft.com, vous devez configurer manuellement certains éléments de sécurité détaillés ci-dessous. 

L’enregistrement SPF :

La notion de SPF est obligatoire pour valider un domaine sous Microsoft 365 !

Il suffit de vérifier la configuration de vos domaines pour vous assurer que ceux-ci soient toujours valides et correctement configurés au niveau des enregistrements DNS.

Domaine par défaut Supprimer le domaine Actualiser Vue d'ensemble Enregistrernents DNS Utilisateurs Équipes et groupes Applications Pour gérer les enregistrements DNS pour teamy-edu.be, accédez à votre fournisseur d' hébergement DNS : Connectez les services à votre domaine en ajoutant ces enregistrements DNS à votre bureau d'enregistrement de domaines ou fournisseur d'hébergement DNS. Sélectionnez un enregistrement pour afficher tous ses détails et copier-coller les valeurs prévues dans votre bureau d'enregistrement de domaines. En savoir plus sur le DNS et les types d'enregistrements. e Vérifier l'état d'intégrité Gérer DNS Télécharger le fichier CSV Télécharger le fichier de zone Microsoft Exchange Imprimer État o 0K Cl MX TXT CNAME Nom autodiscover Valeur v=spfl include:spf.protection.outlookxom -all autodiscover.outlook.com Durée de vie 1 heure 1 heure I heure

 

 

L’enregistrement DKIM :

 

Via la console d’administration de votre plateforme Microsoft 365, vous avez accès au centre de sécurité : Accueil – Sécurité Microsoft 365, et donc aux différentes stratégies et règles pour gérer les menaces !

 

Stratégies et règles Configurez des stratégies pour gérer des appareils, vous protéger contre les menaces et recevoir des alertes concernant diverses activités dans votre organisation. Si vous souhaitez en savoir plus NO m Stratégies de menace Stratégie d'alerte Gérer les alertes avancées Alertes d'activité

–> Stratégies de menace -> Règles -> DKIM

 

 

Règles Listes verte/rouge du client DKIM Remise avancée Filtrage amélioré Stratégies de mise en quarantaine Gérez les entrées d'autorisation ou de blocage pour wotre organisation. Ajoutez des signatures DomainKeys Identified Mail (DKIM) vos domaines afin que les destinataires sachent que les ccwrriers proviennent de vos uti Gérer les remplacements pour des cas d'utilisation système spéciaux. Configurer l'analyse d'Exchange Online (EOP) pour qu'elle fonctionne correctement lorsque lenregistrement MX de votre domaine n'achemine pas Appliquer des règles personnalisées aux messages mis en quarantaine à raide des stratégies de mise en quarantaine par défaut ou créer les vôtres

En sélectionnant un de vos domaines, vous allez pouvoir créer des clés DKIM

 

Stratégies et règles > Stratégies de menace > DomainKeys Identified DKIM (Domain Keys Identified Mail) est un processus d'authentification qui le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que les d'utilisateurs de votre organisation et n'ont pas été modifiés après leur Exporter CD Actualiser Nom prof.teamy-edu.be student.teamy-edu.be teamy-edu.be TeamyEdu.onmicrosoft.com (domaine de signature par défaut) teamy-edu.be Aucune clé DKIM n'est enregistrée pour ce domaine. Créer des clés DKIM Fermer

Vous allez obtenir les clés qu’il va falloir mettre au niveau de vos enregistrements DNS sur votre domaine !

 

Publier les enregistrements CNAME La synchronisation des clés DKIM peut prendre plusieurs minutes. Ajoutez les x enregistrements CNAME suivants auprès de votre fournisseur dhébergement DNS, puis revenez à cette page pour activer DKIM. En savoir plus sur DKIM Host Name : selectorl ._domainkey Points to address or value: selectorl-teamyedu- domainkey.TeamyEdu.onmicrosoft.com Host Name : selector2._domainkey Points to address or value: selector2-teamyedu- domainkey.TeamyEdu.onmicrosoft.com Fermer

 

Ajouter un enregistrement DNS CNAME 3600 • Champs requis unité secondes La valeur minimale du TTC pour Gandi LiveDNS est 300 secondes Nom selectorL_domainkey .teamy-edu.be Pour créer un sous-domaine, indiquez dans le champ ci-dessus ce que vous souhaitez avoir avant le domaine. Le champ ne peut pas être vide. Si vous souhaitez avoir le domaine nu qui pointe sur un autre nom d'hôte, utilisez plutôt un ALIAS. Nom d'hôte • selectorl-teamyedu domainkey.TeamyEdu.onmicrosoft.coml Annuler Créer

 

Ces deux enregistrements sont à créer sur votre domaine, via les interfaces d’administration de votre fournisseur de domaine (OVH, Gandi, …)

Dès que ces deux enregistrement DNS sont associés à votre domaine, il ne vous reste plus qu’à activer la signature des courriers via les clés DKIM !

Stratégies et règles > Stratégies de menace > DomainKeys Identified M DKIM (Domain Keys Identified Mail) est un processus d'authentification qui le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que le d'utilisateurs de votre organisation et n'ont pas été modifiés après leur env Exporter CD Actualiser Nom prof.teamy-edu.be student.teamy-edu.be teamy-edu.be TeamyEdu.onmicrosoft.com (domaine de signature par défaut) teamy-edu.be Signer les courriers pour ce domaine en utilisant des signatures DKIM C.) Désactivé Aucune signature DKIM n'est utilisée pour ce domaine. Date de la dernière vérification 21 févr. 2022 1028:25 Remplacer les clés DKIM

Il se peut qu’il faille un délai entre le moment où vous avez créé les enregistrements DNS et le moment d’activation de DKIM.  Souvent une dizaine de minutes suffisent, parfois jusqu’à 72 heures.

 

Stratégies et règles Stratégies de menace DomainKeys Identified DKIM (Domain Keys Identified Mail) est un processus d'authentification qui le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que I d'utilisateurs de votre organisation et n'ont pas été modifiés après leur e Exporter Q) Actualiser prof.tea -edu.be sécurité teamy-edu.be Signer les courriers pour ce domaine en utilisant des signatures DKIM Activé État Des signatures DKIM sont utilisées pour ce domaine. Date de la dernière vérification x La synchronisation de la modification d'état peut prendre plusieurs minutes. OK Remplacer les clés DKIM Fermer

 

 

L’enregistrement DMARC :

Concernant les mails entrants sur votre plateforme Microsoft 365, vous n’avez rien à faire !

Pour les messages sortants vous devez configurer DMARC manuellement.


Pour activer DMARC, il faut au préalable, que les enregistrement SPF et DKIM soient opérationnels.

Il faut donc ajouter dans vos enregistrements DNS, un record de type texte avec la valeur suivante :

_dmarc.domain  TTL  IN  TXT  « v=DMARC1; p=policy; pct=100 »


domain est le domaine que vous souhaitez protéger. Par défaut, l’enregistrement protège le courrier issu du domaine et de tous ses sous-domaines. Par exemple, si vous spécifiez _dmarc.contoso.com, DMARC protège le courrier issu de ce domaine et tous ses sous-domaines, par exemple housewares.contoso.com ou plumbing.contoso.com.


La valeur TTL doit toujours être équivalente à une heure. L’unité utilisée pour TTL, que ce soit les heures (1 heure), les minutes (60 minutes) ou les secondes (3 600 secondes), varie selon le bureau d’enregistrement de votre domaine.


pct=100 indique que cette règle doit être utilisée pour 100 % des e-mails.

policy indique la stratégie que vous souhaitez que le serveur de réception suive si un message est rejeté par DMARC. Vous pouvez définir la stratégie sur none (Aucune), quarantine (Mettre en quarantaine) ou reject (Rejeter).


Ajouter un enregistrement DNS Type • 3600 Champs requis unité • secondes La valeur minimale du TTL pour Gandi LiveDNS est 300 secondes Nom .teamy-edu.be Pour créer un sous-domaine, indiquez dans le champ ci-dessous ce que vous souhaiteriez avoir avant le domaine. Laissez le champ vide si vous souhaitez créer un enregistrement avec le domaine nu. Entrez un texte • Annuler Créer

Pour suivre les messages en échec ou en quarantaine, je vous invite à consulter les rapports de suivi de message fournis par la console d’administration Exchange

Exchange admin center (microsoft.com)

 

Vous allez être surpris du nombre de tentatives « échouées » depuis votre plateforme Microsoft 365 !

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 2


S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments