Protection des domaines de messagerie


Les attaques basées sur l’envoi de courriers électroniques sont de plus en plus nombreuses et de plus en plus ciblées. Le phishing ou hameçonnage, désigne une technique utilisée par des escrocs pour obtenir des informations personnelles. Les phishers envoient un email en se faisant passer pour un organisme de confiance (organisme bancaire, Paypal, eBay, Amazon…), dans le but de récupérer des données confidentielles. Selon les données récoltées (informations bancaires, identifiants de connexion…), les escrocs peuvent par exemple se connecter à un site pour envoyer du spam.

Afin d’éviter que des personnes malveillantes usurpent votre identité en utilisant le même nom de domaine, il existe des solutions. C’est là que les protocoles d’authentification SPF, DKIM et DMARC entrent en jeu. De la définition de ces termes jusqu’aux étapes à suivre pour définir Microsoft 356 comme expéditeur légitime, je vous explique tout dans cet article.

Un peu de théorie ne fait jamais de mal ….

 

La Sender Policy Framework, ou SPF, est une norme d’authentification permettant de faire le lien entre un nom de domaine et une adresse email. Elle consiste à définir le ou les expéditeur(s) autorisé(s) à envoyer des emails avec un domaine donné. Elle permet ainsi aux clients de messagerie (Gmail, Outlook…) de vérifier que l’email entrant d’un domaine vient d’un hôte autorisé par l’administrateur de ce domaine.

 

Le DomainKeys Identified Mail, ou DKIM, est un protocole d’authentification permettant de faire le lien entre un nom de domaine et un message. Le protocole permet de signer votre email avec votre nom de domaine. L’objectif du protocole DKIM n’est pas uniquement de prouver que le nom de domaine n’a pas été usurpé, mais aussi que le message n’a pas été altéré durant sa transmission.

 

Le Domain-based Message Authentication, Reporting and Conformance, ou DMARC, est une norme d’authentification complémentaire à SPF et DKIM destinée à lutter plus efficacement contre le phishing et autres pratiques de spamming. Elle permet aux détenteurs de domaines d’indiquer aux FAI (Fournisseurs d’Accès à Internet) et clients de messagerie quelle conduite tenir lorsqu’un message signé de leur domaine n’est pas formellement identifié par une norme SPF ou DKIM.

 

 

Il s’agit donc des principaux protocoles permettant de vérifier l’identité des expéditeurs. C’est un des moyens les plus efficaces pour empêcher les phishers et autres fraudeurs de se faire passer pour un expéditeur légitime dont ils usurperaient l’identité en utilisant le même nom de domaine.

Que faire vis-à-vis de votre environnement Microsoft 365 ?

 

Si vous utilisez un domaine personnel, pas celui de onmicrosoft.com, vous devez configurer manuellement certains éléments de sécurité détaillés ci-dessous. 

L’enregistrement SPF :

La notion de SPF est obligatoire pour valider un domaine sous Microsoft 365 !

Il suffit de vérifier la configuration de vos domaines pour vous assurer que ceux-ci soient toujours valides et correctement configurés au niveau des enregistrements DNS.

Domaine par défaut 
Supprimer le domaine Actualiser 
Vue d'ensemble Enregistrernents DNS Utilisateurs Équipes et groupes Applications 
Pour gérer les enregistrements DNS pour teamy-edu.be, accédez à votre fournisseur d' hébergement DNS : 
Connectez les services à votre domaine en ajoutant ces enregistrements DNS à votre bureau 
d'enregistrement de domaines ou fournisseur d'hébergement DNS. Sélectionnez un enregistrement 
pour afficher tous ses détails et copier-coller les valeurs prévues dans votre bureau 
d'enregistrement de domaines. En savoir plus sur le DNS et les types d'enregistrements. 
e Vérifier l'état d'intégrité Gérer DNS Télécharger le fichier CSV Télécharger le fichier de zone 
Microsoft Exchange 
Imprimer 
État 
o 
0K 
Cl 
MX 
TXT 
CNAME 
Nom 
autodiscover 
Valeur 
v=spfl include:spf.protection.outlookxom -all 
autodiscover.outlook.com 
Durée de vie 
1 heure 
1 heure 
I heure

 

 

L’enregistrement DKIM :

 

Via la console d’administration de votre plateforme Microsoft 365, vous avez accès au centre de sécurité : Accueil – Sécurité Microsoft 365, et donc aux différentes stratégies et règles pour gérer les menaces !

 

Stratégies et règles 
Configurez des stratégies pour gérer des appareils, vous protéger contre les menaces et recevoir des alertes concernant diverses activités dans votre organisation. Si vous souhaitez en savoir plus 
NO m 
Stratégies de menace 
Stratégie d'alerte 
Gérer les alertes avancées 
Alertes d'activité

–> Stratégies de menace -> Règles -> DKIM

 

 

Règles 
Listes verte/rouge du client 
DKIM 
Remise avancée 
Filtrage amélioré 
Stratégies de mise en quarantaine 
Gérez les entrées d'autorisation ou de blocage pour wotre organisation. 
Ajoutez des signatures DomainKeys Identified Mail (DKIM) vos domaines afin que les destinataires sachent que les ccwrriers proviennent de vos uti 
Gérer les remplacements pour des cas d'utilisation système spéciaux. 
Configurer l'analyse d'Exchange Online (EOP) pour qu'elle fonctionne correctement lorsque lenregistrement MX de votre domaine n'achemine pas 
Appliquer des règles personnalisées aux messages mis en quarantaine à raide des stratégies de mise en quarantaine par défaut ou créer les vôtres

En sélectionnant un de vos domaines, vous allez pouvoir créer des clés DKIM

 

Stratégies et règles > Stratégies de menace > DomainKeys Identified 
DKIM (Domain Keys Identified Mail) est un processus d'authentification qui 
le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que les 
d'utilisateurs de votre organisation et n'ont pas été modifiés après leur 
Exporter CD Actualiser 
Nom 
prof.teamy-edu.be 
student.teamy-edu.be 
teamy-edu.be 
TeamyEdu.onmicrosoft.com (domaine de signature par défaut) 
teamy-edu.be 
Aucune clé DKIM n'est enregistrée pour ce domaine. 
Créer des clés DKIM 
Fermer

Vous allez obtenir les clés qu’il va falloir mettre au niveau de vos enregistrements DNS sur votre domaine !

 

Publier les enregistrements CNAME La synchronisation des clés DKIM peut prendre plusieurs minutes. Ajoutez les x enregistrements CNAME suivants auprès de votre fournisseur dhébergement DNS, puis revenez à cette page pour activer DKIM. En savoir plus sur DKIM Host Name : selectorl ._domainkey Points to address or value: selectorl-teamyedu- domainkey.TeamyEdu.onmicrosoft.com Host Name : selector2._domainkey Points to address or value: selector2-teamyedu- domainkey.TeamyEdu.onmicrosoft.com Fermer

 

Ajouter un enregistrement DNS CNAME 3600 • Champs requis unité secondes La valeur minimale du TTC pour Gandi LiveDNS est 300 secondes Nom selectorL_domainkey .teamy-edu.be Pour créer un sous-domaine, indiquez dans le champ ci-dessus ce que vous souhaitez avoir avant le domaine. Le champ ne peut pas être vide. Si vous souhaitez avoir le domaine nu qui pointe sur un autre nom d'hôte, utilisez plutôt un ALIAS. Nom d'hôte • selectorl-teamyedu domainkey.TeamyEdu.onmicrosoft.coml Annuler Créer

 

Ces deux enregistrements sont à créer sur votre domaine, via les interfaces d’administration de votre fournisseur de domaine (OVH, Gandi, …)

Dès que ces deux enregistrement DNS sont associés à votre domaine, il ne vous reste plus qu’à activer la signature des courriers via les clés DKIM !

Stratégies et règles > Stratégies de menace > DomainKeys Identified M 
DKIM (Domain Keys Identified Mail) est un processus d'authentification qui 
le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que le 
d'utilisateurs de votre organisation et n'ont pas été modifiés après leur env 
Exporter CD Actualiser 
Nom 
prof.teamy-edu.be 
student.teamy-edu.be 
teamy-edu.be 
TeamyEdu.onmicrosoft.com (domaine de signature par défaut) 
teamy-edu.be 
Signer les courriers pour ce domaine en utilisant des signatures DKIM 
C.) Désactivé 
Aucune signature DKIM n'est utilisée pour ce domaine. 
Date de la dernière vérification 
21 févr. 2022 1028:25 
Remplacer les clés DKIM

Il se peut qu’il faille un délai entre le moment où vous avez créé les enregistrements DNS et le moment d’activation de DKIM.  Souvent une dizaine de minutes suffisent, parfois jusqu’à 72 heures.

 

Stratégies et règles 
Stratégies de menace DomainKeys Identified 
DKIM (Domain Keys Identified Mail) est un processus d'authentification qui 
le hameçonnage. Ajoutez des signatures DKIM à vos domaines pour que I 
d'utilisateurs de votre organisation et n'ont pas été modifiés après leur e 
Exporter Q) Actualiser 
prof.tea -edu.be 
sécurité 
teamy-edu.be 
Signer les courriers pour ce domaine en utilisant des signatures DKIM 
Activé 
État 
Des signatures DKIM sont utilisées pour ce domaine. 
Date de la dernière vérification 
x 
La synchronisation de la modification d'état peut prendre plusieurs minutes. 
OK 
Remplacer les clés DKIM 
Fermer

 

 

L’enregistrement DMARC :

Concernant les mails entrants sur votre plateforme Microsoft 365, vous n’avez rien à faire !

Pour les messages sortants vous devez configurer DMARC manuellement.


Pour activer DMARC, il faut au préalable, que les enregistrement SPF et DKIM soient opérationnels.

Il faut donc ajouter dans vos enregistrements DNS, un record de type texte avec la valeur suivante :

_dmarc.domain  TTL  IN  TXT  « v=DMARC1; p=policy; pct=100 »


domain est le domaine que vous souhaitez protéger. Par défaut, l’enregistrement protège le courrier issu du domaine et de tous ses sous-domaines. Par exemple, si vous spécifiez _dmarc.contoso.com, DMARC protège le courrier issu de ce domaine et tous ses sous-domaines, par exemple housewares.contoso.com ou plumbing.contoso.com.


La valeur TTL doit toujours être équivalente à une heure. L’unité utilisée pour TTL, que ce soit les heures (1 heure), les minutes (60 minutes) ou les secondes (3 600 secondes), varie selon le bureau d’enregistrement de votre domaine.


pct=100 indique que cette règle doit être utilisée pour 100 % des e-mails.

policy indique la stratégie que vous souhaitez que le serveur de réception suive si un message est rejeté par DMARC. Vous pouvez définir la stratégie sur none (Aucune), quarantine (Mettre en quarantaine) ou reject (Rejeter).


Ajouter un enregistrement DNS Type • 3600 Champs requis unité • secondes La valeur minimale du TTL pour Gandi LiveDNS est 300 secondes Nom .teamy-edu.be Pour créer un sous-domaine, indiquez dans le champ ci-dessous ce que vous souhaiteriez avoir avant le domaine. Laissez le champ vide si vous souhaitez créer un enregistrement avec le domaine nu. Entrez un texte • Annuler Créer

Pour suivre les messages en échec ou en quarantaine, je vous invite à consulter les rapports de suivi de message fournis par la console d’administration Exchange

Exchange admin center (microsoft.com)

 

Vous allez être surpris du nombre de tentatives « échouées » depuis votre plateforme Microsoft 365 !

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 1


guest
0 Commentaires
Inline Feedbacks
View all comments