DMARC pour Office 365 : Configuration pas à pas et meilleures pratiques
par
Dernière mise à jour : 11 11 min de lecture
Points clés à retenir
- DMARC est essentiel pour renforcer la sécurité des e-mails contre l'usurpation de domaine et le phishing.
- La configuration de DMARC nécessite des enregistrements SPF DKIM existants pour l'authentification des e-mails.
- Microsoft 365 traite différemment les échecs DMARC entrants ; utilisez les règles de transport pour une application stricte (quarantine).
- Augmentez progressivement la rigueur de la politique DMARC (de zéro à rejet) tout en surveillant les rapports afin d'éviter de bloquer le courrier légitime.
- Configurer DMARC même pour les domaines inactifs afin d'empêcher leur utilisation non autorisée.
Microsoft soutient et encourage DMARC pour les utilisateurs d'Office 365, ce qui leur permet d'adopter des protocoles d'authentification des courriels à l'unanimité dans tous leurs domaines enregistrés. Dans ce blog, nous expliquons les processus de configuration de DMARC pour Office 365 afin de valider tous les emails Office 365 qui ont :
- Adresses de routage d'e-mails en ligne avec Microsoft
- Domaines personnalisés ajoutés dans le centre d'administration
- Domaines parqués ou inactifs, mais enregistrés
Au deuxième trimestre 2023, Microsoft a été désigné par diverses sources comme la marque la plus usurpée dans les escroqueries par hameçonnage. Des protocoles tels que DMARC sont impératifs pour renforcer votre mécanisme de défense.
Voyons comment DMARC dans Office 365 aide à prévenir les menaces sophistiquées par courrier électronique.
Qu'est-ce que le DMARC ?
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un protocole d'authentification du courrier électronique conçu pour protéger votre domaine contre les attaques par usurpation d'identité et par hameçonnage. Il s'appuie sur deux normes existantes :
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
Ils permettent aux propriétaires de domaines de mieux contrôler la manière dont les serveurs de messagerie destinataires traitent les courriers électroniques non authentifiés qui prétendent provenir de leur domaine.
Lorsque vous mettez en œuvre DMARC pour Office 365, vous publiez une stratégie DMARC sous la forme d'un enregistrement DNS TXT associé à votre domaine. Cette politique indique aux destinataires d'e-mails s'ils doivent accepter, quarantine ou rejeter les messages qui échouent aux vérifications SPF et DKIM, ce qui réduit considérablement les chances que des acteurs malveillants parviennent à usurper l'identité de votre domaine.
DMARC offre également une visibilité précieuse grâce à des mécanismes de rapport, permettant aux propriétaires de domaines de recevoir des informations détaillées sur les résultats de l'authentification du courrier électronique. Ces rapports permettent d'identifier les sources de courrier électronique non autorisées et d'améliorer la sécurité globale du courrier électronique.
Simplifiez DMARC pour Office 365 avec PowerDMARC !
Éléments à prendre en compte avant de commencer
Selon les documents de documents de Microsoft:
- Si vous utilisez MOERA (Microsoft Online Email Routing Address) qui doit se terminer par onmicrosoft.com, SPF et DKIM seront déjà configurés pour lui. Cependant, vous devrez créer vos enregistrements DMARC à l'aide du centre d'administration de Microsoft 365.
- Si vous utilisez un ou plusieurs domaines personnalisés tels que example.com, vous devrez configurer manuellement SPF, DKIM et DMARC pour votre domaine.
- Pour vos domaines parqués (domaines inactifs), Microsoft vous recommande de vous assurer que vous spécifiez explicitement qu'aucun courriel ne doit être envoyé à partir de ces domaines. Sinon, ces domaines peuvent être utilisés dans des attaques de spoofing et de phishing.
- Pour les messages transférés ou modifiés en transit, il est essentiel de configurer l'option ARC. Cela permet de préserver les en-têtes d'authentification du courrier électronique d'origine malgré les modifications, pour une authentification précise.
Comment configurer DMARC pour Office 365
Suivez ces instructions étape par étape pour configurer DMARC pour Office 365 en toute confiance et clarté :
Étape 1 : Identifier les sources d'email valides pour votre domaine
Il s'agit des adresses IP sources (y compris les tiers) que vous souhaitez autoriser à envoyer des courriels en votre nom.
Étape 2 : Configurer SPF pour votre domaine
Vous devez maintenant configurer SPF pour la vérification de l'expéditeur. Pour ce faire, créez un enregistrement SPF TXT qui inclura toutes vos sources d'envoi valides, y compris les fournisseurs d'emails externes. Vous pouvez vous inscrire gratuitement sur PowerDMARC et utiliser notre outil de génération d'enregistrementsSPF pour créer votre enregistrement.
Étape 3 : Configurer DKIM pour Office 365 sur votre domaine
Vous devrez configurer SPF DKIM pour votre domaine afin d'activer DMARC Office 365. Nous vous recommandons de configurer DKIM et DMARC sur Office 365 pour bénéficier d'une couche de sécurité supplémentaire pour les e-mails de votre domaine. Vous pouvez vous inscrire gratuitement sur PowerDMARC et utiliser notre outil de génération d'enregistrements DKIM pour créer votre enregistrement.
Étape 4 : Créer un enregistrement DMARC TXT
Vous pouvez utiliser le générateur d'enregistrements DMARC gratuit de PowerDMARC. générateur d'enregistrements DMARC gratuit de PowerDMARC. Générer instantanément un enregistrement avec la syntaxe correcte à publier dans votre DNS et configurer DMARC pour votre domaine !
Notez que seule une politique de mise en œuvre de rejeter peut empêcher efficacement les attaques par usurpation d'identité. Nous vous recommandons de commencer par une politique d'application aucune et de surveiller régulièrement votre trafic de courrier électronique. Procédez ainsi pendant un certain temps avant de passer à l'application. Le rejet DMARC ne doit pas être pris à la légère, car il peut entraîner la perte d'e-mails légitimes si les sources d'envoi ne sont pas correctement configurées ou contrôlées.
Pour votre enregistrement DMARC, définissez votre mode de politique (quarantine) et une adresse e-mail dans le champ « rua » si vous souhaitez recevoir des rapports agrégés DMARC.
| Politique DMARC | Type de politique | Syntaxe | Action |
|---|---|---|---|
| aucun | détendu/non-action/permissif | p=none ; | Ne rien faire contre les messages qui échouent à l'authentification, c'est-à-dire les délivrer. |
| quarantine | appliqué | quarantine; | Quarantine messages qui ne répondent pas aux critères DMARC |
| rejeter | appliqué | p=rejeter ; | Rejeter les messages qui ne répondent pas aux critères DMARC |
La syntaxe de votre enregistrement DMARC peut ressembler à ceci :
v=DMARC1 ; p=reject ; rua=mailto:[email protected] ;
Cet enregistrement est soumis à une politique de "rejet" et le rapport DMARC global est activé pour le domaine.
Comment ajouter un enregistrement DMARC à Office 365 à l'aide du Centre d'administration Microsoft
Pour ajouter votre enregistrement DMARC Office 365 pour domaines MOERA (*domaines onmicrosoft.com)voici les étapes à suivre:
1. Connectez-vous à votre centre d'administration Microsoft
2. Allez à Tout afficher > Paramètres > Domaines
3. Sélectionnez votre domaine *onmicrosoft.com dans la liste des domaines de la page Domaines pour ouvrir la page Détails du domaine.
4. Cliquez sur l'onglet Enregistrements DNS de cette page et sélectionnez + Ajouter un enregistrement
5. Une zone de texte apparaît pour ajouter un nouvel enregistrement DMARC, avec différents champs. Vous trouverez ci-dessous les valeurs que vous devez indiquer pour les champs spécifiques :
Type: TXT
Nom: _dmarc
TTL: 1 heure
Valeur( collez la valeur de l'enregistrement DMARC que vous avez créé)
6. Cliquez sur Enregistrer
Ajout d'un enregistrement DMARC Office 365 pour votre domaine personnalisé
Si vous disposez d'un domaine personnalisé tel que example.com, nous avons rédigé un guide détaillé sur comment configurer DMARC. Vous pouvez suivre les étapes de notre guide pour configurer facilement le protocole. Microsoft formule quelques recommandations utiles pour la configuration de DMARC pour les domaines personnalisés. Nous approuvons ces conseils et les recommandons également à nos clients ! Voyons ensemble de quoi il s'agit :
- Lors de la configuration de DMARC, commencez par une politique "none".
- Passage progressif à la quarantine puis au rejet
- Vous pouvez également conserver un faible pourcentage (pct) pour l'impact de la politique en commençant par 10 et en l'augmentant progressivement jusqu'à 100.
- Veillez à ce que les rapports DMARC soient activés afin de contrôler régulièrement vos canaux de courrier électronique.
Ajouter un enregistrement DMARC Office 365 pour les domaines inactifs
Nous avons e couvert un guide détaillé sur la sécurisation de vos domaines inactifs/parqués avec SPF, DKIM et DMARC. Vous pouvez y suivre les étapes détaillées, mais pour un aperçu rapide, même vos domaines inactifs doivent être configurés avec DMARC.
Il suffit de publier un enregistrement DMARC en accédant à votre console de gestion DNS pour le domaine inactif. Si vous n'avez pas accès à votre DNS, contactez votre fournisseur de DNS dès aujourd'hui. Cet enregistrement peut être configuré pour rejeter tous les messages provenant de domaines inactifs qui ne répondent pas aux critères DMARC :
v=DMARC1 ; p=rejeter ;
Configurez DMARC pour Office 365 de la bonne façon avec PowerDMARC !
Pourquoi configurer DMARC pour Office 365 ?
Office 365 est livré avec des solutions anti-spam et des systèmes de sécurité des courriels déjà intégrées à sa suite de sécurité. Pourquoi donc exiger une stratégie DMARC dans Office 365 pour l'authentification ? Parce que ces solutions protègent principalement contre les courriels entrants de type courriels d'hameçonnage envoyés à votre domaine. Le protocole d'authentification DMARC est votre solution de prévention du phishing sortant. Il permet aux propriétaires de domaines de spécifier aux serveurs de messagerie destinataires comment répondre aux courriels envoyés depuis votre domaine qui échouent à l'authentification. DMARC réduit également le risque que des messages légitimes atterrissent dans le dossier spam. Il est essentiel de noter que DMARC protège principalement contre l'usurpation de domaine direct (en utilisant votre nom de domaine exact) et ne protège pas intrinsèquement contre l'usurpation de domaine apparenté (en utilisant des noms de domaine visuellement similaires).
DMARC utilise deux pratiques d'authentification standard, à savoir SPF et DKIM. Ces pratiques permettent de valider l'authenticité des courriels. Votre politique DMARC Office 365 peut offrir une protection renforcée contre les attaques par usurpation d'identité et le spoofing.
La mise en place de DMARC pour les courriers électroniques professionnels est plus importante que jamais dans le scénario actuel car.. :
- Les agences fédérales ont émis des mises en garde contre les pirates informatiques qui exploitent l'absence ou la faiblesse des politiques DMARC. politiques DMARC absentes ou faibles
- La conformité DMARC est obligatoire pour les expéditeurs en masse Yahoo et Google.
- Selon IBM, le coût moyen d'une violation lorsque les attaquants utilisent des informations d'identification compromises est de 4,8 millions de dollars.
Un exemple concret de l'impact du DMARC nous vient de HCIT, un fournisseur de services gérés (MSP) qui était confronté à des défis croissants liés au phishing et à l'usurpation d'identité par e-mail visant ses clients. En mettant en œuvre DMARC avec PowerDMARC, HCIT a réussi à protéger plusieurs domaines, à réduire les risques d'usurpation d'identité et à améliorer la délivrabilité des e-mails, démontrant ainsi comment une solution adaptée peut protéger les entreprises et leurs clients contre des attaques coûteuses.
Les pièges les plus courants et comment les éviter
Si la mise en place de DMARC pour Office 365 renforce considérablement la sécurité des e-mails de votre domaine, des erreurs de configuration peuvent nuire à son efficacité. Voici quelques-uns des pièges les plus courants auxquels les entreprises sont confrontées et comment vous pouvez les éviter de manière proactive :
Oublier les politiques de sous-domaines
Les politiques DMARC appliquées au domaine racine (par exemple, website.com) ne s'étendent pas automatiquement aux sous-domaines tels que mail.website.com ou news.website.com à moins que vous ne le spécifiiez explicitement à l'aide de l'option sp dans votre enregistrement DMARC.
Cette négligence crée une faille que les pirates adorent exploiter. Les cybercriminels ciblent souvent les sous-domaines non protégés pour envoyer des e-mails frauduleux, contournant ainsi l'application DMARC de votre domaine principal.
Solution : Ajoutez sp=reject; (ou quarantine) à votre politique DMARC pour étendre la protection à tous les sous-domaines. Auditez régulièrement vos sous-domaines et appliquez des politiques strictes aux domaines qui ne devraient pas envoyer de courrier électronique.
SPF mal configurés rompant DMARC
DMARC ne fonctionne que si les contrôles SPF ou DKIM réussissent et sont correctement alignés sur le domaine dans l'en-tête "From". Il ne suffit pas que ces protocoles existent. Ils doivent s'authentifier au nom du domaine exact utilisé pour envoyer le courrier.
Quelques problèmes courants :
- SPF inclut l'adresse IP d'un expéditeur tiers, mais le domaine de l'enveloppe ne correspond pas.
- DKIM signe avec un domaine différent de celui qui apparaît dans l'adresse "From".
- Les enregistrements sont syntaxiquement incorrects ou incomplets dans votre DNS
Solution : Utiliser des outils spécifiques au domaine pour tester les configurations SPF, DKIM et DMARC. Vérifiez toujours l'alignement, et pas seulement l'état de réussite ou d'échec. Des outils tels que l'analyseur de PowerDMARC permettent de visualiser et de valider une configuration correcte, minimisant ainsi les risques liés à une authentification défaillante.
Les émetteurs tiers ne sont pas alignés
Des services comme Mailchimp, SendGridou Salesforce peuvent prendre en charge SPF et DKIM, mais s'ils ne sont pas correctement configurés pour s'aligner sur votre domaine, DMARC échouera même si vos enregistrements DNS semblent corrects.
Une mauvaise harmonisation avec ces plateformes peut entraîner le signalement ou le blocage de vos courriels, ce qui peut nuire à la délivrabilité et à la confiance dans la marque.
Solution :
- Confirmez que vos services de messagerie tiers prennent en charge la signature DKIM en utilisant votre domaine et autorisent l'alignement SPF via la personnalisation de l'enveloppe.
- Vérifiez toujours la documentation et les configurations de test de chaque plateforme.
- Tenez une liste centrale de tous les expéditeurs externes utilisés par votre organisation et vérifiez périodiquement leur conformité avec DMARC.
Absence d'adresse de notification ou notifications illisibles
La fonction de rapport de DMARC est l'une de ses caractéristiques les plus puissantes, mais seulement si elle est correctement activée. Si vous omettez les balises rua (rapports globaux) ou ruf (rapports judiciaires) dans votre enregistrement DMARC, vous perdez toute visibilité sur les tentatives d'envoi non autorisées.
Pire encore, si vous recevez des rapports mais que vous les dirigez vers une boîte de réception personnelle, le volume et le format XML brut peuvent rapidement devenir écrasants et inutilisables.
Solution : Spécifiez toujours les balises rua et ruf dans votre enregistrement DMARC pour activer le reporting. En outre, utilisez une adresse électronique dédiée ou un analyseur de rapports DMARC tiers capable d'analyser et de visualiser les données dans un format digeste.
Avez-vous vraiment besoin de DMARC lorsque vous utilisez Office 365 ?
Les entreprises se font souvent des idées fausses : elles pensent qu'Office 365 les met à l'abri du spam et des courriels frauduleux. Cependant, en mai 2020, une série d'attaques par hameçonnage ont été menées contre plusieurs compagnies d'assurance du Moyen-Orient. Les attaquants ont utilisé Office 365, provoquant d'importantes pertes de données et des failles de sécurité. Voici donc ce que nous avons appris de cette affaire :
Raison 1 : la solution de sécurité de Microsoft n'est pas infaillible
C'est pourquoi il ne suffit pas de s'appuyer sur les solutions de sécurité intégrées de Microsoft. Des efforts externes doivent être faits pour protéger votre domaine, ce qui peut être une grave erreur.
Raison 2 : Vous devez configurer DMARC pour Office 365 afin de vous protéger contre les attaques sortantes.
Si les solutions de sécurité intégrées d'Office 365 peuvent offrir une protection contre les menaces liées aux e-mails entrants et les tentatives de phishing, vous devez néanmoins vous assurer que les messages sortants envoyés depuis votre propre domaine sont authentifiés efficacement avant d'atterrir dans les boîtes de réception de vos clients et partenaires. C'est là que DMARC pour Office 365 intervient.
Raison 3 : DMARC vous aidera à surveiller vos canaux de courrier électronique
DMARC ne protège pas seulement votre domaine contre l'usurpation de nom de domaine et les attaques de phishing. Il vous aide également à surveiller vos canaux de courrier électronique. Que vous appliquiez une politique stricte telle que "quarantine" ou une politique plus souple telle que "aucun", vous pouvez suivre vos résultats d'authentification à l'aide des Rapports DMARC. Ces rapports sont envoyés soit à votre adresse électronique, soit à un outil d'analyse de rapports DMARC d'un outil d'analyse de rapports DMARC. Le contrôle permet de s'assurer que vos courriels légitimes sont délivrés avec succès.
Rapports et surveillance de la DMARC avec PowerDMARC
PowerDMARC s'intègre de manière transparente à Office 365 pour permettre aux propriétaires de domaines de disposer de solutions d'authentification avancées qui les protègent contre les attaques sophistiquées d'ingénierie sociale telles que le BEC et l'usurpation de domaine direct.
Lorsque vous vous inscrivez à PowerDMARC, vous vous inscrivez à une plateforme SaaS multi-locataires qui rassemble non seulement toutes les meilleures pratiques en matière d'authentification des e-mails (SPF, DKIM, DMARC, MTA-STS, TLS-RPT et BIMI), mais fournit également un mécanisme de reporting DMARC complet et approfondi, qui offre une visibilité totale sur votre écosystème de messagerie électronique. Les rapports DMARC sur le tableau de bord PowerDMARC sont générés en deux formats :
- Rapports agrégés (RUA)
- Rapports médico-légaux (RUF - s'ils sont activés et pris en charge par l'auteur du rapport)
Nous nous sommes efforcés d'améliorer l'expérience de l'authentification en résolvant divers problèmes de l'industrie. Nous assurons le cryptage de vos rapports DMARC forensic et affichons les rapports agrégés dans 7 vues différentes pour améliorer l'expérience de l'utilisateur et la clarté.
PowerDMARC vous aide à surveiller le flux de courrier électronique et les échecs d'authentification, et à établir des listes noires. dresser une liste noire les adresses IP malveillantes du monde entier. Notre analyseur DMARC vous aide à configurer DMARC correctement pour votre domaine et à passer de la surveillance à l'application en un rien de temps. Cela peut vous aider à activer DMARC office 365 sans vous soucier des complexités impliquées.
Foire aux questions
Comment fonctionne DMARC dans O365 ?
Dans Office 365, DMARC protège votre courrier électronique de deux manières :
- Pour le courrier entrantOffice 365 vérifie la politique DMARC de l'expéditeur. Il met ensuite en quarantaine (envoi dans le courrier indésirable) ou rejette les messages qui ne répondent pas aux critères d'authentification SPF et DKIM.
- Pour vos e-mails sortants, vous publiez un enregistrement DMARC pour votre domaine. Office 365 se charge ensuite automatiquement de la signature SPF DKIM requise. Cela garantit que vos e-mails sont correctement authentifiés et considérés comme fiables par les serveurs destinataires.
DMARC est-il nécessaire pour le GDPR ou d'autres cadres de conformité ?
DMARC n'est pas explicitement requis par le GDPR ou la plupart des normes de conformité, mais il soutient la protection des données en empêchant l'usurpation et l'utilisation non autorisée du courrier électronique, contribuant ainsi à répondre à des attentes plus larges en matière de sécurité.
DMARC fonctionne-t-il avec les adresses électroniques de Gmail et Yahoo ?
DMARC protège votre domaine, pas le fournisseur de la boîte de réception. Cependant, les principaux fournisseurs tels que Gmail et Yahoo appliquent DMARC au courrier entrant, ce qui rend l'authentification indispensable pour les expéditeurs.
DMARC peut-il améliorer le taux d'ouverture des courriels ?
Indirectement, oui. Les courriels authentifiés sont moins susceptibles d'être marqués comme spam ou rejetés, ce qui signifie qu'ils sont mieux placés dans la boîte de réception et qu'ils ont plus de chances d'être ouverts.
La mise en œuvre de DMARC a-t-elle un coût ?
La mise en place de DMARC est gratuite si vous gérez votre propre DNS. Toutefois, vous pouvez opter pour des outils ou des services payants afin de simplifier la surveillance, l'analyse des rapports et la gestion continue.
Processus d'examen du contenu et de vérification des faits
Les informations sur le processus d'installation d' Office 365 DMARC proviennent principalement de la documentation officielle de Microsoft et de l'expérience pratique. Cette documentation peut être mise à jour par Microsoft. Les recommandations mentionnées dans l'article, y compris l'utilisation de règles de transport et le déploiement progressif de la politique, sont basées sur les meilleures pratiques de l'industrie et les expériences réelles des clients.
"`
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
