Comment configurer DMARC pour Office 365 : Un guide étape par étape
par
Temps de lecture : 14 min
Microsoft soutient et encourage DMARC pour les utilisateurs d'Office 365, ce qui leur permet d'adopter des protocoles d'authentification des courriels à l'unanimité dans tous leurs domaines enregistrés. Dans ce blog, nous expliquons les processus de configuration de DMARC pour Office 365 afin de valider tous les emails Office 365 qui ont :
- Adresses de routage d'e-mails en ligne avec Microsoft
- Domaines personnalisés ajoutés dans le centre d'administration
- Domaines parqués ou inactifs, mais enregistrés
Au deuxième trimestre 2023, Microsoft a été désigné par diverses sources comme la marque la plus usurpée dans les escroqueries par hameçonnage. Des protocoles tels que DMARC sont impératifs pour renforcer votre mécanisme de défense.
Points clés à retenir
- DMARC est essentiel pour renforcer la sécurité du courrier électronique contre l'usurpation de domaine et l'hameçonnage.
- La mise en place de DMARC nécessite l'existence d'enregistrements SPF ou DKIM pour l'authentification du courrier électronique.
- Microsoft 365 traite différemment les échecs DMARC entrants ; utilisez les règles de transport pour une application strictequarantine.
- Augmentez progressivement la rigueur de la politique DMARC (de zéro à rejet) tout en surveillant les rapports afin d'éviter de bloquer le courrier légitime.
- Configurer DMARC même pour les domaines inactifs afin d'empêcher leur utilisation non autorisée.
Voyons comment DMARC dans Office 365 aide à prévenir les menaces sophistiquées par courrier électronique.
Comment configurer DMARC pour Office 365
DMARC (Domain-based Message Authentication, Reporting, and Conformance) est un enregistrement TXT dans le DNS de votre domaine. DMARC constitue la première défense contre les menaces véhiculées par le courrier électronique provenant de votre propre domaine. Avant de configurer DMARC, votre domaine doit contenir des enregistrements SPF ou DKIM ou, mieux encore, les deux, pour une protection avancée.
Si vous utilisez un domaine personnalisé, vous trouverez ci-dessous les étapes à suivre pour créer votre enregistrement DMARC. Notez qu'il n'est pas obligatoire de configurer à la fois SPF et DKIM pour mettre en œuvre DMARC. Il est toutefois recommandé d'ajouter une couche de protection supplémentaire.
Simplifiez DMARC pour Office 365 avec PowerDMARC !
Éléments à prendre en compte avant de commencer
Selon les documents de documents de Microsoft:
- Si vous utilisez MOERA (Microsoft Online Email Routing Address) qui doit se terminer par onmicrosoft.com, SPF et DKIM seront déjà configurés pour lui. Cependant, vous devrez créer vos enregistrements DMARC à l'aide du centre d'administration Microsoft 365.
- Si vous utilisez un ou plusieurs domaines personnalisés tels que example.com, vous devrez configurer manuellement SPF, DKIM et DMARC pour votre domaine.
- Pour vos domaines parqués (domaines inactifs), Microsoft vous recommande de vous assurer que vous spécifiez explicitement qu'aucun courriel ne doit être envoyé à partir de ces domaines. Sinon, ces domaines peuvent être utilisés dans des attaques de spoofing et de phishing.
- Pour les messages transférés ou modifiés en transit, il est essentiel de configurer l'option ARC. Cela permet de préserver les en-têtes d'authentification du courrier électronique d'origine malgré les modifications, pour une authentification précise.
Étape 1 : Identifier les sources d'email valides pour votre domaine
Il s'agit des adresses IP sources (y compris les tiers) que vous souhaitez autoriser à envoyer des courriels en votre nom.
Étape 2 : Configurer le SPF pour votre domaine
Vous devez maintenant configurer SPF pour la vérification de l'expéditeur. Pour ce faire, créez un enregistrement SPF TXT qui inclura toutes vos sources d'envoi valides, y compris les fournisseurs de courrier électronique externes. Vous pouvez vous inscrire gratuitement sur PowerDMARC et utiliser notre outil de génération d'enregistrements SPF pour créer votre enregistrement.
Étape 3 : Configurer DKIM pour Office 365 sur votre domaine
Vous devez configurer SPF ou DKIM pour votre domaine afin d'activer DMARC Office 365. Nous vous recommandons de configurer DKIM et DMARC sur Office 365 afin d'ajouter une couche de sécurité supplémentaire aux courriels de votre domaine. Vous pouvez vous inscrire gratuitement sur PowerDMARC et utiliser notre outil de génération d'enregistrements DKIM pour créer votre enregistrement.
Étape 4 : Créer un enregistrement DMARC TXT
Vous pouvez utiliser le générateur d'enregistrements DMARC gratuit de PowerDMARC. générateur d'enregistrements DMARC gratuit de PowerDMARC. Générez instantanément un enregistrement avec la syntaxe correcte à publier dans votre DNS et configurez DMARC pour votre domaine !
Notez que seule une politique de mise en œuvre de rejeter peut empêcher efficacement les attaques par usurpation d'identité. Nous vous recommandons de commencer par une politique d'application aucune et de surveiller régulièrement votre trafic de courrier électronique. Procédez ainsi pendant un certain temps avant de passer à l'application. Le rejet DMARC ne doit pas être pris à la légère, car il peut entraîner la perte d'e-mails légitimes si les sources d'envoi ne sont pas correctement configurées ou contrôlées.
Pour votre enregistrement DMARC, définissez votre mode de politique (quarantine), et une adresse électronique dans le champ "rua" si vous souhaitez recevoir des rapports agrégés DMARC.
| Politique DMARC | Type de politique | Syntaxe | Action |
|---|---|---|---|
| aucun | détendu/non-action/permissif | p=none ; | Ne rien faire contre les messages qui échouent à l'authentification, c'est-à-dire les délivrer. |
| quarantine | appliqué | quarantine; | Quarantine messages qui ne répondent pas aux critères DMARC |
| rejeter | appliqué | p=rejeter ; | Rejeter les messages qui ne répondent pas aux critères DMARC |
La syntaxe de votre enregistrement DMARC peut ressembler à ceci :
v=DMARC1 ; p=reject ; rua=mailto:[email protected] ;
Cet enregistrement est soumis à une politique de "rejet" et le rapport DMARC global est activé pour le domaine.
Etapes pour ajouter un enregistrement DMARC à Office 365 à l'aide du Centre d'administration Microsoft
Pour ajouter votre enregistrement DMARC Office 365 pour domaines MOERA (*domaines onmicrosoft.com)voici les étapes à suivre:
1. Connectez-vous à votre centre d'administration Microsoft
2. Allez à Tout afficher > Paramètres > Domaines
3. Sélectionnez votre domaine *onmicrosoft.com dans la liste des domaines de la page Domaines pour ouvrir la page Détails du domaine.
4. Cliquez sur l'onglet Enregistrements DNS de cette page et sélectionnez + Ajouter un enregistrement
5. Une zone de texte apparaît pour ajouter un nouvel enregistrement DMARC, avec différents champs. Vous trouverez ci-dessous les valeurs que vous devez indiquer pour les champs spécifiques :
Type: TXT
Nom: _dmarc
TTL: 1 heure
Valeur( collez la valeur de l'enregistrement DMARC que vous avez créé)
6. Cliquez sur Enregistrer
Ajout d'un enregistrement DMARC Office 365 pour votre domaine personnalisé
Si vous avez un domaine personnalisé comme example.com, nous avons couvert un guide détaillé sur comment configurer DMARC. Vous pouvez suivre les étapes de notre guide pour configurer facilement le protocole. Microsoft fait quelques recommandations utiles lors de la configuration de DMARC pour les domaines personnalisés. Nous sommes d'accord avec ces conseils et les suggérons également à nos clients! Voyons de quoi il s'agit :
- Lors de la configuration de DMARC, commencez par une politique "none".
- Passage progressif à la quarantine puis au rejet
- Vous pouvez également conserver un faible pourcentage (pct) pour l'impact de la politique en commençant par 10 et en l'augmentant progressivement jusqu'à 100.
- Veillez à ce que les rapports DMARC soient activés afin de contrôler régulièrement vos canaux de courrier électronique.
Ajouter un enregistrement DMARC Office 365 pour les domaines inactifs
Nous avons couvert un guide détaillé sur la sécurisation de vos domaines inactifs/parqués avec SPF, DKIM et DMARC. Vous pouvez suivre les étapes détaillées dans ce guide, mais pour un aperçu rapide, même vos domaines inactifs doivent être configurés avec DMARC.
Il suffit de publier un enregistrement DMARC en accédant à votre console de gestion DNS pour le domaine inactif. Si vous n'avez pas accès à votre DNS, contactez votre fournisseur de DNS dès aujourd'hui. Cet enregistrement peut être configuré pour rejeter tous les messages provenant de domaines inactifs qui ne répondent pas aux critères DMARC :
v=DMARC1 ; p=rejeter ;
Configurez DMARC pour Office 365 de la bonne façon avec PowerDMARC !
Pourquoi configurer DMARC pour Office 365 ?
Office 365 est livré avec des solutions anti-spam et des systèmes de sécurité des courriels déjà intégrées à sa suite de sécurité. Pourquoi donc exiger une stratégie DMARC dans Office 365 pour l'authentification ? Parce que ces solutions protègent principalement contre les courriels entrants de type courriels d'hameçonnage envoyés à votre domaine. Le protocole d'authentification DMARC est votre solution de prévention du phishing sortant. Il permet aux propriétaires de domaines de spécifier aux serveurs de messagerie destinataires comment répondre aux courriels envoyés depuis votre domaine qui échouent à l'authentification. DMARC réduit également le risque que des messages légitimes atterrissent dans le dossier spam. Il est essentiel de noter que DMARC protège principalement contre l'usurpation de domaine direct (en utilisant votre nom de domaine exact) et ne protège pas intrinsèquement contre l'usurpation de domaine apparenté (en utilisant des noms de domaine visuellement similaires).
DMARC utilise deux pratiques d'authentification standard, à savoir SPF et DKIM. Ces pratiques permettent de valider l'authenticité des courriels. Votre politique DMARC Office 365 peut offrir une protection renforcée contre les attaques par usurpation d'identité et le spoofing.
La mise en place de DMARC pour les courriers électroniques professionnels est plus importante que jamais dans le scénario actuel car.. :
- Les agences fédérales ont émis des mises en garde contre les pirates informatiques qui exploitent l'absence ou la faiblesse des politiques DMARC. politiques DMARC absentes ou faibles
- Laconformité à DMARC est obligatoire pour les expéditeurs en masse de Yahoo et Google
- Le rapport du rapport IC3 du FBI désigne les États-Unis comme le pays le plus touché par les attaques d'hameçonnage.
- IBM rapporte qu'une entreprise sur cinq est touchée par des violations de données dues à la perte ou au vol d'informations d'identification.
Avez-vous vraiment besoin de DMARC lorsque vous utilisez Office 365 ?
Les entreprises se font souvent des idées fausses : elles pensent qu'Office 365 les met à l'abri du spam et des courriels frauduleux. Cependant, en mai 2020, une série d'attaques par hameçonnage ont été menées contre plusieurs compagnies d'assurance du Moyen-Orient. Les attaquants ont utilisé Office 365, provoquant d'importantes pertes de données et des failles de sécurité. Voici donc ce que nous avons appris de cette affaire :
Raison 1 : la solution de sécurité de Microsoft n'est pas infaillible
C'est pourquoi il ne suffit pas de s'appuyer sur les solutions de sécurité intégrées de Microsoft. Des efforts externes doivent être faits pour protéger votre domaine, ce qui peut être une grave erreur.
Raison 2 : Vous devez configurer DMARC pour Office 365 afin de vous protéger contre les attaques sortantes.
Si les solutions de sécurité intégrées d'Office 365 peuvent offrir une protection contre les menaces liées aux e-mails entrants et les tentatives de phishing, vous devez néanmoins vous assurer que les messages sortants envoyés depuis votre propre domaine sont authentifiés efficacement avant d'atterrir dans les boîtes de réception de vos clients et partenaires. C'est là que DMARC pour Office 365 intervient.
Raison 3 : DMARC vous aidera à surveiller vos canaux de courrier électronique
DMARC ne protège pas seulement votre domaine contre l'usurpation de nom de domaine et les attaques de phishing. Il vous aide également à surveiller vos canaux de courrier électronique. Que vous appliquiez une politique stricte telle que "quarantine" ou une politique plus souple telle que "aucun", vous pouvez suivre vos résultats d'authentification à l'aide des Rapports DMARC. Ces rapports sont envoyés soit à votre adresse électronique, soit à un outil d'analyse de rapports DMARC d'un outil d'analyse de rapports DMARC. Le contrôle permet de s'assurer que vos courriels légitimes sont délivrés avec succès.
Comment fonctionne DMARC dans Office 365 ?
Pour mettre en œuvre DMARC dans Office 365, les propriétaires de domaines doivent publier des enregistrements DMARC dans leurs paramètres DNS. Cet enregistrement indique aux serveurs de messagerie de réception comment traiter les courriels prétendant provenir de votre domaine qui échouent aux vérifications SPF ou DKIM, conformément à la politique que vous avez spécifiée (aucune, quarantine ou rejet). Ils peuvent configurer leurs emails Office 365 usurpés pour qu'ils soient rejetés par les serveurs de réception en définissant la politique à `p=reject`.
Les administrateurs d'Office 365 peuvent gérer les paramètres DMARC via le centre d'administration Exchange ou des commandes PowerShell.
Vous pouvez également mettre en œuvre DMARC dans Office 365 pour demander des rapports agrégés (RUA) et judiciaires (RUF) sur la façon dont le courrier électronique de votre domaine est traité par des tiers et comment il se comporte par rapport aux contrôles d'authentification.
Comment Microsoft 365 traite les courriels entrants qui ne répondent pas à la norme DMARC
Il est essentiel de comprendre comment Microsoft 365 traite les courriels entrants qui échouent au contrôle DMARC spécifié par la politique DMARC de l'expéditeur. Par défaut, les courriels entrants de Microsoft 365 qui échouent au contrôle DMARC ne sont pas automatiquement rejetés, même si la politique DMARC de l'expéditeur est réglée sur "p=reject".
Microsoft 365 adopte cette approche principalement pour éviter de bloquer des courriels légitimes (faux positifs). Cela peut se produire pour les raisons suivantes :
- Les scénarios de transfert de courrier électronique ou les listes de diffusion qui peuvent rompre l'alignement SPF et DKIM.
- Problèmes de configuration ou déploiements incomplets du côté de l'expéditeur.
Au lieu de les rejeter, la sécurité de la messagerie de Microsoft 365 marque généralement ces messages comme du spam. Si cela permet d'éviter la perte potentielle de courrier légitime, cela signifie également que les courriels malveillants usurpant un domaine avec une politique p=reject peuvent toujours atteindre le dossier Junk Email d'un utilisateur au lieu d'être purement et simplement bloqués. Les utilisateurs peuvent également contourner cette mesure par inadvertance en ajoutant des expéditeurs à une liste d'"expéditeurs sûrs".
Utilisation des règles de transport pour appliquer DMARC au courrier entrant
Pour obtenir un contrôle plus strict sur les courriels entrants qui échouent aux vérifications DMARC, vous pouvez créer des règles de flux de courrier Exchange (règles de transport) dans le centre d'administration d'Exchange Online. Ces règles vous permettent de définir des actions spécifiques basées sur l'échec DMARC, en remplaçant le comportement par défaut. Vous pouvez cibler ces règles selon que l'expéditeur est interne ou externe.
Voici une procédure générale pour créer une règle de transport pour l'application de DMARC:
- Connectez-vous à votre centre d'administration Exchange Online.
- Naviguez vers Flux de courrier > Règles.
- Cliquez sur + Ajouter une règle et sélectionnez Créer une nouvelle règle.
- Donnez un nom à votre règle (par exemple, "DMARC Fail - Quarantine Internal Spoofing", "DMARC Fail - Reject External").
- Sous "Appliquer cette règle si...", sélectionnez "Les en-têtes du message..." puis "comprend l'un des mots suivants".
- Cliquez sur "Saisir le texte..."et spécifiez le nom de l'en-tête : Authentication-Results
- Cliquez "Entrer des mots..."et ajoutez la phrase : dmarc=échec
- En option, ajoutez une autre condition pour spécifier l'emplacement de l'expéditeur :
- Pour cibler l'usurpation de votre (vos) propre(s) domaine(s) : Ajoutez la condition "L'expéditeur..." > "Le domaine de l'expéditeur est..."et entrez votre (vos) domaine(s) interne(s). Réglez "Correspondre à l'adresse de l'expéditeur dans le message" sur "En-tête".
- Pour cibler les domaines externes qui échouent à DMARC : ajouter la condition "L'expéditeur..." > "est externe/interne" > "En dehors de l'organisation".
- Sous "Effectuez les opérations suivantes..."Sélectionnez l'action souhaitée :
- Quarantine: Sélectionnez "Modifier les propriétés du message..." > "réglez le niveau de confiance du spam (SCL)"à 9 (ou utilisez "Livrer le message à la quarantine hébergée"en fonction de votre configuration). Souvent utilisé en cas de suspicion d'usurpation d'identité interne.
- Ajouter un avis de non-responsabilité : Sélectionnez "Appliquer un avis de non-responsabilité au message..." > "ajouter un avis de non-responsabilité". Ajouter un texte d'avertissement (par exemple, "ATTENTION : Cet e-mail n'a pas réussi l'authentification DMARC et peut être frauduleux"). Utile en cas de défaillance d'un domaine externe, lorsque vous souhaitez avertir les utilisateurs mais ne pas bloquer les courriers légitimes potentiellement mal configurés.
- Rejeter : Sélectionnez "Bloquer le message..." > "rejeter le message et inclure une explication"ou "supprimer le message sans prévenir personne". Il s'agit de l'option la plus stricte.
- Configurez des exceptions si nécessaire (par exemple, des adresses IP ou des domaines d'expéditeurs spécifiques qui doivent contourner la règle).
- Vérifiez les paramètres et cliquez sur Sauvegarder. Activez la règle.
Remarque : Avant d'appliquer des règles de mise quarantine ou de rejet du courrier, il est fortement recommandé de les tester de manière approfondie, éventuellement dans un premier temps en mode "Test sans conseils de politique" ou sur un groupe limité d'utilisateurs. Assurez-vous que vos propres expéditeurs autorisés passent correctement les contrôles DMARC afin d'éviter le blocage involontaire d'e-mails légitimes.
Que se passe-t-il si la stratégie DMARC n'est pas activée dans Office 365 ?
Si vous ne publiez pas d'enregistrement DMARC pour votre domaine Office 365, ou si vous en publiez un avec une politique de `p=none` sans contrôle, vous courez un risque important de voir votre domaine usurpé.
DMARC est conçu pour aider à protéger votre domaine contre l'usurpation d'identité par des expéditeurs de courrier électronique qui veulent accéder à vos systèmes de courrier électronique et les utiliser à des fins de fraude ou de phishing.
Sans enregistrement DMARC, les serveurs de messagerie destinataires n'ont aucune instruction de votre part sur la manière de vérifier les courriels prétendant provenir de votre domaine ou sur ce qu'il convient de faire en cas d'échec des vérifications. Si vous avez une politique `p=none`, les courriels qui échouent seront toujours délivrés, n'offrant aucune protection contre l'usurpation d'identité (bien que le reporting puisse toujours fournir une visibilité). Cela signifie que n'importe qui peut tenter d'envoyer des courriels au nom de votre domaine, même s'il n'a pas la permission de le faire. Il est également plus difficile pour les destinataires de déterminer si un message provient réellement d'une source autorisée associée à votre domaine.
En tant que propriétaire de domaine, vous devez toujours vous méfier des acteurs menaçants qui lancent des attaques d'usurpation de domaine et des attaques de phishing pour utiliser votre domaine ou votre nom de marque afin de mener des activités malveillantes. Quelle que soit la solution d'échange de courriels que vous utilisez, il est impératif de protéger votre domaine contre l'usurpation d'identité et l'usurpation de nom pour garantir la crédibilité de votre marque et maintenir la confiance de votre clientèle.
Pourquoi utiliser PowerDMARC avec Office 365 ?
Microsoft Office 365 offre aux utilisateurs une multitude de services et de solutions basés sur le cloud, ainsi que des filtres anti-spam intégrés. Cependant, en dépit de ses nombreux avantages, voici les inconvénients auxquels vous pourriez être confronté en l'utilisant du point de vue de la sécurité :
- Pas de solution pour valider les messages sortants envoyés depuis votre domaine (nécessite une configuration manuelle de SPF/DKIM/DMARC)
- Pas de mécanisme de rapport intégré et convivial pour les courriels qui échouent aux contrôles d'authentification (les rapports XML bruts doivent être analysés).
- Visibilité limitée de l'ensemble de votre écosystème de messagerie et de votre posture d'authentification
- Pas de tableau de bord centralisé pour gérer et surveiller le déploiement de DMARC dans plusieurs domaines.
- Pas de mécanisme automatisé pour garantir que votre enregistrement SPF reste en deçà de la limite de 10 consultations (nécessite une gestion manuelle ou des outils tels que SPF Flattening).
Rapports et surveillance de la DMARC avec PowerDMARC
PowerDMARC s'intègre de manière transparente à Office 365 pour permettre aux propriétaires de domaines de disposer de solutions d'authentification avancées qui les protègent contre les attaques sophistiquées d'ingénierie sociale telles que le BEC et l'usurpation de domaine direct.
Lorsque vous vous inscrivez à PowerDMARC, vous vous inscrivez à une plateforme SaaS multi-tenant qui non seulement rassemble toutes les meilleures pratiques d'authentification des courriels (SPF, DKIM, DMARC, MTA-STS, etc.), mais aussi les meilleures pratiques d'authentification des courriels (SPF, DKIM, DMARC), MTA-STSTLS-RPT et BIMI), mais aussi un mécanisme de reporting DMARC étendu et approfondi, qui offre une visibilité complète de votre écosystème de messagerie. Les rapports DMARC sur le tableau de bord PowerDMARC sont générés en deux formats :
- Rapports agrégés (RUA)
- Rapports médico-légaux (RUF - s'ils sont activés et pris en charge par l'auteur du rapport)
Nous nous sommes efforcés d'améliorer l'expérience de l'authentification en résolvant divers problèmes de l'industrie. Nous assurons le cryptage de vos rapports DMARC forensic et affichons les rapports agrégés dans 7 vues différentes pour améliorer l'expérience de l'utilisateur et la clarté.
PowerDMARC vous aide à surveiller le flux de courrier électronique et les échecs d'authentification, et à établir des listes noires. dresser une liste noire les adresses IP malveillantes du monde entier. Notre analyseur DMARC vous aide à configurer DMARC correctement pour votre domaine et à passer de la surveillance à l'application en un rien de temps. Cela peut vous aider à activer DMARC office 365 sans vous soucier des complexités impliquées.
FAQ DMARC pour Office 365
Processus d'examen du contenu et de vérification des faits
Les informations sur le processus d'installation d' Office 365 DMARC proviennent principalement de la documentation officielle de Microsoft et de l'expérience pratique. Cette documentation peut être mise à jour par Microsoft. Les recommandations mentionnées dans l'article, y compris l'utilisation de règles de transport et le déploiement progressif de la politique, sont basées sur les meilleures pratiques de l'industrie et les expériences réelles des clients.
"`
Expert en sécurité des domaines et des courriels chez PowerDMARC
Yunes est chef d'équipe des opérations chez PowerDMARC et possède des connaissances approfondies en matière d'authentification et de sécurité des courriels. Yunes est certifié Microsoft Azure Administrator Associate et possède des certifications CompTIA A+ et bien d'autres encore.
Derniers messages de Yunes Tarada (voir tous)
