Comment Microsoft 365 traite-t-il les courriels entrants qui échouent à la norme DMARC ?

Les courriels entrants de Microsoft 365 qui échouent à DMARC ne sont pas rejetés, même si la politique DMARC est réglée sur "p=reject". Cela permet d'éviter de bloquer des courriels légitimes qui pourraient être perdus pendant la transmission en raison des politiques de sécurité du courrier électronique de l'expéditeur.

Pourquoi Microsoft 365 ne rejette-t-il pas les e-mails échoués par DMARC ?

Microsoft 365 ne rejette pas les e-mails qui échouent à la vérification DMARC afin de :

• Éviter les faux négatifs qui peuvent résulter de scénarios de transfert d'e-mails et de l'utilisation de listes de diffusion.
• Éviter que des courriels légitimes soient rejetés en raison de problèmes de configuration du côté de l'expéditeur.

Pour cette raison, la sécurité de la messagerie Microsoft 365 estime qu'il est préférable de marquer les messages comme spam plutôt que de les rejeter purement et simplement. Les utilisateurs peuvent toujours s'appuyer sur Microsoft pour recevoir ces courriels dans leur boîte de réception : 

1. Création d'une liste d'expéditeurs sûrs 
2. Création d'une règle de transport, également connue sous le nom de règle de flux de courrier Exchange.

Si le fait que vos courriels légitimes échouent à la vérification DMARC peut être inquiétant, cette tactique peut faire en sorte que des courriels malveillants échappent aux vérifications DMARC et se retrouvent dans les boîtes de réception des utilisateurs. 

Vous pouvez consulter ce document en Microsoft 365 pour la configuration de DMARC entrant dans leur plateforme Exchange Online

Comment créer une règle de transport Microsoft 365 pour mettre en quarantaine les courriels entrants non autorisés ?

Pour répondre à ces préoccupations concernant le déploiement de DMARC dans Office 365, nous pouvons créer une règle Exchange Mail Flow/ Transport en utilisant l'en-tête du message de l'expéditeur. 

Cas 1 : Mise en place d'une règle de transport pour mettre en quarantaine les courriers électroniques entrants provenant de domaines internes.

Si le courrier est reçu par des domaines internes dans l'adresse "From", nous pouvons configurer une règle de transport pour mettre les messages en quarantaine. L'e-mail sera ainsi placé dans le dossier de quarantaine de l'utilisateur au lieu de sa boîte de réception. 

La règle vérifie : 

• Si le champ "From" correspond à votre propre domaine 
• Si DMARC échoue pour le message

Cela permettrait de déterminer les mesures à prendre.

Note : Avant de configurer cette règle, il est recommandé de la déployer sur une base d'utilisateurs restreinte afin de tester le terrain avant de procéder à un déploiement à grande échelle. Assurez-vous que vos expéditeurs autorisés passent DMARC, car un échec serait le signe d'une mauvaise configuration et pourrait entraîner la perte d'e-mails légitimes.

Pour configurer la règle, suivez les étapes ci-dessous : 

1. Connectez-vous à votre centre d'administration Exchange Online 
2. Allez dans Flux de courrier > Règles
3. Créez une nouvelle règle en sélectionnant l'icône Ajouter > Créer une nouvelle règle.
4. Définir "Faire correspondre l'adresse de l'expéditeur dans le message" à "En-tête".
5. Dans Appliquer cette règle si..., vous pouvez sélectionner la condition à laquelle vous voulez appliquer cette règle dans le menu déroulant. Ici, nous voulons configurer la règle si le résultat de l'authentification DMARC est "fail" et si le domaine "From" correspond à votre propre nom de domaine.
6. Dans Faire ce qui suit..., vous pouvez maintenant sélectionner votre action et la régler sur "Livrer le message à la quarantaine hébergée". 
7. Cliquez sur Enregistrer

Cas 2 : Mise en place d'une règle de transport pour mettre en quarantaine les courriers électroniques entrants provenant de domaines externes.

Si vous recevez des courriels provenant de domaines qui n'appartiennent pas à votre organisation (domaines externes) et qui ne répondent pas aux critères DMARC, vous pouvez mettre en place une clause de non-responsabilité qui avertira les utilisateurs d'une éventuelle tentative d'hameçonnage ou d'une intention malveillante. 

Remarque : L'ajout d'une clause de non-responsabilité pour les domaines externes qui échouent à la procédure DMARC peut être utile si vous ne souhaitez pas interdire purement et simplement les courriers électroniques. Le plus souvent, des protocoles mal configurés du côté de l'expéditeur peuvent contribuer à l'échec des contrôles d'authentification.

Pour configurer la règle, suivez les étapes ci-dessous : 

1. Connectez-vous à votre centre d'administration Exchange Online 
2. Allez dans Flux de courrier > Règles
3. Créez une nouvelle règle en sélectionnant l'icône Ajouter > Créer une nouvelle règle.
4. Définir "Faire correspondre l'adresse de l'expéditeur dans le message" à "En-tête".
5. Dans Appliquer cette règle si..., vous pouvez sélectionner la condition à laquelle vous voulez appliquer cette règle dans le menu déroulant. Ici, nous voulons configurer la règle si le résultat de l'authentification DMARC est "fail". 
6. Dans la section Faire ce qui suit..., vous pouvez maintenant sélectionner votre action et la définir comme "Ajouter la clause de non-responsabilité..." et ajouter la clause de non-responsabilité de votre choix.
7. Vous pouvez maintenant ajouter une exception à cette règle, par exemple si l'en-tête "From" correspond à votre nom de domaine.
8. Cliquez sur Enregistrer

Comment créer une règle de transport Microsoft 365 pour rejeter les courriels entrants non autorisés ?

• Connectez-vous à votre centre d'administration Exchange Online

• Allez dans Flux de courrier > Règles

• Sélection de + Ajouter une règle

• Cliquez sur Créer une nouvelle règle dans le menu déroulant

• Nommez votre règle de flux de courrier. Par exemple : Contournement de la politique DMARC 
• Sous "Appliquer cette règle si"sélectionnez "les en-têtes du message contiennent l'un des mots suivants"

• Cliquez maintenant sur "Entrer le texte"dans le texte surligné en bleu et sélectionnez "Résultats de l'authentification"

• De même. Cliquez sur "Entrer des mots"dans le texte surligné en bleu et sélectionnez l'option de votre choix ou toutes les options.

• Sous "Faites ce qui suit"sélectionnez "Bloquer le message"

• Choisissez ensuite "rejeter le message et inclure une explication"

Enregistrez la règle de flux de courrier. Le traitement des modifications peut prendre quelques minutes, et le tour est joué !

Quelques points importants à retenir

1. DMARC ne protège pas contre l'usurpation d'identité de domaines et n'est efficace que contre l'usurpation d'identité de domaines directs et les attaques de phishing.
2. Une politique DMARC réglée sur "none" ne mettrait pas en quarantaine ou ne rejetterait pas les courriels qui échouent à la procédure DMARC. Seule la politique p=reject/quarantine peut protéger contre l'usurpation d'identité.
3. Le rejet DMARC ne doit pas être pris à la légère car il peut entraîner la perte de courriels légitimes. 
4. Pour un déploiement plus sûr, configurez un analyseur de rapports DMARC pour surveiller vos canaux de messagerie et les résultats de l'authentification sur une base quotidienne.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Proxy pour centres de données : Dévoiler le cheval de bataille du monde des proxys - 7 mai 2024
• Kimsuky exploite les politiques DMARC "None" dans de récentes attaques de phishing - 6 mai 2024
• Augmentation des escroqueries fiscales et des attaques d'usurpation d'identité par courriel de l'IRS pendant la saison des impôts - 2 mai 2024