Microsoft recommande aux utilisateurs de messagerie électronique de protéger de manière adéquate tous les domaines associés à Office 365. Si vous ne sécurisez pas vos domaines onmicrosoft.com, les acteurs de la menace peuvent facilement les exploiter dans des attaques par usurpation d'identité. Heureusement pour vous, si vous utilisez un sous-domaine onmicrosoft.com, SPF devrait déjà être activé pour lui. Cependant, SPF ne peut à lui seul empêcher les attaques par usurpation d'identité. Vous avez besoin de DMARC pour cela ! Voyons donc comment vous pouvez mettre en œuvre DKIM et DMARC pour vos domaines onmicrosoft.com afin d'améliorer la sécurité des courriels.
Qu'est-ce qu'un domaine onmicrosoft.com ou MOERA ?
onmicrosoft.com domains are your Microsoft Online Email Routing Address domain, also known as MOERA for short. Your MOERA domain is formatted as <domain>.onmicrosoft.com and is a default address given to every Microsoft tenant during onboarding. It is typically assigned during the initial setup phase. When you sign up for Microsoft 365, you are required to provide a unique domain name. Microsoft then creates a domain in the format yourcompany.onmicrosoft.com.
Les adresses MOERA sont utilisées en interne dans les systèmes de Microsoft pour acheminer les courriers électroniques. Par exemple, même si l'adresse électronique principale d'un utilisateur est john.doe@yourcompany.com, il peut toujours avoir une adresse MOERA comme john.doe@yourcompany.onmicrosoft.com qui est utilisée en coulisses.
Pourquoi l'authentification est-elle importante pour tous les domaines ?
Depuis des années, Microsoft est considéré comme un aimant pour les attaques d'hameçonnage ! En fait, en 2024, Microsoft a été désigné comme le site marque mondiale la plus usurpée la marque mondiale la plus usurpée, suivie par Google, selon divers chercheurs et sources de sécurité.
Dans une attaque par usurpation d'identité, une marque renommée est usurpée pour envoyer de faux courriels malveillants à partir de son domaine. Cela signifie que des attaquants peuvent usurper votre domaine onmicrosoft.com pour envoyer des courriels d'hameçonnage à vos clients, qui risquent de cliquer dessus et de se faire escroquer. Vous subirez les conséquences de cette attaque sous la forme de commentaires négatifs de la part de vos clients, d'une rupture de confiance et d'une réputation ternie.
C'est pourquoi il est impératif de sécuriser tous vos domaines ! Voici quelques protocoles d'authentification des courriels que vous pouvez utiliser pour y parvenir :
- SPF : Sender Policy Framework (SPF) vous permet d'autoriser les sources d'envoi de votre domaine. Par défaut, votre domaine onmicrosoft.com a activé SPF. Par conséquent, les serveurs de réception reconnaîtront ce domaine comme un expéditeur de courrier électronique authentique.
- DKIM : DomainKeys Identified Mail (DKIM) vous permet d'ajouter des signatures numériques aux messages électroniques. Ces signatures sont vérifiées par le destinataire lors de l'authentification. Elles permettent d'établir si un courriel est resté authentique et inchangé pendant la transmission. Vous devez le configurer manuellement pour votre domaine onmicrosoft.com.
- DMARC : Domain-based Message Authentication Reporting and Conformance (DMARC) vous permet de prendre des mesures contre les courriers électroniques non autorisés. Si vos messages échouent aux contrôles SPF et/ou DKIM, vous pouvez prendre position ! Utilisez DMARC pour rejeter, mettre en quarantaine ou délivrer vos courriels en activant une politique DMARC.
Etapes pour ajouter DKIM à votre domaine onmicrosoft.com
Pour ajouter DKIM à votre domaine onmicrosoft.com, suivez les étapes ci-dessous :
1. Connectez-vous à votre portail Microsoft Defender
2. Allez dans Email & Collaboration > Politiques et règles > Politiques de lutte contre les menaces
3. Faites défiler la page jusqu'à la section "Règles" et cliquez sur Paramètres d'authentification des courriels.
4. Sélectionnez l'onglet DKIM pour votre domaine onmicrosoft.com et cliquez sur Activer.
5. Cliquez sur Rotation des clés DKIM pour ajouter un deuxième enregistrement DKIM avec un sélecteur différent à vos enregistrements DNS.
Le portail peut prendre de quelques minutes à une heure pour activer DKIM pour votre domaine. Une fois la propagation DNS effectuée, Microsoft recommande d'ajouter un second sélecteur à votre configuration DKIM. Cette étape offre une sécurité supplémentaire en vous permettant d'effectuer une rotation périodique de vos clés DKIM.
Etapes pour ajouter DMARC à votre domaine onmicrosoft.com
1. Connectez-vous à votre centre d'administration Microsoft Office 365
2. Allez dans Paramètres > Domaines et sélectionnez votre domaine onmicrosoft.com
3. Une fois sélectionné, cliquez sur Enregistrements DNS > Ajouter un enregistrement.
4. Dans la fenêtre contextuelle " Ajouter un enregistrement DNS personnalisé ", configurez les paramètres suivants :
Type: TXT
Nom TXT: _dmarc
Valeur TXT: v=DMARC1 ; p=reject ;
TTL: 1 heure
Lorsque vous choisissez votre politique politique DMARC (p=), nous vous recommandons de commencer par une politique DMARC "none" qui n'offre aucune protection mais qui est utile pour surveiller votre domaine. Passez ensuite progressivement à la "quarantaine" et enfin au "rejet" pour prévenir activement les cyberattaques.
Cliquez sur "Enregistrer" et attendez de quelques minutes à une heure pour enregistrer les modifications apportées à votre dossier.
Étapes de vérification des configurations DKIM et DMARC de onmicrosoft.com
Une fois que vous avez enregistré vos paramètres DMARC et DKIM, vous devez les vérifier dans le centre d'administration.
- Dans votre centre d'administration Microsoft Office 365, allez dans Paramètres > Domaines et sélectionnez votre domaine onmicrosoft.com.
- Cliquez sur Enregistrements DNS et descendez jusqu'à "Enregistrements personnalisés". Vous devriez y voir votre nouvel enregistrement DMARC.
- Faites défiler vers le bas jusqu'à " Enregistrements Microsoft Office 365 supplémentaires " et dans cette section, vous devriez être en mesure de voir les 2 nouveaux enregistrements DKIM configurés pour votre domaine.
Une fois que vous avez repéré ces enregistrements, cela signifie que vous êtes prêt !
Le mot de la fin
L'activation de DKIM et DMARC pour vos domaines onmicrosoft.com est une étape cruciale dans l'amélioration de la sécurité de votre courrier électronique. Elle peut contribuer à protéger la réputation de votre marque contre l'usurpation d'identité et l'usurpation de nom. En suivant les étapes décrites par Microsoft dans notre guide, vous pouvez activer les protocoles nécessaires pour sécuriser votre domaine.
PowerDMARC simplifie ce processus en fournissant une plateforme intuitive qui vous aide à mettre en œuvre et à surveiller ces protocoles sans effort. Avec PowerDMARC, vous obtenez des informations complètes et des alertes en temps réel, ce qui vous permet de vous assurer que votre domaine reste sécurisé et conforme. Prenez le contrôle de la sécurité de votre messagerie dès aujourd'hui avec PowerDMARC et ayez l'esprit tranquille en sachant que vos communications sont protégées. Commencez votre essai gratuit gratuitement dès aujourd'hui !
