Microsoft a récemment déployé des sceaux ARC de confiance pour autoriser les flux de courrier électronique indirects légitimes et, à vrai dire, c'est une excellente mesure. Voici pourquoi :
- Vos protocoles d'authentification du courrier électronique de base (DMARC, SPFet DKIM) sont insuffisants lorsqu'il s'agit d'authentifier les courriels envoyés indirectement.
- Cela peut faire échouer l'authentification de vos emails légitimes
- Par la suite, cela entraîne des problèmes de livraison des e-mails
C'est à ce moment-là que le sceau ARC de Microsoft intervient pour sauver la situation. En ajoutant des signatures ARC aux messages sortants, la source du courriel peut être facilement identifiée et autorisée pendant la vérification de l'expéditeur, même si son en-tête et son contenu ont été modifiés par un partie intermédiaire de confiance.
Consultez le document de Microsoft ici.
À quelle catégorie d'utilisateurs s'applique le sceau ARC de confiance de Microsoft ?
Ce sceau ARC de confiance peut être déployé par les utilisateurs connectés aux services Microsoft suivants :
- Protection en ligne d'Exchange
- Microsoft Defender pour Office 365 plan 1 et plan 2
- Microsoft 365 Defender
Qu'est-ce qu'un flux d'e-mails directs ?
C'est le cas lorsqu'un courriel envoyé depuis un domaine source atteint directement le serveur de messagerie de son destinataire. À moins que la communication ne soit interceptée par un tiers malveillant, le courriel reste intact et les en-têtes du message sont préservés, ce qui permet de passer les contrôles d'authentification DMARC.
Que sont les flux de courrier indirect ?
C'est le cas lorsqu'un courriel envoyé depuis le domaine source est acheminé par un ou plusieurs serveurs intermédiaires (comme dans le cas d'une redirection de courriel). Ces intermédiaires peuvent altérer le message en modifiant les informations d'en-tête et le corps du message, ce qui fait que l'e-mail échoue à DMARC.
Pourquoi le sceau Trusted ARC est-il nécessaire ?
Échecs d'authentification dans les flux de courriers électroniques indirects
Les entreprises externalisent souvent leurs campagnes de marketing par courriel par l'intermédiaire d'un tiers qui achemine les messages du domaine du propriétaire aux destinataires par un ou plusieurs serveurs intermédiaires. Cela se remarque principalement lors du transfert d'e-mails ou de l'utilisation de listes de diffusion.
Les informations d'en-tête de ces courriels sont modifiées au cours du processus car elles reprennent les informations d'en-tête de l'intermédiaire respectif. Cela entraîne une incohérence dans les en-têtes Mail from : et return-path, ce qui fait échouer SPF. Les intermédiaires peuvent également modifier le contenu du corps du message en ajoutant des pieds de page, ce qui compromet encore davantage DKIM.
Bien que ce dernier cas soit rare, il se produit. Lorsque SPF et DKIM échouent tous deux pour les messages, DMARC échoue inévitablement et le message (bien que légitime) est perçu comme frauduleux. Si l'expéditeur est sur p=reject, ces messages légitimes ne seront jamais délivrés !
Spécification d'intermédiaires de confiance par le biais du sceau ARC de confiance de Microsoft
Les administrateurs qui sont connectés au portail des défenseurs de Microsoft 365 peuvent ajouter des intermédiaires de confiance sur le portail d'administration. Pendant la vérification de l'expéditeur, Microsoft vérifiera l DMARC ARC des e-mails envoyés par ces scelleurs ARC de confiance et les aidera à passer les contrôles d'authentification et à être livrés en toute sécurité.
Cela concerne la manière dont l'ARC préserve les informations d'authentification originales pour les messages avant que des modifications ne soient apportées par un intermédiaire, ce qui peut être vérifié par les serveurs récepteurs.
Points importants à retenir lors de l'utilisation du sceau Trusted ARC Seal
Le sceau ARC doit être configuré par les intermédiaires de confiance admin.
Si, en tant qu'administrateur de domaine, vous avez une liste d'intermédiaires de confiance par lesquels vous souhaitez acheminer vos e-mails, vous devez les contacter dès aujourd'hui ! Discutez ouvertement avec eux, en leur demandant de configurer l'ARC pour les domaines intermédiaires respectifs.
Téléchargez cette liste de scelleurs ARC de confiance sur le portail de votre défenseur.
L'étape suivante consiste à vous connecter à votre portail Microsoft defender et à télécharger la liste des scelleurs ARC de confiance. Ici, vous pouvez ajouter les noms de domaine de ces intermédiaires de confiance qui ont activé l'ARC à votre demande. Vous pouvez le faire en vous rendant sur votre page des paramètres d'authentification par courriel sur le tableau de bord de votre portail et en cliquant sur le bouton "Ajouter".
Alternativement,
Vous pouvez également ajouter votre liste de scelleurs ARC de confiance via Exchange Online Powershell en exécutant le script Powershell suivant mentionné par Microsoft :
Set-ArcConfig -Identity default -ArcTrustedSealers {suivi des noms de domaine de vos intermédiaires séparés par des virgules}
Comment trouver le nom de domaine de vos scelleurs ARC de confiance
Pour trouver le nom de domaine de vos expéditeurs ARC de confiance sur votre boîte aux lettres Outlook, suivez les étapes ci-dessous :
- Ouvrez l'e-mail en double-cliquant dessus.
- Allez dans fichier > Propriétés
- La fenêtre des propriétés s'affiche. Vous pouvez visualiser les informations relatives à l'en-tête de votre message dans la case En-têtes Internet.
- Vous trouverez ici le nom de domaine mentionné dans la balise "d=" de la signature ARC de l'e-mail. Il s'agit du domaine de votre scelleur ARC de confiance.
Vous pouvez également utiliser les informations de l'en-tête de votre courriel pour valider votre sceau ARC de confiance en recherchant "pass" dans les résultats de votre authentification ARC.
ARC est-il un remplacement de DMARC ?
Pour faire court : non, ce n'est pas le cas. Pour de meilleurs résultats, ARC doit être utilisé conjointement avec DMARC, SPF et DKIM. ARC est une mesure de sécurité supplémentaire qui vous permet d'éviter que vos courriels légitimes n'échouent à l'authentification lorsque le courriel passe par un serveur intermédiaire qui apporte des modifications à l'en-tête et au contenu.
Pour commencer à tirer parti du sceau Trusted ARC de Microsoft, configurez DMARC dans votre organisation dès aujourd'hui. Faites un essai gratuit de essai gratuit de DMARC avec PowerDMARC.
Articles connexes
- Guide de configuration DMARC office365
- Configuration de Microsoft Office 365 DKIM
- Configuration du SPF de Microsoft Office 365
