Dernière mise à jour : 12 Décembre 2022
Important : Cette documentation est mise à disposition à titre informatif. Si vous rencontrez des difficultés lors du processus, veuillez contacter le support Microsoft. Elle est destiné à nos clients et partenaires utilisant la solution Vade for M365 et a pour but d’informer des pratiques recommandées par Microsoft au moment où ce document a été produit.
Vade décline toutes responsabilités concernant l’utilisation ou la mise à jour des informations présentes
dans ce document.
Configuration d'Exchange Online Protection
Anti-phishing :
Les étapes suivantes permettent de renforcer la protection anti-phishing.
Procédure
1.Connectez-vous à la console de sécurité Microsoft 365.
2.Cliquez sur E-mail et collaboration > Stratégies et règles dans le menu de gauche.
3.Cliquez sur Stratégies de menaces.
4.Cliquez sur Anti-hameçonnage.
5.Cliquez sur Office365 AntiPhish Default (valeur par défaut) > Modifier les paramètres de protection.
Remarque : Vous pouvez créer des stratégies personnalisées pour des utilisateurs, groupes ou
domaines spécifiques, et modifier leur priorité.
6.Cliquez sur Modifier les paramètres de protection.
7.Cochez la case Activer la veille contre l'usurpation d'identité (recommandé).
8.Cliquez sur Enregistrer.
9.Cliquez sur Modifier les actions.
10.Cochez la case Afficher le conseil de sécurité de premier contact (recommandé).
Une bannière s'affiche dans l'email si l'utilisateur reçoit pour la première fois un email de l'expéditeur,
ou si l'utilisateur reçoit rarement des emails de l'expéditeur.
11.Cochez la case Afficher (?) des expéditeurs non authentifiés pour l'usurpation d'identité.
Un symbole ? s'affiche dans la carte d'expéditeur Outlook si l'expéditeur n'a pas pu être authentifié par Microsoft.
12.Cochez la case Afficher la balise "via".
La plateforme par laquelle l'email a été envoyé sera indiqué. Par exemple : chris@contoso.com via fabrikham.com.
13.Cliquez sur Enregistrer.
Anti-spam :
Les étapes suivantes permettent de renforcer la protection anti-spam.
Procédure
1.Connectez-vous à la console de sécurité Microsoft 365.
2.Cliquez sur E-mail et collaboration >Stratégies et règles dans le menu de gauche.
3.Cliquez sur Stratégies de menaces.
4.Cliquez sur Logiciel anti-courrier indésirable.
5.Cliquez sur Stratégie entrante anti-courrier indésirable (valeur par défaut)>Modifier les propriétés et le seuil de courrier indésirable.
6.Réglez le Seuil de courrier en nombre sur 6.
Remarque : Microsoft attribue une note (la BCL, le niveau de réclamation en bloc) aux expéditeurs
en fonction des plaintes reçues. Plus la note est élevée, plus l'expéditeur a envoyé des emails
en bloc et généré des plaintes. Vade recommande de baisser le seuil de la BCL des expéditeurs
acceptés en boîte de réception à 6.
7.Sélectionnez Activé pour l'option Enregistrement SPF : échec sévère.
Avertissement : Activez cette option uniquement si vos enregistrements MX sont transmis à
Microsoft ou si vous avez correctement configuré la "livraison avancée", au cas où vous auriez
une passerelle de messagerie avant Exchange Online.
Les emails envoyés à partir d’une adresse IP qui n’est pas spécifiée dans l’enregistrement DNS SPF (Sender Policy Framework) seront triés dans les courriers indésirables.
8.Cliquez sur Enregistrer.
9.Cliquez sur Modifier les actions.
10.Cochez toutes les cases sous Purge automatique zéro heure (PAZH).
Les emails de phishing, les spams et les malwares reçus dans la boîte mail Exchange Online sont mis en quarantaine.
Anti-malware :
Les étapes suivantes permettent de renforcer la protection anti-malware en mettant en quarantaine les emails contenant des malwares.
Procédure
1.Connectez-vous à la console de sécurité Microsoft 365.
2.Cliquez sur E-mail et collaboration > Stratégies et règles dans le menu de gauche.
3.Cliquez sur Stratégies de menaces.
4.Cliquez sur Logiciel anti-programme malveillant.
5.Cliquez sur Default (valeur par défaut) > Modifier les paramètres de protection.
6.Cochez la case Activer le filtre des pièces jointes communes.
7.Sélectionnez Rejeter le message avec un accusé de réception de non-livraison (NDR) ou Mettre le message en quarantaine selon votre préférence.
Les emails contenant des types de fichiers filtrés selon la politique anti-malware de Microsoft sont rejetés ou mis en quarantaine.
8.Cochez la case Activer la purge automatique zéro heure pour les programmes malveillants (recommandé).
Si un email contenant un malware a contourné le filtrage initial et est détecté dans la boîte de
réception Exchange Online, alors il est automatiquement mis en quarantaine.
9.Cliquez sur Enregistrer.
Remarque : Les utilisateurs ne peuvent pas récupérer les emails contenant un malware.
Configuration du Sender Policy Framework
Configurer le SPF :
Le SPF permet de valider les emails sortants envoyés à partir de votre domaine, et ainsi d'éviter l'usurpation d'identité.
Important : Veuillez contacter votre partenaire pour vous aider à configurer le SPF.
Syntaxe SPF
Un enregistrement TXT SPF standard pour Microsoft 365 a la syntaxe suivante :
v=spf1 include:spf.protection.outlook.com ip4:<adresse_ipv4> ip6:<adresse_ipv6>
-all
- v=spf1 : débute l’enregistrement TXT et le lie au protocole SPF.
- include:spf.protection.outlook.com : identifie un domaine personnalisé en tant qu’expéditeur légitime.
- ip4:<adresse_ipv4>, ip6:<adresse_ipv6> : facultatif, identifie une adresse IPv4 ou IPv6 entant qu’expéditeur légitime.
- -all : indique un échec sévère.
Ajouter un enregistrement DNS pour utiliser le SPF
1.Connectez-vous au centre d'administration Microsoft 365.
2.Cliquez sur Paramètres > Domaines dans le menu de gauche.
3.Cliquez sur le domaine au quel ajouter un enregistrement DNS dans votre liste de domaine.
4.Cliquez sur Enregistrements DNS.
5.Cliquez sur + Ajouter un enregistrement.
6.Sélectionnez TXT sous Type.
7.Entrez @votre nom de domaine sous Nom TXT.
8.Entrezv=spf1 include:spf.protection.outlook.com ip4:<adresse_ipv4>
ip6:<adresse_ipv6> -all sous Valeur TXT.
9.Cliquez sur Enregistrer.
Remarque : Vous devez ajouter un nouvel enregistrement pour chaque sous-domaine.
Configuration du DKIM
Configurer le DKIM:
Le DKIM (DomainKeys Identified Mail) vous permet d'ajouter une signature numérique aux emails sortants dans l'en-tête de l'email.
Important : Veuillez contacter votre partenaire pour vous aider à configurer le DKIM.
Pourquoi et quand exécuter cette tâche:
Lorsque vous configurez le DKIM, vous autorisez votre domaine à associer son nom à un email ou à
le signer à l'aide d'une authentification de chiffrement. Les systèmes de messagerie qui reçoivent des
emails de votre domaine peuvent utiliser cette signature numérique pour déterminer si l'email entrant
est légitime.
Procédure
1. Connectez-vous à la console de sécurité Microsoft 365.
2. Cliquez sur le domaine sur lequel vous souhaitez configurer le DKIM.
3. Activez le bouton Signer les courriers pour ce domaine en utilisant des signatures DKIM. Une fenêtre contextuelle indiquant que vous devez ajouter des enregistrements CNAME s'ouvre.
4. Copiez le CNAME affiché dans la fenêtre contextuelle.
5. Sur le site web de votre fournisseur DNS, ajoutez les enregistrements CNAME pour le DKIM que
vous souhaitez activer.
6. Recommencez les étapes 1, 2 et 3.
Résultats : Une signature numérique est appliquée dans l'en-tête des emails sortants.
Configuration du DMARC
Syntaxe DMARC
Un enregistrement TXT DMARC standard pour Microsoft 365 a la syntaxe suivante :
v=DMARC1; p=<policy>; <email>=mailto:<@mail>
- v=DMARC1 : débute l’enregistrement TXT et le lie au protocole DMARC.
-
p=<policy> : définit l'action à mener.
- none : aucune action.
- reject : l'email est rejeté et le serveur d'envoi est notifié.
- quarantine : l'email est déplacé dans le dossier « Spam » de l’utilisateur.
- <email>=mailto:<@mail> : permet de recevoir des rapports sur l’activité DMARC du domaine. Par exemple : rua=mailto:d@rua.agari.com.
Configurer le DMARC:
Le DMARC (Domain-based Message Authentication, Reporting, and Conformance) permet aux systèmes de réception de messagerie de mieux trier les emails de votre domaine lorsque les vérifications SPF ou DKIM échouent.
Avant de commencer
Important : Veuillez contacter votre partenaire pour vous aider à configurer le DMARC.
Vous devez configurer le SPF et le DKIM au préalable.
Procédure
1. Connectez-vous au centre d'administration Microsoft 365.
2. Cliquez sur Paramètres > Domaines dans le menu de gauche.
3. Cliquez sur le domaine auquel ajouter un enregistrement DMARC dans votre liste de domaine.
4. Cliquez sur Enregistrements DNS.
5. Cliquez sur + Ajouter un enregistrement.
6. Sélectionnez TXT sous Type.
7. Entrez _dmarc sous Nom TXT.
8. Entrez v=DMARC1; p=<policy>; email=mailto:<@mail> sous Valeur TXT.
9. Cliquez sur Enregistrer.