Créer des listes d’expéditeurs approuvés dans EOP

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Si vous êtes un client Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou un client autonome Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, EOP offre plusieurs façons de s’assurer que les utilisateurs reçoivent des e-mails d’expéditeurs approuvés. Collectivement, vous pouvez considérer ces options comme des listes d’expéditeurs approuvés.

Les listes d’expéditeurs approuvés disponibles sont décrites dans la liste suivante dans l’ordre du plus recommandé au moins recommandé :

  1. Autorisez les entrées pour les domaines et les adresses de messagerie (y compris les expéditeurs usurpés) dans la liste verte/bloquée du locataire.
  2. Règles de flux de messagerie (également appelées règles de transport).
  3. Expéditeurs approuvés Outlook (liste des expéditeurs approuvés qui est stockée dans chaque boîte aux lettres qui affecte uniquement cette boîte aux lettres).
  4. Liste d’adresses IP autorisées (filtrage des connexions)
  5. Listes d’expéditeurs autorisés ou listes de domaines autorisés (stratégies anti-courrier indésirable)

Le reste de cet article contient des détails sur chaque méthode.

Importante

Les messages identifiés comme des programmes malveillants* ou des hameçonnages à haut niveau de confiance sont toujours mis en quarantaine, quelle que soit l’option de liste des expéditeurs approuvés que vous utilisez. Pour plus d’informations, consultez Sécuriser par défaut dans Office 365.

* Le filtrage des programmes malveillants est ignoré sur les boîtes aux lettres SecOps identifiées dans la stratégie de remise avancée. Pour plus d’informations, consultez Configurer la stratégie de remise avancée pour les simulations d’hameçonnage tierces et la remise d’e-mails aux boîtes aux lettres SecOps.

Veillez à surveiller de près toutes les exceptions que vous faites au filtrage du courrier indésirable à l’aide de listes d’expéditeurs approuvés.

Envoyez toujours des messages dans vos listes d’expéditeurs approuvés à Microsoft à des fins d’analyse. Pour obtenir des instructions, consultez Signaler un bon e-mail à Microsoft. Si les messages ou les sources de messages sont considérés comme étant inoffensifs, Microsoft peut autoriser automatiquement les messages et vous n’aurez pas besoin de conserver manuellement l’entrée dans les listes d’expéditeurs approuvés.

Au lieu d’autoriser le courrier électronique, vous disposez également de plusieurs options pour bloquer les e-mails provenant de sources spécifiques à l’aide de listes d’expéditeurs bloqués. Pour plus d’informations, voir Créer des listes d’expéditeurs bloqués dans Exchange Online PowerShell.

Utiliser des entrées d’autorisation dans la liste verte/bloquée du locataire

L’option la plus recommandée pour autoriser les messages provenant d’expéditeurs ou de domaines est la liste verte/bloquée des locataires. Pour obtenir des instructions, consultez Créer des entrées d’autorisation pour les domaines et les adresses de messagerie et Créer des entrées d’autorisation pour les expéditeurs usurpés.

Ce n’est que si vous ne pouvez pas utiliser la liste verte/bloquée des locataires pour une raison quelconque que vous devez envisager d’utiliser une autre méthode pour autoriser les expéditeurs.

Utiliser des règles de flux de messagerie

Remarque

Vous ne pouvez pas utiliser d’en-têtes de message et de règles de flux de courrier pour désigner un expéditeur interne en tant qu’expéditeur sécurisé. Les procédures de cette section fonctionnent uniquement pour les expéditeurs externes.

Les règles de flux de courrier dans Exchange Online et EOP autonome utilisent des conditions et des exceptions pour identifier les messages, et des actions pour spécifier ce qui doit être fait pour ces messages. Pour plus d’informations, consultez la rubrique Mail flow rules (transport rules) in Exchange Online.

L’exemple suivant suppose que vous avez besoin d’e-mails provenant de contoso.com pour ignorer le filtrage du courrier indésirable. Pour ce faire, configurez les paramètres suivants :

  1. Condition : le domaine de l’expéditeur>est> contoso.com.

  2. Configurez l’un des paramètres suivants :

    • Condition de règle de flux de messagerie : les en-têtes>de message incluent l’un des mots suivants :

      • Nom de l’en-tête : Authentication-Results
      • Valeur d’en-tête : dmarc=pass ou dmarc=bestguesspass (ajoutez les deux valeurs).

      Cette condition vérifie la status d’authentification de messagerie du domaine de messagerie d’envoi pour s’assurer que le domaine d’envoi n’est pas usurpé. Pour plus d’informations sur l’authentification de messagerie, consultez SPF, DKIM et DMARC.

    • Liste d’adresses IP autorisées : spécifiez l’adresse IP source ou la plage d’adresses dans la stratégie de filtre de connexion. Pour obtenir des instructions, consultez Configurer le filtrage des connexions.

      Utilisez ce paramètre si le domaine d’envoi n’utilise pas l’authentification par e-mail. Soyez aussi restrictif que possible en ce qui concerne les adresses IP sources dans la liste d’adresses IP autorisées. Nous recommandons une plage d’adresses IP de /24 ou moins (moins est préférable). N’utilisez pas de plages d’adresses IP qui appartiennent à des services grand public (par exemple, outlook.com) ou à des infrastructures partagées.

    Importante

    • Ne configurez jamais de règles de flux de courrier avec uniquement le domaine de l’expéditeur comme condition pour ignorer le filtrage du courrier indésirable. Cela augmente considérablement la probabilité que les attaquants puissent usurper le domaine d’envoi (ou emprunter l’identité de l’adresse e-mail complète), ignorer tous les filtrages de courrier indésirable et ignorer les vérifications d’authentification de l’expéditeur afin que le message arrive dans la boîte de réception du destinataire.

    • N’utilisez pas les domaines que vous possédez (également appelés domaines acceptés) ou les domaines populaires (par exemple, microsoft.com) comme conditions dans les règles de flux de messagerie. Cela est considéré comme un risque élevé, car il crée des opportunités pour les attaquants d’envoyer des e-mails qui seraient autrement filtrés.

    • Si vous autorisez une adresse IP qui se trouve derrière une passerelle de traduction d’adresses réseau (NAT), vous devez connaître les serveurs impliqués dans le pool NAT afin de connaître l’étendue de votre liste d’adresses IP autorisées. Les adresses IP et les participants NAT peuvent changer. Vous devez régulièrement case activée vos entrées de liste d’adresses IP autorisées dans le cadre de vos procédures de maintenance standard.

  3. Conditions facultatives :

    • L’expéditeur>est interne/externe>En dehors de la organization : cette condition est implicite, mais il est possible de l’utiliser pour prendre en compte les serveurs de messagerie locaux qui peuvent ne pas être correctement configurés.
    • Le sujet ou le corps>objet ou corps comprend l’un de ces mots><mots clés> : si vous pouvez restreindre davantage les messages par des mots clés ou des expressions dans la ligne d’objet ou le corps du message, vous pouvez utiliser ces mots comme condition.

  4. Action : Configurez les deux actions suivantes dans la règle :

    1. Modifier les propriétés> du messagedéfinir le niveau de confiance du courrier indésirable (SCL)>Contourner le filtrage du courrier indésirable.

    2. Modifier les propriétés> du messagedéfinir un en-tête de message :

      • Nom de l’en-tête : par exemple, X-ETR.
      • Valeur d’en-tête : par exemple, Bypass spam filtering for authenticated sender 'contoso.com'.

      Si vous avez plusieurs domaines dans la règle, vous pouvez personnaliser le texte d’en-tête comme il convient.

Lorsqu’un message ignore le filtrage du courrier indésirable en raison d’une règle de flux de courrier, la SFV:SKN valeur est horodatée dans l’en-tête X-Forefront-Antispam-Report . Si le message provient d’une source figurant dans la liste d’adresses IP autorisées, la valeur IPV:CAL est également ajoutée. Ces valeurs peuvent vous aider à résoudre les problèmes.

Exemple de paramètres de règle de flux de courrier dans le nouveau CENTRE d’administration Exchange pour contourner le filtrage du courrier indésirable.

Utiliser des expéditeurs approuvés Outlook

Attention

Cette méthode crée un risque élevé que des attaquants livrent correctement des e-mails à la boîte de réception qui seraient autrement filtrés. Toutefois, si un message provenant d’une entrée dans la liste des expéditeurs approuvés ou domaines approuvés de l’utilisateur est déterminé comme étant un programme malveillant ou un hameçonnage à haut niveau de confiance, le message est filtré.

Au lieu d’un paramètre organisationnel, les utilisateurs ou les administrateurs peuvent ajouter les adresses e-mail de l’expéditeur à la liste des expéditeurs approuvés dans la boîte aux lettres. Pour obtenir des instructions, consultez Configurer les paramètres de courrier indésirable sur Exchange Online boîtes aux lettres dans Office 365. Les entrées de liste des expéditeurs approuvés dans la boîte aux lettres affectent uniquement cette boîte aux lettres.

Cette méthode n’est pas souhaitable dans la plupart des situations, car les expéditeurs contournent des parties de la pile de filtrage. Bien que vous faites confiance à l’expéditeur, celui-ci peut toujours être compromis et envoyer du contenu malveillant. Vous devez laisser nos filtres case activée chaque message, puis signaler le faux positif/négatif à Microsoft si nous avons eu tort. Le contournement de la pile de filtrage interfère également avec le vidage automatique zéro heure (ZAP).

Lorsque les messages ignorent le filtrage du courrier indésirable en raison d’entrées dans la liste des expéditeurs approuvés d’un utilisateur, le champ d’en-tête X-Forefront-Antispam-Report contient la valeur SFV:SFE, qui indique que le filtrage du courrier indésirable, de l’usurpation et de l’hameçonnage (hameçonnage à confiance non élevée) a été contourné.

Remarques :

  • Dans Exchange Online, si les entrées de la liste des expéditeurs approuvés fonctionnent ou ne fonctionnent pas dépend du verdict et de l’action dans la stratégie qui a identifié le message :
    • Déplacer les messages vers le dossier Email indésirables : les entrées de domaine et les entrées d’adresse e-mail de l’expéditeur sont respectées. Les messages de ces expéditeurs ne sont pas déplacés vers le dossier Email indésirables.
    • Quarantaine : les entrées de domaine ne sont pas respectées (les messages de ces expéditeurs sont mis en quarantaine). Email entrées d’adresse sont respectées (les messages de ces expéditeurs ne sont pas mis en quarantaine) si l’une des affirmations suivantes est vraie :
      • Le message n’est pas identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
      • L’adresse e-mail ne figure pas également dans une entrée de bloc dans la liste verte/bloquée du locataire.
  • Les entrées pour les expéditeurs bloqués et les domaines bloqués sont respectées (les messages de ces expéditeurs sont déplacés vers le dossier Email indésirables). Les paramètres de liste de diffusion sécurisés sont ignorés.

Utiliser la liste d’adresses IP autorisées

Attention

Sans vérification supplémentaire comme les règles de flux de courrier, les e-mails provenant de sources dans la liste d’adresses IP autorisées ignorent le filtrage du courrier indésirable et l’authentification de l’expéditeur (SPF, DKIM, DMARC). Ce résultat crée un risque élevé que des attaquants livrent correctement des e-mails à la boîte de réception qui seraient autrement filtrés ; Toutefois, si un message provenant d’une entrée dans la liste d’adresses IP autorisées est déterminé comme étant un programme malveillant ou un hameçonnage à haut niveau de confiance, le message est filtré.

La meilleure option suivante consiste à ajouter le ou les serveurs de messagerie source à la liste d’adresses IP autorisées dans la stratégie de filtre de connexion. Pour plus d’informations, consultez Configurer le filtrage des connexions dans EOP.

Remarques :

  • Il est important de limiter au minimum le nombre d’adresses IP autorisées. Évitez donc d’utiliser des plages d’adresses IP entières dans la mesure du possible.
  • N’utilisez pas de plages d’adresses IP qui appartiennent à des services grand public (par exemple, outlook.com) ou à des infrastructures partagées.
  • Examinez régulièrement les entrées de la liste d’adresses IP autorisées et supprimez les entrées dont vous n’avez plus besoin.

Utiliser des listes d’expéditeurs autorisés ou des listes de domaines autorisés

Attention

Cette méthode crée un risque élevé que des attaquants livrent correctement des e-mails à la boîte de réception qui seraient autrement filtrés. Toutefois, si un message provenant d’une entrée dans les listes des expéditeurs autorisés ou des domaines autorisés est déterminé comme étant un programme malveillant ou un hameçonnage à haut niveau de confiance, le message est filtré.

N’utilisez pas de domaines populaires (par exemple, microsoft.com) dans les listes de domaines autorisés.

L’option la moins souhaitable consiste à utiliser les listes d’expéditeurs autorisés ou les listes de domaines autorisés dans les stratégies anti-courrier indésirable. Vous devez éviter cette option si possible , car les expéditeurs contournent tout le courrier indésirable, l’usurpation d’identité, la protection contre le hameçonnage (à l’exception du hameçonnage à haut niveau de confiance) et l’authentification de l’expéditeur (SPF, DKIM, DMARC). Cette méthode est idéale pour les tests temporaires uniquement. Vous trouverez les étapes détaillées dans la rubrique Configurer les stratégies anti-courrier indésirable dans EOP .

La limite maximale pour ces listes est d’environ 1 000 entrées ; toutefois, vous ne pourrez entrer que 30 entrées dans le portail. Vous devez utiliser PowerShell pour ajouter plus de 30 entrées.

Remarque

Depuis septembre 2022, si un expéditeur, un domaine ou un sous-domaine autorisé se trouve dans un domaine accepté dans votre organization, cet expéditeur, domaine ou sous-domaine doit passer des vérifications d’authentification par e-mail afin d’ignorer le filtrage anti-courrier indésirable.

Considérations relatives aux e-mails en bloc

Un message électronique SMTP standard est constitué d’une enveloppe de message et d’un contenu de message. L’enveloppe du message contient les informations requises pour transmettre et remettre le message entre les serveurs SMTP. Le contenu du message comporte les champs d’en-tête de message (collectivement appelés l’en-tête de message) et le corps du message. L’enveloppe du message est décrite dans RFC 5321, et l’en-tête de message est décrit dans RFC 5322. Les destinataires ne voient jamais l’enveloppe réelle du message, car elle est générée par le processus de transmission du message, et elle ne fait pas réellement partie du message.

  • L’adresse 5321.MailFrom (également appelée adresse MAIL FROM , expéditeur P1 ou expéditeur d’enveloppe) est l’adresse e-mail utilisée dans la transmission SMTP du message. Cette adresse e-mail est généralement enregistrée dans le champ Retour-Chemin d’accès dans l’en-tête du message (bien qu’il soit possible pour l’expéditeur de désigner une adresse e-mail de retour différente). Si le message ne peut pas être remis, il s’agit du destinataire du rapport de non-remise (également appelé notification d’échec de remise ou message de rebond).
  • L’adresse 5322.From (également appelée adresse de départ ou expéditeur P2) est l’adresse e-mail dans le champ d’en-tête De et l’adresse e-mail de l’expéditeur affichée dans les clients de messagerie.

Souvent, les 5321.MailFrom adresses et 5322.From sont les mêmes (communication de personne à personne). Toutefois, lorsque l’e-mail est envoyé au nom d’une autre personne, les adresses peuvent être différentes. Cela se produit le plus souvent pour les messages électroniques en bloc.

Par exemple, supposons que Blue Yonder Airlines ait engagé Margie’s Travel pour envoyer des messages électroniques publicitaires. Le message que vous recevez dans votre boîte de réception a les propriétés suivantes :

  • L’adresse 5321.MailFrom est blueyonder.airlines@margiestravel.com.
  • L’adresse 5322.From est blueyonder@news.blueyonderairlines.com, ce qui est ce que vous voyez dans Outlook.

Les listes d’expéditeurs approuvés et les listes de domaines approuvés dans les stratégies anti-courrier indésirable dans EOP inspectent uniquement les 5322.From adresses. Ce comportement est similaire à celui des expéditeurs approuvés Outlook qui utilisent l’adresse 5322.From .

Pour empêcher le filtrage de ce message, vous pouvez effectuer les étapes suivantes :

  • Ajoutez blueyonder@news.blueyonderairlines.com (l’adresse 5322.From ) en tant qu’expéditeur approuvé Outlook.
  • Utilisez une règle de flux de messagerie avec une condition qui recherche les messages de blueyonder@news.blueyonderairlines.com (l’adresse5322.From), (l’adresse5321.MailFrom) blueyonder.airlines@margiestravel.com ou les deux.