Gérer le flux de courrier à l’aide d’un service cloud tiers avec Exchange Online

Cette rubrique couvre les scénarios de flux de courrier complexes suivants utilisant Exchange Online :

Scénario 1 : l'enregistrement MX pointe vers un service de filtrage des courriers indésirables tiers

Scénario 2 : l'enregistrement MX pointe vers une solution tierce sans filtrage de courrier indésirable

Remarque

Les exemples de cette rubrique utilisent le organization fictif Contoso, qui possède le domaine contoso.com et est un locataire dans Exchange Online. Ce n’est qu’un exemple. Vous pouvez adapter cet exemple en fonction du nom de domaine de votre organization et des adresses IP de service tiers si nécessaire.

Utilisation d’un service cloud tiers avec Microsoft 365 ou Office 365

Scénario 1 : l'enregistrement MX pointe vers un service de filtrage des courriers indésirables tiers

Importante

Microsoft vous recommande vivement d’activer le filtrage amélioré pour les connecteurs ou de contourner complètement le filtrage à l’aide d’une règle de flux de messagerie (case activée point 5). Le fait de ne pas suivre cette étape entraîne inévitablement une mauvaise classification des main entrantes dans votre organization et une expérience secondaire pour les fonctionnalités de protection et de messagerie Microsoft 365.

Microsoft vous recommande également d’ajouter des services tiers qui modifient les messages en transit en tant que scellants ARC approuvés, si le service prend en charge le scellement ARC. Ajouter le service en tant que scellant ARC approuvé permet aux messages affectés de passer les vérifications d’authentification par e-mail et d’empêcher les messages légitimes d’être remis au dossier Email indésirable, mis en quarantaine ou rejetés. Les services tiers qui modifient les messages et ne prennent pas en charge le scellement ARC invalident les signatures DKIM de ces messages. Dans ce cas, vous devez consulter le rapport détections d’usurpation d’identité et créer des entrées d’autorisation pour les expéditeurs usurpés afin de remplacer les échecs d’authentification par e-mail pour les messages légitimes.

J’envisage d’utiliser Exchange Online pour héberger toutes les boîtes aux lettres de mon organization. Mon organization utilise un service cloud tiers pour le courrier indésirable, les programmes malveillants et le filtrage des hameçonnages. Tous les messages électroniques provenant d’Internet doivent d’abord être filtrés par ce service cloud tiers avant d’être acheminés vers Microsoft 365 ou Office 365.

Dans ce scénario, la configuration du flux de messagerie de votre organisation ressemble au diagramme suivant.

Diagramme de flux de courrier montrant le courrier entrant provenant d’Internet vers un service de filtrage tiers vers Microsoft 365 ou Office 365 et du courrier sortant de Microsoft 365 ou Office 365 vers Internet.

Bonnes pratiques pour l’utilisation d’un service de filtrage cloud tiers avec Microsoft 365 ou Office 365

  1. Ajoutez vos domaines personnalisés dans Microsoft 365 ou Office 365. Pour prouver que vous êtes propriétaire des domaines, suivez les instructions fournies dans Ajouter un domaine à Microsoft 365.

  2. Créez des boîtes aux lettres utilisateur dans Exchange Online ou déplacez les boîtes aux lettres de tous les utilisateurs vers Microsoft 365 ou Office 365.

  3. Mettez à jour les enregistrements DNS pour les domaines que vous avez ajouté à l'étape 1. (Vous ne savez pas comment procéder ? Suivez les instructions de cette page.) Les enregistrements DNS suivants contrôlent le flux de messagerie :

    • Enregistrement MX : l’enregistrement MX de votre domaine doit pointer vers votre fournisseur de services tiers. Suivez ses instructions pour configurer votre enregistrement MX.

    • Enregistrement SPF : tous les messages envoyés de votre domaine à Internet proviennent de Microsoft 365 ou Office 365. Par conséquent, votre enregistrement SPF nécessite la valeur standard pour Microsoft 365 ou Office 365 :

      v=spf1 include:spf.protection.outlook.com -all
      

      Vous devez uniquement inclure le service tiers dans votre enregistrement SPF si votre organization envoie des e-mails Internet sortants via le service (où le service tiers est une source de courrier électronique provenant de votre domaine).

    Lorsque vous configurez ce scénario, l'« hôte » que vous devez configurer pour recevoir des e-mails du service tiers est spécifié dans l’enregistrement MX. Par exemple :

    Exemple de valeur de nom d’hôte.

    Dans cet exemple, le nom d’hôte de l’hôte Microsoft 365 ou Office 365 doit être hubstream-mx.mail.protection.outlook.com. Cette valeur peut varier d’un domaine à l’autre. Par conséquent, case activée votre valeur dans Configuration>Domain><select domain> pour confirmer votre valeur réelle.

  4. Verrouillez votre Exchange Online organization pour n’accepter que les messages provenant de votre service tiers.

    Créez et configurez un connecteur entrant partenaire à l’aide des paramètres TlsSenderCertificateName (preferred) ou SenderIpAddresses , puis définissez les paramètres RestrictDomainsToCertificate ou RestrictDomainsToIPAddresses correspondants sur $True. Tous les messages qui sont des hôtes intelligents routés directement vers Exchange Online seront rejetés (car ils n’ont pas été envoyés via une connexion à l’aide du certificat spécifié ou des adresses IP spécifiées).

    Par exemple :

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    ou

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    Remarque

    Si vous disposez déjà d’un connecteur entrant OnPremises pour les mêmes adresses IP de certificat ou d’expéditeur, vous devez toujours créer le connecteur entrant partenaire (les paramètres RestrictDomainsToCertificate et RestrictDomainsToIPAddresses sont appliqués uniquement aux connecteurs partenaires ). Les deux connecteurs peuvent coexister sans problème.

  5. Il existe deux options pour cette étape :

    • Utiliser le filtrage amélioré pour les connecteurs (fortement recommandé) : utilisez le filtrage amélioré pour les connecteurs (également appelé liste ignorée) sur le connecteur entrant partenaire qui reçoit des messages de l’application tierce. Cela permet à EOP et Microsoft Defender XDR d’analyser Office 365 les messages.

      Remarque

      Pour les scénarios hybrides où des applications tierces s’appuient sur un serveur Exchange local pour envoyer à Exchange Online, vous devez également activer le filtrage amélioré pour les connecteurs sur le connecteur entrant OnPremises dans Exchange Online.

    • Contourner le filtrage du courrier indésirable : utilisez une règle de flux de courrier (également appelée règle de transport) pour contourner le filtrage du courrier indésirable. Cette option empêche la plupart des contrôles EOP et Defender for Office 365 et empêche donc une double case activée anti-courrier indésirable.

      Règle de flux de messagerie pour empêcher l’analyse double.

      Importante

      Au lieu de contourner le filtrage du courrier indésirable à l’aide d’une règle de flux de courrier, nous vous recommandons vivement d’activer le filtrage amélioré pour le connecteur (également appelé skip listing). La plupart des fournisseurs anti-courrier indésirable cloud tiers partagent des adresses IP entre de nombreux clients. Le contournement de l’analyse sur ces adresses IP peut autoriser les messages d’usurpation et d’hameçonnage à partir de ces adresses IP.

Scénario 2 : l'enregistrement MX pointe vers une solution tierce sans filtrage de courrier indésirable

J’envisage d’utiliser Exchange Online pour héberger toutes les boîtes aux lettres de mon organization. Tous les e-mails envoyés à mon domaine à partir d’Internet doivent d’abord transiter par un service d’archivage ou d’audit tiers avant d’arriver dans Exchange Online. Tous les e-mails sortants envoyés à partir de mon Exchange Online organization vers Internet doivent également transiter par le service. Toutefois, le service ne fournit pas de solution de filtrage du courrier indésirable.

Dans ce scénario, vous devez utiliser le filtrage amélioré pour les connecteurs. Sinon, le courrier provenant de tous les expéditeurs Internet semble provenir du service tiers, et non des véritables sources sur Internet.

Diagramme de flux de messagerie montrant le courrier entrant d’Internet vers une solution tierce pour Office 365 ou Microsoft 365, et montrant le courrier sortant de Microsoft 365 ou Office 365 vers la solution tierce, puis vers Internet.

Bonnes pratiques pour l’utilisation d’un service cloud tiers avec Microsoft 365 ou Office 365

Nous vous recommandons vivement d’utiliser les solutions d’archivage et d’audit fournies par Microsoft 365 et Office 365.

Voir aussi

Meilleures pratiques relatives au flux de courrier pour Exchange Online, Microsoft 365 Office 365 (vue d’ensemble)

Certains messages ne sont pas routés via le organization local lorsque vous utilisez le transport de courrier centralisé

Configurer des connecteurs pour un flux de messagerie sécurisé avec une organisation partenaire

Gérer toutes les boîtes aux lettres et le flux de messagerie à l’aide de Microsoft 365 ou Office 365

Gérer le flux de courrier avec des boîtes aux lettres dans plusieurs emplacements (Microsoft 365 ou Office 365 et Exchange local)

Gérer le flux de courrier à l’aide d’un service cloud tiers avec des boîtes aux lettres Exchange Online et locales

Résoudre les problèmes liés au flux de messagerie Microsoft 365 ou Office 365

Tester le flux de messagerie en validant vos connecteurs