Protection contre l’usurpation d’identité dans EOPAnti-spoofing protection in EOP

Dans Microsoft 365, les organisations avec des boîtes aux lettres dans Exchange Online ou une organisation Exchange Online Protection autonome (EOP) dépourvu de boîtes aux lettres Exchange Online, EOP comprend des fonctionnalités permettant de protéger votre organisation contre les faux expéditeurs (falsifiés).In Microsoft 365 organizations with mailboxes in Exchange Online or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, EOP includes features to help protect your organization from spoofed (forged) senders.

Pour protéger ses utilisateurs, Microsoft prend la menace du hameçonnage au sérieux.When it comes to protecting its users, Microsoft takes the threat of phishing seriously. L’usurpation d’identité est une technique couramment utilisée par les intrus.Spoofing is a common technique that's used by attackers. Les messages usurpant une identité semblent provenir d’une personne ou d’un emplacement autre que la source réelle.Spoofed messages appear to originate from someone or somewhere other than the actual source. Cette technique est souvent utilisée dans des campagnes de hameçonnage qui visent à dérober des informations d’identification d’utilisateur.This technique is often used in phishing campaigns that are designed to obtain user credentials. La technologie anti-usurpation dans EOP examine spécifiquement les falsifications de l’en-tête De dans le corps de message (utilisé pour afficher l’expéditeur du message dans les clients de courrier électronique).The anti-spoofing technology in EOP specifically examines forgery of the From header in the message body (used to display the message sender in email clients). Lorsque EOP est convaincu que l'en-tête De est falsifié, le message est identifié comme étant falsifié.When EOP has high confidence that the From header is forged, the message is identified as spoofed.

Les technologies anti-usurpation suivantes sont disponibles dans EOP :The following anti-spoofing technologies are available in EOP:

  • Veille contre l’usurpation d’identité : passez en revue les messages usurpant une identité provenant des expéditeurs dans les domaines internes et externes, et autorisez ou bloquez ces expéditeurs.Spoof intelligence: Review spoofed messages from senders in internal and external domains, and allow or block those senders. Si vous souhaitez en savoir plus, consultez l’article Configurer la veille contre l’usurpation d’identité dans Microsoft 365.For more information, see Configure spoof intelligence in Microsoft 365.

  • Stratégies anti-hameçonnage : dans EOP, les stratégies anti-hameçonnages vous permettent d’activer ou de désactiver la veille contre l’usurpation d’identité, d’activer ou de désactiver l’identification d’expéditeur non authentifié dans Outlook, et de spécifier l’action des expéditeurs usurpés bloqués (déplacez-vous vers le dossier courrier indésirable ou la mise en quarantaine).Anti-phishing policies: In EOP, anti-phishing policies allow you to turn spoof intelligence on or off, turn unauthenticated sender identification in Outlook on or off, and specify the action for blocked spoofed senders (move to the Junk Email folder or quarantine). Les stratégies anti-hameçonnage avancées qui sont disponibles dans Office 365 Protection avancée contre les menaces (Office 365 DAV) contiennent également des paramètres d’anti-emprunt d’identité (expéditeurs et domaines protégés), des paramètres d’intelligence des boîtes aux lettres et des seuils de hameçonnage avancés ajustables.Advanced anti-phishing policies that are available in Office 365 Advanced Threat Protection (Office 365 ATP) also contain anti-impersonation settings (protected senders and domains), mailbox intelligence settings, and adjustable advanced phishing thresholds. Si vous souhaitez en savoir plus, consultez l’article Stratégies anti-hameçonnage dans Microsoft 365.For more information, see Anti-phishing policies in Microsoft 365.

  • Authentification de messagerie électronique : l’utilisation de l’authentification de messagerie électronique (également appelée validation de messagerie électronique) pour les enregistrements SPF, DKIM et DMARC dans DNS fait partie intégrante de tout effort anti-usurpation d’identité.Email authentication: An integral part of any anti-spoofing effort is the use of email authentication (also known as email validation) by SPF, DKIM, and DMARC records in DNS. Vous pouvez configurer ces enregistrements pour vos domaines de sorte que les systèmes de messagerie électronique de destination peuvent vérifier la validité des messages censés provenir d’expéditeurs figurant de vos domaines.You can configure these records for your domains so destination email systems can check the validity of messages that claim to be from senders in your domains. Pour les messages entrants, Microsoft 365 requiert une authentification de messagerie électronique pour les domaines d’expéditeur.For inbound messages, Microsoft 365 requires email authentication for sender domains. Si vous souhaitez en savoir plus, consultez la page Authentification de messagerie électronique dans Microsoft 365.For more information, see Email authentication in Microsoft 365.

À compter du 2018 octobre, la protection contre l’usurpation d’identité est disponible dans EOP.As of October 2018, anti-spoofing protection is available in EOP. Avant cela, la protection contre l’usurpation d’identité n’était disponible que dans organisations avec Office 365 DAV.Before then, anti-spoofing protection was only available in organizatons with Office 365 ATP.

EOP analyse et bloque les messages qui ne peuvent pas être authentifiés par la combinaison de méthodes standard d'authentification de messagerie électronique et de techniques de réputation de l'expéditeur.EOP analyzes and blocks messages that can't be authenticated by the combination of standard email authentication methods and sender reputation techniques.

Vérifications anti-usurpation d’identité EOP

Comment l’usurpation est utilisée dans les attaques par hameçonnageHow spoofing is used in phishing attacks

Les messages d'usurpation d'identité ont les conséquences négatives suivantes pour les utilisateurs :Spoofing messages have the following negative implications for users:

  • Les messages usurpant une identité sont trompeurs pour les utilisateurs : un message usurpant une identité peut leurrer un utilisateur en l’incitant à cliquer sur un lien l’amenant à révéler ses identifiants, à télécharger un programme malveillant ou à répondre à un message au contenu sensible (compromission de courrier professionnel).Spoofed messages deceive users: A spoofed message might trick the recipient into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content (known as a business email compromise or BEC).

    Le message suivant est un exemple de hameçonnage qui utilise l’expéditeur dont l'identité a été usurpée msoutlook94@service.outlook.com :The following message is an example of phishing that uses the spoofed sender msoutlook94@service.outlook.com:

    Message de hameçonnage usurpant le domaine service.outlook.com

    Ce message ne provient pas de service.outlook.com, mais l’intrus a usurpé le champ d’en-tête De afin de lui donner l’apparence souhaitée.This message didn't come from service.outlook.com, but the attacker spoofed the From header field to make it look like it did. Il s'agissait d'une tentative de tromper le destinataire pour qu'il clique sur le lien Changez votre mot de passe et dévoile ses informations d'identification.This was an attempt to trick the recipient into clicking the change your password link and giving up their credentials.

    Le message suivant est un exemple de BEC qui utilise le domaine de courrier électronique usurpé contoso.com :The following message is an example of BEC that uses the spoofed email domain contoso.com:

    Message de hameçonnage – compromission de courrier professionnel

    Le message semble légitime, mais l’identité de l’expéditeur a été usurpée.The message looks legitimate, but the sender is spoofed.

  • Les utilisateurs confondent les vrais messages et les faux: même les utilisateurs qui connaissent le hameçonnage peuvent éprouver des difficultés à voir les différences entre les messages réels et les messages usurpant une identité.Users confuse real messages for fake ones: Even users who know about phishing might have difficulty seeing the differences between real messages and spoofed messages.

    Le message suivant est un exemple de message de réinitialisation de mot de passe authentique provenant du compte Microsoft Sécurité :The following message is an example of a real password reset message from the Microsoft Security account:

    Réinitialisation de mot de passe légitime de Microsoft

    Le message provient vraiment de Microsoft, mais les utilisateurs ont appris à être méfiants.The message really did come from Microsoft, but users have been conditioned to be suspicious. En raison de la difficulté de faire la distinction entre une demande de réinitialisation de mot de passe authentique et une fausse demande, les utilisateurs ignorent ces messages, les marquent comme du courrier indésirable ou les signalent inutilement à Microsoft comme des tentatives de hameçonnage.Because it's difficult to the difference between a real password reset message and a fake one, users might ignore the message, report it as spam, or unnecessarily report the message to Microsoft as phishing.

Différents types d’usurpationDifferent types of spoofing

Microsoft distingue deux types de messages usurpant une identité :Microsoft differentiates between two different types of spoofed messages:

  • Usurpation intra-organisationnelle : également connue sous le nom d’usurpation d’identité self-to-self.Intra-org spoofing: Also known as self-to-self spoofing. Par exemple :For example:

    • L’expéditeur et le destinataire figurent dans le même domaine :The sender and recipient are in the same domain:

      De : chris@contoso.comFrom: chris@contoso.com
      À : michelle@contoso.comTo: michelle@contoso.com

    • L'expéditeur et le destinataire figurent dans des sous-domaines du même domaine :The sender and the recipient are in subdomains of the same domain:

      De : laura@marketing.fabrikam.comFrom: laura@marketing.fabrikam.com
      À : julia@engineering.fabrikam.comTo: julia@engineering.fabrikam.com

    • L’expéditeur et le destinataire figurent dans différents domaines appartenant à la même organisation (autrement dit, les deux domaines sont configurés comme des domaines acceptés au sein d’une même organisation) :The sender and recipient are in different domains that belong to the same organization (that is, both domains are configured as accepted domains in the same organization):

      De: expéditeur @ microsoft.comFrom: sender @ microsoft.com
      À : destinataire @ bing.comTo: recipient @ bing.com

      Les espaces sont utilisés dans les adresses de messagerie électronique pour empêcher la récolte spambots.Spaces are used in the email addresses to prevent spambot harvesting.

    Les messages qui échouent à l’authentification composite en raison d’une usurpation inter-domaines contiennent les valeurs d’en-tête suivantes :Messages that fail composite authentication due to intra-org spoofing contain the following header values:

    Authentication-Results: ... compauth=fail reason=6xx

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.11

    • reason=6xx indique l’usurpation intra-organisationnelle.reason=6xx indicates intra-org spoofing.

    • SFTY est le niveau de sécurité du message.SFTY is the safety level of the message. 9 indique un hameçonnage, .11 indique une usurpation intra-organisationnelle.9 indicates phishing, .11 indicates intra-org spoofing.

  • Usurpation inter-domaines : les domaines de l’expéditeur et du destinataire sont différents et n’ont aucune relation entre eux (également appelés domaines externes).Cross-domain spoofing: The sender and recipient domains are different, and have no relationship to each other (also known as external domains). Par exemple :For example:

    De : chris@contoso.comFrom: chris@contoso.com
    À : michelle@tailspintoys.comTo: michelle@tailspintoys.com

    Les messages qui échouent à l’authentification composite en raison d’une usurpation inter-domaines contiennent les valeurs d’en-têtes suivantes :Messages that fail composite authentication due to cross-domain spoofing contain the following headers values:

    Authentication-Results: ... compauth=fail reason=000/001

    X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

    • reason=000 indique que le message a échoué à l’authentification explicite de courrier électronique.reason=000 indicates the message failed explicit email authentication. reason=001 indique que le message a échoué à l’authentification implicite de courrier électronique.reason=001 indicates the message failed implicit email authentication.

    • SFTY est le niveau de sécurité du message.SFTY is the safety level of the message. 9 indique un hameçonnage, .22 indique une usurpation inter-domaines.9 indicates phishing, .22 indicates cross-domain spoofing.

Si vous souhaitez en savoir plus sur les valeurs de la Catégorie et de l’authentification composite (compauth) relatives à l’usurpation d’identité, consultez la page En-têtes de messages anti-courrier indésirable dans Microsoft 365.For more information about the Category and composite authentication (compauth) values that are related to spoofing, see Anti-spam message headers in Microsoft 365.

Si vous souhaitez en savoir plus sur DMARC, consultez la page Utiliser DMARC pour valider les messages électroniques dans Microsoft 365.For more information about DMARC, see Use DMARC to validate email in Microsoft 365.

Rapports sur le nombre de messages marqués comme usurpésReports of how many messages were marked as spoofed

Les organisations EOP peuvent utiliser le rapport sur les détections d’usurpation d’identité dans le tableau de bord des rapports du Centre de sécurité et de conformité.EOP organizations can use the Spoof detections report in the reports dashboard in the Security & Compliance Center. Pour plus d’informations, consultez le rapport sur les détections d’usurpation d’identité.For more information, see Spoof Detections report.

L’organisation Protection avancée contre les menaces Office 365 peut utiliser l’Explorateur de menaces dans le Centre de sécurité et de conformité pour afficher des informations sur les tentatives de hameçonnage.Office 365 ATP organization can use Threat Explorer in the Security & Compliance Center to view information about phishing attempts. Si vous souhaitez en savoir plus, consultez la page Examen et réponse contre les menaces Microsoft 365.For more information, see Microsoft 365 threat investigation and response.

Problèmes liés à la protection contre l’usurpation d’identitéProblems with anti-spoofing protection

Les listes de diffusion (également connues sous le nom de listes de discussion) sont connues pour avoir des problèmes liés à la protection contre l’usurpation d’identité en raison de la manière dont elles transmettent et modifient les messages.Mailing lists (also known as discussion lists) are known to have problems with anti-spoofing due to the way they forward and modify messages.

Par exemple, Gabriela Laureano (glaureano@contoso.com) s'intéresse à l'observation des oiseaux. Elle s'inscrit à la liste de diffusion birdwatchers@fabrikam.com et envoie le message suivant à la liste :For example, Gabriela Laureano (glaureano@contoso.com) is interested in bird watching, joins the mailing list birdwatchers@fabrikam.com, and sends the following message to the list:

De : « Gabriela Laureano » <glaureano@contoso.com\>From: "Gabriela Laureano" <glaureano@contoso.com\>
À : Liste de discussion des ornithologues amateurs <birdwatchers@fabrikam.com\>To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com\>

*Objet :* Superbe observation de geais bleus au sommet du Mont

*Subject:* Great viewing of blue jays at the top of Mt.
Rainier cette semaineRainier this week

Quelqu’un veut-il voir l’observation de cette semaine au Mont Rainier.Anyone want to check out the viewing this week from Mt. Rainier ?Rainier?

Le serveur de liste de diffusion reçoit le message, modifie son contenu et le rediffuse aux membres de la liste.The mailing list server receives the message, modifies its content, and replays it to the members of list. Le message rediffusé a la même adresse De (glaureano@contoso.com), mais une balise est ajoutée à la ligne d’objet, et un pied de page est ajouté au bas du message.The replayed message has the same From address (glaureano@contoso.com), but a tag is added to the subject line, and a footer is added to the bottom of the message. Ce type de modification est courant dans les listes de diffusion et peut entraîner des faux positifs en matière d’usurpation d'identité.This type of modification is common in mailing lists, and may result in false positives for spoofing.

De : « Gabriela Laureano » <glaureano@contoso.com\>From: "Gabriela Laureano" <glaureano@contoso.com\>
À : Liste de discussion des ornithologues amateurs <birdwatchers@fabrikam.com\>To: Birdwatcher's Discussion List <birdwatchers@fabrikam.com\>
Objet : [ORNITHOLOGUES] Superbe observation de geais bleus au sommet du Mont Rainier cette semaine.Subject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier cette semaineRainier this week

Quelqu’un veut-il voir l’observation de cette semaine au Mont Rainier.Anyone want to check out the viewing this week from Mt. Rainier ?Rainier?

Ce message a été envoyé à la liste de discussion Ornithologues.This message was sent to the Birdwatchers Discussion List. Vous pouvez vous désabonner à tout moment.You can unsubscribe at any time.

Pour aider les messages de la liste de diffusion à passer les vérifications d’usurpation d’identité, procédez comme suit selon que vous contrôlez ou non la liste de diffusion :To help mailing list messages pass anti-spoofing checks, do following steps based on whether you control the mailing list:

En cas d’échec de l’opération, vous pouvez signaler le message à Microsoft comme étant un faux positif.If all else fails, you can report the message as a false positive to Microsoft. Pour plus d’informations, voir Signaler des messages et des fichiers à Microsoft.For more information, see Report messages and files to Microsoft.

Vous pouvez également contacter votre administrateur qui peut ouvrir un ticket de support auprès de Microsoft.You may also contact your admin who can raise it as a support ticket with Microsoft. L’équipe d’ingénierie de Microsoft examinera pourquoi le message a été marqué comme usurpation d’identité.The Microsoft engineering team will investigate why the message was marked as a spoof.

Considérations relatives à la protection contre l’usurpation d’identitéConsiderations for anti-spoofing protection

Si vous êtes un administrateur qui envoie actuellement des messages à Microsoft 365, vous devez vous assurer que votre messagerie électronique est correctement authentifiée.If you're an admin who currently sends messages to Microsoft 365, you need to ensure that your email is properly authenticated. Dans le cas contraire, il peut être marqué comme courrier indésirable ou hameçonnage.Otherwise, it might be marked as spam or phish. Pour plus d’informations, voir Solutions pour les expéditeurs légitimes qui envoient du courrier électronique non authentifié.For more information, see Solutions for legitimate senders who are sending unauthenticated email.