Stratégies anti-hameçonnage dans Microsoft 365Anti-phishing policies in Microsoft 365

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique àApplies to

Les stratégies de configuration des paramètres de protection anti-hameçonnage sont disponibles dans les organisations Microsoft 365 avec des boîtes aux lettres Exchange Online, des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online et des organisations Microsoft Defender pour Office 365.Policies to configure anti-phishing protection settings are available in Microsoft 365 organizations with Exchange Online mailboxes, standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes, and Microsoft Defender for Office 365 organizations.

Les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365 sont disponibles uniquement dans les organisations qui disposent de Defender pour Office 365.Anti-phishing policies in Microsoft Defender for Office 365 are only available in organizations that have Defender for Office 365. Par exemple :For example:

Les différences de haut niveau entre les stratégies anti-hameçonnage dans EOP et les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365 sont décrites dans le tableau suivant :The high-level differences between anti-phishing policies in EOP and anti-phishing policies in Microsoft Defender for Office 365 are described in the following table:


FonctionnalitéFeature Stratégies anti-hameçonnage dans EOPAnti-phishing policies in EOP Stratégies anti-hameçonnage dans Microsoft Defender pour Office 365Anti-phishing policies in Microsoft Defender for Office 365
Stratégie par défaut créée automatiquementAutomatically created default policy Coche Coche
Créer des stratégies d'accès externe personnaliséesCreate custom policies Coche Coche
Paramètres de stratégie*Policy settings* Coche Coche
Paramètres d’emprunt d’identitéImpersonation settings Coche
Paramètres d’usurpation d’une usurpationSpoof settings Coche Coche
Seuils de hameçonnage avancésAdvanced phishing thresholds Coche

* Dans la stratégie par défaut, le nom et la description de la stratégie sont en lecture seule (la description est vide) et vous ne pouvez pas spécifier à qui s’applique la stratégie (la stratégie par défaut s’applique à tous les destinataires).* In the default policy, the policy name and description are read-only (the description is blank), and you can't specify who the policy applies to (the default policy applies to all recipients).

Pour configurer des stratégies anti-hameçonnage, consultez les articles suivants :To configure anti-phishing policies, see the following articles:

Le reste de cet article décrit les paramètres disponibles dans les stratégies anti-hameçonnage dans EOP et Defender pour Office 365.The rest of this article describes the settings that are available in anti-phishing policies in EOP and Defender for Office 365.

Paramètres de stratégiePolicy settings

Les paramètres de stratégie suivants sont disponibles dans les stratégies anti-hameçonnage dans EOP et Microsoft Defender pour Office 365 :The following policy settings are available in anti-phishing policies in EOP and Microsoft Defender for Office 365:

  • Nom: vous ne pouvez pas renommer la stratégie anti-hameçonnage par défaut.Name: You can't rename the default anti-phishing policy. Après avoir créé une stratégie anti-hameçonnage personnalisée, vous ne pouvez pas renommer la stratégie dans le Centre de sécurité & conformité.After you create a custom anti-phishing policy, you can't rename the policy in the Security & Compliance Center.

  • Description Vous ne pouvez pas ajouter de description à la stratégie anti-hameçonnage par défaut, mais vous pouvez ajouter et modifier la description des stratégies personnalisées que vous créez.Description You can't add a description to the default anti-phishing policy, but you can add and change the description for custom policies that you create.

  • Appliqué à: identifie les destinataires internes à qui la stratégie anti-hameçonnage s’applique.Applied to: Identifies internal recipients that the anti-phishing policy applies to. Cette valeur est requise dans les stratégies personnalisées et n’est pas disponible dans la stratégie par défaut (la stratégie par défaut s’applique à tous les destinataires).This value is required in custom policies, and not available in the default policy (the default policy applies to all recipients).

    Vous pouvez uniquement utiliser une condition ou une exception une seule fois, mais vous pouvez spécifier plusieurs valeurs pour la condition ou l’exception.You can only use a condition or exception once, but you can specify multiple values for the condition or exception. Plusieurs valeurs de la même condition ou exception utilisent la logique OU (par exemple, <recipient1> ou <recipient2>).Multiple values of the same condition or exception use OR logic (for example, <recipient1> or <recipient2>). Des conditions ou des exceptions différentes utilisent la logique ET (par exemple, <recipient1> et <member of group 1>).Different conditions or exceptions use AND logic (for example, <recipient1> and <member of group 1>).

    • Le destinataire est: une ou plusieurs boîtes aux lettres, utilisateurs de messagerie ou contacts de messagerie dans votre organisation.Recipient is: One or more mailboxes, mail users, or mail contacts in your organization.

    • Le destinataire est membre de: Un ou plusieurs groupes de votre organisation.Recipient is a member of: One or more groups in your organization.

    • Le domaine du destinataire est : Un ou plusieurs domaines configurés acceptés dans Microsoft 365.The recipient domain is: One or more of the configured accepted domains in Microsoft 365.

    • Sauf quand: exceptions pour la règle.Except when: Exceptions for the rule. Les paramètres et le comportement sont exactement comme les conditions :The settings and behavior are exactly like the conditions:

      • Le destinataire estRecipient is
      • Le destinataire est membre deRecipient is a member of
      • Le domaine du destinataire estThe recipient domain is

    Notes

    Le paramètre Appliqué à est requis dans les stratégies anti-hameçonnage personnalisées pour identifier les destinataires du message à qui la stratégie s’applique.The Applied to setting is required in custom anti-phishing policies to identify the message recipients that the policy applies to. Les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365 ont également des paramètres d’emprunt d’identité dans lequel vous pouvez spécifier des adresses de messagerie d’expéditeur ou des domaines d’expéditeur individuels qui bénéficieront d’une protection contre l’emprunt d’identité, comme décrit plus loin dans cet article.Anti-phishing policies in Microsoft Defender for Office 365 also have impersonation settings where you can specify individual sender email addresses or sender domains that will receive impersonation protection as described later in this article.

Paramètres d’usurpation d’une usurpationSpoof settings

L’usurpation d’adresse est lorsque l’adresse De d’un message électronique (l’adresse de l’expéditeur affichée dans les clients de messagerie) ne correspond pas au domaine de la source de courrier.Spoofing is when the From address in an email message (the sender address that's shown in email clients) doesn't match the domain of the email source. Pour plus d’informations sur l’usurpation d’informations, voir Protection contre l’usurpation d’informations dans Microsoft 365.For more information about spoofing, see Anti-spoofing protection in Microsoft 365.

Les paramètres d’usurpation suivants sont disponibles dans les stratégies anti-hameçonnage dans EOP et Microsoft Defender pour Office 365 :The following spoof settings are available in anti-phishing policies in EOP and Microsoft Defender for Office 365:

  • Protection contre l’usurpation: active ou désactive la protection contre l’usurpation d’usurpation d’accès.Anti-spoofing protection: Enables or disables anti-spoofing protection. Nous vous recommandons de laisser ce dernier activé.We recommend that you leave it enabled. Vous utilisez la stratégie de veille contre l’usurpation d’adresse pour autoriser ou bloquer des expéditeurs internes et externes usurpés spécifiques.You use the spoof intelligence policy to allow or block specific spoofed internal and external senders. Si vous souhaitez en savoir plus, consultez l’article Configurer la veille contre l’usurpation d’identité dans Microsoft 365.For more information, see Configure spoof intelligence in Microsoft 365.

    Notes

    • La protection contre l’usurpation d’emploi est activée par défaut dans la stratégie anti-hameçonnage par défaut et dans toutes les nouvelles stratégies anti-hameçonnage personnalisées que vous créez.Anti-spoofing protection is enabled by default in the default anti-phishing policy and in any new custom anti-phishing policies that you create.

    • Vous n’avez pas besoin de désactiver la protection contre l’usurpation d’usurpation si votre enregistrement MX ne pointe pas vers Microsoft 365 ; vous activez plutôt le filtrage amélioré pour les connecteurs.You don't need to disable anti-spoofing protection if your MX record doesn't point to Microsoft 365; you enable Enhanced Filtering for Connectors instead. Pour obtenir des instructions, voir Filtrage amélioré pour les connecteurs dans Exchange Online.For instructions, see Enhanced Filtering for Connectors in Exchange Online.

    • La désactivation de la protection contre l’usurpation d’identité désactive uniquement la protection implicite contre l’usurpation d’identité contre les vérifications d’authentification composite.Disabling anti-spoofing protection only disables implicit spoofing protection from composite authentication checks. Si l’expéditeur échoue aux vérifications DMARC explicites où la stratégie est définie sur mise en quarantaine ou rejet, le message est toujours mis en quarantaine ou rejeté.If the sender fails explicit DMARC checks where the policy is set to quarantine or reject, the message is still quarantined or rejected.

    Pour les messages provenant d’expéditeurs usurpés bloqués, vous pouvez également spécifier l’action à prendre sur les messages :For messages from blocked spoofed senders, you can also specify the action to take on the messages:

  • Expéditeur non authentifié : consultez les informations de la section suivante.Unauthenticated Sender: See the information in the next section.

Expéditeur non authentifiéUnauthenticated Sender

L’identification de l’expéditeur non authentifié fait partie des paramètres d’usurpation d’identité disponibles dans les stratégies anti-hameçonnage dans EOP et Microsoft Defender pour Office 365, comme décrit dans la section précédente.Unauthenticated sender identification is part of the Spoof settings that are available in anti-phishing policies in EOP and Microsoft Defender for Office 365 as described in the previous section.

Le paramètre Expéditeur non authentifié active ou désactive l’identification de l’expéditeur non authentifié dans Outlook.The Unauthenticated Sender setting enables or disables unauthenticated sender identification in Outlook. Notamment :Specifically:

  • Un point d’interrogation (?) est ajouté à la photo de l’expéditeur si le message ne passe pas les vérifications SPF ou DKIM et s’il ne passe pas l’authentification DMARC ou composite.A question mark (?) is added to the sender's photo if the message does not pass SPF or DKIM checks and the message does not pass DMARC or composite authentication. La désactivation de l’identification de l’expéditeur non authentifié empêche l’ajout du point d’interrogation à la photo de l’expéditeur.Disabling unauthenticated sender identification prevents the question mark from being added to the sender's photo.

  • La balise via (chris@contoso.com via fabrikam.com) est ajoutée si le domaine dans l’adresse De (l’expéditeur du message affiché dans les clients de messagerie) est différent du domaine dans la signature DKIM ou l’adresse MAIL FROM.The via tag (chris@contoso.com via fabrikam.com) is added if the domain in the From address (the message sender that's displayed in email clients) is different from the domain in the DKIM signature or the MAIL FROM address. Pour plus d’informations sur ces adresses, voir une vue d’ensemble des normes de message électronique.For more information about these addresses, see An overview of email message standards.

    La désactivation de l’identification de l’expéditeur non authentifié n’empêche pas l’ajout de la balise via si le domaine dans l’adresse De est différent du domaine dans la signature DKIM ou l’adresse MAIL FROM.Disabling unauthenticated sender identification does not prevent the via tag from being added if the domain in the From address is different from the domain in the DKIM signature or the MAIL FROM address.

Pour empêcher l’ajout du point d’interrogation ou d’une balise à des messages provenant d’expéditeurs spécifiques, vous avez les options suivantes :To prevent the question mark or via tag from being added to messages from specific senders, you have the following options:

  • Autorisez l’expéditeur à usurper l’adresse dans la stratégie d’usurpation d’informations.Allow the sender to spoof in the spoof intelligence policy. Cette action empêche l’apparition de la balise via dans les messages de l’expéditeur lorsque l’identification de l’expéditeur non authentifié est désactivée.This action will prevent the via tag from appearing in messages from the sender when unauthenticated sender identification is disabled. Pour obtenir des instructions, voir Configurer la veille contre l’usurpation d’informations dans Microsoft 365.For instructions, see Configure spoof intelligence in Microsoft 365.

  • Configurez l’authentification de messagerie pour le domaine de l’expéditeur.Configure email authentication for the sender domain.

    • Pour le point d’interrogation dans la photo de l’expéditeur, SPF ou DKIM sont les plus importants.For the question mark in the sender's photo, SPF or DKIM are the most important.
    • Pour la balise via, confirmez que le domaine dans la signature DKIM ou l’adresse MAIL FROM correspond (ou est un sous-domaine) du domaine dans l’adresse De.For the via tag, confirm the domain in the DKIM signature or the MAIL FROM address matches (or is a subdomain of) the domain in the From address.

Pour plus d’informations, voir Identifier les messages suspects dans Outlook.com et Outlook sur le webFor more information, see Identify suspicious messages in Outlook.com and Outlook on the web

Paramètres exclusifs dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365Exclusive settings in anti-phishing policies in Microsoft Defender for Office 365

Cette section décrit les paramètres de stratégie disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.This section describes the policy settings that are only available in anti-phishing policies in Microsoft Defender for Office 365.

Notes

La stratégie anti-hameçonnage par défaut dans Microsoft Defender pour Office 365 fournit une protection contre l’usurpation d’adresse et une intelligence des boîtes aux lettres pour tous les destinataires.The default anti-phishing policy in Microsoft Defender for Office 365 provides spoof protection and mailbox intelligence for all recipients. Toutefois, les autres fonctionnalités disponibles de protection contre l’emprunt d’identité et les paramètres avancés ne sont pas configurés ou activés dans la stratégie par défaut.However, the other available impersonation protection features and advanced settings are not configured or enabled in the default policy. Pour activer toutes les fonctionnalités de protection, modifiez la stratégie anti-hameçonnage par défaut ou créez des stratégies anti-hameçonnage supplémentaires.To enable all protection features, modify the default anti-phishing policy or create additional anti-phishing policies.

Paramètres d’emprunt d’identité dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365Impersonation settings in anti-phishing policies in Microsoft Defender for Office 365

L’emprunt d’identité est l’endroit où l’expéditeur ou le domaine de messagerie de l’expéditeur dans un message ressemble à un expéditeur ou un domaine réel :Impersonation is where the sender or the sender's email domain in a message looks similar to a real sender or domain:

  • Un exemple d'usurpation de l'identité du domaine contoso.com est ćóntoso.com.An example impersonation of the domain contoso.com is ćóntoso.com.
  • Un exemple d'usurpation de l'identité de l'utilisateur michelle@contoso.com est michele@contoso.com.An example impersonation of the user michelle@contoso.com is michele@contoso.com.

Un domaine usurpé pourrait autrement être considéré comme légitime (domaine enregistré, enregistrements d'authentification de courrier électronique configurés, etc.), sauf si son but est de tromper les destinataires.An impersonated domain might otherwise be considered legitimate (registered domain, configured email authentication records, etc.), except its intent is to deceive recipients.

Les paramètres d’emprunt d’identité suivants sont disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365 :The following impersonation settings are only available in anti-phishing policies in Microsoft Defender for Office 365:

  • Utilisateurs à protéger: empêche les adresses de messagerie internes ou externes spécifiées d’être usurpées en tant qu’expéditeurs de messages.Users to protect: Prevents the specified internal or external email addresses from being impersonated as message senders. Par exemple, vous recevez un message électronique du vice-président de votre entreprise vous demandant d’envoyer des informations internes à la société.For example, you receive an email message from the Vice President of your company asking you to send her some internal company information. Le feriez-vous ?Would you do it? De nombreuses personnes envoient la réponse sans réfléchir.Many people would send the reply without thinking.

    Vous pouvez utiliser des utilisateurs protégés pour ajouter des adresses de messagerie d’expéditeur internes et externes afin de vous protéger contre l’emprunt d’identité.You can use protected users to add internal and external sender email addresses to protect from impersonation. Cette liste d’expéditeurs protégés contre l’emprunt d’identité d’utilisateur est différente de la liste des destinataires à qui la stratégie s’applique (tous les destinataires de la stratégie par défaut ; des destinataires spécifiques configurés dans le paramètre Appliqué à dans la section Paramètres de stratégie).This list of senders that are protected from user impersonation is different from the list of recipients that the policy applies to (all recipients for the default policy; specific recipients as configured in the Applied to setting in the Policy settings section).

    Notes

    • Dans chaque stratégie anti-hameçonnage, vous pouvez spécifier un maximum de 60 utilisateurs protégés (adresses e-mail de l’expéditeur).In each anti-phishing policy, you can specify a maximum of 60 protected users (sender email addresses). Vous ne pouvez pas spécifier le même utilisateur protégé dans plusieurs stratégies.You can't specify the same protected user in multiple policies. Ainsi, quel que soit le nombre de stratégies appliquées à un destinataire, le nombre maximal d’utilisateurs protégés (adresses e-mail de l’expéditeur) pour chaque destinataire individuel est de 60.So, regardless of how many policies apply to a recipient, the maximum number of protected users (sender email addresses) for each individual recipient is 60. Pour plus d’informations sur la priorité de stratégie et la façon dont le traitement de stratégie s’arrête après l’application de la première stratégie, voir Ordre et priorité de la protection de la messagerie.For more information about policy priority and how policy processing stops after the first policy is applied, see Order and precedence of email protection.

    • La protection contre l’emprunt d’identité d’utilisateur ne fonctionne pas si l’expéditeur et le destinataire ont précédemment communiqué par courrier électronique.User impersonation protection does not work if the sender and recipient have previously communicated via email. Si l’expéditeur et le destinataire n’ont jamais communiqué par courrier électronique, le message est identifié comme une tentative d’emprunt d’identité.If the sender and recipient have never communicated via email, the message will be identified as an impersonation attempt.

    Par défaut, aucune adresse de messagerie de l’expéditeur n’est configurée pour la protection contre l’emprunt d’identité dans Les utilisateurs à protéger.By default, no sender email addresses are configured for impersonation protection in Users to protect. Par conséquent, par défaut, aucune adresse de messagerie de l’expéditeur n’est couverte par la protection contre l’emprunt d’identité, que ce soit dans la stratégie par défaut ou dans les stratégies personnalisées.Therefore, by default, no sender email addresses are covered by impersonation protection, either in the default policy or in custom policies.

    Lorsque vous ajoutez des adresses de messagerie internes ou externes à la liste Utilisateurs pour protéger, les messages de ces expéditeurs sont soumis à des vérifications de protection contre l’emprunt d’identité.When you add internal or external email addresses to the Users to protect list, messages from those senders are subject to impersonation protection checks. L’emprunt d’identité du message est vérifié si le message est envoyé à un destinataire à qui la stratégie s’applique (tous les destinataires de la stratégie par défaut ; Appliqué aux destinataires dans les stratégies personnalisées).The message is checked for impersonation if the message is sent to a recipient that the policy applies to (all recipients for the default policy; Applied to recipients in custom policies). Si l’emprunt d’identité est détecté dans l’adresse e-mail de l’expéditeur, les actions de protection contre l’emprunt d’identité pour les utilisateurs sont appliquées au message (que faire avec le message, afficher ou non les conseils de sécurité des utilisateurs usurpés, etc.).If impersonation is detected in the sender's email address, the impersonation protections actions for users are applied to the message (what to do with the message, whether to show impersonated users safety tips, etc.).

  • Domaines à protéger : empêche les domaines spécifiés d’être usurpés dans le domaine de l’expéditeur du message.Domains to protect: Prevents the specified domains from being impersonated in the message sender's domain. Par exemple, tous les domaines que vous possédez (domainesacceptés)ou des domaines spécifiques (domaines que vous possédez ou domaines partenaires).For example, all domains that you own (accepted domains) or specific domains (domains you own or partner domains). Cette liste de domaines d’expéditeurs protégés contre l’emprunt d’identité est différente de la liste des destinataires à qui la stratégie s’applique (tous les destinataires de la stratégie par défaut ; des destinataires spécifiques tels que configurés dans le paramètre Appliqué à dans la section Paramètres de stratégie). This list of sender domains that are protected from impersonation is different from the list of recipients that the policy applies to (all recipients for the default policy; specific recipients as configured in the Applied to setting in the Policy settings section).

    Notes

    Le nombre maximal de domaines protégés que vous pouvez définir dans toutes les stratégies anti-hameçonnage est de 50.The maximum number of protected domains that you can define in all anti-phishing policies is 50.

    Par défaut, aucun domaine d’expéditeur n’est configuré pour la protection contre l’emprunt d’identité dans les domaines à protéger.By default, no sender domains are configured for impersonation protection in Domains to protect. Par conséquent, par défaut, aucun domaine d’expéditeur n’est couvert par la protection contre l’emprunt d’identité, que ce soit dans la stratégie par défaut ou dans les stratégies personnalisées.Therefore, by default, no sender domains are covered by impersonation protection, either in the default policy or in custom policies.

    Lorsque vous ajoutez des domaines à la liste Domaines pour protéger, les messages provenant d’expéditeurs de ces domaines sont soumis à des vérifications de protection contre l’emprunt d’identité.When you add domains to the Domains to protect list, messages from senders in those domains are subject to impersonation protection checks. L’emprunt d’identité du message est vérifié si le message est envoyé à un destinataire à qui la stratégie s’applique (tous les destinataires de la stratégie par défaut ; Appliqué aux destinataires dans les stratégies personnalisées).The message is checked for impersonation if the message is sent to a recipient that the policy applies to (all recipients for the default policy; Applied to recipients in custom policies). Si l’emprunt d’identité est détecté dans le domaine de l’expéditeur, les actions de protection contre l’emprunt d’identité pour les domaines sont appliquées au message (que faire avec le message, afficher ou non les conseils de sécurité des utilisateurs usurpés, etc.).If impersonation is detected in the sender's domain, the impersonation protection actions for domains are applied to the message (what to do with the message, whether to show impersonated users safety tips, etc.).

  • Actions pour les utilisateurs ou les domaines protégés : choisissez l’action à prendre sur les messages entrants qui contiennent des tentatives d’emprunt d’identité contre les utilisateurs protégés et les domaines protégés dans la stratégie.Actions for protected users or domains: Choose the action to take on inbound messages that contain impersonation attempts against the protected users and protected domains in the policy. Vous pouvez spécifier différentes actions pour l’emprunt d’identité des utilisateurs protégés par rapport à l’emprunt d’identité de domaines protégés :You can specify different actions for impersonation of protected users vs. impersonation of protected domains:

    • Ne pas appliquer d’actionDon't apply any action

    • Rediriger le message vers d’autres adresses de messagerie : envoie le message aux destinataires spécifiés au lieu des destinataires prévus.Redirect message to other email addresses: Sends the message to the specified recipients instead of the intended recipients.

    • Déplacer le message vers le dossier Courrier indésirable : le message est remis à la boîte aux lettres et déplacé vers le dossier Courrier indésirable.Move message to Junk Email folder: The message is delivered to the mailbox and moved to the Junk Email folder. Dans Exchange Online, le message est déplacé vers le dossier Courrier indésirable si la règle de courrier indésirable est activée sur la boîte aux lettres (activée par défaut).In Exchange Online, the message is moved to the Junk Email folder if the junk email rule is enabled on the mailbox (it's enabled by default). Pour plus d’informations, voir Configurer les paramètres de courrier indésirable sur les boîtes aux lettres Exchange Online dans Microsoft 365.For more information, see Configure junk email settings on Exchange Online mailboxes in Microsoft 365.

    • Remettre le message et ajouter d’autres adresses à la ligne Bcc : remettre le message aux destinataires prévus et remettre silencieusement le message aux destinataires spécifiés.Deliver the message and add other addresses to the Bcc line: Deliver the message to the intended recipients and silently deliver the message to the specified recipients.

    • Supprimez le message avant qu’il ne soit remis : supprime silencieusement l’intégralité du message, y compris toutes les pièces jointes.Delete the message before it's delivered: Silently deletes the entire message, including all attachments.

  • Conseils de sécurité: active ou désactive les conseils de sécurité d’emprunt d’identité suivants qui s’affichent pour les messages qui échouent aux vérifications d’emprunt d’identité :Safety tips: Enables or disables the following impersonation safety tips that will appear messages that fail impersonation checks:

    • Utilisateurs usurpés : l’adresse De contient un utilisateur protégé.Impersonated users: The From address contains a protected user.
    • Domaines usurpés : l’adresse De contient un domaine protégé.Impersonated domains: The From address contains a protected domain.
    • Caractères inhabituels: l’adresse De contient des jeux de caractères inhabituels (par exemple, des symboles mathématiques et du texte ou un mélange de lettres majuscules et minuscules) dans un expéditeur ou un domaine protégé.Unusual characters: The From address contains unusual character sets (for example, mathematical symbols and text or a mix of uppercase and lowercase letters) in a protected sender or domain.

    Important

    Même lorsque les conseils de sécurité d’emprunt d’identité sont désactivés, nous vous recommandons d’utiliser une règle de flux de messagerie (également appelée règle de transport) pour ajouter un en-tête de message nommé X-MS-Exchange-EnableFirstContactSafetyTip avec la valeur activée pour les messages.Even when the impersonation safety tips are turned off, we recommend that you use a mail flow rule (also known as a transport rule) to add a message header named X-MS-Exchange-EnableFirstContactSafetyTip with value enable to messages. Un conseil de sécurité avertit les destinataires la première fois qu’ils obtiennent un message de l’expéditeur ou s’ils n’obtiennent pas souvent de messages de l’expéditeur.A safety tip will notify recipients the first time they get a message from the sender or if they don't often get messages from the sender. Cette fonctionnalité ajoute une couche supplémentaire de protection de sécurité contre les attaques d’emprunt d’identité potentielles.This capability adds an extra layer of security protection against potential impersonation attacks.

    Texte du conseil de sécurité pour la protection contre l’emprunt d’identité avec plusieurs destinataires.

  • Intelligence de boîte aux lettres : active ou désactive l’intelligence artificielle (IA) qui détermine les modèles de messagerie des utilisateurs avec leurs contacts fréquents.Mailbox intelligence: Enables or disables artificial intelligence (AI) that determines user email patterns with their frequent contacts. Ce paramètre permet à l’IA de faire la distinction entre les messages provenant d’expéditeurs légitimes et d’expéditeurs dont l’identité a été usurpée.This setting helps the AI distinguish between messages from legitimate and impersonated senders.

    Par exemple, Comme Elle (glaureano@contoso.com) est le PDG de votre entreprise, vous l’ajoutez en tant qu’expéditeur protégé dans les utilisateurs pour protéger les paramètres de la stratégie.For example, Gabriela Laureano (glaureano@contoso.com) is the CEO of your company, so you add her as a protected sender in the Users to protect settings of the policy. Toutefois, certains des destinataires que la stratégie s’applique pour communiquer régulièrement avec un fournisseur également nommé Glaureano@fabrikam.com).But, some of the recipients that the policy applies to communicate regularly with a vendor who is also named Gabriela Laureano (glaureano@fabrikam.com). Étant donné que ces destinataires ont un historique des communications avec glaureano@fabrikam.com, l’intelligence des boîtes aux lettres n’identifie pas les messages provenant de glaureano@fabrikam.com comme une tentative d’emprunt d’glaureano@contoso.com pour ces destinataires.Because those recipients have a communication history with glaureano@fabrikam.com, mailbox intelligence will not identify messages from glaureano@fabrikam.com as an impersonation attempt of glaureano@contoso.com for those recipients.

    Pour utiliser des contacts fréquents qui ont été découverts par l’intelligence des boîtes aux lettres (et qui n’en ont pas) pour protéger les utilisateurs contre les attaques d’emprunt d’identité, vous pouvez activer la protection contre l’emprunt d’identité basée sur l’intelligence des boîtes aux lettres et spécifier l’action à prendre si vous allumez également l’intelligence des boîtes aux lettres.To use frequent contacts that were learned by mailbox intelligence (and lack thereof) to help protect users from impersonation attacks, you can turn on Mailbox intelligence based impersonation protection and specify the action to take if you also turn on Mailbox intelligence.

  • Protection contre l’emprunt d’identité basée sur l’intelligence des boîtes aux lettres : activer ce paramètre pour spécifier l’action à prendre sur les messages pour les détections d’emprunt d’identité à partir des résultats de l’intelligence de boîte aux lettres :Mailbox intelligence based impersonation protection: Turn on this setting to specify the action to take on messages for impersonation detections from mailbox intelligence results:

    • N’appliquez aucune action: notez que cette valeur a le même résultat que l’isation de la boîte aux lettres, mais la désélation de la protection contre l’usurpation d’identité basée sur l’intelligence des boîtes aux lettres.Don't apply any action: Note that this value has the same result as turning on Mailbox intelligence but turning off Mailbox intelligence based impersonation protection.
    • Rediriger le message vers d’autres adresses de messagerieRedirect message to other email addresses
    • Déplacer le message dans le dossier Courrier indésirableMove message to Junk Email folder
    • Mettre le message en quarantaineQuarantine the message
    • Remettre le message et ajouter d’autres adresses à la ligne BccDeliver the message and add other addresses to the Bcc line
    • Supprimer le message avant sa livraisonDelete the message before it's delivered
  • Expéditeurs et domaines de confiance: exceptions aux paramètres de protection contre l’emprunt d’identité.Trusted senders and domains: Exceptions to the impersonation protection settings. Les messages provenant des domaines des expéditeurs et des expéditeurs spécifiés ne sont jamais classés comme attaques basées sur l’emprunt d’identité par la stratégie.Messages from the specified senders and sender domains are never classified as impersonation-based attacks by the policy. En d’autres termes, l’action pour les expéditeurs protégés, les domaines protégés ou la protection de l’intelligence des boîtes aux lettres n’est pas appliquée à ces expéditeurs ou domaines d’expéditeurs fiables.In other words, the action for protected senders, protected domains, or mailbox intelligence protection aren't applied to these trusted senders or sender domains. La limite maximale pour ces listes est d’environ 1 000 entrées.The maximum limit for these lists is approximately 1000 entries.

Seuils de hameçonnage avancés dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365Advanced phishing thresholds in anti-phishing policies in Microsoft Defender for Office 365

Les seuils de hameçonnage avancés suivants sont disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.The following advanced phishing thresholds are only available in anti-phishing policies in Microsoft Defender for Office 365. Ces seuils contrôlent la sensibilité à l’application de modèles d’apprentissage automatique aux messages pour déterminer un verdict de hameçonnage :These thresholds control the sensitivity for applying machine learning models to messages for determining a phishing verdict:

  • 1 - Standard: il s’agit de la valeur par défaut.1 - Standard: This is the default value. La gravité de l’action entreprise sur le message dépend du degré de confiance que le message est un hameçonnage (faible, moyen, élevé ou très élevé).The severity of the action that's taken on the message depends on the degree of confidence that the message is phishing (low, medium, high, or very high confidence). Par exemple, les messages identifiés comme étant du hameçonnage avec un très haut degré de confiance ont les actions les plus graves appliquées, tandis que les messages identifiés comme étant du hameçonnage avec un faible degré de confiance ont des actions moins graves appliquées.For example, messages that are identified as phishing with a very high degree of confidence have the most severe actions applied, while messages that are identified as phishing with a low degree of confidence have less severe actions applied.

  • 2 - Agressif: les messages identifiés comme étant du hameçonnage avec un haut degré de confiance sont traités comme s’ils étaient identifiés avec un très haut degré de confiance.2 - Aggressive: Messages that are identified as phishing with a high degree of confidence are treated as if they were identified with a very high degree of confidence.

  • 3 - Plus agressif : les messages identifiés comme du hameçonnage avec un niveau de confiance moyen ou élevé sont traités comme s’ils étaient identifiés avec un très haut degré de confiance.3 - More aggressive: Messages that are identified as phishing with a medium or high degree of confidence are treated as if they were identified with a very high degree of confidence.

  • 4 - Plus agressif : les messages identifiés comme étant du hameçonnage avec un niveau de confiance faible, moyen ou élevé sont traités comme s’ils étaient identifiés avec un très haut degré de confiance.4 - Most aggressive: Messages that are identified as phishing with a low, medium, or high degree of confidence are treated as if they were identified with a very high degree of confidence.

Le risque de faux positifs (messages positifs marqués comme faux) augmente lorsque vous augmentez ce paramètre.The chance of false positives (good messages marked as bad) increases as you increase this setting. Pour plus d’informations sur les paramètres recommandés, voir la stratégie anti-hameçonnage dans Microsoft Defender pour les paramètres Office 365.For information about the recommended settings, see anti-phishing policy in Microsoft Defender for Office 365 settings.