Protection contre l’usurpation d’identité dans Office 365Anti-spoofing protection in Office 365

Cet article explique comment Office 365 prévient les attaques par hameçonnage utilisant des domaines d’expéditeur falsifiés, ou usurpés.This article describes how Office 365 mitigates against phishing attacks that use forged sender domains, that is, domains that are spoofed. Pour ce faire, Microsoft analyse les messages et bloque ceux qui ne peuvent être authentifiés ni à l’aide de méthodes d’authentification standard du courrier, ni à l’aide d’autres techniques basées sur la réputation des expéditeurs.It accomplishes this by analyzing the messages and blocking the ones that cannot be authenticated using standard email authentication methods, nor other sender reputation techniques. Cette modification a été apportée afin de réduire le nombre d’attaques par hameçonnage auxquelles sont exposées les organisations utilisant Office 365.This change was implemented to reduce the number of phishing attacks to which organizations in Office 365 are exposed.

Cet article explique également pourquoi cette modification a été introduite, comment les clients peuvent s’y préparer, comment afficher les messages qui seront affectés, comment générer des rapports sur les messages, comment limiter le nombre de faux positifs, et comment les expéditeurs à Microsoft doivent se préparer.This article also describes why this change is being made, how customers can prepare for this change, how to view messages that will be affected, how to report on messages, how to mitigate false positives, as well as how senders to Microsoft should prepare for this change.

La technologie de détection d’usurpation d’identité de Microsoft a été initialement déployée vers des organisations qui disposaient d’un abonnement Office 365 Entreprise E5 ou avaient acheté le module complémentaire Office 365 - Protection avancée contre les menaces pour leur abonnement.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. Depuis octobre 2018, nous avons étendu la protection aux organisations disposant d’Exchange Online Protection.As of October, 2018 we extended the protection to organizations that have Exchange Online Protection (EOP) as well. De plus, en raison de la façon dont tous nos filtres apprennent les uns des autres, les utilisateurs d’Outlook.com peuvent également être concernés.Additionally, because of the way all of our filters learn from each other, Outlook.com users may also be affected.

Comment l’usurpation est utilisée dans les attaques par hameçonnageHow spoofing is used in phishing attacks

Pour protéger ses utilisateurs, Microsoft prend la menace du hameçonnage au sérieux.When it comes to protecting its users, Microsoft takes the threat of phishing seriously. L’usurpation d’identité est l’une des techniques que les hameçonneurs et les expéditeurs de courrier indésirable utilisent couramment. Cette technique consiste à falsifier l’identité de l’expéditeur de telle sorte qu’un message semble provenir d’un personne ou d’un endroit autre que la source réelle.One of the techniques that spammers and phishers commonly use is spoofing, which is when the sender is forged, and a message appears to originate from someone or somewhere other than the actual source. Cette technique est souvent utilisée dans des campagnes de hameçonnage visant à dérober des informations d’identification d’utilisateur.This technique is often used in phishing campaigns designed to obtain user credentials. La technologie de détection d’usurpation d’identité de Microsoft examine spécifiquement la falsification de l’en-tête « De : » qui apparaît dans un client de courrier tel qu’Outlook.Microsoft's Anti-spoof technology specifically examines forgery of the 'From: header' which is the one that shows up in an email client like Outlook. Quand Microsoft est convaincu que l’en-tête De : est usurpé, il identifie le message comme une usurpation d’identité.When Microsoft has high confidence that the From: header is spoofed, it identifies the message as a spoof.

Les messages usurpant une identité ont deux conséquences négatives pour les utilisateurs réels :Spoofing messages have two negative implications for real life users:

1. Ils trompent les utilisateurs1. Spoofed messages deceive users

Premièrement, un message usurpant une identité peut leurrer un utilisateur en l’incitant à cliquer sur un lien l’amenant à révéler ses identifiants, à télécharger un programme malveillant ou à répondre en révélant du contenu sensible (compromission de courrier professionnel).First, a spoofed message may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content (the latter of which is known as Business Email Compromise). Par exemple, voici un message de hameçonnage dont l’expéditeur a usurpé l’adresse msoutlook94@service.outlook.com :For example, the following is a phishing message with a spoofed sender of msoutlook94@service.outlook.com:

Message de hameçonnage usurpant le domaine service.outlook.com

Le courrier qui précède ne provient pas de service.outlook.com, mais le hameçonneur à l’origine de l’usurpation a fait en sorte qu’il semble provenir de ce domaine.The above did not actually come from service.outlook.com, but instead was spoofed by the phisher to make it look like it did. Il tente de duper le destinataire en l’incitant à cliquer sur le lien contenu dans le message.It is attempting to trick a user into clicking the link within the message.

L’exemple suivant usurpe le domaine contoso.com :The next example is spoofing contoso.com:

Message de hameçonnage – compromission de courrier professionnel

Le message semble légitime, mais est en réalité une usurpation.The message looks legitimate, but in fact is a spoof. Ce message de hameçonnage est du type compromission de courrier professionnel qui est une sous-catégorie du hameçonnage.This phishing message is a type of Business Email Compromise which is a subcategory of phishing.

2. Certains utilisateurs prennent de vrais messages pour des faux2. Users confuse real messages for fake ones

Deuxièmement, les messages usurpant des identités créent une incertitude dans le chef des utilisateurs informés de l’existence de messages de hameçonnage mais incapables de faire la différence entre un message authentique et un message falsifié.Second, spoofed messages create uncertainty for users who know about phishing messages but cannot tell the difference between a real message and spoofed one. Par exemple, voici un exemple de demande de réinitialisation de mot de passe authentique provenant de l’adresse e-mail du compte Microsoft Security :For example, the following is an example of an actual password reset from the Microsoft Security account email address:

Réinitialisation de mot de passe légitime de Microsoft

Si le message ci-dessus provient effectivement de Microsoft, les utilisateurs sont habitués à recevoir des messages de hameçonnage susceptibles de les inciter à cliquer sur un lien les amenant à révéler leurs identifiants, à télécharger un programme malveillant ou à répondre en révélant du contenu sensible.The above message did come from Microsoft, but at the same time, users are used to getting phishing messages that may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content. En raison de la difficulté de faire la distinction entre une demande de réinitialisation de mot de passe authentique et une fausse demande, bon nombre d’utilisateurs ignorent ces messages, les marquent comme du courrier indésirable, ou les signalent à Microsoft comme des tentatives de hameçonnage.Because it is difficult to tell the difference between a real password reset and a fake one, many users ignore these messages, report them as spam, or unnecessarily report the messages back to Microsoft as missed phishing scams.

Pour mettre fin aux usurpations d’identité, les experts en filtrage du courrier ont développé des protocoles d’authentification tels que SPF, DKIM et DMARC.To stop spoofing, the email filtering industry has developed email authentication protocols such as SPF, DKIM, and DMARC. DMARC empêche l’usurpation d’identité en examinant l’expéditeur d’un message que l’utilisateur voit dans son client de courrier (dans les exemples ci-dessus, service.outlook.com, outlook.com et accountprotection.microsoft.com), avec le domaine qui a traversé les filtres SPF ou DKIM.DMARC prevents spoofing examining a message's sender - the one that the user sees in their email client (in the examples above, this is service.outlook.com, outlook.com, and accountprotection.microsoft.com) - with the domain that passed SPF or DKIM. Autrement dit, le domaine que l’utilisateur voit a été authentifié et n’est donc pas usurpé.That is, the domain that the user sees has been authenticated and is therefore not spoofed. Pour une présentation plus complète, voir la section « Pourquoi l’authentification du courrier ne suffit pas toujours pour empêcher l’usurpation », plus loin dans cet article.For a more complete discussion, see the section "Understanding why email authentication is not always enough to stop spoofing" later on in this article.

Cependant, le problème est que les enregistrements d’authentification de courrier sont facultatifs et non obligatoires.However, the problem is that email authentication records are optional, not required. Dès lors, si les domaines dotés de stratégies d’authentification fortes, tels que microsoft.com et skype.com, sont protégés contre l’usurpation d’identité, des domaines dont les stratégies d’authentification sont plus faibles, voire inexistantes, constituent des cibles idéales pour de telles usurpations. En mars 2018, seul 9% des domaines des sociétés répertoriées dans Fortune 500 affichent de fortes stratégies d’authentification d’email.Therefore, while domains with strong authentication policies like microsoft.com and skype.com are protected from spoofing, domains that publish weaker authentication policies, or no policy at all, are targets for being spoofed.As of March 2018, only 9% of domains of companies in the Fortune 500 publish strong email authentication policies. Ainsi, un hameçonneur peut usurper le domaine des 91 % de domaines restants de sorte que, si le filtre de courrier ne détecte pas l’usurpation à l’aide d’une autre stratégie, le courrier peut être délivré à un utilisateur final et le tromper :The remaining 91% may be spoofed by a phisher, and unless the email filter detects it using another policy, may be delivered to an end user and deceive them:

Stratégies DMARC des entreprises du Fortune 500

La proportion de petites et moyennes entreprises non reprises au classement Fortune 500 et qui publient des stratégies d’authentification de courrier fortes est plus faible, et plus faible encore pour les domaines situés en dehors de l’Amérique du Nord et de l’Europe occidentale.The proportion of small-to-medium sized companies that are not in the Fortune 500 that publish strong email authentication policies is smaller, and smaller still for domains that are outside of North America and western Europe.

Le problème est de taille car, si les entreprises ne sont peut-être pas informées des mécanismes d’authentification du courrier, les rançonneurs les maîtrisent parfaitement et profitent de ces lacunes.This is a big problem because while enterprises may not be aware of how email authentication works, phishers do understand and take advantage of the lack of it.

Pour plus d’informations sur la configuration de SPF, DKIM et DMARC, voir la section « Clients d’Office 365 » plus loin dans ce document.For information on setting up SPF, DKIM, and DMARC, see the section "Customers of Office 365" later on in this document.

Blocage de l’usurpation d’identité avec une authentification de courrier impliciteStopping spoofing with implicit email authentication

Le hameçonnage et le harponnage sont si problématiques et l’adoption de stratégies d’authentification de courrier fortes si limitée que Microsoft continue d’investir dans des fonctionnalités capables de protéger ses clients.Because phishing and spear phishing is such a problem, and because of the limited adoption of strong email authentication policies, Microsoft continues to invest in capabilities to protect its customers. C’est pourquoi Microsoft va de l’avant avec l’authentification de courrier implicite. Si un domaine ne s’authentifie pas, Microsoft le traite comme s’il avait publié des enregistrements d’authentification de courrier et avait échoué.Therefore, Microsoft is moving ahead with implicit email authentication - if a domain doesn't authenticate, Microsoft will treat it as if it had published email authentication records and treat it accordingly if it doesn't pass.

Pour ce faire, Microsoft a ajouté de nombreuses extensions à l’authentification de courrier ordinaire, dont la réputation de l’expéditeur, l’historique de l’expéditeur et du destinataire, l’analyse comportementale et d’autres techniques avancées.To accomplish this, Microsoft has built numerous extensions to regular email authentication including sender reputation, sender/recipient history, behavioral analysis, and other advanced techniques. Un message provenant d’un domaine ne publiant pas d’authentification de courrier est marqué comme une usurpation d’identité, sauf s’il contient d’autres signaux indiquant sa légitimité.A message sent from a domain that doesn't publish email authentication will be marked as spoof unless it contains other signals to indicate that it is legitimate.

Ainsi, les destinataires ont la certitude qu’un courrier qui leur est envoyé n’a pas été usurpé, et les expéditeurs sont assurés que personne n’usurpe leur domaine. Par ailleurs, les clients d’Office 365 bénéficient d’une protection encore supérieure, par exemple, contre l’emprunt d’identité.By doing this, end users can have confidence that an email sent to them has not been spoofed, senders can be confident that nobody is impersonating their domain, and customers of Office 365 can offer even better protection such as Impersonation protection.

Pour lire l’annonce générale de Microsoft, voir A Sea of Phish Part 2 – Enhanced Anti-spoofing in Office 365.To see Microsoft's general announcement, see A Sea of Phish Part 2 - Enhanced Anti-spoofing in Office 365.

Identification de la classification d’un message comme usurpéIdentifying that a message is classified as spoofed

Authentification compositeComposite authentication

Si les filtrages SPF, DKIM et DMARC sont utiles en soi, ils ne communiquent pas suffisamment l’état d’authentification quand un message n’a pas d’enregistrement d’authentification explicite.While SPF, DKIM, and DMARC are all useful by themselves, they don't communicate enough authentication status in the event a message has no explicit authentication records. C’est pourquoi Microsoft a développé un algorithme combinant plusieurs signaux en une valeur unique appelée Authentification composite, abrégée en Compauth.Therefore, Microsoft has developed an algorithm that combines multiple signals into a single value called Composite Authentication, or compauth for short. Les clients d’Office 365 ont des valeurs compauth estampillées dans l’en-tête Authentication-Results, à l’intérieur des en-têtes de message.Customers in Office 365 have compauth values stamped into the Authentication-Results header in the message headers.

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

Résultat CompAuthCompAuth result DescriptionDescription
failfail Authentification explicite de message ayant échoué (le domaine d’envoi a publié des enregistrements de façon explicite dans DNS), ou authentification implicite (le domaine d’envoi n’ayant pas publié d’enregistrement dans DNS, Office 365 a interpolé le résultat comme s’il en avait publié).Message failed explicit authentication (sending domain published records explicitly in DNS) or implicit authentication (sending domain did not publish records in DNS, so Office 365 interpolated the result as if it had published records).
passpass Authentification explicite de message transmis (le message a franchi le filtrage DMARC ou Best Guess Passed DMARC), ou authentification implicite à niveau de confiance élevé (le domaine n’a pas publié d’enregistrement d’authentification de courrier mais Office 365 a des signaux forts indiquant que le message est probablement légitime).Message passed explicit authentication (message passed DMARC, or Best Guess Passed DMARC) or implicit authentication with high confidence (sending domain does not publish email authentication records, but Office 365 has strong backend signals to indicate the message is likely legitimate).
softpasssoftpass Le message a passé l’authentification implicite avec un niveau de confiance faible à moyen (si le domaine d’envoi ne publie pas d’authentification de courrier, Office 365 a des signaux indiquant que le message est légitime mais que la force du signal est plus faible).Message passed implicit authentication with low-to-medium confidence (sending domain does not publish email authentication, but Office 365 has backend signals to indicate the message is legitimate but the strength of the signal is weaker).
nonenone Le message ne s’est pas authentifié (ou s’est authentifié mais ne s’alignait pas), mais l’authentification composite n’a pas été appliquée en raison de la réputation de l’expéditeur ou d’autres facteurs.Message did not authenticate (or it did authenticate but did not align), but composite authentication not applied due to sender reputation or other factors.
RaisonReason DescriptionDescription
0xx0xx Le message a échoué à l’authentification composite.Message failed composite authentication.
000 signifie que le message a échoué au filtrage DMARC, et déclenché une action de rejet ou de mise en quarantaine.000 means the message failed DMARC with an action of reject or quarantine.
001 signifie que le message a échoué à l’authentification de courrier implicite.001 means the message failed implicit email authentication. Cela signifie que le domaine d’envoi n’a pas publié d’enregistrement d’authentification de courrier ou, s’il la fait, que sa stratégie en cas d’échec était plus faible (erreur SPF récupérable ou neutre, stratégie DMARC p=aucune).This means that the sending domain did not have email authentication records published, or if they did, they had a weaker failure policy (SPF soft fail or neutral, DMARC policy of p=none).
002 signifie que l’organisation a une stratégie pour la paire expéditeur/domaine qui interdit explicitement l’envoi d’e-mails usurpés, ce paramètre étant défini manuellement par un administrateur.002 means the organization has a policy for the sender/domain pair that is explicitly prohibited from sending spoofed email, this setting is manually set by an administrator.
010 signifie que le message a échoué au filtrage DMARC, et déclenché une action de rejet ou de mise en quarantaine, et que le domaine d’envoi est l’un des domaines acceptés de l’organisation (cela fait partie de l’usurpation self-to-self, ou intra-organisationnelle).010 means the message failed DMARC with an action of reject or quarantine, and the sending domain is one of your organization's accepted-domains (this is part of self-to-self, or intra-org, spoofing).
011 signifie que le message a échoué à l’authentification de courrier implicite et que le domaine d’envoi est l’un des domaines acceptés de l’organisation (cela fait partie de l’usurpation self-to-self, ou intra-organisationnelle).011 means the message failed implicit email authentication, and the sending domain is one of your organization's accepted domains (this is part of self-to-self, or intra-org, spoofing).
Tous les autres codes (1xx, 2xx, 3xx, 4xx, 5xx)All other codes (1xx, 2xx, 3xx, 4xx, 5xx) Correspond à divers codes internes expliquant pourquoi un message ayant passé l’authentification implicite ou n’ayant fait l’objet d’aucune authentification n’a pas déclenché d’action.Corresponds to various internal codes for why a message passed implicit authentication, or had no authentication but no action was applied.

En examinant les en-têtes d’un message, un administrateur, voire un destinataire, peut déterminer comment Office 365 en arrive à la conclusion que l’identité de l’expéditeur peut être usurpée.By looking at the headers of a message, an administrator or even an end user can determine how Office 365 arrives at the conclusion that the sender may be spoofed.

Différenciation des différents types d’usurpationsDifferentiating between different types of spoofing

Microsoft distingue deux types de messages d’usurpation d’identité :Microsoft differentiates between two different types of spoofing messages:

Usurpation intra-organisationnelleIntra-org spoofing

Également appelée usurpation self-to-self, elle se produit lorsque le domaine figurant dans l’adresse De : est identique au domaine du destinataire ou aligné sur celui-ci (lorsque le domaine du destinataire est l’un des Domaines acceptés par l’organisation), ou lorsque le domaine figurant dans l’adresse De : fait partie de la même organisation.Also known as self-to-self spoofing, this occurs when the domain in the From: address is the same as, or aligns with, the recipient domain (when recipient domain is one of your organization's Accepted Domains); or, when the domain in the From: address is part of the same organization.

Par exemple, l’expéditeur et le destinataire du message suivant appartiennent au même domaine (contoso.com).For example, the following has sender and recipient from the same domain (contoso.com). (Des espaces sont insérées dans les adresses de courrier pour empêcher d’éventuels bots de spam de prélever celles-ci sur cette page) :Spaces are inserted into the email address to prevent spambot harvesting on this page):

De: expéditeur @ contoso.comFrom: sender @ contoso.com

À : destinataire @ contoso.comTo: recipient @ contoso.com

Dans l’exemple suivant, les domaines de l’expéditeur et du destinataire sont alignés sur le domaine de l’organisation (fabrikam.com) :The following has the sender and recipient domains aligning with the organizational domain (fabrikam.com):

De : expéditeur @ foo.fabrikam.comFrom: sender @ foo.fabrikam.com

À : destinataire @ bar.fabrikam.comTo: recipient @ bar.fabrikam.com

Dans l’exemple suivant, les domaines de l’expéditeur et du destinataire sont différents (microsoft.com et bing.com), mais ils appartiennent à la même organisation (ce qui signifie que tous deux font partie des domaines acceptés de l’organisation) :The following sender and recipient domains are different (microsoft.com and bing.com), but they belong to the same organization (that is, both are part of the organization's Accepted Domains):

De: expéditeur @ microsoft.comFrom: sender @ microsoft.com

À : destinataire @ bing.comTo: recipient @ bing.com

Les messages qui échouent au filtrage d’usurpation intra-organisationnelle contiennent les valeurs suivantes dans les en-têtes :Messages that fail intra-org spoofing contain the following values in the headers:

X-Forefront-Antispam-Report: ...CAT:SPM/HSPM/PHSH;...SFTY:9.11X-Forefront-Antispam-Report: ...CAT:SPM/HSPM/PHSH;...SFTY:9.11

CAT correspond à la catégorie du message qui est normalement SPM (courrier indésirable), mais peut parfois être HSPM (courrier fortement suspecté d’être indésirable) ou de PHSH (hameçonnage), en fonction des autres types de structures présents dans le message.The CAT is the category of the message, and it is normally stamped as SPM (spam), but occasionally may be HSPM (high confidence spam) or PHISH (phishing) depending upon what other types of patterns occur in the message.

SFTY indique le niveau de sécurité du message. Le premier chiffre (9) signifie que le message est du hameçonnage, et les deux chiffres après le point (11) qu’il s’agit d’une usurpation d’identité intra-organisationnelle.The SFTY is the safety level of the message, the first digit (9) means the message is phishing, and second set of digits after the dot (11) means it is intra-org spoofing.

Il n’y a pas de code de motif spécifique en lien avec l’authentification composite pour l’usurpation d’identité intra-organisationnelle. Un tel code sera estampillé plus tard en 2018 (calendrier non encore défini).There is no specific reason code for Composite Authentication for intra-org spoofing, that will be stamped later in 2018 (timeline not yet defined).

Usurpation inter-domainesCross-domain spoofing

Cela se produit lorsque le domaine d’envoi figurant dans l’adresse De : est un domaine externe à l’organisation destinataire.This occurs when the sending domain in the From: address is an external domain to the receiving organization. Les en-têtes des messages qui échouent à l’authentification composite en raison d’une usurpation inter-domaines contiennent les valeurs suivantes :Messages that fail Composite Authentication due to cross-domain spoofing contain the following values in the headers:

Authentication-Results: …Authentication-Results: … compauth=fail reason=000/001compauth=fail reason=000/001

X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

Dans les deux cas, le conseil de sécurité rouge suivant est estampillé dans le message, ou un conseil équivalent personnalisé en fonction de la langue de la boîte aux lettres du destinataire :In both cases, the following red safety tip is stamped in the message, or an equivalent that is customized to the recipient mailbox's language:

Conseil de sécurité rouge – détection de fraude

Il n’est possible de faire la différence entre une usurpation intra-organisationnelle et une usurpation inter-domaines qu’en regardant l’adresse De : et en connaissant l’adresse e-mail du destinataire, ou en inspectant les en-têtes de l’e-mail.It's only by looking at the From: address and knowing what your recipient email is, or by inspecting the email headers, that you can differentiate between intra-org and cross-domain spoofing.

Comment les clients d’Office 365 peuvent se préparer à la nouvelle protection contre l’usurpation d’identitéHow customers of Office 365 can prepare themselves for the new anti-spoofing protection

Informations pour les administrateursInformation for administrators

En tant qu’administrateur d’une organisation dans Office 365, vous devez connaître plusieurs informations essentielles.As an administrator of an organization in Office 365, there are several key pieces of information you should be aware of.

Pourquoi l’authentification du courrier ne suffit pas toujours pour empêcher l’usurpationUnderstanding why email authentication is not always enough to stop spoofing

La nouvelle protection contre l’usurpation d’identité s’appuie sur l’authentification de courrier (SPF, DKIM et DMARC) pour ne pas marquer un message comme usurpant une identité.The new anti-spoofing protection relies on email authentication (SPF, DKIM, and DMARC) to not mark a message as spoofing. Un exemple courant est quand un domaine d’envoi n’a jamais publié d’enregistrements SPF.A common example is when a sending domain has never published SPF records. À défaut d’enregistrements SPF ou si les enregistrements ne sont pas correctement configurés, un message envoyé est marqué comme usurpé, sauf si Microsoft dispose de renseignement indiquant que le message est légitime.If there are no SPF records or they are incorrectly set up, a sent message will be marked as spoofed unless Microsoft has back-end intelligence that says the message is legitimate.

Par exemple, avant le déploiement de la détection d’usurpation d’identité, un message pouvait ressembler à ce qui suit sans enregistrement SPF, DKIM ou DMARC :For example, prior to anti-spoofing being deployed, a message may have looked like the following with no SPF record, no DKIM record, and no DMARC record:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Après déploiement de la détection d’usurpation d’identité, si vous disposez d’Office 365 Entreprise E5, d’Exchange Online Protection ou d’Advanced Threat Protection, la valeur compauth est estampillée :After anti-spoofing, if you have Office 365 Enterprise E5, EOP, or ATP, the compauth value is stamped:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Si example.com corrigeait cela en configurant un enregistrement SPF mais pas d’enregistrement DKIM, l’authentification composite était transmise, car le domaine transmettant SPF correspondait au domaine figurant dans l’adresse De :.If example.com fixed this by setting up an SPF record but not a DKIM record, this would pass composite authentication because the domain that passed SPF aligned with the domain in the From: address:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Ou bien, s’ils configuraient un enregistrement DKIM mais pas d’enregistrement SPF, l’authentification composite était également transmise parce que le domaine dans la signature DKIM qui transmettait correspondait au domaine dans l’adresse De :.Or, if they set up a DKIM record but not an SPF record, this would also pass composite authentication because the domain in the DKIM-Signature that passed aligned with the domain in the From: address:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Cependant, un hameçonneur peut également configurer SPF et DKIM, et signer le message avec son propre domaine, mais spécifier un autre domaine dans l’adresse De :.However, a phisher may also set up SPF and DKIM and sign the message with their own domain, but specify a different domain in the From: address. Ni SPF, ni DKIM n’exigeant que le domaine corresponde au domaine indiqué dans l’adresse De:, si example.com n’a pas publié d’enregistrements DMARC, les messages ne sont pas marqués comme usurpés à l’aide de DMARC :Neither SPF nor DKIM requires the domain to align with the domain in the From: address, so unless example.com published DMARC records, this would not be marked as a spoof using DMARC:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Dans le client de courrier (Outlook, Outlook sur le web ou tout autre client), seul le domaine De : est affiché, pas le domaine dans SPF ou DKIM, ce qui peut induire l’utilisateur en erreur en lui faisant croire que le message provient d’example. com, alors qu’il provient en réalité de DomaineMalveillant.com.In the email client (Outlook, Outlook on the web, or any other email client), only the From: domain is displayed, not the domain in the SPF or DKIM, and that can mislead the user into thinking the message came from example.com, but actually came from maliciousDomain.com.

Message authentifié mais le domaine De : ne correspond pas à ce qu’ont transmis SPF ou DKIM

Pour cette raison, Office 365 requiert que le domaine dans l’adresse De : corresponde à celui figurant dans la signature SPF ou DKIM et, dans le cas contraire, que le message contienne d’autres signaux internes indiquant qu’il est légitime.For that reason, Office 365 requires that the domain in the From: address aligns with the domain in the SPF or DKIM signature, and if it doesn't, contains some other internal signals that indicates that the message is legitimate. Autrement, le message constitue un échec compauth.Otherwise, the message would be a compauth fail.

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

Ainsi, le dispositif de détection d’usurpation d’identité d’Office 365 protège contre les domaines sans authentification ainsi que contre les domaines qui configurent une authentification mais ne correspondent pas au domaine figurant dans l’adresse d’expédition, puisqu’il s’agit de l’adresse que l’utilisateur voit et considère comme étant celle de l’expéditeur du message.Thus, Office 365 anti-spoofing protects against domains with no authentication, and against domains who set up authentication but mismatch against the domain in the From: address as that is the one that the user sees and believes is the sender of the message. Cela vaut tant pour les domaines externes à votre organisation que pour les domaines internes.This is true both of domains external to your organization, as well as domains within your organization.

Par conséquent, si vous recevez un message qui a échoué à l’authentification composite et est marqué comme usurpant une identité, même si le message a franchi les filtrages SPF et DKIM, c’est parce que le domaine de ce message ne correspond pas au domaine indiqué dans l’adresse De:.Therefore, if you ever receive a message that failed composite authentication and is marked as spoofed, even though the message passed SPF and DKIM, it's because the domain that passed SPF and DKIM are not aligned with the domain in the From: address.

Compréhension des modifications apportées à la manière dont les e-mails usurpant une identité sont traitésUnderstanding changes in how spoofed emails are treated

Actuellement, pour toutes les organisations utilisant Office 365, avec ou sans Advanced Threat Protection, les messages qui échouent au filtrage DMARC avec une stratégie de rejet ou de mise en quarantaine sont considérés comme du courrier indésirable et déclenchent généralement l’action anti-courrier fortement suspecté d’être indésirable, ou parfois l’action anti-courrier indésirable ordinaire (selon que d’autres règles de courrier indésirable ont identifié ou non les messages comme étant du courrier indésirable).Currently, for all organizations in Office 365 - ATP and non-ATP - messages that fail DMARC with a policy of reject or quarantine are marked as spam and usually take the high confidence spam action, or sometimes the regular spam action (depending on whether other spam rules first identify it as spam). Les détections d’usurpation intra-organisationnelle déclenchent l’action anti-courrier indésirable ordinaire.Intra-org spoof detections take the regular spam action. Ce comportement n’a pas besoin d’être activé, car il ne peut pas être désactivé.This behavior does not need to be enabled, nor can it be disabled.

En revanche, pour les messages d’usurpation inter-domaines, avant cette modification, ils étaient soumis à des contrôles réguliers en lien avec le courrier indésirable, le hameçonnage et les programmes malveillants et, si d’autres parties du filtre les identifiaient comme suspects, ils étaient marqués respectivement comme courrier indésirable, hameçonnage ou programme malveillant.However, for cross-domain spoofing messages, before this change they would go through regular spam, phish, and malware checks and if other parts of the filter identified them as suspicious, would mark them as spam, phish, or malware respectively. Avec la nouvelle détection d’usurpation d’identité inter-domaines, tout message qui ne peut pas être authentifié déclenche par défaut l’action définie dans la stratégie Anti-hameçonnage > Détection d’usurpation d’identité.With the new cross-domain spoofing protection, any message that can't be authenticated will, by default, take the action defined in the Anti-phishing > Anti-spoofing policy. Si un message n’est pas défini, il est déplacé vers le dossier de courrier indésirable de l’utilisateur.If one is not defined, it will be moved to a users Junk Email folder. Dans certains cas, le conseil de sécurité rouge est également ajouté à d’autres messages suspects.In some cases, more suspicious messages will also have the red safety tip added to the message.

Cela peut avoir pour conséquence que certains messages qui étaient précédemment marqués comme courrier indésirable le soient toujours, mais reçoivent désormais un conseil de sécurité rouge. Dans d’autres cas, les messages précédemment marqués comme n’étant pas du courrier indésirable commencent à être marqués comme courrier indésirable (CAT:SPOOF) avec ajout d’un conseil de sécurité rouge.This may result in some messages that were previously marked as spam still getting marked as spam but will now also have a red safety tip; in other cases, messages that were previously marked as non-spam will start getting marked as spam (CAT:SPOOF) with a red safety tip added. Dans d’autres cas encore, des clients qui mettaient tous les courriers indésirables et hameçonnages en quarantaine les verront désormais placés dans le dossier Courrier indésirable (ce comportement peut être modifié ; voir Modification de vos paramètres de détection d’usurpation d’identité).In still other cases, customers that were moving all spam and phish to the quarantine would now see them going to the Junk Mail Folder (this behavior can be changed, see Changing your anti-spoofing settings).

Un message peut usurper une identité de différentes façons (voir Différenciation des différents types d’usurpations plus haut dans cet article) mais, depuis mars 2018, la manière dont Office 365 traite ces messages n’est pas encore unifiée.There are multiple different ways a message can be spoofed (see Differentiating between different types of spoofing earlier in this article) but as of March 2018 the way Office 365 treats these messages is not yet unified. Le tableau suivant résume brièvement la situation avec la protection contre l’usurpation d’identité inter-domaines en tant que nouveau comportement :The following table is a quick summary, with Cross-domain spoofing protection being new behavior:

Type d’usurpationType of spoof CatégorieCategory Conseil de sécurité ajouté ?Safety tip added? S’applique àApplies to
Échec DMARC (mise en quarantaine ou rejet)DMARC fail (quarantine or reject)
HSPM (par défaut), peut également être SPM ou PHSHHSPM (default), may also be SPM or PHSH
Non (pas encore)No (not yet)
Tous les clients d’Office 365, Outlook.comAll Office 365 customers, Outlook.com
Self-to-selfSelf-to-self
SPMSPM
OuiYes
Toutes les organisations Office 365, Outlook.comAll Office 365 organizations, Outlook.com
Inter-domainesCross-domain
SPOOFSPOOF
OuiYes
Clients d’Office 365 - Protection avancée contre les menaces et d’E5Office 365 Advanced Threat Protection and E5 customers

Modification de vos paramètres de détection d’usurpation d’identitéChanging your anti-spoofing settings

Pour créer ou mettre à jour vos paramètres de détection d’usurpation d’identité (inter-domaines), dans le Centre de sécurité et de conformité, sous l’onglet Gestion des menaces > Stratégie, accédez aux paramètres Anti-hameçonnage > Détection d’usurpation d’identité.To create or update your (cross-domain) anti-spoofing settings, navigate to the Anti-phishing > Anti-spoofing settings under the Threat Management > Policy tab in the Security & Compliance Center. Si vous n’avez jamais créé de paramètres anti-hameçonnage, vous devez en créer un :If you have never created any anti-phishing settings, you will need to create one:

Anti-hameçonnage – Créer une stratégie

Si vous avez déjà créé une stratégie, vous pouvez la sélectionner pour la modifier :If you've already created one, you can select it to modify it:

Anti-hameçonnage – Modifier une stratégie existante

Sélectionnez la stratégie que vous venez de créer, puis suivez les étapes décrites dans la section En savoir plus sur l’usurpation d’identité.Select the policy you just created and proceed through the steps as described in Learn more about spoof intelligence.

Activer ou désactiver la détection d’usurpation d’identité

Activer ou désactiver les conseils de sécurité de la détection d’usurpation d’identité

Pour créer une nouvelle stratégie à l’aide de PowerShell :To create a new policy by using PowerShell:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

Vous pouvez ensuite modifier les paramètres de stratégie anti-hameçonnage à l’aide de PowerShell, en suivant la documentation sur la cmdlet Set-AntiphishPolicy.You may then modify the anti-phishing policy parameters using PowerShell, following the documentation at Set-AntiphishPolicy. Vous pouvez spécifier le $name en tant que paramètre :You may specify the $name as a parameter:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

Depuis 2018, au lieu que vous ayez à créer une stratégie par défaut, une stratégie est créée pour vous et étendue à tous les destinataires au sein de votre organisation. Vous n’avez donc pas besoin de la spécifier manuellement (les captures d’écran peuvent différer légèrement de l’implémentation finale).Later in 2018, rather than you having to create a default policy, one will be created for you that is scoped to all the recipients in your organization so you don't have to specify it manually (the screenshots below are subject to change before the final implementation).

Stratégie de anti-hameçonnage par défaut

À la différence d’une stratégie que vous créez, vous ne pouvez pas supprimer la stratégie par défaut, modifier sa priorité ou choisir les utilisateurs, domaines ou groupes auxquels l’étendre.Unlike a policy that you create, you cannot delete the default policy, modify its priority, or choose which users, domains, or groups to scope it to.

Détails de la stratégie de anti-hameçonnage par défaut

Pour configurer votre protection par défaut à l’aide de PowerShell :To set up your default protection by using PowerShell:

$defaultAntiphishPolicy = Get-AntiphishPolicy | ? {$_.IsDefault -eq $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

Vous ne devez désactiver la protection contre l’usurpation d’identité que si vous avez un ou plusieurs autres serveurs de messagerie devant Office 365 (pour plus de détails, voir Scénarios légitimes pour désactiver la protection contre l’usurpation d’identité).You should only disable anti-spoofing protection if you have another mail server or servers in front of Office 365 (see Legitimate scenarios to disable anti-spoofing for more details).

$defaultAntiphishPolicy = Get-AntiphishiPolicy | ? {$_.IsDefault $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

Important

Si Office 365 est en première ligne dans le chemin d’accès au courrier et que vous recevez trop d’e-mails légitimes marqués comme usurpant une identité, vous devez commencer par définir les expéditeurs autorisés à envoyer ce type de courrier à votre domaine (voir la section « Gestion des expéditeurs légitimes qui envoient du courrier non authentifié »).If the first hop in your email path is Office 365, and you are getting too many legitimate emails marked as spoof, you should first set up your senders that are allowed to send spoofed email to your domain (see the section "Managing legitimate senders who are sending unauthenticated email" ). Si vous recevez encore trop de faux positifs (c’est-à-dire des messages légitimes marqués comme usurpant une identité), nous ne recommandons PAS de désactiver complètement la protection contre l’usurpation d’identité.If you are still getting too many false positives (that is, legitimate messages marked as spoof), we do NOT recommend disabling anti-spoofing protection altogether. Au lieu de cela, nous vous recommandons de choisir une protection De base plutôt que Haute.Instead, we recommend choosing Basic instead of High protection. Mieux vaut s’accommoder de faux positifs que d’exposer votre organisation à du courrier usurpant des identités, ce qui pourrait finir par occasionner des coûts beaucoup plus élevés à long terme.It is better to work through false positives than to expose your organization to spoofed email which could end up imposing significantly higher costs in the long term.

Gestion des expéditeurs légitimes qui envoient du courrier non authentifiéManaging legitimate senders who are sending unauthenticated email

Office 365 conserve la trace des personnes qui envoient du courrier non authentifié à votre organisation.Office 365 keeps track of who is sending unauthenticated email to your organization. Si le service considère que l’expéditeur n’est pas légitime, il le marque en tant qu’échec compauth.If the service thinks the sender is not legitimate, it will mark it as a compauth failure. Ce courrier est classé comme usurpation (SPOOF), bien que cela dépende de votre stratégie de détection d’usurpation d’identité appliquée au message.This will be classified as SPOOF although it depends on your anti-spoofing policy that was applied to the message.

Toutefois, en tant qu’administrateur, vous pouvez spécifier les expéditeurs autorisés à envoyer du courrier usurpant une identité en infirmant la décision d’Office 365.However, as an administrator, you can specify which senders are permitted to send spoofed email, overriding Office 365's decision.

Méthode 1 : si votre organisation est propriétaire du domaine, configurez l’authentification du courrierMethod 1 - If your organization owns the domain, set up email authentication

Cette méthode permet de résoudre l’usurpation d’identité intra-organisationnelle et inter-domaines dans les cas où vous interagissez avec plusieurs locataires.This method can be used to resolve intra-org spoofing, and cross-domain spoofing in cases where you own or interact with multiple tenants. Cela aide également à résoudre l’usurpation inter-domaines lorsque vous envoyez du courrier à d’autres clients au sein d’Office 365, ainsi qu’à des tiers hébergés chez d’autres fournisseurs.It also helps resolve cross-domain spoofing where you send to other customers within Office 365, and also third parties that are hosted in other providers.

Pour plus d’informations, voir Clients d’Office 365 .For more details, see Customers of Office 365.

Méthode 2 : utiliser la veille contre l’usurpation d’identité pour configurer les expéditeurs autorisés de courrier non authentifié.Method 2 - Use Spoof intelligence to configure permitted senders of unauthenticated email

Vous pouvez également utiliser la Veille contre l’usurpation d’identité pour autoriser des expéditeurs à transmettre des messages non authentifiés à votre organisation.You can also use Spoof Intelligence to permit senders to transmit unauthenticated messages to your organization.

Pour des domaines externes, l’utilisateur usurpé est le domaine dans l’adresse de l’expéditeur, tandis que l’infrastructure d’envoi est soit l’adresse IP d’envoi (divisée en 24 plages CIDR), soit le domaine organisationnel de l’enregistrement PTR (dans la capture d’écran ci-dessous, l’adresse IP d’envoi pourrait être 131.107.18.4 dont l’enregistrement PTR est outbound.mail.protection.outlook.com, qui apparaîtrait comme outlook.com pour l’infrastructure d’envoi).For external domains, the spoofed user is the domain in the From address, while the sending infrastructure is either the sending IP address (divided up into /24 CIDR ranges), or the organizational domain of the PTR record (in the screenshot below, the sending IP might be 131.107.18.4 whose PTR record is outbound.mail.protection.outlook.com, and this would show up as outlook.com for the sending infrastructure).

Pour autoriser cet expéditeur à envoyer un courrier non authentifié, remplacez Non par Oui.To permit this sender to send unauthenticated email, change the No to a Yes.

Définition des expéditeurs autorisés par la paramètre

Vous pouvez également utiliser PowerShell pour autoriser un expéditeur spécifique à usurper l’identité de votre domaine :You can also use PowerShell to allow specific sender to spoof your domain:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

Obtention d’expéditeurs usurpés de Powershell

Dans l’image précédente, des sauts de ligne supplémentaires ont été ajoutés pour faciliter la lisibilité de cette capture d’écran.In the previous image, additional line breaks have been added to make this screenshot fit. Normalement, toutes les valeurs apparaissent sur une seule ligne.Normally, all the values would appear on a single line.

Editez le fichier et recherchez la ligne correspondant à outlook.com et bing.com, puis modifiez l’entrée AllowedToSpoof de Non à Oui :Edit the file and look for the line that corresponds to outlook.com and bing.com, and change the AllowedToSpoof entry from No to Yes:

Définition de l’autorisation d’usurpation sur Oui dans Powershell

Enregistrez le fichier, puis exécutez la cmdlet suivante :Save the file, and then run:

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"
Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

Cela permettra désormais à bing.com d’envoyer du courrier non authentifié à partir de *.outlook.com.This will now allow bing.com to send unauthenticated email from *.outlook.com.

Méthode 3 : créer une entrée d’autorisation pour la paire expéditeur/destinataireMethod 3 - Create an allow entry for the sender/recipient pair

Vous pouvez également choisir d’ignorer tout filtrage du courrier indésirable pour un expéditeur particulier.You can also choose to bypass all spam filtering for a particular sender. Pour plus d’informations, voir Comment ajouter en toute sécurité un expéditeur à une liste d’autorisation dans Office 365.For more details, see How to securely add a sender to an allow list in Office 365.

Si vous utilisez cette méthode, le courrier indésirable et une partie du filtrage du hameçonnage sont ignorés, mais pas le filtrage des programmes malveillants.If you use this method, it will skip spam and some of the phish filtering, but not malware filtering.

Méthode 4 : contacter l’expéditeur pour lui demander de configurer l’authentification du courrierMethod 4 - Contact the sender and ask them to set up email authentication

En raison du problème de courrier indésirable et de hameçonnage, Microsoft recommande à tous les expéditeurs de configurer l’authentification du courrier.Because of the problem of spam and phishing, Microsoft recommends all senders set up email authentication. Si vous connaissez un administrateur du domaine d’envoi, contactez-le pour lui demander de configurer des enregistrements d’authentification du courrier afin que vous n’ayez pas à ajouter un contournement.If you know an administrator of the sending domain, contact them and request that they set up email authentication records so you do not have to add any overrides. Pour plus d’informations, voir Administrateurs de domaines qui ne sont pas des clients d’Office 365 plus loin dans cet article.For more information, see Administrators of domains that are not Office 365 customers" later in this article.

S’il peut être difficile au début d’obtenir des domaines d’envoi qu’ils s’authentifient, avec le temps, à mesure que de plus en plus de filtres de courrier considéreront leurs e-mails comme indésirables, voire les rejetteront, ils seront amenés à configurer les enregistrements appropriés pour améliorer la remise.While it may be difficult at first to get sending domains to authenticate, over time, as more and more email filters start junking or even rejecting their email, it will cause them to set up the proper records to ensure better delivery.

Affichage de rapports sur le nombre de messages marqués comme usurpésViewing reports of how many messages were marked as spoofed

Une fois votre stratégie de détection d’usurpation d’identité activée, vous pouvez utiliser l’enquête relative aux menaces pour obtenir des chiffres indiquant le nombre de messages marqués comme tentatives de hameçonnage.Once your anti-spoofing policy is enabled, you can use threat investigation and response capabilities to get numbers around how many messages are marked as phish. Pour ce faire, sous l’Explorateur&du Centre de Sécurité et de Conformité (CSC) relatif à la Gestion des Menaces>, définissez l’Affichage sur Hameçonnage, puis groupez par Domaine de l’expéditeur ou État de la protection :To do this, go into the Security & Compliance Center (SCC) under Threat Management > Explorer, set the View to Phish, and group by Sender Domain or Protection Status:

Affichage du nombre de messages marqués comme hameçonnage

Vous pouvez interagir avec les différents rapports pour voir combien de messages ont été marqués comme hameçonnage, y compris les messages marqués comme SPOOF.You can interact with the various reports to see how many were marked as phishing, including messages marked as SPOOF. Pour en savoir plus, voir Prise en main d’Office 365 Enquête relative aux Menaces et réponse.To learn more, see Get started with Office 365 Threat investigation and response.

Vous ne pouvez pas encore discriminer des messages marqués en raison d’une usurpation par opposition à d’autres types de hameçonnages (hameçonnage général, emprunt d’identité de domaine ou d’utilisateur, etc.).You can't yet split out which messages were marked due to spoofing as opposed to other types of phishing (general phishing, domain or user impersonation, and so on). En revanche, vous pourrez le faire ultérieurement via le Centre de sécurité et de conformité.However, later, you will be able to do this through the Security & Compliance Center. Lorsque vous le ferez, vous pourrez utiliser ce rapport comme point de départ pour identifier les domaines d’envoi susceptibles d’être légitimes mais signalés comme usurpant une identité en raison d’un échec d’authentification.Once you do, you can use this report as a starting place to identify sending domains that may be legitimate that are being marked as spoof due to failing authentication.

La capture d’écran suivante pourrait différer de la version publiée :The following screenshot is a proposal for how this data will look, but may change when released:

Affichage des rapports de hameçonnage par type de détection

Pour les clients autres qu’Advanced Threat Protection et E5, ces rapports seront disponibles ultérieurement sous les rapports d’État de la protection contre les menaces, mais seront retardés d’au moins 24 heures.For non-ATP and E5 customers, these reports will be available later under the Threat Protection Status (TPS) reports, but will be delayed by at least 24 hours. Cette page sera mise à jour au fur et à mesure de leur intégration dans le Centre de sécurité et de conformité.This page will be updated as they are integrated into the Security & Compliance Center.

Prédiction du nombre de messages qui seront marqués comme usurpant une identitéPredicting how many messages will be marked as spoof

Quand Office 365 aura mis à jour ses paramètres pour vous permettre de désactiver la détection d’usurpation d’identité ou de l’activer avec l’application De base ou Élevée, vous aurez la possibilité de voir comment la disposition des messages changera en fonction des différents paramètres.Once Office 365 updates its settings to let you turn the anti-spoofing enforcement Off, or on with Basic or High enforcement, you will be given the ability to see how message disposition will change at the various settings. Cela signifie que, si la détection d’usurpation d’identité est désactivée, vous pourrez voir combien de messages seront détectés comme Usurpation si vous passez à l’application De base. Ou bien, si l’application De base est activée, vous pourrez voir combien de messages supplémentaires seront détectés comme Usurpation si vous la réglez sur Elevée.That is, if anti-spoofing is Off, you will be able to see how many messages will be detected as Spoof if you turn to Basic; or, if it's Basic, you will be able to see how many more messages will be detected as Spoof if you turn it to High.

Cette fonctionnalité est en cours de développement.This feature is currently under development. À mesure que davantage de détails seront définis, cette page sera mise à jour avec des captures d’écran du Centre de sécurité et conformité ainsi qu’avec des exemples PowerShell.As more details are defined, this page will be updated both with screenshots of the Security and Compliance Center, and with PowerShell examples.

Rapport « What If » pour activer la détection d’usurpation d’identité

Expérience utilisateur possible pour autoriser un expéditeur usurpé

Scénarios légitimes pour désactiver la détection d’usurpation d’identitéLegitimate scenarios to disable anti-spoofing

La détection d’usurpation d’identité protégeant mieux les clients contre les attaques par hameçonnage, il est fortement déconseillé de la désactiver.Anti-spoofing better protects customers from phishing attacks, and therefore disabling anti-spoofing protection is strongly discouraged. Sa désactivation peut résoudre certains faux positifs à court terme, mais à long terme, vous serez exposé à davantage de risques.By disabling it, you may resolve some short-term false positives, but long term you will be exposed to more risk. Le coût de la configuration de l’authentification côté expéditeur, ou de l’apport d’ajustements aux stratégies anti-hameçonnage, est généralement de quelques événements ponctuels ou ne requiert qu’une maintenance périodique minimale.The cost for setting up authentication on the sender side, or making adjustments in the phishing policies, are usually one-time events or require only minimal, periodic maintenance. Par contre, le coût de récupération après une attaque par hameçonnage dans le cadre de laquelle des données ont été exposées ou des ressources compromises est beaucoup plus élevé.However, the cost to recover from a phishing attack where data has been exposed, or assets have been compromised is much higher.

C’est pourquoi, il est préférable de s’accommoder de faux positifs de détection d’usurpation d’identité plutôt que de désactiver la protection contre l’usurpation d’identité.For this reason, it is better to work through anti-spoofing false positives than to disable anti-spoof protection.

Cependant, il existe un scénario légitime dans lequel la détection d’usurpation d’identité devrait être désactivée, à savoir quand il existe des produits de filtrage du courrier supplémentaires dans le routage des messages et qu’Office 365 n’est pas en première ligne dans le chemin d’accès au courrier :However, there is a legitimate scenario where anti-spoofing should be disabled, and that is when there are additional mail-filtering products in the message routing, and Office 365 is not the first hop in the email path:

L’enregistrement MX du client ne pointe pas vers Office 365

L’autre serveur peut être un serveur de courrier Exchange local, un périphérique de filtrage du courrier tel qu’Ironport ou un autre service hébergé dans le cloud.The other server may be an Exchange on-premises mail server, a mail filtering device such as Ironport, or another cloud hosted service.

Si l’enregistrement MX du domaine de destinataire ne pointe pas vers Office 365, il n’est pas nécessaire de désactiver la détection d’usurpation d’identité car Office 365 recherche l’enregistrement MX de votre domaine de destination et supprime la détection d’usurpation d’identité s’il pointe vers un autre service.If the MX record of the recipient domain does not point to Office 365, then there is no need to disable anti-spoofing because Office 365 looks up your receiving domain's MX record and suppresses anti-spoofing if it points to another service. Si vous ignorez si votre domaine dispose d’un autre serveur frontal, vous pouvez utiliser un site web tel que MX Toolbox pour rechercher l’enregistrement MX.If you don't know if your domain has another server in front, you can use a website like MX Toolbox to look up the MX record. Le résultat pourrait ressembler à ceci :It might say something like the following:

L’enregistrement MX indique que le domaine ne pointe pas vers Office 365

Ce domaine possédant un enregistrement MX qui ne pointe pas vers Office 365, Office 365 n’appliquerait pas la détection d’usurpation d’identité.This domain has an MX record that does not point to Office 365, so Office 365 would not apply anti-spoofing enforcement.

Toutefois, si l’enregistrement MX du domaine destinataire pointe vers Office 365, même s’il existe un autre service devant Office 365, vous devez désactiver la détection d’usurpation d’identité.However, if the MX record of the recipient domain does point to Office 365, even though there is another service in front of Office 365, then you should disable anti-spoofing. L’exemple le plus courant est l’utilisation d’une réécriture de destinataire :The most common example is through the use of a recipient rewrite:

Diagramme de routage pour la réécriture de destinataire

L’enregistrement MX du domaine contoso.com pointe vers le serveur local, tandis que l’enregistrement MX du domaine @office365.contoso.net pointe vers Office 365 parce qu’il contient *.protection.outlook.com ou *.eo. outlook.com dans l’enregistrement MX :The domain contoso.com's MX record points to the on-premises server, while the domain @office365.contoso.net's MX record points to Office 365 because it contains *.protection.outlook.com, or *.eo.outlook.com in the MX record:

L’enregistrement MX pointe vers Office 365, donc probablement réécriture de destinataire

Veillez à bien distinguer quand un enregistrement MX de domaine de destinataire ne pointe pas vers Office 365 et quand il a subi une réécriture de destinataire.Be sure to differentiate when a recipient domain's MX record does not point to Office 365, and when it has undergone a recipient rewrite. Il est important de faire la différence entre ces deux cas.It is important to tell the difference between these two cases.

Si vous ignorez si votre domaine de destination a subi une réécriture de destinataire, vous pouvez parfois le déterminer en examinant les en-têtes dans le message.If you are unsure whether or not your receiving domain has undergone a recipient-rewrite, sometimes you can tell by looking at the message headers.

a) Premièrement, examinez les en-têtes dans le message pour déterminer le domaine du destinataire dans l’en-tête Authentication-Results :a) First, look at the headers in the message for the recipient domain in the Authentication-Results header:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

Le domaine du destinataire se trouve dans le texte rouge en gras ci-dessus. Il s’agit en l’occurrence d’office365.contoso.net.The recipient domain is found in the bold red text above, in this case office365.contoso.net. Cela peut différer du destinataire dans l’en-tête À:.This may be different that the recipient in the To: header:

À: Exemple de destinataire <destinataire @ contoso.com>To: Example Recipient <recipient @ contoso.com>

Effectuez une recherche dans l’enregistrement MX du domaine de destinataire réel.Perform an MX-record lookup of the actual recipient domain. Si l’enregistrement MX contient *.protection.outlook.com, mail.messaging.microsoft.com, *.eo.outlook.com ou mail.global.frontbridge.com, cela signifie qu’il pointe vers Office 365.If it contains *.protection.outlook.com, mail.messaging.microsoft.com, *.eo.outlook.com, or mail.global.frontbridge.com, that means that the MX points to Office 365.

Si l’enregistrement MX ne contient aucune de ces valeurs, cela signifie qu’il ne pointe pas vers Office 365.If it does not contain those values, then it means that the MX does not point to Office 365. Un outil que vous pouvez utiliser pour vérifier ceci est MX Toolbox.One tool you can use to verify this is MX Toolbox.

Pour cet exemple particulier, ce qui suit indique que contoso.com, le domaine qui ressemble au destinataire puisqu’il s’agit de l’en-tête À:, a un enregistrement MX pointant vers un serveur local :For this particular example, the following says that contoso.com, the domain that looks like the recipient since it was the To: header, has MX record points to an on-prem server:

L’enregistrement MX pointe vers un serveur local

Cependant, le destinataire réel est office365.contoso.net dont l’enregistrement MX ne pointe pas vers Office 365 :However, the actual recipient is office365.contoso.net whose MX record does point to Office 365:

L’enregistrement MX pointe vers Office 365, doit être une réécriture de destinataire

Par conséquent, ce message a probablement subi une réécriture de destinataire.Therefore, this message has likely undergone a recipient-rewrite.

b) Deuxièmement, veillez à distinguer les cas d’utilisation courants de réécritures de destinataire.b) Second, be sure to distinguish between common use cases of recipient rewrites. Si vous voulez réécrire le domaine du destinataire en *.onmicrosoft.com, réécrivez-le plutôt en *.mail.onmicrosoft.com.If you are going to rewrite the recipient domain to *.onmicrosoft.com, instead rewrite it to *.mail.onmicrosoft.com.

Une fois que vous avez identifié le domaine du destinataire final qui est routé derrière un autre serveur et si l’enregistrement MX du domaine du destinataire pointe réellement vers Office 365 (comme publié dans ses enregistrements DNS), vous pouvez désactiver la détection d’usurpation d’identité.Once you have identified the final recipient domain that is routed behind another server and the recipient domain's MX record actually points to Office 365 (as published in its DNS records), you may proceed to disable anti-spoofing.

N’oubliez pas que vous ne souhaitez pas désactiver la détection d’usurpation d’identité si la première ligne du domaine dans le chemin de routage est Office 365, mais uniquement s’il se trouve derrière un ou plusieurs services.Remember, you don't want to disable anti-spoofing if the domain's first hop in the routing path is Office 365, only when it's behind one or more services.

Comment désactiver la détection d’usurpation d’identitéHow to disable anti-spoofing

Si vous avez déjà créé une stratégie anti-hameçonnage, définissez le paramètre EnableAntispoofEnforcement sur $ false :If you already have an Anti-phishing policy created, set the EnableAntispoofEnforcement parameter to $false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false

Si vous ne connaissez pas le nom de la stratégie (ou des stratégies) à désactiver, vous pouvez les afficher :If you don't know the name of the policy (or policies) to disable, you can display them:

Get-AntiphishPolicy | fl Name

Si vous n’avez pas de stratégie anti-hameçonnage existante, vous pouvez en créer une, puis la désactiver (même si vous n’avez pas de stratégie, la détection d’usurpation d’identité est toujours appliquée; depuis 2018, une stratégie par défaut est créée pour vous, et vous pouvez la désactiver au lieu d’en créer une).If you don't have any existing anti-phishing policies, you can create one and then disable it (even if you don't have a policy, anti-spoofing is still applied; later on in 2018, a default policy will be created for you and you can then disable that instead of creating one). Vous devez faire cela en plusieurs étapes :You will have to do this in multiple steps:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains
# Finally, scope the anti-phishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false

La désactivation de la détection d’usurpation d’identité n’est disponible que via une cmdlet (elle sera disponible ultérieurement dans le Centre de conformité de la sécurité).Disabling anti-spoofing is only available via cmdlet (later it will be available in the Security & Compliance Center). Si vous n’avez pas accès à PowerShell, créez un ticket de support.If you do not have access to PowerShell, create a support ticket.

N’oubliez pas que cela ne doit s’appliquer qu’à des domaines soumis à un routage indirect lors de l’envoi à Office 365.Remember, this should only be applied to domains that undergo indirect routing when sent to Office 365. Résistez à la tentation de désactiver la détection d’usurpation d’identité à cause de certains faux positifs. Il est préférable à long terme de vous en accommoder.Resist the temptation to disable anti-spoofing because of some false positives, it will be better in the long run to work through them.

Informations pour les utilisateurs individuelsInformation for individual users

Les utilisateurs individuels sont limités dans leurs modes d’interaction avec le conseil de sécurité de détection d’usurpation d’identité.Individual users are limited in how they can interact with the anti-spoofing safety tip. Toutefois, vous disposez de plusieurs options pour résoudre les problèmes rencontrés dans les scénarios courants.However, there are several things you can do to resolve common scenarios.

Scénario courant n°1 - Listes de discussionCommon scenario #2 - Discussion lists

Les listes de discussion présentent des problèmes de détection d’usurpation d’identité en raison de la manière dont elles transmettent le message et en modifient le contenu tout en conservant l’adresse De : d’origine.Discussion lists are known to have problems with anti-spoofing due to the way they forward the message and modify its contents yet retain the original From: address.

Par exemple, supposez que votre adresse électronique est utilisateur @ contoso.com. L’observation des oiseaux vous intéresse et vous rejoignez la liste de discussion ornithologues @ example.com.For example, suppose your email address is user @ contoso.com, and you are interested in Bird Watching and join the discussion list birdwatchers @ example.com. Lorsque vous envoyez un message à cette liste de discussion, vous pouvez l’adresser comme suit :When you send a message to the discussion list, you might send it this way:

De : Alexandre Chauvin <utilisateur @ contoso.com>From: John Doe <user @ contoso.com>

À : Liste de discussion des ornithologues <ornithologues @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Objet : Superbe observation de geais bleus au sommet du Mont Rainier.Subject: Great viewing of blue jays at the top of Mt. Rainier cette semaineRainier this week

Quelqu’un veut-il voir l’observation de cette semaine au Mont Rainier.Anyone want to check out the viewing this week from Mt. Rainier ?Rainier?

Lorsque la liste des courriers reçoit le message, elle le met en forme, en modifie le contenu et le rediffuse au reste des membres de la liste de discussion composée de nombreux destinataires de courrier différents.When the email list receives the message, they format the message, modify its contents, and replay it to the rest of the members on the discussion list which is made up of participants from many different email receivers.

De : Alexandre Chauvin <utilisateur @ contoso.com>From: John Doe <user @ contoso.com>

À : Liste de discussion des ornithologues <ornithologues @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Objet : [ORNITHOLOGUES] Superbe observation de geais bleus au sommet du Mont Rainier cette semaine.Subject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier cette semaineRainier this week

Quelqu’un veut-il voir l’observation de cette semaine au Mont Rainier.Anyone want to check out the viewing this week from Mt. Rainier ?Rainier?


Ce message a été envoyé à la liste de discussion Ornithologues.This message was sent to the Birdwatchers Discussion List. Vous pouvez vous désabonner à tout moment.You can unsubscribe at any time.

Dans ce qui précède, le message rediffusé a la même adresse De : (utilisateur @ contoso.com), mais le message d’origine a été modifié en ajoutant une balise à la ligne Objet et un pied de page au bas du message.In the above, the replayed message has the same From: address (user @ contoso.com) but the original message has been modified by adding a tag to the Subject line, and a footer to the bottom of the message. Ce type de modification de message est courant dans les listes de diffusion et peut entraîner des faux positifs.This type of message modification is common in mailing lists, and may result in false positives.

Si vous ou un membre de votre organisation êtes administrateur de la liste de diffusion, vous pouvez peut-être la configurer pour qu’elle passe avec succès les contrôles de détection d’usurpation d’identité.If you or someone in your organization is an administrator of the mailing list, you may be able to configure it to pass anti-spoofing checks.

Si vous n’êtes pas propriétaire de la liste de diffusion :If you do not have ownership of the mailing list:

  • Vous pouvez demander au responsable de la liste de diffusion d’implémenter l’une des options ci-dessus (l’authentification du courrier doit également être configurée pour le domaine à partir duquel la liste de diffusion est relayée).You can request the maintainer of the mailing list to implement one of the options above (they should also have email authentication set up for the domain the mailing list is relaying from)

  • Vous pouvez créer des règles de boîte aux lettres dans votre client de courrier pour déplacer les messages vers la Boîte de réception.You can create mailbox rules in your email client to move messages to the Inbox. Vous pouvez également demander aux administrateurs de votre organisation de configurer des règles d’autorisation ou des contournements, comme décrit dans la section Gestion des expéditeurs légitimes qui envoient du courrier non authentifié.You can also request your organization's administrators to set up allow rules, or overrides as discussed in the section Managing legitimate senders who are sending unauthenticated email

  • Vous pouvez ouvrir un ticket de support auprès d’Office 365 pour créer un contournement afin que la liste de diffusion traite les messages comme légitimes.You can create a support ticket with Office 365 to create an override for the mailing list to treat it as legitimate

Autres scénariosOther scenarios

  1. Si aucun des scénarios courants ci-dessus ne s’applique à votre situation, signalez le message comme faux positif à Microsoft.If neither of the above common scenarios applies to your situation, report the message as a false positive back to Microsoft. Pour plus d’informations, voir la section Comment signaler des messages comme étant ou n’étant pas du courrier indésirable à Microsoft ? plus loin dans cet article.For more information, see the section How can I report spam or non-spam messages back to Microsoft? later in this article.

  2. Vous pouvez également contacter votre administrateur de courrier qui pourra ouvrir un ticket de support auprès de Microsoft.You may also contact your email administrator who can raise it as a support ticket with Microsoft. L’équipe d’ingénierie de Microsoft examinera pourquoi le message a été marqué comme usurpation d’identité.The Microsoft engineering team will investigate why the message was marked as a spoof.

  3. De plus, si vous connaissez l’expéditeur et êtes certain qu’il ne s’agit pas d’une usurpation d’identité malveillante, vous pouvez lui répondre en indiquant qu’il envoie des messages à partir d’un serveur de courrier qui ne s’authentifie pas.Additionally, if you know who the sender is and are confident they are not being maliciously spoofed, you may reply back to the sender indicating that they are sending messages from a mail server that does not authenticate. Cela a parfois pour conséquence que l’expéditeur d’origine contacte son administrateur informatique pour lui demander de configurer les enregistrements d’authentification de courrier requis.This sometimes results in the original sender contacting their IT administrator who will set up the required email authentication records.

Lorsque suffisamment d’expéditeurs répondent aux propriétaires de domaine qu’ils devraient configurer des enregistrements d’authentification de courrier, cela les incite à agir.When enough senders reply back to domain owners that they should set up email authentication records, it spurs them into taking action. Bien que Microsoft collabore avec les propriétaires de domaine pour les inciter à publier les enregistrements requis, c’est encore plus efficace lorsque des utilisateurs individuels le demandent.While Microsoft also works with domain owners to publish the required records, it helps even more when individual users request it.

  1. Ajoutez éventuellement l’expéditeur à votre liste des expéditeurs approuvés.Optionally, add the sender to your Safe Senders list. Toutefois, sachez que si un hameçonneur usurpe l’identité ce compte, le courrier sera remis à votre boîte aux lettres.However, be aware that if a phisher spoofs that account, it will be delivered to your mailbox. Par conséquent, cette option doit être utilisée avec parcimonie.Therefore, this option should be used sparingly.

Comment les expéditeurs de Microsoft doivent se préparer à la protection contre l’usurpation d’identitéHow senders to Microsoft should prepare for anti-spoofing protection

Si vous êtes un administrateur qui envoie des messages à Microsoft, Office 365 ou Outlook.com, vous devez vous assurer que votre courrier est correctement authentifié, sans quoi il risque d’être marqué comme courrier indésirable ou hameçonnage.If you are an administrator who currently sends messages to Microsoft, either Office 365 or Outlook.com, you should ensure that your email is properly authenticated otherwise it may be marked as spam or phish.

Clients d’Office 365Customers of Office 365

Si vous êtes un client Office 365 utilisant Office 365 pour envoyer du courrier :If you are an Office 365 customer and you use Office 365 to send outbound email:

Microsoft ne fournit pas de directives d’implémentation détaillées pour SPF, DKIM et DMARC.Microsoft does not provide detailed implementation guidelines for each of SPF, DKIM, and DMARC. Cependant, beaucoup d’informations sont publiées en ligne.However, there is a lot of information published online. Il existe également des sociétés tierces spécialisées dans l’aide à la configuration d’enregistrements d’authentification de courrier.There are also 3rd party companies dedicated to helping your organization set up email authentication records.

Administrateurs de domaines qui ne sont pas des clients d’Office 365Administrators of domains that are not Office 365 customers

Si vous êtes un administrateur de domaine mais n’êtes pas un client d’Office 365 :If you are a domain administrator but are not an Office 365 customer:

  • Vous devez configurer SPF pour publier les adresses IP d’envoi de votre domaine et configurer DKIM (si disponible) pour signer numériquement les messages.You should set up SPF to publish your domain's sending IP addresses, and also set up DKIM (if available) to digitally sign messages. Vous pouvez également envisager de configurer des enregistrements DMARC.You may also consider setting up DMARC records.

  • Si vous avez des expéditeurs de courrier en nombre qui transmettent du courrier pour votre compte, vous devez leur demander d’envoyer le courrier de manière à ce que le domaine d’envoi figurant dans l’adresse De: (s’il vous appartient) corresponde au domaine qui passe le filtrage SPF ou DMARC.If you have bulk senders who are transmitting email on your behalf, you should work with them to send email in a way such that the sending domain in the From: address (if it belongs to you) aligns with the domain that passes SPF or DMARC.

  • Si vous avez des serveurs de courrier locaux, ou expédiez du courrier via un fournisseur de logiciel en tant que service, ou via un service d’hébergement dans le cloud tel que Microsoft Azure, GoDaddy, Rackspace, Amazon Web Services ou autre service similaire, vous devez vous assurer que ceux-ci sont ajoutés à votre enregistrement SPF.If you have on-premises mail servers, or send from a Software-as-a-service provider, or from a cloud-hosting service like Microsoft Azure, GoDaddy, Rackspace, Amazon Web Services, or similar, you should ensure that they are added to your SPF record.

  • Si vous êtes un petit domaine hébergé par un fournisseur de services Internet, vous devez configurer votre enregistrement SPF conformément aux instructions que celui-ci vous fournit.If you are a small domain that is hosted by an ISP, you should set up your SPF record according to the instructions that is provided to you by your ISP. La plupart des fournisseurs de services Internet donnent ces types d’instructions qui sont disponibles sur leurs pages de support.Most ISPs provide these types of instructions and can be found on the company's support pages.

  • Même si vous n’avez jamais eu à publier d’enregistrements d’authentification de courrier et que tout a toujours bien fonctionné, vous devez impérativement publier des enregistrements d’authentification de courrier pour envoyer à Microsoft.Even if you have not had to publish email authentication records before, and it worked fine, you must still publish email authentication records to send to Microsoft. En agissant de la sorte, vous contribuez à la lutte contre le hameçonnage et à la réduction des risques auxquels vous-même et les organisations auxquelles vous envoyez des messages êtes exposés.By doing so, you are helping in the fight against phishing, and reducing the possibility that either you, or organizations you send to, will get phished.

Que faire si vous ignorez qui envoie du courrier au nom de votre domaine ?What if you don't know who sends email as your domain?

De nombreux domaines ne publient pas d’enregistrements SPF car ils ne connaissent pas tous leurs expéditeurs.Many domains do not publish SPF records because they do not know who all their senders are. Pas de souci. Vous n’avez pas besoin de les connaître tous.That's okay, you do not need to know who all of them are. Au lieu de cela, vous devriez commencer par publier un enregistrement SPF pour ceux que vous connaissez, en spécifiant l’endroit où se trouve votre trafic d’entreprise, et publier une stratégie SPF neutre ?all :Instead, you should get started by publishing an SPF record for the ones you do know of, especially where your corporate traffic is located, and publish a neutral SPF policy, ?all:

example.com IN TXT "v=spf1 include:spf.example.com ?all"example.com IN TXT "v=spf1 include:spf.example.com ?all"

La stratégie SPF neutre signifie que tout courrier sortant de votre infrastructure d’entreprise passe par une authentification du courrier chez tous les autres destinataires.The neutral SPF policy means that any email that comes out of your corporate infrastructure will pass email authentication at all other email receivers. Le courrier provenant d’expéditeurs que vous ne connaissez pas est considéré comme neutre, ce qui revient presque à ne publier aucun enregistrement SPF.Email that comes from senders you don't know about will fall back to neutral, which is almost the same as publishing no SPF record at all.

Lors de l’envoi à Office 365, le courrier provenant du trafic de votre entreprise est marqué comme authentifié, mais celui provenant de sources que vous ne connaissez pas peut être marqué usurpation d’identité (selon qu’Office 365 peut ou non l’authentifier implicitement).When sending to Office 365, email that comes from your corporate traffic will be marked as authenticated, but the email that comes from sources you don't know about may still be marked as spoof (depending upon whether or not Office 365 can implicitly authenticate it). Cela constitue cependant toujours une amélioration par rapport à tout le courrier qu’Office 365 marque comme usurpant une identité.However, this is still an improvement from all email being marked as spoof by Office 365.

Une fois que vous avez démarré avec un enregistrement SPF comprenant une stratégie neutre ?all, vous pouvez progressivement inclure de plus en plus d’infrastructures d’envoi, puis publier une stratégie plus stricte.Once you've gotten started with an SPF record with a fallback policy of ?all, you can gradually include more and more sending infrastructure and then publish a stricter policy.

Que se passe-t-il si vous êtes le propriétaire d’une liste de diffusion ?What if you are the owner of a mailing list?

Voir la section Scénario courant n°1 - Listes de discussion.See the section Common scenario #2 - Discussion lists.

Que se passe-t-il si vous êtes un fournisseur d’infrastructure tel qu’un fournisseur de services Internet (ISP), un fournisseur de services de courrier (ESP) ou un service d’hébergement dans le cloud ?What if you are an infrastructure provider such as an Internet Service Provider (ISP), Email Service Provider (ESP), or cloud hosting service?

Si vous hébergez le courrier d’un domaine qui envoie du courrier, ou si vous fournissez une infrastructure d’hébergement capable d’envoyer du courrier, procédez comme suit :If you host a domain's email, and it sends email, or provide hosting infrastructure that can send email, you should do the following:

  • Assurez-vous que vos clients disposent d’une documentation détaillant ce qu’ils doivent publier dans leurs enregistrements SPF.Ensure your customers have documentation detailing what to publish in their SPF records

  • Pensez à apposer des signatures DKIM sur le courrier sortant, même si le client ne les a pas explicitement configurées (signature avec un domaine par défaut).Consider signing DKIM-signatures on outbound email even if the customer doesn't explicitly set it up (sign with a default domain). Vous pouvez même signer deux fois le courrier avec des signatures DKIM (une fois avec le domaine du client s’il l’a configuré, et une seconde fois avec la signature DKIM de votre organisation).You can even double-sign the email with DKIM signatures (once with the customer's domain if they have set it up, and a second time with your company's DKIM signature)

La remise à Microsoft n’est nullement garantie, même si vous authentifiez le courrier provenant de votre plateforme, mais cela garantit au moins que Microsoft ne considèrera pas votre envoi comme du courrier indésirable parce qu’il n’est pas authentifié.Deliverability to Microsoft is not guaranteed even if you authenticate email originating from your platform, but at least it ensures that Microsoft does not junk your email because it is not authenticated. Pour plus d’informations sur la manière dont Outlook.com filtre le courrier, voir la page Outlook.com Postmaster.For more details around how Outlook.com filters email, see the Outlook.com Postmaster page.

Pour plus d’informations sur les meilleures pratiques des fournisseurs de services, voir le document M3AAWG Mobile Messaging Best Practices for Service Providers.For more details on service providers best practices, see M3AAWG Mobile Messaging Best Practices for Service Providers.

Forum Aux QuestionsFrequently Asked Questions

Pourquoi Microsoft apporte-t-il ce changement ?Why is Microsoft making this change?

En raison de l’impact des attaques par hameçonnage et du fait que l’authentification du courrier existe depuis plus de 15 ans, Microsoft estime que le risque de continuer à autoriser du courrier non authentifié est supérieur au risque de perdre du courrier légitime.Because of the impact of phishing attacks, and because email authentication has been around for over 15 years, Microsoft believes that the risk of continue to allow unauthenticated email is higher than the risk of losing legitimate email.

Ce changement aura-t-il pour effet que du courrier légitime sera marqué comme courrier indésirable ?Will this change cause legitimate email to be marked as spam?

Au début, certains messages seront marqués comme courrier indésirable.At first, there will be some messages that are marked as spam. Toutefois, au fil du temps, les expéditeurs s’adapteront et la quantité de messages étiquetés comme usurpation d’identité sera négligeable pour la plupart des chemins de courrier.However, over time, senders will adjust and then the amount of messages mislabeled as spoofed will be negligible for most email paths.

Microsoft a adopté cette fonctionnalité pour la première fois plusieurs semaines avant de la déployer vers le reste de ses clients.Microsoft itself first adopted this feature several weeks before deploying it to the rest of its customers. S’il y a eu des perturbations au début, elles ont progressivement diminué.While there was disruption at first, it gradually declined.

Microsoft proposera-t-elle cette fonctionnalité aux clients d’Outlook.com et d’Office 365 sans Advanced Threat Protection ?Will Microsoft bring this feature to Outlook.com and non-Advanced Threat Protection customers of Office 365?

La technologie de détection d’usurpation d’identité de Microsoft a été initialement déployée vers des organisations qui disposaient d’un abonnement Office 365 Entreprise E5 ou avaient acheté le module complémentaire Office 365 - Protection avancée contre les menaces pour leur abonnement.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. Depuis octobre 2018, nous avons étendu la protection aux organisations disposant d’Exchange Online Protection.As of October, 2018 we've extended the protection to organizations that have Exchange Online Protection (EOP) as well. À l’avenir, nous pourrions la publier pour Outlook.com.In the future, we may release it for Outlook.com. Cependant, si nous le faisons, il se peut que certaines fonctionnalités ne soient pas appliquées, telles que la génération de rapports et les contournements personnalisés.However, if we do, there may be some capabilities that are not applied such as reporting and custom overrides.

Comment signaler des messages comme étant ou n’étant pas du courrier indésirable à Microsoft ?How can I report spam or non-spam messages back to Microsoft?

Vous pouvez utiliser le complément Signaler un message pour Outlook ou, s’il n’est pas installé, envoyer les messages indésirables, légitimes ou de hameçonnage à Microsoft pour analyse.You can either use the Report Message Add-in for Outlook, or if it isn't installed, Submit spam, non-spam, and phishing scam messages to Microsoft for analysis.

Je suis un administrateur de domaine qui ne connaît pas tous ses expéditeurs...I'm a domain administrator who doesn't know who all my senders are!

Veuillez consulter Administrateurs de domaines qui ne sont pas des clients d’Office 365.Please see Administrators of domains that are not Office 365 customers.

Que se passe-t-il si je désactive la protection contre l’usurpation d’identité pour mon organisation, même si Office 365 est mon filtre principal ?What happens if I disable anti-spoofing protection for my organization, even though Office 365 is my primary filter?

Nous vous le déconseillons car vous manquerez davantage de messages de hameçonnage et de courrier indésirable.We do not recommend this because you will be exposed to more missed phishing and spam messages. Tout hameçonnage n’est pas de l’usurpation d’identité, et toutes les usurpations d’identité ne seront pas manquées.Not all phishing is spoofing, and not all spoofs will be missed. Cependant, vous courrez un risque supérieur à celui auquel s’expose un client qui active la détection d’usurpation d’identité.However, your risk will be higher than a customer who enables anti-spoofing.

Activer la protection contre l’usurpation d’identité signifie-t-il que je serai protégé contre tout hameçonnage ?Does enabling anti-spoofing protection mean I will be protected from all phishing?

Malheureusement, non, car les hameçonneurs s’adaptent en recourant à d’autres techniques, telles que la compromission de comptes ou la création de comptes de services gratuits.Unfortunately, no, because phishers will adapt to use other techniques such as compromised accounts, or setting up accounts of free services. Cependant, la protection anti-hameçonnage fonctionne beaucoup mieux pour détecter ces autres types de méthodes de hameçonnage, car les couches de protection d’Office 365 sont conçues pour fonctionner ensemble et s’appuyer les unes sur les autres.However, anti-phishing protection works much better to detect these other types of phishing methods because Office 365's protection layers are designed work together and build on top of each other.

Est-ce que d’autres grands destinataires de courrier bloquent le courrier non authentifié ?Do other large email receivers block unauthenticated email?

Presque tous les grands destinataires de courrier implémentent les filtrages SPF, DKIM et DMARC traditionnels.Nearly all large email receivers implement traditional SPF, DKIM, and DMARC. Certains destinataires disposent d’autres contrôles plus stricts que ces normes, mais rares sont ceux qui vont aussi loin qu’Office 365 pour bloquer le courrier non authentifié et le traiter comme une usurpation d’identité.Some receivers have other checks that are more strict than just those standards, but few go as far as Office 365 to block unauthenticated email and treat them as a spoof. Cependant, la plupart des entreprises du secteur deviennent de plus en plus strictes avec ce type particulier de courrier, en raison notamment du problème de hameçonnage.However, most of the industry is becoming more and more strict about this particular type of email, particularly because of the problem of phishing.

Ai-je toujours besoin d’activer l’option Filtrage avancé du courrier indésirable pour « Enregistrement SPF : échec sévère » si j’active la détection d’usurpation d’identité?Do I still need the Advanced Spam Filtering option enabled for "SPF Hard Fail" if I enable anti-spoofing?

Non, cette option n’est plus requise car la fonction de détection d’usurpation d’identité considère non seulement les échecs sévères SPF, mais aussi un ensemble de critères beaucoup plus large.No, this option is no longer required because the anti-spoofing feature not only considers SPF hard fails, but a much wider set of criteria. Si vous avez activé la détection d’usurpation d’identité et l’option Enregistrement SPF : échec sévère, vous obtiendrez probablement davantage de faux positifs.If you have anti-spoofing enabled and the SPF Hard Fail option enabled, you will probably get more false positives. Nous vous recommandons de désactiver cette fonctionnalité car elle ne produirait pratiquement aucune capture supplémentaire de courrier indésirable ou de hameçonnage et générerait plutôt essentiellement des faux positifs.We recommend disabling this feature as it would provide almost no additional catch for spam or phish, and instead generate mostly false positives.

Est-ce que le Schéma de réécriture de l’expéditeur aide à corriger le problème de courrier transféré ?Does Sender Rewriting Scheme (SRS) help fix forwarded email?

Schéma de réécriture de l’expéditeur ne résout que partiellement le problème du courrier transféré.SRS only partially fixes the problem of forwarded email. En réécrivant l’en-tête SMTP MAIL FROM, le Schéma de réécriture de l’expéditeur peut s’assurer que le message transféré passe le filtrage SPF à la destination suivante.By rewriting the SMTP MAIL FROM, SRS can ensure that the forwarded message passes SPF at the next destination. Cependant, comme la détection d’usurpation d’identité est basée sur l’adresse De : combinée au domaine de signature MAIL FROM ou DKIM (ou à d’autres signaux), cela ne suffit pas pour empêcher le marquage du courrier transféré comme usurpant une identité.However, because anti-spoofing is based upon the From: address in combination with either the MAIL FROM or DKIM-signing domain (or other signals), it is not enough to prevent forwarded email from being marked as spoofed.