Protection anti-usurpation dans Office 365Anti-spoofing protection in Office 365

Cet article explique comment Office 365 atténue les attaques par hameçonnage qui utilisent des domaines d'expéditeurs falsifiés, c'est-à-dire des domaines falsifiés. Pour ce faire, il analyse les messages et bloque ceux qui ne peuvent pas être authentifiés à l'aide de méthodes d'authentification de messagerie standard, ni d'autres techniques de réputation de l'expéditeur. Cette modification est implémentée pour réduire le nombre d'attaques de hameçonnage auxquelles les clients sont exposés.This article describes how Office 365 mitigates against phishing attacks that uses forged sender domains, that is, domains that are spoofed. It accomplishes this by analyzing the messages and blocking the ones that cannot be authenticated using standard email authentication methods, nor other sender reputation techniques. This change is being implemented to reduce the number of phishing attacks customers are exposed to.

Cet article décrit également la raison pour laquelle cette modification est effectuée, la façon dont les clients peuvent se préparer à ce changement, comment afficher les messages qui seront affectés, comment générer des rapports sur les messages, comment atténuer les faux positifs, ainsi que comment les expéditeurs à Microsoft doivent se préparer à ce problème. port.This article also describes why this change is being made, how customers can prepare for this change, how to view messages that will be affected, how to report on messages, how to mitigate false positives, as well as how senders to Microsoft should prepare for this change.

La technologie de détection d'usurpation de Microsoft a été déployée à l'origine dans ses organisations disposant d'un abonnement Office 365 entreprise E5 ou a acheté le complément Office 365 Advanced Threat Protection (ATP) pour leur abonnement. Depuis octobre 2018, nous avons étendu la protection aux organisations qui possèdent également Exchange Online Protection (EOP). En outre, en raison de la façon dont tous nos filtres apprennent les uns des autres, les utilisateurs de Outlook.com peuvent également être affectés.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. As of October, 2018 we've extended the protection to organizations that have Exchange Online Protection (EOP) as well. Additionally, because of the way all of our filters learn from each other, Outlook.com users may also be affected.

Utilisation de l'usurpation dans les attaques par hameçonnageHow spoofing is used in phishing attacks

Lorsqu'il s'agit de protéger ses utilisateurs, Microsoft prend la menace de hameçonnage. L'une des techniques couramment utilisées par les spammeurs et les auteurs de phishing est l'usurpation, c'est-à-dire lorsque l'expéditeur est falsifié et qu'un message semble provenir de quelqu'un ou d'un autre emplacement que la source réelle. Cette technique est souvent utilisée dans les campagnes de hameçonnage conçues pour obtenir des informations d'identification utilisateur. La technologie anti-usurpation de Microsoft examine spécifiquement la contrefaçon de l'en-tête «From:» qui est celle qui s'affiche dans un client de messagerie tel qu'Outlook. Lorsque Microsoft a un niveau de confiance élevé que l'en-tête From: est usurpé, il identifie le message comme une usurpation.When it comes to protecting its users, Microsoft takes the threat of phishing seriously. One of the techniques that spammers and phishers commonly use is spoofing, which is when the sender is forged, and a message appears to originate from someone or somewhere other than the actual source. This technique is often used in phishing campaigns designed to obtain user credentials. Microsoft's Anti-spoof technology specifically examines forgery of the 'From: header' which is the one that shows up in an email client like Outlook. When Microsoft has high confidence that the From: header is spoofed, it identifies the message as a spoof.

Les messages d'usurpation ont deux conséquences négatives pour les utilisateurs réels:Spoofing messages have two negative implications for real life users:

1. les messages falsifiés tromper les utilisateurs1. Spoofed messages deceive users

Tout d'abord, un message usurpé peut inciter un utilisateur à cliquer sur un lien et à donner des informations d'identification, télécharger des programmes malveillants ou répondre à un message avec du contenu sensible (ce qui est connu sous le nom de compromission du courrier électronique professionnel). Par exemple, voici un message de hameçonnage avec un expéditeur usurpé d'msoutlook94@service.outlook.com:First, a spoofed message may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content (the latter of which is known as Business Email Compromise). For example, the following is a phishing message with a spoofed sender of msoutlook94@service.outlook.com:

Message d'hameçonnage empruntant une identité service.outlook.com

Les éléments ci-dessus ne proviennent pas réellement de service.outlook.com, mais ont été falsifiés par le hameçonnage pour lui donner l'apparence souhaitée. Elle tente de tromper un utilisateur en cliquant sur le lien dans le message.The above did not actually come from service.outlook.com, but instead was spoofed by the phisher to make it look like it did. It is attempting to trick a user into clicking the link within the message.

L'exemple suivant est l'usurpation d'contoso.com:The next example is spoofing contoso.com:

Message de hameçonnage-compromission de la messagerie professionnelle

Le message semble légitime, mais en réalité il s'agit d'une usurpation. Ce message de hameçonnage est un type de compromission de la messagerie professionnelle qui est une sous-catégorie du hameçonnage.The message looks legitimate, but in fact is a spoof. This phishing message is a type of Business Email Compromise which is a subcategory of phishing.

2. les utilisateurs confondent les messages réels pour les fausses2. Users confuse real messages for fake ones

Deuxièmement, les messages usurpés créent une incertitude pour les utilisateurs qui connaissent les messages d'hameçonnage, mais ils ne peuvent pas distinguer la différence entre un message réel et un message falsifié. Par exemple, voici un exemple de réinitialisation effective du mot de passe à partir de l'adresse de messagerie du compte de sécurité Microsoft:Second, spoofed messages create uncertainty for users who know about phishing messages but cannot tell the difference between a real message and spoofed one. For example, the following is an example of an actual password reset from the Microsoft Security account email address:

Réinitialisation de mot de passe légitime Microsoft

Le message ci-dessus provient de Microsoft, mais en même temps, les utilisateurs sont utilisés pour obtenir des messages de hameçonnage susceptibles de tromper un utilisateur en cliquant sur un lien et en donnant ses informations d'identification, en téléchargeant des programmes malveillants ou en répondant à un message avec du contenu sensible. Étant donné qu'il est difficile d'indiquer la différence entre une réinitialisation de mot de passe réelle et une fausse tentative, de nombreux utilisateurs ignorent ces messages, les signalent comme courrier indésirable ou signalent inutilement les messages à Microsoft comme étant des arnaques de hameçonnage manquées.The above message did come from Microsoft, but at the same time, users are used to getting phishing messages that may trick a user into clicking a link and giving up their credentials, downloading malware, or replying to a message with sensitive content. Because it is difficult to tell the difference between a real password reset and a fake one, many users ignore these messages, report them as spam, or unnecessarily report the messages back to Microsoft as missed phishing scams.

Pour arrêter l'usurpation d'identité, l'industrie de filtrage du courrier électronique a développé des protocoles d'authentification de messagerie, tels que SPF, DKIMet DMARC. DMARC empêche l'usurpation d'identité de l'expéditeur d'un message, celle que l'utilisateur voit dans son client de messagerie (dans les exemples ci-dessus, il s'agit de service.outlook.com, outlook.com et accountprotection.microsoft.com)-avec le domaine qui a réussi ou DKIM. Autrement dit, le domaine que l'utilisateur voit a été authentifié et n'est donc pas usurpé. Pour une discussion plus complète, consultez la section «comprendre pourquoi l'authentification de messagerie n'est pas toujours suffisante pour arrêter l'usurpation» , plus loin dans ce document.To stop spoofing, the email filtering industry has developed email authentication protocols such as SPF, DKIM, and DMARC. DMARC prevents spoofing examining a message's sender - the one that the user sees in their email client (in the examples above, this is service.outlook.com, outlook.com, and accountprotection.microsoft.com) - with the domain that passed SPF or DKIM. That is, the domain that the user sees has been authenticated and is therefore not spoofed. For a more complete discussion, see the section "Understanding why email authentication is not always enough to stop spoofing" later on in this document.

Toutefois, le problème est que les enregistrements d'authentification de messagerie sont facultatifs, et non pas obligatoires. Par conséquent, tandis que les domaines avec des stratégies d'authentification fortes telles que microsoft.com et skype.com sont protégés contre l'usurpation, les domaines qui publient des stratégies d'authentification plus faibles ou aucune stratégie ne sont des cibles à usurper. Depuis le 2018 mars, seuls 9% des domaines des sociétés du Fortune 500 publient des stratégies d'authentification de messagerie fiables. Les 91% restants peuvent être usurpés par un hameçonnage et, sauf si le filtre de courrier électronique les détecte à l'aide d'une autre stratégie, peut être remis à un utilisateur final et le tromper:However, the problem is that email authentication records are optional, not required. Therefore, while domains with strong authentication policies like microsoft.com and skype.com are protected from spoofing, domains that publish weaker authentication policies, or no policy at all, are targets for being spoofed.As of March 2018, only 9% of domains of companies in the Fortune 500 publish strong email authentication policies. The remaining 91% may be spoofed by a phisher, and unless the email filter detects it using another policy, may be delivered to an end user and deceive them:

Stratégies DMARC des sociétés Fortune 500

La proportion des petites et moyennes entreprises qui ne figurent pas dans le Fortune 500 qui publient des stratégies d'authentification de messagerie forte est plus petite et encore plus petite pour les domaines situés en dehors de l'Amérique du Nord et de l'Europe occidentale.The proportion of small-to-medium sized companies that are not in the Fortune 500 that publish strong email authentication policies is smaller, and smaller still for domains that are outside of North America and western Europe.

Il s'agit d'un problème majeur, car les entreprises n'ont peut-être pas conscience du fonctionnement de l'authentification de messagerie, les auteurs de phishing comprennent et tirent parti de l'absence de service.This is a big problem because while enterprises may not be aware of how email authentication works, phishers do understand and take advantage of the lack of it.

Pour plus d'informations sur la configuration de SPF, DKIM et DMARC, consultez la section «clients d'Office 365» plus loin dans ce document.For information on setting up SPF, DKIM, and DMARC, see the section "Customers of Office 365" later on in this document.

Arrêt de l'usurpation avec l'authentification de messagerie impliciteStopping spoofing with implicit email authentication

Étant donné que le hameçonnage et le Spear Phishing sont un problème, et en raison de l'adoption limitée de stratégies d'authentification de messagerie fortes, Microsoft continue d'investir dans des fonctionnalités pour protéger ses clients. Par conséquent, Microsoft se déplace vers l'avant avec l'authentification de messagerie implicite : si un domaine n'est pas authentifié, Microsoft le traitera comme s'il avait publié des enregistrements d'authentification de messagerie et le traitera en conséquence s'il ne réussit pas.Because phishing and spear phishing is such a problem, and because of the limited adoption of strong email authentication policies, Microsoft continues to invest in capabilities to protect its customers. Therefore, Microsoft is moving ahead with implicit email authentication - if a domain doesn't authenticate, Microsoft will treat it as if it had published email authentication records and treat it accordingly if it doesn't pass.

Pour ce faire, Microsoft a créé de nombreuses extensions à l'authentification de messagerie normale, notamment la réputation de l'expéditeur, l'historique des expéditeurs/destinataires, l'analyse comportementale et d'autres techniques avancées. Un message envoyé à partir d'un domaine qui ne publie pas d'authentification de messagerie sera marqué comme falsifié, sauf s'il contient d'autres signaux pour indiquer qu'il est légitime.To accomplish this, Microsoft has built numerous extensions to regular email authentication including sender reputation, sender/recipient history, behavioral analysis, and other advanced techniques. A message sent from a domain that doesn't publish email authentication will be marked as spoof unless it contains other signals to indicate that it is legitimate.

En procédant ainsi, les utilisateurs finaux peuvent avoir la certitude qu'un courrier électronique qui leur est envoyé n'a pas été usurpé, mais les expéditeurs peuvent être assurés que personne n'emprunte l'identité de leur domaine, et les clients d'Office 365 peuvent offrir une meilleure protection, comme la protection contre l'emprunt d'identité.By doing this, end users can have confidence that an email sent to them has not been spoofed, senders can be confident that nobody is impersonating their domain, and customers of Office 365 can offer even better protection such as Impersonation protection.

Pour consulter l'annonce générale de Microsoft, reportez-vous à la section Sea of phishing part 2-Enhanced anti-spoofing in Office 365.To see Microsoft's general announcement, see A Sea of Phish Part 2 - Enhanced Anti-spoofing in Office 365.

Identification d'un message considéré comme falsifiéIdentifying that a message is classified as spoofed

Authentification compositeComposite authentication

Bien que SPF, DKIM et DMARC soient tout à fait utiles, ils ne communiquent pas suffisamment d'état d'authentification dans l'éventualité où un message n'a pas d'enregistrement d'authentification explicite. Par conséquent, Microsoft a développé un algorithme qui combine plusieurs signaux en une seule valeur appelée authentification composite ou compauth pour Short. Les clients dans Office 365 ont des valeurs compauth indiquées dans l'en-tête Authentication-Results dans les en-têtes de message.While SPF, DKIM, and DMARC are all useful by themselves, they don't communicate enough authentication status in the event a message has no explicit authentication records. Therefore, Microsoft has developed an algorithm that combines multiple signals into a single value called Composite Authentication, or compauth for short. Customers in Office 365 have compauth values stamped into the Authentication-Results header in the message headers.

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

Résultat CompAuthCompAuth result DescriptionDescription
fonctionnerfail Échec de l'authentification explicite du message (envoi explicite d'enregistrements publiés dans le DNS) ou authentification implicite (le domaine d'envoi n'a pas publié les enregistrements dans le système DNS, de sorte qu'Office 365 interpole le résultat comme s'il avait publié des enregistrements).Message failed explicit authentication (sending domain published records explicitly in DNS) or implicit authentication (sending domain did not publish records in DNS, so Office 365 interpolated the result as if it had published records).
acceptationpass Message passé l'authentification explicite (message passé DMARC, ou meilleure estimation passée DMARC) ou authentification implicite avec un niveau de confiance élevé (le domaine d'envoi ne publie pas les enregistrements d'authentification de messagerie, mais Office 365 a des signaux principaux forts vers indiquer que le message est vraisemblablement légitime.Message passed explicit authentication (message passed DMARC, or Best Guess Passed DMARC) or implicit authentication with high confidence (sending domain does not publish email authentication records, but Office 365 has strong backend signals to indicate the message is likely legitimate).
softpasssoftpass Message passé authentification implicite avec un niveau de confiance faible à moyen (le domaine d'envoi ne publie pas l'authentification de messagerie, mais Office 365 a des signaux principaux pour indiquer que le message est légitime, mais que la force du signal est plus faible).Message passed implicit authentication with low-to-medium confidence (sending domain does not publish email authentication, but Office 365 has backend signals to indicate the message is legitimate but the strength of the signal is weaker).
aucunenone Le message ne s'est pas authentifié (ou s'il s'est authentifié mais ne s'est pas aligné), mais l'authentification composite n'a pas été appliquée en raison de la réputation de l'expéditeur ou d'autres facteurs.Message did not authenticate (or it did authenticate but did not align), but composite authentication not applied due to sender reputation or other factors.
ReasonReason DescriptionDescription
0XX0xx Échec de l'authentification composite du message.Message failed composite authentication.
000 signifie que le message a échoué DMARC avec une action de refus ou de mise en quarantaine.000 means the message failed DMARC with an action of reject or quarantine.
001 signifie que le message a échoué à l'authentification de messagerie implicite. Cela signifie que le domaine d'envoi n'a pas publié des enregistrements d'authentification de messagerie électronique, ou si c'est le cas, ils avaient une stratégie d'échec plus faible (échec logiciel SPF ou stratégie neutre DMARC de p = None).001 means the message failed implicit email authentication. This means that the sending domain did not have email authentication records published, or if they did, they had a weaker failure policy (SPF soft fail or neutral, DMARC policy of p=none).
002 signifie que l'organisation a une stratégie pour la paire d'expéditeurs/domaines qui est explicitement interdite à l'envoi d'un message électronique falsifié, ce paramètre est défini manuellement par un administrateur.002 means the organization has a policy for the sender/domain pair that is explicitly prohibited from sending spoofed email, this setting is manually set by an administrator.
010 signifie que le message a échoué DMARC avec une action de refus ou de mise en quarantaine et que le domaine d'envoi est l'un des domaines acceptés de votre organisation (faisant partie de self-to-Self, ou intra-org, l'usurpation).010 means the message failed DMARC with an action of reject or quarantine, and the sending domain is one of your organization's accepted-domains (this is part of self-to-self, or intra-org, spoofing).
le 011 signifie que le message a échoué à l'authentification de messagerie implicite et que le domaine d'envoi est l'un des domaines acceptés de votre organisation (faisant partie de self-to-Self, ou intra-org, l'usurpation).011 means the message failed implicit email authentication, and the sending domain is one of your organization's accepted domains (this is part of self-to-self, or intra-org, spoofing).
Tous les autres codes (1xx, 2xx, 3xx, 4xx, 5xx)All other codes (1xx, 2xx, 3xx, 4xx, 5xx) Correspond à divers codes internes indiquant pourquoi un message a passé l'authentification implicite ou qu'aucune authentification n'a été appliquée.Corresponds to various internal codes for why a message passed implicit authentication, or had no authentication but no action was applied.

En examinant les en-têtes d'un message, un administrateur ou un utilisateur final peut déterminer comment Office 365 arrive en conclusion que l'expéditeur peut être usurpé.By looking at the headers of a message, an administrator or even an end user can determine how Office 365 arrives at the conclusion that the sender may be spoofed.

Différenciation entre différents types d'usurpation d'identitéDifferentiating between different types of spoofing

Microsoft différencie deux types différents de messages d'usurpation d'identité:Microsoft differentiates between two different types of spoofing messages:

Usurpation inter-organisationnelleIntra-org spoofing

Également appelé «usurpation automatique», cela se produit lorsque le domaine de l'adresse de: est le même que le domaine du destinataire ou s'aligne avec celui-ci (lorsque le domaine du destinataire est l'un des domaines acceptésde votre organisation); ou, lorsque le domaine de l'adresse de: fait partie de la même organisation.Also known as self-to-self spoofing, this occurs when the domain in the From: address is the same as, or aligns with, the recipient domain (when recipient domain is one of your organization's Accepted Domains); or, when the domain in the From: address is part of the same organization.

Par exemple, l'expéditeur et le destinataire du même domaine (contoso.com) sont les suivants: Des espaces sont insérés dans l'adresse de messagerie pour empêcher spambots récolte sur cette page):For example, the following has sender and recipient from the same domain (contoso.com). Spaces are inserted into the email address to prevent spambot harvesting on this page):

From: sender @ contoso.comFrom: sender @ contoso.com

À: destinataire @ contoso.comTo: recipient @ contoso.com

Les domaines de l'expéditeur et du destinataire sont alignés sur le domaine de l'organisation (fabrikam.com) de la façon suivante:The following has the sender and recipient domains aligning with the organizational domain (fabrikam.com):

From: sender @ foo.fabrikam.comFrom: sender @ foo.fabrikam.com

À: destinataire @ bar.fabrikam.comTo: recipient @ bar.fabrikam.com

Les domaines des expéditeurs et des destinataires suivants sont différents (microsoft.com et bing.com), mais ils appartiennent à la même organisation (c'est-à-dire, tous deux font partie des domaines acceptés de l'organisation):The following sender and recipient domains are different (microsoft.com and bing.com), but they belong to the same organization (that is, both are part of the organization's Accepted Domains):

From: sender @ microsoft.comFrom: sender @ microsoft.com

À: destinataire @ bing.comTo: recipient @ bing.com

Les messages qui échouent à l'usurpation d'organisation interne contiennent les valeurs suivantes dans les en-têtes:Messages that fail intra-org spoofing contain the following values in the headers:

X-Forefront-antispam-Report:... CAT: SPM/HSPM/PHSH;... SFTY: 9.11X-Forefront-Antispam-Report: ...CAT:SPM/HSPM/PHSH;...SFTY:9.11

Le Tao est la catégorie du message, et il est normalement marqué comme SPM (courrier indésirable), mais il peut parfois être HSPM (courrier indésirable à haute fiabilité) ou hameçon (phishing) en fonction des autres types de modèles qui se produisent dans le message.The CAT is the category of the message, and it is normally stamped as SPM (spam), but occasionally may be HSPM (high confidence spam) or PHISH (phishing) depending upon what other types of patterns occur in the message.

Le SFTY est le niveau de sécurité du message, le premier chiffre (9) signifie que le message est un hameçonnage et un deuxième jeu de chiffres après le point (11) signifie qu'il s'agit d'une usurpation intra-organisation.The SFTY is the safety level of the message, the first digit (9) means the message is phishing, and second set of digits after the dot (11) means it is intra-org spoofing.

Il n'existe pas de code de raison spécifique pour l'authentification composite pour l'usurpation intra-organisation, qui sera marqué ultérieurement dans 2018 (chronologie pas encore définie).There is no specific reason code for Composite Authentication for intra-org spoofing, that will be stamped later in 2018 (timeline not yet defined).

Usurpation d'identité entre domainesCross-domain spoofing

Cela se produit lorsque le domaine d'envoi de l'adresse de: est un domaine externe pour l'organisation destinataire. Les messages dont l'authentification composite échoue en raison d'une usurpation entre domaines contiennent les valeurs suivantes dans les en-têtes:This occurs when the sending domain in the From: address is an external domain to the receiving organization. Messages that fail Composite Authentication due to cross-domain spoofing contain the following values in the headers:

Authentication-Results:... compauth = cause de l'échec = 000/001Authentication-Results: … compauth=fail reason=000/001

X-Forefront-antispam-Report:... CAT: USURPATION;... SFTY: 9.22X-Forefront-Antispam-Report: ...CAT:SPOOF;...SFTY:9.22

Dans les deux cas, le Conseil de sécurité rouge suivant est marqué dans le message ou un équivalent adapté à la langue de la boîte aux lettres du destinataire:In both cases, the following red safety tip is stamped in the message, or an equivalent that is customized to the recipient mailbox's language:

Conseil de sécurité rouge-détection de fraude

Il s'agit uniquement de l'adresse de provenance et de la connaissance de l'adresse de messagerie du destinataire ou de l'examen des en-têtes des messages, que vous pouvez différencier de l'usurpation intra-org et inter-domaines.It's only by looking at the From: address and knowing what your recipient email is, or by inspecting the email headers, that you can differentiate between intra-org and cross-domain spoofing.

Comment les clients d'Office 365 peuvent se préparer à la nouvelle protection contre l'usurpation d'identitéHow customers of Office 365 can prepare themselves for the new anti-spoofing protection

Informations pour les administrateursInformation for administrators

En tant qu'administrateur d'une organisation dans Office 365, il existe plusieurs informations clés que vous devez connaître.As an administrator of an organization in Office 365, there are several key pieces of information you should be aware of.

Comprendre pourquoi l'authentification de messagerie n'est pas toujours suffisante pour arrêter l'usurpation d'identitéUnderstanding why email authentication is not always enough to stop spoofing

La nouvelle protection contre l'usurpation d'identité s'appuie sur l'authentification de messagerie (SPF, DKIM et DMARC) pour ne pas marquer un message comme falsifié. Un exemple courant est le fait lorsqu'un domaine d'envoi n'a jamais publié d'enregistrements SPF. S'il n'y a pas d'enregistrements SPF ou s'ils sont configurés de manière incorrecte, un message envoyé est marqué comme falsifié à moins que Microsoft n'ait une intelligence dorsale indiquant que le message est légitime.The new anti-spoofing protection relies on email authentication (SPF, DKIM, and DMARC) to not mark a message as spoofing. A common example is when a sending domain has never published SPF records. If there are no SPF records or they are incorrectly set up, a sent message will be marked as spoofed unless Microsoft has back-end intelligence that says the message is legitimate.

Par exemple, avant le déploiement de la fonction de détection d'usurpation d'identité, un message peut s'afficher comme suit sans enregistrement SPF, sans enregistrement DKIM et sans enregistrement DMARC:For example, prior to anti-spoofing being deployed, a message may have looked like the following with no SPF record, no DKIM record, and no DMARC record:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Après la détection d'usurpation d'identité, si vous disposez d'Office 365 entreprise E5, EOP ou ATP, la valeur compauth est marquée:After anti-spoofing, if you have Office 365 Enterprise E5, EOP, or ATP, the compauth value is stamped:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Si example.com le corrige en configurant un enregistrement SPF mais pas un enregistrement DKIM, l'authentification composite est transmise, car le domaine qui a passé SPF s'est aligné sur le domaine dans l'adresse de:If example.com fixed this by setting up an SPF record but not a DKIM record, this would pass composite authentication because the domain that passed SPF aligned with the domain in the From: address:

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Ou bien, s'ils configurent un enregistrement DKIM mais pas un enregistrement SPF, l'authentification composite est également transmise, car le domaine dans la signature DKIM qui s'est passé avec le domaine dans l'adresse de::Or, if they set up a DKIM record but not an SPF record, this would also pass composite authentication because the domain in the DKIM-Signature that passed aligned with the domain in the From: address:

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Toutefois, un hameçonnage peut également configurer SPF et DKIM et signer le message avec son propre domaine, mais spécifier un domaine différent dans l'adresse de:. Ni SPF, ni DKIM ne requièrent que le domaine s'aligne sur le domaine dans l'adresse de l'expéditeur, de sorte que, sauf si example.com a publié des enregistrements DMARC, il n'est pas marqué comme étant une usurpation à l'aide de DMARC:However, a phisher may also set up SPF and DKIM and sign the message with their own domain, but specify a different domain in the From: address. Neither SPF nor DKIM requires the domain to align with the domain in the From: address, so unless example.com published DMARC records, this would not be marked as a spoof using DMARC:

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Dans le client de messagerie (Outlook, Outlook sur le Web ou tout autre client de messagerie), seul le domaine de: est affiché, et non le domaine dans SPF ou DKIM, et cela peut induire l'utilisateur à penser que le message provenait d'example.com, mais provient en réalité de maliciousDomain.com .In the email client (Outlook, Outlook on the web, or any other email client), only the From: domain is displayed, not the domain in the SPF or DKIM, and that can mislead the user into thinking the message came from example.com, but actually came from maliciousDomain.com.

Message authentifié, mais de: le domaine ne s'aligne pas sur ce qui a réussi ou sur le DKIM

Pour cette raison, Office 365 nécessite que le domaine de l'adresse de: s'aligne sur le domaine dans la signature SPF ou DKIM et, si ce n'est pas le cas, contient d'autres signaux internes indiquant que le message est légitime. Dans le cas contraire, le message est un compauth Fail.For that reason, Office 365 requires that the domain in the From: address aligns with the domain in the SPF or DKIM signature, and if it doesn't, contains some other internal signals that indicates that the message is legitimate. Otherwise, the message would be a compauth fail.

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

Par conséquent, l'usurpation d'identité Office 365 protège contre les domaines sans authentification et par les domaines qui configurent l'authentification mais qui ne correspondent pas au domaine de l'adresse de: comme celle que l'utilisateur voit et pense être l'expéditeur du message. Il s'agit des deux domaines à l'extérieur de votre organisation, ainsi que des domaines au sein de votre organisation.Thus, Office 365 anti-spoofing protects against domains with no authentication, and against domains who set up authentication but mismatch against the domain in the From: address as that is the one that the user sees and believes is the sender of the message. This is true both of domains external to your organization, as well as domains within your organization.

Par conséquent, si vous recevez un message indiquant que l'authentification composite a échoué et qu'elle est usurpée, même si le message a passé SPF et DKIM, c'est que le domaine qui a passé SPF et DKIM n'est pas aligné sur le domaine dans l'adresse de:.Therefore, if you ever receive a message that failed composite authentication and is marked as spoofed, even though the message passed SPF and DKIM, it's because the domain that passed SPF and DKIM are not aligned with the domain in the From: address.

Présentation des modifications apportées au traitement des courriers falsifiésUnderstanding changes in how spoofed emails are treated

Actuellement, pour toutes les organisations dans Office 365-ATP et les messages non ATP qui échouent DMARC avec une stratégie de rejet ou de mise en quarantaine sont marqués comme courrier indésirable et prennent généralement l'action de courrier indésirable à niveau de confiance élevé, ou parfois l'action de courrier indésirable normal (selon que d'autres courriers indésirants ou non). les règles les identifient en tant que courrier indésirable). Les détections d'usurpation intra-org prennent l'action de courrier indésirable normale. Il n'est pas nécessaire d'activer ce comportement, ni de le désactiver.Currently, for all organizations in Office 365 - ATP and non-ATP - messages that fail DMARC with a policy of reject or quarantine are marked as spam and usually take the high confidence spam action, or sometimes the regular spam action (depending on whether other spam rules first identify it as spam). Intra-org spoof detections take the regular spam action. This behavior does not need to be enabled, nor can it be disabled.

Toutefois, pour les messages d'usurpation de domaine, avant que cette modification ne se produise, les vérifications de courrier indésirable, de hameçonnage et de programmes malveillants, et si d'autres parties du filtre les ont identifiées comme suspectes, les marquent comme courrier indésirable, hameçon ou programme malveillant. Avec la nouvelle protection contre l'usurpation d'identité d'un domaine, les messages qui ne peuvent pas être authentifiés effectuent, par défaut, l'action définie dans > la stratégie anti-usurpation d'identité anti-hameçonnage. Si aucune n'est définie, elle est déplacée vers le dossier courrier inDésirable des utilisateurs. Dans certains cas, le Conseil de sécurité rouge est également ajouté aux messages plus suspects dans le message.However, for cross-domain spoofing messages, before this change they would go through regular spam, phish, and malware checks and if other parts of the filter identified them as suspicious, would mark them as spam, phish, or malware respectively. With the new cross-domain spoofing protection, any message that can't be authenticated will, by default, take the action defined in the Anti-phishing > Anti-spoofing policy. If one is not defined, it will be moved to a users Junk Email folder. In some cases, more suspicious messages will also have the red safety tip added to the message.

Par conséquent, certains messages précédemment marqués comme courrier indésirable sont toujours marqués comme courrier indésirable, mais ils sont également dotés d'un Conseil de sécurité rouge. dans les autres cas, les messages précédemment marqués comme courrier non indésirable commencent à être marqués comme courrier indésirable (CAT: usurpation) avec un Conseil de sécurité rouge ajouté. Dans d'autres cas, les clients qui déplacent l'ensemble du courrier indésirable et du hameçonnage vers la mise en quarantaine verraient le dossier courrier inDésirable (ce comportement peut être modifié, voir modification de vos paramètres anti-usurpation d'identité).This may result in some messages that were previously marked as spam still getting marked as spam but will now also have a red safety tip; in other cases, messages that were previously marked as non-spam will start getting marked as spam (CAT:SPOOF) with a red safety tip added. In still other cases, customers that were moving all spam and phish to the quarantine would now see them going to the Junk Mail Folder (this behavior can be changed, see Changing your anti-spoofing settings).

Il existe plusieurs façons d'usurper un message (consultez la rubrique différenciation entre différents types d'usurpations d'identité plus haut dans cet article) mais, depuis mars 2018, la façon dont Office 365 traite ces messages n'est pas encore unifié. Le tableau suivant est un résumé rapide: la protection contre l'usurpation d'identité de domaine est un nouveau comportement:There are multiple different ways a message can be spoofed (see Differentiating between different types of spoofing earlier in this article) but as of March 2018 the way Office 365 treats these messages is not yet unified. The following table is a quick summary, with Cross-domain spoofing protection being new behavior:

Type d'usurpation d'identitéType of spoof CatégorieCategory Conseil de sécurité ajouté?Safety tip added? S'applique àApplies to
Échec de DMARC (mise en quarantaine ou rejet)DMARC fail (quarantine or reject)
HSPM (valeur par défaut) peut également être défini sur SPM ou PHSHHSPM (default), may also be SPM or PHSH
Non (pas encore)No (not yet)
Tous les clients Office 365, Outlook.comAll Office 365 customers, Outlook.com
Self-to-SelfSelf-to-self
MONITEURSPM
OuiYes
Toutes les organisations Office 365, Outlook.comAll Office 365 organizations, Outlook.com
Entre domainesCross-domain
TrompSPOOF
OuiYes
Clients Office 365 Advanced Threat Protection et E5Office 365 Advanced Threat Protection and E5 customers

Modification de vos paramètres de détection d'usurpation d'identitéChanging your anti-spoofing settings

Pour créer ou mettre à jour vos paramètres de protection contre l'usurpation d'identité (entre domaines), accédez aux paramètres > de détection d'usurpation d'identité sous l'onglet > stratégie de gestion des menaces & dans le centre de sécurité et de conformité. Si vous n'avez jamais créé de paramètres anti-hameçonnage, vous devrez en créer un:To create or update your (cross-domain) anti-spoofing settings, navigate to the Anti-phishing > Anti-spoofing settings under the Threat Management > Policy tab in the Security & Compliance Center. If you have never created any anti-phishing settings, you will need to create one:

Antiphishing-créer une stratégie

Si vous en avez déjà créé un, vous pouvez le sélectionner pour le modifier:If you've already created one, you can select it to modify it:

Anti-hameçonnage-modifier la stratégie existante

Sélectionnez la stratégie que vous venez de créer et suivez les étapes décrites dans la section en savoir plus sur les informations d'usurpation d'identité.Select the policy you just created and proceed through the steps as described on Learn More about Spoof Intelligence.

Activer ou désactiver l'espionnage

Activer ou désactiver les conseils de sécurité contre l'usurpation d'identité

Pour créer une nouvelle stratégie via PowerShell, procédez comme suit:To create a new policy via PowerShell:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

Vous pouvez ensuite modifier les paramètres de la stratégie anti-hameçonnage à l'aide de PowerShell, en suivant la documentation sur Set-antiphishpolicy permet. Vous pouvez spécifier le $name en tant que paramètre:You may then modify the anti-phishing policy parameters using PowerShell, following the documentation at Set-AntiphishPolicy. You may specify the $name as a parameter:

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

Plus tard dans 2018, au lieu de créer une stratégie par défaut, il est créé pour vous, dont l'étendue est limitée à tous les destinataires de votre organisation, vous n'avez pas à le spécifier manuellement (les captures d'écran ci-dessous peuvent être modifiées avant la mise en œuvre finale).Later in 2018, rather than you having to create a default policy, one will be created for you that is scoped to all the recipients in your organization so you don't have to specify it manually (the screenshots below are subject to change before the final implementation).

Stratégie par défaut pour le hameçonnage

Contrairement à une stratégie que vous créez, vous ne pouvez pas supprimer la stratégie par défaut, modifier sa priorité ou choisir les utilisateurs, domaines ou groupes auxquels elle doit s'étendre.Unlike a policy that you create, you cannot delete the default policy, modify its priority, or choose which users, domains, or groups to scope it to.

Détails de la stratégie anti-hameçonnage par défaut

Pour configurer votre protection par défaut via PowerShell, procédez comme suit:To set up your default protection via PowerShell:

$defaultAntiphishPolicy = Get-AntiphishPolicy | ? {$_.IsDefault -eq $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

Vous ne devez désactiver la protection contre l'usurpation d'identité que si vous disposez d'un ou de plusieurs serveurs de messagerie devant Office 365 (pour plus de détails, voir scénarios légitimes de désactivation de la détection d'usurpation d'identité).You should only disable anti-spoofing protection if you have another mail server or servers in front of Office 365 (see Legitimate scenarios to disable anti-spoofing for more details).

$defaultAntiphishPolicy = Get-AntiphishiPolicy | ? {$_.IsDefault $true}
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

Important

Si le premier tronçon dans le chemin d'accès de votre courrier électronique est Office 365 et que vous recevez trop de courriers électroniques légitimes marqués comme falsifiés, vous devez d'abord configurer vos expéditeurs autorisés à envoyer des messages falsifiés à votre domaine (voir la section «gestion des expéditeurs légitimes qui envoient des u nauthenticated email» ). Si vous obtenez toujours trop de faux positifs (par exemple, des messages légitimes marqués comme frauduleux), nous vous déconseillons de désactiver totalement la protection contre l'usurpation d'identité. Au lieu de cela, nous vous recommandons de choisir de base au lieu de protection élevée. Il est préférable d'utiliser des faux positifs plutôt que d'exposer votre organisation à des e-mails usurpés, ce qui pourrait entraîner des coûts nettement plus élevés à long terme.If the first hop in your email path is Office 365, and you are getting too many legitimate emails marked as spoof, you should first set up your senders that are allowed to send spoofed email to your domain (see the section "Managing legitimate senders who are sending unauthenticated email" ). If you are still getting too many false positives (e.g., legitimate messages marked as spoof), we do NOT recommend disabling anti-spoofing protection altogether. Instead, we recommend choosing Basic instead of High protection. It is better to work through false positives than to expose your organization to spoofed email which could end up imposing significantly higher costs in the long term.

Gestion des expéditeurs légitimes qui envoient des messages électroniques non authentifiésManaging legitimate senders who are sending unauthenticated email

Office 365 effectue le suivi des personnes qui envoient des messages électroniques non authentifiés à votre organisation. Si le service pense que l'expéditeur n'est pas légitime, il le marque comme une erreur compauth . Elle sera classée comme USURPée, même si elle dépend de votre stratégie d'usurpation d'identité appliquée au message.Office 365 keeps track of who is sending unauthenticated email to your organization. If the service thinks the sender is not legitimate, it will mark it as a compauth failure. This will be classified as SPOOF although it depends on your anti-spoofing policy that was applied to the message.

Toutefois, en tant qu'administrateur, vous pouvez spécifier quels expéditeurs sont autorisés à envoyer des messages falsifiés, en remplaçant la décision d'Office 365.However, as an administrator, you can specify which senders are permitted to send spoofed email, overriding Office 365's decision.

Méthode 1: Si votre organisation est propriétaire du domaine, configurez l'authentification de messagerie.Method 1 - If your organization owns the domain, set up email authentication

Cette méthode peut être utilisée pour résoudre l'usurpation d'identité intra-organisationnelle et l'usurpation inter-domaines dans les cas où vous êtes propriétaire ou interagissez avec plusieurs clients. Il permet également de résoudre l'usurpation d'identité entre les domaines lorsque vous envoyez des e-mails à d'autres clients dans Office 365, ainsi qu'à des tiers hébergés par d'autres fournisseurs.This method can be used to resolve intra-org spoofing, and cross-domain spoofing in cases where you own or interact with multiple tenants. It also helps resolve cross-domain spoofing where you send to other customers within Office 365, and also third parties that are hosted in other providers.

Pour plus d'informations, consultez la rubrique Customers of Office 365.For more details, see Customers of Office 365.

Méthode 2-utiliser l'intelligence d'usurpation d'identité pour configurer les expéditeurs autorisés d'un message électronique non authentifiéMethod 2 - Use Spoof intelligence to configure permitted senders of unauthenticated email

Vous pouvez également utiliser l' intelligence usurpée pour permettre aux expéditeurs de transmettre des messages non authentifiés à votre organisation.You can also use Spoof Intelligence to permit senders to transmit unauthenticated messages to your organization.

Pour les domaines externes, l'utilisateur usurpé est le domaine dans l'adresse de l'expéditeur, tandis que l'infrastructure d'envoi est l'adresse IP d'envoi (divisée au/24 plages CIDR) ou le domaine de l'organisation de l'enregistrement PTR (dans la capture d'écran ci-dessous, l'adresse IP d'envoi peut être 131.107.18.4 dont l'enregistrement PTR est outbound.mail.protection.outlook.com, et cela apparaîtra comme outlook.com pour l'infrastructure d'envoi).For external domains, the spoofed user is the domain in the From address, while the sending infrastructure is either the sending IP address (divided up into /24 CIDR ranges), or the organizational domain of the PTR record (in the screenshot below, the sending IP might be 131.107.18.4 whose PTR record is outbound.mail.protection.outlook.com, and this would show up as outlook.com for the sending infrastructure).

Pour autoriser cet expéditeur à envoyer des messages électroniques non authentifiés, attribuez la valeur Ouià l'option non .To permit this sender to send unauthenticated email, change the No to a Yes.

Configuration des expéditeurs autorisés de l'antiusurpation d'identité

Vous pouvez également utiliser PowerShell pour permettre à un expéditeur spécifique d'usurper votre domaine:You can also use PowerShell to allow specific sender to spoof your domain:

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

Obtention d'expéditeurs usurpés via PowerShell

Dans l'image précédente, des sauts de ligne supplémentaires ont été ajoutés pour que cette capture d'écran s'ajuste, mais en réalité, toutes les valeurs apparaissent sur une seule ligne.In the previous image, additional line breaks have been added to make this screenshot fit, but in actuality all the values would appear on a single line.

Modifiez le fichier et recherchez la ligne correspondant à outlook.com et bing.com, et remplacez l'entrée AllowedToSpoof par oui:Edit the file and look for the line that corresponds to outlook.com and bing.com, and change the AllowedToSpoof Entry from No to Yes:

Définition du paramètre autoriser la falsification sur Oui via PowerShell

Enregistrez le fichier, puis exécutez:Save the file, and then run:

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"
Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

Cela permettra à bing.com d'envoyer des messages électroniques non authentifiés *à partir de. Outlook.com.This will now allow bing.com to send unauthenticated email from *.outlook.com.

Méthode 3-créer une entrée d'autorisation pour la paire expéditeur/destinataireMethod 3 - Create an allow entry for the sender/recipient pair

Vous pouvez également choisir de contourner tout le filtrage du courrier indésirable pour un expéditeur particulier. Pour plus d'informations, consultez la rubrique relative à l'ajout sécurisé d'un expéditeur à une liste verte dans Office 365.You can also choose to bypass all spam filtering for a particular sender. For more details, see How to securely add a sender to an allow list in Office 365.

Si vous utilisez cette méthode, elle ignore le courrier indésirable et certains des filtrages de hameçonnage, mais pas le filtrage des programmes malveillants.If you use this method, it will skip spam and some of the phish filtering, but not malware filtering.

Méthode 4: contactez l'expéditeur et demandez-lui de configurer l'authentification de messagerieMethod 4 - Contact the sender and ask them to set up email authentication

En raison du problème de courrier indésirable et de hameçonnage, Microsoft recommande à tous les expéditeurs de configurer l'authentification de messagerie. Si vous êtes un administrateur du domaine d'envoi, contactez-le et demandez-lui de configurer les enregistrements d'authentification de messagerie de sorte que vous n'ayez pas à ajouter de remplacements. Pour plus d'informations, consultez la section administrateurs de domaines qui ne sont pas des clients Office 365, plus loin dans cet article.Because of the problem of spam and phishing, Microsoft recommends all senders set up email authentication. If you know an administrator of the sending domain, contact them and request that they set up email authentication records so you do not have to add any overrides. For more information, see Administrators of domains that are not Office 365 customers" later in this article.

Bien qu'il puisse s'avérer difficile d'obtenir des domaines d'envoi pour l'authentification, au fil du temps, lorsque de plus en plus de filtres de courrier indésirent ou refusent leur courrier, les enregistrements appropriés sont configurés pour garantir une meilleure remise.While it may be difficult at first to get sending domains to authenticate, over time, as more and more email filters start junking or even rejecting their email, it will cause them to set up the proper records to ensure better delivery.

Affichage des rapports sur le nombre de messages marqués comme falsifiésViewing reports of how many messages were marked as spoofed

Une fois que votre stratégie d'usurpation d'identité est activée, vous pouvez utiliser Threat Intelligence pour obtenir des chiffres indiquant le nombre de messages marqués comme hameçonnage. Pour ce faire, accédez au centre de & sécurité conformité dans l'Explorateur de gestion > des menaces, définissez l'affichage sur hameçonnage, et regroupez par domaine de l'expéditeur ou état de protection:Once your anti-spoofing policy is enabled, you can use Threat Intelligence to get numbers around how many messages are marked as phish. To do this, go into the Security & Compliance Center (SCC) under Threat Management > Explorer, set the View to Phish, and group by Sender Domain or Protection Status:

Affichage du nombre de messages marqués comme hameçonnage

Vous pouvez interagir avec les différents rapports pour connaître le nombre d'hameçons marqués comme courriers inactifs, y compris les messages marqués comme frauduleux. Pour plus d'informations, reportez-vous à la rubrique prise en main d'Office 365 Threat Intelligence.You can interact with the various reports to see how many were marked as phishing, including messages marked as SPOOF. To learn more, see Get started with Office 365 Threat Intelligence.

Vous ne pouvez pas encore séparer les messages qui ont été marqués en raison d'une usurpation et d'autres types de phishing (hameçonnage général, emprunt d'identité de domaine ou d'utilisateur, etc.). Toutefois, plus loin dans le 2018, vous serez en mesure de le faire via & le centre de sécurité conformité. Une fois que vous avez effectué cette opération, vous pouvez utiliser ce rapport comme emplacement de départ pour identifier les domaines qui peuvent être légitimes et marqués comme des falsifications en raison de l'échec de l'authentification.You cannot yet split out which messages were marked due to spoofing vs. other types of phishing (general phishing, domain or user impersonation, and so on). However, later in 2018, you will be able to do this through the Security & Compliance Center. Once you do, you can use this report as a starting place to identify sending domains that may be legitimate that are being marked as spoof due to failing authentication.

La capture d'écran suivante est une proposition de l'apparence de ces données, mais peut changer lorsqu'elle est publiée:The following screenshot is a proposal for how this data will look, but may change when released:

Affichage des rapports d'hameçonnage par type de détection

Pour les clients non-ATP et E5, ces rapports seront disponibles plus tard dans 2018 sous les rapports sur le statut de protection contre les menaces (TPS), mais seront retardés d'au moins 24 heures. Cette page sera mise à jour au fur et à mesure de & son intégration dans le centre de sécurité conformité.For non-ATP and E5 customers, these reports will be available later in 2018 under the Threat Protection Status (TPS) reports, but will be delayed by at least 24 hours. This page will be updated as they are integrated into the Security & Compliance Center.

PréDiction du nombre de messages qui seront marqués comme frauduleuxPredicting how many messages will be marked as spoof

Plus tard dans 2018, une fois qu'Office 365 a mis à jour ses paramètres pour vous permettre de désactiver l'application d'usurpation d'identité ou en utilisant une application de base ou une contrainte élevée, vous aurez la possibilité de voir le mode de modification de la disposition des messages aux différents paramètres. Autrement dit, si l'anti-usurpation d'identité est désActivée, vous pouvez voir le nombre de messages qui seront détectés comme usurpés si vous activez la fonctionnalité de base; Si elle est de base, vous pourrez voir le nombre d'autres messages à détecter en tant qu'usurpateur si vous le transformez en haute.Later in 2018, once Office 365 updates its settings to let you turn the anti-spoofing enforcement Off, or on with Basic or High enforcement, you will be given the ability to see how message disposition will change at the various settings. That is, if anti-spoofing is Off, you will be able to see how many messages will be detected as Spoof if you turn to Basic; or, if it's Basic, you will be able to see how many more messages will be detected as Spoof if you turn it to High.

Cette fonctionnalité est actuellement en cours de développement. À mesure que des détails supplémentaires sont définis, cette page sera mise à jour à la fois avec des captures d'écran du centre de sécurité et de conformité, et avec des exemples PowerShell.This feature is currently under development. As more details are defined, this page will be updated both with screenshots of the Security and Compliance Center, and with PowerShell examples.

Rapport «What If» pour l'activation de l'antiusurpation

EXPÉRIENCE utilisateur possible pour autoriser un expéditeur usurpé

Comprendre le mode de combinaison du courrier indésirable, du hameçonnage et des détections d'hameçonnage avancéesUnderstanding how spam, phishing, and advanced phishing detections are combined

Les organisations qui utilisent Exchange Online, avec ou sans la protection avancée contre les menaces, peuvent spécifier les actions à effectuer lorsque le service identifie les messages comme des programmes malveillants, du courrier indésirable, du courrier indésirable à fiabilité élevée, du hameçonnage et en bloc. Avec les stratégies anti-hameçonnage ATP pour les clients ATP, ainsi que les stratégies anti-hameçonnage pour les clients EOP, et le fait qu'un message peut atteindre plusieurs types de détection (par exemple, les programmes malveillants, le hameçonnage et l'emprunt d'identité de l'utilisateur), il peut y avoir une certaine confusion quant à ce qui la stratégie s'applique.Organizations that use Exchange Online, with or without ATP, can specify which actions to take when the service identifies messages as malware, spam, high confidence spam, phishing, and bulk. With the ATP Anti-phishing policies for ATP customers, and the Anti-phishing policies for EOP customers, and the fact that a message may hit multiple detection types (for example, malware, phishing, and user-impersonation), there may be some confusion as to which policy applies.

En règle générale, la stratégie appliquée à un message est identifiée dans l'en-tête X-Forefront-antispam-report de la propriété CAT (Category).In general, the policy applied to a message is identified in the X-Forefront-Antispam-Report header in the CAT (Category) property.

Priority (Priorité)Priority RenvoiPolicy CatégorieCategory Où géré?Where managed? S'applique àApplies to
0,11
Malware : Malware
MALWMALW
Stratégie de programmes malveillantsMalware policy
Toutes les organisationsAll organizations
2 2
HameçonnagePhishing
PHSHPHSH
Stratégie de filtrage de contenu hébergéHosted content filter policy
Toutes les organisationsAll organizations
3 3
Courrier indésirable à probabilité élevéeHigh confidence spam
HSPMHSPM
Stratégie de filtrage de contenu hébergéHosted content filter policy
Toutes les organisationsAll organizations
4 4
L'usurpationSpoofing
TrompSPOOF
Stratégie anti-hameçonnage, aide à l' usurpation d'identitéAnti-phishing policy, Spoof intelligence
Toutes les organisationsAll organizations
5 5
Courrier indésirableSpam
MONITEURSPM
Stratégie de filtrage de contenu hébergéHosted content filter policy
Toutes les organisationsAll organizations
6 6
E-mailsBulk
E-mailsBULK
Stratégie de filtrage de contenu hébergéHosted content filter policy
Toutes les organisationsAll organizations
7 7
Emprunt d'identité de domaineDomain Impersonation
DIMPDIMP
Stratégie anti-hameçonnageAnti-phishing policy
Organisations avec ATP uniquementOrganizations with ATP only
8 8
Emprunt d'identité de l'utilisateurUser Impersonation
UIMPUIMP
Stratégie anti-hameçonnageAnti-phishing policy
Organisations avec ATP uniquementOrganizations with ATP only

Si vous disposez de plusieurs stratégies de protection contre le hameçonnage, la priorité la plus élevée s'applique. Par exemple, supposons que vous avez deux stratégies:If you have multiple different Anti-phishing policies, the one at the highest priority will apply. For example, suppose you have two policies:

RenvoiPolicy Priority (Priorité)Priority Emprunt d'identité d'utilisateur/domaineUser/Domain Impersonation Protection contre l'usurpation d'identitéAnti-spoofing
AA
0,11
OnOn
OffOff
BB
2 2
OffOff
OnOn

Si un message arrive et est identifié comme une usurpation et l'emprunt d'identité de l'utilisateur, et que le même ensemble d'utilisateurs est inclus dans la stratégie A et la stratégie B, le message est traité comme une usurpation, mais aucune action n'est appliquée, étant donné que l'anti-usurpation d'identité est désactivée et l'usurpation s'exécute avec une priorité plus élevée (4) que l'emprunt d'identité d'utilisateur (8).If a message comes in and is identified as both spoofing and user impersonation, and the same set of users is scoped to Policy A and Policy B, then the message is treated as a spoof but no action is applied since Anti-spoofing is turned off, and SPOOF runs at a higher priority (4) than User Impersonation (8).

Pour appliquer d'autres types de stratégies de hameçonnage, vous devrez ajuster les paramètres d'application des différentes stratégies.To make other types of phishing policy apply, you will need to adjust the settings of who the various policies are applied to.

Scénarios légitimes pour désactiver la détection d'usurpation d'identitéLegitimate scenarios to disable anti-spoofing

La protection contre l'usurpation d'identité protège les clients contre les attaques par hameçonnage et, par conséquent, la désactivation de la protection contre l'usurpation d'identité est fortement déconseillée. En le désactivant, vous pouvez résoudre certains faux positifs à court terme, mais à long terme, vous serez exposé à davantage de risques. Le coût de configuration de l'authentification côté expéditeur ou d'ajustements dans les stratégies de hameçonnage est généralement un événement unique ou nécessite uniquement une maintenance périodique minimale. Toutefois, le coût de récupération d'une attaque par hameçonnage dans laquelle les données ont été exposées ou les ressources ont été compromis est bien plus élevé.Anti-spoofing better protects customers from phishing attacks, and therefore disabling anti-spoofing protection is strongly discouraged. By disabling it, you may resolve some short-term false positives, but long term you will be exposed to more risk. The cost for setting up authentication on the sender side, or making adjustments in the phishing policies, are usually one-time events or require only minimal, periodic maintenance. However, the cost to recover from a phishing attack where data has been exposed, or assets have been compromised is much higher.

Pour cette raison, il est préférable d'utiliser des faux positifs d'usurpation d'identité plutôt que de désactiver la protection contre l'usurpation d'identité.For this reason, it is better to work through anti-spoofing false positives than to disable anti-spoof protection.

Toutefois, il existe un scénario légitime où l'anti-usurpation d'identité doit être désactivée, et c'est le cas lorsqu'il y a des produits de filtrage du courrier supplémentaires dans le routage des messages, et Office 365 n'est pas le premier tronçon dans le chemin d'accès du courrier électronique:However, there is a legitimate scenario where anti-spoofing should be disabled, and that is when there are additional mail-filtering products in the message routing, and Office 365 is not the first hop in the email path:

L'enregistrement MX du client ne pointe pas vers Office 365

L'autre serveur peut être un serveur de messagerie Exchange local, un périphérique de filtrage de messagerie tel qu'IronPort ou un autre service hébergé sur le Cloud.The other server may be an Exchange on-premises mail server, a mail filtering device such as Ironport, or another cloud hosted service.

Si l'enregistrement MX du domaine du destinataire ne pointe pas vers Office 365, il n'est pas nécessaire de désactiver l'usurpation d'identité, car Office 365 recherche l'enregistrement MX de votre domaine de réception et supprime l'usurpation d'identité s'il pointe vers un autre service. Si vous ne le faites pas si votre domaine dispose d'un autre serveur, vous pouvez utiliser un site Web comme MX boîte à outils pour Rechercher l'enregistrement MX. Cela peut dire ce qui suit:If the MX record of the recipient domain does not point to Office 365, then there is no need to disable anti-spoofing because Office 365 looks up your receiving domain's MX record and suppresses anti-spoofing if it points to another service. If you don't know if your domain has another server in front, you can use a website like MX Toolbox to look up the MX record. It might say something like the following:

L'enregistrement MX indique que le domaine ne pointe pas vers Office 365

Ce domaine a un enregistrement MX qui ne pointe pas vers Office 365, de sorte qu'Office 365 n'applique pas l'application d'usurpation d'identité.This domain has an MX record that does not point to Office 365, so Office 365 would not apply anti-spoofing enforcement.

Toutefois, si l'enregistrement MX du domaine du destinataire ** pointe vers Office 365, même s'il existe un autre service devant Office 365, vous devez désactiver la détection d'usurpation d'identité. L'exemple le plus courant consiste à utiliser la réécriture d'un destinataire:However, if the MX record of the recipient domain does point to Office 365, even though there is another service in front of Office 365, then you should disable anti-spoofing. The most common example is through the use of a recipient rewrite:

Diagramme de routage pour la réécriture de destinataires

L'enregistrement MX du domaine contoso. com pointe vers le serveur local, tandis que l'enregistrement MX du domaine @office365. contoso. net pointe vers Office 365 car il contient *. protection.Outlook.com ou *. eo.Outlook.com dans l'enregistrement MX:The domain contoso.com's MX record points to the on-premises server, while the domain @office365.contoso.net's MX record points to Office 365 because it contains *.protection.outlook.com, or *.eo.outlook.com in the MX record:

L'enregistrement MX pointe vers Office 365, par conséquent probablement la réécriture des destinataires

N'oubliez pas de distinguer lorsque l'enregistrement MX d'un domaine du destinataire ne pointe pas vers Office 365 et lorsqu'il a subi une réécriture de destinataire. Il est important de déterminer la différence entre ces deux cas.Be sure to differentiate when a recipient domain's MX record does not point to Office 365, and when it has undergone a recipient rewrite. It is important to tell the difference between these two cases.

Si vous ne savez pas si votre domaine de réception a subi une réécriture de destinataire, vous pouvez parfois en examiner les en-têtes.If you are unsure whether or not your receiving domain has undergone a recipient-rewrite, sometimes you can tell by looking at the message headers.

a) d'abord, examinez les en-têtes du message pour le domaine du destinataire dans l'en-tête Authentication-Results:a) First, look at the headers in the message for the recipient domain in the Authentication-Results header:

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

Le domaine du destinataire est indiqué en gras en gras au-dessus, dans ce cas office365.contoso.net. Cela peut être différent pour le destinataire de l'en-tête to::The recipient domain is found in the bold red text above, in this case office365.contoso.net. This may be different that the recipient in the To: header:

Vers: exemple de <destinataire de destinataire @ contoso.com>To: Example Recipient <recipient @ contoso.com>

Effectuer une recherche de l'enregistrement MX du domaine du destinataire réel. S'il contient *. protection.outlook.com, mail.Messaging.Microsoft.com, *. eo.Outlook.com ou mail.global.FrontBridge.com, le MX pointe vers Office 365.Perform an MX-record lookup of the actual recipient domain. If it contains *.protection.outlook.com, mail.messaging.microsoft.com, *.eo.outlook.com, or mail.global.frontbridge.com, that means that the MX points to Office 365.

S'il ne contient pas ces valeurs, cela signifie que MX ne pointe pas vers Office 365. Vous pouvez utiliser un outil pour vérifier qu'il s'agit de la boîte à outils MX.If it does not contain those values, then it means that the MX does not point to Office 365. One tool you can use to verify this is MX Toolbox.

Pour cet exemple particulier, le code suivant indique que contoso.com, le domaine qui ressemble au destinataire, étant donné qu'il s'agissait de l'en-tête to:, qu'il pointe vers un serveur sur local:For this particular example, the following says that contoso.com, the domain that looks like the recipient since it was the To: header, has MX record points to an on-prem server:

L'enregistrement MX pointe vers le serveur local

Toutefois, le destinataire réel est office365.contoso.net dont l'enregistrement MX pointe vers Office 365:However, the actual recipient is office365.contoso.net whose MX record does point to Office 365:

MX pointe vers Office 365, doit être réécrite pour le destinataire

Par conséquent, ce message a probablement subi une réécriture de destinataire.Therefore, this message has likely undergone a recipient-rewrite.

b) Deuxièmement, veillez à bien faire la distinction entre les cas d'utilisation courants des réécrits de destinataires. Si vous envisagez de réécrire le domaine du *destinataire dans. onmicrosoft.com, vous devez le *réécrire dans. mail.onmicrosoft.com.b) Second, be sure to distinguish between common use cases of recipient rewrites. If you are going to rewrite the recipient domain to *.onmicrosoft.com, instead rewrite it to *.mail.onmicrosoft.com.

Une fois que vous avez identifié le domaine de destinataire final qui est acheminé derrière un autre serveur et que l'enregistrement MX du domaine du destinataire pointe en fait vers Office 365 (tel que publié dans ses enregistrements DNS), vous pouvez désactiver la détection d'usurpation d'identité.Once you have identified the final recipient domain that is routed behind another server and the recipient domain's MX record actually points to Office 365 (as published in its DNS records), you may proceed to disable anti-spoofing.

N'oubliez pas de désactiver l'usurpation d'identité si le premier tronçon du domaine dans le chemin de routage est Office 365, uniquement lorsqu'il est derrière un ou plusieurs services.Remember, you don't want to disable anti-spoofing if the domain's first hop in the routing path is Office 365, only when it's behind one or more services.

Procédure de désactivation de l'usurpation d'identitéHow to disable anti-spoofing

Si vous avez déjà créé une stratégie anti-hameçonnage, définissez le paramètre EnableAntispoofEnforcement sur $false:If you already have an Anti-phishing policy created, set the EnableAntispoofEnforcement parameter to $false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false 

Si vous ne connaissiez pas le nom de la ou des stratégies à désactiver, vous pouvez les afficher:If you don't know the name of the policy (or policies) to disable, you can display them:

Get-AntiphishPolicy | fl Name

Si vous n'avez pas de stratégies anti-hameçonnage existantes, vous pouvez en créer une, puis la désactiver (même si vous n'avez pas de stratégie, la détection d'usurpation d'identité est toujours appliquée; ensuite, une stratégie par défaut sera créée pour vous, puis désactivez-la au lieu d'en créer une). . Vous devrez effectuer cette opération en plusieurs étapes:If you don't have any existing anti-phishing policies, you can create one and then disable it (even if you don't have a policy, anti-spoofing is still applied; later on in 2018, a default policy will be created for you and you can then disable that instead of creating one). You will have to do this in multiple steps:

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name
# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"
# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains
# Finally, scope the antiphishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false 

La désActivation de la détection d'usurpation d'identité est uniquement disponible via la cmdlet (plus loin dans le 2ème trimestre & 2018, elle sera disponible dans le centre de sécurité conformité). Si vous n'avez pas accès à PowerShell, créez un ticket de support.Disabling anti-spoofing is only available via cmdlet (later in Q2 2018 it will be available in the Security & Compliance Center). If you do not have access to PowerShell, create a support ticket.

N'oubliez pas que cette application doit être appliquée uniquement aux domaines qui subissent un routage indirect lors de l'envoi vers Office 365. Résistez à la tentation de désactiver la détection d'usurpation d'identité en raison de certains faux positifs, il sera préférable de le faire à long terme.Remember, this should only be applied to domains that undergo indirect routing when sent to Office 365. Resist the temptation to disable anti-spoofing because of some false positives, it will be better in the long run to work through them.

Informations pour les utilisateurs individuelsInformation for individual users

Les utilisateurs individuels sont limités dans la façon dont ils peuvent interagir avec le Conseil de sécurité d'usurpation d'identité. Toutefois, il existe plusieurs choses que vous pouvez faire pour résoudre des scénarios courants.Individual users are limited in how they can interact with the anti-spoofing safety tip. However, there are several things you can do to resolve common scenarios.

#1 de scénario courant-transfert de boîte aux lettresCommon scenario #1 - Mailbox forwarding

Si vous utilisez un autre service de messagerie et transférez votre courrier électronique vers Office 365 ou Outlook.com, votre courrier peut être marqué comme une usurpation d'identité et recevoir un Conseil de sécurité rouge. Office 365 et Outlook.com plan pour résoudre ce cas automatiquement lorsque le redirecteur est l'un des Outlook.com, Office 365, Gmail ou tout autre service qui utilise le protocole arc. Toutefois, jusqu'à ce que ce correctif soit déployé, les utilisateurs doivent utiliser la fonctionnalité comptes connectés pour importer leurs messages directement au lieu d'utiliser l'option de transfert.If you use another email service and forward your email to Office 365 or Outlook.com, your email may be marked as spoofing and receive a red safety tip. Office 365 and Outlook.com plan to address this automatically when the forwarder is one of Outlook.com, Office 365, Gmail, or any other service that uses the ARC protocol. However, until that fix is deployed, users should use the Connected Accounts feature to import their messages directly, rather than using the forwarding option.

Pour configurer des comptes connectés dans Office 365, sélectionnez l'icône d'engrenage dans le coin supérieur droit > des comptes de > messagerie > > de messagerie de l'interface Web Office 365.To set up connected accounts in Office 365, select the Gear icon in the top right corner of the Office 365 web interface > Mail > Mail > Accounts > Connected accounts.

Office 365-option de comptes connectés

Dans Outlook.com > , le processus est l'icône d'engrenages comptes de > messagerie > > connectés.In Outlook.com, the process is the Gear icon > Options > Mail > Accounts > Connected accounts.

#2 de scénario courants-listes de discussionCommon scenario #2 - Discussion lists

Les listes de discussion sont connues pour rencontrer des problèmes avec la détection d'usurpation d'identité en raison de la façon dont elles transfèrent le message et modifient son contenu mais conserve l'adresse de provenance:.Discussion lists are known to have problems with anti-spoofing due to the way they forward the message and modify its contents yet retain the original From: address.

Par exemple, supposons que votre adresse e-mail est user @ contoso.com et que vous êtes intéressé par les oiseaux et que vous joignez la liste de discussion birdwatchers @ example.com. Lorsque vous envoyez un message à la liste de discussion, vous pouvez l'envoyer de la manière suivante:For example, suppose your email address is user @ contoso.com, and you are interested in Bird Watching and join the discussion list birdwatchers @ example.com. When you send a message to the discussion list, you might send it this way:

À partir de: John Doe <user @ contoso.com>From: John Doe <user @ contoso.com>

À: Liste <de discussion de Birdwatcher birdwatchers @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Objet: Affichage parfait de Jays bleus en haut de Mt. Rainier cette semaineSubject: Great viewing of blue jays at the top of Mt. Rainier this week

Quiconque souhaite consulter cette semaine à partir de Mt. Rainier?Anyone want to check out the viewing this week from Mt. Rainier?

Lorsque la liste de messages électroniques reçoit le message, il met en forme le message, modifie son contenu et le rejoue sur le reste des membres de la liste de discussion qui est composé de participants provenant de nombreux récepteurs de messagerie différents.When the email list receives the message, they format the message, modify its contents, and replay it to the rest of the members on the discussion list which is made up of participants from many different email receivers.

À partir de: John Doe <user @ contoso.com>From: John Doe <user @ contoso.com>

À: Liste <de discussion de Birdwatcher birdwatchers @ example.com>To: Birdwatcher's Discussion List <birdwatchers @ example.com>

Objet: [BIRDWATCHERS] Affichage parfait de Jays bleus en haut de Mt. Rainier cette semaineSubject: [BIRDWATCHERS] Great viewing of blue jays at the top of Mt. Rainier this week

Quiconque souhaite consulter cette semaine à partir de Mt. Rainier?Anyone want to check out the viewing this week from Mt. Rainier?


Ce message a été envoyé à la liste de discussion birdwatchers. Vous pouvez annuler votre abonnement à tout moment.This message was sent to the Birdwatchers Discussion List. You can unsubscribe at any time.

Dans ce qui précède, le message rediffusé a la même adresse que: Address (user @ contoso.com), mais le message d'origine a été modifié en ajoutant une balise à la ligne d'objet et un pied de page en bas du message. Ce type de modification de message est courant dans les listes de publipostage et peut entraîner des faux positifs.In the above, the replayed message has the same From: address (user @ contoso.com) but the original message has been modified by adding a tag to the Subject line, and a footer to the bottom of the message. This type of message modification is common in mailing lists, and may result in false positives.

Si vous ou une personne de votre organisation est un administrateur de la liste de distribution, vous pouvez peut-être la configurer pour qu'elle transmette des contrôles d'usurpation d'identité.If you or someone in your organization is an administrator of the mailing list, you may be able to configure it to pass anti-spoofing checks.

Si vous n'êtes pas propriétaire de la liste de publipostage:If you do not have ownership of the mailing list:

  • Vous pouvez demander au responsable de la liste de publipostage d'implémenter l'une des options ci-dessus (elles doivent également configurer l'authentification de messagerie pour le domaine à partir duquel la liste de publipostage rerelaie).You can request the maintainer of the mailing list to implement one of the options above (they should also have email authentication set up for the domain the mailing list is relaying from)

  • Vous pouvez créer des règles de boîte aux lettres dans votre client de messagerie pour déplacer des messages vers la boîte de réception. Vous pouvez également demander aux administrateurs de votre organisation de configurer des règles d'autorisation ou des remplacements comme décrit dans la section gestion des expéditeurs légitimes qui envoient des messages électroniques non authentifiés.You can create mailbox rules in your email client to move messages to the Inbox. You can also request your organization's administrators to set up allow rules, or overrides as discussed in the section Managing legitimate senders who are sending unauthenticated email

  • Vous pouvez créer un ticket de support avec Office 365 pour créer un remplacement pour la liste de publipostage afin de la traiter comme légitimeYou can create a support ticket with Office 365 to create an override for the mailing list to treat it as legitimate

Autres scénariosOther scenarios

  1. Si aucun des scénarios courants ci-dessus ne s'applique à votre situation, signalez le message comme faux positif à Microsoft. Pour plus d'informations, reportez-vous à la section Comment puis-je signaler des courriers indésirables ou des messages non indésirables à Microsoft? plus loin dans cet article.If neither of the above common scenarios applies to your situation, report the message as a false positive back to Microsoft. For more information, see the section How can I report spam or non-spam messages back to Microsoft? later in this article.

  2. Vous pouvez également contacter votre administrateur de messagerie qui peut le déclencher en tant que ticket de support avec Microsoft. L'équipe d'ingénierie Microsoft examinera pourquoi le message a été marqué comme falsifié.You may also contact your email administrator who can raise it as a support ticket with Microsoft. The Microsoft engineering team will investigate why the message was marked as a spoof.

  3. De plus, si vous savez qui est l'expéditeur et qu'il est sûr qu'il n'est pas usurpé par malveillance, vous pouvez répondre à l'expéditeur indiquant qu'il envoie des messages à partir d'un serveur de messagerie qui ne s'authentifie pas. Il en résulte parfois que l'expéditeur d'origine contacte son administrateur informatique qui configurera les enregistrements d'authentification de messagerie requis.Additionally, if you know who the sender is and are confident they are not being maliciously spoofed, you may reply back to the sender indicating that they are sending messages from a mail server that does not authenticate. This sometimes results in the original sender contacting their IT administrator who will set up the required email authentication records.

Lorsque suffisamment d'expéditeurs répondent à des propriétaires de domaine pour configurer des enregistrements d'authentification de messagerie, il les Spurs en cours d'exécution. Bien que Microsoft travaille également avec les propriétaires de domaine pour publier les enregistrements requis, il est encore plus utile lorsque des utilisateurs individuels le demandent.When enough senders reply back to domain owners that they should set up email authentication records, it spurs them into taking action. While Microsoft also works with domain owners to publish the required records, it helps even more when individual users request it.

  1. Vous pouvez également ajouter l'expéditeur à votre liste des expéditeurs approuvés. Toutefois, sachez que si un hameçonnage usurpe ce compte, il sera remis à votre boîte aux lettres. Par conséquent, cette option doit être utilisée avec modération.Optionally, add the sender to your Safe Senders list. However, be aware that if a phisher spoofs that account, it will be delivered to your mailbox. Therefore, this option should be used sparingly.

Comment les expéditeurs de Microsoft doivent se préparer à la protection contre l'usurpation d'identitéHow senders to Microsoft should prepare for anti-spoofing protection

Si vous êtes un administrateur qui envoie des messages à Microsoft, qu'il s'agisse d'Office 365 ou Outlook.com, vous devez vous assurer que votre courrier électronique est correctement authentifié, sinon il peut être marqué comme courrier indésirable ou hameçon.If you are an administrator who currently sends messages to Microsoft, either Office 365 or Outlook.com, you should ensure that your email is properly authenticated otherwise it may be marked as spam or phish.

Clients d'Office 365Customers of Office 365

Si vous êtes un client Office 365 et que vous utilisez Office 365 pour envoyer des e-mails sortants:If you are an Office 365 customer and you use Office 365 to send outbound email:

Microsoft ne fournit pas d'instructions d'implémentation détaillées pour chaque SPF, DKIM et DMARC. Toutefois, il existe un grand nombre d'informations publiées en ligne. Il existe également des sociétés tierces dédiées pour aider votre organisation à configurer les enregistrements d'authentification de messagerie.Microsoft does not provide detailed implementation guidelines for each of SPF, DKIM, and DMARC. However, there is a lot of information published online. There are also 3rd party companies dedicated to helping your organization set up email authentication records.

Administrateurs de domaines qui ne sont pas des clients Office 365Administrators of domains that are not Office 365 customers

Si vous êtes un administrateur de domaine, mais qu'il ne s'agit pas d'un client Office 365:If you are a domain administrator but are not an Office 365 customer:

  • Vous devez configurer SPF pour publier les adresses IP d'envoi de votre domaine et configurer DKIM (le cas échéant) pour signer numériquement les messages. Vous pouvez également configurer des enregistrements DMARC.You should set up SPF to publish your domain's sending IP addresses, and also set up DKIM (if available) to digitally sign messages. You may also consider setting up DMARC records.

  • Si vous avez des expéditeurs en bloc qui transmettent des courriers électroniques à votre place, vous devez les utiliser pour envoyer des courriers électroniques de sorte que le domaine d'envoi de l'adresse de: (s'il vous appartient) s'aligne sur le domaine qui transmet SPF ou DMARC.If you have bulk senders who are transmitting email on your behalf, you should work with them to send email in a way such that the sending domain in the From: address (if it belongs to you) aligns with the domain that passes SPF or DMARC.

  • Si vous avez des serveurs de messagerie locaux ou que vous envoyez des messages à partir d'un fournisseur de logiciels en tant que service ou d'un service d'hébergement de Cloud tel que Microsoft Azure, GoDaddy, Rackspace, Amazon Web services ou similaire, vous devez vous assurer qu'ils sont ajoutés à votre enregistrement SPF.If you have on-premises mail servers, or send from a Software-as-a-service provider, or from a cloud-hosting service like Microsoft Azure, GoDaddy, Rackspace, Amazon Web Services, or similar, you should ensure that they are added to your SPF record.

  • Si vous êtes un petit domaine hébergé par un fournisseur de services Internet, vous devez configurer votre enregistrement SPF conformément aux instructions fournies par votre fournisseur de services Internet. La plupart des fournisseurs de service Internet fournissent ces types d'instructions et sont accessibles sur les pages de support de l'entreprise.If you are a small domain that is hosted by an ISP, you should set up your SPF record according to the instructions that is provided to you by your ISP. Most ISPs provide these types of instructions and can be found on the company's support pages.

  • Même si vous n'avez pas dû publier des enregistrements d'authentification de courrier électronique avant et que cela fonctionnait correctement, vous devez toujours publier des enregistrements d'authentification de courrier électronique à envoyer à Microsoft. En procédant ainsi, vous participez à la lutte contre le hameçonnage et vous réduisez la possibilité que vous ou les organisations vers lesquelles vous envoyez des e-mails soient hameçons.Even if you have not had to publish email authentication records before, and it worked fine, you must still publish email authentication records to send to Microsoft. By doing so, you are helping in the fight against phishing, and reducing the possibility that either you, or organizations you send to, will get phished.

Que faire si vous ne connaissez pas les personnes qui envoient des messages électroniques en tant que votre domaine?What if you don't know who sends email as your domain?

De nombreux domaines ne publient pas d'enregistrements SPF, car ils ne connaissent pas tous leurs expéditeurs. C'est possible, vous n'avez pas besoin de vous en informer. Au lieu de cela, vous devez commencer par publier un enregistrement SPF pour ceux que vous savez, en particulier où se trouve votre trafic d'entreprise, et publier une stratégie SPF neutre? All:Many domains do not publish SPF records because they do not know who all their senders are. That's okay, you do not need to know who all of them are. Instead, you should get started by publishing an SPF record for the ones you do know of, especially where your corporate traffic is located, and publish a neutral SPF policy, ?all:

example.com dans TXT "v = spf1 include include. example. com? All"example.com IN TXT "v=spf1 include:spf.example.com ?all"

La stratégie SPF neutre signifie que tout courrier électronique qui sort de votre infrastructure d'entreprise passera l'authentification de courrier électronique à tous les autres destinataires. Les messages électroniques provenant d'expéditeurs dont vous n'êtes pas informé seront redirigés vers le système de messagerie neutre, qui est quasiment identique à la publication d'aucun enregistrement SPF.The neutral SPF policy means that any email that comes out of your corporate infrastructure will pass email authentication at all other email receivers. Email that comes from senders you don't know about will fall back to neutral, which is almost the same as publishing no SPF record at all.

Lors de l'envoi à Office 365, les messages électroniques provenant de votre trafic d'entreprise seront marqués comme étant authentifiés, mais les messages provenant de sources que vous ne connaissiez pas peuvent toujours être marqués comme frauduleux (selon que Office 365 peut ou non l'authentifier de manière implicite). Toutefois, il s'agit toujours d'une amélioration de tous les messages électroniques marqués comme usurpés par Office 365.When sending to Office 365, email that comes from your corporate traffic will be marked as authenticated, but the email that comes from sources you don't know about may still be marked as spoof (depending upon whether or not Office 365 can implicitly authenticate it). However, this is still an improvement from all email being marked as spoof by Office 365.

Une fois que vous avez commencé à utiliser un enregistrement SPF avec une stratégie de secours de? tout, vous pouvez inclure progressivement de plus en plus d'infrastructure d'envoi, puis publier une stratégie plus stricte.Once you've gotten started with an SPF record with a fallback policy of ?all, you can gradually include more and more sending infrastructure and then publish a stricter policy.

Que faire si vous êtes le propriétaire d'une liste de publipostage?What if you are the owner of a mailing list?

Consultez la section scénario courant #2-listes de discussion.See the section Common scenario #2 - Discussion lists.

Que se passe-t-il si vous êtes un fournisseur d'infrastructure tel qu'un fournisseur de services Internet, un fournisseur de services de messagerie (ESP) ou un service d'hébergement de Cloud?What if you are an infrastructure provider such as an Internet Service Provider (ISP), Email Service Provider (ESP), or cloud hosting service?

Si vous hébergez le courrier électronique d'un domaine, qu'il envoie des courriers électroniques ou une infrastructure d'hébergement pouvant envoyer des courriers électroniques, vous devez effectuer les opérations suivantes:If you host a domain's email, and it sends email, or provide hosting infrastructure that can send email, you should do the following:

  • Vérifier que vos clients disposent d'une documentation décrivant les éléments à publier dans leurs enregistrements SPFEnsure your customers have documentation detailing what to publish in their SPF records

  • EnVisagez de signer les signatures DKIM sur les messages sortants même si le client ne le configure pas explicitement (signez-le à l'aide d'un domaine par défaut). Vous pouvez même signer le courrier électronique à l'aide de signatures DKIM (une seule fois avec le domaine du client s'il l'a configurée, puis une deuxième fois avec la signature DKIM de votre entreprise).Consider signing DKIM-signatures on outbound email even if the customer doesn't explicitly set it up (sign with a default domain). You can even double-sign the email with DKIM signatures (once with the customer's domain if they have set it up, and a second time with your company's DKIM signature)

La remise à Microsoft n'est pas garantie même si vous authentifiez le courrier électronique provenant de votre plateforme, mais qu'il garantit au moins que Microsoft ne peut pas légitimer votre courrier électronique, car il n'est pas authentifié. Pour plus d'informations sur la façon dont Outlook.com filtre les messages électroniques, consultez la page Outlook.com postmaster.Deliverability to Microsoft is not guaranteed even if you authenticate email originating from your platform, but at least it ensures that Microsoft does not junk your email because it is not authenticated. For more details around how Outlook.com filters email, see the Outlook.com Postmaster page.

Pour plus d'informations sur les meilleures pratiques en matière de fournisseurs de services, consultez la rubrique M3AAWG mobile messagIng Best Practices for ServiceProviders.For more details on service providers best practices, see M3AAWG Mobile Messaging Best Practices for Service Providers.

Forum Aux QuestionsFrequently Asked Questions

Pourquoi Microsoft apporte-t-il cette modification?Why is Microsoft making this change?

En raison de l'impact des attaques par hameçonnage et de l'authentification de messagerie depuis plus de 15 ans, Microsoft pense que le risque de continuer à autoriser le courrier non authentifié est plus élevé que le risque de perdre des messages légitimes.Because of the impact of phishing attacks, and because email authentication has been around for over 15 years, Microsoft believes that the risk of continue to allow unauthenticated email is higher than the risk of losing legitimate email.

Cette modification entraîne-t-elle le marquage du courrier légitime comme courrier indésirable?Will this change cause legitimate email to be marked as spam?

Dans un premier temps, certains messages seront marqués comme courrier indésirable. Toutefois, au fil du temps, les expéditeurs ajusteront, puis la quantité de messages ayant été labellisés comme falsifiés sera négligeable pour la plupart des chemins d'accès.At first, there will be some messages that are marked as spam. However, over time, senders will adjust and then the amount of messages mislabeled as spoofed will be negligible for most email paths.

Microsoft a d'abord adopté cette fonctionnalité plusieurs semaines avant de la déployer sur le reste de ses clients. Bien qu'il y ait une interruption en premier, il a progressivement baissé.Microsoft itself first adopted this feature several weeks before deploying it to the rest of its customers. While there was disruption at first, it gradually declined.

Est-ce que Microsoft mettra cette fonctionnalité à Outlook.com et aux clients de protection contre les menaces de Microsoft Office 365?Will Microsoft bring this feature to Outlook.com and non-Advanced Threat Protection customers of Office 365?

La technologie de détection d'usurpation de Microsoft a été déployée à l'origine dans ses organisations disposant d'un abonnement Office 365 entreprise E5 ou a acheté le complément Office 365 Advanced Threat Protection (ATP) pour leur abonnement. Depuis octobre 2018, nous avons étendu la protection aux organisations qui possèdent également Exchange Online Protection (EOP). À l'avenir, nous pouvons le publier pour Outlook.com. Toutefois, dans ce cas, certaines fonctionnalités ne sont pas appliquées, telles que la création de rapports et les substitutions personnalisées.Microsoft's anti-spoofing technology was initially deployed to its organizations that had an Office 365 Enterprise E5 subscription or had purchased the Office 365 Advanced Threat Protection (ATP) add-on for their subscription. As of October, 2018 we've extended the protection to organizations that have Exchange Online Protection (EOP) as well. In the future, we may release it for Outlook.com. However, if we do, there may be some capabilities that are not applied such as reporting and custom overrides.

Comment puis-je signaler des courriers indésirables ou des messages non indésirables à Microsoft?How can I report spam or non-spam messages back to Microsoft?

Vous pouvez utiliser le complément de message de rapport pour Outlook, ou s'il n'est pas installé, soumettre des messages de courrier indésirable, de courrier non indésirable et de hameçonnage à Microsoft pour analyse.You can either use the Report Message Add-in for Outlook, or if it isn't installed, Submit spam, non-spam, and phishing scam messages to Microsoft for analysis.

Je suis un administrateur de domaine qui ne connaît pas tous mes expéditeurs!I'm a domain administrator who doesn't know who all my senders are!

Veuillez consulter les administrateurs de domaines qui ne sont pas des clients Office 365.Please see Administrators of domains that are not Office 365 customers.

Que se passe-t-il si je désactive la protection contre l'usurpation d'identité pour mon organisation, même si Office 365 est mon filtre principal?What happens if I disable anti-spoofing protection for my organization, even though Office 365 is my primary filter?

Nous vous déconseillons de le faire car vous serez exposé à d'autres messages de hameçonnage et de courrier indésirable. Tout le hameçonnage n'est pas usurpé, et toutes les usurpations ne seront pas manquées. Toutefois, votre risque est supérieur à celui d'un client qui active la détection d'usurpation d'identité.We do not recommend this because you will be exposed to more missed phishing and spam messages. Not all phishing is spoofing, and not all spoofs will be missed. However, your risk will be higher than a customer who enables anti-spoofing.

Est-ce que l'activation de la protection contre l'usurpation d'identité signifie que je suis protégé contre tous les tentatives de hameçonnage?Does enabling anti-spoofing protection mean I will be protected from all phishing?

Malheureusement, non, car les auteurs de phishing s'adaptent à d'autres techniques telles que les comptes compromis ou à la configuration des comptes de services gratuits. Toutefois, la protection anti-hameçonnage est bien plus efficace pour détecter ces autres types de méthodes de hameçonnage car les couches de protection d'Office 365 sont conçues conjointement et s'imbriquent les unes sur les autres.Unfortunately, no, because phishers will adapt to use other techniques such as compromised accounts, or setting up accounts of free services. However, anti-phishing protection works much better to detect these other types of phishing methods because Office 365's protection layers are designed work together and build on top of each other.

D'autres récepteurs de courrier volumineux bloquent-ils le courrier électronique non authentifié?Do other large email receivers block unauthenticated email?

Presque tous les grands récepteurs de courrier électronique mettent en œuvre SPF, DKIM et DMARC. Certains récepteurs ont d'autres vérifications qui sont plus strictes que les seules normes, mais il n'est pas nécessaire d'utiliser Office 365 pour bloquer les messages électroniques non authentifiés et les traiter comme une usurpation. Toutefois, la plupart du secteur d'activité est de plus en plus strict sur ce type particulier de courrier électronique, en particulier en raison du problème de hameçonnage.Nearly all large email receivers implement traditional SPF, DKIM, and DMARC. Some receivers have other checks that are more strict than just those standards, but few go as far as Office 365 to block unauthenticated email and treat them as a spoof. However, most of the industry is becoming more and more strict about this particular type of email, particularly because of the problem of phishing.

Est-ce que j'ai toujours besoin de l'option avancée de filtrage du courrier inDésirable pour «échec matériel SPF» si j'active la détection d'usurpation d'identité?Do I still need the Advanced Spam Filtering option enabled for "SPF Hard Fail" if I enable anti-spoofing?

Non, cette option n'est plus nécessaire, car la fonctionnalité de détection d'usurpation d'identité ne prend pas en compte le blocage de SPF, mais un ensemble plus large de critères. Si la détection d'usurpation d'identité est activée et que l'option SPF non activable est activée, vous obtiendrez probablement plus de faux positifs. Nous vous recommandons de désactiver cette fonctionnalité, car elle ne fournirait presque aucune capture supplémentaire pour le courrier indésirable ou le hameçonnage et générera plutôt des faux positifs.No, this option is no longer required because the anti-spoofing feature not only considers SPF hard fails, but a much wider set of criteria. If you have anti-spoofing enabled and the SPF Hard Fail option enabled, you will probably get more false positives. We recommend disabling this feature as it would provide almost no additional catch for spam or phish, and instead generate mostly false positives.

Est-ce que le modèle de réécriture d'expéditeur (SRS) permet de réparer le courrier transféré?Does Sender Rewriting Scheme (SRS) help fix forwarded email?

Le service SRS corrige partiellement le problème de la transmission du courrier électronique. En réécrivant le courrier SMTP à partir de, le service SRS peut s'assurer que le message transféré passe par SPF à la destination suivante. Toutefois, étant donné que la détection d'usurpation d'identité est basée sur l'adresse de l'expéditeur en combinaison avec le domaine de messagerie ou le domaine de signature DKIM (ou d'autres signaux), il n'est pas suffisant d'empêcher le marquage du courrier transféré comme falsifié.SRS only partially fixes the problem of forwarded email. By rewriting the SMTP MAIL FROM, SRS can ensure that the forwarded message passes SPF at the next destination. However, because anti-spoofing is based upon the From: address in combination with either the MAIL FROM or DKIM-signing domain (or other signals), it is not enough to prevent forwarded email from being marked as spoofed.