Utiliser DMARC pour valider les e-mails dans Office 365Use DMARC to validate email in Office 365

L’authentification de message basée sur un domaine, la création de rapports et la conformité (DMARC) fonctionne avec SPF (Sender Policy Framework) et DomainKeys Identified Identified Mail (DKIM) pour authentifier les expéditeurs de messages et s’assurer que les systèmes de messagerie de destination approuvent les messages envoyés à partir de votre domaine.Domain-based Message Authentication, Reporting, and Conformance (DMARC) works with Sender Policy Framework (SPF) and DomainKeys Identified Mail (DKIM) to authenticate mail senders and ensure that destination email systems trust messages sent from your domain. L'implémentation de DMARC avec SPF et DKIM fournit une protection supplémentaire contre l'usurpation et les courriers de hameçonnage.Implementing DMARC with SPF and DKIM provides additional protection against spoofing and phishing email. DMARC permet aux systèmes de messagerie de réception de déterminer ce qu'ils doivent faire des messages envoyés à partir de votre domaine qui sont rejetés par les contrôles de SPF ou de DKIM.DMARC helps receiving mail systems determine what to do with messages sent from your domain that fail SPF or DKIM checks.

Comment SPF et DMARC fonctionnent-ils ensemble pour protéger les messages électroniques dans Office 365 ?How do SPF and DMARC work together to protect email in Office 365?

Un message électronique peut contenir plusieurs adresses d'origine (ou d'expéditeur). Ces adresses sont utilisées à des fins différentes. Par exemple, prenez les adresses suivantes :An email message may contain multiple originator, or sender, addresses. These addresses are used for different purposes. For example, consider these addresses:

  • Adresse «mail from»: identifie l’expéditeur et spécifie l’emplacement où envoyer des notifications de retour si un problème se produit avec la remise du message, comme des notifications d’échec de remise."Mail From" address: Identifies the sender and specifies where to send return notices if any problems occur with the delivery of the message, such as non-delivery notices. Elle apparaît dans la partie d'enveloppe d'un e-mail et n'est généralement pas affichée par l'application de messagerie.This appears in the envelope portion of an email message and is not usually displayed by your email application. Elle est parfois appelée adresse 5321.MailFrom ou adresse de chemin inverse.This is sometimes called the 5321.MailFrom address or the reverse-path address.

  • Adressede l’expéditeur: adresse de l’expéditeur par votre application de messagerie."From" address: The address displayed as the From address by your mail application. Cette adresse identifie l’auteur du message.This address identifies the author of the email. C’est-à-dire, la boîte aux lettres de la personne ou du système responsable de l’écriture du message.That is, the mailbox of the person or system responsible for writing the message. Elle est parfois appelée adresse 5322.From.This is sometimes called the 5322.From address.

SPF utilise un enregistrement TXT DNS pour fournir la liste des adresses IP d'envoi autorisées pour un domaine donné. En règle générale, les vérifications SPF sont uniquement effectuées pour l'adresse 5321.MailFrom. Cela signifie que l'adresse 5322.From n'est pas authentifiée lorsque vous utilisez uniquement SPF. Vous pouvez ainsi vous retrouver dans le cas de figure où un utilisateur reçoit un message qui a été accepté par la vérification SPF mais possède une adresse d'expéditeur 5322.From usurpée. Prenez par exemple, la transcription SMTP suivante :SPF uses a DNS TXT record to provide a list of authorized sending IP addresses for a given domain. Normally, SPF checks are only performed against the 5321.MailFrom address. This means that the 5322.From address is not authenticated when you use SPF by itself. This allows for a scenario where a user can receive a message which passes an SPF check but has a spoofed 5322.From sender address. For example, consider this SMTP transcript:

S: Helo woodgrovebank.com
S: Mail from: phish@phishing.contoso.com
S: Rcpt to: astobes@tailspintoys.com
S: data
S: To: "Andrew Stobes" <astobes@tailspintoys.com>
S: From: "Woodgrove Bank Security" <security@woodgrovebank.com>
S: Subject: Woodgrove Bank - Action required
S:
S: Greetings User,
S: 
S: We need to verify your banking details.
S: Please click the following link to verify that we have the right information for your account.
S: 
S: http://short.url/woodgrovebank/updateaccount/12-121.aspx
S:
S: Thank you,
S: Woodgrove Bank
S: .

Dans cette transcription, les adresses de l'expéditeur sont les suivantes :In this transcript, the sender addresses are as follows:

  • Adresse « Mail from » (5321.MailFrom) : phish@phishing.contoso.comMail from address (5321.MailFrom): phish@phishing.contoso.com

  • Adresse From (5322.From) : security@woodgrovebank.comFrom address (5322.From): security@woodgrovebank.com

Si vous avez configuré SPF, le serveur de réception effectue une vérification sur l'adresse Mail from phish@phishing.contoso.com. Si l'e-mail provenait d'une source valide pour le domaine phishing.contoso.com, le contrôle SPF accepte le message. Étant donné que le client de messagerie affiche uniquement l'adresse From, l'utilisateur voit que ce message provenait de security@woodgrovebank.com. Avec SPF seul, la validité de l'adresse woodgrovebank.com n'a jamais été authentifiée.If you configured SPF, then the receiving server performs a check against the Mail from address phish@phishing.contoso.com. If the message came from a valid source for the domain phishing.contoso.com then the SPF check passes. Since the email client only displays the From address, the user sees that this message came from security@woodgrovebank.com. With SPF alone, the validity of woodgrovebank.com was never authenticated.

Lorsque vous utilisez DMARC, le serveur de réception effectue aussi une vérification sur l’adresse From. Dans l’exemple ci-dessus, s’il existe un enregistrement TXT DMARC pour woodgrovebank.com, la vérification de l’adresse de provenance rejette celle-ci.When you use DMARC, the receiving server also performs a check against the From address. In the example above, if there is a DMARC TXT record in place for woodgrovebank.com, then the check against the From address fails.

Qu’est-ce qu’un enregistrement TXT DMARC ?What is a DMARC TXT record?

À l'instar des enregistrements DNS pour SPF, l'enregistrement pour DMARC est un enregistrement DNS au format texte (TXT) qui empêche l'usurpation d'identité et le hameçonnage. Vous publiez les enregistrements TXT DMARC dans le système DNS. Les enregistrements TXT DMARC valident l'origine des messages électroniques en comparant l'adresse IP de l'auteur de l'e-mail à celle du prétendu propriétaire du domaine d'expédition. L'enregistrement TXT DMARC identifie les serveurs de messagerie sortants autorisés. Les systèmes de messagerie électronique de destination peuvent alors vérifier si les messages reçus proviennent de serveurs de messagerie sortants autorisés.Like the DNS records for SPF, the record for DMARC is a DNS text (TXT) record that helps prevent spoofing and phishing. You publish DMARC TXT records in DNS. DMARC TXT records validate the origin of email messages by verifying the IP address of an email's author against the alleged owner of the sending domain. The DMARC TXT record identifies authorized outbound email servers. Destination email systems can then verify that messages they receive originate from authorized outbound email servers.

Un enregistrement TXT DMARC de Microsoft se présente comme suit :Microsoft's DMARC TXT record looks something like this:

_dmarc.microsoft.com.   3600    IN      TXT     "v=DMARC1; p=none; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1" 

Microsoft envoie ses rapports DMARC à Agari, un système tiers. Agari collecte et analyse les rapports DMARC.Microsoft sends its DMARC reports to Agari, a 3rd party. Agari collects and analyzes DMARC reports.

Mettre en œuvre DMARC pour les messages entrantsImplement DMARC for inbound mail

Vous n'avez rien à faire pour configurer DMARC pour les messages que vous recevez dans Office 365. Nous nous sommes occupés de tout. Si vous voulez découvrir ce qui se passe pour le courrier électronique rejeté par nos vérifications DMARC, reportez-vous à la section Gestion des messages électroniques entrants qui échouent aux vérifications de DMARC dans Office 365.You don't have to do a thing to set up DMARC for mail that you receive in Office 365. We've taken care of everything for you. If you want to learn what happens to mail that fails to pass our DMARC checks, see How Office 365 handles inbound email that fails DMARC.

Mettre en œuvre DMARC pour les messages sortants d’Office 365Implement DMARC for outbound mail from Office 365

Si vous utilisez Office 365, mais pas un domaine personnalisé, c'est-à-dire que vous utilisez onmicrosoft.com, il vous suffit de configurer ou de mettre en œuvre DMARC pour votre organisation. SPF est déjà configuré pour vous et Office 365 génère automatiquement une signature DKIM pour vos messages sortants. Pour plus d'informations sur cette signature, voir Comportement par défaut pour DKIM et Office 365.If you use Office 365 but you aren't using a custom domain, that is, you use onmicrosoft.com, you don't need to do anything else to configure or implement DMARC for your organization. SPF is already set up for you and Office 365 automatically generates a DKIM signature for your outgoing mail. For more information about this signature, see Default behavior for DKIM and Office 365.

Si vous avez un domaine personnalisé ou utilisez des serveurs Exchange locaux en plus d'Office 365, vous devez implémenter manuellement DMARC pour vos messages sortants. La mise en œuvre de DMARC pour votre domaine personnalisé comporte les étapes suivantes :If you have a custom domain or you are using on-premises Exchange servers in addition to Office 365, you need to manually implement DMARC for your outbound mail. Implementing DMARC for your custom domain includes these steps:

Étape 1 : déterminer les sources de messagerie valides pour votre domaineStep 1: Identify valid sources of mail for your domain

Si vous avez déjà configuré SPF, vous connaissez déjà la procédure. Toutefois, il existe des considérations supplémentaires pour DMARC. Lorsque vous déterminez les sources de messagerie pour votre domaine, il existe deux questions auxquelles vous devez répondre :If you have already set up SPF then you have already gone through this exercise. However, for DMARC, there are additional considerations. When identifying sources of mail for your domain there are two questions you need to answer:

  • Quelles adresses IP envoient des messages à partir de mon domaine ?What IP addresses send messages from my domain?

  • Pour les messages envoyés par des tiers de ma part, les domaines 5321.MailFrom et 5322.From correspondront-ils ?For mail sent from third parties on my behalf, will the 5321.MailFrom and 5322.From domains match?

Étape 2 : configurer SPF pour votre domaine dans Office 365Step 2: Set up SPF for your domain in Office 365

Maintenant que vous avez une liste de tous vos expéditeurs valides, vous pouvez suivre les étapes pour Set up SPF in Office 365 to help prevent spoofing.Now that you have a list of all your valid senders you can follow the steps to Set up SPF in Office 365 to help prevent spoofing.

Par exemple, en supposant que contoso.com envoie du courrier depuis Exchange Online, un serveur Exchange local dont l'adresse IP est 192.168.0.1 et une application web dont l'adresse IP est 192.168.100.100, l'enregistrement TXT SPF ressemblerait à ceci :For example, assuming contoso.com sends mail from Exchange Online, an on-premises Exchange server whose IP address is 192.168.0.1, and a web application whose IP address is 192.168.100.100, the SPF TXT record would look like this:

contoso.com  IN  TXT  " v=spf1 ip4:192.168.0.1 ip4:192.168.100.100 include:spf.protection.outlook.com -all"

Pour obtenir les meilleurs résultats, vérifiez que votre enregistrement TXT SPF tienne compte des expéditeurs tiers.As a best practice, ensure that your SPF TXT record takes into account third-party senders.

Étape 3 : configurer DKIM pour votre domaine personnalisé dans Office 365Step 3: Set up DKIM for your custom domain in Office 365

Une fois que vous avez configuré SPF, vous devez configurer DKIM. DKIM vous permet d'ajouter une signature numérique aux messages électroniques dans l'en-tête du message. Si vous ne configurez pas DKIM et que vous autorisez Office 365 à utiliser la configuration par défaut pour votre domaine à la place, DMARC risque de rejeter les messages. En effet, la configuration par défaut de DKIM utilise votre domaine onmicrosoft.com en tant qu'adresse 5322.From, et non votre domaine personnalisé. Cela crée de fait une différence entre les adresses 5321.MailFrom et 5322.From dans tous les messages envoyés à partir de votre domaine.Once you have set up SPF, you need to set up DKIM. DKIM lets you add a digital signature to email messages in the message header. If you do not set up DKIM and instead allow Office 365 to use the default DKIM configuration for your domain, DMARC may fail. This is because the default DKIM configuration uses your initial onmicrosoft.com domain as the 5322.From address, not your custom domain. This forces a mismatch between the 5321.MailFrom and the 5322.From addresses in all email sent from your domain.

Si des expéditeurs tiers envoient des messages en votre nom et que les adresses 5321.MailFrom et 5322.From de ces messages ne correspondent pas, DMARC rejettera ce message électronique. Pour éviter ce problème, vous devez configurer DKIM en définissant spécifiquement cet expéditeur tiers pour votre domaine. Cela permet à Office 365 d'authentifier les messages envoyés par ce service tiers. Toutefois, cela autorise également d'autres entités, par exemple, Yahoo, Gmail et Comcast, à vérifier le courrier électronique qui leur est envoyé par le tiers comme s'il s'agissait de messages envoyés par vous-même. C'est un avantage, car, d'un côté, cela renforce la confiance que les clients peuvent avoir en votre domaine, quel que soit l'endroit où se trouvent leurs boîtes aux lettres et, de l'autre, Office 365 ne marquera pas un message comme spam pour cause d'usurpation d'identité, car cet e-mail aura été accepté par les vérifications d'authentification pour votre domaine.If you have third-party senders that send mail on your behalf and the mail they send has mismatched 5321.MailFrom and 5322.From addresses, DMARC will fail for that email. To avoid this, you need to set up DKIM for your domain specifically with that third-party sender. This allows Office 365 to authenticate email from this 3rd-party service. However, it also allows others, for example, Yahoo, Gmail, and Comcast, to verify email sent to them by the third-party as if it was email sent by you. This is beneficial because it allows your customers to build trust with your domain no matter where their mailbox is located, and at the same time Office 365 won't mark a message as spam due to spoofing because it passes authentication checks for your domain.

Pour obtenir des instructions sur la configuration de DKIM pour votre domaine, y compris sur la façon de configurer DKIM pour les expéditeurs tiers pour leur permettre d'usurper votre domaine, voir Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé dans Office 365.For instructions on setting up DKIM for your domain, including how to set up DKIM for third-party senders so they can spoof your domain, see Use DKIM to validate outbound email sent from your custom domain in Office 365.

Étape 4 : créer l’enregistrement TXT DMARC pour votre domaine dans Office 365Step 4: Form the DMARC TXT record for your domain in Office 365

Bien qu'il existe des options de syntaxe qui ne sont pas mentionnées ici, voici les options les plus fréquemment utilisées pour Office 365. Créez l'enregistrement TXT DMARC pour votre domaine au format suivant :Although there are other syntax options that are not mentioned here, these are the most commonly used options for Office 365. Form the DMARC TXT record for your domain in the format:

_dmarc.domain  TTL  IN  TXT  "v=DMARC1; pct=100; p=policy"

où :where:

  • domain est le domaine que vous souhaitez protéger.domain is the domain you want to protect. Par défaut, l’enregistrement protège le courrier issu du domaine et de tous ses sous-domaines.By default, the record protects mail from the domain and all subdomains. Par exemple, si vous spécifiez _DMARC.contoso.com, dMarc protège le courrier électronique à partir du domaine et de tous les sous-domaines, tels que housewares.contoso.com ou Plumbing.contoso.com.For example, if you specify _dmarc.contoso.com, then DMARC protects mail from the domain and all subdomains, such as housewares.contoso.com or plumbing.contoso.com.

  • La valeur \*TTL\* doit toujours être équivalente à une heure. L’unité utilisée pour TTL, que ce soit les heures (1 heure), les minutes (60 minutes) ou les secondes (3 600 secondes), varie selon le bureau d’enregistrement de votre domaine.*TTL* should always be the equivalent of one hour. The unit used for TTL, either hours (1 hour), minutes (60 minutes), or seconds (3600 seconds), will vary depending on the registrar for your domain.
  • PCT = 100 indique que cette règle doit être utilisée pour 100% du courrier électronique.pct=100 indicates that this rule should be used for 100% of email.

  • policy indique la stratégie que vous souhaitez que le serveur de réception suive si un message est rejeté par DMARC. Vous pouvez définir la stratégie sur none (Aucune), quarantine (Mettre en quarantaine) ou reject (Rejeter).policy specifies what policy you want the receiving server to follow if DMARC fails. You can set the policy to none, quarantine, or reject.

Pour plus d'informations sur les options à utiliser, familiarisez-vous avec les concepts de la section Meilleures pratiques pour la mise en œuvre de DMARC dans Office 365.For information about which options to use, become familiar with the concepts in Best practices for implementing DMARC in Office 365.

Exemples :Examples:

  • Stratégie définie sur none (Aucune)Policy set to none

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=none"
    
  • Stratégie définie sur quarantine (Mettre en quarantaine)Policy set to quarantine

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=quarantine"
    
  • Stratégie définie sur reject (Rejeter)Policy set to reject

    _dmarc.contoso.com  3600 IN  TXT  "v=DMARC1; p=reject"
    

Une fois que vous avez créé votre enregistrement, vous devez le mettre à jour auprès de votre bureau d'enregistrement de domaine. Pour obtenir des instructions sur l'ajout de l'enregistrement TXT DMARC à vos enregistrements DNS pour Office 365, voir Créer des enregistrements DNS pour Office 365 lorsque vous gérez vos enregistrements DNS.Once you have formed your record, you need to update the record at your domain registrar. For instructions on adding the DMARC TXT record to your DNS records for Office 365, see Create DNS records for Office 365 when you manage your DNS records.

Meilleures pratiques pour la mise en œuvre de DMARC dans Office 365Best practices for implementing DMARC in Office 365

Vous pouvez implémenter DMARC progressivement sans que cela n'ait de répercussions sur le reste de votre flux de messagerie. Créez et mettez en œuvre un plan de déploiement qui suit la procédure ci-dessous. Effectuez d'abord chaque étape avec un sous-domaine, puis avec d'autres, et enfin avec le domaine de niveau supérieur de votre organisation avant de passer à l'étape suivante.You can implement DMARC gradually without impacting the rest of your mail flow. Create and implement a roll out plan that follows these steps. Do each of these steps first with a sub-domain, then other sub-domains, and finally with the top-level domain in your organization before moving on to the next step.

  1. Contrôlez les effets de l'implémentation DMARCMonitor the impact of implementing DMARC

    Commencez avec un simple enregistrement en mode surveillance pour un sous-domaine ou un domaine qui requiert que les récepteurs DMARC vous envoient des statistiques sur les messages qu'ils voient pour ce domaine. Un enregistrement en mode surveillance est un enregistrement TXT DMARC dont la stratégie est définie sur Aucune (p=none). De nombreuses sociétés publient un enregistrement TXT DMARC avec p=none, car elles ne savent pas exactement la quantité de messages qu'elles risquent de perdre en publiant une stratégie DMARC plus restrictive.Start with a simple monitoring-mode record for a sub-domain or domain that requests that DMARC receivers send you statistics about messages that they see using that domain. A monitoring-mode record is a DMARC TXT record that has its policy set to none (p=none). Many companies publish a DMARC TXT record with p=none because they are unsure about how much email they may lose by publishing a more restrictive DMARC policy.

    Vous pouvez effectuer cette opération avant même d'avoir mis en œuvre SPF ou DKIM dans votre infrastructure de messagerie. Toutefois, vous ne pourrez pas mettre en quarantaine ou refuser des messages à l'aide de DMARC jusqu'à ce que vous implémentiez également SPF et DKIM. Lorsque vous mettrez en place SPF et DKIM, les rapports générés via DMARC fourniront le nombre et la source des messages qui sont acceptés par ces contrôles, ainsi que de ceux qui sont refusés. Vous pouvez facilement déterminer la part de votre trafic légitime qui est ou non couverte par ces catégories et résoudre les problèmes. Vous commencerez aussi à voir le nombre de messages frauduleux envoyés, ainsi que leur source.You can do this even before you've implemented SPF or DKIM in your messaging infrastructure. However, you won't be able to effectively quarantine or reject mail by using DMARC until you also implement SPF and DKIM. As you introduce SPF and DKIM, the reports generated through DMARC will provide the numbers and sources of messages that pass these checks, and those that don't. You can easily see how much of your legitimate traffic is or isn't covered by them, and troubleshoot any problems. You'll also begin to see how many fraudulent messages are being sent, and from where.

  2. Demandez que les systèmes de messagerie externes mettent en quarantaine le courrier qui échoue aux vérifications de DMARCRequest that external mail systems quarantine mail that fails DMARC

    Lorsque vous pensez que tout ou partie de votre trafic légitime est protégé par SPF et DKIM, et que vous connaissez les répercussions de l'implémentation de DMARC, vous pouvez implémenter une stratégie de mise en quarantaine. Une stratégie de mise en quarantaine est un enregistrement TXT DMARC dont la stratégie est définie de manière à effectuer une mise en quarantaine (p=quarantine). Ce faisant, vous demandez aux récepteurs DMARC de placer les messages issus de votre domaine qui sont refusés par DMARC dans l'équivalent local d'un dossier de courrier indésirable plutôt que dans la boîte de réception de vos clients.When you believe that all or most of your legitimate traffic is protected by SPF and DKIM, and you understand the impact of implementing DMARC, you can implement a quarantine policy. A quarantine policy is a DMARC TXT record that has its policy set to quarantine (p=quarantine). By doing this, you are asking DMARC receivers to put messages from your domain that fail DMARC into the local equivalent of a spam folder instead of your customers' inboxes.

  3. Demandez que les systèmes de messagerie externes n'acceptent pas les messages qui échouent aux vérifications de DMARCRequest that external mail systems not accept messages that fail DMARC

    L'étape finale consiste à mettre en œuvre une stratégie de rejet. Une stratégie de rejet est un enregistrement TXT DMARC dont la stratégie est définie de manière à effectuer un rejet (p=reject). Lorsque vous effectuez cette opération, vous demandez aux récepteurs DMARC ne pas accepter les messages qui échouent aux tests DMARC.The final step is implementing a reject policy. A reject policy is a DMARC TXT record that has its policy set to reject (p=reject). When you do this, you're asking DMARC receivers not to accept messages that fail the DMARC checks.

Gestion des messages électroniques sortants qui échouent aux vérifications de DMARC dans Office 365How Office 365 handles outbound email that fails DMARC

Si un message est sortant d’Office 365 et échoue DMARC et que vous avez défini la stratégie sur p = Quarantine ou p = Reject, le message est routé via le pool de remise à haut risque pour les messages sortants.If a message is outbound from Office 365 and fails DMARC, and you have set the policy to p=quarantine or p=reject, the message is routed through the High-risk delivery pool for outbound messages. Les e-mails sortants ne sont pas écrasés.There is no override for outbound email.

Si vous publiez une stratégie de rejet DMARC (p=reject), aucun autre client dans Office 365 ne peut usurper votre domaine, car les messages ne seront pas en mesure de passer les vérifications SPF ou DKIM pour votre domaine lorsqu'un message sortant sera relayé via le service. En revanche, si vous publiez une stratégie de rejet DMARC mais que tous vos messages électroniques ne sont pas authentifiés via Office 365, une partie de ceux-ci peuvent être marqués comme courrier indésirable pour les e-mails entrants (comme décrit ci-dessus), ou ils seront refusés si vous ne publiez pas SPF et que vous essayez de les relayer dans le sens sortant via le service. Cela peut se produire, par exemple, si vous avez oublié d'inclure les adresses IP de certains serveurs et de certaines applications qui envoient des messages au nom de votre domaine lorsque vous avez créé votre enregistrement TXT DMARC.If you publish a DMARC reject policy (p=reject), no other customer in Office 365 can spoof your domain because messages will not be able to pass SPF or DKIM for your domain when relaying a message outbound through the service. However, if you do publish a DMARC reject policy but don't have all of your email authenticated through Office 365, some of it may be marked as spam for inbound email (as described above), or it will be rejected if you do not publish SPF and try to relay it outbound through the service. This happens, for example, if you forget to include some of the IP addresses for servers and apps that send mail on behalf of your domain when you form your DMARC TXT record.

Gestion des messages électroniques entrants qui échouent aux vérifications de DMARC dans Office 365How Office 365 handles inbound email that fails DMARC

Si la stratégie DMARC du serveur expéditeur est p=reject (rejet), EOP marque le message comme du courrier indésirable au lieu de le rejeter. En d'autres termes, pour les messages entrants, Office 365 traite les stratégies p=reject (rejet) et p=quarantine (mise en quarantaine) de la même manière.If the DMARC policy of the sending server is p=reject, EOP marks the message as spam instead of rejecting it. In other words, for inbound email, Office 365 treats p=reject and p=quarantine the same way.

Office 365 est configuré de cette façon, car certains messages légitimes peuvent échouer aux vérifications de DMARC. Cela peut être le cas, par exemple, si un message est envoyé à une liste de diffusion qui le relaie ensuite à tous ses participants. Si Office 365 rejette ces e-mails, les destinataires peuvent perdre des messages légitimes sans avoir aucun moyen de les récupérer. C'est pourquoi, avec cette configuration, ces messages sont toujours refusés par DMARC, mais, au lieu d'être rejetés, ils sont marqués comme courrier indésirable. Si nécessaire, les utilisateurs peuvent toujours accéder à ces messages dans leur boîte de réception via les méthodes suivantes :Office 365 is configured like this because some legitimate email may fail DMARC. For example, a message might fail DMARC if it is sent to a mailing list that then relays the message to all list participants. If Office 365 rejected these messages, people could lose legitimate email and have no way to retrieve it. Instead, these messages will still fail DMARC but they will be marked as spam and not rejected. If desired, users can still get these messages in their inbox through these methods:

  • Les utilisateurs ajoutent individuellement des expéditeurs approuvés à l'aide de leur client de messagerieUsers add safe senders individually by using their email client

  • Les administrateurs créent une règle de flux de messagerie Exchange (également appelée règle de transport) pour tous les utilisateurs qui autorisent les messages pour ces expéditeurs particuliers.Administrators create an Exchange mail flow rule (also known as a transport rule) for all users that allows messages for those particular senders.

Résolution des problèmes d’implémentation de DMARCTroubleshooting your DMARC implementation

Si EOP n'est pas la première entrée des enregistrements MX de votre domaine, les stratégies de DMARC en cas d'échec aux vérifications ne seront pas appliquées pour votre domaine.If you have configured your domain's MX records where EOP is not the first entry, DMARC failures will not be enforced for your domain.

Si vous êtes un client Office 365 et que l'enregistrement MX principal de votre domaine ne pointe pas vers EOP, vous ne bénéficiez pas de la protection de DMARC. Par exemple, DMARC ne fonctionne pas si l'enregistrement MX pointe vers votre serveur de messagerie local et que les e-mails sont ensuite acheminés vers EOP à l'aide d'un connecteur. Dans ce cas de figure, le domaine de réception est l'un de vos domaines d'accepté, mais EOP n'est pas l'enregistrement MX principal. Par exemple, supposons que l'enregistrement MX de contoso.com pointe vers contoso.com lui-même et que EOP soit utilisé comme enregistrement MX secondaire. L'enregistrement MX de contoso.com se présente alors comme suit :If you're an Office 365 customer, and your domain's primary MX record does not point to EOP, you will not get the benefits of DMARC. For example, DMARC won't work if you point the MX record to your on-premises mail server and then route email to EOP by using a connector. In this scenario, the receiving domain is one of your Accepted-Domains but EOP is not the primary MX. For example, suppose contoso.com points its MX at itself and uses EOP as a secondary MX record, contoso.com's MX record looks like the following:

contoso.com     3600   IN  MX  0  mail.contoso.com
contoso.com     3600   IN  MX  10 contoso-com.mail.protection.outlook.com

L'ensemble ou la majorité des messages électroniques seront d'abord acheminés vers mail.contoso.com, puisqu'il s'agit de l'enregistrement MX principal, avant d'être acheminés vers Exchange Online Protection.All, or most, email will first be routed to mail.contoso.com since it's the primary MX, and then mail will get routed to EOP. Dans certains cas, EOP n'est même pas présent dans la liste des enregistrements MX et des connecteurs sont simplement mis en place pour acheminer les messages électroniques.In some cases, you might not even list EOP as an MX record at all and simply hook up connectors to route your email. EOP ne doit pas nécessairement être la première entrée pour que la validation DMARC soit réalisée.EOP does not have to be the first entry for DMARC validation to be done. Elle garantit simplement la validation, car il est impossible de s’assurer que tous les serveurs locaux/non-O365s effectuent des vérifications DMARC.It just ensures the validation, as we cannot be certain that all on-premise/non-O365 servers will do DMARC checks. DMARC est éligible pour être appliqué au domaine d’un client (et non au serveur) lorsque vous configurez l’enregistrement TXT DMARC, mais il revient au serveur de réception de procéder à la mise en œuvre effective.DMARC is eligible to be enforced for a customer’s domain (not server) when you set up the DMARC TXT record, but it is up to the receiving server to actually do the enforcement. Si vous configurez EOP en tant que serveur de réception, EOP effectue l’application DMARC.If you set up EOP as the receiving server, then EOP does the DMARC enforcement.

Pour plus d’informationsFor more information

Vous voulez plus d'informations sur DMARC ? Ces ressources peuvent vous aider.Want more information about DMARC? These resources can help.

Voir aussiSee also

Comment Office 365 utilise SPF (Sender Policy Framework) pour éviter l’usurpationHow Office 365 uses Sender Policy Framework (SPF) to prevent spoofing

Configurer SPF dans Office 365 pour empêcher l’usurpationSet up SPF in Office 365 to help prevent spoofing

Utilisation de DKIM pour valider les messages sortants envoyés à partir de votre domaine personnalisé dans Office 365Use DKIM to validate outbound email sent from your custom domain in Office 365