Office
Se connecter

Protection contre l’usurpation d’identité anti dans Office 365

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Cet article décrit comment Office 365 réduit contre les attaques de phishing qu’utilise falsifié expéditeur domaines, c'est-à-dire, qui sont faux. Il y parvient en analysant les messages et bloque ceux qui ne peut pas être authentifié à l’aide des méthodes d’authentification messagerie standard, ni d’autres techniques de réputation de l’expéditeur. Cette modification est en cours implémentée pour réduire le nombre de clients bénéficient les attaques de phishing.

Cet article décrit également pourquoi cette modification est effectuée, comment les clients peuvent préparer pour cette modification, comment afficher les messages qui seront affectées, comment créer un rapport sur les messages, comment atténuer fausses, ainsi que comment expéditeurs à Microsoft doivent préparer pour ce modifier.

Technologie anti-l’usurpation d’identité de Microsoft est initialement déployée Office 365 avancées menace Protection (DAV) et clients E5. Toutefois, en raison de la façon dont tous ses filtres Découvrez uns des autres, non DAV clients et même Outlook.com les utilisateurs peuvent également être affectées.

Comment l’usurpation d’identité est utilisée dans les attaques de phishing

Lorsqu’il s’agit de protection de ses utilisateurs, Microsoft est soucieux ses la menace de hameçonnage. Parmi les techniques de phishing et les expéditeurs de courrier indésirable utilisent généralement est l’usurpation d’adresse, qui est lors de l’expéditeur est falsifié et un message s’affiche pour provenir d’une personne ou un endroit différent de la source réelle. Cette technique est souvent utilisée dans les campagnes de phishing conçus pour obtenir des informations d’identification utilisateur. Technologie anti usurpation d’identité de Microsoft examine spécifiquement falsification de la » à partir de : en-tête » qui est celle qui s’affiche dans un client de messagerie comme Outlook. Si Microsoft a confiance élevée que From : en-tête est faux, elle identifie le message comme une usurpation d’identité.

Messages d’usurpation d’identité des deux utilisateurs réalité répercussions :

  1. Messages falsifiés tromper les utilisateurs

    Tout d’abord, un message usurpé peut amener un utilisateur en cliquant sur un lien et abandonner leurs informations d’identification, le téléchargement des programmes malveillants ou répondez à un message avec contenu sensible (la dernière est appelée compromis de messagerie d’entreprise). Par exemple, ce qui suit est un message de phishing avec un expéditeur falsifié de msoutlook94@service.outlook.com :

    Message de phishing l’emprunt d’identité service.outlook.com

    Ce qui précède ne provient pas réellement de service.outlook.com, mais au lieu de cela a été usurpé par l’auteur du phishing pour lui donner un aspect comme il fait. Qu’il tente de tromper un utilisateur en cliquant sur le lien dans le message.

    L’exemple suivant est l’usurpation d’adresse contoso.com :

    Message de phishing - compromis de messagerie d’entreprise

    Le message semble fiable, mais en fait une usurpation d’identité. Ce message de phishing est un type de compromis de messagerie d’entreprise qui est une sous-catégorie de phishing.

  2. Utilisateurs confondez messages réels pour faux sont ceux qui

    Messages falsifiés, deuxième créer incertitude pour les utilisateurs pour connaître les messages de phishing, mais ne peut pas déterminer la différence entre un message réel et usurpé. Par exemple, ce qui suit est un exemple d’un mot de passe réel à partir de l’adresse de messagerie du compte Microsoft Security :

    Réinitialisation de mot de passe légitimes Microsoft

    Le message ci-dessus provient de Microsoft, mais en même temps, les utilisateurs sont utilisés pour recevoir des messages de phishing qui peut-être amener un utilisateur en cliquant sur un lien et abandonner leurs informations d’identification, le téléchargement des programmes malveillants ou répondez à un message avec contenu sensible. Comme il est difficile de faire la différence entre une réinitialisation du mot de passe réel et un faux un grand nombre d’utilisateurs ignore ces messages, les signaler comme courrier indésirable ou inutilement indiquent les messages à Microsoft en tant que hameçonnage manquée.

Pour arrêter l’usurpation d’adresse, le filtrage du secteur de courrier a développé protocoles d’authentification de messagerie tels que SPFDKIMet DMARC. DMARC empêche l’usurpation d’adresse examen de l’expéditeur d’un message – celui que l’utilisateur se voit dans leur client de messagerie (dans l’exemple ci-dessus, c’est service.outlook.com, outlook.com et accountprotection.microsoft.com) – avec le domaine qui passés SPF ou DKIM. Autrement dit, le domaine visible par l’utilisateur a été authentifié et n’est donc pas usurpé. Pour une explication plus complète, consultez la section «comprendre pourquoi l’authentification de messagerie n’est pas toujours suffisant pour empêcher l’usurpation d’adresse « plus loin dans ce document.

Toutefois, le problème est que l’authentification par courrier électronique enregistrements et facultatives, non requises. Par conséquent, tandis que les domaines avec les stratégies d’authentification fort comme microsoft.com et skype.com sont protégées contre l’usurpation d’adresse, domaines qui publier à tous les plus faibles stratégies d’authentification ou aucune stratégie, sont des cibles pour falsifié. À partir de mars 2018, seulement 9 % de domaines des sociétés du Fortune 500 publier les stratégies d’authentification fort messagerie. Le restant 91 % peut être falsifié par un auteur de phishing et à moins que le filtre de courrier détecte à l’aide d’une autre stratégie, peuvent être remis à un utilisateur final et les tromper :

Stratégies de DMARC de sociétés Fortune 500


La proportion de petites et moyennes entreprises qui se trouvent pas dans Fortune 500 qui publient des stratégies d’authentification messagerie fort est plus petit et toujours inférieure pour les domaines qui se trouvent en dehors d’Amérique du Nord et en Europe.

Il s’agit d’un gros problème car tandis que les entreprises ne connaissent pas forcément de fonctionnement de l’authentification de courrier électronique, les auteurs de phishing font comprendre et tirer parti de l’absence de celle-ci.

Pour plus d’informations sur la configuration de SPF, DKIM et DMARC, reportez-vous à la section «clients d’Office 365 » plus loin dans ce document.

Arrêt de l’usurpation d’adresse avec l’authentification de messagerie implicite

Étant donné que le phishing et lance le phishing est un tel problème et en raison de l’adoption de stratégies d’authentification messagerie fort limitée, Microsoft continue à investir dans les capacités pour protéger ses clients. Par conséquent, Microsoft se déplace longueur d’avance avec authentification implicite messagerie – si un domaine ne s’authentifier, Microsoft traitez-le comme s’il avait publié enregistrements d’authentification de courriers électroniques et considérer en conséquence si elle ne satisfait.

Pour ce faire, Microsoft a créé des extensions de nombreuses à l’authentification régulièrement du courrier, y compris la réputation de l’expéditeur, l’historique de l’expéditeur/destinataire, comportement analyse et d’autres techniques avancées. Un message envoyé à partir d’un domaine qui ne publie l’authentification messagerie est marqué comme usurpation d’identité, sauf si elle contient d’autres signaux pour indiquer qu’il est légitime.

En procédant ainsi, fin les utilisateurs peuvent avoir confiance qu’un message électronique qui leur sont envoyé n’a pas été usurpé, expéditeurs peuvent être sûr que personne n’emprunt d’identité leur domaine et clients d’Office 365 offre une protection indépendante telles que la protection d’emprunt d’identité.

Pour plus d’annonce générale de Microsoft, voir A mer de hameçonnage partie 2 - Enhanced contre l’usurpation d’identité dans Office 365.

Identification qu’un message est classé comme falsifiés

Authentification composite


Tandis que SPF DKIM et DMARC sont tous utiles en tant que telles, ils ne communiquent suffisamment l’état d’authentification au cas où un message ne comporte aucun enregistrement d’authentification explicites. Par conséquent, Microsoft a développé un algorithme qui combine plusieurs signaux en une seule valeur appelée authentification Composite ou compauth courte. Clients dans Office 365 ont des valeurs compauth confirmées dans l’en-tête de Résultats de l’authentification dans les en-têtes de message.

Authentication-Results:
  compauth=<fail|pass|softpass|none> reason=<yyy>

Coefficient de comparaison uth résultat

Description

Fail

Message d’échec de l’authentification explicite (envoi de domaine à la publication du enregistrements explicitement dans le système DNS) ou authentification implicite (envoi domaine publiez pas les enregistrements dans le système DNS, pour permettre à Office 365 interpolées le résultat comme s’il avait publié enregistrements).

passer

Message passé d’authentification explicites (message passé DMARC ou Meilleures DMARC passé deviner) ou authentification implicite en toute sécurité haute (envoi de domaine ne publie pas les enregistrements d’authentification de messagerie, mais Office 365 a signaux principal fort à indiquer le message est probablement légitimes).

softpass

Message passé authentification implicite en toute sécurité moyennes min (envoi de domaine ne publie pas d’authentification de messagerie, mais Office 365 a signaux principal pour indiquer le message est légitime, mais la puissance du signal est plus faible).

Aucun

Message ne s’est pas authentifié (ou s’est authentifié, mais ne pas aligner), mais l’authentification composite ne pas appliquée en raison de réputation de l’expéditeur ou d’autres facteurs.

Raison

Description

0XX

Authentification composite a échoué.

-000 signifie le message a échoué DMARC avec une action de refuser ou mettre en quarantaine.

-001 signifie que le message d’échec de l’authentification messagerie implicite. Cela signifie que le domaine n’a pas enregistrements d’authentification e-mail publiés ou dans l’affirmative, ils était une stratégie de panne plus faible (fail logicielle SPF ou neutre, stratégie DMARC de p = none).

-moyen 002 que l’organisation dispose d’une stratégie pour la paire expéditeur/domaine explicitement interdit à partir de l’envoi de messages électroniques falsifiés, ce paramètre est défini manuellement par un administrateur.

-010 signifie que le message a échoué DMARC avec une action de mise en quarantaine ou de refuser, et le domaine envoi est un des domaines acceptés de votre organisation (il s’agit partie d’automatique à soi-même ou interne à l’organisation, l’usurpation d’adresse).

-011 signifie que le message d’échec de l’authentification implicite de messagerie et le domaine envoi est un des domaines acceptés de votre organisation (il s’agit partie d’automatique à soi-même ou interne à l’organisation, l’usurpation d’adresse).

Tous les autres codes (1xx, 2xx, 3xx, 4xx, 5xx)

Correspond à divers codes internes pour la raison pour laquelle un message passé authentification implicite ou n’avait aucune authentification mais aucune action n’a été appliquée.

En consultant les en-têtes d’un message, un administrateur ou même un utilisateur final Déterminez comment Office 365 arrive à la conclusion que l’expéditeur peut être usurpé.

Différencier les différents types de l’usurpation d’adresse

Microsoft fait la distinction entre deux types de messages l’usurpation d’adresse :

L’usurpation d’adresse interne à l’organisation

Également appelé automatique à soi-même l’usurpation d’adresse, cela se produit lorsque le domaine dans le champ de : adresse est identique ou s’aligne avec le domaine du destinataire (quand domaine du destinataire est un de Domaines votre organisation) ; ou, lorsque le domaine dans le champ de : adresse fait partie de la même organisation.

Par exemple, les éléments suivants a l’expéditeur et du destinataire du même domaine (contoso.com). Espaces sont insérés dans l’adresse de messagerie pour empêcher spambot capture sur cette page) :

From: sender @ contoso.com
À : destinataire @ contoso.com

Ce qui suit comporte les domaines de l’expéditeur et du destinataire alignement avec le domaine d’organisation (fabrikam.com) :

From: sender @ foo.fabrikam.com
À : destinataire @ bar.fabrikam.com

T suivant domaines expéditeur et du destinataire est différent (microsoft.com et bing.com), mais elles appartiennent à la même organisation (autrement dit, deux font partie de domaines de l’organisation) :

From: sender @ microsoft.com
À : destinataire @ bing.com

Les messages dont l’usurpation d’adresse interne à l’organisation a échoué contiennent les valeurs suivantes dans les en-têtes :

X-Forefront-Antispam-Report :... CAT:SPM/HSPM/PHSH ;... SFTY:9.11

Le Chat est la catégorie du message et il est normalement marqué comme moniteur de port standard (courrier indésirable), mais il peut arriver que pouvant être HSPM (spam confiance élevée) ou phishing (hameçonnage) selon les autres types de modèles de se produire dans le message.

La SFTY est le niveau de sécurité du message, le premier chiffre (9) signifie le message est phishing et second jeu de chiffres après le point (11) signifie qu’il est l’usurpation d’adresse interne à l’organisation

Il n’existe aucun code raison spécifique pour l’authentification Composite sur interne à l’organisation l’usurpation d’adresse, qui sont horodatées plus loin dans 2018 (chronologie non définie).

Domaines l’usurpation d’adresse

Cela se produit lorsque le domaine dans le champ expéditeur : adresse est un domaine externe à l’organisation de réception. Messages de l’authentification Composite a échoué en raison de l’usurpation d’adresse domaines contiennent les valeurs suivantes dans les en-têtes :

Authentication-Results: … compauth=fail reason=000/001
X-Forefront-Antispam-Report :... CAT:SPOOF ;... SFTY:9.22

Dans les deux cas, le Conseil de sécurité rouge suivant est marqué dans le message ou un équivalent personnalisé pour une langue de la boîte aux lettres destinataires :

Conseil de sécurité des messages rouge - détection de fraude

Il est uniquement en consultant From : adresse et tout en sachant que votre messagerie destinataire ou en inspectant les en-têtes de messages électroniques que vous pouvez faire la différence entre interne à l’organisation et l’usurpation d’adresse domaines.  

Comment les clients d’Office 365 peuvent se préparer à la nouvelle protection anti-l’usurpation d’identité

Informations destinées aux administrateurs

En tant qu’administrateur d’une organisation dans Office 365, il existe plusieurs informations que vous devez tenir compte des clés.

Comprendre pourquoi l’authentification de messagerie n’est pas toujours suffisant pour empêcher l’usurpation d’adresse

La nouvelle protection anti-l’usurpation d’identité s’appuie sur authentification de messagerie (SPF DKIM et DMARC) ne pas marquer un message comme l’usurpation d’adresse. Un exemple courant est lorsqu’un envoi domaine a publié jamais enregistrements SPF. Si aucun enregistrement SPF ou qu’ils sont correctement configurés, un message envoyé est marqué comme usurpé, sauf si Microsoft a intelligence principal s’affiche indiquant que le message est légitime.

Par exemple, avant d’anti-l’usurpation d’adresse en cours de déploiement, un message peut avoir étaient les opérations suivantes avec aucun enregistrement SPF, aucun enregistrement DKIM et aucun enregistrement DMARC :

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Après avoir anti-l’usurpation d’adresse, si vous êtes un client contre les menaces avancées ou E5, la valeur compauth est marquée (non DAV et non E5 clients ne sont pas concernés) :

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=none
  action=none header.from=example.com; compauth=fail reason=001
From: sender @ example.com
To: receiver @ contoso.com

Si exemple.com fixe cela en configurant un enregistrement SPF, mais pas un enregistrement DKIM, afin de passer d’authentification composite, car le domaine qui passé SPF aligné sur le domaine dans le champ de : adresse :

Authentication-Results: spf=pass (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=none
  (message not signed) header.d=none; contoso.com; dmarc=bestguesspass
  action=none header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Ou, si elles déjà configuré un enregistrement DKIM mais pas un enregistrement SPF, également de passer d’authentification composite, car le domaine dans la Signature DKIM passé aligné sur le domaine dans le champ de : adresse :

Authentication-Results: spf=none (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; contoso.com; dkim=pass
  (signature was verified) header.d=outbound.example.com;
  contoso.com; dmarc=bestguesspass action=none
  header.from=example.com; compauth=pass reason=109
From: sender @ example.com
To: receiver @ contoso.com

Toutefois, un auteur de phishing peut-être également configurer SPF et DKIM et signer le message avec leur propre domaine, mais spécifier un autre domaine dans le champ de : adresse. SPF ni DKIM nécessite le domaine pour aligner avec le domaine dans le champ de : adresse, de sorte à moins d’avoir exemple.com publié enregistrements DMARC, ce ne serait pas marqué comme une usurpation d’identité à l’aide de DMARC :

Authentication-Results: spf=pass (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=example.com;
From: sender @ example.com
To: receiver @ contoso.com

Dans le client de messagerie (Outlook, Outlook sur le web, ou tout autre client de messagerie), uniquement le From : domaine est affiché, pas sur le domaine dans le SPF ou DKIM et qui peut faire penser à l’utilisateur à penser que le message provenance exemple.com, mais proviennent de maliciousDomain.com à .

Message authentifié mais de : domaine n’est pas aligné avec que passé SPF ou DKIM

Pour cette raison, Office 365 requiert que le domaine dans le champ de : adresse s’aligne avec le domaine dans la signature SPF ou DKIM, et s’il ne, contient quelques autres signaux interne qui indique que le message est légitime. Dans le cas contraire, le message serait fail compauth.

Authentication-Results: spf=none (sender IP is 5.6.7.8)
  smtp.mailfrom=maliciousDomain.com; contoso.com; dkim=pass
  (signature was verified) header.d=maliciousDomain.com;
  contoso.com; dmarc=none action=none header.from=contoso.com;
  compauth=fail reason=001
From: sender@contoso.com
To: someone@example.com

Par conséquent, Office 365 anti-l’usurpation d’identité protège contre domaines sans authentification et les domaines qui configurer l’authentification, mais incompatibilité par rapport au domaine dans le champ de : adresse car il s’agit de l’option que l’utilisateur voit et pense sont l’expéditeur du message. C’est vrai à la fois des domaines externes à votre organisation, ainsi que des domaines au sein de votre organisation.

Par conséquent, si vous recevez toujours un message d’échec de l’authentification composite et marqué comme usurpé, même si le message passé SPF et DKIM, c’est parce que le domaine que SPF et DKIM passées ne sont pas alignés avec le domaine dans le champ de : adresse.

Présentation des modifications dans des messages électroniques comment falsifiés sont traitées

Pour l’instant, pour tous les clients Office 365 – DAV et non-DAV - messages qui échouent DMARC avec une stratégie de mise en quarantaine ou de refuser sont marqués comme du courrier indésirable et prennent généralement l’action de courrier indésirable de haut niveau de confiance, ou parfois l’action du courrier indésirable régulières (selon que d’autres règles de courrier indésirable tout d’abord l’identifier comme courrier indésirable). Détection d’usurpation d’identité interne à l’organisation effectuer l’action du courrier indésirable normal. Ce comportement n’a pas besoin d’être activé, ni peut être désactivée.

Toutefois, pour les messages d’usurpation d’identité de domaines, avant cette modification ils seraient traitée régulièrement des contrôles de spam, phishing et les logiciels malveillants et si d’autres parties du filtre les identifiés comme suspect, seraient les marquer comme courrier indésirable, hameçonnage ou les programmes malveillants respectivement. Avec la nouvelle protection d’usurpation d’identité domaines, tous les messages qui ne peut pas être authentifié, par défaut, exécute l’action définie dans le Anti-phishing > politique d’anti-usurpation. Si une n’est pas définie, il est déplacé vers le dossier courrier indésirable des utilisateurs. Dans certains cas, les messages suspects plus auront également le Conseil de sécurité rouge ajouté au message.

Cela peut entraîner des messages précédemment marqués comme courrier indésirable toujours prise marqués comme du courrier indésirable mais aura alors également une info-bulle sécurité rouge ; dans les autres cas, les messages précédemment marqués comme non-spam commencera prise marqués comme courrier indésirable (CAT:SPOOF) avec une info-bulle de sécurité rouge ajoutés. Dans d’autres cas encore, les clients qui ont été déplacer tout le courrier indésirable et hameçonnage pour la mise en quarantaine maintenant verront leur sortantes vers le dossier courrier indésirable (ce comportement peuvent être modifier, voir modifier les paramètres de l’usurpation d’identité anti).

Il existe plusieurs manières différentes qu'un message peut être usurpé (voir « Differentiating entre différents types de l’usurpation d’adresse » précédemment dans ce document) mais à partir de mars 2018 comme Office 365 traite ces messages n’est pas encore unifié. Le tableau ci-dessous est un récapitulatif rapide, avec la protection d’usurpation d’identité domaines étant nouveau comportement :

Type d’usurpation d’identité

Catégorie

Conseil de sécurité ajouté ?

S’applique à

Fail DMARC (mise en quarantaine ou rejeter)

HSPM (par défaut), peut également être Moniteur de port standard ou PHSH

N° (pas encore)

Tous les clients Office 365, Outlook.com

Sélectionner un-à-automatique

MONITEUR DE PORT STANDARD

Oui

Tous les clients Office 365, Outlook.com

Domaines

USURPATION D’IDENTITÉ

Oui

Clients de protection contre les menaces et E5 d’avancée de l’Office 365 Ad

Modification de vos paramètres anti-l’usurpation d’identité

Pour créer ou mettre à jour vos paramètres de l’usurpation d’identité anti (domaines), accédez à la Anti-phishing > Paramètres de l’usurpation d’identité Anti sous la gestion des menaces > onglet stratégie dans le centre de conformité et de sécurité. Si vous n’avez jamais créé tous les paramètres anti-phishing, vous devez créer un :

Anti-phishing - Créer une nouvelle stratégie

Si vous avez déjà créé un, vous pouvez le sélectionner pour le modifier :

Anti-phishing - modifier la stratégie existante

Sélectionnez la stratégie que vous venez de créer, puis passez en revue les étapes comme décrit dans en savoir plus sur l’usurpation d’identité Intelligence.

Activer ou désactiver les antispoofing

Activer ou désactiver les conseils de sécurité antispoofing

Pour créer une nouvelle stratégie via PowerShell :

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: The name should not exclude 64 characters, including spaces.
# If it does, you will need to pick a smaller name.

# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy $name -RecipientDomainIs $domains

Vous pouvez puis modifier les paramètres de politique d’anti-phishing à l’aide de PowerShell, AntiphishPolicy de l’ensemblede la documentation. Vous pouvez spécifier la $name en tant que paramètre :

Set-AntiphishPolicy -Identity $name <fill in rest of parameters>

Plus loin dans 2018, plutôt que d’avoir à créer une stratégie par défaut, une est créée pour vous qui s’étend à tous les destinataires de votre organisation, vous n’aurez à spécifier manuellement (les captures d’écran ci-dessous sont susceptibles d’être modifiées avant la mise en œuvre finale).

Stratégie par défaut pour anti-phishing

Contrairement à la stratégie que vous créez, vous ne pouvez pas supprimer la stratégie par défaut, modifier sa priorité ou choisissez les utilisateurs, les domaines ou les groupes pour définir la portée pour.

Détails de la stratégie par défaut anti-phishing

Plus loin dans 2018, pour configurer votre protection par défaut via PowerShell :

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement <$true|$false>

Vous devez désactiver uniquement de protection contre l’usurpation anti si vous avez un autre serveur de messagerie ou serveurs devant Office 365 (voir scénarios légitimes pour désactiver anti-l’usurpation d’adresse pour plus d’informations).

$defaultAntiphishPolicy = Get-AntiphishingPolicy -IsDefault $true
Set-AntiphishPolicy -Identity $defaultAntiphishPolicy.Name -EnableAntispoofEnforcement $false 

R ecommendation

Si le premier saut dans votre chemin d’accès de messagerie d’Office 365 et que vous obtenez trop grand nombre de messages électroniques légitimes marqués comme usurpation d’identité, vous devez tout d’abord configurer votre expéditeurs autorisés à envoyer des messages électroniques falsifiés à votre domaine (voir la section « Gestion des expéditeurs légitimes qui envoient non authentifié messagerie »).


Si vous rencontrez toujours trop positifs d’alse f (par exemple, légitimes les messages marqués comme usurpation d’identité), nous ne recommandons pas la désactivation de la protection contre l’usurpation anti complètement. En revanche, nous vous recommandons de choisir Basic au lieu de protection élevée.

Il est préférable de travailler fausses qu’à exposer votre organisation à la messagerie falsifié qui pourrait finir imposer des coûts beaucoup plus élevés à long terme.

Gestion des expéditeurs légitimes qui envoient des messages non authentifiés

Office 365 effectue le suivi des qui est envoyer des messages non authentifiés à votre organisation. Si le service pense que l’expéditeur n’est pas légitime, il le marque comme une défaillance compauth . Cela sera classé comme usurpation d’identité bien que cela dépend de votre stratégie anti-l’usurpation d’identité qui a été appliquée au message.

Toutefois, en tant qu’administrateur, vous pouvez spécifier les expéditeurs autorisés à envoyer des messages électroniques falsifiés, substitution de décision d’Office 365.

Méthode 1 – si votre organisation est propriétaire du domaine, configurez l’authentification messagerie

Cette méthode peut être utilisée pour résoudre l’usurpation d’adresse interne à l’organisation et domaines l’usurpation d’adresse au cas où vous êtes propriétaire ou interagissez avec plusieurs clients. Il permet également de résoudre les domaines usurpation d’adresse dans lequel vous envoyer à d’autres utilisateurs dans Office 365 et également tiers qui sont hébergés dans d’autres fournisseurs.

Pour plus d’informations, consultez la section « Clients d’Office 365 ».

Méthode 2 : utiliser usurpation d’identité Intelligence pour configurer les expéditeurs autorisés de messagerie non authentifié

Vous pouvez également utiliser Intelligence usurpation d’identité pour autoriser les expéditeurs pour transmettre des messages non authentifiés à votre organisation.

Pour les domaines externes, l’utilisateur falsifié est le domaine dans l’adresse, tandis que l’infrastructure d’envoi est l’adresse IP envoi (divisé en /24 plages CIDR), ou le domaine d’organisation de l’enregistrement PTR (dans la capture d’écran ci-dessous, l’envoi IP peut-être être 131.107.18.4 dont l’enregistrement PTR est outbound.mail.protection.outlook.com, et il serait apparaissent sous forme de outlook.com pour l’infrastructure d’envoi).

Pour permettre à cet expéditeur à envoyer des messages électroniques non authentifiés, modifiez le champ en Oui.

La configuration antispoofing expéditeurs autorisé
Vous pouvez également utiliser PowerShell pour autoriser l’expéditeur spécifique d’accéder à votre domaine :

$file = "C:\My Documents\Summary Spoofed Internal Domains and Senders.csv"
Get-PhishFilterPolicy -Detailed -SpoofAllowBlockList -SpoofType External | Export-CSV $file

Obtention des expéditeurs falsifiés via Powershell

Dans l’image ci-dessus, les sauts de ligne supplémentaires ont été ajoutés pour rendre cette capture d’écran Ajuster, mais en réalité toutes les valeurs apparaîtraient sur une seule ligne.

Modifier le fichier et recherchez la ligne qui correspond à outlook.com et bing.com et changez laAllowedToSpoofEntrée de non à Oui :

Usurpation d’identité paramètre Autoriser Oui via Powershell

Enregistrer le fichier, puis exécutez :  

$UpdateSpoofedSenders = Get-Content -Raw "C:\My Documents\Spoofed Senders.csv"

Set-PhishFilterPolicy -Identity Default -SpoofAllowBlockList $UpdateSpoofedSenders

Cela permettra maintenant bing.com d’envoyer des messages non authentifiés de *. outlook.com.

Méthode 3 : créer une entrée d’autoriser pour la paire expéditeur/destinataire

Vous pouvez également choisir d’ignorer tous les messages indésirables filtrage un expéditeur particulier. Pour plus d’informations, voir comment en toute sécurité ajouter un expéditeur à une liste verte dans Office 365.

Si vous utilisez cette méthode, elle doit ignorer le courrier indésirable et certaines du filtrage de phishing, mais pas le filtrage des programmes malveillants.

Méthode 4 : contactez l’expéditeur et demandez-lui de configurer l’authentification messagerie

Étant donné le problème de courrier indésirable et le hameçonnage, Microsoft recommande tous les expéditeurs configurer l’authentification de messagerie. Si vous connaissez un administrateur de domaine, contactez les ils configurant les enregistrements d’authentification de messagerie afin de ne pas ajouter les substitutions. Pour plus d’informations, voir «les administrateurs de domaines qui ne sont pas des clients Office 365 » plus loin dans ce document.

S’il peut être difficile à tout d’abord à obtenir envoi domaines s’authentifier, au fil du temps, en tant que plus filtres de courrier électronique de démarrage junking ou même en refusant sa messagerie électronique, il va entraîner pour configurer les enregistrements appropriés pour assurer une meilleure remise.

Affichage des rapports du nombre de messages marqué comme falsifiés

Une fois que votre stratégie anti-l’usurpation d’identité est activée, vous pouvez utiliser sur les menaces pour obtenir des numéros autour le nombre de messages est marqué comme hameçonnage. Pour ce faire, accédez à la sécurité et conformité Centre (contrôle de code source) sous gestion des menaces > Explorer, définissez la vue phishing et groupe en domaine de l’expéditeur ou l’état de Protection :

Afficher le nombre de messages est marqué comme hameçonnage

Vous pouvez interagir avec les différents États pour contrôler combien ont été marqués comme phishing, y compris les messages marqués comme usurpation d’identité. Pour plus d’informations, voir prise en main Office 365 menaces.

Vous ne pouvez pas encore fractionner les messages marqués en raison d’usurpation d’identité et d’autres types de hameçonnage (phishing général, domaine ou utilisateur d’emprunt d’identité et ainsi de suite). Toutefois, plus loin dans 2018, vous pourrez effectuer cette opération via le centre de conformité et de sécurité. Une fois que vous le faites, vous pouvez utiliser ce rapport comme point de départ pour identifier les domaines d’envoi qui peuvent être légitimes qui sont marqués comme usurpation d’identité en raison de l’échec d’authentification.

Le Voici une proposition pour comment ces données s’affichera, mais peuvent changer lorsque publié la capture d’écran :

Affichage des rapports de phishing par type de détection

Pour non DAV et clients E5, ces rapports seront disponibles plus loin dans 2018 sous les rapports d’état de la Protection de menace (support), mais seront retardés d’au moins 24 heures. Cette page est mise à jour comme elles sont intégrées dans le centre de conformité et de sécurité.

Prévoir le nombre de messages est marqué comme usurpation d’identité

Plus loin dans 2018, une fois Office 365 met à jour ses paramètres pour vous permettre de désactiver la mise en œuvre anti-l’usurpation d’identité, ou sur la mise en application Basic ou élevé, vous aurez la possibilité de voir comment changer aux différents paramètres de disposition du message. Autrement dit, si l’usurpation d’identité anti est désactivé, vous serez en mesure de voir le nombre de messages sera détecté comme usurpation d’identité si vous activez à Basic ; ou, s’il s’agit Basic, vous ne pourrez pas voir le nombre de messages plus sera détecté comme usurpation d’identité si vous l’activez sur élevé.

Cette fonctionnalité est actuellement en cours de développement. En plus de détails sont définis, cette page met à jour à la fois avec les captures d’écran de la sécurité et le centre de conformité et les exemples de PowerShell.

« Que se passe-t-il si » rapport d’activation antispoofing
UX possible pour autoriser un expéditeur falsifié

Comprendre comment spam, phishing et avancée phishing détectés sont combinées

Clients Exchange Online, DAV et non DAV, sont en mesure de spécifier les actions à entreprendre quand le service identifie les messages en tant que programme malveillant, le courrier indésirable, le courrier indésirable de haut niveau de confiance, phishing et en bloc. Toutefois, avec l’introduction de nouvelles stratégies Anti-phishing pour les clients DAV et du fait qu’un message peut-être atteint plusieurs types de détection (par exemple, les logiciels malveillants, le Phishing et emprunt d’identité utilisateur), il peut y avoir une certaine confusion relative à la stratégie s’applique.

En règle générale, la stratégie est appliquée à un message est identifiée dans leX-Forefront-Antispam-Reporten-tête dans la propriété Chat (catégories).

Priorité

Stratégie

Catégorie

Où gérée ?

S’applique à

1

Logiciels malveillants

MALW

Stratégie de logiciels malveillants

Tous les clients

2

Hameçonnage

PHSH

Stratégie de filtrage de contenu hébergé

Tous les clients

3

Courrier indésirable à probabilité élevée

HSPM

Stratégie de filtrage de contenu hébergé

Tous les clients

4

L’usurpation d’adresse

USURPATION D’IDENTITÉ

Politique d’anti-phishing,
intelligence usurpation d’identité

DAV uniquement

5

Courriers indésirables

MONITEUR DE PORT STANDARD

Stratégie de filtrage de contenu hébergé

Tous les clients

6

En bloc

EN BLOC

Stratégie de filtrage de contenu hébergé

Tous les clients

7

Emprunt d’identité de domaine

DIMP

Politique d’anti-phishing

DAV uniquement

8

Emprunt d’identité utilisateur

UIMP

Politique d’anti-phishing

DAV uniquement

Si vous avez plusieurs différentes stratégies d’Anti-phishing, l’option à la priorité la plus élevée s’appliquent. Par exemple, supposons que vous avez deux stratégies :

Stratégie

Priorité

Emprunt d’identité utilisateur/domaine

L’usurpation d’identité anti

A

1

Sous

Désactiver

B

2

Désactiver

Sous

Si un message arrive et est identifié comme l’usurpation d’identité et d’utilisateur d’emprunt d’identité et le même ensemble d’utilisateurs est inclus dans l’étendue la stratégie A et B de stratégie, puis le message est considéré comme une usurpation d’identité mais aucune action n’est appliquée depuis anti-d’usurpation d’identité est désactivé , et usurpation d’identité fonctionne avec une priorité supérieure (4) à l’emprunt d’identité utilisateur (8).

Pour effectuer d’autres types de phishing stratégie s’applique, vous devez régler les paramètres de qui les diverses stratégies sont appliquées à.

Scénarios légitimes pour désactiver l’usurpation d’identité anti

L’usurpation d’identité anti améliore la protection des clients contre les attaques de phishing et par conséquent, la désactivation de la protection anti-l’usurpation d’identité est fortement déconseillée. En le désactivant, vous pouvez résoudre certains fausses à court terme, mais à long terme que vous disposerez plus de risques. Le coût de configuration de l’authentification sur le côté de l’expéditeur ou effectuer des ajustements dans les stratégies de phishing, sont des événements généralement ponctuel ou nécessitent une maintenance minime, périodique. Toutefois, le coût pour récupérer une attaque par phishing dans lequel les données a été exposées ou biens ont été déchiffré est beaucoup plus élevé.

Pour cette raison, il est préférable de fonctionner via l’usurpation d’identité anti fausses que pour désactiver la protection anti-courrier usurpation d’identité.

Toutefois, il existe un scénario légitime où l’usurpation d’identité anti doit être désactivée et qui est lorsqu’il y a plus le filtrage du courrier products dans le routage des messages et Office 365 n’est pas le premier saut dans le chemin d’accès de messagerie :
Enregistrement MX client ne pointe vers Office 365

L’autre serveur peut être un serveur de messagerie sur site Exchange, un appareil tel qu’Ironport, le filtre de courrier ou un autre cloud service hébergé.

Si l’enregistrement MX du domaine destinataire ne pointe vers Office 365, il n’est pas nécessaire de désactiver l’usurpation d’identité anti parce qu’Office 365 recherche enregistrement MX de votre domaine de réception et supprime l’usurpation d’identité anti si elle pointe vers un autre service. Si vous ne savez pas si votre domaine a un autre serveur au premier plan, vous pouvez utiliser un site Web tels que boîte à outils MX pour rechercher l’enregistrement MX. Vous pouvez voir ce qui suit :

Enregistrement MX indique le domaine ne pointe pas vers Office 365

Ce domaine a un enregistrement MX qui ne pointe pas vers Office 365, pour Office 365 ne s’appliquent pas l’application anti-l’usurpation d’identité.

Toutefois, si l’enregistrement MX du domaine du destinataire a point vers Office 365, même s’il existe un autre service devant Office 365, puis vous devez désactiver l’usurpation d’identité anti. L’exemple le plus courant consiste à utiliser une réécriture destinataire :

Diagramme de routage pour réécriture destinataire

Enregistrement MX du domaine de contoso.com pointe vers le serveur sur site, tandis que l’enregistrement MX de .net @office365.contoso domaine pointe vers Office 365, car elle contient *. protection.outlook.com, ou *. eo.outlook.com dans l’enregistrement MX :

Points d’enregistrement MX vers Office 365, par conséquent probablement destinataire réécriture

Veillez à différencier les lors de l’enregistrement MX d’un domaine destinataire ne pointe vers Office 365 et lorsqu’il a été soumis à une réécriture destinataire. Il est important de faire la différence entre les deux cas.

Si vous n’êtes pas sûr ou non votre domaine de réception a été soumis à une réécriture destinataire, vous pouvez parfois déterminer en consultant les en-têtes de message.

a) tout d’abord, examinez les en-têtes dans le message pour le domaine du destinataire dans laAuthentication-Resultsen-tête :

Authentication-Results: spf=fail (sender IP is 1.2.3.4)
  smtp.mailfrom=example.com; office365.contoso.net; dkim=fail
  (body hash did not verify) header.d=simple.example.com;
  office365.contoso.net; dmarc=none action=none
  header.from=example.com; compauth=fail reason=001

Le domaine du destinataire se trouve dans le texte rouge gras ci-dessus, dans ce cas office365.contoso.net. Il peut être différent que le destinataire dans le champ à : en-tête :

To : Exemple destinataire < destinataire @ contoso.com >

Effectuer une recherche d’enregistrement MX du domaine destinataire réel. S’il contient *. protection.outlook.com, mail.messaging.microsoft.com, *. eo.outlook.com ou mail.global.frontbridge.com, ce qui signifie que la MX pointe vers Office 365.

Si elle ne contient pas ces valeurs, cela signifie que la MX ne pointe pas vers Office 365. Boîte à outils MX est un outil que vous pouvez utiliser pour le vérifier.

Pour cet exemple, la ci-dessous indique que contoso.com, le domaine qui ressemble le destinataire depuis le champ à : en-tête, possède des points d’enregistrement MX sur un serveur local :
Enregistrement MX pointe vers le serveur local

Toutefois, le destinataire réel est office365.contoso.net dont l’enregistrement MX pointe vers Office 365 :

MX pointe vers Office 365, doit être réécriture destinataire

Par conséquent, ce message ayant subi probablement une réécriture destinataire.

b) ensuite, n’oubliez pas de distinction entre les scénarios d’utilisation courants de réécritures destinataires. Si vous vous apprêtez à la réécriture du domaine du destinataire à *. onmicrosoft.com, à la place de réécriture à *. mail.onmicrosoft.com.

Une fois que vous avez identifié le domaine du destinataire final qui routé derrière un autre serveur et enregistrement MX de domaine destinataire réellement pointe vers Office 365 (selon la publication dans les enregistrements DNS), vous pouvez continuer à désactiver l’usurpation d’identité anti.

N’oubliez pas, vous ne voulez pas désactiver l’usurpation d’identité anti si saut première de domaine sur le chemin d’accès routage est Office 365, uniquement lorsqu’il est derrière un ou plusieurs services.

Comment désactiver l’usurpation d’identité anti

Si vous disposez déjà d’une stratégie d’Anti-phishing créée, définissez leEnableAntispoofEnforcementparamètre$false:

$name = "<name of policy>"
Set-AntiphishPolicy -Identity $name -EnableAntiSpoofEnforcement $false 

Si vous ne connaissez pas le nom de la stratégie (ou plusieurs) pour désactiver, vous pouvez les afficher :

Get-AntiphishPolicy | fl Name

Si vous n’avez pas toutes les stratégies anti-phishing existant, vous pouvez créer une et désactivez-le (même si vous n’avez pas une stratégie, l’usurpation d’identité anti est toujours appliquée ; ultérieurement dans 2018, une stratégie par défaut est créée pour vous et vous pouvez ensuite que désactiver au lieu de créer une) . Vous devrez effectuer cette opération dans plusieurs étapes :

$org = Get-OrganizationConfig
$name = "My first anti-phishing policy for " + $org.Name
# Note: If the name is more than 64 characters, you will need to choose a smaller one
# Next, create a new anti-phishing policy with the default values
New-AntiphishPolicy -Name $Name

# Select the domains to scope it to
# Multiple domains are specified in a comma-separated list
$domains = "domain1.com, domain2.com, domain3.com"

# Next, create the anti-phishing rule, scope it to the anti-phishing rule
New-AntiphishRule -Name $name -AntiphishPolicy -RecipientDomainIs $domains

# Finally, scope the antiphishing policy to the domains
Set-AntiphishPolicy -Identity $name -EnableAntispoofEnforcement $false 

Désactivation de l’usurpation d’identité anti est disponible uniquement via l’applet de commande (plus loin dans T2 2018 il sera disponible dans le centre de conformité et de sécurité). Si vous n’avez pas accès à PowerShell, créez une demande d’assistance.
N’oubliez pas, cela doit être appliquée uniquement aux domaines sujettes à routage indirect lors de l’envoi vers Office 365. Réserve la tentation pour désactiver l’usurpation d’identité anti en raison de certaines fausses, il est préférable à long terme d’utiliser leur.

Informations pour les utilisateurs individuels

Les utilisateurs individuels sont limités à comment ils peuvent interagir avec le Conseil de sécurité anti-l’usurpation d’identité. Toutefois, il existe plusieurs choses que vous pouvez faire pour résoudre des scénarios courants.

Scénario courant #1 – transfert de boîte aux lettres

Si vous utilisez un autre service de messagerie et que vous transférez votre courrier électronique vers Office 365 ou Outlook.com, vos messages électroniques peut être marquée comme étant l’usurpation d’adresse et recevoir un Conseil de sécurité des messages rouge. Office 365 et Outlook.com plan de résoudre le problème automatiquement lorsque les redirecteurs est égale à Outlook.com, Office 365, Gmail ou tout autre service qui utilise le protocole ARC. Toutefois, jusqu'à ce que ce correctif est déployé, les utilisateurs doivent utiliser la fonctionnalité comptes connectés à importer leurs messages directement, plutôt que d’utiliser l’option transfert.

Pour configurer des comptes connectés dans Office 365, sélectionnez l’icône d’engrenage dans le coin supérieur droit de l’interface web Office 365 > courrier > messagerie > comptes > comptes connectés.

Option de comptes Office 365 - connecté

Dans Outlook.com, le processus est l’icône d’engrenage > Options > courrier > comptes > comptes connectés.

Scénario courant #2 – listes de Discussion

Listes de discussion sont connus que vous rencontrez des problèmes avec anti-l’usurpation d’adresse en raison de la façon dont ils transférer le message et modifier son contenu tout en conservant le fichier d’origine provenant : adresse.

Par exemple, supposons que votre adresse de messagerie est utilisateur @ contoso.com, et que vous êtes intéressé par vue à suivre participer à l’amoureux de la nature discussion liste @ example.com. Lorsque vous envoyez un message à la liste de discussion, vous pouvez l’envoyer de cette façon :

à partir de : Jean Duval < utilisateur @ contoso.com >
à : Discussion liste de Birdwatcher < amoureux de la nature @ example.com >
objet : correctement l’affichage de jays bleu dans la partie supérieure du Rainier MT. cette semaine

Tout le monde à archiver la visualisation cette semaine à partir de Rainier MT. ?

Lorsque la liste de messagerie reçoit le message, ils mettre en forme le message, modifier son contenu et relire pour le reste des membres dans la liste de discussion qui est composée des participants à partir de nombreuses récepteurs de messagerie différents.

à partir de : Jean Duval < utilisateur @ contoso.com >
à : Discussion liste de Birdwatcher < amoureux de la nature @ example.com >
objet : [amoureux de la nature] une visualisation de jays bleu dans la partie supérieure du Rainier MT. cette semaine

Tout le monde à archiver la visualisation cette semaine à partir de Rainier MT. ?

---
Ce message a été envoyé à la liste de Discussion amoureux de la nature. Vous pouvez annuler votre abonnement à tout moment.

Dans l’exemple ci-dessus, le message relu avec la même : adresse (utilisateur @ contoso.com), mais le message d’origine a été modifié en ajoutant une balise à la ligne d’objet et un pied de page vers le bas du message. Ce type de modification du message est courant dans les listes de diffusion et peut entraîner fausses.

Si vous ou une personne de votre organisation est un administrateur de la liste de diffusion, vous pourrez peut-être configurez-le pour passer les vérifications anti-l’usurpation d’identité.

Si vous n’avez pas la propriété de la liste de diffusion :

  • Vous pouvez demander l’intendant de la liste de diffusion pour implémenter l’une des options ci-dessus (ils doivent également avoir authentification messagerie configurer pour le domaine qu'est relais à partir de la liste de diffusion)

  • Vous pouvez créer des règles de boîte aux lettres dans votre client de messagerie pour déplacer les messages dans la boîte de réception. Vous pouvez également demander aux administrateurs de votre organisation pour configurer des règles d’autorisation ou substitutions comme indiqué dans la section Gestion des expéditeurs légitimes qui envoient des messages non authentifiés

  • Vous pouvez créer une demande d’assistance avec Office 365 pour créer un remplacement pour une liste de diffusion à considérer comme légitime

Autres scénarios

  1. Si aucun des scénarios courants ci-dessus s’appliquent à votre situation, signalez le message comme une sauvegarde fausse positive à Microsoft. Pour plus d’informations, consultez la section «Comment puis-je signaler le courrier indésirable ou non-spam messages revenir à Microsoft » plus loin dans ce document.

  2. En outre, vous pouvez également contacter votre administrateur de messagerie qui peut le déclencher comme un tickets de support auprès de Microsoft. L’équipe d’ingénierie Microsoft va étudier pourquoi le message a été marqué comme une usurpation d’identité.

  3. En outre, si vous connaissez l’expéditeur et êtes sûr qu’ils ne sont pas à des fins malveillantes falsifiés, vous pouvez répondre à l’expéditeur indiquant qu’ils sont envoie des messages à partir d’un serveur de messagerie qui n’authentifie pas. Cela se traduit parfois par l’expéditeur d’origine contacter son administrateur informatique qui configurera les enregistrements d’authentification nécessaires messagerie.

    Lorsque suffisamment expéditeurs de répondre aux propriétaires de domaine qu’ils doivent configurer les enregistrements d’authentification e-mail, il les incite à tirer action. Microsoft fonctionne également avec les propriétaires de domaine pour publier les enregistrements nécessaires, mais elle permet encore plus lorsque des utilisateurs individuels demanderont celui-ci.

  4. Si vous le souhaitez, vous pouvez ajouter l’expéditeur à votre liste des expéditeurs approuvés. Toutefois, n’oubliez pas que si un auteur de phishing usurpe ce compte, il est remise à votre boîte aux lettres. Par conséquent, t que son option doit être utilisée avec parcimonie.

Comment expéditeurs à Microsoft doivent préparer pour la protection anti-l’usurpation d’identité

Si vous êtes un administrateur qui actuellement envoie des messages à Microsoft, Office 365 ou Outlook.com, vous devez vous assurer que votre message électronique est authentifié correctement dans le cas contraire elle peut être marquée comme du courrier indésirable ou hameçonnage.

Clients d’Office 365

Si vous êtes un client Office 365 et Office 365 vous permet d’envoyer un message électronique sortant :

Microsoft ne fournit pas les instructions d’implémentation détaillées pour chacun de SPF DKIM et DMARC. Toutefois, il y a beaucoup d’information publié en ligne. 3e fabricants sont également dédié à vous aider à votre organisation de configurer les enregistrements d’authentification de courriers électroniques.

Administrateurs de domaines qui ne sont pas des clients Office 365

Si vous êtes un administrateur de domaine, mais n’êtes pas un client Office 365 :

  • Vous devez configurer votre SPF pour publier des adresses IP d’envoi de votre domaine et également configurer DKIM (le cas échéant) pour signer numériquement les messages. Vous pouvez également envisager la configuration d’enregistrements DMARC.

  • Si vous avez expéditeurs en bloc qui sont transmission de courrier électronique à votre place, vous devez travailler avec les d’envoyer des messages de façon telle que le domaine envoi dans le champ de : adresse (si elle vous appartient) aligne avec le domaine qui passe SPF ou DMARC.

  • J’ai f vous avez locales serveurs de messagerie, ou l’envoyer à partir d’un fournisseur de logiciel sous forme de service, ou d’un service d’hébergement cloud tel que Microsoft Azure, GoDaddy, rack, Amazon Web Services, ou similaires, vous devez vous assurer qu’ils sont ajoutés à votre enregistrement SPF.

  • Si vous êtes un domaine de petite taille est hébergé par un fournisseur de services Internet, vous devez configurer votre enregistrement SPF conformément aux instructions qui est fourni par votre fournisseur de services Internet. La plupart des fournisseurs de services Internet proposent ces types d’instructions et vous pouvez trouver sur les pages de prise en charge de la société.

  • Même si vous n’ont pas à publier des enregistrements d’authentification e-mail avant, et il fonctionne correctement, vous devez toujours publier des enregistrements d’authentification de messagerie pour envoyer à Microsoft. En procédant ainsi, vous êtes participent combattre le phishing et réduire les risques que vous, ou organisations que vous envoyez, obtiendront récoltées.

Que se passe-t-il si vous ne savez pas qui envoie un courrier électronique en tant que votre domaine ?

Nombre de domaines ne pas publie des enregistrements SPF, car ils ne savent pas qui se trouvent tous les expéditeurs de leurs. C’est OK, vous n’avez pas besoin de savoir qui celles-ci sont. À la place, vous devez prise en main en publiant un enregistrement SPF pour ceux que vous connaissez, notamment l’endroit où le trafic de votre entreprise se trouve et publier une stratégie SPF neutre, ?all :

exemple.com IN TXT « v = spf1 include:spf.example.com ? toutes les »

La stratégie SPF neutre signifie que n’importe quel message électronique qui est fourni se déconnecter de votre infrastructure d’entreprise passera authentification de courrier électronique à tous les autres destinataires de messagerie. Messagerie provenant d’expéditeurs que vous ne savez pas sur revient à neutre, qui est presque identique à celle aucun enregistrement SPF du tout.

Lorsque vous envoyez vers Office 365, messagerie provient le trafic de votre entreprise est marqué comme étant authentifiés, mais le message électronique qui proviennent de sources que vous ne savez pas sur peut-être toujours être identifié comme usurpation d’identité (selon ou non Office 365 peut authentifier implicitement il). Toutefois, il s’agit toujours d’une amélioration de tous les messages électroniques sont marquées comme usurpation d’identité par Office 365.

Une fois que vous avez obtenu disponibles commencé avec un enregistrement SPF avec une stratégie de secours?all, vous pouvez inclure progressivement infrastructure d’envoi plus et puis le publier une stratégie plus stricte.

Que se passe-t-il si vous êtes le propriétaire d’une liste de distribution ?

Consultez la section « listes de scénario courant #2 – Discussion ».

Que se passe-t-il si vous êtes un fournisseur infrastructure comme un fournisseur de services Internet (ISP), le fournisseur de Service de messagerie (ESP) ou cloud service d’hébergement ?

Si vous hébergez messagerie d’un domaine, et il envoie un e-mail ou fournir infrastructure d’hébergement qui peut envoyer des messages, vous devez procédez comme suit :

  • Vous assurer que vos clients disposent documentation décrivant ce qu’il faut publier dans leurs enregistrements SPF

  • Envisagez de signature DKIM signatures dans les messages sortants, même si le client n’explicitement configurez-la (signe avec un domaine par défaut). Vous pouvez même double-signe le message électronique avec des signatures DKIM (une fois avec le domaine du client si elles l’ont configuré et une seconde fois avec la signature DKIM de votre société)

Remise des messages à Microsoft ne sont pas garanti même si vous authentifiez provenant de votre plateforme de messagerie, mais au moins garantit que Microsoft n’est pas indésirable vos messages électroniques, car il n’est pas authentifié. Pour plus d’informations autour comment Outlook.com filtres de courrier électronique, consultez la page administrateur Outlook.com.

Pour plus d’informations sur les meilleures pratiques de service fournisseurs, voir M3AAWG Mobile messagerie meilleures pratiques pour les fournisseurs de Service.

Forum aux questions

Pourquoi est-ce que Microsoft apporter cette modification ?

Raison de l’impact de phishing attaques et parce que l’authentification de messagerie a été autour de plus de 15 ans, Microsoft est convaincu que le risque de continue à autoriser la messagerie non authentifié est plus élevé que le risque de perdre électroniques légitimes.

Cette modification entraînera électroniques légitimes à marquer comme courrier indésirable ?

Tout d’abord, il sera certains messages marqués comme courrier indésirable. Toutefois, dans le temps, expéditeurs seront ajustent et puis la quantité de messages redéfinir par erreur comme falsifiés sera négligeable pour la plupart des chemins d’accès de messagerie.
Microsoft lui-même adopté tout d’abord cette fonctionnalité plusieurs semaines avant le déploiement sur le reste de ses clients. Alors que les désagréments tout d’abord, il refusé progressivement.

Microsoft apportera cette fonctionnalité aux clients Outlook.com et non - Advanced menace Protection d’Office 365 ?

Protection contre l’usurpation anti sera initialement déployée aux clients DAV/E5 et à l’avenir peut-être être mis à ses autres utilisateurs. Toutefois, si c’est le cas, il peut y avoir des fonctions qui ne sont pas appliquées telles que la création de rapports et remplacements personnalisés.

Comment puis-je signaler le courrier indésirable ou non-spam messages revenir à Microsoft ?

Vous pouvez utiliser le Message de rapport de compléments pour Outlook, ou si elle n’est pas installé, Envoyer du courrier indésirable, non-spam et messages frauduleux de hameçonnage à Microsoft pour l’analyse.

Je suis un administrateur de domaine qui ne connaisse pas qui se trouvent tous les expéditeurs de ma !

Voir les administrateurs de domaines qui ne sont pas des clients Office 365.

Que se passe-t-il si je désactive la protection contre l’usurpation anti pour mon organisation, même si Office 365 est mon filtre primaire ?

Nous ne recommandons pas cette opération, car vous sera visible aux messages de courrier indésirable et hameçonnage plus manqué. Pas en totalité phishing est l’usurpation d’adresse, et pas en totalité falsifiés vous risquez de rater. Cependant, votre risque est supérieur à un client qui permet l’usurpation d’identité anti.

Activation de la protection de l’usurpation d’identité anti signifie de que je seront protégée contre hameçonnage tous les ?

Malheureusement, non, étant donné que les auteurs de phishing s’adapte pour utiliser d’autres techniques telles que compromis comptes ou comment configurer des comptes de services gratuits. Toutefois, protection anti-phishing fonctionne bien mieux à détecter ces autres types de méthodes de phishing car la protection d’Office 365 les calques sont conçues travail ensemble et créer les unes sur les autres.

Autres récepteurs messagerie grande ne bloquent messagerie non authentifié ?

Presque toutes les récepteurs messagerie grande implémentent traditionnel SPF DKIM et DMARC. Certains récepteurs ont autres tests stricts qu’uniquement les standards, mais peu accédez comme non authentifié Office 365 pour bloquer les envoyer par courrier électronique et les traiter comme une usurpation d’identité. Toutefois, la plupart de du secteur devient plus strict sur ce type particulier de message électronique, notamment en raison du problème de hameçonnage.

Dois-je toujours l’option avancée filtrage du courrier indésirable activée pour « Échouer dur SPF » si j’active l’usurpation d’identité anti ?

Non, cette option n’est plus nécessaire, car la fonctionnalité l’usurpation d’identité anti considère comme non seulement échoue dur SPF, mais un jeu de critères beaucoup plus large. Si vous avez activé l’usurpation anti et l’option SPF dur échouer est activée, vous obtiendrez probablement plus fausses. Nous vous recommandons de désactiver cette fonctionnalité, comme le feriez fournit presque sans conditions supplémentaires pour le courrier indésirable ou hameçonnage et à la place générer principalement fausses.

Jeu de réécriture d’expéditeur (SRS) permet-elle de corriger les messages transférés ?

SRS ne résout que partiellement le problème de la messagerie transféré. Par la réécriture le dossier SMTP MAIL FROM, SRS permet de garantir que les étapes de message transféré SPF à l’emplacement suivant. Toutefois, étant donné que l’usurpation d’identité anti est basée sur le champ de : adresse en combinaison avec domaine MAIL FROM ou signature DKIM (ou autres signaux), il n’est pas suffisamment empêcher la messagerie transféré ne soit marquée comme usurpé.

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×