Comment mettre sur liste blanche les e-mails qui ratent DMARC dans O365 ?

Comment whitelister les e-mails qui ratent DMARC dans M365 ?

Vos boites e-mails sont dans M365 et vous tentez d’implémenter DMARC pour interdire l’usurpation de vos adresses e-mail.

Alors, vous avez analysé vos flux e-mails avec une solution d’analyse des rapports DMARC et observez que tous les e-mails que vous émettiez vers l’extérieur de votre organisation étaient bien authentifiés avec SPF/DKIM/DMARC .

Enfin, vous avez configuré une règle de transport comme celle décrite dans cet article pour surveiller si des e-mails « from » vos domaines, émis vers votre organisation uniquement, échouaient leur vérification d’authenticité DMARC au niveau de votre tenant O365. A votre grande surprise vous en avez détectés plusieurs.

Alors que faire avant de passer votre enregistrement dans un mode plus restrictif comme « quarantine » ou « reject », pour protéger le plus rapidement vos contacts et employés, sans pour autant bloquer des e-mails légitimes qui sont attendus par vos employés ?

  1. Prendre le temps d’authentifier avec SPF/DKIM ces petites sources d’e-mails éparses, n’émettant que vers vos utilisateurs. Cela vous prendra beaucoup de temps, vous le savez.
  2. Ou bien, whitelister pour un temps ces e-mails « from » vos domaines qui échouent DMARC dans l’antispam d’O365.

Cet article a pour objectif de vous montrer comment résoudre ce problème avec la seconde option : Comment proprement whitelister un e-mail échouant DMARC dans l’antispam d’O365.

Pour ce faire, il vous faudra créer une « transport rule » de la sorte :

broken image

Cette règle de transport s’appuie sur les résultats d’authentification SPF afin de ne « whitelister » que les e-mails émis avec votre domaine « mydomain.com » depuis des plateformes d’émission d’e-mails comme Salesforce/Talent-Soft/Mailjet qui utilisent leur propre nom de domaine pour la réalisation des vérifications SPF (plus d’info sur SPF ici).

Vous pouvez varier les critères (avec DKIM, avec IP d’émission), mais comme vous le remarquerez, nous ne whitelistons pas un e-mail uniquement basé sur le critère du « header from » qui peut facilement être usurpé. Nous vérifions aussi la source d’émission de l’e-mails en s'appuyant sur un mécanisme d’authentification comme SPF qui ne peut pas facilement être usurpé.