Dans cet article, nous vous expliquons succinctement ce qui se passe lorsqu’un e-mail échoue à ses vérifications d’authenticité DMARC (SPF et DKIM failed et/ou non aligné avec le header from).
En d'autres termes, comment O365 traite-t-il les e-mails dont l'adresse e-mail d'envoi a été usurpée par un pirate ou a été utilisée par une solution non autorisée par le domaine de l'adresse d'envoi ?
Le domaine d’émission n'est pas encore protégé par DMARC :
Si le domaine présent dans le « header from » de l’e-mail (adresse e-mail de l’émetteur affichée dans le client mail) n’a pas de politique DMARC ou bien lorsque sa politique DMARC est configurée en mode « p=none » alors l’e-mail n’est pas bloqué par le filtre DMARC d’Exchange Online Protection.
Le domaine d’émission est protégé par une politique DMARC :
Si le domaine présent dans le « header from » de l’e-mail (adresse e-mail de l’émetteur affichée dans le client mail) est protégé par une politique DMARC en mode « p=quarantine » ou « p=reject » alors la règle « detected as spoof » configurée dans la politique de filtrage anti-phishing est appliquée :
Les e-mails émis au nom de domaines protégés par une politique DMARC en mode « quarantine » ou « reject », qui ratent la vérification DMARC, sont traités de la même manière par O365.
Si toutefois vous souhaitez rejeter les e-mails qui ratent DMARC car leur domaine est protégé par une politique DMARC "p=reject", alors sachez que vous pouvez configurer la règle de transport suivante pour les rejeter :
Cette règle ne rejettera pas les e-mails réussissant DMARC (dmarc=pass action=none) ou échouant DMARC avec une politique DMARC configurée en p=quarantine (dmarc=fail action=quarantine). Elle rejettera uniquement les e-mails qui ratent DMARC avec une politique DMARC configurée en "p=reject" (dmarc=fail action=oreject).