Bien que les services de messagerie M365 incluent l'excellent anti-spam Exchange Online Protection (EOP), de nombreuses organisations choisissent d'acheter un second anti-spam configuré en amont de M365 :
Ce choix peut être motivé par le désir d'avoir une double protection anti-spam ou de bénéficier de fonctionnalités telles que le sandboxing des pièces jointes ou la réécriture des URL, qui peuvent être coûteuses chez Microsoft mais disponibles à des prix légèrement inférieurs chez d'autres fournisseurs de solutions anti-spam.
Cependant, il est souvent négligé qu'ajouter un anti-spam devant EOP peut induire EOP en erreur concernant l'IP réelle d'envoi d'un email, ce qui peut diminuer la performance d'EOP et classer incorrectement des e-mails comme spam alors qu'ils ne devraient pas l'être.
Pour éviter ces complications, il est important de considérer quelques points de configuration avant de configurer les enregistrements MX pour diriger vos flux d'emails entrants vers votre nouvel anti-spam :
1 — Configurer le filtrage amélioré pour les connecteurs dans Exchange Online (Enhanced Filtering for Connectors in Exchange Online) pour informer EOP des adresses IP allouées à l'anti-spam situé en amont de EOP.
Sans cette fonctionnalité, EOP considère que c'est l'IP de votre anti-spam qui a envoyé un e-mail, ce qui peut entraîner des problèmes d'authentification des e-mails, notamment avec des erreurs systématiques de SPF :
Une fois les adresses IP de votre anti-spam spécifiées dans le Filtrage Amélioré pour les Connecteurs, EOP peut observer l'IP réelle d'envoi des e-mails et valider leur authenticité avec SPF :
Comme vous pouvez le voir, le Filtrage Amélioré (Enhanced Filtering) pour les connecteurs permet de préserver les informations sur l'adresse IP et l'expéditeur, ce qui offre également les avantages suivants :
- Amélioration de la précision pour la pile de filtrage de Microsoft et les modèles d'apprentissage automatique, qui incluent :
- Le clustering heuristique
- La lutte contre l'usurpation d'identité
- La lutte contre le phishing
- De meilleures capacités après une violation de données dans l'Investigation Automatisée et la Réponse (Automated investigation and response)
- Capacité à utiliser l'authentification explicite des e-mails (SPF, DKIM et DMARC) pour vérifier la réputation du domaine expéditeur pour la détection d'usurpation et d'imitation. Pour plus d'informations sur l'authentification explicite et implicite des emails, voir l'authentification des emails dans EOP.
Si vous avez des règles de flux d'e-mail (également connues sous le nom de règles de transport) qui définissent le SCL à -1 pour les messages qui passent par ce connecteur, vous devez désactiver ces règles de flux d'e-mail après avoir activé le Filtrage Amélioré pour les Connecteurs.
2 — Assurez-vous que l'anti-spam situé en amont de O365 ne modifie pas les emails reçus, ce qui pourrait briser les signatures DKIM et entraîner l'échec des tests d'authentification d'email DMARC.
Si votre anti-spam modifie le contenu des emails, assurez-vous que votre anti-spam vérifie DMARC (pour empêcher les emails falsifiés de passer) et désactivez l'application de DMARC au niveau de la politique anti-phishing d'EOP.
Conclusion
Comme vous pouvez le voir, l'achat et l'ajout d'un anti-spam en amont de Exchange Online nécessitent une certaine configuration pour éviter de diminuer l'efficacité de Exchange Online Protection (EOP) et de bloquer la réception d'emails légitimes en raison d'échecs lors des tests d'authenticité DKIM/SPF/DMARC.